Seguretat de WordPress: 24 consells per protegir el vostre lloc web dels pirates informàtics

La seguretat de WordPress ha de ser la primera prioritat a l’hora de gestionar un lloc web. Dissenyeu el vostre lloc web, publiqueu contingut, vengueu productes en línia, però si no us poseu seriosament la seguretat de WordPress, el vostre lloc pot ser piratejat en qualsevol moment.. 


Cada dia hi ha 30.000 llocs web que es pirategen i més de 2.000 llocs web apareixen a la llista negra de Google. No ets una excepció. Si un lloc web del govern es pot piratejar, per què no la seva?

Un matí, us vau despertar i veieu que el vostre lloc de WordPress és inaccessible i veieu missatges aleatoris com,

“El vostre lloc web és piratejat per xyz”: el lloc està piratejat

“El lloc per davant conté programari maliciós”, publicat a Google per la llista negra

Aquesta és la pitjor cosa que podríeu afrontar amb el vostre lloc web.

Però, per què WordPress?

WordPress pot sobre un 31% (80 milions) del total de llocs web al web. Segons W3Techs, WordPress té un 60% de la quota de mercat de CMS més que altres plataformes, la qual cosa és una raó bastant sòlida per atraure hackers.

Però no tinguis pànic. Potenciar la seguretat de WordPress és molt fàcil i també ho podeu fer.

En aquest article, compartiré 24 millors consells de seguretat de WordPress per protegir el vostre lloc web contra pirates informàtics i programari maliciós.

“Per què no esvair la porta del vostre palau abans que la descobreixin?” – WPMyWeb

Contents

Problemes comuns de seguretat de WordPress

Abans de aprofundir en les millors pràctiques de seguretat de WordPress, entenem primer alguns problemes habituals de seguretat de WordPress.

Molts usuaris creuen que WordPress no és una plataforma segura per utilitzar per a una empresa, cosa que no és veritat. Això es deu al desconeixement de la seguretat de WordPress, una mala administració del sistema, utilitzant programes de WordPress obsolets i plugins, etc..

Molts principiants de WordPress suposen que la creació d’un lloc web és el final i no requereix cap manteniment de seguretat. Així es deixa que el vostre lloc sigui vulnerable.

Un cop els pirates informàtics es troben vulnerables al vostre lloc, podran explotar-lo fàcilment.

Anem a veure alguns dels problemes habituals de seguretat de WordPress.

1. Atacs de força bruta: 

En l’atac de la força bruta, s’utilitza un script automatitzat per generar diverses combinacions de noms d’usuari i contrasenyes. Hacker utilitza la pàgina d’inici de sessió de WordPress per executar un atac de força bruta. 

Si utilitzeu un nom d’usuari i una contrasenya simples, podríeu ser la següent víctima d’aquest atac.

2. Scripting de llocs creuats (XSS):

Els scripts de llocs creuats són un tipus d’atac on els atacants injecten codi / script maliciós en un lloc web de confiança. Aquest mètode de pirateria és totalment invisible per als usuaris que naveguen pel lloc web.

Aquests scripts maliciosos carreguen de forma anònima i roben informació del navegador dels usuaris. Fins i tot si un usuari introdueix dades en qualsevol forma, es podrien robar.

3. Injeccions SQL:

WordPress utilitza una base de dades MySQL per emmagatzemar informació del bloc.

La injecció SQL es produeix quan els pirates informàtics tenen accés a la base de dades de WordPress. Al piratejar la base de dades de WordPress, els pirates informàtics poden crear un nou compte d’administració amb accés complet al vostre lloc.

També poden inserir dades a la base de dades MySQL i afegir enllaços a llocs web maliciosos o spam.

4. Aire lliure:

Amb el nom de “porta posterior”, podeu entendre què vol dir. 

Backdoor és un mètode de pirateria que permet als pirates informàtics accedir a un lloc web obviant el procés d’autenticació normal i, fins i tot, no poden ser detectats pel propietari del lloc..

Després de piratejar un lloc web, els pirates informàtics solen deixar la seva petjada, de manera que puguin accedir al lloc web, fins i tot que el hack es suprimeixi.

5. Pharma Hacks:

WordPress Pharma hacks és una mena d’espam de llocs web que omple els resultats del motor de cerca amb contingut de la farmàcia spam que està prohibit a la web com Viagra, Nexium, Cialis, etc..

A diferència d’altres hacks de WordPress, els resultats de pirates de pharma només són visibles als motors de cerca. De manera que no podeu detectar el pirateig només visualitzant el vostre lloc web o el codi font.

Vés a Google i escriu lloc: domain.com. Si els resultats de la cerca mostren el contingut del vostre lloc web (no el contingut de la farmàcia), el vostre lloc no es veurà afectat pels problemes farmacèutics.

L’objectiu d’aquest hack és explotar les vostres pàgines més valuoses superant l’etiqueta de títol amb enllaços nocius. Per no oblidar, si no inspeccioneu bé el tema, els motors de cerca com Google, Bing pot fer una llista negra al vostre lloc web per proporcionar contingut maliciós..

6. Redireccions malicioses:

La redirecció maliciosa de WordPress és una mena de pirata on els visitants del vostre lloc es redireccionen automàticament a llocs spamants com llocs de jocs, jocs de pornografia o de cites. Aquest hack es produeix quan s’injecta un codi maliciós al fitxer o a la base de dades del vostre lloc web.

Si el vostre lloc redirigeix ​​els visitants a llocs il·legals o malintencionats, Google podria ser llistat negre per Google.

Per què la seguretat de WordPress és important?

El vostre lloc web representa la vostra marca, el vostre negoci i, el més important, el primer contacte amb els vostres clients.

Probablement us heu trigat diversos anys amb molts esforços per mantenir la vostra empresa i fer créixer el trànsit. El públic els agrada els vostres articles i confien en els vostres productes, per això mantenen contacte amb vosaltres.

Si el vostre lloc de WordPress no és segur, hi ha moltes maneres de veure el vostre lloc i els vostres clients. Els pirates informàtics poden robar informació personal, contrasenyes, dades de la targeta de crèdit, informació de transacció i distribuir programari maliciós als usuaris.

Si el vostre lloc està piratejat, notareu que el seu trànsit baixa dràsticament. A més, Google llistarà la llista negra del vostre lloc web.

D’acord amb la Bloc de Google, el nombre de llocs web piratejats està augmentant aproximadament un 20% el 2016 respecte al 2015.

En un estudi, Securi informes que Google llista més de 10.000 llocs web cada dia.

Si us preocupa el vostre negoci, heu de prestar més atenció a la vostra seguretat de WordPress.

WordPress Security

Millor guia de seguretat de WordPress

  1. Obteniu un bon allotjament de WordPress
  2. Manteniu la versió de WordPress actualitzada
  3. No utilitzeu cap tema ni cap complement ni tema ni fissures
  4. Utilitzeu contrasenyes fortes
  5. Afegir (2FA) Autenticació de dos factors
  6. Canvia l’URL d’inici de sessió de WordPress
  7. Limita els intents d’inici de sessió
  8. Fes una còpia de seguretat del teu lloc regularment
  9. Utilitzeu un complement de seguretat de WordPress
  10. Desconnecta automàticament els usuaris inactius
  11. Afegiu preguntes de seguretat a la pàgina d’inici de sessió de WordPress
  12. Canvieu el nom d’usuari de “administrador” per defecte
  13. Assigna els usuaris al paper més baix possible
  14. Supervisar els canvis de fitxers i les activitats de l’usuari
  15. Instal·leu el certificat SSL
  16. Suprimeix els temes i plugins no utilitzats
  17. Desactiva l’edició de fitxers al tauler de control de WordPress
  18. Protecció de contrasenya: pàgina d’inici de sessió de WordPress
  19. Desactiva la navegació de directoris
  20. Elimineu el número de versió de WordPress
  21. Canvia el prefix de la base de dades de WordPress
  22. Utilitzeu només temes i complements de confiança de WordPress
  23. Desactiveu els informes d’error PHP
  24. Afegiu capçaleres segures HTTP a WordPress

A punt? Comencem.

1. Obteniu un bon allotjament de WordPress

L’allotjament de WordPress té un paper important a l’hora de millorar la seguretat de WordPress.

Esteu pagant el servei d’allotjament i el vostre lloc web es manté sota el seu control. Així que heu d’anar amb compte abans d’escollir un bon allotjament de WordPress per al vostre lloc web.

L’allotjament compartit com A2Hosting, Bluehost etc. és la millor opció d’allotjament per executar un bloc de trànsit baix. Però, en un allotjament compartit, sempre hi haurà una possibilitat de contaminació entre llocs.

La contaminació entre llocs es produeix quan un pirata informàtic pot accedir al servidor web mitjançant un lloc web vulnerable i, a continuació, explotar tots els altres llocs web del mateix servidor web.

Us recomanem que utilitzeu un proveïdor d’allotjament de WordPress gestionat. Les empreses d’allotjament de WordPress gestionades ofereixen opcions de seguretat de diverses capes per als llocs web. Les seves plataformes d’allotjament estan altament protegides i ofereixen exploracions diàries de programari maliciós i impedeixen qualsevol atac extern. Si és així, troben programari maliciós al seu servidor, assumeixen la responsabilitat i se l’eliminen a l’instant.

També ofereixen còpies de seguretat diàries, certificat SSL gratuït, suport expert 24 × 7.

Recomanem l’empresa d’allotjament de WordPress gestionada per WPEngine. Ofereixen múltiples capes de seguretat per protegir el vostre lloc de WordPress. Amb el seu pla, obtindreu còpies de seguretat diàries, SSL gratuït, CDN global i assistència experta 24 × 7.

Visita WPEngine. [Codi de descompte afegit en aquest enllaç]

Torna a l’inici

2. Mantingui la versió de WordPress actualitzada

Mantenir el vostre lloc de WordPress actualitzat és una bona pràctica de seguretat per endurir la vostra seguretat de WordPress. Aquesta actualització inclou la versió de WordPress, els complements i els temes.

En un estudi recent, Securi analitzat que el 56% del total de llocs web infectats per WordPress encara estaven actualitzats. Si ets un d’ells, està en perill.

Cada dia es descobreixen noves vulnerabilitats i no hi ha manera d’aturar-les. El programari i els complements obsolets poden contenir vulnerabilitats que els hackers poden utilitzar per explotar un lloc.

Amb totes les actualitzacions, els desenvolupadors inclouen noves funcions, calcular forats de seguretat, arreglar errors, com el programari de WordPress, també cal actualitzar els temes i complements de WordPress..

El bo és que WordPress llanci automàticament les seves actualitzacions i notifiqui als seus usuaris.

L’actualització de la versió de WordPress, els complements i els temes és molt fàcil i ho podeu fer a través del vostre tauler d’administració de WordPress.

Com actualitzar temes de WordPress, complements i temes?

Primer inicieu la sessió al vostre tauler de WordPress i aneu a panell> Actualitzacions. Allà podreu veure si hi ha una nova actualització disponible.

Nota: Abans d’actualitzar la vostra versió de WordPress, feu una còpia de seguretat completa dels vostres fitxers i base de dades. En cas que es produeixi un error, podeu restaurar el vostre lloc fàcilment a la versió anterior. Podeu fer una còpia de seguretat i restaurar el vostre lloc fàcilment mitjançant BlogVault amb només un clic.

A la pàgina, podeu veure “Hi ha disponible una versió actualitzada de WordPress”. Fer clic a Actualitzar ara botó per actualitzar la vostra versió de WordPress, aquest procés pot trigar uns segons.

Un cop finalitzada l’actualització, desplaceu-vos cap avall per actualitzar els vostres complements de WordPress. Us recomanem que actualitzeu els complements un per un. Primer, seleccioneu un complement i feu clic a Actualització de complements.

De manera similar, actualitzeu els vostres temes a continuació.

Actualitzeu WordPress des del Tauler de control

Tanmateix, el procés d’actualització és una mica complicat per a alguns usuaris, especialment aquells que no tenen tecnologia.

Alguns proveïdors d’allotjament de WordPress gestionats com SiteGround, Kinsta, FlyWheel proporcionen actualització automàtica funció. Per tant, si teniu una agenda ocupada o estàs mandrós d’actualitzar-vos, us pot ser útil.

Llegiu també, Com actualitzar manualment la versió de WordPress, complements i temes

Torna a l’inici

3. No utilitzeu mai cap tema i complements nulats / esquerdats

No és estrany que els plugins i temes premium incloguin una funcionalitat més gran i un aspecte professional. Però cap dels productes premium és gratuït. Ofereix un preu i després de comprar qualsevol producte premium, els usuaris han d’introduir la clau del producte per activar el producte.

Però hi ha molts llocs web maliciosos disponibles que ofereixen temes i complements premium de forma gratuïta. Els temes i plugins esquerdats no necessiten una clau de sèrie per activar-los i no s’actualitzen mai.

Això és el que vull dir:

Exemple de complement de WordPress nul

Aquests temes i plugins anul·lats són molt perillosos per al vostre lloc. Els pirates informàtics injecten codis maliciosos i creen una contraportada al vostre lloc. Així, poden accedir fàcilment al vostre lloc web i piratejar el vostre lloc web, inclosa la base de dades.

No utilitzeu mai ni temes i complements de WordPress anul·lats ni trencats.

Us recomanem que només descarregueu temes o complements gratuïts només des de WordPress.org.

Entenem que el tema o el complement gratuït tenen funcions molt limitades. Però, aquests temes o complements gratuïts són segurs d’ús i s’actualitzen regularment.

També llegiu, 7 millors temes de blocs premium per a WordPress

Torna a l’inici

4. Utilitzeu contrasenyes fortes

Una contrasenya és la clau principal per accedir al vostre lloc de WordPress. Si és senzill i curt, els hackers poden trencar la contrasenya fàcilment. Acabat 80% es produeixen incompliments relacionats amb la pirateria a causa d’una contrasenya feble o una contrasenya robada.

En un estudi recent, Es va revelar SplashData 100 pitjors contrasenyes del 2017.

Aquí hi ha alguns d’ells:

  1. 123456
  2. contrasenya
  3. 12345678
  4. qwerty
  5. 12345
  6. 123456789
  7. lletina
  8. 1234567
  9. futbol
  10. T’estimo
  11. administrador
  12. Benvingut
  13. mico (lol)

Si la vostra contrasenya és simple com la anterior, canvieu-la immediatament. Una contrasenya de bona potència ha de tenir almenys 10 dígits i ha de contenir majúscules, minúscules, número i caràcters especials.

Podeu utilitzar un eina generadora de contrasenya en línia per crear a l’instant milers de contrasenyes segures.

També cal que deseu la contrasenya a l’ordinador.

Per facilitar-ho, podeu utilitzar el programari de gestor de contrasenyes per gestionar tota la vostra contrasenya com LastPass, Dashlane, etc.

Aplica una contrasenya forta als usuaris

De manera predeterminada, WordPress no inclou cap funció que impedeixi als usuaris introduir contrasenyes febles. La majoria de vegades estableixen una contrasenya feble per al seu compte i gairebé no la canvien.

Si teniu un blog WordPress multi-usuari, haureu d’obligar els usuaris a utilitzar una contrasenya forta.

Per facilitar aquest procés, podeu utilitzar un complement. Instal·leu i activeu Força contrasenyes fortes plugin i ja heu acabat. D’aquesta manera s’evitarà que els usuaris i fins i tot l’administrador introdueixi una contrasenya feble.

Torna a l’inici

5. Afegiu l’autenticació de dos factors (2FA) 

Un altre mètode senzill per endurir la vostra seguretat de WordPress és afegir autenticació de dos factors (2FA) a la pàgina d’inici de sessió de WordPress. Bàsicament, l’autenticació de dos factors o la verificació en dos passos és un procés de seguretat que requereix dos mètodes per verificar la vostra identitat.

De manera predeterminada, normalment introduïm nom d’usuari i contrasenya per iniciar la sessió en un lloc web. Si afegiu autenticació de dos factors, necessitareu un procés de verificació addicional com una aplicació per a smartphone per aprovar el procés d’autenticació.

Per tant, si algú coneix el vostre nom d’usuari i la vostra contrasenya, necessita el vostre telèfon intel·ligent per obtenir el codi de verificació per iniciar la sessió al vostre lloc.

Si afegiu autenticació de dos factors, no només assegueu la vostra pàgina d’inici de sessió de WordPress, sinó que també preveniu els atacs de força bruta.

Podeu habilitar l’autenticació de dos factors fàcilment mitjançant el complement WordPress de dos factors autenticador de Google.

Un cop activat, aneu a Usuaris> Perfil d’usuari i activeu el complement.

Configuració de Google Authenticator

A continuació, descarregueu l’aplicació Google autenticador des del telèfon i escanegeu-la Codi de barres o bé introduïu el directori Codi secret (vegeu la captura de pantalla superior) del lloc per afegir-lo.

Un cop afegit, desconnecteu del lloc. A la pàgina d’inici de sessió, veureu un camp addicional on heu d’introduir el codi de verificació des de l’aplicació per a mòbils Google Authenticator.

Camp Google Authenticator

Per obtenir instruccions detallades, consulteu la guia sobre com afegir l’autenticació de dos factors de Google a la pàgina d’inici de sessió de WordPress.

Torna a l’inici

6. Canvieu l’URL de la pàgina d’inici de sessió de WordPress

De manera predeterminada, qualsevol pot accedir a la vostra pàgina d’inici de sessió només afegint “wp-admin” o “wp-login.php” al final del vostre nom de domini com ara: “domain.com/wp-admin” o “domain.com/ wp-login.php ”.

Endevina què! Els pirates informàtics poden executar un atac de força bruta mitjançant la vostra pàgina d’inici de sessió. Si utilitzeu una contrasenya molt senzilla, els hackers poden trencar fàcilment la vostra contrasenya i entrar al vostre lloc web.

Però, i si no saben on atacar? Sí, ho heu encertat.

Si amagueu o canvieu el nom de l’URL de la vostra pàgina d’inici de sessió, els hackers no podrien executar un atac de força bruta.

A WordPress, podeu amagar o canviar el nom de la vostra pàgina d’inici de sessió mitjançant un complement. Des de la galeria de complements de WordPress, instal·leu-la i activeu-la WPS Amaga sessió connectar.

Un cop activat, aneu a Configuració> General i a la part inferior, podeu trobar el Opció WP Hide Login.

WPS Oculta la configuració d’inici de sessió

Simplement canvieu l’URL d’inici de sessió “iniciar Sessió” a una altra cosa que sigui difícil d’endevinar i fer clic Guardar canvis.

Un cop fet, marqueu la pàgina d’inici de sessió nova i ja heu acabat.

Torna a l’inici

7. Limitar els intents d’inici de sessió

De manera predeterminada, WordPress no limita el nombre d’intents d’inici de sessió mitjançant el formulari d’inici de sessió. Això vol dir que qualsevol persona sap que l’URL d’inici de sessió pot provar la funció d’inici de sessió tantes vegades com vulgui. D’aquesta manera, els pirates informàtics fan un atac de força bruta per trencar el vostre “nom d’usuari” i la vostra “contrasenya” per accedir al vostre lloc web.

Limitant els intents d’inici de sessió, podeu endurir la seguretat de WordPress i protegir la vostra pàgina d’inici d’atacs de força bruta.

Podeu definir un nombre màxim d’intents d’inici de sessió incorrectes que un usuari pugui realitzar des de la mateixa adreça IP. Si l’usuari sobrepassa els límits, la IP de l’usuari es bloquejarà durant un període de temps determinat.

Per limitar els intents d’inici de sessió a WordPress, instal·leu Inicieu la sessió LockDown connectar. Un cop activat, aneu a Configuració> Inicieu la sessió LockDown per configurar el connector.

Configuració de la configuració de LockDown

Per obtenir instruccions detallades, consulteu la nostra guia sobre com limitar els intents d’inici de sessió a WordPress

Torna a l’inici

8. Fa una còpia de seguretat del vostre lloc regularment

Les còpies de seguretat són com la màquina del temps. Si el teniu, el vostre lloc web és segur.

Tanmateix, les còpies de seguretat del lloc web no protegeixen el vostre lloc contra els pirates informàtics, però us ajuda a recuperar el vostre lloc.

Per exemple, si alguna cosa va malament amb el vostre lloc durant l’actualització o si el vostre lloc web es pirata, com arreglareu el vostre lloc de nou? Probablement perdreu el lloc.

Però si teniu còpies de seguretat del vostre lloc, podeu restaurar el vostre lloc fàcilment abans que es pirat o caigui.

És per això que us recomanem que utilitzeu un complement de còpia de seguretat de WordPress fiable. Tot i això, moltes empreses d’allotjament ofereixen còpies de seguretat gratuïtes del lloc web, però poden garantir la disponibilitat del vostre lloc si hi ha un error catastròfic. Per tant, heu de guardar les còpies de seguretat en un lloc remot com Google Drive, Amazon S3, Dropbox, etc..

Per sort, això es pot fer mitjançant BlogVault o el complement de còpia de seguretat de WordPress BackUpBuddy. Ambdós ofereixen còpies de seguretat diàries i restauració d’un clic. També podeu crear un lloc d’escenificació sense cost addicional.

Torna a l’inici

9. Utilitzeu el complement de seguretat de WordPress

El següent que necessiteu per endurir la vostra Seguretat de WordPress és un complement de seguretat. Hi ha molts complements de seguretat de WordPress disponibles que us bloquejaran el lloc contra els pirates informàtics i el programari maliciós.

Els complements de seguretat de WordPress detectaran i eliminaran programari maliciós si es troben al vostre lloc. A més, controlen l’activitat dels usuaris en temps real, us avisen si ha canviat alguna cosa, si un plugin conté un programari maliciós, bloqueja el tràfic de correu brossa i molts més.

Us recomanem Securi WordPress Security Plugin. Securi Security ofereix un tipus diferent de funcions de seguretat com ara l’auditoria d’activitats de seguretat, la supervisió de llocs web, tallafoc web,  i molts més.

Securi

El millor de Securi és que si Google fa el pirateig o la llista negra de Google mentre fa servir el servei, garanteixen que arreglarà el vostre lloc..

La majoria dels experts en seguretat de WordPress cobren més de 300 dòlars per arreglar un lloc piratejat, mentre que només obtindreu tots els serveis de seguretat 199 $ per any. És una bona inversió per endurir la seguretat de WordPress.

Torna a l’inici

10. Desconnecta automàticament els usuaris inactius

Si un usuari es manté inactiu o inactiu al vostre lloc durant molt de temps, això pot provocar un atac de força bruta.

Quan un usuari es manté inactiu durant massa temps, els pirates informàtics poden utilitzar galetes o mètodes de segrest de sessió per obtenir accés no autoritzat al vostre lloc web. És per això que la majoria dels llocs web relacionats amb l’educació i les finances, com ara els llocs web d’entrada bancària i de passarel·la de pagaments, fan servir la funció de temps d’espera de la sessió dels usuaris. Així doncs, quan un usuari navega fora de la pàgina i no interactua després d’un període de temps, el lloc web es tanca automàticament l’usuari inactiu..

La mateixa funció que podeu afegir al vostre lloc de WordPress per millorar la seguretat de WordPress. Afegir automàticament usuaris inactius a la sessió a WordPress és extremadament senzill. Tot el que necessiteu per instal·lar un plugin.

Primer, descarregueu i instal·leu el fitxer Desconnexió inactiva Plugin de WordPress. A continuació, activeu-la i aneu a Configuració> Desconnexió inactiva per configurar el connector.

Configuració dels connectors de desconnexió inactiva

Des de la configuració, podeu canviar el temps mort inactiu. Així, passat el temps, tots els usuaris del vostre lloc seran tancats automàticament.

També podeu canviar el missatge de retard inactiu i modificar altres configuracions si cal.

Un cop acabat, feu clic a Guardar canvis per emmagatzemar la configuració.

Per obtenir instruccions detallades, consulteu la nostra guia sobre com desconnectar automàticament usuaris inactius a WordPress

Torna a l’inici

11. Afegiu preguntes de seguretat a la pàgina d’inici de sessió de WordPress

En afegir preguntes de seguretat a la pàgina d’inici de sessió de WordPress, no només protegiràs la pàgina d’inici de sessió de WordPress, sinó també endurirà la seguretat de WordPress.

La pregunta de seguretat afegeix una capa addicional de seguretat per autenticar encara més la vostra identitat durant l’inici de sessió. Això és molt útil si s’està executant un bloc de WordPress amb diversos autors..

Si se us ha robat qualsevol de l’usuari o la vostra contrasenya, la pregunta de seguretat us pot salvar la vida.

Perquè el nom d’usuari i la contrasenya es poden piratejar fàcilment, però és impossible triar una pregunta i una resposta de seguretat adequades. D’aquesta manera podeu desar la vostra pàgina d’inici de sessió de WordPress dels pirates informàtics i dels atacs de força bruta.

Per afegir una pregunta de seguretat a la pàgina d’inici de sessió de WordPress, instal·leu la Pregunta sobre seguretat del WP connectar.

Configuració de les preguntes de seguretat del WP

Un cop activat, aneu a Preguntes sobre seguretat del WP > Configuració de connectors per configurar el connector.

Per defecte, el complement té moltes preguntes habituals afegides. Però, podeu afegir o eliminar totes les preguntes de seguretat de la llista.

A la part inferior, podeu habilitar la pregunta de seguretat a la pàgina d’inici de sessió, registre i contrasenya oblidada. Després d’haver configurat el connector, no oblideu fer clic Desa la configuració.

Nota: Només els usuaris nous poden definir la seva pregunta de seguretat i respondre durant el registre. Per tant, els usuaris registrats han de definir manualment la seva pròpia pregunta i resposta. També podeu definir una pregunta de seguretat i respondre-hi. Això es pot fer a partir de la secció Perfil d’usuari pàgina.

Afegiu molts cops preguntes de seguretat del WP

Per obtenir instruccions detallades, consulteu la nostra guia sobre com afegir preguntes de seguretat a la pàgina d’inici de sessió de WordPress

Torna a l’inici

12. Canvieu el nom d’usuari de “Administrador” per defecte

Després d’instal·lar WordPress, podeu canviar la vostra contrasenya tantes vegades que vulgueu. Però, podeu canviar el vostre nom d’usuari un cop el configureu? No, no?

De manera predeterminada, WordPress no permet als usuaris canviar el nom d’usuari. Però, per què ho has de canviar??

Si utilitzeu un nom d’usuari molt comú com “administrador”, els hackers poden executar adjunts de força bruta amb l’ajuda del vostre nom d’usuari.

Però no tinguis pànic. Hi ha diverses maneres de canviar el teu WordPress fàcilment.

Tot i això, per facilitar el procés, utilitzarem un complement. Primer, descarregueu i instal·leu el fitxer canviador de nom d’usuari connectar. Després, aneu a Usuaris> El teu perfil i cerqueu l’opció de nom d’usuari. Hi trobareu l’opció “Canvia el nom d’usuari”.

Canvia el nom d’usuari de WordPress

Fer clic a Canvia el nom d’usuari i introduïu el nou nom d’usuari. Un cop acabat, feu clic a Actualitza el perfil.

Si voleu canviar el vostre nom d’usuari manualment (sense complement), consulteu l’article 3 maneres diferents de canviar el nom d’usuari de WordPress.

Torna a l’inici

13. Assigna els usuaris al paper més baix possible

Si teniu un lloc WordPress de diversos autors, heu d’anar amb compte abans d’assignar un rol a un usuari.

Moltes vegades, els propietaris de llocs de WordPress assignen un rol d’usuari més elevat als nous usuaris, d’aquesta manera atorgueu tots els privilegis als usuaris i, per tant, qualsevol usuari pot realitzar qualsevol tasca com vulgui..

Per exemple, si no sabeu què pot fer un paper d’usuari d’Editor i assigneu el paper a un usuari habitual, l’usuari pot eliminar totes les vostres publicacions, editar enllaços, crear publicacions de correu brossa, afegir enllaços maliciosos al vostre bloc. publicacions Així és com un usuari pot arruïnar fàcilment el vostre lloc web.

De manera predeterminada, WordPress inclou 5 rols d’usuari diferents.

  • Administrador
  • Editor
  • Autor
  • Col·laborador
  • Subscriptor
  1. Administrador: Els administradors són el paper d’usuari més potent d’un lloc de WordPress. Poden crear, editar i eliminar un compte d’usuari, poden realitzar qualsevol tasca a tot el tauler d’administració de WordPress, tenir control sobre tota l’àrea de contingut i també moderar els comentaris. 
  2. Editor: Els usuaris amb el rol d’Editor tenen tot el control sobre tot el contingut. Poden crear, editar i eliminar qualsevol publicació, incloses les publicacions creades per altres usuaris. També poden moderar comentaris i modificar enllaços.
  3. Autor: Els autors només poden publicar, editar o eliminar les seves pròpies publicacions. Poden penjar fitxers multimèdia per utilitzar-los a les seves publicacions. Poden veure els comentaris, però no poden aprovar ni eliminar cap comentari.
  4. Col·laborador: Els usuaris amb el rol de col·laborador només poden escriure, editar o eliminar la seva pròpia publicació no publicada, però no podran publicar la seva pròpia publicació.
  5. Subscriptor: Els subscriptors només poden editar la informació del seu compte, inclosa la contrasenya, però no tenen accés a la configuració del contingut ni del lloc. Tenen les capacitats més baixes d’un lloc de WordPress.

Entenent els rols d’usuari de WordPress, podeu gestionar-los fàcilment sense cap risc.

També us recomanem que configureu el nou paper per defecte de l’usuari com a subscriptor. Vés a Configuració> Configuració general i del seu conjunt Nou paper per defecte de l’usuari Subscriptor i feu clic a Guardar canvis.

Funció predeterminada de nou usuari de WordPress

Per obtenir més detalls, consulteu la Guia per a principiants sobre els rols i capacitats d’usuari de WordPress

Torna a l’inici

14. Superviseu els canvis dels fitxers i les activitats dels usuaris

Una altra forma intel·ligent d’endurir la seguretat de WordPress és supervisant les activitats dels usuaris i els canvis d’arxius. 

Si teniu un lloc WordPress de diversos usuaris, haureu de fer el seguiment del comportament dels usuaris per entendre millor quines són les seves activitats al llarg del lloc de WordPress.

Qui sap, si un usuari fa alguna feina sospitosa o està intentant piratejar el vostre lloc web? Com pots saber-ho??

L’única manera de fer un seguiment de les activitats dels usuaris i dels canvis de fitxers és mitjançant un complement de WordPress d’activitat d’usuari. Mitjançant l’ús d’un complement d’activitat de l’usuari a WordPress, podreu:

  • vegeu qui està connectat i què fan en temps real
  • quan un usuari inicia la sessió i es tanca
  • Quantes vegades un usuari va intentar iniciar la sessió, però va fallar

A més, si un editor va fer canvis en una publicació o pàgina sense el vostre permís, podeu esbrinar-la fàcilment i tornar-la a fer. El que és bo per a un complement d’activitat de l’usuari és que t’envia instantàniament una notificació per correu electrònic si alguna cosa va malament.

El registre d’auditoria de seguretat WP és el millor connector per supervisar les activitats dels usuaris i els canvis de fitxers en temps real. Aquí teniu una captura de pantalla a continuació de com funciona el connector.

Visualitzador de registres d'auditoria de WordPress

Llegiu també: 5 millors complements per supervisar l’activitat de l’usuari a WordPress (plugins alternatius)

Torna a l’inici

15. Implementar SSL i HTTPS

Seguretat de WordPress no es pot millorar sense certificat SSL. Un SSL (Secure Socket Layer) és l’eix vertebrador de la seguretat del lloc web.

SSL és una tecnologia de seguretat estàndard que crea enllaços xifrats entre un servidor i un navegador web en una comunicació en línia com una transacció en línia. Així, totes les dades sensibles, com ara contrasenyes, detalls de targeta de crèdit, etc. passen per enllaços xifrats.

Si teniu un negoci en línia o un bloc on accepteu el pagament, és imprescindible un certificat SSL. Guardarà les dades del vostre client a la seguretat dels pirates informàtics. Per a botigues en línia o llocs de WooCommerce, els costos del certificat SSL costen al voltant de 20 a 170 $.

En cas que publiqueu un bloc de WordPress, no necessiteu un certificat SSL de pagament. Si utilitzeu hosting cPanel com SiteGround, WPEngine, llavors podeu instal·lar el certificat SSL de forma gratuïta amb un sol clic..

Primer, inicieu la sessió al vostre compte de cPanel de l’allotjament i navegueu a Seguretat.  (Aquí hi ha una captura de pantalla a sota de SiteGround hosting cPanel.)

SG SSL

Anar a la Administrador SSL / TLS i feu clic a Instal·leu el certificat SSL. De la pàgina, seleccioneu el vostre domini i feu clic a Ompliment automàtic per domini. El procés és automàtic per la qual cosa no cal que editeu ni modifiqueu res.

Instal·lació al certificat SSL al terreny del lloc

Ara feu clic a la secció Instal·leu el certificat botó per finalitzar el procés de configuració.

Un cop acabat, inicieu la sessió al vostre tauler d’administració de WordPress per modificar l’URL del vostre lloc. Anar a Configuració> General i afegiu substituïu l’HTTP amb HTTPS abans de l’URL del vostre lloc. Aquí teniu una captura de pantalla a continuació.

WP HTTPS

Un cop actualitzada, feu clic a Guardar canvis.

Com redirigir HTTP a HTTPS a WordPress

Si heu instal·lat correctament el certificat SSL, el vostre lloc és accessible amb HTTPS.

Però si algú escriu el vostre nom de lloc web (és a dir, domini.com) a la barra d’adreces del navegador, el lloc pot mostrar el missatge “La connexió no és segura”. Això vol dir que el vostre lloc és accessible amb HTTP.

Per solucionar el problema, heu de forçar HTTPS a WordPress, de manera que el vostre lloc només es carregarà amb HTTPS. Podeu forçar fàcilment HTTPS a WordPress.

Primer accés al cPanel de hosting i aneu a la carpeta arrel del vostre lloc web i cerqueu-lo .htaccess dossier. Editeu el fitxer .htaccess i al final afegiu el codi següent.

ReescriuEngina activada
RewriteCond% {HTTPS} desactivat
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Desa el fitxer i ja s’ha acabat. Ara el vostre lloc web només és accessible amb HTTPS.

Si el proveïdor d’allotjament web no proporciona un certificat SSL gratuït, podeu instal·lar un certificat SSL manualment. Aquí teniu la guia sobre com instal·lar certificat SSL gratuït.

Torna a l’inici

16. Eliminar temes i complements no utilitzats

Quan es tracta d’endurir la seguretat de WordPress, no hauríem de ignorar cap petit pas que pugui fer vulnerable el vostre lloc. 

La majoria de vegades els propietaris de llocs de WordPress instal·len diferents temes i complements per comprovar quin tema té millor aspecte al seu lloc o quin complement té més funcionalitat. Està bé. Però si manteniu aquests temes i plugins no utilitzats, el vostre lloc és vulnerable.

Com que per tenir molts temes i complements de WordPress cal que actualitzeu regularment com el que esteu utilitzant. Si no les actualitzeu, es van tornar vulnerables i els hackers poden explotar fàcilment el vostre lloc mitjançant els temes i plugins vulnerables. A més, el fet de mantenir tants temes i complements fa que el lloc de WordPress sigui més lent.

Per tant, heu de suprimir els temes i el complement no utilitzats per millorar el rendiment del lloc i la seguretat de WordPress.

Per suprimir un complement no utilitzat, aneu a Connectors> Plugins instal·lats. A continuació, busqueu el complement que ja no el necessiteu. Primer, desactiva el connector i fes-hi clic Suprimeix.

Eliminació del complement de WordPress

De la mateixa manera, per suprimir un tema, aneu a Aparició> Temes i feu clic a Detalls del tema. A continuació, feu clic a la part inferior del costat dret Suprimeix.

Elimina el tema

Torna a l’inici

17. Desactiva l’edició de fitxers al Tauler de control de WordPress

De manera predeterminada, WordPress permet als usuaris editar fitxers de temes i complements directament des del tauler de control de WordPress. Aquesta és una opció útil per als usuaris que sovint necessiten editar el fitxer de temes i complements.

Editor de temes de WordPress

Tanmateix, mantenir aquesta funció habilitada pot suposar un greu problema de seguretat. Si els pirates informàtics accedeixen al lloc web solen deixar la seva petjada injectant codi maliciós als fitxers del lloc web. Si la vostra funció d’edició de fitxers de WordPress està habilitada, els pirates informàtics poden injectar fàcilment codi maliciós al tema o al fitxer de complements que no serà desconegut per a vostè..

Per millorar la seguretat de WordPress, heu de desactivar la funció d’edició de fitxers del tauler de control de WordPress. És molt fàcil desactivar l’editor de temes i de complements de WordPress a WordPress.

En primer lloc, heu d’iniciar sessió al vostre compte de cPanel d’allotjament i aneu a la carpeta arrel del vostre lloc de WordPress. Des d’allà, trobareu el wp-config.php. Feu clic a edita i afegeix el codi següent al final.

define (“DISALLOW_FILE_EDIT”, cert);

Ara guardeu el fitxer i actualitzeu el vostre tauler de WordPress. Veureu que l’opció d’editor de temes i complements ha desaparegut. Amb aquest petit truc, podeu millorar fàcilment la seguretat de WordPress.

Llegiu la guia detallada sobre com desactivar l’editor de temes i complements a WordPress

Torna a l’inici

18. Pàgina de sessió de WordPress Protegiu amb contrasenya

Una altra bona manera de millorar la seguretat de WordPress és protegir amb contrasenya la pàgina d’inici de sessió de WordPress.

Si protegeu la contrasenya la vostra pàgina d’inici de sessió de WordPress (/wp-login.php) o l’administrador (https://cdn.wpmyweb.com/wp-admin), podeu evitar que els pirates informàtics accedeixin a la pàgina d’inici de sessió perquè requereix una contrasenya per accedir a la pàgina d’inici de sessió. Caixa emergent obligatòria d'autenticacióUna vegada activada aquesta característica, el vostre lloc sol·licitarà a tots els usuaris que accedeixin a la pàgina d’inici de sessió amb un nom d’usuari i una finestra de contrasenya. En resum, tots els usuaris han d’iniciar sessió dues vegades amb nom d’usuari i contrasenya diferents abans d’accedir al vostre quadre de comandament de WordPress.

En fer-ho, podeu reforçar la vostra seguretat de WordPress i afegir una capa de seguretat addicional a la vostra pàgina d’inici de sessió.

Llegiu la nostra guia a fons sobre com protegir amb contrasenya la pàgina d’inici de sessió de WordPress.

Torna a l’inici

19. Desactiva la navegació de directoris a WordPress

De manera predeterminada, la majoria dels servidors web com Apache, NGINX i LiteSpeed ​​permet a qualsevol usuari navegar pels directoris que contenen fitxers i carpetes WordPress. També poden veure quin tema i complements utilitzeu i conèixer més sobre l’estructura del vostre lloc web.

Pàgina d'índexs d'un lloc de WordPress

Aquesta informació pot fer que el vostre lloc de WordPress sigui vulnerable i ajudi a un pirata informàtic quan intenta comprometre el vostre lloc.

Per millorar la seguretat de WordPress, us recomanem que desactiveu aquesta opció. Per desactivar la navegació de directori a WordPress, només cal que afegiu la línia següent a la vostra .htacces dossier.

Opcions Totes -Indexes

Per obtenir instruccions detallades, llegiu la nostra guia sobre com desactivar la navegació de directoris a WordPress

Torna a l’inici

20. Elimineu la versió de WordPress

De manera predeterminada, WordPress afegeix automàticament metaetiquetes a diferents ubicacions que mostren la versió de WordPress que utilitzeu.

Aquí teniu el cas: si els pirates informàtics saben que teniu una versió de WordPress obsoleta, poden explotar el vostre lloc mitjançant les vulnerabilitats conegudes que hi ha a la versió antiga de WordPress..

Així, és millor que suprimiu la versió de WordPress per millorar la seguretat de WordPress. Hi ha diversos llocs on WordPress afegeix metaetiquetes com, al tauler de control de WordPress, a la capçalera, a l’estil i al javascript i al feed RSS.

Eliminació de la versió de WordPress de la capçalera i el RSS

Per eliminar la versió de la capçalera i RSS, afegiu la línia següent al final del vostre funcions.php dossier.

funció remove_wordpress_version () {
retornar ”;
}
add_filter (“el_generador”, “remove_wordpress_version”);

Eliminació del número de versió de WordPress de Scripts i CSS

Per eliminar la versió de WordPress del CSS i dels scripts, afegiu la línia següent al final del vostre funcions.php dossier.

// Trieu el número de versió de scripts i estils
function remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘versió’))))
$ src = remove_query_arg (‘ver’, $ src);
retornar $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

Un cop fet, deseu el fitxer funcions.php.

Això és. Amb aquest senzill truc, segur que podeu millorar la vostra seguretat de WordPress. Tot i això, sempre us recomanem que actualitzeu periòdicament la vostra versió de WordPress, així com el tema i els complements.

Per obtenir instruccions detallades, llegiu la nostra guia sobre com ocultar o eliminar la versió de WordPress

Torna a l’inici

21. Canvia el Prefix de la base de dades de WordPress

Durant la instal·lació de WordPress, us pregunta si voleu utilitzar un prefix de base de dades diferent. Normalment saltem aquest pas, de manera que WordPress s’utilitza automàticament (WP_) com a prefix de la taula de bases de dades predeterminada. Us recomanem que canvieu una cosa forta i única.

Si feu servir el prefix predeterminat (WP_), la vostra base de dades de WordPress és susceptible als atacs d’injecció de SQL. Es poden prevenir aquests atacs canviant el prefix de la base de dades (WP_) per alguna cosa única.

Després d’instal·lar WordPress, podeu canviar fàcilment el prefix de taula de bases de dades predeterminat mitjançant plugins o manualment. Complements com BackupBuddy, Brozzme DB Prefix us permet canviar el prefix de la taula amb només un clic.

Per obtenir el tutorial, estic mostrant com canviar-ho mitjançant el complement del Brockme DB Prefix.

Nota: Abans de fer res amb la vostra base de dades, assegureu-vos de prendre una còpia de seguretat del vostre lloc i de la base de dades. En cas que alguna cosa vagi malament, podeu restaurar el vostre lloc.

Primer, instal·leu i activeu Prefix de Brozzme DB connectar. Des del vostre Tauler de control de WordPress, aneu a Eines> Prefix DB i introduïu un nou nom únic per al prefix de la base de dades.

Prefix de Brozzme DB

Un cop introduït el nou prefix, feu clic a Canvia el prefix DB.

Per al procés manual, consulteu com canviar el prefix de la taula de bases de dades amb phpMyAdmin

Torna a l’inici

22. Utilitzeu només complements de WordPress de confiança

WordPress arriba amb més de 48.000 plugins. Això no significa que tots els plugins siguin útils i segurs.

Com que hi ha molts complements disponibles a la galeria de complements de WordPress que no es van actualitzar des de fa molt de temps i solen ser vulnerables. A més, no obtindreu cap suport si el connector trenqui el vostre lloc.

Abans d’utilitzar qualsevol complement gratuït, heu de comprovar dues coses importants,

  • Comproveu quan es va actualitzar per última vegada el complement: Si el connector no s’actualitza freqüentment o ja no el manté el desenvolupador de connectors, hauríeu d’evitar el connector.

Versió desfasada de complements de WordPress

  • Comproveu si el connector té màximes valoracions positives: El següent és el que heu de comprovar si el connector té una puntuació màxima positiva o negativa. Si el connector té una puntuació negativa màxima, no l’heu de fer servir.

Plugin de puntuació baixa de WordPress

També podeu consultar la pàgina de comentaris i assistència del connector per veure què diuen altres usuaris sobre el connector.

Però no us preocupeu. Hi ha molts complements similars disponibles que podeu trobar a la galeria de complements de WordPress.

Si voleu utilitzar un complement premium, no us haureu de preocupar. Els connectors Premium s’actualitzen regularment i obtindreu assistència 24x del desenvolupador de connectors.

Torna a l’inici

23. Desactiveu els informes d’error PHP

Una altra bona manera d’endurir la seguretat de WordPress és desactivant l’informe d’error PHP a WordPress. Moltes vegades, quan instal·leu un complement o un tema obsolet, potser podreu veure l’avís d’error de PHP.

Advertència d'error de PHP de WordPressTanmateix, pot causar la vulnerabilitat del vostre lloc si els hackers l’obtenen ja que mostra el codi i la ubicació del fitxer. Per minimitzar el risc, podeu desactivar els informes d’error PHP a WordPress.

És molt fàcil desactivar l’avís d’error de PHP a WordPress. Primer, editeu el vostre wp-config.php fitxer i trobar aquesta línia que té aquest codi:

define (“WP_DEBUG”, fals);

Potser veieu “true” en lloc de “false”. Ara substituïu la línia pel següent codi.

ini_set (“display_errors”, “Off”);
ini_set (“error_reporting”, E_ALL);
define (“WP_DEBUG”, fals);
define (“WP_DEBUG_DISPLAY”, fals);

Desa el fitxer i ja s’ha acabat.

També us recomanem que utilitzeu plugins actualitzats i ben qualificats per evitar aquest tipus de problemes.

Torna a l’inici

24. Afegiu capçaleres HTTP Secure a WordPress

Una altra bona manera d’endurir la seguretat de WordPress és afegir capçaleres segures HTTP al vostre lloc de WordPress.

Quan algú accedeix al vostre lloc web, el navegador fa una sol·licitud al vostre servidor web. A continuació, el servidor web respon amb les sol·licituds juntament amb les capçaleres HTTP. Aquests encapçalaments HTTP passen informació com a codificació de contingut, control de caché, tipus de contingut, connexió, etc..

Si afegiu capçaleres de resposta HTTP segures, podeu millorar la vostra seguretat de WordPress i també evitar mitigar atacs i vulnerabilitats de seguretat.

Aquí teniu les capçaleres HTTP a continuació:

  • HTTP Strict Security Transport (HSTS): HTTP Strict Transport Security (HSTS) obliga al navegador web a utilitzar només connexions segures (HTTPS) quan es comunica amb un lloc web. Això evita que els protocols SSL, el segrest de cookies, el despullament de SSL, etc..
  • Opcions del marc X: Les opcions X-Frame són un tipus d’encapçalament HTTP que especifica si es pot o no que un navegador pugui reproduir un lloc web en un marc. D’aquesta manera, s’evita els atacs de clic amb el botó i es garanteix que el vostre lloc web no s’incrusti en altres llocs web utilitzant-lo .
  • Protecció X-XSS: La protecció X-XSS és una funció integrada dels exploradors d’Internet Explorer, Google Chrome, Firefox i Safari que impedeixen la càrrega de les pàgines si s’ha introduït un script maliciós des d’una entrada d’usuari..
  • Opcions de tipus de contingut X: X-Content-Type-Options és un tipus de capçalera de resposta HTTP amb el valor nosniff que impedeix que els navegadors web esmicolin una resposta del tipus de contingut declarat.
  • Política de remitent: La política de referidors és una capçalera de resposta HTTP que impedeix que es produeixin filtracions de referències de diferents dominis.

Per afegir capçaleres segures HTTP a WordPress, només cal que afegiu les línies de codi següents a la vostra pàgina .htaccess dossier.

Conjunt d’encapçalament Strict-Transport-Security "edat màxima = 31536000" env = HTTPS
La capçalera sempre s’afegeix a X-Frame Options SAMEORIGIN
Conjunt de capçalera X-XSS-Protection "1; mode = bloc"
Conjunt d’encapçalament X-Content-Type-Options Opcions
Capçalera de la referència de referència: no-referrer-quan-downgrade

Comprovar les capçaleres de seguretat

Ara vés a securityheaders.com per comprovar si els codis funcionen o no. No hem afegit la “Política de seguretat de contingut” perquè pot trencar el vostre lloc. Tot i això, n’hi ha prou per assegurar el vostre lloc de WordPress.

Torna a l’inici

Conclusió

Hi ha moltes maneres d’endurir Seguretat de WordPress com ara: utilitzar un allotjament de WordPress gestionat, utilitzar contrasenyes fortes per a comptes, supervisar les activitats dels usuaris, utilitzar un complement de seguretat de WordPress, implementar SSL i HTTPS i molts més.

La seguretat de Harding no és ciència de coets. Podeu protegir fàcilment el vostre lloc de WordPress implementant les millors pràctiques de seguretat de WordPress que hem compartit en aquest article. En implementar-los, no només protegiràs el lloc de WordPress, sinó també evitaràs que els pirates informàtics accedeixin al lloc.

Un cop fet, no us haureu de preocupar de la vostra seguretat de WordPress. A més, pot ser més productiu i lliure de tensions.

Ara és el teu torn. Llegiu l’article atentament i implementeu-los al vostre lloc. Estarà content de fer-ho. ��

Hem trobat a faltar algun consell important de seguretat de WordPress per esmentar aquí? no dubteu en fer-nos saber a la secció de comentaris.

Infografia de seguretat de WordPress

WordPress-Security-Infographic-Small-Size

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map