Securitate WordPress

/ Internet, Securitate IT, Tutoriale / 1227 Vizualizari /
1 Star2 Stars3 Stars4 Stars5 Stars (Acorda un calificativ articolului!)
Se încarcă...

Site-urile, in marea lor majoritate sunt realizate in WordPress, acesta fiind un sistem de management de continut destul de accesibil, desi, din punct de vedere al protejarii produsului este destul de putin aspectat.

 

De exemplu, daca nu schimbi configuratia de baza, hackerii sau spammer-ii pot foarte usor a acceseze zona ta de administrare a site-ului.

 

Ideea ca in nici un caz nu mi se intampla mie, este de cele mai multe ori calea sigura catre esec.

Chiar daca site-ul dumneavoastra are trafic redus si nu este foarte bine dotat nici in zona link-urilor, marea majoritate dintre hackeri nu vor dori sa faca altceva decat sa trimita spam-uri de pe serverul dumneavoastra, de exemplu. Sigur ca serverul va intra pe lista neagra si nu il veti mai putea folosi pentru trimiterea de newsletter-e  nici macar persoanelor abonate. Va va da destule batai de cap stergerea serverului de pe lista neagra, de aceea va recomandam cu caldura sa luati cat mai multe masuri de siguranta INAINTE  sa  fie prea tarziu.

 

In cele ce urmeaza, am incercat sa sintetizez cateva actiuni care pot face mai dificila spargerea contului de admin.

 

 

 

2

Back-up des

Evident este in functie de tine cat de des permiti sa se realizeze un back-up pe site-ul propriu, insa, este recomandabil pentru un site utilizat frecvent, sa se realizeze un back-up cel putin  saptamanal, back-up care poate fi realizat manual, daca aveti timpul necesar, sau puteti apela la BackupBuddy pentru circa 100 $, bani pe care chiar nu veti avea probleme sa ii platiti daca site-ul dumneavoastra este interesant pentru hacking (de exemplu contine date ale vizitatorilor de genul e-mail, conturi pe diferite alte site-uri , s.a.m.d.), asa cum puteti vedea tutorialul de mai jos:

 

Daca veti considera 100 $ o suma mult prea consistenta pentru ceea ce aveti dumneavoastra pe site, se poate apela la Ready!Backup, care creeaza back-up-uri automate si le trimite catre contul dvs de Dropbox, de exemplu.

Mai sunt si alte update-uri pe care le  puteti accesa, asta depinde de dumneavoastra, de suma pe care doriti sa o platiti pentru asa ceva, de modul cum considerati ca va descurcati cu  update-ul respectiv, de review-urile pe care le au s.a.m.d.

 

Setati o limita mica pentru incercarile de login

Pentru  WordPress exista un plugin numit Limit Login Attempts, care permite scaderea numarului de incercari nereusite de logare, si care are ca optiune banarea IP-ului de pe care s-a depasit numarul de login-uri eronate consecutive. Plugin-ul permite inclusiv setarea perioadei de  timp cat Ip ramane blocat, cate deblocari se permit pe acelasi IP, fiind deci foarte usor de gestionat.

 

De ce ar fi util un astfel de plugin? In principal datorita faptului ca, de regula hackerii care ataca site-uri prin intermediul WordPress utilizeaza forta bruta ( programe capabile sa testeze sute si mii de parole in cateva minute). In aceste conditii, este ceva mai dificil sa reusesti spargerea contului de admin, nu este imposibil , totusi daca hackerii au cateva proxy diferite pe care sa le poata folosi si sa fie rand pe rand blocate, pana cand se ajunge la parola site-ului.

Numarul setat de incercari esuate permise nu are o  valoare sigura, depinde de ceea ce considerati dumneavoastra a fi sigur (pentru unii 5 e prea mult, pentru altii prea putin).

 

 

 

 

Creati un Username, altul decat „admin”

 

Marea majoritate a hacker-ilor care utilizeaza forta bruta pentru spargerea contului dumneavoastra, vor utiliza ca si Username „admin” in diferite forme. Varianta aceasta de username este setata ca si setare standard. Daca acum aveti deja creat site-ul si username-ul dumneavoastra este (fatalitate!!) – admin, ei bine, nu intrati in panica! Exista metode de a-l schimba.

 

Cel mai simplu este sa mai creati un user si sa ii conferiti acestuia prerogativele de administrator, iar de pe acest user, stergeti userul anterior. Astfel ati scapat de pacatul lui Admin.

 

Putin mai complicat este prin PHPMyAdmin, dar aceasta metoda sunteti obligat sa o utilizati  daca  aveti deja multe postari pe vechiul cont de admin si nu doriti sa le  pierdeti. In primul rand va logati pe Control Panel si intrati pe PHPMyAdmin selectati baza de date pentru WordPress si mergeti in tabelul wp_users. Dati click pe Edit langa userul dumneavoastra Admin si schimbati campul user_login in orice doriti dumneavoastra sa fie.

 

Evitati parolele usoare

 

Atunci cand setati o parola, pentru numele lui Dumnezeu evitati parolele de tipul 1234 sau qwerty, care sunt primele optiuni de parole chiar si pentru un copil care abia cunoaste tastatura.

Daca va numiti de exemplu Ana Pop, nu incercati parole : anapop sau popana nici macar ana.pop. Incercati sa utilizati litere, cifre, majuscule, semne grafice, amestecate, nu neaparat intr-o ordine logica. Nu este „rocket science”. Cu totii stim asta, deja.

3

Problema este ca, dupa ce am facut cea mai elaborata parola, cum naiba reusim sa ne-o mai aducem aminte? Ati putea, de exemplu, sa setati memorarea parolei, utilizand aplicatii de acest fel, direct download free Dashlane, de exemplu, desi si aceasta nu este o idee grozava, pentru ca si Dashlane ar putea fi  spart, totusi sansele sunt mult mai mici, mai ales datorita faptului ca parolele sunt criptate, astfel incat , chiar daca  este spart contul de Dashlane, parolele dumneavoastra vor fi destul de bine protejate.

Daca sunteti singura persoana care utilizeaza PC-ul , puteti permite browserului sa va memoreze parolele.

 

Updatati versiunea de WordPress utilizata

 

Desi foarte des utilizat, WordPress are renume prost in ceea ce priveste securitatea pe care o ofera site-urilor create in acest sistem. Renumele ar trebui cumva impartit cu utilizatorii care refuza sa updateze versiunile de WordPress. Este mult mai bine sa utilizati ultima versiune de WordPress, pentru a avea parte de cele mai noi elemente de securitate. Hackerii , asa cum se stie gasesc vulnerabilitati mult mai usor in fisierele, temele si plugin-urile vechi. Din acest motiv este esential sa stergeti de pe site toate plugin-urile si temele pe care nu le veti utiliza.

 

Daca totul esueaza…

 

Poate ar fi bine sa luati in considerare limitarea Ip-urilor care au dreptul de a administra site-ul. Cel mai sigur ar fi blocarea tuturor Ip-urilor, cu exceptia celui de pe care va conectati dumneavoastra.  Riscati totusi sa pierdeti accesul in cazul in care vi se schimba IP-ul din diferite motive.

Avand in vedere cat de multe site-uri sunt sparte, cati hackeri isi fac un titlu de onoare din a eluda elementele de protectie, putin probabil ca astfel de setari sa constituie o garantie suficienta pentru site-ul dumneavoastra. Ceea ce vor face, va fi sa faca mult mai dificil accesul la panoul de administrare a site-ului si poate, cel care incearca o astfel de penetrare ilegala a securitatii site-ului dumneavoastra, sa considere ca nu merita efortul.

 

Asta se intampla pentru un site normal, care nu ascunde tentatii majore. Daca totusi sunteti o firma cu renume, care are nevoie ca site-ul sa fie deosebit de rezistent, ar fi mai bine ca dupa ce va luati toate aceste masuri de siguranta, sa luati legatura cu un specialist care va poate scapa de multe dureri de cap.


Alte articole din aceeasi sectiune

Asteptam cu interes punctul tau de vedere!

Email-ul tau nu va fi publicat. Toate campurile sunt necesare sa fie completate. Mesajul tau va fi moderat inainte de publicare.