In articolul precedent am publicat un tutorial de instalare WordPress in care am introdus si elemente de securitate pentru viitorul blog personal – modificarea prefixului tabelelor bazei de date wordpress si crearea unui nou username si a unei parole puternice.Daca ati urmat pasii indicati, atunci ar trebui sa aveti in acest moment un blog destul de protejat de hackeri dar gol. Daca blogul a fost instalat mai demult, va recomand sa faceti acesti pasi inainte de a aplica alte modificari pe care le voi expune in acest articol.
Odata cu instalarea pluginurilor sau a temelor, blogul dumneavoastra va deveni tot mai vulnerabil, de aceea este bine sa aveti grija cu actiunile pe care le veti face pe viitor asupra blogului. Securitatea WordPress nu este data de cel mai sigur algoritm / plugin ci dimpotriva de cel mai slab. Degeaba v-ati construit o fortareata, cu porti ferecate si turnuri de paza daca geamul de la parter este uitat deschis.
1. Instalarea unor plugins-uri de securitate (Nivel complexitate: USOR)
Pentru inceput va recomand instalarea si configurarea urmatoarelor plugins-uri:
- Secure WordPress – elimina unele vulnerabilitati cum ar fi raportarea erorilor sau afisarea versiunii platformei WordPress.
- Login LockDown – imbunatateste functia de login prin eliminarea vulnerabilitatii la atac prin forta bruta.
- WordPress Antivirus – scaneaza fisierele php de scripturi si exploit-uri.
- WordPress Firewall – blocheaza incercarile de injectare MySQL.
- WordPress Backup – salvare WordPress.
- WP DB Backup – salvare baza de date.
Pentru a instala un plugins nou, logati-va in panoul de control WordPress si navigati in meniul Plugins -> Add New. Dati o cautare dupa pluginul dorit si instalati direct din panoul WordPress – este si mai usor decat alte modalitati si mai sigur.
2. Restrictionarea cautarilor in site (Nivel complexitate: AVANSAT)
Nimeni nu ar trebui lasat sa execute cautari pe intregul server, de aceea in fisierul search.php inlocuiti linia urmatoare:
<?php echo $_SERVER ['PHP_SELF']; ?>
cu linia:
<?php bloginfo ('home'); ?>
3. Restrictionarea accesului in directoarele WordPress (Nivel complexitate: MEDIU)
Pentru a impiedica vizitatorii sa acceseze directoarele de pe server si sa vada continutul acestora, aveti doua optiuni. Prima este mai simpla si presupune crearea de fisiere index.html in fiecare director si subdirector de pe server, a doua optiune este mai eleganta (recomandata) si presupune editarea fisierului .htaccess. Pentru aceasta accesati File Managerul din cpanel si adaugati in fisierul .htaccess urmatoarea linie:
Options All -Indexes
4. Restrictionarea accesului la fisierul wp-config.php (Nivel complexitate: MEDIU)
Pentru a impiedica accesul neautorizat la fisierul wp-config.php (in care sunt salvate username-ul si parola bazei de date), adaugati urmatoarea linie in fisierul .htaccess:
<FilesMatch ^wp-config.php$>deny from all</FilesMatch>
5. Restrictionarea accesului la fisierul .htaccess (Nivel complexitate: MEDIU)
Pentru a impiedica accesul neautorizat la fisierul .htaccess, adaugati in acest fisier urmatoarea linie:
<FilesMatch ^htaccess$>deny from all</FilesMatch>
6. Eliminati meta tag-ul generator (Nivel complexitate: MEDIU)
Acest meta tag afiseaza versiunea WordPress in codul sursa al paginii web, iar daca dorim sa avem un blog sigur, nu ar trebui sa lasam pe nimeni sa stie ce versiune folosim, pentru a-i exploata vulnerabilitatile. Desi meta tagul generator ar trebui sa fie eliminat de pluginul Secure WordPress, exista posibilitatea ca acesta sa fie inserat prin headerul temei pe care o folositi si sa reapara. In acest caz va trebui sa editati manual fisierul header.php al temei curente si sa eliminati linia:
<meta content="WordPress <?php bloginfo(’version’); ?/>" name="generator" />
7. Faceti backup la blog si baza de date (Nivel complexitate: USOR)
Backup-ul este usor de facut, si va poate scoate din situatii grele. Fie folositi plugins-uri specializate, fie salvati din cpanel periodic. Daca publicati articole zilnic, este recomandat sa salvati totul saptamanal. De asemenea faceti back-up inainte de a face update-uri sau de a face modificari la blog.
8. Pastrati platforma si plugins-urile actualizate (Nivel complexitate: USOR)
Atunci cand apar noi update-uri la platforma WordPress sau la plugins-urile pe care le folositi, veti primi notificari in panoul de control. Nu le ignorati ci efectuati actualizarile la timp, dar nu inainte de a face backup. Nu se stie niciodata ce probleme pot apare.
9. Eliminati ce nu folositi (Nivel complexitate: USOR)
Daca ati instalat plugins-uri sau teme pe care nu le mai folositi in prezent, stergeti-le de pe server. Nu numai ca ocupa spatiu, dar pot reprezenta vulnerabilitati suplimentare. Chiar daca pluginurile sunt dezactivate, vulnerabilitatile acestora sunt prezente.
10. Documentati-va inainte de a instala un plugin (Nivel complexitate: USOR)
Inainte de a instala ceva pe blog este bine sa va documentati inainte, sa aflati care este parerea altor utilizatori si care este nota (ratingul) acelui plugins. Evitatile pe cele cu rating scazut sau care au fost lansate de curand, pentru ca pot contine vulnerabilitati.
Securitatea WordPress este data de securitatea celei mai slabe componente. Daca un plugin este vulnerabil, atunci intregul blog va fi vulnerabil, indiferent de masurile de securitate pe care le-ati luat. Nu am discutat pana acum nimic despre tema grafica a blogului pentru ca voi dedica un articol intreg alegerii, personalizarii si verificarii securitatii acesteia.
