Безопасность WordPress: улучшите безопасность своего сайта с помощью этих шагов

Опубликовано: 2018-05-23

В Интернете наибольшее количество веб-сайтов работает на платформе WordPress. Это означает, что WordPress правит сетью. Он привлекает внимание вредоносных элементов в Интернете. Поэтому Google ежегодно блокирует около 20 000 веб-сайтов за вредоносное ПО и 50 000 веб-сайтов за фишинг.

В таком мрачном сценарии безопасность веб-сайта становится жизненно важной. Зарегистрированные случаи атак являются самыми высокими на платформе WordPress из-за большего количества веб-сайтов, работающих с кодом WordPress. Поэтому сегодня я хотел бы выделить несколько действенных шагов, которые помогут вам защитить ваш сайт WordPress.

Защита входа пользователей на ваш сайт WordPress

В реальной жизни, когда мы хотим обезопасить помещение, такое как дом, офис или фабрика, мы в первую очередь смотрим на точки доступа, через которые злонамеренные или злонамеренные элементы могут попытаться получить доступ. Та же стратегия должна применяться для защиты вашего сайта WordPress.

Теперь давайте оценим возможные точки входа через хакеров или недобросовестных пользователей, которые могут получить доступ к вашему бэкенду или исходному коду. По умолчанию URL-адрес доступа к серверной части WordPress заканчивается следующим образом:

/wp-login.php или /wp-admin/

Поэтому вам необходимо предпринять соответствующие шаги, чтобы заблокировать вход нежелательных пользователей на вашу внутреннюю страницу WordPress.

Изменить URL-адрес входа

Если вы являетесь разработчиком WordPress, вы уже знаете, как изменить URL-адрес по умолчанию для серверной части сайта, но для опытных пользователей или пользователей типа «сделай сам» расширенный плагин или расширение безопасности может дать вам возможность сделать это. Таким образом, вы можете изменить

  • /wp-login.php в /Ваше-доменное-имя-login.php
  • /wp-admin/или /Ваше-доменное-имя-admin/
  • /wp-login.php?action=register или /Your-Domain-Name-registration

Таким образом, такой настраиваемый URL-адрес может значительно помочь вам защититься от атак грубой силы.

Изменение имени пользователя

По умолчанию большинство разработчиков WordPress устанавливают ключевое слово «Admin/admin» в качестве имени пользователя. Это упрощает работу хакеров и нежелательных пользователей для доступа к серверной части вашего сайта WordPress, и им приходится использовать свою базу данных Guess Work Database (GWDb) только для того, чтобы угадать пароль.

Если вы измените свое имя пользователя по умолчанию на нечто непредсказуемое, например адрес электронной почты, вы сможете уменьшить угрозу со стороны злоумышленников и их программного обеспечения.

Изменить пароль

There are many ways to protect the password.

Как и имя пользователя, пароль всегда под угрозой. Существует много способов защитить деятельность по подбору пароля. Например, используя очень сложный пароль с комбинацией строчных и прописных букв, цифр и символов.

Однако последние тенденции двухфакторной аутентификации — отличный и надежный способ защитить доступ к вашему бэкэнду для всех уровней пользователей. Мобильные телефоны/смартфоны являются удобными устройствами для доступа к OTP (одноразовому паролю) для аутентификации в системе 2FA.

Настройка блокировки и бана

Чтобы предотвратить попытки грубой силы и осуществить блокировку или запрет этих IP-адресов, существует множество плагинов и программного обеспечения, доступных для распознавания повторных попыток входа в систему или регистрации. Плагины позволяют вам установить количество неудачных попыток и предоставляют другие функции для предотвращения несанкционированного доступа к серверной части вашего веб-сайта.

Защита панели администратора вашего сайта WordPress

For WordPress backend users, the dashboard is the most engaging and highly used part of the backend.

Для пользователей серверной части WordPress панель инструментов является наиболее привлекательной и часто используемой частью серверной части. Он предоставляет все инструменты и опции для управления всем веб-сайтом, от использования по умолчанию до настройки. Если кто-то успешно взломает панель инструментов, это станет самой большой победой для хакеров и самым разрушительным для владельцев веб-сайтов.

Поэтому мы должны принять специальные меры для панели администратора WordPress . Ниже приведены возможные меры, которые мы можем принять во внимание в дальнейшем.

Позаботьтесь о каталоге «wp-admin»

Все находится в каталоге wp-admin, который позволяет вам управлять всеми веб-сайтами, включая ресурсы и файлы. Таким образом, предотвращение несанкционированного доступа к каталогу означает заблаговременное устранение большинства наихудших ситуаций.

Есть несколько плагинов, разработанных сообществом WordPress для защиты каталога паролем. Таким образом, пользователи-администраторы WordPress должны использовать два разных пароля для доступа к панели инструментов. Один для страницы входа, а другой для панели инструментов. Такие плагины автоматически генерируют файл [.htpasswd], затем шифруют пароль и настраивают права доступа к файлу.

Добавляйте пользователей с правами администратора с достаточной осторожностью

Помимо суперадминистратора, обладающего всеми привилегиями серверной части, другие пользователи также имеют доступ к серверной части с различными уровнями доступа к функциям и функциям серверной части. Возможен доступ к серверной части на основе ролей, и вы можете предоставить им разные имена пользователей, а также пароли, которые вы считаете наиболее безопасными.

Мониторинг важных файлов в каталоге администратора

Вы можете использовать некоторые плагины для мониторинга подозрительных действий, чтобы все пользователи-администраторы могли принимать меры в режиме реального времени при обнаружении угроз безопасности.

Шифровать данные

Security Socket Certificate (SSL)

Если вы внедрили сертификат Security Socket (SSL), который использует новейшую технологию шифрования для защиты ваших хранимых и передаваемых данных, вы можете предотвратить что-либо неправильное между ними и защитить все области администрирования WP, а также веб-сайт.

Защита базы данных вашего сайта WordPress

Платформа WordPress в значительной степени зависит от базы данных, поскольку все ресурсы веб-сайта хранятся в базах данных в основном в табличных форматах в базах данных типа SQL, будь то тексты, изображения, код макета, мультимедийный контент и все, что есть на сайте WordPress, имеет место в базе данных.

Чтобы защитить базы данных от SQL-инъекций и других кибератак, вы можете защитить свою базу данных с помощью следующих мер.

Установить пароль для базы данных

Вы можете установить надежный пароль для своей базы данных и ограничить доступ к базе данных до роли суперадминистратора, чтобы свести к минимуму вмешательство в базу данных или вероятность ошибок.

Изменить префикс WP

Если вы собираетесь установить веб-сайт WordPress, вы можете столкнуться с настройкой таблицы базы данных, и это префикс таблицы WP. По умолчанию это wp-, и вы должны изменить его, чтобы предотвратить SQL-инъекции, такие как атаки на базу данных. Вы можете изменить его с wp- на Your-Domain-Name как настраиваемый префикс.

Делайте регулярное резервное копирование базы данных

У вас может быть регулярное резервное копирование всего веб-сайта или нет, но организация резервного копирования базы данных может уберечь вас от потери данных, происходящей по разным известным и неизвестным причинам. Сегодня у нас есть плагины резервного копирования со специальными привилегиями для резервного копирования базы данных с разной периодичностью .

Защита хостинга вашего сайта WordPress

Сегодня хостинг веб-сайта имеет решающее значение для его успеха, потому что поисковым системам требуется идеальный хостинг, оптимизированный для SEO, чтобы соответствовать требованиям рейтинга. Точно так же пользователи веб-сайта, включая внутренних и внешних пользователей, оптимизация производительности, оптимизация конверсии и пользовательский опыт в значительной степени зависят от среды хостинга и качества хостинга в целом.

Сегодня у нас есть несколько вариантов хостинга, кроме услуг хостинга сообщества WordPress по умолчанию, таких как виртуальный хостинг, хостинг VPS, выделенный хостинг и, что наиболее важно, облачные услуги хостинга, такие как Kinsta , для веб-сайтов разного масштаба и размера.

Безопасный файл wp-config.php

Secure wp-config.php File.

Доступ к файлу WordPress wp-config.php является важным достижением для хакеров, поскольку он содержит крайне важную информацию обо всей вашей установке WordPress.

Лучший способ — переместить файл на более высокий уровень, чем корневой каталог. Вы можете сделать это легко, потому что WordPress может видеть его, даже если он находится за пределами корневого каталога WordPress. Таким образом, сервер может легко найти его на более высоком уровне.

Запретить редактирование файла

На хостинг-сервере источник вашего веб-сайта имеет несколько файлов с важной информацией и разрешениями для бесперебойной работы вашего сайта. Если хакеры или злоумышленники взламывают сервер и получают доступ к этим файлам, они могут нанести разный вред.

Если вы запретите редактирование файлов для всех, кроме суперадминистратора, вы можете легко избежать этих потерь. Вы можете сделать это, просто добавив строку кода в конец файла wp-config.

Будьте осторожны при настройке разрешений каталога

Каталоги, подкаталоги и файлы на вашем сервере хостинга являются важными аспектами безопасности WordPress. Если вы неправильно установили разрешения для этих компонентов вашего сайта. Вы можете увеличить вероятность атак, как только сервер скомпрометирован.

Поэтому вы должны установить разрешение 755 для каталогов/подкаталогов и разрешение 644 для файлов. Используя инструменты файлового менеджера, доступные в хостинге/c-Panel, вы можете легко устанавливать или изменять разрешения. Для получения дополнительной информации о правах доступа к файлам — Общие сведения о правах доступа к файлам и их использование для защиты вашего сайта .

Правильное подключение к серверу

Традиционно мы используем протокол FTP для подключения к серверу. Но SFTP или SSH на сегодняшний день являются более безопасным и надежным способом подключения к серверу.

Защита тем и плагинов вашего сайта WordPress

WordPress Security - Securing Themes of Your WordPress Site.

Большинство тем и плагинов WordPress разработаны сторонними разработчиками. Они не совсем надежны с точки зрения безопасности. Поэтому вы должны принять некоторые меры, чтобы сделать их надежно. Например:

Получайте регулярные обновления

Как и ваш веб-сайт WordPress, разработчики/компании плагинов и тем также выпускают обновления, чтобы идти в ногу с версиями WordPress и исправлять ошибки и проблемы, о которых они узнают из отзывов пользователей. Итак, попробуйте регулярно устанавливать их обновления через панель инструментов, используя соответствующий плагин.

Скрыть информацию о версии WordPress

Для злоумышленников знание информации о вашей версии WordPress, такой как номер, может помочь разработать индивидуальную атаку, а информация о версии легко доступна в исходном коде WordPress. Если вы можете удалить эту информацию о версии самостоятельно или с помощью вашего специального разработчика WordPress , вы можете немного усложнить жизнь злоумышленникам.

Вывод

Я написал этот пост, имея в виду начинающих и разработчиков WordPress среднего уровня, а также преданных разработчиков плагинов WordPress. Таким образом, реализация описанных советов по защите вашего сайта WordPress может оказаться сложной без помощи соответствующих и новейших плагинов безопасности WordPress. Я рекомендую установить следующие плагины для вашего сайта и сделать его более безопасным, чем когда-либо:

  • Все в одном WP Security & Firewall
  • Защита от грубой силы входа в систему
  • Пуленепробиваемая безопасность
  • Гугл аутентификатор
  • iThemes Security, ранее Better WP Security
  • Плагин Sucuri Security для WordPress
  • WordFence
  • Защита сайта антивирусом WP

Если у вас все еще есть путаница и вы хотите получить помощь опытных рук. Perception System предоставляет услуги по разработке WordPress, а также возможность нанять разработчика WordPress, чтобы помочь нуждающимся клиентам сделать их сайт полностью безопасным и надежным.