12 жизненно важных способов повысить безопасность WordPress

WordPress — один из самых популярных конструкторов сайтов в мире. Его используют миллионы людей, в том числе некоторые из крупнейших брендов и организаций в мире.

Тем не менее, большая ответственность сопряжена с большой силой, которая включает в себя обеспечение максимальной безопасности вашего сайта WordPress. В последние годы несколько известных сайтов WordPress были взломаны, поэтому важно принять меры для защиты вашего сайта.

Исследование Sucuri показало, что 43% сайтов WordPress уязвимы для атак.

Вот несколько способов повысить безопасность WordPress.

Держите WordPress в актуальном состоянии

Одна из самых важных вещей, которые вы можете сделать для повышения безопасности WordPress, — это поддерживать ваш сайт WordPress в актуальном состоянии.

Это означает обновление самого WordPress, а также любых тем и плагинов, которые вы установили. Новые версии WordPress выпускаются регулярно, и каждая новая версия включает в себя исправления безопасности для обнаруженных уязвимостей.

Чтобы обновить WordPress, перейдите на страницу «Панель инструментов» > «Обновления» и нажмите кнопку «Обновить сейчас».

Также важно обновлять ваши темы и плагины. Большинство разработчиков тем и плагинов регулярно выпускают обновления для устранения уязвимостей в системе безопасности.

Вы можете обновить свои темы и плагины на странице «Панель управления»> «Обновления» или установить плагин WP Updates Notifier, который будет отправлять вам электронные письма, когда будут доступны обновления.

Скрыть номер версии WordPress

По мере того, как WordPress становился все более популярным, хакеры все чаще нацеливались на него.

Одна из вещей, которую они ищут, — это номер версии WordPress, который отображается в исходном коде каждого сайта WordPress. Хакеры могут нацеливаться на определенные уязвимости, зная, какую версию WordPress вы используете. Кроме того, некоторые плагины безопасности WordPress будут работать только с определенными версиями WordPress.

Поэтому очень важно скрыть номер версии вашего WordPress. В большинстве тем WordPress есть возможность сделать это, или вы можете установить плагин, такой как WP-Hardening Plugin.

Вы также можете скрыть его вручную, вставив этот код в свой файл functions.php:

function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');


Используйте надежный пароль

Еще один важный способ повысить безопасность WordPress — использовать надежный пароль.

Надежный пароль должен состоять не менее чем из восьми символов и включать сочетание прописных и строчных букв, цифр и символов. Также важно использовать разные пароли для каждого веб-сайта, который вы посещаете. Таким образом, другие ваши учетные записи будут в безопасности, если один из сайтов будет взломан. Вы можете использовать менеджер паролей, такой как LastPass или KeePass, чтобы создавать и запоминать надежные пароли.

Исследование, проведенное Imperva, показало, что использование надежного пароля является наиболее эффективным способом предотвращения атак грубой силы, распространенного взлома WordPress.

Используйте веб-сайт генератора паролей, чтобы сгенерировать очень надежный пароль. Вот некоторые из лучших генераторов паролей:

• Последний проход
• Нортон
• 1Пароль

Используйте двухфакторную аутентификацию

Двухфакторная аутентификация (также известная как двухэтапная проверка) — это дополнительный уровень безопасности, который может помочь защитить ваш сайт WordPress.

При двухфакторной аутентификации вам необходимо ввести свой пароль и второй код, который обычно генерируется приложением на вашем смартфоне. Таким образом, даже если кому-то удастся угадать ваш пароль, он не сможет войти в систему, если у него нет вашего смартфона.

По умолчанию WordPress не включает двухфакторную аутентификацию, но вы можете установить плагин, такой как Google Authenticator или Duo Security.

Помните, однако, что двухфакторная аутентификация не будет работать, если вы потеряете свой смартфон, поэтому очень важно иметь резервный метод, например альтернативный адрес электронной почты или номер телефона.

Ограничьте количество попыток входа

Еще один способ повысить безопасность WordPress — ограничить количество попыток входа в систему.

По умолчанию WordPress разрешает неограниченное количество попыток входа в систему, что дает хакерам широкие возможности угадать ваш пароль. Ограничив количество попыток входа в систему, вы можете помочь предотвратить атаки методом грубой силы. Некоторые плагины позволяют это сделать, например, «Ограничить количество попыток входа» и «Блокировка входа».

Исследование Wordfence показывает, что ограничение попыток входа в систему может блокировать 99,99% атак методом грубой силы.

Кроме того, выберите плагин, который не блокирует законных пользователей, таких как вы, если вы забудете свой пароль.

Использовать SSL

SSL (Secure Sockets Layer) — это протокол, который шифрует данные, передаваемые между веб-сайтом и веб-браузером пользователя. Это означает, что если кто-то попытается перехватить данные, он не сможет их прочитать. В прошлом веб-сайты электронной коммерции в основном использовали SSL для защиты информации о кредитной карте.

Но в настоящее время все больше и больше сайтов WordPress используют SSL для защиты конфиденциальных данных, таких как учетные данные для входа и отправка контактных форм. Вы можете добавить SSL на свой сайт WordPress несколькими способами. Например, некоторые веб-хостинговые компании предлагают бесплатные SSL-сертификаты, или вы можете приобрести сертификат у таких компаний, как Symantec или Comodo. Если у вас есть SSL-сертификат, вам необходимо установить и активировать плагин WordPress SSL.

Ограничьте доступ к вашему каталогу плагинов

Каталог плагинов WordPress — это папка на вашем сервере, содержащая все плагины, которые вы установили на свой сайт.

По умолчанию любой может получить доступ к этой папке и посмотреть, какие плагины он использует. И если хакер знает, какие плагины вы используете, он может использовать любые уязвимости в этих плагинах. Поэтому очень важно ограничить доступ к каталогу вашего плагина. Вы можете сделать это, добавив простую строку кода в ваш файл .htaccess.

Если вам неудобно редактировать файлы на вашем сервере, вы можете установить плагин, такой как iThemes Security, который добавит код за вас. Если вы редактируете файл .htaccess, обязательно создайте резервную копию, прежде чем вносить какие-либо изменения.

Изменить имя пользователя администратора

Когда вы устанавливаете WordPress, имя пользователя администратора по умолчанию — «admin». Это не очень безопасно, потому что хакерам легко догадаться.

Итак, одна из первых вещей, которую вы должны сделать после установки WordPress, — это изменить имя пользователя администратора. Вы можете создать нового пользователя с правами администратора, а затем удалить старого пользователя «admin». Или вы можете установить плагин, такой как WP Security Scan, который будет сканировать ваш сайт на наличие любых небезопасных настроек, включая имя пользователя администратора по умолчанию.

После изменения имени пользователя администратора выйдите из своей учетной записи WordPress и войдите снова с новым именем пользователя. Многие люди забывают это сделать и задаются вопросом, почему они не могут получить доступ к своему сайту WordPress.

Используйте CAPTCHA или reCAPTCHA на экране входа в систему

CAPTCHA (полностью автоматизированный общедоступный тест Тьюринга, позволяющий различать компьютеры и людей) — это тест «вызов-ответ», используемый для проверки того, что только люди могут получить доступ к веб-сайту или выполнить определенные действия. reCAPTCHA — это версия CAPTCHA, принадлежащая Google. Это более безопасно, чем традиционная CAPTCHA, потому что она использует передовые методы анализа рисков, чтобы предотвратить использование автоматизированного программного обеспечения в неправомерных действиях на вашем веб-сайте. Чтобы добавить CAPTCHA или reCAPTCHA на экран входа в WordPress, вы можете установить плагин, например WP-reCAPTCHA.

После установки и активации плагина вам необходимо зарегистрировать бесплатную учетную запись в reCAPTCHA. Затем вам будет предоставлен ключ сайта и секретный ключ, которые вам нужно будет ввести в настройках плагина.

Автоматический выход бездействующих пользователей

Когда вы вошли на свой сайт WordPress, вы можете оставаться в системе на неопределенный срок, даже если вы закроете окно браузера или отойдете от своего компьютера. Это не очень безопасно, потому что это означает, что любой, у кого есть доступ к вашему компьютеру, также может получить доступ к вашему сайту WordPress.

Вы можете установить плагин, такой как Idle User Logout, чтобы решить эту проблему. Этот плагин автоматически отключает неактивных пользователей на определенный период.

Например, вы можете настроить выход пользователей, которые не были активны в течение 15 минут. Таким образом, даже если у кого-то есть доступ к вашему компьютеру, он не сможет оставаться на вашем сайте WordPress. Плагин необходим, если у вас есть общий компьютер или вы используете общедоступный Wi-Fi.

Используйте SFTP для подключения к вашему серверу

Когда вы подключаетесь к своему сайту WordPress, вы подключаетесь к своему серверу.

По умолчанию большинство людей подключаются к своему серверу, используя FTP (протокол передачи файлов). Но FTP — небезопасный протокол, потому что он не шифрует ваши данные. Это означает, что любой, кто отслеживает соединение, может видеть ваше имя пользователя и пароль.

Таким образом, использование SFTP (протокол безопасной передачи файлов) необходимо. SFTP — это безопасный протокол, который шифрует ваши данные, поэтому кому-то гораздо труднее перехватить ваше соединение и украсть ваши учетные данные. Чтобы использовать SFTP, вам необходимо сгенерировать пару ключей SSH и добавить открытый ключ на свой сервер. У большинства хостинг-провайдеров есть инструкции, как это сделать.

Отслеживание вредоносных программ

Вредоносное ПО — это вредоносное программное обеспечение, которое может заразить ваш сайт WordPress и вызвать множество проблем.

Например, вредоносное ПО может перенаправлять ваших посетителей на другие веб-сайты или отображать рекламу на вашем сайте без вашего разрешения. Вредоносное ПО также может украсть конфиденциальную информацию, такую ​​как пароли и номера кредитных карт. Поэтому важно регулярно сканировать ваш сайт WordPress на наличие вредоносных программ и удалять все, что вы найдете. Есть несколько разных способов сделать это. Например, вы можете использовать такой плагин, как Wordfence Security, который просканирует ваш сайт на наличие вредоносных программ и автоматически удалит все, что найдет.

В качестве альтернативы вы можете использовать такую ​​службу, как Sucuri SiteCheck, которая просканирует ваш сайт, а затем предоставит вам отчет о любых обнаруженных вредоносных программах.

Вывод

Это лишь некоторые из многих способов повысить безопасность WordPress. Принимая эти меры, вы можете помочь защитить свой сайт WordPress от хакеров и других злоумышленников. Многие из этих советов легко реализовать, поэтому нет оправдания тому, чтобы не действовать. Помните, что ваш сайт WordPress безопасен настолько, насколько вы его сделаете. Поэтому, пожалуйста, не ждите, пока не станет слишком поздно, чтобы начать думать о безопасности. Примите меры сейчас и помогите защитить свой сайт WordPress.