Când vine vorba de securitate WordPress, există o mulțime de lucruri pe care le puteți face pentru a securiza site-ul dumneavoastră, pentru a preveni ca hackerii și vulnerabilitățile să vă afecteze site-ul de e-commerce sau blogul. 

Ultimul lucru care doriți să se întâmple este să vă treziți într-o dimineață și să vă descoperiți site-ul „în umbre”. 

Așadar, astăzi vă vom împărtăși o mulțime de sfaturi, strategii și tehnici pe care le puteți utiliza pentru a vă îmbunătăți securitatea WordPress și a vă păstra site-ul protejat.

WordPress este sigur?

Prima întrebare pe care o puneți este probabil: WordPress este sigur? 

În mare parte, da. 

Cu toate acestea, WordPress de obicei are o reputație rea pentru că este predispus la vulnerabilitățile de securitate și, în mod inerent, nu este o platformă sigură pentru a fi utilizat pentru o afacere. Cel mai adesea, acest lucru se datorează faptului că utilizatorii continuă să urmeze nu tocmai cele mai bune practici de securitate dovedite de industrie.

Folosind software WordPress învechit, plugin-uri nulizate, administrare deficitară a sistemului, gestionarea acreditărilor și lipsa cunoștințelor necesare de securitate web și în rândul utilizatorilor WordPress non-techie, îi păstrează pe hackeri în vârful jocului lor de criminalitate cibernetică.

Chiar și liderii industriei nu folosesc întotdeauna cele mai bune practici.

Reuters a fost hacked pentru că foloseau o versiune învechită a WordPress.

În mod fundamental, securitatea nu se referă la sisteme perfect sigure. Un astfel de lucru ar putea fi practic imposibil sau imposibil de găsit și / sau de întreținut. Totuși, securitatea reprezintă reducerea riscului, nu eliminarea riscului. Este vorba despre utilizarea tuturor controalelor adecvate disponibile pentru dumneavoastră, în mod rezonabil, care vă permit să vă îmbunătățiți poziția generală, reducând șansele de a vă transforma într-o țintă, apoi de a fi hackuit. – WordPress Security Codex

WordPress este utilizat de peste 35,2% din toate site-urile de pe internet și cu sute de mii de combinații de teme și plugin-uri, nu este surprinzător că vulnerabilitățile există și sunt descoperite în mod constant.

Cu toate acestea, există și o comunitate excelentă în jurul platformei WordPress, care are rolul de a vă asigura că aceste lucruri vor fi aplicate cât mai repede. 

Începând cu 2020, echipa de securitate WordPress este alcătuită din aproximativ 50 de experți (de la 25 câți erau în 2017), inclusiv dezvoltatori și cercetători de securitate – aproximativ jumătate sunt angajați ai Automattic și un număr de lucrători în domeniul securității web.

Vulnerabilități WordPress

Mai jos vedeți câteva dintre diferitele tipuri de vulnerabilități de securitate WordPress.

  • Backdoors
  • Pharma Hacks
  • Brute-force Login Attempts
  • Malicious Redirects
  • Cross-site Scripting (XSS)
  • Denial of Service

Backdoors

Backdoors sunt adesea criptate pentru a apărea ca fișiere de sistem WordPress legitime și își croiesc drum spre bazele de date WordPress prin exploatarea punctelor slabe și a erorilor din versiunile învechite ale platformei. 

TimThumb Fiasco a fost un exemplu primordial de vulnerabilitate backdoor, care exploata scripturi shady și software-ul învechit care compromite milioane de site-uri web.

Din fericire, prevenirea și vindecarea acestei vulnerabilități este destul de simplă. 

Puteți scana site-ul dumneavoastră WordPress cu instrumente precum SiteCheck care pot detecta cu ușurință un backdoor comun. 

Autentificarea cu doi factori, blocarea IP-urilor, restricționarea accesului admin și prevenirea executării neautorizate a fișierelor PHP are grijă cu ușurință de amenințările obișnuite de tip backdoor, pe care le vom consulta mai jos.

Pharma Hacks

Exploatarea Pharma Hack este folosită pentru a insera cod rogue în versiunile depășite ale site-urilor și pluginurilor WordPress, acest cod face ca motoarele de căutare să returneze reclame pentru produse farmaceutice atunci când a fost căutat un site web compromis. 

Vulnerabilitatea este mai mult o amenințare de tip spam decât un malware tradițional, dar oferă motoarelor de căutare suficiente motive pentru a bloca site-ul pentru acuzațiile de distribuire a spamului.

Părțile în mișcare ale unui Hack Pharma includ backdoors în plugin-uri și baze de date. Cu toate acestea, exploatările sunt adesea variante vicioase ale injecțiilor rău intenționate criptate ascunse în bazele de date și necesită un proces complet de curățare pentru a remedia vulnerabilitatea. 

Cu toate acestea, puteți preveni cu ușurință Pharma Hacks folosind furnizorii recomandați de găzduire WordPress cu servere actualizate și să actualizați în mod regulat instalăriile, temele și pluginurile dumneavoastră WordPress. 

Brute-force Login Attempts

Încercările de conectare cu forță brută folosesc scripturi automatizate pentru a exploata parolele slabe și pentru a obține acces la site-ul dumneavoastră.

Autentificarea în doi pași, limitarea încercărilor de autentificare, monitorizarea autentificărilor neautorizate, blocarea IP-urilor și utilizarea parolelor puternice sunt unele dintre cele mai simple și extrem de eficiente metode de a preveni atacurile de tip forță brută. 

Dar, din păcate, un număr destul de mare de proprietari de site-uri WordPress nu reușesc să efectueze aceste practici de securitate, în timp ce hackerii sunt capabili cu ușurință să compromită 30.000 de site-uri web într-o singură zi folosind atacuri de tip forță brută.

Malicious Redirects

Redirecționările dăunătoare creează spații backdoors în instalăriile WordPress folosind FTP, SFTP, wp-admin și alte protocoale de transfer și injectează coduri de redirecționare pe site-ul dumneavoastră web. Redirecționările sunt adesea plasate în fișierul dumneavoastră .htaccess și în alte fișiere de bază WordPress în forme codificate, direcționând traficul web către site-uri dăunătoare.

Vom parcurge câteva modalități prin care le puteți preveni în etapele noastre de securitate WordPress de mai jos.

Cross-Site Scripting (XSS)

Cross-Site Scripting (XSS) este atunci când se injectează un script rău intenționat într-un site sau aplicație de încredere. Atacatorul folosește acest lucru pentru a trimite coduri rău intenționate, de obicei scripturi din browserul utilizatorului final fără ca acesta să știe acest lucru. Scopul este de obicei să ia datele cookie sau sesiuna sau poate chiar de a rescrie codul HTML pe o pagină.

Denial of Service

Poate cea mai periculoasă dintre toate, vulnerabilitatea Denial of Service (DoS) exploatează erori și bug-uri din cod pentru a copleși memoria sistemelor de operare a site-ului web. Hackerii au compromis milioane de site-uri și au adunat milioane de dolari prin exploatarea versiunilor învechite și buggy ale software-ului WordPress cu atacuri DoS.

Deși ciberneticii motivați financiar sunt mai puțin susceptibili să vizeze companii mici, ei tind să compromită site-urile vulnerabile învechite în crearea de lanțuri de botnet pentru a ataca întreprinderile mari.

Chiar și cele mai recente versiuni ale software-ului WordPress nu vă pot apăra în mod cuprinzător împotriva atacurilor DoS de înaltă performanță, dar cel puțin vă vor ajuta să evitați să fiți prinși între focul dintre instituțiile financiare și cybercriminalii sofisticați. 

Și nu uitați de 21 octombrie 2016. Aceasta a fost ziua în care internetul a fost down din cauza unui atac DNS DDoS. 

Ghid Securitate WordPress 2020

Ne vom asigura că menținem această postare la curent cu toate informațiile relevante pe măsură ce lucrurile se schimbă cu platforma WordPress și apar noi vulnerabilități.

  1. Gazduire WordPress sigură
  2. Utilizați ultima versiune PHP
  3. Utilizați nume de utilizator și parole inteligente
  4. Utilizați mereu ultimele versiuni de WordPress, Plugin-uri sau Teme
  5. Blocați administratorul WordPress
  6. Autentificare cu doi factori
  7. HTTPS – Certificat SSL
  8. Consolidarea wp-config.php
  9. Dezactivați XML-RPC
  10. Ascundeți versiunea WordPress
  11. Anteturi de securitate HTTP
  12. Pluginuri de securitate WordPress
  13. Securitatea bazelor de date
  14. Conexiuni sigure
  15. Permisiuni de fișiere și server
  16. Dezactivați editarea în tabloul de bord
  17. Preveniți Hotlinking-ul
  18. Efectuați întotdeauna backup-uri WordPress

1. Găzduire WordPress Sigură

În ceea ce privește securitatea WordPress, este nevoie de mult mai mult decât să vă securizați site-ul dumneavoastră, deși vă vom oferi cele mai bune recomandări despre cum puteți face asta mai jos. Există, de asemenea, securitate la nivel de server web pentru care gazda WordPress este responsabilă.

Este foarte important să alegeți o gazdă în care să aveți încredere în ceea ce privește compania dumneavoastră. Sau dacă vă găzduiți WordPress pe propriul VPS, trebuie să aveți cunoștințele tehnice pentru a face aceste lucruri de unul singur.

 Și sincer, încercarea de a fi sysadmin pentru a economisi 20 $ / lună este o idee proastă.

Întărirea serverului este cheia pentru menținerea unui mediu WordPress sigur. Este nevoie de mai multe niveluri de măsuri de securitate la nivel de hardware și software pentru a asigura faptul că infrastructura IT care găzduiește site-uri WordPress este capabilă să se apere împotriva amenințărilor sofisticate, atât fizice cât și virtuale.

Din acest motiv, serverele care găzduiesc WordPress ar trebui să fie actualizate cu cel mai recent sistem de operare și software (de securitate), precum și testate și scanate în profunzime pentru vulnerabilități și malware. 

Firewall-urile la nivel de server și sistemele de detectare a intruziunilor ar trebui să fie instalate înainte de instalarea WordPress pe server pentru a-l menține bine protejat chiar și în timpul proceselor de instalare și construire a site-ului WordPress. Cu toate acestea, fiecare software instalat pe aparatul destinat protejării conținutului WordPress ar trebui să fie compatibil cu cele mai recente sisteme de gestionare a bazelor de date pentru a menține performanțe optime. 

Serverul ar trebui, de asemenea, să fie configurat să folosească protocoale de criptare de rețea și transfer de fișiere sigure (cum ar fi SFTP în loc de FTP) pentru a ascunde conținutul sensibil de intrușii nocivi.

Platforma Google Cloud oferă un mare avantaj în acest sens deoarece este construită pe un model de securitate construit pe parcursul a 15 ani și care în prezent asigură produse și servicii precum Gmail, Căutare etc. 

Google are angajați în prezent peste 500 de profesioniști de securitate în regim full-time.

2. Utilizați ultima versiune de PHP

PHP reprezintă coloana vertebrală a site-ului dumneavoastră WordPress, astfel încât utilizarea celei mai recente versiuni pe serverul dumneavoastră este foarte importantă. Fiecare versiune majoră de PHP este de obicei acceptată complet timp de doi ani după lansarea sa. În acest timp, bug-urile și problemele de securitate sunt rezolvate și actualizările sunt aplicate în mod regulat. Începând de acum, oricine rulează pe versiunea PHP 7.1 sau mai mică nu mai are suport de securitate și este expus la vulnerabilități de securitate.

Si ghiciți ce? 

Conform paginii oficiale a statisticilor WordPress, la momentul scrieri acestui articol, peste 25% dintre utilizatorii WordPress folosesc încă PHP 5.6 sau chiar versiuni mai mici. 

Dacă combinați acest lucru cu PHP 7.0, 32,5% dintre utilizatori utilizează în prezent versiuni PHP care nu mai sunt acceptate. 

Asta este înfricoșător!

Uneori, companiile și dezvoltatorii au nevoie de timp pentru a testa și asigura compatibilitatea cu codul lor, dar nu au nicio scuză pentru a rula ceva fără suport de securitate. Nu mai vorbim de impactul uriaș asupra performanței pe versiunile mai vechi.

Nu știți ce versiune de PHP vă utilizați în prezent?

Majoritatea gazdelor includ de obicei acest lucru într-o cerere antet de pe site-ul dumneavoastră. 

O modalitate rapidă de a verifica este de a rula site-ul dumneavoastră prin Pingdom. Faceți click pe prima solicitare și căutați un parametru X-Powered-By. În mod normal, acesta vă va arăta versiunea de PHP pe care o folosește în prezent serverul dumneavoastră web. 

Cu toate acestea, unele gazde vor elimina acest antet din motive de securitate.

Dacă aveți un host WordPress care folosește cPanel, puteți comuta de obicei între versiunile PHP făcând click pe „PHP Select” din categoria software.

3. Utilizați nume de utilizator și parole inteligente

În mod surprinzător, unul dintre cele mai bune moduri de a vă întări securitatea WordPress este să folosiți pur și simplu nume de utilizator și parole inteligente. 

Pare destul de ușor, nu? 

Unele dintre cele mai sparte parole din ultimii ani au fost:

  • 123456
  • Parolă
  • 123456789
  • 12345678
  • 12345
  • 111111
  • 1234567
  • Sunshine
  • Qwerty
  • Iloveyou

Asa este! 

Cea mai des spartă parolă este „123456”, urmată de o „parolă” uimitoare.

Funcția de bază wp_hash_password WordPress folosește cadrul de hashing cu parolă phpass și opt treceri de hashing bazate pe MD5.

Unele dintre cele mai bune securități pornesc de la elementele de bază. 

Google are câteva recomandări excelente despre cum să alegeți o parolă puternică. Sau puteți utiliza un instrument online pentru acest lucru.

De asemenea, este important să utilizați parole diferite pentru fiecare site web. Cel mai bun mod de a le stoca este local într-o bază de date criptată de pe computer. Există instrumente foarte bune pentru acest lucru. Dacă nu doriți să parcurgeți această rută, există și manageri de parole online, cum ar fi 1Password sau LastPass. 

Deși datele dumneavoastră sunt găzduite în siguranță în cloud, acestea sunt în general mai sigure, deoarece nu utilizați aceeași parolă pe mai multe site-uri. De asemenea, vă împiedică să folosiți sticky notes.

Și în ceea ce privește instalarea WordPress, nu ar trebui să folosiți niciodată numele de utilizator „admin” implicit. Creați un nume de utilizator WordPress unic pentru contul de administrator și ștergeți utilizatorul „admin” dacă acesta există. 

Puteți face acest lucru adăugând un utilizator nou sub „Utilizatori” din tabloul de bord și atribuindu-i profilul „Administrator”.

Odată ce atribuiți noului cont, rolul de administrator vă puteți întoarce și șterge utilizatorul inițial „Admin”. 

Asigurați-vă că atunci când faceți click pe ștergeți alegeți opțiunea „Atribuie tot conținutul” și selectați noul dumneavoastră profil de administrator. Aceasta va atribui persoana ca autor al acestor postări.

Puteți redenumi și numele de utilizator al administratorului curent în phpMyAdmin cu următoarea comandă. 

Asigurați-vă că faceți backup la baza de date înainte de a edita tabelele.

UPDATE wp_users SET user_login = ‘newcomplexadminuser’ WHERE user_login = ‘admin’;

4. Utilizați mereu ultimele versiuni de WordPress, Plugin-uri sau Teme

Un alt mod foarte important prin care vă puteți întări securitatea WordPress este să-l țineți mereu la zi. 

Aceasta include corecții, pluginuri și teme WordPress (atât pentru cele din depozitul WordPress, cât și pentru cele premium). 

Acestea sunt actualizate dintr-un motiv și de multe ori aceste actualizări includ îmbunătățiri de securitate și remedieri de erori. 

Din păcate, milioane de site-uri care funcționează folsoesc versiuni depășite de software și plugin-uri WordPress și încă cred că sunt pe calea cea bună a succesului în afaceri. 

Aceștia citează diferite motive pentru care nu folosesc actualizări, cum ar fi „site-ul lor va pica” sau „modificările de bază vor dispărea” sau „pluginul X nu va funcționa” sau „pur și simplu nu au nevoie de noua funcționalitate”.

De fapt, site-urile web se pică mai ales din cauza erorilor din versiunile WordPress vechi. 

Modificările de bază nu sunt recomandate niciodată de echipa WordPress și de dezvoltatorii experți care înțeleg riscurile implicate. Și actualizările WordPress includ în cea mai mare parte corecții de securitate obligatorii și funcționalitatea adăugată necesară pentru a rula cele mai recente pluginuri.

Știați că sa raportat că vulnerabilitățile pluginului reprezintă 55,9% din punctele de intrare cunoscute pentru hackeri? 

Prin actualizarea pluginurilor vă puteți asigura mai bine că nu sunteți una dintre victime.

De asemenea, este recomandat să instalați numai pluginuri de încredere. 

Categoriile „prezentate” și „populare” din depozitul WordPress pot fi un loc bun de unde puteți începe. Sau descărcați-l direct de pe site-ul dezvoltatorului. Noi descurajăm cu fermitate orice utilizare de plugin-uri și teme WordPress anulate.

În primul rând, nu știți niciodată ce ar putea conține codul modificat. 

Acest lucru poate facilita spargerea site-ului dumneavoastră. Dacă nu plătiți plugin-uri WordPress premium, nu ajută comunitatea să crească în ansamblu. Trebuie să sprijiniți dezvoltatorii.

Cum să actualizați WordPress Core

Există câteva modalități ușoare prin care puteți actualiza instalarea WordPress.

Pentru a actualiza WordPress core puteți face click pe „Actualizări” din tabloul de bord WordPress și faceți click pe butonul „Actualizare acum”.

De asemenea, puteți actualiza WordPress manual descărcând cea mai recentă versiune și încărcând-o prin SFTP.

Important! 

Suprascrierea dosarelor greșite ar putea sparge site-ul dumneavoastră dacă nu este făcută corect. Dacă nu vă simțiți confortabil, vă rugăm mai întâi să vă adresați unui dezvoltator.

Urmați pașii de mai jos pentru a actualiza instalarea existentă:

  1. Ștergeți vechile directoare wp-include și wp-admin.
  2. Încărcați noile directoare wp-include și wp-admin.
  3. Încărcați fișierele individuale din noul dosar wp-content în dosarul wp-content existent, suprasriind fișierele existente. NU ștergeți dosarul wp-content existent. NU ștergeți fișierele sau dosarele din directorul wp-content existent (cu excepția celui care este suprascris de fișierele noi).
  4. Încărcați toate fișierele libere noi din directorul rădăcină al noii versiuni în directorul rădăcină WordPress existent.

Cum să actualizați pluginurile WordPress

Actualizarea pluginurilor WordPress este un proces foarte similar cu actualizarea WordPress core. Faceți click pe „Actualizări” din tabloul de bord WordPress, selectați pluginurile pe care doriți să le actualizați și faceți click pe „Actualizare pluginuri”.

De asemenea, puteți actualiza manual și un plugin. 

Pur și simplu descărcați cea mai recentă versiune de la dezvoltatorul de pluginuri sau din depozitul WordPress și o încărcați prin FTP, pluginului existent se va rescrie în directorul / wp-content / plugins.

De asemenea, este important să rețineți că dezvoltatorii nu își țin mereu pluginurile actualizate la zi. 

Acest lucru nu înseamnă că pluginul nu va funcționa cu versiunea actuală de WordPress, ci este recomandat să alegeți pluginuri care sunt actualizate frecvent. 

Pluginurile depășite sunt mai susceptibile de a conține vulnerabilități de securitate.

Folosiți-vă cea mai bună judecată când vine vorba de plugin-uri. 

Uitați-vă la data „Ultima actualizare” și câte evaluări are un plugin. 

De asemenea, WordPress oferă un avertisment în partea de sus a majorității pluginurilor care nu au fost actualizate de ceva vreme.

Există, de asemenea, o mulțime de resurse pe care le puteți utiliza pentru a vă ajuta să rămâneți la curent cu cele mai recente actualizări și vulnerabilități de securitate WordPress. 

Vedeți mai jos unele dintre ele:

5. Blocați administratorul WordPress

Uneori cea mai populară strategie de securitate WordPress prin obscuritate este eficientă în mod corespunzător pentru o afacere din mediul online și un site WordPress. 

Dacă îngreunați sarcina hackerilor de a găsi anumite backdoors, atunci este mai puțin probabil să fiți atacat. 

Blocarea zonei de administrare și a autentificării dumneavoastră WordPress este o modalitate bună de a vă îmbunătăți securitatea. 

Există două modalități excelente de a face acest lucru.

Mai întâi schimbați adresa URL de conectare wp-admin implicită iar apoi limitați încercările de autentificare.

Cum să vă schimbați adresa URL de conectare WordPress

În mod implicit, adresa URL de conectare a site-ului dumneavoastră WordPress este domain.com/wp-admin. 

Una dintre problemele cu aceasta este că toți roboții, hackerii și scripturile știu acest lucru. Prin schimbarea adresei URL puteți să vă transformați site-ul web într-o țintă mai greu de atacat și vă puteți proteja mai bine împotriva atacurilor de tip brute force. 

Aceasta nu este o soluție completă, este pur și simplu un mic truc care vă poate ajuta să vă protejați.

Pentru a modifica adresa URL de conectare WordPress vă recomandăm să folosiți pluginul gratuit de conectare WPS Hide sau pluginul premium Perfmatters. Ambele pluginuri au un câmp simplu de input. Amintiți-vă doar să alegeți ceva unic care să nu fie deja pe o listă pe care un bot sau un script ar putea încerca să o scaneze.

Cum să Limitați încercările de conectare

În timp ce soluția de mai sus de schimbare a adresei URL de autentificare admin poate ajuta la scăderea majorității încercărilor de conectare necorespunzătoare, punerea unei limite poate fi, de asemenea, foarte eficientă. Pluginul gratuit Cerber Limit Login Attempts este o modalitate excelentă de a configura cu ușurință duratele de blocare, încercările de autentificare și blacklists IP.

Dacă sunteți în căutarea unei soluții de securitate WordPress mai simple, o altă alternativă excelentă este pluginul gratuit Lockdown Lock. LockDown înregistrează adresa IP și ora de marcare a fiecărei încercări de conectare eșuate. Dacă se detectează mai mult de un anumit număr de încercări într-o perioadă scurtă de timp din același interval IP, atunci funcția de conectare este dezactivată pentru toate solicitările din acel interval. Și este complet compatibil cu pluginul de conectare WPS Hide de care am menționat mai sus.

Cum să adăugați autentificare HTTP de bază (protecție htpasswd)

Un alt mod de a bloca administratorul este să adăugați autentificare HTTP. Acest lucru solicită un nume de utilizator și o parolă înainte de a putea accesa pagina de autentificare WordPress. 

Notă: În general, acest lucru nu ar trebui utilizat pe site-urile de comerț electronic sau pe site-urile de membership. Dar poate fi o modalitate foarte eficientă de a împiedica roboții să atace site-ul dumneavoastră web.

Apache

Dacă utilizați un host care folosește cPanel, puteți activa directoarele protejate prin parolă de la panoul de control. 

Pentru a o configura manual, mai întâi va trebui să creați un fișier .htpasswd. 

Puteți utiliza un instrument care generează parole și nume de utilizator. 

Apoi încărcați fișierul într-un director din dosarul wp-admin, cum ar fi:

home/user/.htpasswds/public_html/wp-admin/htpasswd/

Apoi creați un fișier .htaccess cu următorul cod și încărcați-l în directorul dumneavoastră / wp-admin /. 

Asigurați-vă că actualizați calea și numele de utilizator al directorului.

AuthName “Admins Only”

AuthUserFile /home/yourdirectory/.htpasswds/public_html/wp-admin/htpasswd

AuthType basic

require user yourusername

Singurul avertisment atunci când faceți acest lucru este că va sparge AJAX (admin-ajax) pe partea frontală a site-ului dumneavoasrtă. Acest lucru este solicitat de unele plugin-uri ale unor terți. 

Prin urmare, va trebui, de asemenea, să adăugați următorul cod la fișierul .htaccess de mai sus.

<Files admin-ajax.php>

Order allow,deny

Allow from all

Satisfy any

</Files>

Nginx

Dacă rulați Nginx, puteți restricționa accesul cu autentificarea de bază HTTP.

Blocarea unei căi URL

Dacă utilizați un firewall pentru aplicații web (WAF), cum ar fi Cloudflare sau Sucuri, acestea oferă, de asemenea, modalități de a bloca o cale URL. 

În esență, puteți configura o regulă astfel încât doar adresa dumneavoastră IP să poată accesa adresa URL de conectare a administratorului WordPress. 

Din nou, în general, acest lucru nu ar trebui utilizat pe site-urile de comerț electronic sau pe site-urile de membership, deoarece se bazează și pe accesarea site-ului dumneavoastră web. 

6. Autentificare cu doi factori

Și, desigur, nu putem uita autentificarea cu doi factori! 

Oricât de sigură este parola dumneavoastră, există întotdeauna riscul ca cineva să o descopere. 

Autentificarea în doi factori implică un proces în doi factori în care nu aveți nevoie doar de parola pentru a vă autentifica, ci și de o a doua metodă. 

În general, este un mesaj text (SMS), un apel telefonic sau o parolă bazată pe o singură dată (TOTP). În cele mai multe cazuri, acest lucru este 100% eficient în prevenirea atacurilor de tip forță brută pe site-ul dumneavoastră WordPress. 

De ce? 

Pentru că este aproape imposibil ca atacatorul să aibă atât parola, cât și telefonul dumneavoastră mobil.

Există într-adevăr două părți când vine vorba de autentificarea cu doi factori. 

Primul este contul dumneavoastră sau tabloul de bord pe care îl aveți cu furnizorul dumneavoastră de hosting web. Dacă cineva are acces la acest lucru, v-ar putea schimba parolele, șterge site-urile dumneavoastră web, schimba înregistrările DNS și tot felul de lucruri oribile. 

A doua parte a autentificării cu doi factori se referă la instalarea dumneavoastră reală de WordPress. Pentru aceasta există câteva plugin-uri pe care le recomandăm:

Multe dintre acestea au propriile lor aplicații de autentificare pe care le puteți instala pe telefon.

După instalarea și configurarea unuia dintre pluginurile de mai sus, de obicei, veți avea un câmp suplimentar pe pagina dumneavoastră de conectare WordPress pentru a introduce codul de securitate. 

Sau, cu pluginul Duo, vă conectați mai întâi cu datele de acreditare și apoi vi se cere să alegeți o metodă de autentificare, cum ar fi Duo Push, apel sau cod de acces.

Această metodă poate fi ușor combinată cu modificarea adresei URL de conectare implicite, peste care am trecut mai devreme.

Deci, nu numai că adresa dumneavoastră de conectare WordPress este acum ceva ce știți doar dumneavoastră, dar acum necesită o autentificare suplimentară pentru a putea intra.

Așadar, asigurați-vă că profitați de autentificarea cu doi factori, poate fi o modalitate ușoară de a vă îmbunătăți securitatea WordPress.

7. HTTPS – Certificat SSL

Unul dintre cele mai omise moduri de vă întări securitatea WordPress este să instalați un certificat SSL și să rulați site-ul dumneavoastră prin HTTPS. 

HTTPS (Hyper Text Transfer Protocol Secure) este un mecanism care permite browserului sau aplicației web să se conecteze în siguranță cu un site web. O concepție greșită este că, dacă nu acceptați cărți de credit, nu aveți nevoie de SSL.

Ei bine, să vă explicăm câteva motive pentru care HTTPS este important dincolo de aspectul de comerțul electronic. Multe gazde, oferă certificate SSL gratuite cu Let’s Encrypt.

1. Securitate

Desigur, cel mai bun motiv pentru a alege HTTPS este securitatea adăugată, iar acest lucru se referă în special la site-urile de comerț electronic. 

Cu toate acestea, cât de importante sunt informațiile de conectare? Pentru aceia dintre voi care rulează site-uri WordPress cu mai mulți autori, dacă parcurgeți HTTP, de fiecare dată când o persoană se conectează, informațiile respective sunt transmise serverului în text simplu. 

HTTPS este absolut vital pentru menținerea unei conexiuni sigure între un site web și un browser. În acest fel, puteți împiedica mai bine hackerii sau un intermediar să acceseze site-ul dumneavoastră web.

2. SEO

Google a declarat oficial că HTTPS este un factor de clasare. 

Deși este doar un mic factor care influențează clasamentul, cei mai mulți dintre dumneavoastră ar profita probabil de orice avantaj pe care îl pot obține în SERP-uri pentru a-și învinge concurenții.

3. Încredere și credibilitate

Conform unui sondaj realizat de GlobalSign, 28,9% dintre vizitatori caută bara de adrese verde în browserul lor. Și 77% dintre ei sunt îngrijorați că datele lor sunt interceptate sau utilizate greșit online. Văzând acel lacăt verde, clienții vor avea instantaneu mai multă liniște sufletească știind că datele lor sunt mai în siguranță.

4. Date de trimitere

Mulți oameni nu își dau seama că datele de trimitere HTTPS la HTTP sunt blocate în Google Analytics. Deci, ce se întâmplă cu acele date? 

Ei bine, cea mai mare parte este doar completată cu secțiunea „trafic direct”. Dacă cineva trece de la HTTP la HTTPS, referitorul este încă trecut.

5. Avertismente Chrome

Începând cu data de 24 iulie 2018, versiunile Chrome 68 sau o versiune ulterioară au început să marcheze toate site-urile non-HTTPS drept „Nu sunt sigure”. Indiferent dacă colectează sau nu date. Acesta este motivul pentru care HTTPS a devenit mai important ca niciodată!

Acest lucru este deosebit de important mai ales dacă site-ul dumneavoastră web primește majoritatea traficului său de pe Google Chrome. 

Puteți căuta în Google Analytics sub secțiunea Audiență din browser și sistem de operare, astfel încât să vedeți procentul de trafic pe care site-ul dumneavoastră WordPress îl obține de la Google Chrome. În acest fel Google face mult mai clar vizitatorilor faptul că site-ul dumneavoastră WordPress nu poate funcționa pe o conexiune securizată.

6. Performanță

Din cauza unui protocol numit HTTP / 2, de multe ori, cei care rulează site-uri optimizate corespunzător prin HTTPS pot vedea chiar și îmbunătățiri ale vitezei. HTTP / 2 necesită HTTPS din cauza asistenței browserului. 

Îmbunătățirea performanței se datorează unei varietăți de motive, cum ar fi HTTP / 2, care poate suporta o mai bună multiplexare, paralelism, compresie HPACK cu codare Huffman, extensia ALPN și push server.

Și cu TLS 1.3, conexiunile HTTPS sunt și mai rapide.

Pentru a implementa o conexiune securizată, criptată între site-ul dumneavoastră și server, la conectarea și administrarea site-ului dumneavoastră, adăugați următoarea linie de cod în fișierul dumneavoastră wp-config.php:

define(‘FORCE_SSL_ADMIN’, true);

8. Consolidarea wp-config.php

Fișierul dumneavoastră wp-config.php este inima și sufletul instalării dumneavoastră WordPress. Este de departe cel mai important fișier de pe site-ul dumneavoastră când vine vorba de securitatea WordPress. Acesta conține informațiile de conectare la baza de date și cheile de securitate care gestionează criptarea informațiilor în cookie-uri. Mai jos aveți câteva lucruri pe care le puteți face pentru a proteja mai bine acest fișier important.

1. Mutați wp-config.php

În mod implicit, fișierul dumneavoastră wp-config.php se află în directorul rădăcină al instalării dumneavoastră WordPress (dosarul dumneavoastră public / HTML). 

Dar îl puteți muta într-un director accesibil non-www. 

Aaron Adams a scris o explicație excelentă de ce este benefic acest lucru.

Pentru a muta fișierul wp-config.php pur și simplu copiați tot conținutul din el într-un fișier diferit. Apoi, în fișierul dumneavoastră wp-config.php puteți plasa următorul fragment de cod pentru a include pur și simplu celălalt fișier. 

Notă: Calea directorului poate fi diferită în funcție de configurația și gazda web. De obicei, este doar un director mai sus.

<?php

include(‘/home/yourname/wp-config.php’);

Notă:

Acest lucru s-ar putea să nu funcționeze pentru unele companii de hosting și va rupe funcționalitatea pe platforma lor. 

Acest lucru se datorează faptului că restricțiile lor open_basedir nu permit executarea PHP deasupra directorului ~ / public din motive de securitate. 

Vestea bună este cel mai probabil se vor ocupa de asta. 

2. Actualizați cheile de securitate WordPress

Cheile de securitate WordPress sunt un set de variabile aleatorii care îmbunătățesc criptarea informațiilor stocate în cookie-urile utilizatorului. 

Începând cu WordPress 2.7 au existat 4 chei diferite: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY și NONCE_KEY.

Când instalați WordPress, acestea sunt generate la întâmplare pentru dumneavoastră. Cu toate acestea, dacă ați trecut prin mai multe migrații  sau dacă ați achiziționat un site de la altcineva, poate ar fi bine să creați chei noi pentru WordPress.

WordPress are de fapt un instrument gratuit pe care îl puteți utiliza pentru a genera chei aleatorii. Puteți actualiza cheile curente care sunt stocate în fișierul dumneavoastră wp-config.php.

3. Modificați Permisiunile

În mod obișnuit, fișierele din directorul rădăcină al unui site WordPress vor fi setate la 644, ceea ce înseamnă că fișierele pot fi citite și scrise de proprietarul fișierului și pot fi citite de utilizatorii din grupul proprietarului respectiv și pot fi citite de toți ceilalți. 

Conform documentației WordPress, permisiunile din fișierul wp-config.php ar trebui să fie setate la 440 sau 400 pentru a împiedica alți utilizatori de pe server să-l citească. Puteți schimba cu ușurință acest lucru cu clientul dumneavoastră FTP.

Pe unele platforme de găzduire, permisiunile ar putea fi diferite pentru că utilizatorul care rulează serverul web nu are permisiunea de a scrie fișiere. 

Dacă nu sunteți sigur de acest lucru, consultați furnizorul dumneavoastră de hosting.

9. Dezactivați XML-RPC

În ultimii ani, XML-RPC a devenit o țintă din ce în ce mai mare pentru atacurile de tip forță brută. După cum puțină lume știe una dintre caracteristicile ascunse ale XML-RPC este că puteți utiliza metoda system.multicall pentru a executa mai multe metode în cadrul unei singure solicitări. 

Este foarte util, deoarece permite aplicației să treacă mai multe comenzi în cadrul unei cereri HTTP. Dar ceea ce se întâmplă de asemenea este că este folosit pentru intenții malițioase.

Există câteva plugin-uri WordPress, cum ar fi Jetpack, care se bazează pe XML-RPC, dar majoritatea oamenilor nu au nevoie de acest lucru și poate fi benefic să dezactiveze pur și simplu accesul la acesta. 

Nu sunteți sigur dacă XML-RPC rulează în prezent pe site-ul dumneavoastră web? 

Danilo Ercoli, de la echipa Automattic, a scris un mic instrument numit XML-RPC Validator

Puteți rula site-ul dumneavoastră WordPress prin intermediul acestuia pentru a vedea dacă are XML-RPC activat.

Pentru a dezactiva complet acest lucru, puteți instala pluginul gratuit Disable XML-RPC. 

Sau îl puteți dezactiva cu ajutorul pluginului premium Perfmatters, care conține, de asemenea, îmbunătățiri ale performanței web.

10. Ascundeți versiunea WordPress

Ascunderea versiunii WordPress atinge din nou subiectul securității WordPress prin obscuritate. 

Cu cât este mai mic numărul oamenilor care știu despre configurația site-ului dumneavoastră WordPress cu atât mai bine. 

Dacă văd că executați o instalare WordPress învechită, aceasta ar putea fi un semn de bun venit pentru intrusi. 

În mod implicit, versiunea WordPress apare în antetul codului sursă al site-ului dumneavoastră. 

Din nou, vă recomandăm să vă asigurați pur și simplu că instalarea dumneavoastră WordPress este mereu actualizată, astfel încât să nu vă faceți griji în acest sens.

Puteți utiliza următorul cod pentru a elimina acest lucru. Pur și simplu adăugați-l în fișierul funcției.php al temei dumneavoastră WordPress.

Important! 

Editarea codului sursă a unei teme WordPress ar putea sparge site-ul dumneavoastră dacă nu este făcută corect. Dacă nu vă simțiți confortabil, luați mai întâi legătura cu un dezvoltator.

function wp_version_remove_version() {

return ”;

}

add_filter(‘the_generator’, ‘wp_version_remove_version’);

Puteți utiliza, de asemenea, un plugin premium precum perfmatters, care vă permite să ascundeți versiunea WordPress cu un singur click, împreună cu alte optimizări pentru site-ul dumneavoastră WordPress.

Un alt loc în care apare în mod implicit versiunea WordPress este în fișierul readme.html, care este inclus în fiecare versiune WordPress. Acesta se află în rădăcina instalării dumneavoastră, domain.com/readme.html. Puteți șterge acest fișier în siguranță prin FTP.

Dacă rulați WordPress 5.0 sau o versiune ulterioară, acest lucru nu se mai aplică, deoarece numărul versiunii nu mai este inclus în fișier.

11. Anteturi de securitate HTTP

Un alt pas pe care îl puteți face pentru întărirea securității WordPress este să profitați de anteturile de securitate HTTP. Acestea sunt de obicei configurate la nivel de server web și spun browserului cum să se comporte atunci când gestionați conținutul site-ului dumneavoastră. Există o mulțime de anteturi de securitate HTTP diferite, dar mai jos sunt cele mai importante:

  • Content-Security Policy
  • X-XSS-Protection
  • Strict-Transport-Security
  • X-Frame-Options
  • Public-Key-Pins
  • X-Content-Type

Puteți verifica ce anteturi rulează în prezent pe site-ul dumneavoastră WordPress, lansând devtools Chrome și consultând antetul din răspunsul inițial al site-ului dumneavoastră.

De asemenea, puteți scana site-ul dumneavoastră WordPress cu instrumentul gratuit securityheaders.io oferit de Scott Helme.

 Aceasta vă va arăta ce anteturi de securitate HTTP aveți în prezent pe site-ul dumneavoastră. 

Dacă nu sunteți sigur cum să le implementați, puteți să vă întrebați întotdeauna firma de hosting dacă vă poate ajuta.

Notă: 

Este important să rețineți felul în care anteturile de securitate HTTP ar putea afecta subdomeniile dumneavoastră WordPress atunci când le implementați. 

De exemplu, dacă adăugați antetul Politicii de securitate a conținutului și restricționați accesul pe domenii, trebuie să adăugați și propriile dumneavoastră subdomenii.

12. Pluginuri de securitate WordPress

Și, desigur, trebuie să oferim câteva mențiuni de plugin-uri de securitate WordPress. 

Există o mulțime de dezvoltatori și companii grozave, care oferă soluții excelente pentru a vă proteja cât mai bine site-ul dumneavoastră WordPress. 

Iată câteva dintre ele:

  • Sucuri Security
  • iThemes Security
  • WordFence Security
  • WP fail2ban
  • SecuPress

Iată câteva caracteristici și utilizări tipice ale pluginurilor de mai sus:

  • Generați și forțați parole puternice atunci când creați profiluri de utilizator
  • Forțați parolele să expire și să fie resetate regulat
  • Jurnal de acțiune utilizator
  • Actualizări ușoare ale cheilor de securitate WordPress
  • Scanare malware
  • Autentificare cu doi factori
  • reCAPTCHAs
  • Firewall-uri de securitate WordPress
  • Listare albă a IP-urilor
  • Lista neagră a IP-urilor
  • Schimbări de fișiere
  • Monitorizați modificările DNS
  • Blocați rețelele dăunătoare
  • Vizualizați informațiile WHOIS despre vizitatori

O caracteristică foarte importantă, pe care multe plugin-uri de securitate o includ este checkum. Ce face ea mai exact?

 Vă inspectează instalarea WordPress și caută modificări în fișierele principale, așa cum sunt furnizate de WordPress.org (prin API). Orice schimbări sau modificări ale acestor fișiere ar putea indica un hack. Puteți utiliza, de asemenea, WP-CLI pentru a rula propriul control.

Un alt plugin minunat care merită menționat este pluginul WP Security Audit Log. 

Acesta este nemaipomenit pentru aceia dintre voi care lucrează pe site-uri WordPress de tip multisite sau pur și simplu site-uri multi-autor. 

Ajută la asigurarea productivității utilizatorului și permite administratorilor să vadă tot ceea ce este schimbat; cum ar fi autentificări, modificări de parolă, modificări de temă, modificări de widget, creații noi de postare, actualizări WordPress etc.

Este o soluție completă de jurnal de activități WordPress. În perioada scrierii acestui articol, pluginul WP Security Audit Log are peste 100.000 de instalări active, cu un rating de 5 din 5 stele.

13. Securitatea bazelor de date

Există câteva modalități de îmbunătățire a securității pe baza de date WordPress. 

Prima este să folosiți un nume inteligent de bază de date. Dacă site-ul dumneavoastră este numit volei tricks, în mod implicit, baza de date WordPress este cel mai probabil numită wp_volleyballtricks. Schimbând numele bazei de date cu unele mai obscure, vă ajută să vă protejați site-ul, făcând mai dificil pentru hackeri să identifice și să acceseze datele bazei de date.

O a doua recomandare este să folosiți un prefix diferit pentru tabelul de baze de date. 

În mod implicit, WordPress folosește wp_. Modificarea acestui lucru în ceva similar cu 39xw_ îl poate face să fie mult mai sigur. Când instalați WordPress, acesta cere un prefix de tabel. Există, de asemenea, modalități de a modifica prefixul tabelului WordPress pe instalările existente.

14. Conexiuni sigure

Nu putem sublinia cât de important este să utilizați conexiuni sigure! 

Asigurați-vă că  gazda dumneavoastră WordPress, ia măsuri de precauție, cum ar fi oferirea de SFTP sau SSH. 

SFTP sau Secure File Transfer Protocol (cunoscut și sub numele de protocol de transfer de fișiere SSH), este un protocol de rețea utilizat pentru transferuri de fișiere. Este o metodă mult mai sigură față de FTP standard.

De asemenea, este important să vă asigurați că routerul dumneavoastră de acasă este configurat corect. 

Dacă cineva va avea acces la rețeaua dumneavoastră de domiciliu, ar putea avea acces la tot felul de informații, inclusiv la informațiile și datele dumneavoastră importante despre site-urile dumneavoastră WordPress. 

Iată câteva sfaturi simple:

  • Nu activați gestionarea la distanță (VPN). Utilizatorii obișnuiți nu folosesc niciodată această caracteristică și păstrând-o departe, vă puteți împiedica să vă expuneți rețeaua în lumea exterioară.
  • În mod implicit, routerele folosesc IP-uri în interval, cum ar fi 192.168.1.1. Utilizați o gamă diferită, cum ar fi 10.9.8.7.
  • Activați cel mai înalt nivel de criptare pe Wifi.
  • Setați Wifi-ul dumneavoastră, astfel încât doar persoanele cu parola și anumite adrese IP să-l poată accesa.
  • Mențineți actualizarea firmware-ului de pe router.

Și întotdeauna aveți grijă când vă conectați pe site-ul dumneavoastră WordPress în sau din locații publice. 

Nu uitați, localurile precum Starbucks nu au o rețea sigură! 

Luați măsuri de precauție, cum ar fi verificarea SSID-ului de rețea înainte de a face click pe conectare. Puteți utiliza, de asemenea, un serviciu VPN al unei părți terțe, cum ar fi ExpressVPN, pentru a cripta traficul de internet și pentru a ascunde adresa IP de hackeri.

15. Permisiuni de fișiere și server

Permisiunile de fișiere atât pe instalarea dumneavoastră WordPress cât și pe serverul dumneavoastră web sunt esențiale pentru a vă asigura securitatea WordPress. 

În cazul în care permisiunile sunt prea libertine, cineva ar putea obține cu ușurință accesul la site-ul dumneavoastră și ar putea face ravagii. 

Pe de altă parte, dacă permisiunile dumneavoastră sunt prea stricte, acest lucru ar putea rupe funcționalitatea pe site-ul dumneavoastră. 

Așadar, este important să aveți permisiunile corect setate pe toate departamentele.

Permisiuni de fișiere

  • Permisiunile de citire sunt atribuite dacă utilizatorul are dreptul de a citi fișierul.
  • Permisiunile de scriere sunt atribuite dacă utilizatorul are dreptul de a scrie sau modifica fișierul.
  • Permisiunile de executare sunt alocate dacă utilizatorul are dreptul de a rula fișierul și / sau de a-l executa ca script.

Permisiunile directorului

  • Permisiunile de citire sunt atribuite dacă utilizatorul are dreptul de a accesa conținutul dosarului / directorului identificat.
  • Permisiunile de scriere sunt alocate dacă utilizatorul are dreptul de a adăuga și / sau șterge fișierele conținute în dosarul / directorul.
  • Autorizațiile de executare sunt atribuite dacă utilizatorul are dreptul de a accesa directorul propriu-zis și de a efectua funcții și comenzi, inclusiv posibilitatea de a șterge datele din dosar / director.

16. Dezactivați editarea în tabloul de bord

Multe site-uri WordPress au mai mulți utilizatori și administratori, ceea ce poate face securitatea WordPress mai complicată. O practică foarte proastă este aceea de a oferi acces autorilor sau contribuabililor administratorului, dar, din păcate, se întâmplă tot timpul. 

Este important să le oferiți utilizatorilor roluri și permisiuni corecte, astfel încât să nu rupă nimic. Din această cauză, poate fi benefic să dezactivați pur și simplu „Editorul de aspect” în WordPress.

Majoritatea dintre voi ați fost probabil în situația asta într-un moment sau altul. vă duceți să editați rapid ceva în Editorul de aspecte și dintr-o dată rămâneți cu un ecran alb al morții. 

Este mult mai bine să editați fișierul local și să îl încărcați prin FTP. Și, bineînțeles, în spiritul celor mai bune practici, ar trebui să testați această modificare pe un site de dezvoltare.

De asemenea, dacă site-ul dumneavoastră WordPress este spart, primul lucru pe care intrușii l-ar putea face este să încerce să editeze un fișier PHP sau o temă prin intermediul Editorului de aspect. 

Acesta este un mod rapid pentru intruși de a executa codul rău intenționat pe site-ul dumneavoastră. Dacă nu au acces la acest lucru din tabloul de bord, pentru început, poate ajuta la prevenirea atacurilor. 

Plasați următorul cod în fișierul dumneavoastră wp-config.php pentru a elimina funcțiile „edit_themes”, „edit_plugins” și „edit_files” ale tuturor utilizatorilor.

define(‘DISALLOW_FILE_EDIT’, true);

17. Preveniți Hotlinking-ul

Conceptul de hotlinking este foarte simplu. 

Găsiți o imagine undeva pe Internet și folosiți adresa URL a imaginii direct pe site-ul dumneavoastră. Această imagine va fi afișată pe site-ul dumneavoastră web, dar va fi servită din locația inițială. Acesta este de fapt furt, deoarece se folosește lățimea de bandă a site-ului conectat la cald. S-ar putea să nu pară un lucru important, dar ar putea genera multe costuri suplimentare.

Împiedicați hotlinking-ul în Apache

Pentru a preveni hotlinking-ul în Apache, trebuie doar să adăugați următorul cod la fișierul dumneavoastră .htaccess:

RewriteEngine on

RewriteCond %{HTTP_REFERER} !^$

RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]

RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/hotlink-placeholder.jpg [NC,R,L]

Al doilea rând definește referitorul permis – site-ul căruia i se permite să se conecteze direct la imagine, acesta ar trebui să fie site-ul dumneavoastră real. 

Dacă doriți să permiteți mai multe site-uri, puteți copia acest rând și înlocui referitorul.

Împiedicați hotlinking-ul în NGINX

Pentru a preveni hotlinking-ul în NGINX, trebuie doar să adăugați următorul cod în fișierul dumneavoastră de configurare:

location ~ .(gif|png|jpe?g)$ {

valid_referers none blocked ~.google. ~.bing. ~.yahoo yourdomain.com *.yourdomain.com;

if ($invalid_referer) {

return 403;

}

}

18. Efectuați întotdeauna backup-uri WordPress

Backup-urile sunt singurul lucru de pe care toată lumea știe că are nevoie, dar nu sunt întotdeauna necesare. 

Majoritatea recomandărilor de mai sus sunt măsuri de securitate pe care le puteți lua pentru a vă proteja mai bine. Dar oricât de sigur este site-ul dumneavoastră, acesta nu va fi niciodată 100% sigur. Așadar, veți dori să aveți copii de rezervă în cazul în care se întâmplă ceva rău.

Majoritatea furnizorilor de hosting WordPress gestionează sau oferă acum copii de rezervă.

Dacă hostul dumneavoastră nu oferă copii de rezervă, există unele servicii și pluginuri populare pe care le puteți utiliza pentru a automatiza procesul.

Servicii de backup WordPress

Serviciile de backup WordPress au de obicei o taxă lunară mică și stochează copiile de rezervă pentru dumneavoastră în cloud.

  • VaultPress
  • CodeGuard
  • BlogVault

Plugin-uri de backup WordPress

Plugin-urile de backup WordPress vă permit să preluați backup-urile prin FTP sau să vă integrați cu o sursă de stocare externă, cum ar fi Amazon S3, Google Cloud Storage, Google Drive sau Dropbox. 

Vă recomandăm să alegeți o soluție incrementală, astfel încât să folosească mai puține resurse.

  • Duplicator
  • WP Time Capsule
  • BackupBuddy
  • UpdraftPlus
  • BackUpWordPress
  • BackWPup
  • WP BackItUp