TechBlogSD - Все для WordPress и WEB разработки
WEB и WordPress инструкции, новости, обзоры тем и плагинов

Простой контрольный список безопасности для сайтов WordPress

140

Знаете ли вы, что ежедневно взламывают более 100 000 сайтов? Правильно, киберпреступность – серьезная угроза для любой компании, и любой, у кого есть сайт WordPress, тоже небезопасен. У меня была стычка с хакерами (и мне пришлось восстанавливать мой сайт WordPress ), и вы, вероятно, знаете, что это было некрасиво.

Хакеры активно ищут уязвимые веб-сайты, чтобы взломать и украсть данные, которые они могут опубликовать с целью получения денежной выгоды или чисто злого умысла. Чтобы защитить себя и свой драгоценный сайт, вам следует серьезно подумать об усилении безопасности WordPress.

Учитывая, что вы потеряете доход, время и усилия, когда хакеры взломают ваш сайт, мы создали следующий контрольный список безопасности, который вы можете использовать для защиты своего сайта WordPress. Все элементы безопасности в посте относительно легко реализовать даже новичкам:

Обновите WordPress

Обновить темы и плагины

Используйте уникальные и надежные пароли

Установите плагин безопасности WordPress

Выберите отличный хостинг WordPress

Использовать SSL (HTTPS)

Создать полную резервную копию сайта

Используйте брандмауэр веб-приложений (WAF)

Отключить редактирование файлов в WordPress Admin

Защитите свою страницу входа

Добавить аутентификацию

Выйти из системы неактивных пользователей

Сканирование на наличие вредоносных программ и проблем

Используйте VPN

Как видите, мы разделим сообщение на несколько частей, охватывающих все, от выбора безопасного хоста до усиления защиты вашей административной области и т.д. Вам нужно будет повторить некоторые задачи безопасности, например, регулярно обновлять темы. Другие задачи выполняются разово, но все же они существенно влияют на безопасность вашего сайта. Проверьте, что вам нужно исправить, и сделайте это сразу, потому что хакеры тоже не теряют времени даром.

Простой контрольный список безопасности для сайтов WordPress

1 Обновите WordPress.

Ядро WordPress регулярно проверяется на наличие уязвимостей. При обнаружении недостатков и ошибок безопасности основные разработчики обычно выпускают обновления для обслуживания. Незначительные обновления устанавливаются на ваш сайт WordPress автоматически.

Однако вам нужно будет обновить WordPress вручную для всех основных выпусков. Это относительно простой процесс, поскольку вы получаете назойливое сообщение в админке WordPress. Только 22% веб-сайтов работают на последней версии WordPress, что печально, учитывая, насколько легко ее обновлять.

Не входите в оставшиеся 78%, поскольку вы подвергаете свой сайт всевозможным атакам, не обновляя его. Обычно хакеры – первая группа людей, которая узнает о каких-либо уязвимостях в старых версиях, поскольку они рассчитывают на недостатки для запуска успешных атак.

Перед обновлением WordPress мы рекомендуем прочитать примечания к выпуску, чтобы узнать, что изменилось, и сделать резервную копию вашего сайта (на всякий случай). Таким образом, теперь вы можете ожидать, когда вы нажмете эту кнопку обновления, и у вас будет отказоустойчивость, если что-то пойдет не так.

2 Обновите темы и плагины

При обновлении ядра WordPress не забудьте также обновить свои темы и плагины. Хакеры особенно любят старые темы и плагины с известными дырами в безопасности.

Они используют эти уязвимости безопасности и могут даже скрыть бэкдор в старой теме или плагине. Если вы не обновите, они могут взломать ваш сайт, когда им заблагорассудится.

Чтобы не потерять свои собственные стили, мы рекомендуем использовать дочернюю тему WordPress вместо родительской. Таким образом, вы не потеряете свои настройки при обновлении темы.

Вам также следует удалить все неактивные темы, плагины и неиспользуемые установки WordPress. Вы не только сэкономите трафик и сделаете свой веб-сайт быстрее, но и отпугнете хакеров.

Еще одно небольшое примечание: никогда не загружайте «обнуленные» премиальные темы и плагины. Используйте только проверенные источники, такие как WordPress.org, Envato или другой авторитетный магазин тем.

3 Используйте уникальные и надежные пароли.

Вы будете удивлены, узнав, что большинство веб-сайтов взламываются, когда злоумышленники крадут вашу регистрационную информацию. Кроме того, атаки методом грубой силы довольно распространены и включают бомбардировку вашей страницы входа тысячами комбинаций имени пользователя и пароля до тех пор, пока что-то не сработает.

Если вы используете ненадежные имена пользователей и пароли (такие как пресловутые «admin» или «12345»), вы очень сильно упрощаете хакерам взлом вашего сайта. Возьмите за привычку создавать уникальные и надежные пароли, которые вы регулярно меняете. Вы даже можете использовать бесплатный онлайн-генератор, например, от LastPass.

Управление большим количеством надежных паролей может быть проблемой. Чтобы помочь, я часто полагаюсь на менеджеры паролей, такие как 1Password или LastPass, среди других. Не используйте повторно один и тот же пароль на нескольких веб-сайтах и ​​всегда храните данные для входа в безопасности. Убедитесь, что ваши пользователи WordPress тоже используют надежные пароли.

Пока вы это делаете – не забудьте использовать надежные пароли для своей электронной почты, cPanel, баз данных MySQL и учетных записей FTP.

4 Установите плагин безопасности WordPress.

Каждый раз, когда я создаю новый веб-сайт WordPress, у меня обычно есть несколько плагинов defacto, которые я устанавливаю почти автоматически. Я получаю плагин защиты от спама, контактную форму 7, короткие шорткоды и iThemes Security, мой популярный плагин безопасности WordPress.

Плагин позволяет мне усилить защиту WordPress, не беспокоясь. В нем так много функций, которые позволяют легко не допускать злоумышленников к моим веб-сайтам. Настроить плагин очень просто; вы должны быть готовы к работе в кратчайшие сроки.

Лучшие плагины безопасности WordPress предлагают вам различные функции, поэтому обязательно проверьте перед установкой, чтобы убедиться, что вы получаете все функции, необходимые для защиты всего вашего веб-сайта, независимо от того, насколько они уникальны. Стандартные функции включают сканирование вредоносных программ, блокировку IP-адресов, предотвращение перебора, двухфакторную аутентификацию и многое другое – отметьте многие флажки в этом контрольном списке безопасности, который вы читаете прямо сейчас!

5 Выберите отличный хостинг WordPress

Обычно новички охотятся за первым попавшимся им дешевым пакетом хостинга. Я бы не стал обвинять вас, потому что вы не знаете ничего лучше, но сомнительно дешевый (или даже бесплатный) виртуальный хостинг может подвергнуть вас риску безопасности. Я знаю это точно, так как меня взломали две разные хостинг-компании, предлагающие общий хостинг.

Общий хостинг предполагает совместное использование сервера с тысячами других веб-сайтов. Это увеличивает риск перекрестного заражения. То есть хакер может получить доступ к вашему сайту, даже если чей-то сайт был исходной точкой атаки.

С другой стороны, управляемый хостинг WordPress ориентирован только на веб-сайты WordPress. Вы не разделяете сервер с другими, и у вас есть больше возможностей для обеспечения безопасности. Они также предлагают специальную поддержку и больше вариантов восстановления, если случится худшее.

Если вам необходимо использовать общий хостинг, допустим, вы начинаете с блога, который еще не приносит денег, убедитесь, что сайты изолированы или «заключены в тюрьму». Если у вас есть бизнес-сайт или веб-сайт электронной коммерции, выгодно использовать лучший хостинг WordPress, который вы можете уместить в свой бюджет с самого начала, например VPS, выделенный или управляемый хостинг WordPress.

6 Используйте SSL (HTTPS).

В настоящее время многие хостинговые компании WordPress предлагают бесплатные SSL-сертификаты с самого начала и по уважительной причине. SSL-сертификаты делают ваш сайт более безопасным, чем сайты без SSL. Google также рекомендует использовать SSL-сертификаты для защиты данных на вашем веб-сайте (и убедитесь, что пользователи знают, используете вы SSL или нет).

HTTPS более безопасен, чем его предшественник HTTP. Веб-сайт, использующий HTTPS, шифрует все данные, которые передаются между браузером пользователя и вашими серверами. Если хакер перехватит сообщение, он найдет только зашифрованные данные, которые так же полезны, как одноногий мужчина в соревновании по заднице

Установить сертификаты SSL на большинстве веб-хостов так же просто, как A, B, C. Большинство из них предлагают установщики в один клик, которые упрощают весь процесс. Просто войдите в свою cPanel и нажмите одну кнопку, чтобы установить сертификаты SSL и управлять ими. Если вам нужен более практический подход, попробуйте Let’s Encrypt.

7 Создайте полную резервную копию сайта.

Когда хакеры свергли меня с престола, мне пришлось перестраивать свои веб-сайты с нуля – головной боли, которой я бы избежал, если бы надежно вспомнил о резервном копировании WordPress.

Но нет, резервные копии, которые были на моем веб-хосте, были повреждены во время атаки, и нет, у меня не было вторичного решения для резервного копирования. Классический случай, когда все яйца складываются в одну корзину, преподал мне тяжелый урок.

В настоящее время я создаю полные резервные копии веб-сайтов, которые включают файлы и базы данных моего веб-сайта. В основном я использую ManageWP, но я также использую плагин Duplicator для хранения резервных копий на моем компьютере и на Google Диске.

Я настоятельно рекомендую регулярно создавать полные резервные копии. Многие решения для резервного копирования WordPress позволяют автоматизировать весь процесс, экономя ваше время и обеспечивая спокойствие.

8 Используйте брандмауэр веб-приложений (WAF).

Чтобы добавить дополнительный уровень безопасности на свой сайт WordPress и лучше спать по ночам, включите брандмауэр веб-приложений (WAF). WAF защищает ваш сайт, блокируя вредоносный трафик задолго до того, как он попадет на ваш сайт. Это упреждающая мера, чтобы остановить плохих парней, не дожидаясь, пока они нанесут ущерб.

Брандмауэр фильтрует ваш входящий трафик, устраняя хакеров, пропуская легальных пользователей. Многие охранные компании WordPress предлагают брандмауэры веб-приложений наряду с другими функциями. Популярные варианты в отрасли включают Sucuri и Cloudflare.

9 Отключите редактирование файлов в WordPress Admin.

WordPress CMS поставляется с фантастическим редактором кода, который позволяет редактировать файлы плагинов и тем на панели администратора WordPress. Редактор кода – отличный инструмент в вашем распоряжении, но в чужих руках хакеры могут использовать его для удаления вредоносных программ или добавления вредоносных программ на ваш сайт.

Вы всегда можете редактировать свою тему и файлы плагинов (при необходимости) через FTP или файловый менеджер в cPanel, что означает, что вы можете полностью отключить редактор кода в WordPress. Вы не хотите, чтобы хакеры, которые получают доступ к вашей административной области WordPress, имели доступ к редактору кода, потому что они могут нанести большой ущерб с помощью нескольких строк кода.

Что делать? Вы можете отключить встроенный редактор кода с помощью бесплатного плагина Sucuri Security. В качестве альтернативы вы можете добавить в файл wp-config.php следующий код :

// Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Мы идем дальше.

10 Защитите свою страницу входа

Обычно форма входа в WordPress имеет два поля; имя пользователя и пароль. Поскольку злоумышленники и боты становятся умнее с каждым днем, как остановить хакеров от получения доступа к вашей админке WordPress? Это просто; вы добавляете CAPTCHA или вопросы безопасности, которые затрудняют получение несанкционированного доступа.

И вам не нужно редактировать код, чтобы добавить CAPTCHA или контрольные вопросы на страницу входа. Существует популярный плагин WordPress, известный как WP Security Question, который легко настроить и использовать. Если вы хотите использовать CAPTCHA, вы можете использовать Simple Login Captcha, WordFence или один из многих других вариантов, доступных бесплатно на WordPress.org.

В то же время вы можете изменить свой URL-адрес для входа в систему на что-нибудь уникальное. Таким образом, ботам и хакерам будет сложно угадать URL-адрес вашей страницы входа. wp-login уже популярен среди хакеров, поэтому имеет смысл изменить URL-адрес на другой. Вы можете использовать такой плагин, как WPS Hide Login.

11 Добавить аутентификацию

Кроме того, рассмотрите возможность реализации двухфакторной и многофакторной аутентификации. Если хакер получит доступ к вашим данным для входа, он не сможет войти на ваш сайт WordPress. Доступно множество вариантов, но Google Authenticator – популярный выбор.

Помимо этого, ограничьте вход в систему на своей странице входа. Если посетитель пытается войти в систему с несуществующей учетной записью или пытается войти в систему много раз, скорее всего, это хакер или бот, пытающийся проникнуть в систему с помощью грубой силы. Вы можете использовать такой плагин, как Limit Login Попытки или блокировка входа в систему, чтобы уберечь эти навязчивые элементы.

12 Выйти из системы неактивных пользователей

Когда у вас есть многопользовательский веб-сайт WordPress, вы не можете полностью контролировать, как и где пользователи получают доступ к вашему сайту. Автор может решить использовать бесплатный общедоступный Wi-Fi, чтобы внести последние штрихи в статью. Веб-дизайнер может покинуть свой рабочий стол и вернуться после часового перерыва на обед.

В таких сценариях ваш пользователь может неосознанно подвергнуть ваш веб-сайт угрозе безопасности. Злоумышленник может захватить их сеанс, отредактировать его данные и просто нанести ущерб. Если неавторизованная сторона знает, что делает, она может легко завладеть учетной записью пользователя и нанести ущерб.

Что делать? Вы можете автоматически выходить из системы неактивных пользователей по истечении заранее определенного периода. И что самое лучшее? Существуют плагины именно для этой цели. Одним из популярных вариантов является плагин Inactive Logout, который включает параметры для настройки времени простоя перед выходом из системы, настраиваемого всплывающего сообщения или перенаправления при выходе из системы и тайм-аута в соответствии с ролью пользователя.

13 Сканирование на наличие вредоносных программ и проблем (регулярно)

Часто забывают, что регулярное сканирование вашего веб-сайта WordPress может помочь вам выявить проблемы с безопасностью на ранней стадии. Хакеру требуется всего секунда, чтобы взломать ваш сайт и совершить всевозможные гадости. Именно поэтому вы всегда должны быть в курсе дел.

Многие плагины безопасности WordPress для сканирования на наличие вредоносных программ, известных уязвимостей, устаревших скриптов, атак методом грубой силы, несуществующих резервных копий и т.д. Плагины отправляют вам подробные отчеты об известных проблемах, чтобы вы могли их исправить или нанять профессионала.

Существует множество сканеров веб-сайтов, таких как Sucuri SiteCheck, которые можно использовать для мгновенной проверки своего сайта. Все, что вам нужно сделать, это ввести свой URL-адрес, и инструменты автоматически проверит ваш сайт. После этого вам предложат отчет о том, что вам нужно исправить. Получив отчет, немедленно устраните все уязвимости безопасности.

14 Используйте VPN.

Если у вас есть веб-сайт, содержащий конфиденциальную информацию, которая никогда не должна попасть в руки хакеров, рассмотрите возможность использования виртуальной частной сети (VPN), особенно при использовании бесплатного общедоступного Wi-Fi. VPN защищает вас от атак типа “злоумышленник в середине”, которые распространены в общедоступных сетях, в том числе дома и на работе.

Виртуальная частная сеть гарантирует, что даже если злоумышленники получат доступ к системе и украдут ваши данные, они не смогут ничего сделать с данными, которые они получают от вас. Если у вас есть интернет-сеть, которой вы делитесь со многими людьми, всегда используйте VPN, прежде чем заходить в админку WordPress.

Другие параметры безопасности WordPress

Нужно больше делать? Мы хотели бы постоянно обеспечивать безопасность вашего веб-сайта, поэтому вот дополнительные элементы безопасности, которые можно добавить в свой контрольный список:

  • Отключить выполнение файла PHP в / wp-content / wp-uploads /
  • Измените префикс базы данных WordPress
  • Защитите паролем страницу администратора и страницу входа на стороне сервера.
  • Отключить индексацию каталогов
  • Отключите WP REST API и XML-RPC, если не нужны
  • Не редактируйте / меняйте ядро ​​WordPress – напишите или используйте плагин, который предлагает вместо этого нужную вам функциональность
  • Убедитесь, что на вашем сайте установлена ​​последняя версия PHP.
  • Используйте антивирусную программу на вашем компьютере
  • Включить Google Search Console
  • Уменьшение уязвимостей XSS и SQL-инъекций (вам может потребоваться более технически подкованный человек, чтобы помочь с этими двумя)

На самом деле, количество шагов, которые вы можете предпринять для защиты своего сайта, бесконечно. Но если вы отметите 14 пунктов, которые мы перечислили, это огромный шаг к защите вашего сайта.


Обеспечить безопасность вашего веб-сайта WordPress сложно, но возможно. С правильными инструментами и навыками вы можете быстро усилить безопасность WordPress и отпугнуть злоумышленников.

Напомним, что всегда обновляйте свой веб-сайт. Кроме того, никогда не загружайте темы или плагины с ненадежных сайтов. И чтобы быть в безопасности в случае худшего, всегда имейте под рукой надежное решение для резервного копирования.

Мы надеемся, что вы нашли все советы, необходимые для защиты своего веб-сайта WordPress, а значит, и онлайн-бизнеса. Если у вас есть вопрос или вам нужна помощь в выяснении того, как защитить свой сайт WordPress, сообщите нам об этом в комментариях. Оставайтесь в безопасности!

Источник записи: https://www.wpexplorer.com

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее