19 способов защитить веб-сайт (7 ключевых!)

Беспокоитесь о безопасности WordPress?

Вы должны быть! Но не беспокойтесь слишком сильно — если вы примените на своем сайте некоторые передовые методы безопасности веб-сайта WordPress, вы можете быть уверены, что на вашем сайте не возникнет проблем.

WordPress безопасен . Но действия, которые предпринимают пользователи (и плагины, которые они устанавливают), могут привести к всевозможным уязвимостям WordPress.

Чтобы избежать этих ошибок, все, что вам нужно сделать, это следовать советам в этом посте.

Чтобы сделать этот пост максимально полезным, мы разделим наши советы по безопасности WordPress на две категории:

Семь рекомендаций по обеспечению безопасности WordPress, которые НЕОБХОДИМО СОБЛЮДАТЬ

Если вы ничего не вынесете из этого поста, я рекомендую вам применить на своем сайте как минимум семь лучших практик безопасности WordPress.

Если вы не делаете эти семь вещей, вы подвергаете свой сайт огромным уязвимостям.

1. Примените обновления ядра и плагинов как можно скорее

Одна из самых лучших вещей, которые вы можете сделать для обеспечения безопасности WordPress, — это всегда своевременно обновлять ядро ​​WordPress, плагины и темы.

Независимо от того, насколько хороша программа, естественно обнаруживать новые уязвимости. Однако с качественной командой разработчиков эти уязвимости будут исправлены до того, как ими смогут воспользоваться злоумышленники… если вы своевременно установите обновления!

Многих из самых последних широко распространенных эксплойтов WordPress можно было бы избежать , если бы люди просто обновляли свои сайты .

Чтобы получать уведомления о новых обновлениях, обратите внимание на область Dashboard → Updates в панели администратора WP.

Если вас беспокоят проблемы совместимости, вы можете протестировать обновления на промежуточном сайте, прежде чем применять их на рабочем сайте. Вы также захотите сделать резервную копию перед применением обновлений — подробнее об этом позже.

Примечание . Единственным исключением из этого правила являются крупные обновления, которые сосредоточены исключительно на добавлении новых функций и не содержат никаких исправлений безопасности. Вы можете спокойно подождать несколько недель, чтобы применить эти основные обновления.

• Основной выпуск (функции) — 5.0, 5.1, 6.0 и т. д. — вы можете подождать, чтобы применить эти обновления.
• Второстепенный релиз (безопасность/исправления ошибок ) — 5.0.1, 5.1.2, 6.0.4 и т. д. — вам ВСЕГДА необходимо применять их как можно скорее.

2. Используйте только плагины и темы от надежных разработчиков (и никаких плагинов с нулевым значением).

Хотя основное программное обеспечение WordPress является безопасным, этого нельзя сказать о каждом отдельном плагине и теме (в основном плагинах ).

Добавляя новый код и изменяя функциональность вашего сайта, плагины могут создавать всевозможные уязвимости.

В то же время не использовать плагины на самом деле не вариант, поскольку плагины являются неотъемлемой частью каждого сайта WordPress.

Следовательно, важно сосредоточиться на использовании плагинов и тем только от надежных разработчиков с хорошим качеством кода и быстрым обслуживанием.

То есть внимательно относитесь к тому, какие плагины вы устанавливаете на свой сайт .

Вот несколько советов, которые помогут вам использовать только высококачественные плагины и темы:

• Читайте отзывы . Плохие отзывы могут указывать на плохое качество кода.
• Проверьте количество активных установок . Хотя это не является жестким правилом, популярные плагины, как правило, привлекают больше внимания.
• Проверьте наличие последних обновлений . Наличие активного разработчика важно для исправления любых недавно обнаруженных уязвимостей.
• Не устанавливайте ненужные плагины . Поскольку каждый плагин, который вы устанавливаете, является потенциальным вектором атаки, вам следует устанавливать только те плагины, которые важны для вашего сайта.

У нас также есть полное руководство по выбору плагинов WordPress.

Наконец, вам также следует избегать плагинов с нулевым значением, потому что вы не знаете, какой код был добавлен в плагин.

3. Используйте безопасный хостинг WordPress

Выбор качественного хостинг-провайдера WordPress может иметь большое значение для обеспечения безопасности вашего сайта.

Во-первых, качественный хостинг-провайдер WordPress гарантирует, что ваша среда оптимизирована для безопасности WordPress, например, правильные права доступа к файлам и безопасный файл wp-config.php.

Многие хосты WordPress также будут иметь более активные средства защиты, такие как встроенные брандмауэры или сканирование вредоносных программ.

Некоторые управляемые хостинги WordPress даже бесплатно очистят ваш сайт, если с ним что-то случится.

По сути, с качественным хостом (особенно управляемым хостом WordPress) они позаботятся о многих из этих лучших практик, чтобы вы могли просто сосредоточиться на развитии своего сайта.

Чтобы найти некоторые варианты качества, ознакомьтесь с нашими сообщениями о лучшем управляемом хостинге WordPress и лучшем хостинге WordPress в целом.

Если вы можете себе это позволить, рассмотрите такие варианты, как Flywheel (то, что мы используем для WPKube — наш обзор Flywheel) или Kinsta (наш обзор Kinsta).

4. Заблокируйте свою страницу входа и доступ к учетной записи

Все советы по безопасности WordPress в мире не помогут вам, если злоумышленник сможет получить доступ к одной из ваших законных учетных записей пользователей WordPress ( особенно к учетной записи администратора ).

Подумайте об этом в реальном мире — у вас может быть самая лучшая система домашней безопасности в мире, но она ничего не сделает, если у грабителя есть ваш ключ от дома и защитный код.

Это означает, что важно найти способы защитить процесс входа в систему и учетные записи пользователей на вашем сайте WordPress.

Для начала вам нужно использовать надежные учетные данные:

• Имя пользователя — никогда не используйте «admin» в качестве имени пользователя. Вместо этого выберите уникальное имя пользователя, которое вы больше нигде не используете.
• Пароль — используйте надежный уникальный пароль. Для достижения наилучших результатов используйте менеджер паролей, например LastPass или Bitwarden, для создания уникальных паролей для каждого сайта.

Помимо этого, вы также можете использовать тактику для защиты страницы входа в WordPress:

• Измените URL-адрес входа — это также сократит трафик ботов. Как? Используйте бесплатный плагин WPS Hide Login.
• Ограничьте количество попыток входа — временно заблокируйте IP-адрес, если он делает слишком много неправильных попыток входа (как это делают банки). Как? Используйте бесплатный плагин Limit Login Attempts Reloaded.
• Требовать двухфакторную аутентификацию (2FA) — заставьте людей вводить код из приложения для аутентификации, SMS или электронной почты в дополнение к своим учетным данным. Как? Используйте бесплатные плагины, такие как WP 2FA или Two-Factor.

Все сайты должны изменить URL-адрес входа и ограничить количество попыток входа, но использование двухфакторной аутентификации WordPress действительно необходимо только для критически важных сайтов.

5. Установите SSL-сертификат и используйте HTTPS

SSL-сертификат позволяет использовать на вашем сайте HTTPS вместо HTTP.

С HTTPS любые данные, которые передаются между вашим браузером и вашим сервером, шифруются. Это не только хорошо для конфиденциальности, но и для защиты важных данных, таких как ваше имя пользователя и пароль.

Без HTTPS злоумышленник в вашей интернет-сети может видеть все данные, которые передаются между вашим браузером и вашим сайтом. Например, если вы войдете на свой сайт в местной кофейне, используя HTTP, кто-то в этой сети сможет увидеть ваше имя пользователя и пароль в виде простого текста.

Однако когда вы используете HTTPS, ваше имя пользователя и пароль (вместе со всеми другими данными) надежно зашифрованы, а это означает, что злоумышленники увидят только набор случайных символов.

В настоящее время большинство качественных хостинг-провайдеров WordPress предлагают бесплатные SSL-сертификаты.

После установки SSL-сертификата через панель управления хостингом вы можете настроить свой сайт для использования HTTPS. Если вам нужна помощь в переводе вашего сайта на HTTPS, бесплатный плагин Really Simple SSL предлагает настройку в один клик.

Следуйте нашему руководству по WordPress HTTPS для получения более подробной информации.

6. Используйте поддерживаемые версии PHP

WordPress написан на языке программирования PHP. Однако существуют разные версии PHP, которые вы можете использовать в своей учетной записи хостинга.

Старые версии PHP больше не обслуживаются, что означает, что они могут иметь неисправленные проблемы с безопасностью.

По состоянию на 2022 год самой старой версией PHP, получающей обновления безопасности, является PHP 7.4. Однако, начиная с 2023 года, вы захотите использовать как минимум PHP 8.0.

Вы можете проверить текущую поддержку версии PHP на этой странице.

В качестве дополнительного бонуса новые версии PHP также предлагают значительные улучшения производительности, что означает, что ваш сайт будет загружаться быстрее, а также станет более безопасным.

Если вы не знаете, как обновить PHP, вы можете обратиться в службу поддержки вашего хоста. У нас также есть руководство по обновлению PHP на популярных хостингах WordPress.

7. Регулярно делайте резервную копию вашего сайта

Резервное копирование вашего сайта не предотвратит возникновение проблем с безопасностью на вашем сайте. Однако это предотвратит превращение проблем безопасности в более серьезные проблемы.

Без резервной копии любой инцидент безопасности на вашем сайте может иметь абсолютно разрушительные последствия. Вы можете потерять данные, у вас может быть много времени простоя и так далее.

Однако с недавней резервной копией худший случай инцидента с безопасностью обычно заключается в том, что вам просто нужно восстановить чистую резервную копию вашего сайта. Все еще раздражает, но гораздо менее катастрофично.

Если ваш хостинг еще не предлагает безопасное автоматическое резервное копирование, платные инструменты, такие как Jetpack Backup или BlogVault, предлагают самый простой способ включить безопасное резервное копирование за пределами сайта.

Если у вас нет средств для оплаты инструмента, UpdraftPlus также является отличным бесплатным вариантом — просто убедитесь, что вы подключили его к стороннему поставщику хранилища, такому как Google Drive или Amazon S3.

Вот наш полный пост о лучших плагинах для резервного копирования WordPress.

Двенадцать дополнительных советов по усилению безопасности WordPress

Если вы добросовестно применяете обязательные рекомендации по обеспечению безопасности веб-сайта WordPress, описанные выше, вы избежите 99% проблем на своем сайте.

Однако, если вы хотите еще больше усилить защиту, есть несколько дополнительных советов по усилению безопасности, которые вы можете применить для дополнительной защиты своего сайта.

8. Настройте брандмауэр

Брандмауэр может заранее защитить ваш сайт от угроз, блокируя вредоносный трафик или действия до того, как они смогут повлиять на ваш сайт или сервер.

Многие хостинги уже реализуют свои собственные брандмауэры, поэтому это может быть не обязательно для сайтов, если вы используете качественный хостинг WordPress ( см. выше ).

Если ваш хост этого не делает (или если вам нужна дополнительная защита), вы можете добавить брандмауэр на уровне приложения с помощью плагина, такого как Wordfence, или на уровне DNS с помощью службы, такой как Cloudflare или Sucuri.

9. Используйте плагин безопасности WordPress

Вы можете создавать безопасные сайты WordPress без специального плагина безопасности, поэтому плагин безопасности определенно не требуется для создания безопасного сайта.

При этом плагин безопасности может быть полезен по нескольким причинам:

1. Плагины безопасности могут предлагать брандмауэры в реальном времени для защиты от новых угроз.
2. Качественный плагин безопасности упростит реализацию многих других советов по усилению безопасности из этого списка, что упростит вам задачу и сэкономит ваше время.

Если вы сомневаетесь, плагин Wordfence — отличный вариант для начала. Вы можете найти больше вариантов в нашей полной коллекции лучших плагинов безопасности WordPress.

10. Скрыть версию WordPress

Сокрытие номера версии WordPress добавляет незначительное количество «безопасности за счет неясности», поскольку злоумышленникам немного сложнее определить номер версии вашего сайта.

Чтобы скрыть это, вы можете добавить следующий код в файл functions.php вашей дочерней темы или плагин, например Code Snippets.

 function wp_version_remove_version_number() return ''; add_filter('the_generator', 'wp_version_remove_version_number');

Если вы хотите пойти дальше, у нас есть руководство о том, как скрыть, что ваш сайт использует WordPress.

11. Проверьте права доступа к файлам

Если вы используете качественный хостинг, права доступа к файлам вашего сайта уже должны быть правильными. Однако, возможно, стоит перепроверить, потому что важны правильные права доступа к файлам.

Чтобы узнать больше, ознакомьтесь с нашим полным руководством по разрешениям файлов WordPress.

12. Используйте только безопасные соединения для FTP

Всякий раз, когда вы подключаетесь к своему сайту через FTP или другие технологии, убедитесь, что вы используете безопасные протоколы, такие как SFTP.

Так же, как HTTPS защищает данные, которые перемещаются между вашим браузером и вашим веб-сайтом, SFTP защищает соединение между вашим FTP-клиентом и вашим сервером.

Вам также следует избегать хранения ваших FTP-паролей в вашем FTP-клиенте, если только эти пароли не зашифрованы.

13. Настройте ведение журнала активности

Ведение журнала активности позволяет отслеживать действия пользователей на панели инструментов, что может помочь выявить подозрительные действия (особенно если вы предоставляете доступ к панели другим пользователям).

Чтобы настроить это, вы можете использовать плагин, такой как журнал активности WP. У нас есть учебник о том, как настроить ведение журнала активности, а также эксклюзивный купон WP Activity Log, чтобы сэкономить вам деньги.

14. Выполняйте регулярное сканирование на наличие вредоносных программ/безопасности

Несмотря на то, что на вашем сайте не должно возникнуть никаких проблем, если вы внедрили приведенные выше рекомендации, все же рекомендуется периодически запускать сканирование на наличие вредоносных программ и средств безопасности на вашем сайте.

Чтобы проверить наличие проблем во внешнем интерфейсе вашего сайта, вы можете использовать бесплатный инструмент Sucuri SiteCheck.

Чтобы выполнить полное сканирование файлов вашего сервера, вы можете рассмотреть такие инструменты, как MalCare или Wordfence.

Ваш хост WordPress также может запускать собственные ежедневные проверки на наличие вредоносных программ, что может сделать эти инструменты излишними.

15. Отключить XML-RPC

XML-RPC помогает внешним инструментам подключаться к вашему сайту WordPress, например, настольному приложению WordPress.

Однако, если вы не используете эти инструменты, это просто добавит ненужный вектор атаки на ваш сайт. Чтобы полностью отключить его, вы можете использовать бесплатный плагин Disable XML-RPC.

16. Блокировать хотлинкинг

Хотлинкинг — это когда кто-то встраивает контент с вашего сервера на свой сайт (например, изображение). Это может повлиять на безопасность вашего сайта, истощая ресурсы вашего сервера без вашего разрешения.

Чтобы заблокировать хотлинкинг, вы можете добавить код в файл .htaccess вашего сайта.

Чтобы сгенерировать код .htaccess, необходимый для блокировки хотлинкинга, вы можете использовать этот бесплатный инструмент. Это позволит вам добавить в безопасный список определенных провайдеров хотлинкинга (таких как Google Image Search) и заблокировать других.

17. Изменить префикс базы данных WordPress

Изменение префикса базы данных WordPress добавляет небольшое количество «безопасности за счет неясности», хотя некоторые эксперты (включая Wordfence) говорят, что преимущества безопасности довольно тривиальны.

Если у вас есть существующий сайт WordPress, я не рекомендую делать это, потому что риски взлома вашего сайта перевешивают любые потенциальные преимущества безопасности.

Однако, если вы настраиваете новый сайт WordPress, вы также можете использовать пользовательский префикс базы данных, даже если это не имеет большого эффекта.

18. Отключите выполнение файла PHP в папке wp-content/uploads.

Вы можете заблокировать некоторые атаки в крайних случаях, отключив выполнение файла PHP в папке wp-content/uploads .

Вот как:

1. Используйте Блокнот, чтобы создать новый файл .htaccess.
2. Добавьте фрагмент кода ниже.
3. Загрузите этот файл в папку wp-content/uploads .

 <Files *.php> deny from all </Files>

19. Отключить редактирование кода в панели управления

По умолчанию WordPress позволяет редактировать файлы тем и плагинов с панели управления WordPress, что позволит злоумышленнику добавить вредоносный код, если он когда-либо получит доступ к учетной записи администратора.

Чтобы предотвратить это, вы можете отключить редактирование файла, добавив этот фрагмент в ваш файл wp-config.php :

define( 'DISALLOW_FILE_EDIT', true );

Часто задаваемые вопросы о безопасности веб-сайта WordPress

Чтобы закончить, вот несколько распространенных вопросов о безопасности WordPress.

Есть ли у WordPress проблемы с безопасностью?

Сам WordPress не имеет проблем с безопасностью, но установка плагинов на ваш сайт может привести к уязвимостям в системе безопасности, особенно в случае плохо закодированных и/или поддерживаемых плагинов.

Легко ли взломать WordPress?

Подавляющее большинство сайтов WordPress взламывают из-за ошибки пользователя, а не из-за самого программного обеспечения. Если следовать некоторым основным рекомендациям по обеспечению безопасности, ваш сайт будет очень трудно взломать.

Можете ли вы сделать WordPress безопасным?

Да, конечно. Пока вы следуете лучшим практикам, WordPress может быть очень безопасным. Есть причина, по которой так много крупных брендов доверяют WordPress.

Вам нужен плагин безопасности WordPress?

Вы можете создать безопасный сайт WordPress без комплексного плагина безопасности. Однако эти подключаемые модули могут упростить процесс внедрения передовых методов повышения безопасности и предоставить вам доступ к таким полезным функциям, как брандмауэры и сканирование безопасности.

Внедрите эти лучшие практики безопасности WordPress уже сегодня

Если вы ничего больше не вынесете из этого поста, я надеюсь, что вы воспользуетесь как минимум семью советами по безопасности WordPress, которые необходимо соблюдать выше.

Если вы сделаете только эти семь вещей, вы можете быть уверены, что избежите 99,9% проблем с безопасностью на своем сайте.

Если вам нужна еще лучшая защита, вы можете продолжить и применить все 19 советов из этого списка.

У вас остались вопросы о безопасности WordPress? Дайте нам знать об этом в комментариях!