Безопасность WordPress – как обеспечить безопасность вашего сайта
Содержание
Все мы знаем, что WordPress – самая популярная платформа для ведения блогов в мире. Ежедневно с CMS работают миллионы пользователей. И из-за его популярности существует множество фантастических тем, плагинов и сервисов, которые дополняют каждый сайт. Но быть популярным – не всегда хорошо.
У модели с открытым исходным кодом WordPress есть и недостатки. Хакеров больше интересует платформа, поскольку ею пользуется очень много людей. Итак, каждый неверный шаг, который вы сделаете, они будут наблюдать за вами.
Да, это может показаться немного пугающим, и должно быть. Многие люди не проявляют должного уважения к хакерам, а многие сознательно пренебрегают безопасностью своих блогов; пока не станет слишком поздно, и все, что они могут сделать, это кричать о помощи. Чтобы вы не стали еще одной жертвой Интернета, оставайтесь с нами до конца этой статьи, поскольку мы собираемся показать вам самые важные вещи, которые вы можете и должны сделать для своего блога. Даже если вы новичок, вы можете многое сделать, чтобы повысить безопасность своего недавно созданного блога WordPress.
Регулярно обновляйте
Одним из первых шагов к повышению безопасности сайта является регулярное обслуживание WordPress. При таком большом количестве технологических новинок это нормально, что обновления распространяются с огромной скоростью. Но вам нужно адаптироваться, так как обновление основных файлов, плагинов и тем WordPress совсем не сложно и может спасти ваш сайт от плохих парней.
Если вы быстро взглянете на официальную статистику WordPress, вы заметите, что слишком много людей все еще ведут свой блог на старых версиях WordPress. В редких случаях это оправдано, но чаще всего вам придется обновить свой сайт до последней версии.
То же самое касается различных тем и плагинов WordPress, которые также нуждаются в регулярных обновлениях. Мы уже говорили о том, почему обновления важны и как их устанавливать прямо с панели инструментов.
Тщательно выбирайте логины
Хотя может показаться нормальным, что администратор входит в систему с именем пользователя «admin», это серьезная проблема безопасности. Поскольку многие пользователи не меняют имя пользователя по умолчанию, хакеры могут легко его угадать. Оставляя все как есть, вы как будто поворачиваете ключ для злоумышленника.
При установке WordPress используйте свое имя, псевдоним или любое другое имя вместо «admin». Если у вас уже есть сайт с именем пользователя «admin», вы все равно можете внести изменения. Один из вариантов – создать нового пользователя с правами администратора, а затем удалить пользователя по умолчанию (сообщения, назначенные старому имени пользователя, будут автоматически назначены новому пользователю), или вы можете использовать плагин Username Changer, который сделает все еще проще.
Используйте надежные пароли
Надежные пароли состоят из более чем десятка различных символов, включая буквы, цифры и другие специальные символы. К сожалению, вместо надежного пароля, такого как «jTh6F9% aO (», многие люди по-прежнему используют небезопасные пароли, такие как их имена, даты рождения или простые комбинации, которые легко угадать (« 1234» – ужасный пароль, но многие люди используют Это).
Пока не стало слишком поздно, мы предлагаем вам сменить пароль на надежный и сделать то же самое для всех пользователей вашего блога. Вы даже можете использовать плагин Force Strong Passwords, если хотите обеспечить соблюдение безопасных паролей для всех своих пользователей.
Регулярно делайте резервные копии своего сайта
Регулярное резервное копирование важнее, чем думают многие новички. Большинство из них считают, что их сайты недостаточно ценны для хакера или что они уже сделали все возможное, чтобы обеспечить безопасность сайта. Но когда случится что-то плохое, вам понадобится последняя резервная копия вашего блога. В этом случае, даже если все будет удалено, потеряно или вы просто потеряете к нему доступ, вы всегда сможете восстановить полную резервную копию своего сайта и продолжить работу без особых хлопот.
Используйте безопасные соединения
SSL (Secure Socket Layer) – это технология, которая обеспечивает безопасную передачу данных между пользовательскими браузерами и серверами. Используя SSL, хакеры с меньшей вероятностью будут вторгаться и получать в свои руки конфиденциальные данные (например, имена пользователей, пароли и номера кредитных карт) из подключений.
Хотя на данный момент это может показаться слишком техническим, вы можете получить свой SSL в кратчайшие сроки. Многие хостинговые компании в настоящее время предлагают бесплатные SSL-сертификаты, и вы также можете узнать об этом у своей хостинговой компании. Как вариант, вы можете купить отдельные сертификаты, которые затем можно будет установить на своем сайте.
Сканировать все файлы на наличие уязвимостей
Устанавливая различные плагины и темы из Интернета, вы рискуете всем сайтом. Если элемент, который вы пытаетесь добавить, содержит вредоносное ПО, вы можете потерять сайт для хакера или поставить под угрозу безопасность всех, кто его использует. Это может быть проблемой, даже если вы единственный администратор. Но представьте себе риск, которому вы подвергаете свой сайт, когда десятки пользователей могут добавлять темы, плагины и другие файлы.
Чтобы убедиться, что вы в безопасности, мы предлагаем использовать бесплатный плагин Security Ninja. Просто нажав кнопку, плагин просканирует весь сайт на наличие дыр в безопасности, уязвимостей и вредоносных программ <. После этого Security Ninja посоветует вам, как решить проблемы на вашем сайте.
Ограничить количество попыток входа
Пытаясь получить доступ к вашему сайту, хакеры часто используют атаки методом грубой силы. Используя ботов и различные скрипты, они будут постоянно пытаться угадать комбинацию вашего имени пользователя и пароля. Чтобы остановить их, пока не стало слишком поздно, вы можете довольно легко ограничить количество попыток входа в систему. В этом случае у каждого пользователя будет три, пять или десять попыток войти на ваш сайт. Если он потерпит неудачу, этот пользователь будет заблокирован на определенный период времени.
Чтобы ограничить количество попыток входа в систему, вы можете использовать бесплатный плагин под названием Login LockDown.
Использовать двухэтапную аутентификацию
Если вы понимаете, что попыток входа в систему слишком много, вы можете сделать все более безопасным, используя двухэтапный процесс аутентификации. В отличие от обычного входа в систему, двухэтапная аутентификация добавляет еще один уровень безопасности, добавляя еще один пароль, который пользователь генерирует на стороннем устройстве. Например, после ввода имени пользователя и пароля WordPress по умолчанию плагин для двухэтапной аутентификации отправит другой код на ваш смартфон. Обычно этот код действителен только в течение нескольких минут и работает только с комбинацией вашего имени пользователя и пароля.
Из-за дополнительного уровня безопасности ваш логин практически недоступен. Единственным недостатком двухэтапной аутентификации является более сложный процесс входа в систему.
Изменить префикс таблицы базы данных
При установке WordPress вы можете ввести собственный префикс для таблиц базы данных, используемых платформой. В целях безопасности важно, чтобы у вас был уникальный префикс, чтобы хакеры не могли легко получить к ним доступ. Поскольку в установках WordPress по умолчанию используется тот же префикс «wp_» и те же имена таблиц, хакерам даже не нужно гадать, где хранится вся информация.
Но если вы не ввели собственный префикс при установке WordPress, вы можете внести изменения прямо сейчас. Есть несколько способов сделать это вручную, но поскольку это руководство для начинающих, мы просто укажем вам бесплатный плагин, который сделает все за вас. Все, что вам нужно сделать, это установить плагин Change Table Prefix и выбрать другой префикс. Вы можете удалить плагин после успешной модификации.
Скрыть страницу входа
По умолчанию каждый сайт WordPress имеет один и тот же URL-адрес для входа. Все, что нужно, – это добавить / wp-login или / wp-admin в конце любого домена, чтобы получить доступ к странице входа, где вы можете начать угадывать учетные данные. Итак, чтобы не дать хакерам-подражателям даже получить доступ к вашей странице входа, вы можете просто скрыть это.
Более опытные пользователи могут изменить ссылку напрямую из файлов WordPress, но для новичков мы предлагаем использовать простой и бесплатный плагин WPS Hide Login.
Получать уведомления о проблемах с безопасностью
Вы не можете быть на своем веб-сайте все время. Но, к сожалению, проблемы безопасности и хакера это не волнует. Кто-то может попытаться украсть ваш домен или изменить данные NameServers для перенаправления ваших писем. Возможно, вы выбрали вредоносное ПО, которое изменило ваш контент, или Google может пометить сайт как небезопасный, даже не подозревая об этом. Иногда такие проблемы неизбежны. Но вы все равно можете вовремя отреагировать, если бы просто знали о них.
В этом случае вам могут помочь такие инструменты, как SmartMonitor . Этот конкретный плагин WordPress уведомит вас по электронной почте, SMS или push-уведомлением, как только произойдет что-то подозрительное. Своевременно зная об угрозах безопасности, вы можете связаться с вашим хостинг-провайдером или экспертом по безопасности, чтобы сэкономить время.
Автоматический выход из системы бездействующих пользователей
Если вы работаете из дома, не имеет особого значения, если вы останетесь на своем сайте WordPress в течение более длительного времени. Но если вы хотите взять свой блог с собой и получить доступ к панели управления с ноутбуков, планшетов и смартфонов в общественных местах, легко забыть выйти из системы. Если вы предпочитаете оставлять портативное устройство без присмотра, кто-то может легко получить доступ к вашему сайту, сменить пароли и все украсть.
Если вы установите Idle User Logout, бесплатный плагин будет проверять активность пользователей (входящих) и автоматически отключать всех, кто не был активен в течение определенного времени. Просто иногда это может быть палочкой-выручалочкой.
Защитите свой сайт от хакеров
WordPress рекомендует повысить уровень безопасности вашего сайта, внеся определенные изменения в ваш WP-сайт. Мы уже обсуждали регулярное резервное копирование и предотвращение доступа к вашему сайту путем ограничения попыток входа в систему. WordPress рекомендует еще несколько шагов для повышения безопасности своего сайта, например, отключение редактора файлов, предотвращение выполнения PHP и т.д. В Интернете есть несколько руководств, которые помогут вам вручную укрепить ваш сайт, но это рискованная операция. Одна ошибка в коде может привести к сбою вашего сайта. Использование плагина безопасности, такого как MalCare, позволяет выполнять эти функции одним нажатием кнопки <. Нет никакого риска ручной ошибки.
Используйте универсальные плагины безопасности
Многие меры предосторожности, упомянутые в этой статье, являются частью популярных подключаемых модулей безопасности. Большинство из них позволяют защитить свой сайт всего несколькими щелчками мыши. В зависимости от плагина и версии, которую вы используете, вы можете даже получить несколько дополнительных привилегий безопасности, которые добавят еще один уровень безопасности на ваш сайт. Некоторые из самых популярных плагинов безопасности:
- WordFence
- iThemes Безопасность
- Все в одном WP Безопасность и брандмауэр
- Пуленепробиваемая безопасность
- Защитные соки
Вывод
Безопасность веб-сайта должна быть тем, о чем вы всегда должны думать. Будь то просто изменение паролей и имен пользователей или настройка плагинов, вы не должны пренебрегать своим блогом. Даже если вы полный новичок, вы все равно можете выполнить все шаги, упомянутые в этой статье. Но это только начало. Есть еще много вещей, которые следует учитывать, но поскольку они требуют изменений кода и прав доступа к файлам, мы оставим эти советы на некоторое время.
Для начала важно, чтобы вы понимали, что безопасность веб-сайта в ваших руках и что вы всегда должны стремиться сделать свой блог максимально безопасным.
Источник записи: https://firstsiteguide.com