WordPress Security: Разговор с експертът Габриела Савова

В този текст ще намерите темите, които обсъждаме в това видео, като си позволявам и да оставя няколко много полезни линка от блога на SH. Препоръчвам ви да следите блоговете на вашия хостинг провайдър, защото обикновено добрите такива публикуват полезни материали, които да ви помогнат. Не забравяйте да ползвате и промо кода ми, ако сте или ще станете клиент на SuperHosting – OLEG10

1. Как да разберем дали #WordPress сайта ни е защитен и какви мерки да предприемем.

o Еднократни проверки:

Защита на администрацията (сила на парола, потребителско име, защита по IP), видимост на версията на WordPress, защита на директорията с медийните файлове, защита на функциите на XML-RPC. Тези проверки могат да се извършат през инструментyt WordPress Manager – “Проверки за сигурност”.: ЛИНК ако ползвате услугите на SuperHosting.

o Проверките могат да бъдат регулярни: Проверки за налични нови версии на плъгините, темата и ядрото: ЛИНК

o Използване на антивирусна програма на компютрите и регулярно сканиране.

2. Как ни защитава хостинг провайдъра? o Какво е WAF? – Защита на ниво уеб сървър, предпазваща от най-масовите уязвимости в системите. o Как добрия хостинг провайдър трябва да се грижи за клиентите си?

– Трябва да разполага със солиден WAF! В WAF са заложени критерии за: неутрализиране на BruteForce атаки, уязвимости в плъгини, сканиране на POST и FTP upload заявки в реално време.

o DDOS защита, която засича 96% от познатите типове DDoS атаки (повече информация тук).

o Системата за сигурност:  Пример за защитите, които SH предлагат: Наличие на пропуск в кода на плъгина:  Защита от Bruteforce

o Не на последно място извършване на сканиране за злонамерен код

3. Трябва ли да ползваме SSL ако нямам електронен магазин и чувствителни данни и информация? – SSL сертификатът е важно и задължително условие за всеки сайт. Той обаче не предпазва акаунта от пропуски в кода на системите, прихващане на пароли, bruteforce атаки и т.н.

4. Как се осъществява злонамерения пробив в сайтове: • Прихванати/налучкани пароли на cPanel, FTP, администрацията и имейл акаунтите. Често се използват лесни за налучване пароли или една и съща парола за достъп до различни акаунти и сайтове.

o Експлойти – Открита уязвимост в кода на системата, плъгините и темите. Например посоченият в точка 2 пропуск в сигурността на плъгина ThemeGrill Demo Importer дава възможност на нелогнати потребители да изтрият цялата информация в базата данни

o Nulled теми и плъгини – Нулната (nulled) тема/плъгин означава, че тя е пиратско копие на оригиналния софтуер, който се предлага с платен лиценз. Във файловете на темата(или плъгина) се прикрива злонамерен код, който може да се изпълни при инсталацията или да бъде използван в последствие за компрометиране на съдържанието.

5. Да ползвам ли Security плъгин и кой? – Тук мога да посочя най-често ползваните плъгини за сигурност от нашите потребители (iThemes Security, Wordfence, All In One WP Security & Firewall, Limit Login Attempts ). Въпреки това смятам, че по-важно е да се избере надежден хостинг, който да те защити на сървърно ниво. Също така по приоритетно е да бъдат взети мерки спрямо 1-ва точка.

6. Какъв е ефектът на хакването? –

o Изпращане на спам

o Компрометиране на съдържанието

o Добавяне на нежелани реклами или директно пренасочване към трети сайтове

o Deface-нат сайт или изцяло занулен

o Фишинг

o Финансови измами

7. Хакнат съм, ами сега?

o Какво трябва да се предприеме:

o Изчистване на злонамерения код от сайта след хакването. В повечето случаи, добрите хостинг компании се грижат за това SH в моя случай не са изключение.

o Премахване на плъгини и теми, които не се ползват и обновяване на тези които използват неактуални версии. Колко важно е ъпдейтването на тема, ядро и плъгини – Използването на актуални версии на темите и плъгините е необходимо особено при наличие на Security update. Важно е обаче обновяването да се направи, но трябва да се проследи и за несъвместимости.

Абонирай се за YouTube канала ми

Още от Олег Петров:

SERP Conf. Sofia 2025: AI и бъдещето на SEO (с промокод за отстъпка!)

SERP Conf. Sofia 2025: AI и бъдещето на SEO (с промокод за отстъпка!)

Имам страхотна новина - поканен съм да стана Brand Ambassador на SERP Conf. Sofia 2025! Нещо, което съм бил винаги, макар и не официално. SERP Conf. е може би най-значимото събитие за SEO специалисти в България, а аз съм развълнуван да бъда част от него за поредна...

DiveWP – Моят плъгин, с който ще научите най-добрите практики за оптимизиране на WordPress!

DiveWP – Моят плъгин, с който ще научите най-добрите практики за оптимизиране на WordPress!

DiveWP 2 Beta – Моето Любовно Писмо към WordPress Общността Днес с огромно вълнение и благодарност към общността, която ме е изградала като експерт, ви представям DiveWP – новият ми плъгин, създаден с мисъл за всеки, който иска да направи своя WordPress сайт по-бърз,...

Причини да не пропускате WordCamp Sofia 2024

Причини да не пропускате WordCamp Sofia 2024

  WordCamp не е просто поредната конференция. Това е събитие, което има уникална програма, собствена философия и следва принципите и етичния кодекс на WordPress общността. Преди да навлезем в детайлите за WordCamp Sofia, нека първо разберем какво всъщност е...