Securizarea unui site WordPress

wordpress logo

Scop

WordPress reprezintă o platformă de gestionare a conținutului perfectă pentru un blog personal, un site de prezentare corporativ, portal informativ, magazin online, rețea socială, forum sau chiar scopuri mai complexe.

E un lucru foarte neplăcut cînd site-ul pe care îl aveți este spart și, în loc de interfața cunoscută, vă apare o muzică stranie cu inscripții deocheate gen „Hacked by #Bangladeshi Hacker”, iar urmările pot fi foarte triste – de la pierdere de timp, pînă la pierderea irecuperabilă a site-ului. Același rezultat îl pot avea și alte cauze: ștergerea sau modificarea datelor de către utilizator, defecțiunea serverului de găzduire, ne-prelungirea la timp a serviciul de găzduire și ștergerea lui automată, erori în timpul actualizării sistemului de administrare a conținutului (CMS) sau a modulelor, etc.

Pentru a preveni sau a minimaliza daunele cauzate de aceste și alte probleme, este nevoie DIN TIMP de a lua anumite măsuri de securitate. Să le analizăm pe rînd.

Chestiuni preliminare

Înainte de a lansa un site, trebuie să decideți unde va fi găzduit. Când veți alege un provider, atrageți atenția la mai multe aspecte:

  • reputația prestatorului de servicii;
  •  de cît timp activează;
  • dacă are servere proprii sau este doar un reseller;
  • modul de oferire a asistenței tehnice și monitorizarea serverelor;
  • disponibilitatea serviciilor adiționale și a setărilor personalizate pentru găzduire;
  • limitele de utilizare a resurselor și posibilitățile de mărire a pachetului de găzduire (în caz că site-ul dumneavoastră va cunoaște o creștere vertiginoasă a popularității);
  • locația serverului (dacă site-ul dumneavoastră se adresează publicului din Republica Moldova, ar fi indicat ca și găzduirea să fie în Moldova sau într-o țară de aproape – România, Germania); etc.
  • condițiile legale de prestare a serviciilor;

Un provider mare, în majoritatea cazurilor, are sistemul complet automatizat, multiple posibilități de plată. Un provider mic va fi mult mai flexibil și mai mult orientat spre client, dacă prestatorul este un antreprenor individual – aveți posibilitatea de a comunica direct cu persoana responsabilă.

Relația cu cel care va elabora site-ul dumneavoastră este și ea foarte importantă. Înainte de a începe orice lucrări, trebuie să vă înțelegi asupra sarcinilor ce urmează a fi realizate, cît va costa, cît timp va dura și ce va include elaborarea, cum veți realiza schimbările ulterioare (erori apărute sau modificări în principiul de lucru) și cît vor costa. În caz că persoana sau compania ce vă construiește site-ul nu va asigura întreținerea lui ulterioară, identificați o persoana căreia aceștia îi vor explica modul de lucru, de adăugare a materialelor și alte funcționalități ale site-ului.

Dacă cunoștințele dumneavoastră nu sînt suficiente pentru a gestiona un site WordPress, găsiți un specialist. Acesta va putea să vă ajute atunci cînd veți avea nevoie și va putea asigura actualizarea sistemului.

Măsuri de securitate

Pentru a minimaliza pericolele ce țin de funcționarea site-ului, este nevoie să luați în calcul anumite măsuri de securitate:

– asigurați-vă că providerul efectuează copii de rezervă în regim automat, le stochează în diferite locații, aflați cît timp sînt păstrate și în ce mod se poate face restabilirea;
– dacă nu sînteți sigur de gestionarea copiilor de rezervă de către prestator, sau în cazul cînd serviciul nu presupune copiere de rezervă – efectuați dumneavoastră periodic copii de rezervă;
– înainte de a face careva modificări în site (modificare de conținut, actualizări ale motorului și a modulelor adiționale) – faceți o copie de rezervă;
– folosiți o parolă complexă (minim 8 caractere, litere mari și mici, cifre și caractere speciale, evitați cuvintele de dicționar) pe care să o schimbați periodic;
– nu folosiți în calitate de nume de utilizator numele domeniului. Schimbați ID-ul utilizatorului în altul decît 1 ( se poate face cu ajutorul modului iThemes Security, care anterior se numea Better WP Security);
– setați pentru toate mapele drepturile de acces 755 și pentru fișiere 644 (prin FTP sau SSH);
– folosiți un modul pentru a ascunde adresa de autentificare în panoul de administrare (iThemes Security);
– setați blocarea automată după IP, pentru încercările de autentificare eșuate (iThemes Security);
– țineți actualizările sistemului și a modulelor la zi;
– nu folosiți module nesigure sau învechite;
– ștergeți modulele și temele care nu le folosiți;
– activați autentificarea în panoul de control doar prin HTTPS (dacă configurările serverului permit, redirecționare .htaccess sau iThemes Security);
– permiteți autentificarea în panoul de control doar de la anumite adrese IP – dacă nu e o piedică pentru activitatea site-ului (de acasă, de la serviciu, din alte locații sigure) și dacă providerul de internet vă oferă o adresă IP statică (.htaccess sau iThemes Security);
– modificați adresa de autentificare în panoul de control (iThemes Security), în loc de wp-admin și wp-login.php setați o adresă personală;
-monitorizați încercările de autentificare eșuate (iThemes Security) și blocați-le (WordPress Fail2ban, necesită setăți la nivel de sistem);
– monitorizați erorile 404;
– dacă panoul de administrare a găzduirii oferit de prestator vă permite, verificați periodic erorile care le generează web-serverul (apache, nginx) sau limbajul scripturilor (php, perl), cantitatea de trafic care o generează site-ul și încărcătura asupra serverului fizic;
– folosiți un serviciu de monitorizare a disponibilității serverului, de exemplu http://host-tracker.com/.

Ultima redactare: 24 noiembrie 2015.