8 cerinte minimale pentru un site securizat pe platforma WordPress

Sunt sigur ca cei mai multi dintre detinatorii si realizatorii de websites s-au gandit ce setari sau cerinte minimale sunt necesare pentru a avea un site securizat. Iata ca cei de la WordFence au raspuns unei astfel de intrebari folosind 11 puncte pe care ei le considera vitale.

Cum Wordfence este foarte bun in ceea ce face dar doreste, evident, sa faca si profit, vanzand serviciile Premium (ceea ce este ok, evident), am refacut numaratoarea in 8 puncte pe care le consider, din experienta de pana acum, esentiale. Iata care sunt acestea:

1. Serviciu de hosting de calitate.

Desi uneori ni se pare evident, trecem peste acest principiu de baza, acela ca securizarea incepe cu securitatea serverului.  Un serviciu de hosting profesionist trebuie sa aiba, pe langa spatiu mare de gazduire si trafic nelimitat, propriile masuri de securitate.

Dar nu numai atat. Asigurarea de back-up la cerere, segregat pe alte servere decat cele pe care se afla site-ul sau contul de reseller, este vital pentru a nu pierde date importante. Deasemenea, instalarea de certificate SSL/HTTPS imbunatateste radical atat securitatea site-ului cat si pozitia acestuia pe motoarele de cautare.

2. Doar ultimele versiuni WTP si numai din ceea ce aveti nevoie.

Folosirea ultimelor versiuni de WTP (wordpress, teme si pluginuri) se face usor accesand paginile si facand download la ceea ce va pun realizatorii la dispozitie. Temele cumparate se intaleaza doar folosind versiunea din ziua in care acestea sunt urcate pe site, iar curatarea temei dupa instalarea demo-urilor este esentiala pentru indexarea corecta si pentru a asigura doar informatiile necesare. Acest punct este pentru realizatorii de website-uri pe platforme wordpress, dar si pentru cei care doresc sa treaca site-urile vechi pe astfel de platforme.

3. Mentine WTP actualizate permanent.

Dupa realizarea si predarea site-ului, proprietarul acestuia sau administratorii de site au obligatia de a actualiza permanent platforma, tema si pluginurile. Daca doriti sa nu va bateti capul cu aceste actualizari puteti incarca un plugin de actualizare automata insa, din experienta personala, nu recomand la orice fel de site-uri. Mai ales pentru cele care au specific de comert electronic. Si nu numai.

Pentru ceilalti, recomand folosirea unui serviciu profesional de administrare site. Acestia stiu cel mai bine cand sa faca un update, folosind serviciul de informare Wordfence.

4. Folositi parole puternice si niciodata aceleasi.

WordPress are un indicator de putere pentru parole insa cei mai multi nu il folosesc, dorind sa utilizeze in continuare parole de nivem mediu si scazut: nume, data nasterii, numele copiilor, adresa de email sau combinatii intre acestea.

Cel mai indicat este sa folositi parole puternice si neintuitive. Respectiv pe cele care contin litere mari si mici, numere si caractere speciale, dar nu mai putin de 8 din acestea. Si niciodata nu utilizati aceeasi parola pentru acces pe site, pentru setarile wp-config (parola user MySQL) si pentru email.

Diferite, iar la interval de 2-3 luni, aceste parole trebuiesc schimbate.

5. Protectie de acces pe layere sau two-factor authentication

Asa cum probabil stiti, Google, Facebook sau Yahoo folosesc pentru acces, mai ales de pe alt dispozitiv (tableta, telefon, laptop, etc) sau din alta ocatie, trimiterea de coduri de atutentificare pe telefon.

WordPress are pluginuri care permit accesul de pe conturile de facebook, Gmail sau Yahoo, precum si tip two-factor authentication, insa recomand folosirea unui cont de acces cu user ales neintuitiv, cu o parola puternica si instalarea unui plugin captcha ca al doilea nivel de securitate. Pana acum nu am avut probleme in acest sens. Pentru o mai buna intelegere puteti citi si punctul urmator.

6. Managementul corect al conturilor de acces.

Managementul cuprinde raspunsul la mai multe intrebari: cine se poate loga pe site?, cine alege parola? cine administreaza conturile deja existente?

WordPress permite utilizatorilor externi sa isi creeeze conturi de acces, crearea acestora automata la prima comanda sau la primul comentariu, ori poate bloca si una si alta. Setarea acestor facilitati si nivelul de acces pe site a utilizatorilor la crearea de conturi trebuie setata corect, dand permisiuni minime utilizatorilor noi.

Al doilea aspect tine de numarul de utilizatori care au acces de nivel administrator la site. De regula acest numar nu trebuie sa sara de 2 utilizatori. Ceilalti pot avea conturi de autor sau contributor, ori se pot acorda facilitati mai multe sau mai putin folosind pluginuri de management.

Iar al treilea aspect tine de stergerea conturilor vechi si nefolosite. De regula acestea se folosesc pe site-urile care folosesc servicii de newslettere. Este bine ca, dupa stocarea datelor importante intr-o baza de date de tip tabelar, conturile mai vechi de cateva luni sa fie sterse. Mai ales cele cu vulnerabilitati de gen „admin”, „1234” sau similare.

7. Serviciu de administrare website profesionist pentru update.

Daca aveti cunostinte avansate in domeniu puteti folosi setarile de actualizare automata a WTP.  Insa nu toti avem aceleasi abilitati. Astfel ca, din experienta spun, pot exista probleme in urma actualizarilor automate. Sunt pluginuri care, in versiunea noua poate crea conflicte cu celelalte (cel mai des am observat ca cele de editare text si cele de securizare au astefl de buguri) si, pana la actualizarea pluginului care a creat probleme, site-ul poate fi neutilizabil sau poate afisa pagina alba. Un serviciu de administrare site care sa includa si hosting este cea mai buna alegere pentru astfel de situatie.

8. Instalarea unui firewall si a unui malware scan pentru WordPress

Pentru firewall si malware recomand pluginul Wordfence. De departe este cel mai bun plugin de acest fel. Facand setarile corecte dupa instalare, Wordfence va scana periodic site-ul si va trimite pe email rapoartele necesare unei bune administrari si securizari.
Mai jos puteti urmari si recomandarile Worfence pentru a avea un site securizat.