8 Pași Pentru Un Blog WordPress Mai Sigur
Continui seria de recomandări în domeniul de securitate a blogului motorizat de platforma WordPress (atenție, nu blogul care este de genul blogultau.wordpress.com, ci acel blog pe domeniu și host propriu). Știm cu toții că nu este plăcut atunci când cineva încearcă/ne sparge blogul. Avem informații personale, fișiere, baze de date, pe care le putem pierde într-o secundă. Blogul a ajuns să fie ca o casă virtuală, iar asemenea unei case reale și aceasta trebuie să fie protejată.
Astăzi vreau să vă vorbesc de 8 pași simpli prin care vă puteți proteja blogul de curioși. Sunt 8 pași ce implică cunoștințe de programare de la neștiutor la începător. Dar fiți fără griji, chiar și aceia care nu aveți deloc cunoștințe de programare, am să încerc să fac un tutorial prin care să vă puteți proteja blogul.
1. Întotdeauna Fi La Zi Cu Actualizările
Ai o altă versiune de WordPress instalată în afară de cea mai recentă versiune apărută (în momentul scrierii acestui articol cea mai recentă versiune este 4.0 „Benny”)? Atunci avem o problemă majoră deja. Nu degeaba există actualizări, pentru că printre acestea, sunt și patch-uri de securitate, pentru vulnerabilități. Asigură-te că tema pe care o ai sau o alegi să aibă în spate o mână de oameni activi care o actualizează periodic. O temă moartă este o ușă deschisă pentru hackeri. La fel și pentru plugin-uri, un plugin neactualizat este o portiță de atac. Fiind la zi cu actualizările, nu înseamnă necesar că ești deja protejat. Nu, dar reprezintă o ușă care este închisă, nu una deschisă.
Totuși, ca un sfat prietenesc, înainte de a face update, uită-te pe internet despre actualizările respective, chiar dacă în mare parte, ele sunt benefice utilizatorului final, să nu uităm Apple, Microsoft cu actualizările problematice avute în ultima perioadă.
2. Ascunde-ți Numărul Versiunii WordPress
Versiunea WordPress instalată pe blogul tău poate fi identificată relativ ușor de către curioși. Printr-un simplu click drepate – View Source, ei pot afla ce versiune ai instalată de WordPress. Dacă nu ai o temă instalată care se ocupă în locul tău de ascunderea versiunii, atunci mai mult ca sigur va trebui să faci o modificare fișierului „function.php”. Poți să faci această modificare accesând www.blogultau.ro/wp-admin meniul din stânga „Appearance” – „Editor” și apoi din meniul din dreapta „function.php” (CTR+F te va ajuta să găsești mai rapid fișierul în cauză). Dacă ești deja logat în panoul de administrare, atunci poți accesa rapid editorul prin introducerea adresei url în bara de adrese www.blogultau.ro/wp0admin/theme-editor.php.
Pentru a ascunde versiunea de WordPress instalată, adaugă la finalul fișierului „function.php” următoarele rânduri de cod:
function wpbeginner_remove_version( ) { return ''; } add_filter('the_generator', 'wpbeginner_remove_version');
Acest cod îți ascunde versiunea de WordPress nu doar din sursa HTML ci și din feedul RSS al blogului.
3. Nu Folosi „Admin” Ca Și Username
Crezi că este un lucru minor? Te înșeli, este foarte important acest aspect. Mai mult decât crezi.
În mod implicit, WordPress atribuie principalului cont de administrare numele de „admin”. Chiar dacă are logică acest aspect, acest username este folosit poate pe mii, dacă nu zeci de mii de site-uri motorizate de WordPress și aici este și problema.
În 2013, hackerii au inițiat o serie de atacuri către site-uri motorizate de WordPress, încercând în moduri repetate de a asocia anumite parole unui singur user. Ați ghicit, username-ului „admin”. Au reușit să spargă aproape toate site-urile.
Chiar dacă ai o parolă foarte sigură, lungă tot nu este o idee bună să folosești ca și username „admin”. Sunt două metode prin care poți să-ți modifici username-ul. Prima este pentru începători, a doua este pentru cunoscători. Oricare dintre ele merge, puteți să o alegeți pe cea care vă convine cel mai mult.
Prima metodă este să vă creați un nou user, cu drepturi de administrator. Puteți face acest lucru din www.blogultau.ro/wp-admin/user-new.php, completați toate rândurile, iar la câmpul „Role” selectați „Administrator”. Logați-vă cu noul utilizator creat și apoi ștergeți utilizatorul admin. În acest moment vi se va da o opțiune de a atribui toate articolele scrise până în acel moment noului utilizator creat.
A doua metodă este să vă logați în contul de cPanel și apoi să accesați phpMyAdmin. Odată efectuată această operație, căutați baza de date a blogului vostru și apoi selectați tabela „wp_users”. Apoi poți schimba foarte ușor valoarea câmpului „user_login” a contului admin, în orice alt username.
4. Ascundeți Username-ul
Chiar dacă ți-ai schimbat username-ul, asta nu-i împiedică pe curioși să afle username-ul tău. În mod implicit, WordPress afișează username-ul tău în arhiva autorului www.blogultau.ro/author/username. Din fericire există și un „leac” pentru a-ți ascunde username-ul.
În www.blogultau.ro/wp-admin/profile.php la userul tau poți edita două câmpuri foarte importante și anume „nickname” și „Display name publicly as”. Ai grijă ca ceea ce vei introduce în aceste câmpuri să difere de username.
De altfel, va trebui să intri din nou în cPanel, selectezi baza de date asociată blogului tău, de obicei începe cu wp_, cauți tabelul wp_users și modifici câmpul user_nicename aferent user-ului tău.
5. Schimbă-ți Parola În Mod Regulat
Știu că tu crezi că parola ta este una dintre cele mai tari parole. Știu că tu crezi că nimeni nu se va gândi că ai avea o parolă gen „nimeninughicesteparolaastacareesteceamaitareparoladinistoriaparolelor”. Și cu toate astea aproximativ 8% din totalul site-urilor cu WordPress sunt sparte datorită unei parole slabe. De aceea recomand să-ți deschizi Google Calendar și să-ți setezi o dată recurentă din trei în trei luni pentru a-ți schimba parola. Nimic nu te protejează mai mult decât prevenția!
Folosește o combinație de litere mici, litere mari, simboluri și numere. Foarte important, încearcă să nu pui această parolă undeva într-un cont din cloud gen Dropbox. Știm cu toții că și ei au probleme.
6. Limitează Încercările De Login
Este posibil să blocheze un IP după ce acesta a încercat să intre în contul tău. Chiar dacă un curios ar încerca să-și schimbe IP-ul, reconectându-se (trăim într-o țară unde FiberLink-ul este la putere), tot nu ar putea să intre în contul de administrare WordPress. Acest lucru este posibil datorită unui plugin intitulat „Limit Login Attempts”. Îți permite să setezi limita încercărilor și cât timp acel IP va fi blocat.
Pus într-un mod mai popular, un exemplu ar fi următorul. E ca și cum ai avea un polițist care vine la casa ta și arestează pe tipul care-ți face farse sunând la soneria ușii tale din 15 în 15 minute :D.
7. Șterge Orice Plugin Sau Temă Nefolosit(ă)
Să ai cât mai puțin cod executabil de către WordPress face parte și din suita de securitate pe care ar trebui să o ai în vedere. Șterge orice plugin inactiv sau temă pe care nu o mai folosești. Nu doar că îți eliberezi spațiu pe server, dar reduci șansele ca un curios să profite de vulnerabilitatea unuia dintre plugin-uri sau ale unei funcții dintr-o temă.
8. Împiedică Accesul La Structura Folderelor Tale
Așa cum am explicat într-un articol anterior, unii curioși pot să-ți vadă structura folderelor tale. Acest lucru poate fi limitat prin două metode.
Prima metodă constă în modificarea fișierului .htaccess din rădăcina folderului unde ai instalat WordPress-ul. Adaugă doar o singură linie, după ultimul rând:
Options All - Indexes
Nu uita să incluzi fie un fișier intitulat index.php în fiecare rădăcină a următoarelor foldere „wp-content/themes” și „wp-content/plugins”.
A doua metodă este explicată în articolul mai sus menționat.
Bonus: Câteva Plugin-uri De Securitate
Iată o listă de plugin-uri utile securității blogului tău.
- Bulletproof Security îți va proteja blogul prin fișierul .htaccess
- All-in-One WP Security and Firewall este un firewall pentru blogul tău, așa cum și numele de altfel spune
- Sucuri-Scanner îți va scana blogul tău WordPress pentru malware ascunși, foarte util să descoperi dacă ai fost „vizitat”
- Wordfence un plugin foarte folositor, așa cum am explicat și în articolul acesta legat de securitatea blogului tău.
- Exploit Scanner îți va analiza baza ta de date și va identifica fiecare cod suspicios
Menține Blogul Tău În Siguranță!
Evident nu poți să treci cu vederea să îți faci un back-up din timp în timp al blogului tău cu tot ceea ce înseamnă fișiere și bază de date și să limitezi accesul utilizatorilor la panoul de administrare al WordPress. Dacă vei ține cont de aceste sfaturi ar trebui să fi în siguranță.
Chiar dacă nimic în lumea informatică nu este sigur, încă nu s-a inventat sistemul de securizare de nepenetrat, aceste sfaturi ar trebui să te pună în gardă împotriva curioșilor să vadă ce ai în spatele curții :D.
Dacă puteți veni cu completări la acest articol destul de lung, vă rog să folosiți secțiunea de comentarii. Orice informație benefică pentru comunitate este bine venită!
<div class='sharedaddy sd-block sd-like jetpack-likes-widget-wrapper jetpack-likes-widget-unloaded' id='like-post-wrapper-103532497-5986-674dc36f5fab4' data-src='https://widgets.wp.com/likes/?ver=13.8.1#blog_id=103532497&post_id=5986&origin=damianirimescu.ro&obj_id=103532497-5986-674dc36f5fab4&n=1' data-name='like-post-frame-103532497-5986-674dc36f5fab4' data-title='Apreciază sau republică'><h3 class="sd-title">Apreciază:</h3><div class='likes-widget-placeholder post-likes-widget-placeholder' style='height: 55px;'><span class='button'><span>Apreciază</span></span> <span class="loading">Încarc...</span></div><span class='sd-text-color'></span><a class='sd-link-color'></a></div>
Multumim ,foarte bun
PS: numarul 2 e mai simplu cu: remove_action(‘wp_head’, ‘wp_generator’);
Numarul 4 nu este valabil :).
http://damianirimescu.ro/author/damianirimescu/
Păi nu e ăsta user-ul cu care mă loghez :))