Как НЕ защитить свой сайт WordPress
Содержание
Что бы вы сделали в первую очередь, если бы захотели защитить свой сайт WordPress? Узнайте пять лучших подключаемых модулей безопасности, подумайте, насколько они доступны, а затем установите один. Готово, теперь вы можете сесть и расслабиться, верно? Неправильно!
Использование подключаемого модуля безопасности не обеспечивает безопасность. Безопасность – это не абсолютная вещь, и никто не может гарантировать полную безопасность. Лучшее, что мы можем сделать, – это снизить риск взлома. И вопреки распространенному мнению, владелец сайта должен участвовать в обеспечении безопасности сайта. Важно знать, что вам следует делать, а что не следует.
Хотя существует несколько советов о том, что вам следует делать для обеспечения безопасности вашего сайта WordPress, мы предлагаем вам руководство о том, что вам следует ИЗБЕГАТЬ. Вы заметите, что советы здесь противоречат общепринятому мнению. Но, судя по нашему опыту, многие советы устарели и дают ложное чувство безопасности.
Если вопрос безопасности WordPress вас так же беспокоит, как и нас, обратите внимание на следующее.
1 Не используйте слишком много подключаемых модулей безопасности
Учитывая широкий спектр доступных плагинов с различными наборами функций, возникает соблазн использовать более одного плагина безопасности WordPress. Если честно, это перебор. Беспокойство о безопасности вашего сайта – это нормально, но вы должны спросить себя, действительно ли вам нужно более одного плагина безопасности? Какие функции необходимы для вашего сайта? Собираются ли черты лица наступать друг другу на пятки?
Например, конфликт может возникнуть, когда плагины начнут изменять такие файлы, как wp-config.php или htaccess. Плагины могут легко возиться с этими файлами, но они не изменяют их единогласно. Это может вызвать конфликты и замедлить работу вашего сайта.
С сайтами WordPress иногда что-то может пойти не так. Все ненавидят ужасный Белый экран смерти. Наличие нескольких плагинов, которые сильно влияют на ваш сайт, может затруднить отладку. Теперь, если бы был только один плагин, поиск и устранение причины ошибки было бы проще и проще.
2 Не изменять префикс БД.
Есть несколько способов взлома сайта WordPress. Хакер может получить доступ к базе данных сайта с помощью атаки с использованием SQL-инъекции. Уязвимость в плагине или теме может быть использована для взлома базы данных сайта (поэтому мы предлагаем вам вместо этого использовать плагин резервного копирования базы данных WordPress, чтобы избежать подобной ловушки). Один из популярных методов предотвращения проникновения хакеров глубже в ваш сайт – это изменение префикса таблицы по умолчанию. Как вы можете видеть на изображении ниже, в WordPress префиксом таблицы по умолчанию является «wp». WordPress позволяет изменять префикс таблицы (например, «xzy»), чтобы скрыть определенные таблицы.
На первый взгляд, это хорошая идея. Если хакеры не знают имя таблицы, они не могут извлечь из нее данные. Однако это ложное рассуждение. После того, как кто-то взломает вашу базу данных, еще есть способы узнать таблицы. Следовательно, изменение имен префикса бесполезно. Более того, изменение префикса по умолчанию может привести к неправильной работе некоторых плагинов.
Кроме того, изменение промежуточного префикса базы данных сложно реализовать и может привести к сбою вашего сайта. Это связано с тем, что на каждом уровне необходимо внести много изменений. Любая ошибка в процессе будет иметь катастрофические последствия для вашего сайта.
3 Не скрывайте страницу входа в систему.
Всегда есть кто-то, кто пытается взломать ваш сайт, взломав ваш пароль. Во время атак методом грубой силы хакеры пытаются войти на ваш сайт, используя комбинацию популярных имен пользователей и паролей. Так что, если мы скроем страницу входа? Это убьет двух зайцев одним выстрелом, верно? Хакер не сможет найти страницу входа, и нагрузка на ваш сервер снизится.
WordPress имеет страницу входа по умолчанию. URL-адрес страницы обычно выглядит так: example.com/wp-login.php. Один из хорошо известных способов уберечь ваш сайт от грубой силы – это скрыть или изменить страницу входа по умолчанию на что-то другое, например example.com/mylogin.php. Хотя это звучит как надежный план, давайте выясним, насколько эффективен этот метод для обеспечения безопасности вашего сайта WordPress.
Снижение нагрузки на сервер
После того, как вы скроете или измените расположение своей страницы входа, каждый раз, когда кто-то пытается ее открыть, он сталкивается с ошибкой 404. Однако попытки входа в систему – сложный процесс. Всякий раз, когда загружается страница с ошибкой 404, она съедает много ресурсов вашего сервера. И в конечном итоге замедляет работу вашего сайта. Следовательно, распространенное мнение о том, что сокрытие страницы входа снизит нагрузку на сервер, неверно.
Альтернативный URL несложно угадать
Частично успех WordPress как CMS связан с плагинами, которые упрощают внесение изменений в веб-сайт. Неудивительно, что популярным способом скрыть страницу входа на сайт является использование плагина. Эти плагины поставляются с набором альтернативных URL-адресов для входа по умолчанию, таких как xzy.com/wplogin.php и т.д. Нас научили просто использовать настройки по умолчанию. После того, как мы установили плагин и изменили наш URL, мы не особо задумывались об этом. Но плагин может предложить не так много URL-адресов. Узнать эти предустановленные URL-адреса для входа не так уж сложно. Поэтому использование альтернативного URL-адреса в большинстве случаев может быть неэффективным.
Проблемы юзабилити
Прелесть WordPress в том, что им легко пользоваться. Это знакомая платформа. Для сайта с большим количеством пользователей изменение или скрытие страницы входа может вызвать определенные проблемы. Несколько раз мы встречали сообщения на форумах WordPress, в которых пользователи не могут заходить на сайт из-за изменения URL-адреса для входа. В большинстве случаев изменения были внесены с помощью плагина, и пользователи не были осведомлены о ситуации, вызвавшей хаос.
4 Не блокируйте IP-адреса вручную
Если на вашем сайте установлен плагин безопасности, вы будете получать уведомления всякий раз, когда кто-то пытается войти на ваш сайт. Вы можете легко получить IP-адрес, отправляющий эти вредоносные запросы, и заблокировать их с помощью файла .htaccess. Это трудоемкая ручная работа и не очень удобная практика.
Не удобный
Попытка изменить файлы .htaccess для нетехнического специалиста – это верный путь к катастрофе. Система управления контентом, такая как WordPress, имеет очень строгое форматирование. Даже использование самых популярных инструментов, таких как FTP / SFTP, очень рискованно. Незначительная ошибка или неправильное размещение команды может привести к сбою сайта.
Слишком много IP-адресов для блокировки
Чтобы не попасть в черный список, хакеры используют IP-адреса со всего мира. Ранее мы обсуждали ручную блокировку IP-адресов, которые постоянно пытаются взломать ваш сайт. Работа (как мы упоминали ранее) требует много времени и усилий, но не совсем эффективное использование времени. Но если вы используете какой-либо из лучших плагинов безопасности WordPress, например, Malcare, вы можете автоматизировать процесс блокировки. Такие плагины безопасности устраняют все лазейки в безопасности WP.
5 Скрытие WordPress
Существует общее предположение, что сокрытие вашей CMS затрудняет проникновение на ваш сайт людей с подлыми намерениями. Что, если бы мы могли скрыть тот факт, что ваш сайт работает на WordPress. Это защитит ваш сайт от хакеров, желающих использовать распространенные уязвимости. Самый простой способ сделать это – (как вы уже догадались) использовать плагин. Но этот метод не работает, когда хакерам все равно, на какой платформе работает ваш сайт. Кроме того, существует множество способов узнать, работает ли сайт на WordPress.
Помимо использования плагина, можно выбрать выполнение работы вручную. Но это трудоемкий процесс. Одно обновление WordPress может отменить всю вашу работу за несколько секунд. Это означает, что вам придется либо повторять процесс снова и снова, либо уклоняться от обновлений WP. Пропуск обновлений WordPress – это как открыть входную дверь для хакера, который войдет прямо в ваш дом.
6 Защита паролем wp-admin не работает
Страница входа в WordPress по умолчанию (выглядит так: example.com/wp-admin) – это шлюз на ваш сайт. Типичная страница входа в систему выглядит как на картинке ниже.
Здесь вам нужно будет использовать свои учетные данные для доступа к панели управления WordPress. Пароль, защищающий страницу входа, помогает скрыть или защитить этот шлюз к панели управления. Это хорошая идея, но не без лазеек.
Во-первых, сложно сохранить или даже изменить пароль, если вы его потеряете. Такие модификации вашего сайта не только не обеспечивают дополнительную безопасность, но и могут оказаться очень опасными. Например, когда вы защищаете паролем страницу администратора, такой запрос, как /wp-admin/admin-ajax.php, не может обойти защиту. Существуют плагины, которые могут зависеть от функциональности Ajax вашего сайта. И когда они не могут получить доступ к этой функции, они начинают плохо себя вести. Следовательно, это может привести к поломке веб-сайта.
К тебе
Если у вас есть какие-либо вопросы или предложения относительно того, чего следует избегать для защиты своего сайта WordPress, дайте нам знать в комментариях.
Источник записи: https://www.wpexplorer.com