Как защитить свой сайт WordPress: рабочие советы по безопасности
Опубликовано: 2021-11-30
Скидка 20% на разработку WPMU
В этой статье мы будем использовать хостинг и инструменты WPMU DEV. Вы можете получить 20% скидку на членство в WPMU DEV.
Безопасность WordPress — огромная тема. Есть несколько вещей, которые вы можете предпринять, чтобы защитить свой сайт WordPress и предотвратить повреждение вашего сайта электронной коммерции или блога хакерами и уязвимостями.
Хотя основное программное обеспечение WordPress достаточно безопасно и его часто проверяют сотни инженеров, вы все еще можете многое сделать для обеспечения безопасности своего сайта.
Вы же не хотите проснуться однажды утром и обнаружить, что ваш сайт в беспорядке. Итак, сегодня мы рассмотрим различные методы, тактики и подходы, которые вы можете использовать для повышения безопасности вашего WordPress и сохранения безопасности.
Почему важна безопасность веб-сайта?
Любой скомпрометированный веб-сайт WordPress может значительно повредить вашему денежному потоку и авторитету. Злоумышленник может получить данные клиента, пароль, внедрить вредоносные программы или даже заразить ваших пользователей вредоносными программами.
Ужасный сценарий: компании могут быть вынуждены тратить программы-вымогатели на злоумышленников, чтобы восстановить доступ к веб-сайту. По данным Google, более 50 миллионов пользователей веб-сайтов были предупреждены о том, что веб-страница, которую они посещают, может содержать вредоносное ПО или украсть данные.
Это веб-сайты с живой статистикой, которые взламывают за день.
Более того, каждую неделю Google добавляет в черный список около 20 000 веб-сайтов на предмет наличия вредоносных программ и около 50 000 веб-сайтов на предмет фишинга. Если вы ведете страницу компании, вам следует уделить большое внимание безопасности веб-сайта.
Это действительно ваша работа, как владельца онлайн-бизнеса, защищать свой бизнес-сайт так же, как вы несете ответственность за защиту вашего реального магазина.
Является ли WordPress безопасной платформой?
Безопасен ли WordPress?
Это, наверное, первый вопрос, который у вас на уме. Да, по большей части.
WordPress безопасен до тех пор, пока владельцы веб-сайтов серьезно относятся к безопасности и придерживаются рекомендуемых методов. Использование безопасных плагинов и тем, поддержание ответственных процессов входа в систему, использование плагинов безопасности для мониторинга вашего сайта и периодическое обновление — все это хорошие практики.
WordPress, с другой стороны, имеет репутацию склонного к недостаткам безопасности и, следовательно, не является безопасной платформой для использования в бизнесе. В большинстве случаев это происходит из-за того, что пользователи продолжают следовать проверенным в отрасли передовым методам обеспечения безопасности.
Хакеры остаются на вершине своей киберпреступной игры, используя старое программное обеспечение WordPress, обнуленные плагины, плохое системное администрирование, управление учетными данными и отсутствие необходимого опыта в Интернете и безопасности среди пользователей WordPress, не являющихся техническими специалистами. Даже лучшие практики не всегда соблюдаются лидерами отрасли. Поскольку они использовали старую версию WordPress, Reuters взломали.
Это не означает, что уязвимостей нет. WordPress по-прежнему доминирует среди зараженных веб-сайтов. Sucuri, многоплатформенная компания по обеспечению безопасности, работала над исследованием в третьем квартале 2017 года (83%). Это на 74% больше, чем в предыдущем году.
Поскольку на WordPress работает более 42% всех веб-сайтов в Интернете, а на выбор предлагаются сотни тысяч комбинаций тем и плагинов, неудивительно, что уязвимости существуют и постоянно выявляются. Тем не менее, вокруг платформы WordPress существует сильное сообщество, которое гарантирует, что эти проблемы будут решены как можно скорее. По состоянию на 2021 год команда безопасности WordPress состоит примерно из 50 специалистов, включая ведущих разработчиков и исследователей безопасности (по сравнению с 25 в 2017 году); около половины из них являются сотрудниками Automattic, а некоторые работают в области веб-безопасности.
Начните с правильного хостинга
Использование хостинга, обеспечивающего несколько уровней безопасности, — самый простой способ обеспечить безопасность вашего сайта.
Экономия денег на хостинге веб-сайтов означает, что вы можете потратить деньги в другом месте в своей организации, поэтому может возникнуть соблазн зарегистрироваться у дешевого хостинг-провайдера. Но вы должны сопротивляться этому искушению.
Дешевый хост может вызвать головную боль в будущем. Данные, связанные с вашим URL-адресом, могут быть полностью удалены, и ваш URL-адрес может начать перенаправлять в другое место. Всего несколько примеров, есть еще несколько причин, по которым вам не следует соглашаться на дешевый хостинг, который не достоин вашего бизнеса.
Дополнительная безопасность, обеспечиваемая качественным хостингом, автоматически приписывается вашему веб-сайту, если вы платите немного больше. Кроме того, вы можете улучшить производительность своего сайта WordPress, используя хороший хостинг WordPress.
Создать резервную копию сайта
Для начала сделайте резервную копию своей резервной копии WordPress, прежде чем вносить какие-либо изменения на свой сайт.
Существует множество доступных плагинов резервного копирования WordPress, которые можно использовать для достижения той же цели.
Доступны как бесплатные, так и платные. однако лишь некоторые из предложенных бесплатны.
- UpdraftPlus
- BackWPup
Я предполагаю, что вы установили и использовали один из резервных плагинов WordPress. Теперь вы готовы перейти к следующему шагу.
Я рекомендую планировать резервное копирование после публикации каждого сообщения. После внесения любых изменений в сообщения или базу данных блога.
Создавайте надежные пароли
Вы можете многое сделать для защиты своего веб-сайта WordPress, но мало кто обращает внимание на основы.
Создание безопасных паролей — это то, что вы должны сделать для всех своих сайтов социальных сетей и учетных записей электронной почты.
Точно так же, поскольку сайты WordPress взламываются, как и все остальное, крайне важно принять те же меры предосторожности для вашего сайта WordPress. Больше не имеет значения, насколько велик ваш блог. Все это вызывает любопытство хакеров. РЖУ НЕ МОГУ!
Использование надежного пароля означало, что вы не используете ничего личного. Следует избегать почти всего, включая ваше имя, дату рождения, удостоверение личности сотрудника, имя подруги и все остальное, о чем можно догадаться.
Время, необходимое для взлома паролей
У вас проблемы с придумыванием креативных паролей? Чтобы установить безопасный пароль, вы всегда можете использовать любые онлайн-инструменты для создания паролей. Я использую генератор паролей LastPass.
Изменить URL-адрес входа в WP
«yoursite.com/wp-admin» — это URL-адрес по умолчанию для входа в WordPress.
Если вы оставите все как есть, вы рискуете стать жертвой грубой силы, направленной на взлом вашей комбинации имени пользователя и пароля.
Вы можете получить большое количество спам-регистраций, если разрешите пользователям регистрироваться для учетных записей подписки. Измените URL-адрес входа администратора или добавьте контрольный вопрос на страницу регистрации и входа, чтобы этого избежать.
Вы можете установить плагин, такой как пользовательский URL-адрес входа или WPS Hide Login, чтобы изменить URL-адрес wp-login.
Изменить имя пользователя WordPress
Когда вы создаете блог, вам будет предложено ввести имя пользователя, которое будет использоваться для входа в ваш блог или на веб-сайт.
Большинство людей оставляют его как « admin » по умолчанию и забывают изменить его впоследствии.
Подумайте, как просто было бы предсказать это даже плохому хакеру. ха-ха! Я заметил улыбку на твоем лице.
Вы должны сделать его единственным в своем роде и невозможно угадать. Если вы не знаете, как это сделать, я подготовил простое руководство по изменению вашего имени пользователя WordPress.
Двухфакторная аутентификация
Использовали ли вы ранее двухфакторную аутентификацию для своих учетных записей Gmail? Если вы знакомы с ним, вы, вероятно, поняли, о чем я говорю.
Двухфакторная аутентификация — это простой способ защитить ваш сайт WordPress от хакеров.
Вы получите OTP при входе в систему, если подключите свой блог к мобильному телефону для двухфакторной аутентификации. Вы сможете войти в систему, введя этот номер.
Это выводит безопасность на новый уровень и добавляет еще один уровень. Краткий урок по двухфакторной аутентификации WordPress можно найти здесь.
Защита паролем администратора WordPress и страницы входа
Как правило, хакеры имеют неограниченный доступ к вашей папке wp-admin и странице входа. Это дает им возможность проверить свои хакерские навыки или запустить DDoS-атаки.
На стороне сервера вы можете реализовать дополнительную защиту паролем, которая по существу остановит эти запросы.
Следуйте нашим пошаговым инструкциям, чтобы защитить свой WordPress wp-admin паролем.
Ограничьте количество попыток входа
В WordPress по умолчанию пользователям разрешено пытаться войти столько раз, сколько они захотят. Если вы часто забываете, какие буквы являются заглавными, это может помочь, но это также делает вас уязвимыми для атак грубой силы.
Вы можете ограничить количество попыток входа, пока пользователи не будут временно заблокированы. Это снижает ваши шансы на атаку методом грубой силы, поскольку хакер заблокирован до завершения атаки.
Используя плагин ограничения количества попыток входа в WordPress, вы можете легко включить эту функцию.
Используя «Настройки» > «Ограничение количества попыток входа», вы можете изменить количество попыток входа после установки плагина.
Выйдите из системы бездействующих пользователей в WordPress
Пользователи, которые вошли в систему, могут иногда отклоняться от своих экранов, создавая угрозу безопасности. Кто-то может взять под контроль свой сеанс, изменить свои пароли и изменить свою учетную запись.
Вот почему многие банковские и финансовые веб-сайты автоматически блокируют бездействующих пользователей. Подобный функционал можно реализовать и на вашем сайте WordPress.
Должен быть установлен и активирован плагин Inactive Logout. Чтобы настроить параметры плагина, нажмите Настройки » Неактивно Выйдите из системы после активации.
Установите таймер и сообщение о выходе из системы, и все готово. Не забудьте сохранить изменения, нажав кнопку «Сохранить изменения».
Добавить секретный вопрос на экран входа в WordPress
Добавление контрольного вопроса на экран входа в WordPress значительно усложняет получение несанкционированного доступа.
Установка плагина WP Security Questions позволит вам добавлять контрольные вопросы. Чтобы настроить параметры плагина, перейдите в Настройки » Контрольные вопросы после его активации.
См. наш учебник о том, как добавить контрольные вопросы в WordPress для получения дополнительной информации.
Отключить просмотр каталога
Еще один этап, который изучает веб-мастер, это. Когда дело доходит до безопасности веб-сайтов, это малоизвестный факт.
Однако, если просмотр вашего корневого каталога включен. Доступ к таким файлам, как темы, плагины, изображения и многое другое, может получить читатель, посетитель или хакер.
Вот как можно запретить просмотр каталогов в WordPress с помощью файла .htaccess.
Отключить редактирование файлов
В вашей панели управления WordPress есть инструмент редактора кода, который позволяет вам изменять тему и плагины при настройке сайта.
Внешний вид>Редактор — вот где вы его найдете. Вы также можете получить доступ к редактору плагинов, выбрав «Плагины»> «Редактор».
Мы рекомендуем отключать эту функцию после того, как ваш сайт появится в сети. Хакеры могут внедрить незаметный вредоносный код в вашу тему и плагин, если они получат доступ к вашей панели администратора WordPress.
Кодирование часто настолько тонкое, что вы не поймете, что что-то не так, пока не станет слишком поздно.
Просто введите следующий код в файл wp-config.php.
define('DISALLOW_FILE_EDIT', true);Этот процесс поможет вам предотвратить возможность изменения плагинов и файлов темы с панели инструментов.
Отключить XML-RPC в WordPress
Начиная с WordPress 3.5, XML-RPC включен по умолчанию, чтобы помочь вам подключить сайт WordPress к мобильным приложениям и веб-сервисам.
Атака грубой силы может быть значительно усилена XML-RPC благодаря своей мощной природе.
В прошлом, если хакер хотел попробовать 500 разных паролей на вашем сайте, ему приходилось 500 раз входить в систему. Плагин блокировки входа будет ловить и блокировать такие попытки.
Однако с помощью XML-RPC хакер может использовать функцию system.multicall для перебора тысяч паролей всего за 20 или 50 запросов.
Поэтому, если вы не используете XML-RPC, то его следует отключить. Это может быть обработано брандмауэром, если вы используете брандмауэр веб-приложения, упомянутый выше.
Скрыть файлы wp-config.php и .htaccess
Хотя сокрытие файлов .htaccess и wp-config.php вашего сайта для предотвращения доступа к ним хакеров является сложным методом повышения безопасности вашего сайта, это разумная практика, если вы серьезно относитесь к своей безопасности.
Мы настоятельно рекомендуем опытным разработчикам использовать этот вариант, поскольку очень важно сначала сделать резервную копию вашего сайта и продолжать с осторожностью. Любая ошибка может сделать ваш сайт недоступным.
После того, как вы сделали резервную копию, вам нужно выполнить две вещи, чтобы скрыть файлы:
Для начала добавьте следующий код в файл wp-config.php:
<Files wp-config.php> order allow,deny deny from all </Files>Аналогичным образом вы добавите следующий код в свой файл .htaccess.
<Files .htaccess> order allow,deny deny from all </Files>Хотя процедура проста, вы должны убедиться, что у вас есть резервная копия на случай, если что-то пойдет не так.
Удалить версию WP
Ранее мы обсуждали обновления WordPress. Теперь также логично скрыть вашу версию WordPress от хакеров.
Мне любопытно, как они могут увидеть версию WordPress, на которой вы работаете, учитывая, что у вас есть учетные данные для входа.
Хакеры могут легко проверить версию WordPress, просмотрев исходную страницу. Все, что им нужно сделать сейчас, это
CTRL F — щелчок правой кнопкой мыши (на веб-странице) — Просмотр исходного кода страницы (Поиск версии). Он будет напоминать тег, показанный ниже.
Включить брандмауэр веб-приложения
Вы, вероятно, знакомы с концепцией брандмауэра, который представляет собой программу, которая помогает защитить ваш компьютер от различных типов вредоносных атак. Почти наверняка на вашем компьютере установлен брандмауэр.
Брандмауэр веб-приложений (WAF) — это тип брандмауэра, специально разработанный для защиты веб-сайтов. Серверы, определенные веб-сайты или большие группы веб-сайтов могут быть защищены.
Брандмауэр веб-приложений (WAF) на вашем сайте WordPress будет действовать как брандмауэр между вашим сайтом и остальной частью Интернета. Брандмауэр отслеживает подозрительное поведение, обнаруживает нападения, вирусы и другие нежелательные события и блокирует все, что считает опасным.
Установить SSL-сертификат
SSL, или Secure Sockets Layer, в настоящее время широко используется для всех типов веб-сайтов. Первоначально SSL требовался, чтобы сделать веб-сайт безопасным для определенных процессов, таких как обработка платежей. Однако сегодня Google осознал его важность и дает веб-сайтам с поддержкой SSL более высокий рейтинг в результатах поиска.
SSL требуется для любого сайта, который обрабатывает конфиденциальные данные, такие как пароли или номера кредитных карт. Все данные между веб-браузером пользователя и вашим веб-сервером передаются в виде обычного текста, если у вас нет SSL-сертификата.
Хакеры могут прочитать это. Использование SSL шифрует важную информацию перед ее отправкой между их браузером и вашим сервером, что затрудняет ее чтение и повышает безопасность вашего сайта.
Средняя стоимость SSL для веб-сайтов, принимающих конфиденциальную информацию, составляет примерно 70-199 долларов в год. Вам не нужно платить за SSL-сертификат, если вы не принимаете конфиденциальные данные. Почти каждый хостинг-провайдер предоставляет бесплатный SSL-сертификат Let's Encrypt, который вы можете использовать для защиты своего сайта.
Скажи нет обнуленным темам
Премиум-тема WordPress выглядит более профессионально и предлагает больше возможностей для настройки, чем бесплатная тема. Несмотря на это, трудно утверждать, что вы получаете то, за что платите, с бесплатной темой.
Все премиальные темы разработаны опытными разработчиками и тестируются перед публикацией. Если что-то пойдет не так с вашим сайтом, вы можете получить полную поддержку. Нет никаких ограничений на настройку темы. Кроме того, обновление темы является регулярным.
Есть некоторые сайты, которые также предлагают обнуленные или взломанные темы. Обнуленные темы — это версии премиальных тем, которые были взломаны и доступны нелегально. Это может поставить ваш сайт под угрозу. Вредоносные коды, скрытые в этих темах, могут повредить ваш веб-сайт и базу данных или украсть ваши учетные данные.
Хотя можно сэкономить немного денег, важно, чтобы любой владелец веб-сайта избегал использования тем WordPress с нулевым значением.
Регулярное обновление версии WordPress
Самый эффективный способ обеспечить безопасность вашего веб-сайта WordPress — это поддерживать его в актуальном состоянии. Некоторые изменения часто вносятся с каждым обновлением, включая обновления безопасности. Регулярное обновление программного обеспечения может помешать вам стать мишенью для эксплойтов и лазеек, которыми, как известно, пользуются хакеры, чтобы получить доступ к вашему сайту.
Те же причины относятся к обновлению плагинов и тем.
Незначительные обновления автоматически загружаются WordPress по умолчанию. Однако обновления, требующие серьезных изменений, необходимо выполнять непосредственно через панель администратора WordPress.
Изменить префикс таблицы базы данных
Возможно, вы заметили диалоговое окно с запросом определенного префикса, чтобы начать что-то вроде wp_ при установке WordPress на ваши серверы. Вот что это подразумевает. Это база данных для вашего сайта WordPress. Имя папки wp_.
Неудивительно, что все общеизвестное может быть выведено так называемыми хакерами. Также рекомендуется изменить префикс всего, что вы создали. Все что угодно входит в mywpsite_, friendswp_ и так далее.
Я могу просто добиться этого, обратившись к базе данных вашего веб-сайта. Однако, если вы не знакомы со всеми техническими деталями, плагины всегда доступны.
Установите лучший плагин безопасности WordPress
Существует несколько плагинов безопасности для WordPress, как бесплатных, так и премиальных. И это отличный выбор для установки одного из плагинов для вашего сайта WordPress.
В этом руководстве мы увидим, как мы можем создать надежную среду безопасности вокруг нашего сайта WordPress с помощью Defender Pro, созданного WPMU DEV.
Основные функции Defender Pro
Мощные барьеры безопасности Defender для WordPress и технологии маскировки против хакеров, брутфорсеров и вредоносных ботов.
- Регулярные проверки службы безопасности
- Блокировка IP геолокации
- Маскировка и защита логинов
- Регистрация аудитов
- Аутентификация с использованием двух факторов
- Мониторинг черного списка
- Отчеты об уязвимостях
- Восстановление и исправление измененных файлов
Установите плагин Defender Pro для WordPress.
После установки Defender Pro вы обнаружите доступную опцию по категориям, в которой легко разобраться даже новичку.
Панель инструментов, рекомендации, сканирование вредоносных программ, ведение журнала аудита, брандмауэр, WAF, инструменты 2FA, настройки, учебные пособия.
После завершения сканирования вы увидите подобный экран на панели инструментов Defender Pro.
Когда сайт обнаруживает проблему с безопасностью, подключаемый модуль дает совет о том, как приступить к устранению. Это интересно.
Defender Pro делает шаг вперед, предоставляя подробные и действенные предложения, адаптированные к сайту и устраняющие текущие и будущие риски.
Что выделяет эти предложения, так это то, что вы можете точно настроить действие, которое вы предпринимаете.
Если вы случайно включили « обновить старые ключи безопасности », вы все равно можете отключить или изменить частоту напоминаний. Это обеспечивает безопасность и актуальность сайта.
Заключение — Безопасность WordPress
Метод защиты вашего сайта WordPress может занять некоторое время, но в конечном итоге оно того стоит. Вместо того, чтобы говорить, что мой сайт WordPress взломан.
Я показал вам оба метода для пользователей DIY, а также плагин. В любом случае, если вы выберете, безопасность веб-сайта WordPress имеет решающее значение для любых пользователей.
Скидка 20% на разработку WPMU
Defender Pro — фантастический плагин безопасности для защиты вашего веб-сайта WordPress. Вы можете получить 20% скидку на членство в WPMU DEV.