De cele mai multe ori, când vorbim despre un website compromis, este vorba de o pagină care are la bază un CMS (content management system, cum ar fi WordPress, Joomla, Drupal etc.), care fie nu a fost securizat de la instalarea inițială, fie nu a fost actualizat.

Astăzi vom discuta despre cele mai bune metode de securizare a website-ului tău, dar și despre cum să menții o securitate cât mai ridicată.

Principalele idei pe care le voi acoperi astăzi sunt urmatoarele:

  1. Cum să instalezi WordPress-ul astfel încât să ai website-ul securizat încă de la început?
  2. Cum să îți menții website-ul securizat. Cele mai bune practici
  3. Cum să îți salvezi backup-ul local și cum să restaurezi website-ul
  4. Plugin-uri recomandate pentru a-ți spori securitatea website-ului

Cum să instalezi WordPress-ul astfel încât să ai website-ul securizat încă de la început?

Se dă următorul scenariu: ești pasionat de fotografie, ai o întreagă colecție de poze pe care vrei sa le împărtășești cu prietenii tăi, și de ce nu, cu întreaga comunitate online. Cea mai bună soluție este să îți faci un website, însă nu ești o persoană foarte tehnică și acest subiect te depășește.

La o scurtă căutare pe internet, descoperi WordPress, cel mai popular CMS, pentru care nu trebuie să fii un internet power user. Îl instalezi, alegi o temă propusă de cei de la WordPress, și te apuci de publicat poze. Câteva zile mai târziu, când incerci să adaugi mai multe poze pe website-ul tău, observi că totul este schimbat, și acum este o pagină de tip phishing, a unei bănci renumite din România.

Din păcate, website-ul tău a fost compromis, și acum cineva se folosește de el pentru a fura datele confidențiale a unor persoane.

Pentru a nu ajunge în această situație, îți propun să citești recomandările prezentate mai jos.

Serviciile de gazduire web de la Hosterion vin cu o soluție rapidă pentru instalarea WordPress, folosind Softaculous:

Câteva recomandări pentru o instalare cu Softaculous sunt următoarele:

  1. Schimbă numele utilizatorului „admin”. Folosește un nume unic
  2. Activează pluginul „Loginizer”. Acest plugin va bloca tentativele de bruteforce
  3. Activează actualizarea automată a CMS-ului, temei și a pluginurilor, accesând tabul „Advanced Options”

Cum să menții website-ul securizat. Cele mai bune practici

În cazul în care ai un webiste care are la bază WordPress și vrei să te asiguri de o securitate sporită, îți recomand să verifici pașii de mai jos.

Schimbă numele user-ului „admin”. Pentru acest lucru, din fericire, există mai multe soluții.

Ai putea să îl schimbi direct din panoul de administrare WordPress, prin adăugarea unui nou user + șteregerea userului curent:

Primul pas este să accesezi „Users” -> „Add new” din pagina de administrare WordPress.

Trebuie să ai în vedere că pentru a putea șterge userul inițial, trebuie să te deloghezi și să te autentifici în pagina de administrare cu userul adăugat anterior. De asemenea, pentru a nu pierde contentul adăugat până acum îți recomand să bifezi attribute all content to: (userul nou).

O altă metodă este să folosești pluginul Username Changer. După instalarea acestuia, tot ce trebuie să faci este să mergi la tabul „Users”și să selectezi „Username Changer”.

Pluginul este intuitiv, dar dacă nu te descurci, ne poți contacta și te ajutăm noi cu instalarea și configurarea acestuia.

O altă măsură de precauție este să blochezi accesul la pagina wp-admin. Pentru acest lucru vom folosi „Directory Privacy” din panoul de control:

Unde avem urmatoarele:

user: user-ul contului de cPanel

folder_radacina: calea către folderul unde ai instalat website-ul

Adițional, trebuie să adăugam și un fișier .htaccess în wp-admin, care să conțină urmatoarele:

AuthName "Admins Only"
AuthUserFile /home/user/folder_radacina/.htpasswds/public_html/wp-admin/passwd
AuthGroupFile /dev/null
AuthType basic
require user adm1nstr8r
ErrorDocument 401 default

După aceste setări, accesarea paginii de autentificare în panoul de administrare WordPress, ar trebui să îți afișeze următoarea fereastră:

 

Pe lânga recomandările menționate anterior, poți schimba chiar și adresa la care te autentifici în panoul de administrare WordPress. Majoritatea boților scanează după aceste pagini (domeniu.tld/wp-login.php sau domeniu.tld/wp-admin) și încearcă să forțeze autentificarea prin bruteforce.

Poți schimba adresa acestor pagini folosind pluginul Wps Hide Login. După ce ai instalat acest plugin, trebuie să mergi pe Setări.

Acolo vei putea schimba adresa paginii de autentificare în ce dorești tu:

Când vine vorba de pluginuri, este foarte important să verifici cât de des sunt actualizate acestea, dar și cât de populare sunt. Un plugin care nu este actualizat des îți poate cauza breșe de securitate. Aceste informații sunt disponibile pe pagina oficială WordPress dar și din panoul de administrare, secțiunea Plugins.

Cum să îți activezi backup-ul local și cum să restaurezi website-ul

În cazul în care nu știai deja, la Hosterion salvăm în fiecare seară un backup al întergului cont de găzduire, care rămâne păstrat pe serverele noastre pentru o perioadă de 30 de zile. Chiar și așa, îți recomandăm ca înainte de fiecare upgrade major al website-ului (fie că este vorba de upgrade al WordPress-ului, sau al pluginurilor / temei) să îți salvezi și tu un backup local.

Pentru a face acest lucru, ai două posibilități:

  1. Folosind backup wizzard din cPanel.
  2. Folosind un client de FTP (fillezilla, winscp, etc).

Pentru a salva o copie de siguranță a website-ului tău folosind opțiunea backup wizzard din cPanel, trebuie să urmărești pașii de mai jos:

  1. Te loghezi în panoul de control
  2. Click pe opțiunea “Backup” sau “Copie de rezervă”
  3. Selectezi “Download a Full Website Backup” sau “Descarcă copie de rezervă completă a site-ului”
  4. În momentul în care backup-ul se finalizează vei primi o notificare pe adresa de email introdusă, moment în care poți începe descărcarea backup-ului  contului de găzduire
  5. Accesezi Home Directory si o să îți deschidă o fereastră pentru descărcarea backupului.

Pentru a descărca o copie de siguranță folosind un client de FTP (cum ar fi Filezilla sau WinSCP), îți recomand să faci mai întâi o arhivă din File Manager, urmărind pașii de mai jos:

  1. Te loghezi în panoul de control
  2. Click pe optiunea „File Manager” sau „Manager de fișiere”
  3. Mergi în folderul unde ai instalat WordPress-ul
  4. Selectezi toate fișierele folosind butonul „Select All”
  5. Din meniul de sus alegi compress

Ulterior, te poți conecta prin FTP la serverul unde este găzduit contul tău și poți descărca arhiva.

Pe lângă backup-ul fișierelor, este foarte important să salvezi și un backup al bazei de date. Cea mai simplă metodă este să folosirea „Backup Wizzard” din cPanel.

  1. Te loghezi în contul de cPanel
  2. Accesezi opțiunea „Backup Wizzard”
  3. Accesezi „Backup”
  4. De la „Select Partial Backup” -> „Mysql Databases”
  5. Din lista cu bazele de date disponibile,  click pe baza de date folosită de website-ul tău.

După acești pași, ar trebui să se descarce baza de date sub formatul „nume_database.sql.gz”

Îți recomand să citești și acest articol care subliniază importanța backup-urilor.

Pentru restaurarea datelor, îți recomand să urmești pașii de mai jos:

  1. Te loghezi în contul de cPanel
  2. Accesezi opțiunea „Backup Wizzard”
  3. Accesezi „Restore”
  4. Click pe Home Directory -> adaugi copia de siguranță salvată folosind opțiunea de backup din cPanel
  5. Te întorci la meniul anterior -> Click pe Mysql Database -> adaugi arhiva sql.gz salvată anterior

Dacă ai un backup salvat prin FTP, tot ce trebuie să faci este sa stergi toate fișierele actuale și să le înlocuiești cu cele descărcate prin FTP.

Pentru restaurarea bazei de date, poți să folosești Backup Wizzard, respectând pașii descriși anterior.

În continuare, o să îți las o listă de pluginuri pe care le recomandăm noi (plugin-uri care au fost și folosite în această postare):

În cazul în care găsești acest subiect interesant, nu ezita să ne lași un comentariu cu opinia ta. Dacă ai întrebări sau completări legate de securitatea website-ului tu,  de asemenea te îndemnăm să le împărtășești cu noi.