In 2016, a 2-a parte a anului, Sucuri a inclus in rapoartele sale ca platforma WordPress, contribuia cu cca 75% din site-urile gasite ca si sparte.
Si, desigur, acest procent este foarte ingrijorător, să nu uităm totuși că majoritatea care ajung la Sucuri, deja au probleme sau suspectează o problemă în site-ul lor. Pentru bunăstarea voastră, am decis să publicăm o listă cu cele mai eficiente tool-uri de securitate, atât pentru căutarea și verificarea lor, cât și pentru rezolvarea acestora.
Înainte de a începe cu o listă cât Casa Poporului, am vrea să trecem rapid prin următorul checklist, obligatoriu, pentru orice persoană care întreține un site:
- Ai ultima versiune de WordPress?
- Ai ultima versiune de temă?
- Ai ultimele versiuni de module? (active și inactive!)
Dacă răspunsul este DA la toate 3, super, dacă nu, îți recomandăm să faci ceva în acest sens și să încerci o actualizare pentru ce ai nevoie; desigur recomandăm înainte de orice tip de mișcare o copie de rezervă a fișierelor și a bazei date.
Considerând că este totul actualizat și la zi, hai să ne asigurăm că este totul în regulă și din alte puncte de vedere, că poate hosting-ul nostru a uitat să lase patch-urile să ruleze în cPanel/WHM sau ce platformă mai folosește sau pur și simplu este un 0-day și nici nu a aflat de el (încă).
1. WordPress Security Scan
Printre cele mai simple tool-uri existente, este simplu și eficient, îți caută probleme des întâlnite la Hosting și WordPress.
2. Sucuri
Probabil cel mai bun tool la ora actuală, rata de detecție fiind destul de bună, de obicei dacă acesta nu dă o atenționare este OK, dar pentru confortul fiecăruia, recomandăm încercarea mai multor module.
3. Upguard
Este un nou-sosit din punctul nostru de vedere, am aflat și noi de el destul de târziu, recomandările sunt de ordinul nivelului de server și cum este privit din afară, site-ul tău.
4. WPNeuron
Frumos și rapid, așa ne place tuturor, mai ales ieftin sau chiar gratuit! Cam așa putem descrie wp neuron; își face treaba rapid și bine, o listă scurtă cu ce este în regulă și ce ar putea fi îmbunătățit.
În încheiere, ne simțim datori și cu o listă de module pentru asigurarea securității, dar lăsăm acest lucru pentru un articol viitor.
Dorim pe această cale să transmitem cititorilor noștrii că a avea un plan de securitate solid este un punct cheie în garantarea unui business cât mai stabil.
Dacă nu ai un plan de securitate, poți să ne ceri un audit gratuit aici sau dacă vrei să discutăm pe larg despre site-ul tău, ne poți contacta pe una din modalitățile de aici.
Securitatea WordPress in pasi tehnici
Unii dintre acesti pasi necesita cunostinte de programare, pe cand altii nu necesita programare, dar tot trebuie sa ai cunostinte tehnice.
Schimba numele implicit de utilizator „admin”
Numele de utilizator WordPress implicit pentru primul administrator este „admin”. Deoarece numele de utilizatori reprezinta jumatate din informatia de logare, acest fapt face treaba mai usoara pentru hackeri.
Din fericire, WordPress s-a schimbat intre timp si acum trebuie sa selectezi un nume de utilizator personalizat in timp ce instalezi WordPress. Insa, unele dintre instalarile WordPress cu un click, tot seteaza implicit numele de utilizator al administratorului in ‚admin”.
Dezactiveaza editarea fisierelor
WordPress vine cu un editor de coduri construit intern care iti permite sa editezi fisierele temelor si plugin-urilor din zona de administrare WordPress. In mainile gresite, aceasta calitate poate risca securitatea, de aceea noi recomandam sa-l opresti. Poti sa faci asta adaugand urmatorul cod in fisierul wp-config.php.
Dezactiveaza executarea fisierelor PHP in anumite directoare WordPress
Alta metoda de a intari securitatea ta WordPress este prin dezactivarea executarii fisierelor PHP in directoare unde nu este necesar precum /wp-content/uploads/. Poti face asta deschizand un editor text ca si Notepad sau Notepad++ si adaugarea codului acesta:
Dupa aceea, trebuie sa salvati acest fisier ca si .htacces si sa il incarcati in dosarele /wp-content/uploads/ pe site-ul tau web folosind un client FTP.
Limiteaza incercarile de logare
Implicit, WordPress permite utilizatorilor sa incerce sa se logheze de cate ori vor ei. Asta lasa vulnerabil site-ul tau WordPress la atacuri. Hackerii pot incerca sa-ti sparga parolele incercand sa se logheze cu diferite combinatii.
Puteti solutiona aceasta problema limitand incercarile de logare esuate facute de un utilizator. Daca folosesti firewall-ul web-aplicatie despre care am vorbit anterior intr-un alt articol, atunci acesta se va ocupa de asta Insa, daca nu ai firewall-ul setat, atunci procedeaza dupa urmatorii pasi.
Intai, trebuie sa instalezi si sa activezi plugin-ul Login LockDown.
Dupa activare, viziteaza pagina Setari » Login LockDown pentru a seta plugin-ul.
Adauga autentificare cu doi factori
Tehnica autentificarii cu doi factori necesita ca utilizatorul sa se logheze printr-o metoda cu doi pasi. Prima este numele de utilizator si parola si a doua necesita ca tu sa te autentifici folosind un dispozitiv sau aplicatie separata.
Intai, trebuie sa instalezi si sa activezi plugin-ul Two Factor Authentification. Dupa activare, trebuie sa dai click pe link-ul „Two Factor Auth” din bara laterala pentru administrator.
Dupa aceeea, trebuie sa instalezi si sa deschizi o aplicatie de autentificare pe telefonul tau. Exista cateva dintre ele disponibile precum Google Authenticator, Authy si LastPass Authneticator.
Noi recomandam sa folosesti LastPass Authenticator sau Authy deoarece ambele iti permit sa-ti faci copii de rezerva in cloud.
Noi vom folosi LastPass Authenticator in acest tutorial. Insa, instructiunile sunt similare pentru toate aplicatiile. Porneste aplicatia pentru autentificare si apoi da click pe butonul Add.
Vei fi intrebat daca doresti sa scanezi un site manual sau sa scanezi codul de bare. Selecteaza scanarea codului de bare si tine camera telefonului pe codul QR prezent pe pagina de setari a plugin-ului.
Asta este tot, aplicatia ta de autentificare va salva acum. Data viitoare cand te vei loga pe site-ul web, ti se va cere codul pentru autentificare cu doi factori dupa ce vei introduce parola.
Schimba Prefixul Bazei de Date WordPress
Implicit, WordPress foloseste wp_ ca si prefix pentru toate tabelele in baza ta de date WordPress. Daca site-ul tau WordPress foloseste prefixul implicit pentru baza de date, atunci va fi mai usor pentru hackeri sa ghiceasca care este numele tabelului tau. De aceea iti recomandam sa-l schimbi.
Protejeaza pagina de logare si de administrare WordPress prin parola
Normal, hackerii pot cere folderul tau wp-admin si se pot log afara vreo restrictie. Asta le permite sa-si incerce trucurile si sa lanseze atacurile DDOS.
Poti adauga o protectie cu parola suplimentara pe nivelul de server, ceea ce va bloca efectiv aceste cereri.
Dezactiveaza indexarea si navigarea directoarelor
Navigarea directoarelor poate fi folosita de hackeri pentru a gasi ai fisiere cu vulnerabilitate cunoscuta, asa ca ei pot profita de aceste fisiere sa faca rost de acces.
Navigarea directoarelor poate fi folosita si de alte persoane pentru a se uita in fisierele tale, copia imagini, pentru a gasi structura directoarelor si alte informatii. De aceea recomandam sa opresti indexarea si navigarea directoarelor.
Trebuie sa te conectezi la site-ul web folosind FTP sau managerul de fisiere cPanel. Dupa, localizeaza fisierul .htaccess in directorul radacina al site-ului tau web.
Dupa aceea, trebuie sa scrii urmatoarea linie la finalul fisierului .htcaccess:
Options –Indexes
Nu uita sa salvezi si sa incarci fisierul .htcacces inapoi pe site-ul tau.
Dezactiveaza XML-RPC in WordPress
XML-RPC a fost activat implicit in WordPress 3.5 deoarece ajuta la conectarea site-ului tau WordPress cu aplicatii web sau pe telefon.
Datorita naturii sale puternice, XML-RPC poate amplifica atacurile.
De aceea recomandam dezactivarea sa daca nu il folosesti.
Delogheaza automat utilizatorii WordPress inactivi
Utilizatorii logati pot pleca de langa ecran si asta poate reprezenta un risc de securitate. Cineva poate sa le controleze sesiunea, sa le schimbe parola sau sa faca schimbari contului.
Va trebui sa instalezi si sa activezi plugin-ul Inactive Logout. Dupa activare viziteaza pagina Setari» Inactive Logout pentru a configura setarile plugin-ului.
Setezi durata si adaugi un mesaj pentru delogare. Nu uita sa salvezi si sa stochezi setarile.
Adauga intrebari de securitate la ecranul de logare WordPress
Adaugand o intrebare de securitate ecranului tau de logare WordPress poti face totul mult mai greu pentru ca cineva sa acceseze neautorizat panoul de control.
Poti adauga intrebari de securitate instaland plugin-ul WP Security Questions. Dupa activare, trebuie sa accesezi pagina Setari» Security Questions pentru a-l configura.
Scaneaza WordPress pentru malware sau vulnerabilitati
Daca ai un plugin de securitate WordPress instalat, atunci acest plugin va verifica periodic pentru malware si semne de bresa in securitate.
Insa, daca vezi schimbari in traficul site-ului sau a pozitiei in cautare, atunci ai vrea sa pornesti o scanare manuala cu un plugin specializat cum ar fi Sucuri sau WordFence.
Despre pluginurile de securitate
Cele mai recomandate dintre pluginurile de securitate pentru un site WordPress sunt Wordfence si Sucuri. In acest articol vom face o comparatie intre cele doua pluginuri de securitate. Ambele au propriile avantaje, dezavantaje, functionalitati si costuri. Ambele ofera protectii impotriva incercarilor de autentificare in panoul WP, infectiilor si furtului de date.
Ca si proprietar de site-uri, trebuie sa iti alegi un plugin de securitate, dar in acelasi timp trebuie sa te asiguri ca ai gazduirea securizata. Prin urmare, atunci cand alegi gazduirea asigura-te ca au setarile serverului bine pus la punct. De obicei, in cPanel ai cateva setari de securitate care te pot ajuta sa imbunatatesti si mai mult securitatea site-ului tau.
In ceea ce priveste pluginul de securitate a site-ului tau trebuie sa alegi un plugin care nu necesita cunostinte tehnice pentru a-l seta. Tine cont de usurinta de folosire, firewall-ul, monotorizarea si notificarile, scanarea si curatarea site-ului.
Usurinta de folosire
Wordfence
Instalarea pluginului Wordfence este una usoara ca si a oricarui plugin. Acesta este gratuit si se poate si activa imediat dupa instalare. Va trebui sa oferi o adresa de email altfel nu vei reusi sa treci la partea cu setarile. Trebuie si sa fi de acord cu termenii si conditiile pluginului. Dupa aceea esti introdus intr-un mic ghid. Wordfence este usor de folosit, acesta avand mai multe optiuni cum ar fi panou, firewall, scan, unelte, securitatea pentru autentificare si altele.
Pluginul va porni singur firewallul care ca intra intr-un mod de invatare. De asemenea, va rula automat o scanare in fundal. In functie de dimensiunea site-ului tau, scanarea poate dura mai mult, dar vei primi o notificare la finalizarea ei. Daca apesi pe notificare vei putea sa vezi actiunile recomandate de plugin.
Pluginul propriu-zis este usor de folosite si nu necesita prea multe cunostinte. Interfata nu este foarte prietenoasa datorita numarului prea mare de optiuni. Aceasta poate parea usor dificila celor noi in domeniu, in special cand vor sa gaseasca anumite optiuni.
Sucuri
Sucuri ofera o interfata mai curata fara popup-uri aiurea care sa apara pe ecran. La activarea sa porneste si o scanare rapida si vei vedea notificarile in plugin.
Firewallul Sucuri este bazat pe cloud si nu ruleaza pe gazduirea site-ului tau. Practic nu ai nevoie de mentenanta. Trebuie insa sa adaugi un API pentru a configura DNS-ul domeniului tau. Prin Sucuri poti si sa activezi sau sa corectezi anumite setari daunatoare site-ului tau.
Firewall-ul
WAF sau numit si Aplicatia Firewall al site-ului monotorizeaza traficul de pe site si blocheaza amenintarile de securitate. Sunt mai multe moduri prin care se poate instala un WAF fie in cloud fie direct ca si aplicatie. Noi credem ca in cloud, firewall-ul este mai eficient.
Wordfence
WAF-ul Wordfence este instalat direct ca si aplicatie. Acesta monotorizeaza si blocheaza traficul malitios. Firewall-ul, in acest caz, ruleaza direct de pe server si este mai putin eficient decat unul pe cloud.
Implicit, Wordfence ruleaza in modul de baza WAF-ul. Asta inseamna ca firewall-ul ruleaza ca si un plugin de WordPress. Pentru a bloca un atac, WordPress-ul trebuie sa ruleze altfel nu poate rula firewall-ul. Acest proces poate fi unul ineficient din cauza numarului mare de resurse necesare.
Pentru a schimba asta trebuie, manual, sa modificam modul Wordfence in cel extins. Aici Wordfence poate monitoriza traficul inainte sa ajunga la instalatia WordPress. Din nefericire, Wordfence poate bloca doar traficul care a ajuns la gazduire. In cazul unui atac DDOS sau unul brut, resursele vor fi afectate.
Sucuri
Sucuri vine cu un firewall cloud care poate bloca traficul inainte sa ajunga la gazduire. Astfel castigi resurse si imbunatatesti viteza de incarcare a site-ului tau. Sucuri are CDN-uri in mai multe zone geografice, lucru care te ajuta la viteza acum. Odata ce ai setat firewall-ul acesta functioneaza fara sa schimbi vreun mod. In Sucuri nu exista mai multe moduri. Acesta te va proteja de DDOS, dar si de incercari de autentificare.
Sucuri are un algoritm robust de invatare suficient de sofisticat incat sa previna falsele pozitive.
Monotorizare si notificari
Ar trebui mereu sa stii cand ceva nu merge bine sau cand sunt probleme sau lucruri de imbunatati la site. O problema la securitate te poate costa bani. Pentru a primi notificari de acest tip trebuie sa verifici setarile pluginurilor de securitate. De asemenea, WordPress trebuie sa poata sa iti trimita mailuri. Pentru a evita eventualele probleme, asigura-te ca ai si un plugin SMTP pentru mailuri.
Wordfence
Wordfence are un sistem excelent de notificare si alertare. Pentru inceput, prezenta notificarilor este evidentiata in meniul WordPress aparand numarul lor pe fundal galben. In functie de severitatea acestora, fundalul poate diferi.
Wordfence trimite si pe mail aceste notificari destul de rapid. Setarile pentru aceasta functionalitate le gasesti la Email Alert Preferences unde poti bifa ce mailuri sa primesti.
Sucuri
Si Sucuri afiseaza notificarile direct pe panoul sau. In partea de sus din dreapta vei putea sa vezi statusul. Iar sub ai acces la sanatatea site-ului si la audit. Sucuri are un sistem complet de alerta.
Pentru email, poti adauga adresa de email si poti seta la cat timp sa primesti alerte impreuna cu motivele.
Scanarea de virusi
Ambele pluginuri au functionalitatea de a scana site-ul pentru virusi, fisiere schimbate sau cod dubios.
Wordfence
Cu un scanner puternic, Wordfence reuseste sa scaneze in versiunea gratuita destul de bine. Trebuie sa stii ca scannerul sau este personalizabil si il poti seta astfel incat sa nu manance prea mult din resursele gazduirii tale. Implicit este deja limitat. In versiunea gratuita, Wordfence va programa o scanare pentru tine. In versiunea premium, utilizatorii pot scana cand doresc.
Wordfence poate verifica si pluginurile si tema astfel incat fisierele acestora sa se potriveasca chiar cu fisierele originale.
Sucuri
Pentru scannerul Sucuri ai nevoie de un API care automat va verifica site-ul tau. Acesta va verifica si integritatea fisierelor WordPress. Scannerul este gratuit si verifica si dupa cod malitios sau virusi.
Curatarea site-ului
Sa cureti un site virusat sau hack-uit nu este asa usor. Fisierele pot fi injectate sau poti sa fi blocat din propriul tau site. In plus poti avea fisiere virusate.
Curatarea manuala poate dura prea mult timp sau poate sa nu fie eficienta 100%.
Wordfence
Wordfence vine cu un sistem de curatare a site-ului neinclus in planul gratuit, dar nici in cel cu plata. Acesta este un serviciu separat. Procesul este unul direct care incepe cu o scanare si apoi se incepe curatarea fisierelor infectate.
Echipa lor va investiga si cum au accesat hackeri site-ul. Vei primi un raport detaliat la final.
Sucuri
Toate versiunile platite de Sucuri includ si curatarea site-ului. Poti sa repari atat problemele de SEO, de firewall, cat si de virusi. Acestia vor gasi codul malitios, fisierele de acces si nu numai.
© 2026 - Toate drepturile rezervate.