WordPress este o platforma de content management maleabila, prietenoasa si intuitiva. Dar daca ai ajuns aici și citești aceste rânduri probabil știi asta deja. Ceea ce poate nu știi este ca in acest moment exista online aproximativ jumătate de miliard de site-uri create in WordPress. Mai mult de 42% din din top 10 milioane cele mai vizitate site-uri sunt făcute in WordPress. Ușurința de folosire și răspândirea larga îl face sa fie o tinta greu de ratat. Drept dovada, 90% din atacurile asupra platformelor CMS au ca tinta WordPress. Majoritatea acestora sunt automate, ceea ce înseamna ca nu isi bate nimeni capul încercând diverse parole precum vezi in filme. In realitate este de fapt mai rău.
Vestea buna e ca WordPress este o platforma cu niște principii de securitate destul de sănătoase ce se regăsesc in întregul sau ciclu de dezvoltare. Cu toate astea, “out of the box” este ca o căprioara in bătaia farurilor. Ceea ce înseamna ca trebuie sa faci câteva tweak-uri ca sa-l aduci la un nivel rezonabil.
Asadar am pus la un loc aceste patru principii esențiale pentru a rula un site sănătos in WordPress. Știu ca la prima vedere poate părea prea simplu ca sa aibă un efect real, dar tine cont ca acestea sunt doar niște principii ce pot fi adresate in miriade de feluri. Respecta-le și iți promit ca vei dormi mai liniștit de acum înainte.
- Nu instala teme sau plugin-uri din surse neoficiale sau suspicioase.
O tema premium gratuita este doar un miraj. De cele mai multe ori in aceste cazuri, codul sursa este compromis pentru a acomoda un exploit pe care tu îl activezi de buna voie pe site-ul tau instalând aceasta tema. Lăsând la o parte conotațiile morale negative asociate cu folosirea unui soft nelicențiat, dacă tu nu ești dispus sa dai 50+ dolari pe o tema premium, de ce crezi ca cineva ar vrea sa le distribuie gratuit pe internet? Realitatea e ca exista un preț ascuns care in cele din urma va fi mai mare decât ceea ce ai plati pe un market legitim.
- Actualizează regulat temele și plugin-urile pe care le folosești.
Activează auto-update dacă acesta este disponibil.
Asigura-te ca nu folosești teme sau plugin-uri ieșite din suport. Daca acesta este cazul trebuie sa faci un plan de tranziție cat mai repede posibil. Nu te amăgi cu ideea ca dacă nimic rău nu s-a întâmplat pana acum, nu se va întâmpla nici de acum înainte. Actorii malițioși scanează constant plaje largi ale internetului in căutarea victimelor ușoare iar softul învechit te face o tinta foarte ușoara.
- Folosește un plugin de securitate WordPress precum iThemes Security, Wordfence, All In One WP Security & Firewall.
Nu te îngrijora dacă nu ai cunoștințe tehnice avansate. Aceste soluții sunt special create pentru a fi ușor de folosit de către utilizatorul obișnuit. In cele mai multe cazuri vin cu o opțiune de tipul “securizare one click” care aplica un set de reguli de securitate de bun simt. Desi pentru multi ar putea părea banale, sunt un salt enorm fata de instalarea WordPress “out-of-box”.
Mare atenție totuși, dacă nu ești utilizator avansat, nu face exces de zel in activarea setărilor mai avansate. S-ar putea sa faci mai mult rău decât bine. Stick to the basics. Daca totuși vrei sa explorezi aceasta zona, activează pe rand aceste opțiuni, verificând de fiecare data funcționalitatea site-ului. Daca acesta devine inaccesibil din cauza uneia din opțiuni, ai vrea sa ai un backup la îndemâna. Ceea ce ne duce la punctul 4:
- Efectuează backup-uri regulate.
Nu pot sa subliniez îndeajuns cat de important este sa ai un backup valabil atunci când lucrurile o iau la vale. Ideal ar fi sa folosești un serviciu de backup specializat care sa facă un backup full (DB + fișiere) într-o locație offsite, pe care sa il poți accesa la discreție fără intervenție externa. Insa de cele mai multe ori costurile asociate cu o astfel de soluție nu sunt justificabile pentru proiecte personale ce nu au un scop comercial.
Din fericire exista soluții accesibile tuturor cum ar fi plugin-ul WP-DBManager, sau chiar plugin-urile de securitate menționate la punctul anterior.
O importanta deosebita o are baza de date. Baza de date continue toate postările, paginile și setările site-ului tau. Backup-ul arhivat al bazei de date este in general suficient de mic încât poate fi salvat local sau chiar trimis automat, la un interval, către o adresa de mail. Asigura-te ca setezi o anumita recurenta acestor backup-uri, mai ales dacă creezi des conținut, altfel un backup de acum 6 luni nu o sa te ajute foarte mult.
Nu zic ca daca faci toate astea o sa fii protejat miraculos de toate atacurile. Tine minte ca riscul exista si va exista intr-o anumita masura orice am face. Ce poti face insa este sa reduci substantial acest risc urmand aceste principii simple.
Be safe.