Подробное руководство о том, как защитить свой сайт WordPress.

Опубликовано: 2018-10-16
Большинство людей, когда они впервые начинают проектировать и разрабатывать свой веб-сайт, в первую очередь заботятся о том, чтобы все работало так, как они хотят, и чтобы сайт выглядел великолепно. Безопасность WordPress не является одной из их основных задач.

Это забавно, потому что почти все слышали или читали о взломе, но когда дело доходит до наших сайтов, мы почему-то ожидаем, что с нами этого не произойдет. Потому что зачем хакеру интересоваться небольшой частью нашего местного бизнеса, верно? Неправильный. Безопасность WordPress очень важна, поэтому ваш веб-сайт WordPress должен быть надлежащим образом защищен и закреплен. Давайте разберемся в причинах!

Почему и как хакер взламывает ваш сайт?

Важно понять причину взлома веб-сайта, прежде чем мы обсудим способы предотвращения этого. Может быть несколько причин, по которым хакер может заинтересоваться вашим сайтом, даже если это сайт малого бизнеса или даже личный блог.

Основные две причины, по которым сайт взламывается: - Во-первых, по политическим причинам, таким как искажение веб-сайтов для размещения и распространения контента, который поддерживает определенную идеологию или группу.

Другой направлен на зарабатывание денег мошенническими способами. Как это работает, взломанный веб-сайт используется в качестве посредника для распространения вредоносного программного обеспечения, и в большинстве случаев владелец сайта даже не узнает об этом.

Это черный онлайн-рынок, который работает через взломанные сайты. Ваш сайт может стать замешанным в преступной деятельности!

Помимо этого, есть и другие негативные последствия:

  • Взломанный и испорченный веб-сайт подорвет репутацию вашего бренда, а также вызовет серьезные затруднения.
  • Взломанные сайты обычно блокируются сервером хостинга, что приводит к потере бизнеса.
  • Ваш сайт, если его вырезать, можно использовать как прокси-сервер для рассылки спама.
  • Стоимость восстановления может быть очень высокой, если ваш сайт не имеет резервной копии.

Теперь, когда мы вкратце выяснили, почему ваш сайт может быть взломан, давайте посмотрим, как хакер найдет и нацелится на ваш конкретный сайт из миллионов доступных в Интернете.

Маловероятно, что хакер нацелится на ваш сайт, верно? Ведь это всего лишь капля в море сайтов. Что ж, извините, что разорвал ваш пузырь, но это неправильно!

Взлом не производится вручную. Хакеры используют роботов/программы, единственной функцией которых является поиск уязвимых веб-сайтов. Эти программы обычно работают на облачных серверах, где они настраиваются и уничтожаются по мере необходимости, практически не оставляя следов. Они созданы для обнаружения тысяч веб-сайтов каждый час. При обнаружении сайта производится поиск уязвимостей, которые постоянно обнаруживаются в WordPress и его плагинах. Они также могут быть вызваны человеческими ошибками, такими как использование легко угадываемых паролей или ненадежный или ненадежный хостинг.

Таким образом, защита вашего сайта WordPress — это не вариант, а необходимость, и мы здесь, чтобы помочь вам в этом процессе!

Ваш путеводитель по обеспечению безопасности WordPress

К концу длинного списка следующих мер безопасности вы будете готовы полностью гарантировать свой веб-сайт WordPress. Когда дело доходит до защиты веб-сайтов, каждый должен предпринимать определенные первичные меры.

Это важные и в основном простые вещи, которые будут иметь большое значение и обеспечат безопасность вашего WordPress. Кроме того, есть еще один набор мер для тех из вас, кто очень параноидально относится к безопасности своего веб-сайта и не против приложить дополнительные усилия, чтобы обеспечить его максимальную безопасность.

Давайте сначала обсудим прежний набор мер, то есть необходимые задачи безопасности, которые должны выполнять все владельцы веб-сайтов:

Изменить имя пользователя по умолчанию

Один из самых простых и быстрых способов защитить ваш WordPress — изменить имя пользователя «Администратор» по умолчанию на что-то, что нелегко угадать. В идеале вы должны изменить имя пользователя администратора во время установки самого WordPress, но если вы этого не сделали, вы можете либо переименовать его с помощью phpMyAdmin, либо запустив сценарий стандартизированного языка запросов в своей базе данных.

В любом случае, этот простой лайфхак для WordPress поможет вашему сайту избежать множества случайных попыток взлома.

Используйте надежный пароль и не используйте его повторно на разных платформах

Хакерам известно, что мы, люди, стараемся хранить безопасные и идентичные пароли, потому что склонны их забывать. Пираты знают, как этим воспользоваться, и обычно у них есть список наиболее часто используемых паролей, который они будут пробовать снова и снова, пока не найдут нужный. Этот метод называется подбором пароля. Таким образом, сохранение надежного и сложного пароля — это простой шаг к защите вашего WordPress.

Еще одна вещь, о которой следует помнить, — никогда не использовать пароли повторно. Что делает повторное использование паролей, так это то, что оно дает хакерам доступ ко всем остальным вашим учетным записям, если хотя бы одна из них скомпрометирована. Да, вам может быть неудобно и хлопотно запоминать так много разных сложных паролей, но чтобы помочь вам с этим, многие менеджеры паролей на рынке помогают вам хранить и обеспечивать безопасность ваших паролей. Мы предлагаем использовать их.

Всегда запускайте последнюю версию WordPress

Крайне важно постоянно обновлять ваш WordPress, потому что с каждым обновлением ядра WordPress исправляет недавно обнаруженные проблемы безопасности. Часто люди отключают обновления ядра WordPress, потому что последняя версия может быть несовместима с некоторыми плагинами. Однако важно помнить, что взломанный веб-сайт гораздо более проблематичен, чем временно сломанный плагин.

Не меняйте ядро ​​WordPress

Редактирование исходных файлов ядра WordPress — ужасная идея, потому что это лишает возможности автоматического обновления вашего WordPress до последней версии, важность которого мы обсуждали в предыдущем пункте. Если вы изменили ядро ​​WordPress, при обновлении до последней версии вы потеряете эти изменения.

Так что же делать, если вы хотите изменить функциональность WordPress?

Написание плагина является ответом. Это дает вам свободу делать все, что вы хотите, без необходимости идти на компромисс с ядром WordPress.

То же самое относится и к темам и плагинам. Любая попытка настройки ядра приведет к потере возможности обновления до последней версии. В общем, всегда есть другие способы получить желаемую функциональность, и изменение ядра — не выход.

Убедитесь, что все ваши плагины и темы обновлены.

Причина необходимости обновления ваших плагинов и идей та же, что и причина обновления вашего WordPress. Вы несете ответственность за их обновление до последней версии, независимо от того, делаете ли вы это вручную или автоматически, чтобы обезопасить свой сайт от хакерских атак.

Если вы используете плагины , загруженные с WordPress.org, вы можете включить автоматические фоновые обновления, а для любых других коммерческих обновлений плагинов вам придется обрабатывать их через их механизм плагинов. Кроме того, убедитесь, что ваше членство в плагине всегда активно, чтобы получать последние обновления.

Теперь, когда дело доходит до обновления ваших тем , вы можете беспокоиться о том, что произойдет со всеми изменениями, которые вы внесли в свою тему при выполнении обновления. Что вам следует делать при внесении изменений в темы, так это делать это через «дочерние темы», а не вносить изменения непосредственно в фактическую тему.

Когда вы сделаете это, вы сможете легко обновить свои темы до последней версии, не теряя никаких изменений, которые вы сделали до сих пор. Чтобы проверить, какие темы требуют обновлений, перейдите в «Внешний вид», а затем в «Темы» в вашем WordPress. Вы также можете включить автоматическое фоновое обновление так же, как это делается с плагинами.

Всегда загружайте плагины, темы и скрипты только из их официального источника.

Может возникнуть соблазн приобрести темы и плагины из неофициальных источников по более выгодной цене или бесплатно, но это не самая разумная идея. Это связано с тем, что многие из этих пиратских тем и плагинов неправомерно настраиваются хакерами, чтобы они служили им лазейкой для выполнения своих злых схем.

Вы всегда должны полагаться на безопасные сайты, чтобы найти качественные плагины и темы, чтобы убедиться, что ваш WordPress безопасен. Наиболее распространенным из них является WordPress.org. Другими надежными сайтами являются WordPress.com, ThemeForest.net, CodeCanyon.net и т. д.

На вашем сайте всегда должна быть установлена ​​последняя версия PHP.

PHP — это базовый движок WordPress, и он предлагает довольно много обновлений версий.

Но, согласно странице глобальной статистики WordPress, почти 80% установок WordPress работают на версиях PHP, которые больше не поддерживаются! Это вызывает беспокойство, потому что, во-первых, ваш веб-сайт не получает преимуществ от функций производительности, появившихся в последних версиях, и это также приводит к тому, что не устраняются какие-либо сбои безопасности, обнаруженные в предыдущей версии.

Вот почему важно убедиться, что на вашем сайте установлена ​​последняя версия PHP.

Обновление ядра WordPress, плагинов и тем — довольно четкая задача. Обновления версии PHP в основном зависят от вашего хостинг-сервера. Это одна из причин, почему важно выбрать безопасный хостинг-сервер . Это сделает последние версии PHP доступными для вас при установке WordPress. Служба безопасного хостинга WordPress также будет иметь активную команду, чья работа заключается в проверке последних уязвимостей, которым подвергается ваш сайт, и принятии мер по их устранению.

Обновляйте свой сайт только через доверенные сети

Кто не любит использовать бесплатный интернет Wi-Fi в таких местах, как аэропорт или даже местное кафе, верно? Но имейте в виду, что за этими открытыми подключениями Wi-Fi легко следить. Вам следует избегать доступа к сайту администратора WordPress через такую ​​сеть. И особенно когда дело доходит до обновления вашего веб-сайта, всегда используйте надежные системы, такие как домашняя или офисная.

Используйте антивирус

Если на вашем рабочем столе окажется вирус, он может быстро распространиться, воспроизведя себя на вашем веб-сайте. Это схема, обычно используемая вирусами для заражения вашего сайта. Затем он может шпионить и получать доступ к вашим паролям или даже к вашим банковским и личным данным. Вот почему вы должны убедиться, что на вашей рабочей станции установлен надежный и обновленный антивирус.

Защитите свой сайт с помощью плагинов безопасности WordPress

Плагин безопасности позволяет узнать, каким уязвимостям подвержен ваш сайт, и дает рекомендации по их устранению. Использование плагина — это простой, но безопасный способ защитить ваш сайт WordPress, и он не требует от вас практически никаких усилий. Они запускают сканирование и дают вам подробный обзор любых проблем, обнаруженных на вашем веб-сайте.

Некоторые доверенные плагины безопасности: Total Security, Vulnerable Plugin Checker, iThemes Security Pro и Plugin Inspector.

Держите резервную копию вашего сайта

Если все вышеперечисленные меры не сработали, а безопасность вашего сайта по-прежнему находится под угрозой, то этот шаг — то, что вас спасет.

Крайне важно создавать и планировать резервное копирование для вашего сайта. Эти запланированные резервные копии являются неотъемлемой частью политики безопасности сайта, потому что они гарантируют, что если ваш сайт будет скомпрометирован, он будет легко восстановлен до версии до повреждения.

Не только в случае взлома, но и в случае несчастного случая или технической ошибки, наличие резервных копий гарантирует, что вы сможете вернуть свой сайт и снова запустить его в кратчайшие сроки.

На этом список наших основных и необходимых мер безопасности заканчивается!

Мы подошли ко второй части, где мы обсудим советы по безопасности WordPress для наших фанатиков безопасности. Это для тех администраторов, которым нужны различные уровни защиты для своего сайта.  

Убедитесь, что вы установили секретные ключи аутентификации WordPress.

Вы найдете 8 ключей безопасности и аутентификации WordPress в вашем wp-config.php. Это не что иное, как произвольные переменные, которые усложняют вывод ваших паролей WordPress, добавляя элемент случайности в то, как они хранятся в базе данных.

Давайте посмотрим, как вы можете его использовать.

  • Во-первых, используйте генератор случайных чисел WordPress для создания набора ключей.
  • Затем отредактируйте файл wp.config. Вы найдете место для добавления уникальных ключей, сгенерированных на предыдущем шаге, в разделе «Уникальные ключи аутентификации».

Вы не должны делиться или делать эти ключи общедоступными.

Ограничьте количество попыток входа

Мы уже говорили о грубой силе и о том, как хакеры используют ее для подбора вашего пароля. Именно по этой причине необходимо внедрить механизм ограничения попыток входа в систему.

К счастью, есть плагин, который сделает это за вас. Плагин «Limit Login WordPress» обнаруживает множество неправильных попыток ввода пароля и блокирует дальнейшие попытки на определенное время, что приводит к безуспешным попыткам грубой силы и повышает безопасность вашего сайта.

Включить двухфакторную аутентификацию

Двухфакторная аутентификация или 2FA — чрезвычайно эффективный способ защиты вашего входа в WordPress. При включении двухфакторной аутентификации каждый раз, когда вы входите в систему администратора WordPress, вам потребуется токен безопасности на основе времени (уникальный для каждого пользователя) в дополнение к вашему обычному паролю. Срок действия этого маркера безопасности истекает в течение короткого периода времени, который обычно составляет 60 секунд.

Это чрезвычайно затрудняет получение доступа к вашему логину, даже если у них есть ваши учетные данные для входа (поскольку у них не будет текущего токена безопасности).

Таким образом, включение 2FA — это надежный способ укрепить ваш логин и избежать атак грубой силы на ваши данные для входа.

Отключить выполнение PHP

Когда хакеры получают доступ к вашему сайту, первое, что они делают, — запускают PHP из каталога. Разумнее всего отключить это. Затем, даже если на вашем веб-сайте WordPress присутствовала какая-либо уязвимость, эта защита заранее сломает остальные попытки хакера помешать вашему сайту.

Это мощный шаг к безопасности WordPress, который может привести к поломке некоторых тем и плагинов, которые могут его потребовать, но все же рекомендуется реализовать его в самых рискованных каталогах wp-includes и uploads.

Вы можете реализовать эту защиту через свой файл .htaccess, добавив в него следующий код:

  • <Файлы *.php>
  • Порядок Разрешить, Запретить
  • Запретить от всех
  • </файлы>

Отключить редактирование файлов

Обычно мы возимся с плагинами и файлами тем, пока находимся на начальных этапах создания веб-сайта, поскольку по умолчанию администраторам WordPress разрешено редактировать файлы PHP. Однако, как только наш веб-сайт будет разработан, мы будем очень редко использовать эту опцию редактирования.

Таким образом, рекомендуется отключить редактирование файлов для администраторов WordPress после того, как веб-сайт заработает. Это связано с тем, что даже если хакеру удастся войти на ваш сайт, он будет лишен прав редактирования и не сможет изменять файлы для выполнения своих коварных схем. Чтобы отключить редактирование файла, вставьте следующую команду в файл wp-config.php: define('DISALLOW_FILE_EDIT', true);

Разделите свои базы данных WordPress

Если вы создаете все свои сайты в одной базе данных и даже один из них скомпрометирован, то все остальные сайты WordPress, размещенные в той же базе данных, также подвергаются огромной угрозе взлома. При установке WordPress вы всегда должны создавать новую базу данных и присваивать ей отдельное имя базы данных, базу данных и пароль. Убедитесь, что они отличаются от любых других сайтов или логинов, которые вы используете.

Это означает, что если один из ваших сайтов будет взломан, инфекция перестанет распространяться на другие ваши места даже на той же учетной записи общего хостинга.

Если не используется, отключите XML-RPC.

Приложение может получить доступ к вашему WordPress через нечто, известное как API (интерфейс прикладного программирования). Чтобы объяснить это вам простыми словами, пример XML-RPC использует ваше телефонное приложение для обновления вашего сайта. Существуют также специальные плагины, использующие функциональность XML-RPC.

Однако, если вы не используете какое-либо стороннее приложение и уверены, что ни один из ваших плагинов WordPress не использует ваш веб-сайт через XML-RPC, разумно отключить его, поскольку XML-RPC можно использовать как инструмент для взлома вашего веб-сайта. сайт.

Защитите свой файл wp-config.php

Файл wp-config.php является одним из наиболее важных данных, в котором хранится множество необходимых параметров конфигурации, таких как данные для входа в базу данных, соли для хеширования паролей и т. д. Вы бы не хотели, чтобы кто-то вмешивался сюда, и, следовательно, меры безопасности для защиты этого важного файла конфигурации WordPress необходимо взять.

Если вы не отключили выполнение PHP (обсуждается в пункте 15), добавьте эту команду в свои файлы .htaccess:

  • <файлы wp-config.php>
  • приказ разрешить, запретить
  • отрицать от всех
  • </файлы>

Установить брандмауэр

Чтобы не усложнять задачу, программные фаерболы предотвращают попадание вещей внутрь или не дают им выйти наружу. В этом случае они помогают предотвратить доступ хакеров к вашему веб-сайту (или группе вашего веб-сайта). Вам необходимо использовать брандмауэр веб-приложений (WAF), и один из самых надежных брандмауэров с открытым исходным кодом, который обычно доступен бесплатно с услугами хостинга WordPress, — это брандмауэр «ModSecurity».
Вы можете узнать, предлагает ли это ваша служба хостинга, и если да, вы можете воспользоваться и включить ее.

В идеале вам также следует использовать брандмауэр сети доставки контента (CDN) , чтобы повысить производительность вашего сайта за счет быстрого обслуживания обильных ресурсов. CDN также защищают ваш сайт от многочисленных проблем с безопасностью WordPress.

Остановить отчеты об ошибках PHP

Отчеты об ошибках полезны во время разработки веб-сайта, поскольку они позволяют вам узнать об ошибках и быстро их исправить. Но когда отчеты об ошибках включены на работающем и работающем веб-сайте, это служит очень важной подсказкой для хакеров и делает их работу намного более удобной, чем должна быть. Отчеты об ошибках могут предоставить жизненно важную информацию любому, кто ее ищет.

Таким образом , отключение отчетов об ошибках PHP после запуска сайта гарантирует, что по крайней мере риски безопасности WordPress, вызванные раскрытием конфиденциальной информации о вашем веб-сайте, будут сведены к минимуму. Чтобы отключить отчеты об ошибках PHP, внесите изменения в файл php.ini, как указано ниже:

  • error_reporting = 4339
  • display_errors = Выкл.
  • display_startup_errors = Выкл.
  • log_errors = Вкл.
  • error_log = /home/example.com/logs/php_error.log
  • log_errors_max_len = 1024
  • ignore_repeated_errors = Вкл.
  • ignore_repeated_source = Выкл.
  • html_errors = Выкл.

Используйте журнал безопасности для мониторинга вашей безопасности WordPress

Просмотр журналов поможет вам узнать, какие атаки происходят на вашем сайте, и поможет вам остановить их. Это довольно хороший способ повысить безопасность WordPress. В качестве минимального примера: если вы обнаружите, что большинство попыток взлома исходит из определенной области, возможно, из той, которую ваш веб-сайт не обслуживает, вы можете заблокировать эту область с помощью своего брандмауэра. Рекомендуется использовать подключаемый модуль аудита безопасности, чтобы вести регулярные журналы аудита.

Это все!

На этом мы подошли к концу нашего длинного подробного руководства по полной защите вашего сайта WordPress. Нет никаких сомнений в том, что этот контрольный список мог бы быть для вас немного ошеломляющим, если бы вы раньше не уделяли много внимания обеспечению безопасности своего веб-сайта. Но хорошо то, что большинство из этих шагов не потребуют от вас больших усилий для их выполнения, и со временем они станут регулярной частью вашей процедуры обслуживания WordPress. Справедливости ради, большинство из вас не выполнит все шаги, упомянутые выше, и это нормально. Но чем больше этих мер безопасности вы предпримете, тем безопаснее будет ваш сайт. Небольшое дополнительное усилие от вас сейчас будет иметь большое значение!