Când vine vorba de blogul nostru poate că nu ne gândim imediat și la faptul că acesta va fi atacat de vreun hacker sau cineva rău intenționat. E doar un blog, am putea spune. La urma urmei cine ar vrea să spargă bloguri și cu ce scop? Ei bine, în prezent sunt totuși câteva motive bine întemeiate ca să ne facă să gândim mai serios la acest aspect al securității blogului nostru. Indiferent dacă blogul nostru WordPress conține informații mai mult sau mai puțin importante, este bine de știut că în prezent orice site sau blog poate deveni victima unui atac. Haideți să vedem de ce se întâmplă aceste lucruri și cum putem să ne protejăm blogul nostru WordPress.
De ce să ne protejăm blogul?
Atacurile pe internet sunt cele mai frecvente automate. Un hacker va crea un bot cu ajutorul căruia va încerca spargerea siturilor. Pierderile noastre? Putem pierde totul, de la trafic până la întreaga bază de date. De fapt nici nu trebuie să ne șteargă baza de date dacă a reușit să injecteze linkuri și fișiere spam în blogul nostru. Acestea ne pot scoate din evidențele Google și astfel pierdem și câștigurile și traficul. Ba chiar blogul ar putea fi considerat periculos și evitat de majoritatea motoarelor de căutare. De ce ar face asta cineva? Ei bine, în ultimul timp blogul a devenit un puternic instrument de monetizare. Astfel a apărut și concurența între ele. Dacă avem un blog bine structurat, cu multe informații originale, materiale de calitate și cu vechime pe internet, atunci ar fi cazul să ne gândim serios la protecția blogului nostru.
Apoi ar trebui să luăm în cosiderare și alte aspecte. Așa cum spuneam la început, puțini dintre noi ne-am gândit la securitatea blogului nostru WordPress imediat după ce l-am pornit. Nu vorbim de pluginuri pentru securitate sau de alte aspecte mai complexe. Dar, sincer, câți dintre noi ne-am ales un username și o parola complexă? Sunt sigur că unii dintre noi încă mai folosim contul admin și o parolă simplă, de fapt aceeași parolă de la messenger, mail sau alte conturi pe care le avem pe diverse situri. Credeți că e chiar bine să fie așa? Dacă cineva forțează un atac pentru a afla parola de admin a blogului vostru folosind un soft specializat, vă simțiți în siguranță? Dacă parola contului nostru e aceeași cu parola de la mail, sau de la contul serviciului de internet banking a băncii noatre ș.a.m.d. … cât avem de pierdut? Se pare că e o treabă serioasă. Putem pierde mai mult decât blogul nostru, ceea ce nu e de neglijat.
Cum să ne protejăm blogul WordPress?
În continuare voi vorbi despre câteva metode de a ne proteja blogul WordPress. Informațiile de mai jos provin din surse sigure, pe care le voi afișa la finalul articolului.
1. Username și parola
Cred că nici nu v-ați gândit că ar fi cazul să vă schimbați numele de cont pentru contul de admin care e arhicunoscutul admin. Da, dar asta înseamnă mai puțină muncă pentru hackeri care cunosc mecanismul platformei WordPress de după instalare. Ar fi bine să vă schimbați acest admin. O modalitate este să folosiți următorul query:
update wp_users set user_login = 'noulnumecont' where user_login='admin';
În acest post găsiți mai multe informații despre cum să executăm scripturi SQL direct din dashboard.
Legat de parolă, sunt multe de spus. Nu folosiți aceeași parolă pentru conturile pe care le aveți pe internet. Nu folosiți numele vostru, a celor din familie, numele firmei la care lucrati sau alte cuvinte care există prin dicționare. Hackerii folosesc seturi de cuvinte predefinite pentru a sparge parolele. Nu folosiți parole formate din puține litere sau numai din litere. Cel mai bine este să aveți o parolă complexă, formată din litere mici, majuscule, cifre și eventual simboluri și care să depășească 6 caractere. Pentru o parolă complexă de 10 caractere unui program îi trebuie 60 de ani ca să o găsească.
2. Folosiți cheile de securitate WordPress
WordPress poate folosi un sistem de criptare a sesiunii de logare. WordPress Security Keys este un set de variabile care îmbunătățesc criptarea informațiilor stocate în fișierele de tip cookie ale utilizatorilor. Astfel o parolă criptată este cu mult mai greu de găsit decât una necriptată. Ce trebuie să facem în acest sens? Intrați pe acest link și vi se va genera cheile de securitate unice. Acum trebuie doar să deschideți în editor fișierul wp_config.php și să înlocuiți textul de mai jos cu variabilele obținute:
define('AUTH_KEY', 'scrieti aici o fraza unica');
define('SECURE_AUTH_KEY', 'scrieti aici o fraza unica');
define('LOGGED_IN_KEY', 'scrieti aici o fraza unica');
define('NONCE_KEY', 'scrieti aici o fraza unica');
Apoi salvați fișierul și la primul refresh vi se va cere să vă logați din nou în panoul de administrare. De-acum aveți o măsură de siguranță mai mare cu aceste chei de securitate.
3. Plugin-uri de securitate
La acest capitol ar fi bine să începem cu cea mai bună regulă pentru ca blogul WordPress să fie mai sigur: să fie actualizat cu regularitate. Lucru valabil atât pentru fișierele core WordPress, cât și pentru plugin-urile pe care le folosim. Actualizările includ de cele mai multe ori rezolvări pentru problemele de securitate. Nu vă lăsați blogul neactualizat mai multe săptămâni. Oricine are acces la codul sursă al paginilor blogului nostru și poate să vadă ce versiune folosim (cu alte cuvinte dacă avem ultima versiune sau nu) și să știe din start ce puncte vulnerabile are.
Acum să amintim patru plugin-uri de securitate pentru WordPress.
Login LockDown – plugin ce înregistrează adresele IP ale celor ce au eșuat să se autentifice pe blog. După un număr predefinit de eșuări, acest plugin blochează accesul la fereastra de login al acelui IP pentru un anumit timp stabilit tot din setări.
WordPress File Monitor – plugin ce monitorizează schimbările ce au loc în fișierele blogului. Dacă se detectează o modificare, ștergere sau adăugare de fișiere, acest plugin trimte un raport la o anumită adresă de email. Foarte util în cazurile când se încearcă injectarea SQL, acțiune ce poate trece neobservată mult timp.
WP Security Scan – este un plugin ce sugerează acțiuni corective pentru o mai bună securitate a blogului WordPress.
Stealth Login – este un plugin ce vine cu o serie de măsuri de protecție a ferestrei de login. Poate modifica adresa de login, îngreunând munca atacatorului care, chiar dacă știe contul și parola, nu știe unde este pagina de login. Pluginul are funcția de stealth login cu ajutorul căreia se protejează accesul direct al fișierului wp_login.php.
Concluzie
În loc să muncim acum sau în viitor pentru a ne repara reputația blogului nostru, mai bine să muncim preventiv. Cu puțină atitudine și efort inițial ne putem păstra blogul departe de atacurile informatice. Iată câteva referințe studiate și de unde puteți citi mai multe despre acest subiect: Wpbeginner.com, How to protect wordpress și Webtoolol.com
Aștept părerile voastre legate de acest subiect și să ne spuneți cum vă protejați voi blogul WordPress.
Oamenii au ajuns aici cautand:
- ce este auth_key
Wordpress
WordPress este o platformă de tip sursă deschisă pentru publicarea blogurilor. Platforma WordPress este scrisă în limbajul PHP, folosind pentru gestionarea bazelor de date sistemul MySQL. Dispune un sistem de şabloane sc...