Oops! It appears that you have disabled your Javascript. In order for you to see this page as it is meant to appear, we ask that you please re-enable your Javascript!
Home / Blogosfera / Măsuri de securitate pentru blog

Măsuri de securitate pentru blog

securitate

Cu aproximativ o lună în urmă mi-a fost spart blogul, adică cineva a reușit să se conecteze ca admin pe blogul meu. Din fericire nu am pierdut nimic pentru că prietenul care îmi găzduiește blogul pe server-ul lui a schimbat repede user-ul și parola. Norocul meu cu el, că la 12 noaptea eu dormeam tun. În afară de faptul că am găsit toate plugin-urile inactive, articolele și comentariile au rămas la locul lor. Pot spune că am fost norocoasă. Nu am scris atunci un articol pe blog legat de acest subiect.

Nu am vrut să pierd timpul cu așa ceva și am preferat să instalez mai multe plugin-uri de securitate și să fac setările necesare. Vina a fost a mea, recunosc. Din cauză că blogul meu a fost vulnerabil am făcut tot posibilul să îmi iau cât mai multe măsuri de securitate pentru a evita pe viitor asemenea situație neplăcută. Dar mai bine vă spun ce am făcut.

Cu toată că și înainte aveam instalat plugin-ul Wordfence, acesta s-a dovedit inutil din momentul în care s-a logat altcineva (în afară de mine) pe blog. Prima schimbare pe care am făcut-o a fost să schimb cuvântul admin (implicit) de la username cu altul, mai complicat. La fel am făcut și cu parola. Apoi am instalat un nou plugin Captcha și umblat puțin  la setările  Wordfence, mărind nivelul de securitate și setând pe blocare automată pe o perioadă de câteva ore a oricărei tentative de logare eșuată. Poate vă întrebați de ce nu am setat blocarea definitivă și permanentă a unui IP după prima tentativa? Pentru că nu vreau să îmi blochez accesul singură în cazul în care atunci când vreau să introduc user și parolă greșesc o literă sau o cifră. Nimeni nu este perfect și se poate întâmpla așa ceva.

Sunteți curioși ce cuvinte sunt folosite de către cei care au încercat (și continuă să face asta) să se logheze? Rar se mai întâmplă să apară cuvântul admin, au început să diversifice și să apară cuvinte noi: {domain}, administrator, gmxul (da, au incercat si cu numele blogului), adm, editor etc. Interesant este faptul că niciun IP nu provine din România (deci e bine, nu?) ci din țări precum: Egypt, Belarus, Taiwan, Germany, Japan, Philippines, United States, Venezuela, Peru, Bolivia, Ecuador, India etc.

A doua zi după ce blogul mi-a fost am reinstalat plugin-urile și am urmărit cu ajutorul Wordfence tentativele de logare pe blogul meu și pur și simplu m-am îngrozit. Una pe secundă!! Atunci am schimbat setările implicite ale pluginuri-lor de securitate pe care le instalasem. Wordfence oferă posibilitatea blocării definitive (manual) a IP-urilor de pe care s-a încercat logarea. Am apelat și la metoda aceasta ca măsură de securitate. Este foarte eficientă dar presupune efort și este nevoie de timp pentru a pândi și a bloca IP-urile respective.

Câteva sfaturi:

Dacă instalați plugin-uri umblați puțini și pe la setări nu vă mulțumiți cu cele implicite, pentru că nu vă ajută decât într-o foarte mică măsură. Nu mai folosiți cuvântul admin (implicit) pentru user. Schimbați-l cu altul mai complicat, de preferabil românesc, dar nu neapărat. Cu cât este mai complicat, cu atât mai bine! Folosiți o parolă puternică formată din litere mari, mici și cifre. Instalați plugin-uri pentru securitatea blogului (BulletProof Security și Wordfence), plugin BWS (setat pentru cod captcha la comentarii, înregistrare, logare și resetare parolă). Instalați un plugin pentru salvarea datelor (WordPress Database Backup) Setați-l să facă backup periodic și să primiți fișierele la e-mail.

Probabil măsurile de siguranță pe care le-am luat eu nu sunt suficiente, cine știe. Știu că există mult multe plugin-uri de securitate eficiente precum și alte metode avansate pentru securitatea unui site, dar nu le știu. Deocamdată m-am rezumat la ceea ce am scris și sper să fie bine de acum încolo.

Facebook Comments

About Mihaela

7 comments

  1. Cata nevoie aveam de plugingul asta si nu stiam cum se numeste.
    E de mare ajutor. Multumesc.

  2. solutia mai „simpla”?

    1.parolarea folderului wp-admin, cu un user/parola diferite de cele de la wordpress. asigura un plus de securitate.
    2. modificarea userului cu drept de admin, din admin in…orice(ex: oaia22)
    3. modificarea denumirii fisierului de login.

    si dezinstalarea si stergerea plugin-urilor inutile

  3. Şi pe serverul pe care am eu găzduit blogul sunt tot felul de încercări de spargeri. E bine de ştiut cum să ne protejăm!

    • Eu nu înțeleg ce treaba au cu blogurile…:) Pe de o parte mi se pare amuzant, dar pe de altă parte îmi este ciudă, pentru că nu aș vrea să mă trezesc cu blogul „chel”!!

Leave a Reply

Your email address will not be published. Required fields are marked *

*

Acest sit folosește Akismet pentru a reduce spamul. Află cum sunt procesate datele comentariilor tale.