Распространенные ошибки безопасности WordPress, которые делают многие веб-сайты
Содержание
Если ваш веб-сайт когда-либо подвергался атаке со стороны ботов, хакеров или других мошеннических элементов, вы знаете, что его повторная настройка может стать кошмаром. По мере того, как WordPress набирает популярность, он становится все более мишенью для хакеров, так как отдача может быть больше. Хотя не существует такой вещи, как надежная защита, есть много маленьких и больших вещей, которые мы можем сделать, чтобы избежать некоторых распространенных ошибок безопасности WordPress и затруднить ботам проникновение на наши веб-сайты и создание хаоса.
В этом посте давайте рассмотрим распространенные ошибки безопасности на сайтах WordPress. Мы также узнаем, что мы можем сделать, чтобы минимизировать нашу уязвимость перед угрозами безопасности.
Ошибка №1: не обновляете WordPress
У WordPress есть отличное сообщество, которое предупреждает о проблемах безопасности, и команда WordPress регулярно выпускает обновления для устранения угроз безопасности. Но мы должны выполнить эти обновления в нашей установке WordPress и исправить любые дыры в безопасности. Основные обновления ядра WordPress происходят автоматически, но для незначительных обновлений, а также для обновлений тем и плагинов вам необходимо обращать внимание на уведомления, которые отображаются на вашей панели инструментов.
Обновление WordPress часто является плавным процессом, требующим всего лишь щелчка мышью, но иногда могут возникать проблемы несовместимости, которые нарушают работу вашего сайта. В этом Кратком руководстве по обновлению WordPress есть дополнительная информация об обновлении WordPress.
Ошибка № 2: не покупать качественные темы и плагины
Плохо написанные темы и плагины представляют угрозу безопасности вашего сайта. Они не только могут замедлить работу вашего сайта, но и могут быть несовместимы с используемой вами версией WordPress или друг с другом. Кроме того, они могут служить точкой входа для вредоносного ПО.
Очевидная предосторожность, которую следует принять здесь, – покупать темы и плагины только из качественных источников. В WordPress бесплатно доступно множество хороших тем и плагинов. Если вы выбрали премиальную тему или плагин, поищите Themeforest или CodeCanyon и другие известные тематические дома, такие как WPExplorer.
Выберите те, которые имеют лучший рейтинг и получают большее количество загрузок. Прочтите обзоры тем и плагинов и узнайте, что о них говорят другие постоянные пользователи. Просмотрите журнал изменений, чтобы узнать, есть ли регулярные обновления. Перед покупкой напишите авторам, чтобы понять, подходит ли вам эта тема или плагин. И чтобы развеять любые практические проблемы, вы можете запустить его на тестовом сайте, если это возможно.
Ошибка № 3: не обновлять темы и плагины
Как и в WordPress, ваши темы и плагины должны иметь регулярные обновления для исправлений ошибок и исправлений безопасности. Ваша задача – протестировать эти обновления, а затем установить их, чтобы обеспечить безопасность вашего сайта WordPress.
Примечание. Одна из наиболее частых причин, по которой люди позволяют своим темам устареть, – это собственный код. Вот почему важно использовать дочерние темы. Если вы планируете вносить какие-либо изменения в файлы вашей темы, не забудьте использовать дочернюю тему, чтобы вы могли безопасно обновить основную тему в будущем.
Ошибка №4: Отсутствие безопасности на странице входа
Страница входа – это место, откуда авторизованные пользователи заходят на сайт. Но многие нежелательные пользователи-мошенники также могут хитро проникнуть на наши веб-сайты со страницы входа и даже получить права администратора. Чтобы предотвратить это, нам нужно повысить безопасность на странице входа. На самом деле, сделать это несложно, и есть много простых настроек, которые вы можете применить, чтобы остановить неприятности прямо у порога.
Вы можете изменить имя пользователя из обычно используемого «Admin» и установить надежные пароли. Или ограничьте количество попыток входа в систему – это будет особенно эффективно для предотвращения атак методом грубой силы. Другой простой способ защиты – двухфакторная аутентификация. А поскольку Google настаивает на использовании SSL, вы можете быть на шаг впереди и применить его на своем веб-сайте раньше, чем позже. Итак, как видите, страница входа в систему – хорошее место для начала повышения безопасности вашего сайта.
Ошибка № 5: неправильное использование ролей пользователей
WordPress имеет множество пользовательских ролей – администратор, редактор, автор, участник и подписчик. Не у всех из них должны быть одинаковые привилегии на вашем сайте. Когда вы добавляете пользователей на свой сайт, будьте осторожны с привилегиями, которые вы предоставляете им на сервере. Разрешите им только те привилегии, которые необходимы для выполнения их ролей на веб-сайте.
Предоставление неограниченного доступа всем пользователям может облегчить взлом хакеров.
На самом деле нет необходимости предоставлять подписчикам какой-либо доступ к бэкэнду, когда все, что им нужно сделать, это прочитать контент. Доступ на уровне редактора должен предоставляться только доверенным пользователям, а доступ на уровне администратора может предоставляться, если вообще предоставляется, очень экономно. Предоставление пользователям ограниченных прав и принуждение их к использованию надежных паролей может в значительной степени контролировать доступ к серверной части.
Ошибка № 6: не удаляются неиспользуемые темы и плагины
Со временем мы продолжаем добавлять плагины и темы в наш WordPress по мере необходимости. Но когда они больше не нужны, мы забываем удалить их с нашего сайта. Недостаточно просто деактивировать темы и плагины, вы должны удалить те, которые не собираетесь использовать. Этот простой шаг может уменьшить вашу подверженность вредоносному ПО. Неактивные плагины не потребляют оперативную память, полосу пропускания или PHP, но занимают место на сервере. Это не только может замедлить работу вашего сайта, но и может быть использовано для запуска вредоносного кода на вашем сайте.
Прежде чем добавлять плагин на свой сайт, проверьте, может ли WordPress изначально обрабатывать определенную функцию. Или тема, которую вы используете, или ваш хост может покрывать необходимые вам функции. Поэтому, если на вашем веб-сайте есть какой-либо плагин для тех же самых функций, вы можете удалить их.
Теперь, когда вы очищаете неиспользуемые плагины, вы можете пройти весь путь и очистить медиа-библиотеку, папку загрузок и папку include. Это альтернативные точки входа для вредоносных программ, которые проникают на ваш сайт только для того, чтобы выполнить себя позже. Уменьшая эти папки, вы сокращаете количество точек доступа для вредоносных программ и хакеров.
Ошибка № 7: не выбрать безопасный хост
Часто хакеры нацелены не на ваш сайт, они могут нацеливаться на какой-то другой веб-сайт, который разделяет с вами серверное пространство. Вы просто случайная жертва. В сценарии общего хостинга один взломанный веб-сайт может вывести из строя все веб-сайты на сервере. Поэтому важно тщательно выбирать веб-хостинг. Как мы неоднократно говорили на страницах нашего блога, когда дело доходит до хостинга, вы получаете только то, за что платите. Дешевые варианты хостинга почти всегда ставят под угрозу безопасность, а их серверы более подвержены атакам на безопасность. Мало того, вы часто найдете менее чем удовлетворительную поддержку, когда ваш сайт подвергается атаке.
Вкладывание хороших денег в качественный хостинг действительно стоит вложений. Это избавит вас от головной боли, особенно если ваш бизнес тесно связан с вашим сайтом. Нужна помощь в выборе хоста? Перейдите к нашему списку рекомендуемых вариантов хостинга.
Ошибка № 8: отсутствие проверки на вредоносное ПО
Вредоносное ПО может проникнуть на ваш сайт, даже если вы об этом не подозреваете. Он может оставаться скрытым и делать многие вещи без вашего ведома, например отслеживать посетителей, получать доступ к конфиденциальной информации, такой как данные кредитной карты, или добавлять обратные ссылки на другие веб-сайты. Когда на вашем веб-сайте скрывается вредоносное ПО, Google начинает отказываться от поисковых систем, чтобы предотвратить заражение других веб-сайтов. Это может привести к падению посещаемости вашего сайта.
Доступно множество плагинов и сервисов, которые могут сканировать ваш сайт на наличие вредоносных программ и удалять многие из них. Вам просто нужно посетить веб-сайт таких сервисов, как Sucuri SiteCheck Scanner, и ввести URL-адрес своего веб-сайта. Будет создан отчет, в котором будут показаны обнаруженные вредоносные программы, а также рекомендации, как с ними обращаться. Или же вы можете добавить плагин и запустить сканирование. Если вы хотите, вы можете удалить плагин после использования и переустановить его, когда захотите снова запустить сканирование.
Один из самых простых способов повысить безопасность вашего сайта – добавить плагин безопасности. Эти плагины могут решать многие проблемы безопасности, такие как обеспечение надежных паролей, настройка брандмауэров, защита от атак методом грубой силы и многое другое. Существует множество бесплатных плагинов, таких как iThemes Security, а также множество плагинов безопасности премиум-класса, и лучше всего установить и активировать один как можно раньше. Существует также множество служб безопасности веб-сайтов, таких как Sucuri, которые предлагают управлять безопасностью вашего веб-сайта WordPress.
Ошибка № 10: не хранятся резервные копии веб-сайтов
Можно подумать, что теперь, когда вы сделали все вышеперечисленное, ваш сайт защищен от плохих парней. Извините, что разочаровал, но хакеры совершенствуют свои методы, и постоянно возникают новые угрозы. Поэтому в качестве подстраховки вы можете использовать плагин для резервного копирования и регулярно делать безопасные резервные копии своего сайта и хранить их в надежном месте.
Недостаточно сделать резервную копию только базы данных, необходимо полное резервное копирование сайта. Это включает темы, плагины, папку wp-content, а также важные файлы конфигурации WordPress, такие как файлы wp-config.php и .htaccess. Используйте качественные плагины, такие как BackupBuddy или VaultPress, и регулярно обновляйте их. Кроме того, поддерживайте несколько резервных копий, которые можно использовать в разных местах вне офиса и в автономном режиме.
Коротко
Безопасность веб-сайтов – это не всегда высокие стены и заборы, и это не единовременное решение. Это больше о том, чтобы быть впереди озорников. Есть много небольших и простых шагов, которые вы можете предпринять, чтобы обеспечить безопасность и надежность веб-сайта. Важно пересмотреть свои средства защиты, чтобы убедиться, что они соответствуют потребностям вашего веб-сайта, и разработать методы обеспечения безопасности, которые могут обеспечить его безопасность.
Источник записи: https://www.wpexplorer.com