Funcții și tehnici pentru securitatea WordPress

⏲️ Timp estimat de citire: 3 min

Funcții și tehnici pe care le poți folosi pentru a îmbunătăți securitatea WordPress. Securitatea WordPress este esențială pentru protejarea site-ului tău împotriva atacurilor. Mai jos sunt câteva exemple de funcții și tehnici pe care le poți folosi pentru a îmbunătăți securitatea WordPress.

1. Ascunderea Versiunii WordPress

Atacatorii pot folosi informațiile despre versiunea WordPress pentru a exploata vulnerabilitățile cunoscute. Poți elimina afișarea versiunii cu această funcție:

function remove_wp_version() {
    return '';
}
add_filter('the_generator', 'remove_wp_version');

2. Dezactivarea Editării Fișierelor din Admin

Pentru a preveni atacurile prin modificarea fișierelor direct din panoul de administrare:

define('DISALLOW_FILE_EDIT', true);

Adaugă această linie în wp-config.php.

3. Limitarea Numărului de Încercări de Logare

Aceasta ajută la prevenirea atacurilor brute-force:

function limit_login_attempts($username) {
    $limit = 5; // Numărul maxim de încercări
    $lockout_time = 300; // În secunde (5 minute)

    if (!session_id()) {
        session_start();
    }

    if (!isset($_SESSION['login_attempts'])) {
        $_SESSION['login_attempts'] = 0;
    }

    if ($_SESSION['login_attempts'] >= $limit) {
        die('Prea multe încercări. Încearcă din nou mai târziu.');
    }

    $_SESSION['login_attempts']++;
}
add_action('wp_login_failed', 'limit_login_attempts');

4. Dezactivarea XML-RPC

XML-RPC poate fi folosit pentru atacuri brute-force și exploatări de securitate. Dezactivează-l astfel:

add_filter('xmlrpc_enabled', '__return_false');

Pentru blocare completă, adaugă în .htaccess:

<Files xmlrpc.php>
    Order Deny,Allow
    Deny from all
</Files>

5. Forțarea Utilizării SSL pentru Admin

Dacă site-ul tău suportă HTTPS, forțează utilizarea SSL în admin:

define('FORCE_SSL_ADMIN', true);

6. Schimbarea Prefixului Tabelului WordPress

În wp-config.php, schimbă prefixul implicit al tabelului din:

$table_prefix = 'wp_';

în ceva personalizat, ex.:

$table_prefix = 'wpsec_';

Acest lucru îngreunează atacurile SQL Injection.

7. Dezactivarea Enumărării Utilizatorilor

Atacatorii pot enumera utilizatorii prin /?author=1. Blochează această metodă:

function block_user_enumeration() {
    if (is_admin()) {
        return;
    }
    if (preg_match('/author=([0-9]*)/i', $_SERVER['QUERY_STRING'])) {
        wp_redirect(home_url());
        exit;
    }
}
add_action('init', 'block_user_enumeration');

8. Dezactivarea Erorilor la Autentificare

Eroarea de autentificare poate oferi atacatorilor indicii despre conturi. Dezactivează afișarea acestora:

function custom_login_errors() {
    return 'Date incorecte!';
}
add_filter('login_errors', 'custom_login_errors');

9. Activarea Autentificării cu Doi Factori (2FA)

Nu este o funcție PHP, dar este esențială. Poți folosi un plugin ca WP 2FA sau Google Authenticator pentru a adăuga un strat suplimentar de protecție.

10. Scanare și Protecție Automată

Instalează un plugin de securitate precum Wordfence sau Sucuri Security pentru scanarea automată a fișierelor și blocarea atacurilor.

Taguri: securitate wordpress, protecție site, wordpress hacking, php securitate, xmlrpc dezactivare, autentificare sigură, limitare login, securitate wp-config, bruteforce wordpress, protejare admin

📩 Ai întrebări sau sugestii? Lasă un comentariu sau contactează-ne!

Raportează o problemă (maxim 5 cuvinte):

Doar utilizatorii autentificați pot trimite rapoarte.