Безопасность WordPress — основные советы каждому владельцу сайта

Знаете ли вы, что каждую минуту на сайты WordPress совершается более 90 978 атак ? К счастью, несмотря на то, что это число кажется огромным, если вы будете следовать основным правилам безопасности, вы сможете предотвратить большинство потенциальных атак и сделать свой веб-сайт защищенным от атак.

Или, по крайней мере, настолько усложнить взлом, что хакеры предпочтут нацелиться на один из тысяч плохо защищенных. Что не так сложно сделать, особенно если учесть, что многие атаки выполняются после того, как автоматические сканеры уязвимостей находят потенциальные пути проникновения. Итак, как резко повысить безопасность вашего сайта WordPress? Вот 6 основных советов.

1. Обновляйте установку, темы и плагины WP

Простой, но часто игнорируемый. По данным WordPress.org , 1/3 всех веб-сайтов WordPress не обновлены до последней версии. Кроме того, почти 2/3 всех веб-хостов используют PHP старше 7.0. Устаревшая установка WordPress и серверные фреймворки представляют серьезную угрозу для вашего сайта и увеличивают риск успешного взлома, поскольку хакеры попытаются получить доступ к вашему сайту, используя незакрытые уязвимости.

На самом деле, если вы будете постоянно обновлять все свои темы, плагины, а также WordPress, вы будете в большей безопасности, чем 75% всех законных сайтов — по оценкам, три из четырех сайтов содержат неисправленные уязвимости. К счастью, получить последние версии ваших плагинов, тем и самого WP довольно просто — все, что вам нужно, — это несколько нажатий кнопки.

В то же время проверка того, что на вашем сервере установлена ​​последняя версия PHP, может занять немного больше времени. Вот почему лучше просто обратиться в службу поддержки вашего хостинга и попросить их указать вам руководство о том, как вы можете обновить его самостоятельно, или даже попросить их обновить его для вас.

2. Установите сканер вредоносных программ и брандмауэр

Если вы думали, что вредоносное ПО, вирусы и атаки методом перебора могут затронуть только ваш компьютер, вы ошибались. Мало того, что WordPress может быть затронут, это, по сути, самая зараженная CMS веб-сайта , что, скорее всего, во многом связано с ее популярностью.

Хорошая новость заключается в том, что для WordPress существует множество бесплатных и платных брандмауэров и сканеров вредоносных программ. Одним из самых популярных является Wordfence Security , который предлагает как сканирование вредоносных программ, так и брандмауэр, и поставляется как в бесплатной, так и в платной версиях.

3. Получите VPS и превратите его в крепость

По сравнению с виртуальным хостингом, VPS позволяет вам контролировать каждый аспект его конфигурации. Благодаря этому вы можете не только ускорить работу своего веб-сайта, но и обеспечить надлежащую безопасность среды его хостинга — сервера.

На неуправляемом VPS вы сами выбираете ОС (например, CentOS считается более безопасной по сравнению с Ubuntu), брандмауэр и другое программное обеспечение, которое вы устанавливаете, например, сканеры вредоносных программ (которое вы должны установить как на WordPress, так и на сам сервер).

Более того, установив свой WordPress на VPS, где у вас есть root-доступ, легко изменить такие вещи, как пароли MySQL или переименовать папки WordPress и перенастроить его файлы, чтобы уменьшить вероятность потенциальной атаки. Хотя кое-что из этого также можно сделать с помощью плагинов безопасности.

Естественно, чтобы воспользоваться всеми преимуществами виртуального частного сервера (скорость, гибкость и масштабируемость, и это лишь некоторые из них), вам следует арендовать сервер у компании, которая предлагает различные ценовые пакеты, которые легко обновить, если вам потребуются дополнительные ресурсы. Отличный пример такого предложения вы можете увидеть здесь .

4. Скройте /wp-admin и вашу установку WordPress.

Зачем вообще говорить миру, что вы работаете на WordPress? Хотя это отличная система управления контентом, вам не обязательно хвастаться тем, что вы ее используете. Тем более, что он предоставляет потенциальному злоумышленнику ценную информацию. Например, если вы не скроете WordPress, такие веб-сайты, как What WordPress Theme Is That? раскрыть информацию не только о теме, которую вы используете, но и о некоторых плагинах. Это все равно, что сказать хакеру , вот как вы можете попасть внутрь:

Итак, как скрыть информацию о вашем сайте WP от посторонних глаз потенциальных злоумышленников? К счастью, вам вообще не нужны никакие технические навыки. Там, где есть спрос, есть плагины WordPress, которые вы можете использовать для этого — самый популярный из них — Hide My WP by the wave, который может скрыть вашу страницу входа и сделать невидимой информацию о вашем веб-сайте WordPress (к сожалению, есть нет бесплатной версии).

В качестве альтернативы вы можете получить бесплатную версию iThemes Security , которая не предоставляет вам столько вариантов скрытия (хотя и позволяет скрыть страницу входа), но имеет множество других преимуществ безопасности.

5. Измените свое имя пользователя WP и держите его скрытым

Точно так же, как вы не должны использовать слово « пароль » в качестве фактического пароля, оставление имени пользователя WordPress по умолчанию admin может иметь ужасные последствия. В конце концов, это, вероятно, первое, что попытается угадать любой потенциальный злоумышленник, поэтому, используя его, вы невероятно упрощаете для них получение сведений о вашей учетной записи администратора.

Как это изменить? Есть два способа сделать это. Вы можете найти плагин, который может сделать это за вас, или пойти по ручному пути. Лично я предпочитаю последнее — это так же быстро и просто, и это может сделать каждый. Но, поскольку WordPress не дает вам готовых вариантов для его изменения, вам нужно использовать небольшой обходной путь. Сначала войдите на свой сайт и перейдите в раздел Пользователи > Добавить новый.

Оказавшись там, вставьте имя пользователя своей новой учетной записи администратора и убедитесь, что вы установили роль пользователя « Администратор». После этого нажмите « Показать пароль» и измените или скопируйте пароль по умолчанию (безопасный).

После создания пользователя выйдите из сайта и войдите под новым пользователем. Перейдите в раздел «Пользователи» > «Все пользователи» и удалите старую учетную запись администратора WordPress. Но это не все. Вам нужна учетная запись, чтобы публиковать свои сообщения, верно? Вместо того, чтобы публиковать их с помощью администратора, который из-за постоянных ссылок позволяет легко угадать его имя пользователя (если вы не играете с ними), создайте отдельную учетную запись. На этот раз, вместо того, чтобы назначать ему роль администратора, установите для него роль, не имеющую прав администратора (например, автора или редактора).

После этого продолжайте и установите нового пользователя в качестве автора всех существующих сообщений (это можно сделать в разделе «Все сообщения» > «Быстрое редактирование» под каждой статьей).

6. Защитите существующие учетные записи пользователей WordPress

Вы работаете с виртуальными помощниками или у вас есть сотрудники, которые могут получить доступ к вашему веб-сайту WordPress? В этом случае лучше не давать им доступ ко всем плагинам и данным. В конце концов, им, вероятно, не обязательно иметь возможность настраивать все плагины на вашем сайте. И, если они не являются доверенными разработчиками, у них определенно не должно быть доступа к редактору тем. Как ограничить их доступ? Один из способов — создать их учетные записи и установить для них одну из ролей по умолчанию — участника, автора или редактора.

Но что, если вы хотите заблокировать их от большего, чем ограничивают эти роли, при этом предоставив им доступ к частям веб-сайта, которые им не предоставляют настройки по умолчанию? В этом случае вы можете использовать бесплатный плагин, такой как User Role Editor , который позволяет создавать новые роли и устанавливать, к каким элементам веб-сайта они могут получить доступ.

7. Мониторинг активности через журнал аудита

А что, если вы не можете просто запретить своим пользователям доступ к большинству уязвимых элементов на вашем веб-сайте, но хотели бы хотя бы знать, кто что изменил или отредактировал, на случай, если что-то пойдет не так? Чтобы получить обзор в виде всеобъемлющего журнала аудита, вы можете установить WP Security Audit Log . Его бесплатной версии более чем достаточно, чтобы дать вам удобный обзор деятельности ваших сотрудников и VA:

8. Сделайте вход более безопасным с помощью Google Authenticator

Говоря о пользователях, есть еще одна вещь, которую вы можете сделать, чтобы сделать ваш сайт еще более безопасным. Представьте, что ваши учетные данные WordPress (или ваших сотрудников) украдены. В этом случае, в зависимости от пользовательской роли вашего сотрудника, злоумышленник может получить доступ ко всему веб-сайту WP. Чтобы этого не произошло, рассмотрите возможность добавления двухфакторной аутентификации при входе в систему. Проще всего это сделать с помощью плагина Google Authenticator . После этого, даже если кто-то получит ваше имя пользователя и пароль, он не сможет войти в систему без кода, предоставленного приложением Google Authenticator.

Как видите, несмотря на то, что WordPress считается самой уязвимой системой управления контентом из всех популярных, не так уж сложно минимизировать или даже полностью избавиться от наиболее распространенных рисков и обезопасить наиболее уязвимые элементы на вашем сайте.

Если вы будете следовать приведенным выше советам, будьте осторожны при предоставлении доступа к вашему сайту другим и регулярно обновляйте элементы вашего сайта, ваш сайт, а вместе с ним и ваш бизнес, будут защищены от любых потенциальных злоумышленников. Не говоря уже о том, сколько можно сэкономить, только предотвратив нарушение безопасности.