Unii dintre acesti pasi necesita cunostinte de programare, pe cand altii nu necesita programare, dar tot trebuie sa ai cunostinte tehnice.
Schimba numele implicit de utilizator „admin”
Numele de utilizator WordPress implicit pentru primul administrator este „admin”. Deoarece numele de utilizatori reprezinta jumatate din informatia de logare, acest fapt face treaba mai usoara pentru hackeri.
Din fericire, WordPress s-a schimbat intre timp si acum trebuie sa selectezi un nume de utilizator personalizat in timp ce instalezi WordPress. Insa, unele dintre instalarile WordPress cu un click, tot seteaza implicit numele de utilizator al administratorului in ‚admin”.
Dezactiveaza editarea fisierelor
WordPress vine cu un editor de coduri construit intern care iti permite sa editezi fisierele temelor si plugin-urilor din zona de administrare WordPress. In mainile gresite, aceasta calitate poate risca securitatea, de aceea noi recomandam sa-l opresti. Poti sa faci asta adaugand urmatorul cod in fisierul wp-config.php.
Dezactiveaza executarea fisierelor PHP in anumite directoare WordPress
Alta metoda de a intari securitatea ta WordPress este prin dezactivarea executarii fisierelor PHP in directoare unde nu este necesar precum /wp-content/uploads/. Poti face asta deschizand un editor text ca si Notepad sau Notepad++ si adaugarea codului acesta:
Dupa aceea, trebuie sa salvati acest fisier ca si .htacces si sa il incarcati in dosarele /wp-content/uploads/ pe site-ul tau web folosind un client FTP.
Limiteaza incercarile de logare
Implicit, WordPress permite utilizatorilor sa incerce sa se logheze de cate ori vor ei. Asta lasa vulnerabil site-ul tau WordPress la atacuri. Hackerii pot incerca sa-ti sparga parolele incercand sa se logheze cu diferite combinatii.
Puteti solutiona aceasta problema limitand incercarile de logare esuate facute de un utilizator. Daca folosesti firewall-ul web-aplicatie despre care am vorbit anterior intr-un alt articol, atunci acesta se va ocupa de asta Insa, daca nu ai firewall-ul setat, atunci procedeaza dupa urmatorii pasi.
Intai, trebuie sa instalezi si sa activezi plugin-ul Login LockDown.
Dupa activare, viziteaza pagina Setari » Login LockDown pentru a seta plugin-ul.
Adauga autentificare cu doi factori
Tehnica autentificarii cu doi factori necesita ca utilizatorul sa se logheze printr-o metoda cu doi pasi. Prima este numele de utilizator si parola si a doua necesita ca tu sa te autentifici folosind un dispozitiv sau aplicatie separata.
Intai, trebuie sa instalezi si sa activezi plugin-ul Two Factor Authentification. Dupa activare, trebuie sa dai click pe link-ul „Two Factor Auth” din bara laterala pentru administrator.
Dupa aceeea, trebuie sa instalezi si sa deschizi o aplicatie de autentificare pe telefonul tau. Exista cateva dintre ele disponibile precum Google Authenticator, Authy si LastPass Authneticator.
Noi recomandam sa folosesti LastPass Authenticator sau Authy deoarece ambele iti permit sa-ti faci copii de rezerva in cloud.
Noi vom folosi LastPass Authenticator in acest tutorial. Insa, instructiunile sunt similare pentru toate aplicatiile. Porneste aplicatia pentru autentificare si apoi da click pe butonul Add.
Vei fi intrebat daca doresti sa scanezi un site manual sau sa scanezi codul de bare. Selecteaza scanarea codului de bare si tine camera telefonului pe codul QR prezent pe pagina de setari a plugin-ului.
Asta este tot, aplicatia ta de autentificare va salva acum. Data viitoare cand te vei loga pe site-ul web, ti se va cere codul pentru autentificare cu doi factori dupa ce vei introduce parola.
Schimba Prefixul Bazei de Date WordPress
Implicit, WordPress foloseste wp_ ca si prefix pentru toate tabelele in baza ta de date WordPress. Daca site-ul tau WordPress foloseste prefixul implicit pentru baza de date, atunci va fi mai usor pentru hackeri sa ghiceasca care este numele tabelului tau. De aceea iti recomandam sa-l schimbi.
Protejeaza pagina de logare si de administrare WordPress prin parola
Normal, hackerii pot cere folderul tau wp-admin si se pot log afara vreo restrictie. Asta le permite sa-si incerce trucurile si sa lanseze atacurile DDOS.
Poti adauga o protectie cu parola suplimentara pe nivelul de server, ceea ce va bloca efectiv aceste cereri.
Dezactiveaza indexarea si navigarea directoarelor
Navigarea directoarelor poate fi folosita de hackeri pentru a gasi ai fisiere cu vulnerabilitate cunoscuta, asa ca ei pot profita de aceste fisiere sa faca rost de acces.
Navigarea directoarelor poate fi folosita si de alte persoane pentru a se uita in fisierele tale, copia imagini, pentru a gasi structura directoarelor si alte informatii. De aceea recomandam sa opresti indexarea si navigarea directoarelor.
Trebuie sa te conectezi la site-ul web folosind FTP sau managerul de fisiere cPanel. Dupa, localizeaza fisierul .htaccess in directorul radacina al site-ului tau web.
Dupa aceea, trebuie sa scrii urmatoarea linie la finalul fisierului .htcaccess:
Options –Indexes
Nu uita sa salvezi si sa incarci fisierul .htcacces inapoi pe site-ul tau.
Dezactiveaza XML-RPC in WordPress
XML-RPC a fost activat implicit in WordPress 3.5 deoarece ajuta la conectarea site-ului tau WordPress cu aplicatii web sau pe telefon.
Datorita naturii sale puternice, XML-RPC poate amplifica atacurile.
De aceea recomandam dezactivarea sa daca nu il folosesti.
Delogheaza automat utilizatorii WordPress inactivi
Utilizatorii logati pot pleca de langa ecran si asta poate reprezenta un risc de securitate. Cineva poate sa le controleze sesiunea, sa le schimbe parola sau sa faca schimbari contului.
Va trebui sa instalezi si sa activezi plugin-ul Inactive Logout. Dupa activare viziteaza pagina Setari» Inactive Logout pentru a configura setarile plugin-ului.
Setezi durata si adaugi un mesaj pentru delogare. Nu uita sa salvezi si sa stochezi setarile.
Adauga intrebari de securitate la ecranul de logare WordPress
Adaugand o intrebare de securitate ecranului tau de logare WordPress poti face totul mult mai greu pentru ca cineva sa acceseze neautorizat panoul de control.
Poti adauga intrebari de securitate instaland plugin-ul WP Security Questions. Dupa activare, trebuie sa accesezi pagina Setari» Security Questions pentru a-l configura.
Scaneaza WordPress pentru malware sau vulnerabilitati
Daca ai un plugin de securitate WordPress instalat, atunci acest plugin va verifica periodic pentru malware si semne de bresa in securitate.
Insa, daca vezi schimbari in traficul site-ului sau a pozitiei in cautare, atunci ai vrea sa pornesti o scanare manuala cu un plugin specializat cum ar fi Sucuri sau WordFence.
© 2025 - Toate drepturile rezervate.