Les amenaces de seguretat no són exclusives de WordPress.
Totes les plataformes, ja siguin privades o de codi obert, estan sota atac les 24 hores del dia.
Afortunadament, la comunitat de WordPress ofereix moltes solucions per facilitar la feina.
A continuació es mostren alguns passos clau per protegir un lloc de WordPress amenaces de seguretat.
Com protegir un lloc de WordPress
Hi ha vuit accions fonamentals que tots els editors de WordPress haurien de tenir en compte per mitigar activitats i vulnerabilitats malicioses.
Seguir aquestes bones pràctiques ajudarà a garantir que un lloc de WordPress estigui preparat per enfrontar-se a l’atac dels pirates informàtics que sondegen llocs web cada dia:
- Utilitzeu HTTPS.
- No utilitzeu la paraula “administrador” com a nom d’usuari d’administrador.
- Aplicar l’ús de contrasenyes fortes.
- Actualitza complements i temes.
- Pla de còpia de seguretat del lloc web.
- Minimitzar l’ús de connectors.
- Autenticació de dos factors.
- Instal·leu un tallafoc de WordPress i escàner de vulnerabilitats.
Repassem cadascun d’ells amb una mica més de detall.
1. Afegiu HTTPS/SSL
A hores d’ara, la majoria de llocs estan utilitzant HTTPS. Però si el vostre lloc no utilitza HTTPS, consulteu amb el vostre amfitrió web per afegir un certificat SSL gratuït.
Només cal que configureu l’adreça de WordPress i l’adreça del lloc https://. Això es pot fer a la pestanya Configuració general.
Si el lloc s’està actualitzant d’un estat insegur a un estat segur, aleshores Connector SSL realment senzill (utilitzat per més de 5 milions de llocs web) val la pena mirar-ho, ja que realment simplifica la conversió a HTTPS mitjançant la gestió de redireccions i altres tasques relacionades.
Really Simple SSL també ajuda a mitigar les amenaces de seguretat, com ara els atacs de clic i falsificació entre llocs, oferint l’opció d’afegir capçaleres de seguretat.
En aquests dies, instal·lar un certificat SSL és una tasca fàcil.
Molts amfitrions web ofereixen certificats SSL gratuïts, a més, és un factor de classificació conegut a Google.
Després de convertir a HTTPS, és una bona idea comprovar que cap pàgina no sol·liciti enllaços o contingut HTTP.
És imprescindible comprovar si hi ha contingut mixt.
El contingut mixt és quan els actius del lloc web insegurs (scripts, imatges, vídeos, etc.) estan enllaçats des de Pàgines HTTPS.
Rastreu el vostre lloc amb Falta el cadenat per identificar ràpidament casos de contingut mixt i, a continuació, corregir els errors enllaçant-los a recursos HTTPS.
2. Utilitzeu un nom d’usuari administrador segur
Un nombre aclaparador d’atacs de seguretat contra la pantalla d’inici de sessió de WordPress es fan amb el nom d’usuari “Administrador”.
Hi ha dos tipus principals d’atacs que intenten trencar la contrasenya d’inici de sessió:
- Força bruta.
- Atac de diccionari.
L’atac de força bruta és quan el programari de pirateria automatitzada intenta endevinar la contrasenya de l’administrador mitjançant diferents combinacions de paraules, lletres i números.
Un atac de diccionari és quan el programari de pirateria utilitza contrasenyes habituals per intentar endevinar l’inici de sessió de l’administrador.
En molts casos, el nom d’usuari administrador que utilitzen aquest programari és “Administrador”.
No utilitzar la paraula “Administrador” com a nom d’usuari és un pas senzill que ajudarà a protegir un lloc de WordPress.
Per fer un pas més enllà, podeu crear una regla de tallafoc amb el Connector de seguretat de Wordfence per bloquejar automàticament qualsevol humà o bot que intenti iniciar sessió amb el nom d’usuari Admin.
3. Aplica contrasenyes fortes
No permetis que ningú, especialment els usuaris amb privilegis de nivell d’administrador, creï una contrasenya que no sigui segura.
Fins i tot els usuaris amb privilegis de llocs web baixos, com el nivell de subscriptor, poden convertir-se en un vector d’atac. Per tant, és important aplicar contrasenyes fortes a tothom que pugui iniciar sessió al lloc de WordPress.
El popular Connector de WordPress iThemes Securityamb més d’1 milió d’usuaris, ofereix l’aplicació de la força de la contrasenya d’inici de sessió, així com l’autenticació de dos factors.
També es pot activar una política de seguretat de contrasenyes que imposa contrasenyes fortes mitjançant el Wordfence Connector de seguretat de WordPress.
4. Actualitza els connectors i els temes
Algunes actualitzacions dels connectors, els temes i la instal·lació bàsica de WordPress són per corregir (pegat) vulnerabilitats.
No actualitzar el programari pot fer que el lloc es torni vulnerable.
La majoria de les actualitzacions funcionen bé. En rares ocasions, una actualització pot canviar alguna cosa al programari que comença a xocar amb un altre complement o tema, provocant que el lloc es bloquegi.
Si això passa, és fàcil tornar el lloc a un estat anterior si s’ha fet una còpia de seguretat del lloc.
La millor manera d’actualitzar els connectors i els temes és organitzar el lloc i comprovar si el lloc funciona com hauria de ser amb el programari actualitzat.
Però si no esteu organitzant el lloc, la segona opció és fer una còpia de seguretat del lloc i després actualitzar-lo.
Proveu el lloc per assegurar-vos que tot funciona. Si el lloc funciona malament, torneu-lo a fer amb la còpia de seguretat.
La tercera opció és configurar tots els connectors perquè s’actualitzin automàticament perquè ni tan sols t’hagis de pensar. Si alguna cosa es trenca, torneu-la al seu estat anterior.
5. Feu una còpia de seguretat del vostre lloc web de WordPress
Fer una còpia de seguretat d’un lloc web diàriament és fonamental.
Hi ha moltes coses que poden sortir malament, i una còpia de seguretat salvarà el dia quan passi alguna cosa catastròfica al lloc.
Connector de còpia de seguretat de WordPress UpdraftPlusamb més de 3 milions d’usuaris, és una solució popular i de confiança.
El faig servir a tots els meus llocs web i el puc recomanar amb confiança.
M’ha salvat amb motiu d’un redisseny del lloc web que no ha anat tan bé, permetent-me restaurar fàcilment el lloc a una versió anterior.
Una altra solució popular es diu WP Rollback.
WP Rollback té més de 200.000 instal·lacions i les persones que creen el programari són desenvolupadors de WordPress de confiança i experts.
Funciona bé amb temes i connectors que es descarreguen de WordPress.org.
6. Minimitzar l’ús de connectors
Cada connector que s’instal·la augmenta la possibilitat que un d’ells exposi el lloc a una vulnerabilitat.
A part de raons de seguretat, l’ús de massa connectors pot afectar el rendiment del lloc, així com augmentar la possibilitat que el codi entre dos o més connectors tingui un conflicte i bloquegi el lloc.
Planifiqueu amb antelació quins connectors voleu utilitzar per aconseguir el que necessiteu.
Alguns connectors poden fer diverses tasques, eliminant la necessitat d’instal·lar un connector autònom per aconseguir-ho.
7. Implementar l’autenticació de dos factors
L’autenticació de dos factors s’anomena així perquè es necessiten dues formes d’identificació per iniciar sessió en un lloc de WordPress amb aquesta funció activada.
El primer factor és el nom d’usuari i la contrasenya.
El segon factor és una segona forma d’autenticació, normalment amb una aplicació com Authy o Google Authenticator que es troba al telèfon mòbil de l’usuari.
Per tant, fins i tot si un pirata informàtic accedeix al nom d’usuari i la contrasenya, no podrà iniciar sessió sense la segona autenticació.
Hi ha molts complements de WordPress per triar per afegir aquesta funció, com ara:
WP 2FA
WP 2FA és una opció popular per afegir autenticació de dos factors.
Admet diversos mètodes d’autenticació de dos factors, com ara Google Authenticator, Authy, enllaç de correu electrònic, OTP de correu electrònic i notificació push.
Hi ha mètodes addicionals, com ara l’autenticació de veu i WhatsApp, disponibles amb la versió Pro.
Seguretat d’inici de sessió de Wordfence
Wordfence és una marca de confiança. el seu connector d’autenticació de dos factors autònom admet Authenticator, Authy, 1Password i FreeOTP.
A més, connectors de seguretat com Wordfence i iThemes Seguretat també tenen opcions per activar l’autenticació de dos factors.
8. Instal·leu un connector de seguretat de WordPress
Els connectors de seguretat són útils perquè poden tancar els forats de seguretat i bloquejar els pirates informàtics que intenten aprofitar aquestes vulnerabilitats.
Hi ha dos tipus de complements de seguretat de WordPress:
- Enduriment i escaneig de seguretat.
- Tallafoc.
Aquí hi ha algunes eines que recomanaria.
Sucuri Seguretat
Sucuri és una opció de confiança per a un connector de seguretat. És propietat de GoDaddy.
Sucuri escaneja un lloc a la recerca de programari maliciós i ofereix opcions per endurir el lloc contra exploits.
Escollir Sucuri és fàcil perquè complementa un complement del tallafoc, com ara Wordfence.
La versió de pagament també inclou un tallafoc.
Jetpack Protect
Jetpack Protect és creat per Automattic, l’empresa darrere de WordPress.com, Akismet, WPScan i WooCommerce, entre d’altres.
Jetpack Protect realitza una exploració diària de programari maliciós del nucli, els connectors i els temes de WordPress.
Aquest connector gratuït és relativament nou: es va convertir en un connector autònom el 2022.
Seguretat de Wordfence: tallafoc, exploració de programari maliciós i seguretat d’inici de sessió
Wordfence és una opció popular per a la seguretat de WordPress. Hi ha més de 4 milions d’instal·lacions actives.
Wordfence actua com a tallafoc per protegir un lloc web dels atacs de pirateria informàtica i pot prohibir els robots de pirateria automàtica i els pirates informàtics reals en temps real si l’activitat s’ajusta al patró d’un pirata informàtic.
Els usuaris poden configurar el tallafoc Wordfence amb regles que puguin bloquejar immediatament els pirates informàtics.
Wordfence també ajuda a endurir un lloc contra la pirateria, proporcionant una autenticació de dos factors i desactivant l’execució de PHP a les carpetes on PHP no s’hauria d’executar.
Un altre avantatge de Wordfence és que el connector envia recordatoris per correu electrònic quan un complement necessita una actualització.
La versió de pagament de Wordfence rep regles de tallafoc per protegir-se de les explotacions més recents tan bon punt Wordfence se n’assabenta.
iThemes Seguretat
iThemes Seguretat és un connector tot en un que escaneja i endureix un lloc web, així com bloqueja els robots dolents com a tallafoc. Hi ha més d’un milió d’instal·lacions actives.
iThemes gestiona moltes activitats relacionades amb la seguretat, cosa que la converteix en una opció popular per a aquells que prefereixen un connector per fer-ho tot.
Feu passos addicionals de seguretat de WordPress
Aquests són els passos addicionals per crear una postura de seguretat sòlida.
Comproveu la vostra versió de PHP
PHP és el programari amb el qual s’executa WordPress.
Les versions de PHP obsoletes poden exposar un lloc a vulnerabilitats de seguretat.
Assegureu-vos que la versió PHP utilitzada no hagi arribat a l’estat de final de vida (EOL).
Escaneja la vulnerabilitat en línia
Aquí hi ha tres eines en línia que busquen vulnerabilitats o indiquen si un lloc ha estat piratejat:
El futur de la seguretat de WordPress
Els pirates informàtics estan atacant tots els llocs, independentment del sistema de gestió de continguts (CMS) que s’utilitzi.
WordPress és el CMS més popular del móncosa que el converteix en un objectiu popular dels pirates informàtics.
Afortunadament, WordPress té una comunitat massiva que treballa per mantenir-lo segur, que és un avantatge que no tenen altres plataformes.
Tots els propietaris de llocs web de WordPress haurien de considerar prendre el temps per assegurar-se que hi ha mesures per mantenir els seus llocs de WordPress totalment segurs.
Més recursos:
Imatge destacada: Shutterstock/fizkes
