6 Metode de securizare a unui site de prezentare WordPress
WordPress e gratuit (open source), dar are o reputație proastă când vine vorba de securitate. Și este unul dintre motivele pentru care mulți nu vor să lucreze cu WordPress. Nu se simt în siguranță să își dezvolte business-ul într-un mediu online vulnerabil. Cum poate fi WordPress mai sigur?
1. Update-uri la timp
Open-source vine la pachet cu update-uri frecvente: pentru WordPress, cât și pentru întreg ecosistemul de teme și pluginuri. Lipsa update-urilor reprezintă motivul cel mai frecvent pentru vulnerabilități de securitate.
WordPress-ul (core) se updatează automat pentru versiunile de securitate.
Începând cu versiunea 5.5, există opțiunea de a seta update-urile automate și pentru teme sau pluginuri. Numai că orice update are nevoie de backup (+ screenshots) înainte. Update-urile automate nu oferă by default și backup (valabil pentru soluțiile gratuite), iar restaurarea la vechea versiunea + debugging ia ceva timp. Când site-ul are 10+ pluginuri care s-au updatat automat peste noapte, nu ai cum să știi care a provocat erorile. Pentru siguranță
- update-urile trebuie făcute pe o clonă,
- update-urile trebuie făcute granular, cu teste după fiecare: soft, tema, și apoi câte un plugin pe rând.
Back-up-urile sunt sfinte înaintre de update-uri. Folosește un plugin de backup, cu opțiuni de export, import, backup, cum aeste All in One WP Migration (varianta gratuită are o limită de 512MB cu o extensie adaugată)
Odată ce update-urile sunt făcute la timp, mare parte din vulnerabilități e rezolvată.
2. Hosting de calitate
Serviciile de hosting au o mare importanță pentru siguranța site-ului.
- pentru supportul WordPress pe care îl oferă,
- pentru upgrade-ul PHP,
- pentru servicii automate de backup,
- pentru monitorizarea integrității fișierelor.
Alege un serviciu de hosting sigur, preferabil IP dedicat, cu sport WordPress.
3. Parola de acces puternică
O parolă ușor de ținut minte e o parolă nesigură. Alege parole de acces puternice, cu caractere speciale, schimbă-le măcar de 2 ori pe an și păstrează-le între-un tool de gestionare a parolelor (1Password, LastPass). Legat ded parole: nu e cel mai safe să fie ținute în Chrome, și nici să accesăm site-ul de pe rețele publice WiFi.
4. Limitează accesul
O metodă relativ simplă și eficientă este limitarea accesului la wp-admin, la IP-ul de pe care lucrezi de obicei.
Cum se face asta? În folderul wp-admin – htaccess, adaugă
order deny,allow deny from all allow from [your-IP]
Dacă IP-ul s-a modificat de la ultima editare a fisierului htaccess, când accesăm wp-admin dă eroare.
Limitarea accesului în wp-admin la IP-ul folosit e o metodă simplă și sigură de securizare a site-ului.
5. Limitează porțile de acces
Un contact form poate fi o sursă de vulnerabilitate. De 5+ ani, în site-urile dezvoltate de mine, am avut o singură problemă de securitate pentru un site care avea ContactForm7. A fost, la un moment dat, o breșă de securitate. De atunci am ales să folosesc mai bine link către email decât să am un site nesigur.
6. Folosește teme și pluginuri numai din surse sigure
Poate părea fără sens, dar se poartă în ecosistemul WordPress – pluginuri & teme nuled care pot fi descărcate de pe diverse site-uri. Nenegociabil pentru securitatea site-ului: pluginurile gratuite doar de pe WordPress.org, iar pluginurile și temele doar cu licență.
Și dacă, totuși, se întâmplă….
E mai ușor să previi decât să repari. Un sistem de backup constant e cea mai sigură metodă de recuperare a site-ului în cazul unei situații neplăcute…