In acest articol o sa iti explicam in detaliu cum securizam in doar 10 minute un website WordPress utilizand sfaturile generale oferite de catre dezvoltatorii platformei. Intrucat WordPress este cea mai utilizata platforma CMS la nivel global, riscul ca site-ul tau sa fie scanat si infectat cu cod malware este foarte ridicat, de aceea este bine sa ne luam cateva masuri de precautie inca din momentul in care incepem constructia acestuia.
Primul si cel mai important lucru este sa ne asiguram ca in momentul instalarii platformei setam un nume de utilizator si o parola complexa. Nu utilizam niciodata numele de utilizator standard precum admin, administrator, user.
Urmatorul lucru important pentru securitate este sa ne asiguram ca avem la zi toate update-urile. WordPress lanseaza periodic update-uri care au ca rol prevenirea unor brese de securitate, repararea unor BUG-uri sau imbunatatirea implicita a platformei si a performantei acesteia. Pentru a ne asigura ca suntem la zi cu update-urile putem sa selectam in momentul instalarii (in Softaculous) sa se realizeze update-uri automate ori de cate ori este nevoie, fara ca noi sa fim nevoiti sa intervenim.
Pe langa update-ul platformei ne asiguram mereu ca realizam update-urile periodice si la module si teme, iar daca exista module care nu sunt utilizate este recomanda sa le stergem definitiv pentru a evita anumite brese de securitate. In general problemele de securitate apar atunci cand in cadrul site-ului exista module sau teme neutilizate si care nu au update-urile la zi de foarte mult timp.
Totusi, sa vedem ce alte actiuni trebuie sa mai intreprindem si cum putem sa securizam in doar 10 minute un website WordPress:
Pasul 1: Ne asiguram ca toate folderele din cadrul WordPress au permisiunile 0755 si fisierele 0644. Daca exista foldere sau fisiere cu permisiuni 0777 riscam sa fim infectati prin cadrul acelor foldere/fisiere. Putem cere oricand providerului de web hosting sa realizeze o resetare generala de permisiuni, atat pe partea de foldere cat si pe partea de fisiere.
Pasul 2: Securizare Wp-Includes
Pentru a securiza folderul wp-includes adaugam in fisierul .htaccess din root-ul site-ului urmatorul cod in afara liniilor # BEGIN WordPress and # END WordPress:
# Block the include-only files. <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F,L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L] </IfModule> # BEGIN WordPress
Pasul 3: Securizare folder WP-Content/Uploads. Creem un fisier .htaccess in interiorul folderului WP-Content si inseram codul de mai jos:
# Kill PHP Execution <Files *.php> deny from all </Files>
Pasul 4: Securizare WP-Config.php
Adaugam codul urmator in fisierul .htaccess din root-ul site-ului:
<files wp-config.php> order allow,deny deny from all </files>
Pasul 5: Dezactivam posibilitatea de a edita fisierele din zona de admin a site-ului. Adaugam codul de mai jos in fisierul wp-config.php:
## Disable Editing in Dashboard
define('DISALLOW_FILE_EDIT', true);
Pasul 6: Instalam un modul de securitate. Recomandam instalarea modulului Worfence Security, modul care joaca rolul unui firewall si scanner. Acest modul permite blocarea IP-urilor care incearca autentificarea la zona de wp-admin si scaneaza zilnic fisierele site-ului si baza de date, notificand utilizatorul site-ului atunci cand sunt aduse modificari asupra codului sursa. De asemenea va atentioneaza atunci cand apar update-uri si este nevoie de actiunea Dvs directa pentru a le realiza.
Pasul 7: Puteti scana periodic site-ul utilizand scannere online gratuite precum scannerul pus la dispozitie de catre Sucuri.net. In cazul in care exista fisiere care contin cod malware scannerul o sa va atentioneze despre prezenta acestora pentru a lua masurile necesare.
