Wordpress

Segurtasun-zerrenda sinplea WordPress guneetarako

Ba al zenekien 100,000 webgune baino gehiago pirateatzen direla egunero? Hori bai, ziberkrimena mehatxu larria da edozein enpresarentzat, eta WordPress gune bat duen edonor ere ez dago seguru. Hackerrekin bat egin dut (eta nire WordPress gunea berreskuratu behar izan dut), eta ziurrenik badakizu itsusia zela.

Hackerrak aktiboki bilatzen ari dira diru-irabazi edo asmo maltzur hutsagatik askatu ditzaketen datuak hautsi eta lapurtzeko webgune ahulen bila. Zure burua eta zure gune preziatua babesteko, serioski pentsatu beharko zenuke zure WordPress segurtasuna gogortzea.

Hackerrak zure webgunean sartzen direnean diru-sarrerak, denbora eta ahalegina galduko dituzula kontuan hartuta, hurrengo segurtasun-zerrenda sortu dugu zure WordPress webgunea ziurtatzeko erabil dezakezuna. Argitalpeneko segurtasun-elementu guztiak nahiko errazak dira ezartzeko lehen aldiz hasi direnentzat ere:

  1. Eguneratu WordPress
  2. Eguneratu gaiak eta pluginak
  3. Erabili pasahitz esklusiboak eta sendoak
  4. Instalatu WordPress Segurtasun Plugin bat
  5. Aukeratu WordPress Hosting bikaina
  6. Erabili SSL (HTTPS)
  7. Sortu gunearen babeskopia osoa
  8. Erabili Web Aplikazioen Firewall (WAF)
  9. Desgaitu fitxategien edizioa WordPress-en administratzailean
  10. Seguru zure saioa hasteko orria
  11. Gehitu autentifikazioa
  12. Amaitu saioa Erabiltzaile inaktiboak
  13. Bilatu malwarea eta arazoak bilatzeko
  14. Erabili VPN bat

Ikusten duzun bezala, mezua hainbat zatitan banatuko dugu, ostalari seguru bat hautatzetik zure administrazio-eremua eta beste batzuk gogortzeraino. Segurtasun-zeregin batzuk errepikatu beharko dituzu, adibidez, zure gaiak aldizka eguneratzea. Beste zeregin batzuk gauza bakarrak dira, baina oraindik ere eragin handia dute zure webgunea seguru mantentzeko. Egiaztatu zer konpondu behar duzun, eta egin berehala hackerrek ere ez baitute denbora galtzen.

WordPress Segurtasun-zerrenda sinplea

1. Eguneratu WordPress

WordPress-eko nukleoa aldizka ikuskatu eta egiaztatzen da segurtasun ahultasunen bat dagoen. Segurtasun akatsak eta akatsak hautematen badira, oinarrizko garatzaileek normalean mantentze-eguneratzeak kaleratzen dituzte. Eguneratze txikiak zure WordPress webgunean instalatzen dira automatikoki.

Hala ere, WordPress eskuz eguneratu beharko duzu bertsio nagusi guztietan. Prozesu nahiko erraza da zure WordPress-eko administratzailean mezu gogor bat jasotzen duzunetik. Webguneen % 22k bakarrik exekutatzen du WordPress-en azken bertsioan, eta hori tristea da eguneratzea zein erraza den kontuan hartuta.

Ez izan gainerako %78an zure webgunea ez eguneratuz gero, zure webgunea era guztietako erasoetara erakusten ari zarelako. Normalean, hackerrak dira bertsio zaharretako edozein ahultasunen berri jasotzen duen lehen pertsona taldea, erasoak arrakastatsuak abiarazteko akatsekin kontatzen baitute.

WordPress eguneratu aurretik bertsio-oharrak irakurtzea gomendatzen dugu zer aldatu den ikusteko eta zure webgunearen babeskopia egitea (seguru izateko). Modu honetan, eguneratze-botoi hori sakatzean zer espero duzun, eta hutsegite-segurtasun bat duzu ezer okertuko balitz.

2. Eguneratu Gaiak eta Pluginak

WordPress nukleoa eguneratzen duzun bitartean, ez ahaztu gaiak eta pluginak ere eguneratzea. Hackerrek bereziki gustuko dituzte segurtasun-zulo ezagunak dituzten gai zaharrak eta pluginak.

Segurtasun ahultasun hauek ustiatzen dituzte eta gai edo plugin zahar batean atzeko ate bat ere ezkutatu dezakete. Ez baduzu eguneratzen, zure webgunea hackeatu dezakete nahi dutenean.

Zure estilo pertsonalizatuak ez galtzeko, gomendatzen dugu WordPress haurrentzako gaia erabiltzea gurasoaren gaiaren aurka. Horrela, ez dituzu pertsonalizazioak galduko gaia eguneratzen duzunean.

Gainera, ezabatu behar dituzu gai inaktiboak, pluginak eta erabili gabeko WordPress instalazioak. Banda zabalera aurreztuko duzu eta zure webgunea bizkorragoa izango ez ezik, hackerrak urrun mantenduko dituzu.

Beste ohar bizkor bat, ez deskargatu "nuled" premium gaiak eta pluginak. Joan iturri fidagarriekin soilik, hala nola WordPress.org, Envato edo izen handiko beste gai-denda.

3. Erabili pasahitz bakarrak eta sendoak

Harritu egingo zara webgune gehienak hackeatzen direla jakiteak, gaiztoek zure saioa hasteko informazioa lapurtzen dutenean. Gainera, indar gordineko erasoak nahiko ohikoak dira eta zure saioa hasteko orria milaka erabiltzaile-izen eta pasahitz konbinaziorekin bonbardatzea dakar, zerbait eman arte.

Erabiltzaile-izen eta pasahitz ahulak erabiltzen badituzu (adibidez, "administratzailea" edo "12345" ospetsua) oso erraza da hackerrentzat zure webgunean sartzea. Hartu aldian-aldian aldatzen dituzun pasahitz bakarrak eta sendoak sortzeko ohitura. Doako lineako sorgailu bat ere erabil dezakezu, LastPass-eko hau bezalakoa.

Pasahitz sendo asko kudeatzea arazo bat izan daiteke. Laguntzeko, sarritan 1Password edo LastPass bezalako pasahitzen kudeatzaileetan oinarritzen naiz, besteak beste. Ez berrerabili pasahitz bera hainbat webgunetan, eta gorde beti zure saio-informazioa seguru. Ziurtatu zure WordPress erabiltzaileek ere pasahitz sendoak erabiltzen dituztela.

Horretan ari zaren bitartean - gogoratu pasahitz sendoak erabiltzea zure posta elektronikorako, cPanelerako, MySQL datu-baseetarako eta FTP kontuetarako ere.

4. Instalatu WordPress Security Plugin

WordPress webgune berri bat sortzen dudan bakoitzean, normalean ia automatikoki instalatzen ditudan hainbat plugin defacto izaten ditut. Spam-aren aurkako plugina, Contact Form 7, Symple Shortcodes eta iThemes Security, nire WordPress segurtasun-plugin bat jasotzen dut.

Pluginak nire WordPress-en defentsak sendotzeko aukera ematen dit izerdirik gabe. Gaiztoak nire webguneetatik kanpo mantentzea errazten duten hainbat ezaugarri ditu. Plugin-a konfiguratzea oso erraza da; denbora gutxian martxan egon beharko zenuke.

WordPress-en segurtasun-plugin onenek funtzio desberdinak eskaintzen dizkizute, beraz, ziurtatu instalatu aurretik egiaztatu duzula zure webgune osoa ziurtatzeko behar dituzun funtzio guztiak lortzen ari zarela ziurtatzeko, ez du axola nola bakarra. Ezaugarri estandarrak honako hauek dira: malware eskaneatzea, IP blokeatzea, indar gordinaren prebentzioa, bi faktoreko autentifikazioa eta askoz gehiago: irakurtzen ari zaren segurtasun-zerrenda honen lauki asko markatu!

5. Aukeratu WordPress Hosting bikaina

Normalean, hasiberriek topatzen duten lehen ostalaritza pakete merkearen bila joaten dira. Ez nuke zure aurka egingo hobeto ezagutzen ez duzunez, baina zalantzazko ostalaritza partekatutako ostalaritza merkeak (edo doakoak) segurtasun arriskuak jasan ditzake. Hori egia esan badakit, ostalaritza partekatua eskaintzen duten bi ostalaritza enpresa ezberdinetan hackeatu nautelako.

Ostalaritza partekatua zerbitzari bat beste milaka webgunerekin partekatzea dakar. Horrek guneen zeharkako kutsadura arriskua areagotzen du. Hau da, hacker batek zure gunera sarbidea lor dezake, nahiz eta beste norbaiten webgunea jatorrizko eraso-puntua izan.

Kudeatutako WordPress hostinga, berriz, WordPress webguneetan bakarrik zentratzen da. Ez duzu zerbitzaririk partekatzen besteekin, eta segurtasun-aukera gehiago dituzu seguru egoteko. Laguntza dedikatua ere eskaintzen dute, eta okerrena gertatuko balitz berreskuratzeko aukera gehiago.

Ostalaritza partekatua erabili behar baduzu, esan oraindik dirua irabazten ez duen blog batekin hasten ari zarela, ziurtatu guneak isolatuta daudela edo "kartzelatuta". Negozio edo merkataritza elektronikoko webgune bat zuzentzen ari bazara, zure aurrekontuan sar zaitezkeen WordPress ostalaritza onena erabiltzea merezi du, hala nola, VPS, dedikatu edo kudeatutako WordPress hostinga.

6. Erabili SSL (HTTPS)

Gaur egun, WordPress ostalaritza-enpresa askok doako SSL ziurtagiriak eskaintzen dituzte bertatik eta arrazoi on batengatik. SSL ziurtagiriek zure webgunea SSL gabeko guneak baino seguruago bihurtzen dute. Google-k ere gomendatzen du SSL ziurtagiriak erabiltzea zure webguneko datuak babesteko (eta ziurtatu erabiltzaileek badakitela SSL erabiltzen duzun ala ez).

HTTPS aurreko HTTP baino seguruagoa da. HTTPS erabiltzen duen webgune batek erabiltzailearen arakatzailearen eta zure zerbitzarien artean mugitzen diren datu guztiak zifratzen ditu. Hacker batek komunikazioa atzematen badu, hankabakarreko gizon batek bezain erabilgarriak diren datu enkriptatuak bakarrik aurkituko ditu ipurdi-jaurtiketa lehiaketa batean 🙂

Web ostalari gehienetan SSL ziurtagiriak instalatzea A, B, C bezain erraza da. Gehienek klik bakarreko instalatzaileak eskaintzen dituzte, prozesu osoa errazten dutenak. Hasi saioa zure cPanel-en eta egin klik botoi bakar batean zure SSL ziurtagiriak instalatzeko eta kudeatzeko. Ikuspegi praktikoagoa nahi baduzu, kontuan hartu Let's Encrypt ikuskatzea.

7. Sortu gunearen babeskopia osoa

Hacker-ek tronutik kendu nindutenean, nire webguneak hutsetik berreraiki behar izan nituen, WordPressen babeskopia egitea fidagarri gogoratuko banu saihestuko nukeen buruhaustea.

Baina ez, nire web ostalariarekin zeuden babeskopiak hondatuta zeuden erasoan, eta ez, ez nuen bigarren mailako babeskopia irtenbiderik. Zure arrautza guztiak saski batean jartzearen kasu klasiko bat, ikasgai gogorra eman zidana.

Gaur egun, webguneko babeskopiak sortzen ditut, nire webguneko fitxategiak eta datu-baseak barne. Batez ere ManageWP erabiltzen dut, baina Duplicator plugina ere erabiltzen dut babeskopiak nire ordenagailuan eta Google Drive-n gordetzeko.

Babeskopia osoa aldizka sortzeko eskatzen dizut. WordPress babeskopia-soluzio askok prozesu osoa automatizatzeko aukera ematen dizu, denbora aurreztuz eta lasaitasuna emanez.

8. Erabili Web Aplikazioen Firewall (WAF)

Zure WordPress guneari segurtasun-geruza gehigarri bat gehitzeko eta gauez hobeto lo egiteko, gaitu web aplikazioen suebaki bat (WAF). WAF batek zure webgunea babesten du trafiko gaiztoa blokeatzen duela zure gunera iritsi baino askoz lehenago. Neurri proaktiboa da hildako gaiztoak kalteak eragin baino lehen geldiaraztea.

Suebakiak zure sarrerako trafikoa iragazten du, hackerrak ezabatuz, erabiltzaile legitimoei pasatzen uzten dien bitartean. WordPress segurtasun-enpresa askok web aplikazioen suebakiak eskaintzen dituzte beste funtzio batzuekin batera. Industriako aukera ezagunak Sucuri eta Cloudflare dira.

9. Desgaitu fitxategien edizioa WordPress Admin-en

WordPress CMS-ek kode-editore zoragarri batekin dator, plugina eta gai-fitxategiak editatzeko zure WordPress-eko administrazio-panelaren barruan. Kode-editorea tresna bikaina da zure eskura edukitzeko, baina esku okerretan, hackerrek erabil dezakete zure webgunean malwarea desagertzeko edo gehitzeko.

Beti edita ditzakezu zure gaia eta pluginen fitxategiak (beharrezkoa bada) FTP edo fitxategi-kudeatzailearen bidez cPanel-en, hau da, WordPress-en kode editorea guztiz desgaitu dezakezula. Ez duzu nahi zure WordPress-eko administrazio-eremuan sartzen diren hacker-ek kode-editorera sarbidea izatea, kode-lerro gutxi batzuekin kalte handia eragin dezaketelako.

Zer egin? Kode-editorea desgaitu dezakezu doako Sucuri Security plugina erabiliz. Bestela, hurrengo kodea gehi dezakezu zure wp-config.php fitxategia:

// Ez baimendu fitxategia editatzea define( 'DISALLOW_FILE_EDIT', egia);

Aurrera goaz.

10. Seguru zure saioa hasteko orria

Normalean, zure WordPress-eko saioa hasteko formularioak bi eremu ditu; erabiltzaile-izena eta pasahitza. Indar gordineko erasotzaileak eta bot-ak egunetik egunera adimentsuak direnez, nola gelditu hackerrek zure WordPress-eko administrazio-eremuan sartzea? Sinplea da; CAPTCHA edo segurtasun-galderak gehitzen dituzu, eta horrek zaildu egiten du inork baimenik gabeko sarbidea lortzea.

Eta ez duzu kodea editatu beharrik gehitu CAPTCHA or segurtasun galderak zure saioa hasteko orrira. WP Security Question bezala ezagutzen den WordPress plugin ezagun bat dago, konfiguratzeko eta erabiltzeko erraza dena. CAPTCHA erabili nahi baduzu, Simple Login Captcha, WordFence edo WordPress.org-en doan eskuragarri dauden beste hainbat aukeretako bat erabil dezakezu.

Aldi berean, ahal duzu aldatu zure wp-login URLa zerbait bereziari. Horrela, bot-ek eta hacker-ek zaila izango dute zure saio-orriaren URLa asmatzen saiatzea. wp-login dagoeneko ezaguna da hackerren artean, beraz, zentzuzkoa da URLa beste zerbaitetara aldatzea. WPS Ezkutatu saioa bezalako plugin bat erabil dezakezu.

11. Gehitu autentifikazioa

Gainera, kontuan hartu faktore biko eta faktore anitzeko autentifikazioa ezartzea. Hacker batek zure saio-hasierako xehetasunetara sarbidea lortzen badu, ezin izango du zure WordPress webgunean saioa hasi. Aukera asko daude eskuragarri, baina Google Authenticator aukera ezaguna da.

Horretaz gain, mugatu saioa saioa hasteko orrian. Bisitari bat existitzen ez den kontu batekin saioa hasten saiatzen ari bada edo askotan saioa hasten saiatzen ari bada, ziurrenik hacker edo bot bat izango da indar gordina sartzen saiatzen ari dena. Plugin bat erabil dezakezu, esate baterako, Mugatu saioa. Saiakerak edo saioaren blokeoa elementu intrusibo hauek urrun mantentzeko.

12. Amaitu saioa Erabiltzaile inaktiboak

Erabiltzaile anitzeko WordPress webgune bat duzunean, ezin duzu guztiz kontrolatu erabiltzaileak zure webgunera nola edo non sartzen diren. Egile batek doako Wi-Fi publikoa erabiltzea erabaki dezake artikulu bati azken ukituak emateko. Web-diseinatzaile batek bere mahaia utzi eta ordubeteko bazkaltzeko atsedenalditik bueltatu liteke.

Eszenatoki horietan, zure erabiltzaileak zure webgunea segurtasun arriskuak jasan ditzake jakin gabe. Pertsona gaizto batek bere saioa hartu, bere xehetasunak editatu eta hondamena eragin dezake. Baimenik gabekoek zer egiten ari den badaki, erraz har dezakete erabiltzailearen kontua eta kalteak egin.

Zer egin? Erabiltzaile inaktiboen saioa automatikoki amai dezakezu aurrez zehaztutako epe baten ondoren. Eta onena? Helburu zehatz horretarako pluginak daude. Aukera ezagun bat Inactive Logout plugina da, zeinak saioa amaitu aurretik inaktibo-denbora pertsonalizatzeko aukerak biltzen dituena, pop-up mezu pertsonalizatua edo saioa amaitzean birbideratzea eta denbora-muga erabiltzailearen rolaren arabera.

13. Bilatu malwarea eta arazoak (aldiro)

Askotan ahaztuta, zure WordPress webgunea aldizka eskaneatzea segurtasun arazoak hasieran identifikatzen lagun zaitzake. Segundo bat besterik ez da behar hacker bat zure webgunean sartu eta gauza gaizto guztiak egiteko. Horregatik, uneoro gauzen gainean egon beharko zenuke.

WordPress segurtasun-plugin asko malware infekzioak, segurtasun ahultasun ezagunak, script zaharkituak, indar gordinaren erasoak, existitzen ez diren babeskopiak eta abar bilatzeko. Pluginek arazo ezagunei buruzko txosten zehatzak bidaltzen dizkizute, horiek konpontzeko edo profesional bat kontratatu ahal izateko.

Webguneetako eskaner asko daude, hala nola Sucuri SiteCheck, zure gunea flash batean egiaztatzeko erabil ditzakezunak. Egin behar duzun guztia zure URLa sartzea da, eta tresnek zure webgunea automatikoki egiaztatuko dute. Horren ostean, konpondu behar duzunari buruzko txostena eskaintzen dizute. Txostena duzunean, konpondu segurtasun ahultasun guztiak berehala.

14. Erabili VPN bat

Hackeren eskuetan inoiz iritsi behar ez den informazio sentikorra daraman webgune bat zuzentzen baduzu, kontuan hartu sare pribatu birtual bat (VPN) erabiltzea, are gehiago doako Wi-Fi publikoa erabiltzean. VPN batek sare publikoetan ohikoak diren gizakien erdiko erasoetatik babesten zaitu, etxean eta lanean barne.

Sare pribatu birtual batek bermatzen du erasotzaileek sistemara sarbidea lortu eta zure datuak lapurtzen badituzte ere, ezin dutela ezer egin kentzen dizuten datuekin. Jende askorekin partekatzen ari zaren Interneteko sare bat baduzu, erabili beti VPN bat zure WordPress-eko administrazio-eremuan sartu aurretik.

WordPresseko beste segurtasun aukera batzuk

Gehiago egin behar al duzu? Zure webgunea uneoro seguru mantentzea gustatuko litzaiguke, beraz, hona hemen zure kontrol-zerrendan gehitzeko segurtasun-elementuak:

  • Desgaitu PHP fitxategiaren exekuzioa /wp-content/wp-uploads/-n
  • Aldatu zure WordPress datu-basearen aurrizkia
  • Babestu pasahitza zure administratzailea eta saioa hasteko orriak zerbitzariaren aldean
  • Desgaitu direktorioen indexazioa
  • Desgaitu WP REST APIa eta XML-RPC beharrezkoa ez bada
  • Ez editatu/aldatu WordPressen muina: idatzi edo erabili behar dituzun funtzionalitateak eskaintzen dituen plugin bat
  • Ziurtatu zure webguneak PHPren azken bertsioa exekutatzen duela
  • Erabili birusen aurkako programa bat zure ordenagailuan
  • Gaitu Google Search Console
  • Murriztu XSS eta SQL Injection ahuleziak (baliteke teknologian adituagoa den pertsona bat behar izatea bi hauekin laguntzeko)

Benetan, zure webgunea babesteko eman ditzakezun urratsak amaigabeak dira. Baina zerrendatu ditugun 14 elementuak egiaztatzen badituzu, urrats handia da zure webgunea ziurtatzeko.


Zure WordPress webgunea ziurtatzea zaila da, baina ez ezinezkoa. Tresna eta trebetasun egokiekin, zure WordPress segurtasuna azkar gogortu eta aktore txarrak urrundu ditzakezu.

Laburbilduz, mantendu beti zure webgunea eguneratuta. Horrez gain, ez deskargatu inoiz fidagarriak ez diren guneetako gaiak edo pluginak. Eta okerrena gertatuko balitz seguru egoteko, izan beti segurtasun-konponbide fidagarri bat.

Zure WordPress webgunea ziurtatzeko behar dituzun aholku guztiak aurkitzea espero dugu, beraz, lineako negozioa. Galderarik baduzu edo zure WordPress webgunea nola babestu jakiteko laguntza behar baduzu, mesedez, jakinarazi iezaguzu iruzkinetan. Egon seguru!

Gaiarekin lotutako artikuluak

0 Comments
Lineako erantzunak
Ikusi iruzkin guztiak
Itzuli gora botoia