3 способа защитить ваш сайт WordPress от атак

В наши дни каждый веб-сайт должен серьезно относиться к безопасности. Это особенно верно, если он использует систему управления контентом (CMS), такую ​​как WordPress. Этот тип платформы обычно хранит много конфиденциальной информации, что делает ее целью. Если кто-то взломает ваш веб-сайт, вам придется потратить драгоценное время на выяснение того, как он проник, и устранение ущерба.

Хорошей новостью является то, что WordPress очень гибок, когда речь идет об усилении мер безопасности вашего сайта. Например, есть несколько способов защитить свою страницу входа от атак и скрыть ее от незнакомых людей. С помощью нескольких настроек здесь и там ваш сайт может быстро стать крепостью.

В этой статье мы собираемся обсудить важность безопасности WordPress. Затем мы познакомим вас с тремя методами, которые вы можете использовать, чтобы сделать ваш сайт более безопасным. Давайте приступим!

Почему важна безопасность WordPress

Просто для ясности: WordPress уже является очень безопасной платформой из коробки. Тем не менее, это также огромная часть программного обеспечения с миллионами пользователей и тысячами вариантов плагинов и тем. С учетом того, что происходит так много всего, вполне естественно, что некоторым пользователям в конечном итоге придется столкнуться с проблемами безопасности. В большинстве случаев вы можете проследить эти проблемы до легко взломанных учетных данных, сбоев в постоянном обновлении и других ошибок пользователя.

С другой стороны, вы будете в гораздо большей безопасности, если будете в курсе последних версий WordPress и следите за всеми плагинами и темами, которые используете. Поддержание безопасности вашего сайта может показаться сложной задачей, но быть осторожным — лучший способ действий. Вот почему:

• WordPress является мишенью для атак. Популярность системы управления контентом (CMS) делает ее фаворитом онлайн-злоумышленников. В конце концов, обнаружение уязвимости в одном плагине или теме может помочь им получить доступ к тысячам веб-сайтов.
• Вам необходимо защитить конфиденциальную информацию о пользователях. Даже если вы не имеете дело с номерами кредитных карт на своем веб-сайте, это не означает, что вы не должны защищать конфиденциальность своих пользователей.
• Угонщики могут распространять вредоносное ПО через ваш сайт. В наши дни злоумышленники часто используют взломанные сайты для доставки вредоносных программ своим посетителям. Излишне говорить, что вы не хотите, чтобы устройства ваших пользователей были заражены из-за слабых мер безопасности с вашей стороны.

К счастью, вы можете многое сделать для превентивной защиты своего веб-сайта WordPress. Например, использование хорошо закодированной темы, которая получает постоянные обновления, всегда является разумной идеей. Например, наша собственная тема Uncode имеет отличные рейтинги и функции безопасности, и мы всегда готовы ответить на любые ваши вопросы о том, как дополнительно защитить ваш веб-сайт. После того, как вы разобрались с темой, вы можете предпринять еще несколько простых мер.

3 способа защитить ваш сайт WordPress от атак

В этом разделе мы научим вас трем способам защиты вашего веб-сайта WordPress от атак как с помощью плагинов, так и без них. Поскольку вы будете вносить довольно значительные изменения в функциональность своего веб-сайта, вам следует создать резервную копию перед началом работы. Таким образом, если что-то пойдет не так (чего быть не должно!), вы сможете восстановить свой сайт за считанные минуты и повторить попытку.

1. Используйте двухфакторную аутентификацию (2FA)

Обычно все, что требуется для входа на веб-сайт, — это ваш логин и пароль. Однако некоторые сайты делают еще один шаг вперед и просят вас ввести одноразовый код, отправленный на вашу электронную почту или смартфон. Это известно как двухфакторная аутентификация (2FA). Используя этот метод, даже если кто-то получит ваши учетные данные, он все равно не сможет получить доступ к вашей учетной записи.

WordPress не поддерживает 2FA из коробки. Тем не менее, вы можете реализовать это, используя правильные инструменты. Доступно множество отличных плагинов 2FA, но мы неравнодушны к двухфакторной аутентификации miniOrange из-за всех функций, которые она предлагает:

Чтобы начать работу с этой техникой, вам сначала нужно установить и активировать плагин. Затем вы сможете получить доступ к новой вкладке miniOrange 2-Factor со своей панели инструментов. При первом нажатии на нее вам нужно будет заполнить несколько полей, чтобы зарегистрировать учетную запись miniOrange:

После этого вы получите одноразовый код по электронной почте или в текстовом сообщении, который вы можете использовать для активации плагина.

Когда это будет сделано, вы можете перейти на вкладку « Настройка двухфакторной аутентификации » в верхней части экрана и выбрать, какие типы 2FA смогут использовать ваши посетители. Чтобы предоставить пользователям больше возможностей, мы рекомендуем использовать проверку электронной почты в качестве метода по умолчанию:

Выбрав нужные методы, вы можете выйти из системы. В следующий раз, когда вы попытаетесь получить доступ к своей панели инструментов, вы увидите возможность включить 2FA для своей учетной записи. Теперь все пользователи вашего сайта смогут включить двухфакторную аутентификацию. Ваш сайт WordPress будет безопаснее для него!

2. Внесите в белый список IP-адреса, которые могут получить доступ к вашей панели управления.

Панель инструментов WordPress — это место, где происходит большая часть волшебства. Таким образом, вы не хотите, чтобы кто угодно имел доступ. Только доверенные члены команды должны иметь возможность получить доступ к панели управления вашего сайта и использовать ее основные функции.

Ваша страница входа — это ваша основная линия защиты от нежелательных вторжений. Однако иногда злоумышленники могут получить доступ к учетным данным одного из членов вашей команды. Если это произойдет, вам понадобится вторая линия обороны, чтобы остановить их. Вот тут-то и пригодится ваш файл .htaccess .

Этот файл позволяет вам предоставлять определенные инструкции для вашего сервера. Например, вы можете указать ему заблокировать доступ к вашей панели управления для всех, чей IP-адрес отсутствует в предварительно утвержденном списке. Когда вы добавляете IP-адрес в этот список, вы добавляете его в «белый список». Этот метод требует небольшой предварительной работы, но он может превратить ваш сайт в крепость.

Во-первых, вам нужно знать IP-адреса всех ваших коллег. Для достижения наилучших результатов вы также должны убедиться, что эти IP-адреса являются статическими. Члены команды могут использовать такой сайт, как What is My IP, чтобы узнать, какие у них адреса, и связаться со своими интернет-провайдерами, чтобы им был назначен статический адрес, если у них его еще нет.

Лучше сначала решить эти задачи, чтобы вы могли сразу ввести все IP-адреса из белого списка. Когда у вас будет готов список адресов, вам нужно найти и получить доступ к файлу .htaccess вашего сайта. Для этого мы рекомендуем использовать протокол передачи файлов (FTP) и такой инструмент, как FileZilla.

Просто войдите на свой веб-сайт, используя свои учетные данные FTP, и получите доступ к своей папке public_html . Затем найдите файл .htaccess внутри:

Теперь щелкните файл правой кнопкой мыши и выберите параметр « Просмотр/редактирование ». Это откроет файл на вашем компьютере с помощью текстового редактора по умолчанию. Внутри уже должно быть несколько строк кода, которые вы не хотите изменять. Вместо этого прокрутите файл до конца и найдите строку #END WordPress .

Вам нужно будет вставить следующий фрагмент прямо перед этой строкой:

 <IfModule mod_rewrite.c>
RewriteEngine включен
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
Правило перезаписи ^(.*)$ - [R=403,L]
</ЕслиМодуль>

Эти пять строк кода говорят WordPress проверять IP-адрес любого, кто пытается получить доступ к вашей панели управления. Если их адрес не совпадает ни с одним из адресов в вашем белом списке (в приведенном выше примере их два), они получат ошибку 403:

Вы можете добавить столько адресов, сколько хотите, используя тот же формат, а также заблокировать другие страницы. Например, если вы хотите заблокировать свою страницу входа для всех, кроме тех, кто находится в вашем белом списке, все, что вам нужно сделать, это добавить одну дополнительную строку кода:

 <IfModule mod_rewrite.c>
RewriteEngine включен
RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$ [ИЛИ]
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$
RewriteCond %{REMOTE_ADDR} !^190.46.268.21$
RewriteCond %{REMOTE_ADDR} !^190.45.281.27$
Правило перезаписи ^(.*)$ - [R=403,L]
</ЕслиМодуль>

Когда вы закончите вносить изменения в .htaccess , сохраните файл и закройте текстовый редактор. Вы по-прежнему сможете получить доступ к своей панели управления и странице входа в систему, как обычно, если только вы не забыли добавить в белый список свой собственный IP-адрес!

3. Используйте комплексный плагин безопасности WordPress

Если вы решите принять только одну меру для защиты своего веб-сайта WordPress, использование плагина безопасности может принести вам максимальную пользу. Доступно множество популярных плагинов безопасности, и многие из них способны защитить ваш сайт от большинства типов атак.

Один из наших фаворитов называется All In One WP Security & Firewall. Он предлагает широкий спектр функций и удобный интерфейс:

До сих пор мы много говорили о защите ваших страниц входа в систему и панели управления WordPress. Этот плагин позволяет вам делать и то, и другое, используя встроенную функциональность, которую вы можете включить несколькими щелчками мыши. Например, вы можете ограничить количество попыток входа в систему, прежде чем доступ к сайту будет временно заблокирован. Эта функция доступна на вкладке WP Security > User Login :

Вы также можете настроить плагин, чтобы он сообщал вам, когда кто-то блокируется на странице входа, и полностью блокировал IP-адреса. All In One WP Security & Firewall также включает комплексный брандмауэр, который можно настроить на вкладке WP Security > Firewall :

Как только вы активируете плагин, ваш первый шаг должен состоять в том, чтобы взглянуть на его документацию. Есть много настроек, которые вам нужно научиться использовать, но краткий ускоренный курс расскажет вам все, что вам нужно знать, чтобы защитить свой веб-сайт.

И последнее, но не менее важное: у Kinsta есть отличные советы по блокировке вашего сайта, ознакомьтесь с ними, если вам нужны дополнительные советы по безопасности WordPress.

Вывод

Безопасность WordPress — это то, в чем вы должны проявлять инициативу. Небольшие усилия, потраченные на защиту вашего веб-сайта с самого начала, избавят вас от головной боли в будущем. Если вам повезет, вам никогда не придется сталкиваться с последствиями нежелательных вторжений на ваш сайт, и вместо этого вы сможете сосредоточиться на его улучшении.

Хорошая новость заключается в том, что существует множество простых способов защитить свой сайт. Еще раз, вот три наших фаворита:

1. Используйте 2FA на странице входа.
2. Внесите в белый список IP-адреса членов вашей команды.
3. Используйте комплексный плагин безопасности WordPress.

У вас есть вопросы о том, как защитить свой сайт WordPress? Спросите в разделе комментариев ниже!