Безопасность WordPress — 23 совета по защите вашего сайта от хакеров

Приветствую, друзья!

Сегодня для вас я написал подробное руководство по безопасности WordPress, а если точнее — целых 23 совета по защите вашего сайта от хакеров. Давайте уже начнем.

Безопасность WordPress

Безопасность WordPress — жизненно важная часть работы веб-сайта. Как и любой другой актив, которым вы владеете, вы хотите защитить свой сайт от хакеров, злоумышленников и всех, кто пытается взломать его или нанести ущерб.

Вы бы не оставили свой дом, машину или офис незапертыми и доступными для всех, не так ли? Защитите свой сайт WordPress с таким же (или даже более высоким) уровнем безопасности.

К сожалению, слишком многие владельцы сайтов пренебрегают своей безопасностью WordPress, думая: «Кто бы взломал мой веб-сайт малого бизнеса?», «Злоумышленники нацелены только на крупные корпорации» и т. д.

У других может не хватить навыков или времени, чтобы справиться с безопасностью самостоятельно.

Вы начинаете беспокоиться только тогда, когда кто-то врывается в ваш дом, угоняет вашу машину или взламывает ваш сайт WordPress. Но тогда, наверное, уже слишком поздно — ущерб нанесен.

Прочтите и узнайте о 23 способах усиления безопасности WordPress и защиты вашего самого ценного цифрового актива — вашего веб-сайта!

Почему безопасность вашего сайта так важна

С более чем 90 978 атаками каждую минуту и более 102 623 взломанными веб-сайтами каждый день довольно ясно, насколько важна безопасность WordPress.

Почему безопасность вашего сайта так важна

Одно можно сказать наверняка — хакеры не различают, они нацелены на большие и маленькие сайты. Любой человек с некачественной безопасностью может стать их целью.

Недавно незащищенная уязвимость плагина вызвала массовую скоординированную атаку на веб-сайты WordPress.

Хакеры использовали эту уязвимость для внедрения кода на сайты с плагином Yuzo Related Posts, который перенаправлял посетителей на всевозможные вредоносные веб-сайты.

Служба автоматизации и доставки электронной почты Mailgun была среди многих взломанных веб-сайтов.

И даже крупные компании не застрахованы от хакерских атак. Несколько лет назад одно из крупнейших в мире информационных агентств «Reuters» было взломано из-за того, что на нем использовалась устаревшая версия WordPress.

Хакеры могут украсть информацию о пользователях, пароли, установить вредоносное ПО и даже распространить вредоносное ПО среди ваших пользователей.

Они могут даже захватить ваш сайт, и единственный способ вернуть его — это заплатить солидный выкуп.

Атаки могут нанести серьезный удар по вашему доходу и нанести серьезный ущерб вашей репутации.

По оценкам Американской экономической ассоциации, из-за спама предприятия и потребители несут убытки почти в 20 миллиардов долларов в год.

Последнее, что вы хотите, чтобы люди видели — это предупреждающее сообщение о том, что посещение вашего сайта может им навредить.

посещение вашего сайта может им навредить

Наиболее распространенные уязвимости WordPress — как хакеры взламывают веб-сайты

Вот 9 наиболее распространенных уязвимостей WordPress, которые используют хакеры для атаки на веб-сайты:

  • Атаки методом перебора паролей — этот тип атаки использует слабые пароли и может получить полный доступ к вашему сайту. Хакеры используют автоматизированные скрипты, чтобы постоянно пытаться войти в систему, угадывая имя пользователя и пароль администратора.
  • Бэкдоры — это уязвимости, которые хакеры могут использовать для обхода безопасности, чтобы получить доступ к вашему сайту, заразить его и даже поставить под угрозу другие сайты на том же сервере.
  • Межсайтовый скриптинг (XSS). Хакеры используют этот метод для внедрения вредоносного скрипта на сайт, даже если вы об этом не знаете. Этот код можно использовать для всех видов гнусных действий, таких как кража данных сеанса посетителя, переписывание HTML и даже создание перенаправлений.
  • Вредоносные переадресации. Этот коварный метод взлома может перенаправлять ваших посетителей на другие веб-сайты со спамом, вредоносными программами или фишинговыми сайтами.
  • Фишинг. Цель фишинга — украсть конфиденциальную информацию пользователей, такую как данные для входа в систему, данные кредитной карты или даже все. Хакеры обманывают пользователей, выдавая себя за хорошо известный доверенный сайт, а затем заманивая пользователей отдать свою информацию.
  • Вредоносное ПО — это общий термин для всех видов вредоносных скриптов или программ, которые пытаются заразить сайт или систему. Он включает вирусы, бэкдоры, руткиты, рекламное ПО, спамерство и другие типы вредоносного ПО.
  • DDoS-атака (распределенный отказ в обслуживании) — это скоординированная атака, осуществляемая хакерскими ботами, внедряемыми на несколько веб-сайтов, которые отправляют поток входящего трафика, предназначенный для перегрузки серверов сайта, вызывая их отказ.
  • Уничтожение веб-сайта. Хакеры используют искажение, чтобы изменить внешний вид веб-сайта, чтобы сделать его непригодным для использования, и продвигать несвязанные (обычно политические или активистские) сообщения.
  • Php.mailers — Почтовые программы — это инструменты, использующие php-команды для рассылки спама или фишинга прямо с зараженного сайта.

WordPress остается главной целью хакерских атак: на WordPress работает 90% всех зараженных сайтов.

главной целью хакерских атак

Другие исследования показывают, что более 73% сайтов WordPress уязвимы для атак.

Возникает вполне разумный вопрос: «Безопасен ли WordPress?»

Безопасен ли WordPress

WordPress как платформа очень безопасна. Ему доверяют работу 33,4% всех веб-сайтов в интернете.

В WordPress есть специальная команда безопасности (около 50 экспертов по безопасности), которая усердно работает над исправлением любых существующих и обнаружением новых уязвимостей, часто исправляя их менее чем за 40 минут.

Безопасность WordPress также усиливается огромным сообществом пользователей, которое внимательно следит за тем, чтобы новые уязвимости были обнаружены и исправлены как можно скорее.

Большая часть плохой репутации в отношении безопасности связана с тем, что владельцы сайтов не следуют лучшим практикам безопасности и не принимают необходимых мер безопасности.

Наиболее распространенные уязвимости WordPress вызваны:

  • Неправильное развертывание,
  • Проблемы конфигурации безопасности,
  • Отсутствие знаний и/или ресурсов в области безопасности,
  • Плохое общее обслуживание сайта (например, использование устаревшей версии),
  • Нарушенная аутентификация и управление сеансом.

Несмотря на то, что WordPress пытается поддерживать ядро в актуальном состоянии и обеспечивать безопасность, только около 30% сайтов WordPress используют последнюю версию (по состоянию на апрель 2020г.).

WordPress пытается поддерживать ядро в актуальном состоянии

С учетом сказанного, позвольте мне показать вам, как сделать ваш сайт WordPress безопасным с помощью герметичной защиты.

Как защитить свой сайт WordPress от хакеров

Теперь, когда вы знаете, почему безопасность WordPress так важна, пришло время защитить свой сайт от хакеров.

Хотя разработчики WordPress постоянно работают над исправлением любых потенциальных уязвимостей, вам необходимо внести свой вклад в обеспечение безопасности своего сайта.

Вот 23 действенных совета по укреплению вашего веб-сайта WordPress с помощью надежной защиты.

1. Установите плагин безопасности WordPress

Безопасность имеет решающее значение для бесперебойной и беспроблемной работы вашего сайта.

Поскольку мы говорим здесь о WordPress, можете поспорить, что есть плагин для обеспечения безопасности вашего сайта. На самом деле их много.

Вот 5 лучших плагинов безопасности WordPress, которые следует учитывать:

  • iThemes
  • Wordfence
  • Sucuri
  • All in One WP Security & Firewall
  • Shield Security

Установите плагин безопасности

Плагины безопасности WordPress содержат множество наворотов, чтобы удовлетворить большинство ваших потребностей в безопасности:

  • Брандмауэр WordPress,
  • Черный список IP и пользователей,
  • Сканирование вредоносного ПО,
  • Генератор надежных паролей,
  • Двухфакторная аутентификация,
  • Журналы изменений файлов,
  • Истечение срока действия паролей,
  • Мониторинг подозрительной активности и т. д.

Использование плагина безопасности WordPress может облегчить вашу задачу, делая защиту вашего сайта намного проще и требующей меньше времени.

Несмотря на то, что эти плагины могут удовлетворить почти все ваши потребности в безопасности WordPress, я рекомендую прочитать все шаги в этом руководстве, чтобы вы понимали все функции и ноу-хау для их правильной настройки.

И, конечно же, некоторые меры безопасности требуют большего, чем просто плагин WordPress.

2. Проверьте свой сайт на наличие вредоносных программ

Если вы испытываете внезапное падение трафика, странные проблемы с производительностью или подозрительное поведение, вам необходимо проверить свой сайт на наличие вредоносных программ.

Даже если все в порядке, рекомендуется время от времени запускать сканирование на наличие вредоносных программ.

Некоторые хаки работают скрытно, за кулисами, поэтому веб-мастера могут даже не осознавать, что что-то не так.

Это до тех пор, пока не будет нанесен ущерб, например, когда Google исключит ваш сайт из результатов поиска из-за проблем с безопасностью или попадет в черный список, за которым последует большой удар по доходу и репутации.

Вот почему очень важно регулярно проверять свой сайт на наличие вредоносных программ.

Большинство подключаемых модулей безопасности запускают запланированное сканирование на наличие вредоносных программ в фоновом режиме и регулярно отслеживают признаки любых нарушений безопасности.

Для дополнительной безопасности вы можете использовать бесплатную онлайн-программу проверки вредоносных программ, такую как Sucuri SiteCheck, чтобы запустить сканирование вашего веб-сайта на наличие вредоносных программ и статус черного списка.

Sucuri SiteCheck

Убедитесь, что ваш сайт чистый и не включен ни в один черный список. Вы можете легко выполнять эти проверки время от времени, чтобы проверить статус вашего веб-сайта и убедиться, что все в порядке.

3. Инвестируйте в безопасный хостинг

Безопасность на стороне сервера также играет ключевую роль в защите вашего сайта от хакеров и вредоносных программ.

Вот почему вам нужно быть осторожным и выбрать надежного хостинг-провайдера, который серьезно относится к безопасности.

Убедитесь, что ваша хостинговая компания знает кое-что о безопасности WordPress, имеет системы защиты и обеспечивает быструю и надежную поддержку в случае худшего.

Надежный хостинг-провайдер должен предлагать:

  • Резервные копии,
  • Межсетевые экраны на уровне сервера,
  • Сканирование вредоносного ПО,
  • Защита от DDoS-атак,
  • Новейшую операционную систему, программное и аппаратное обеспечение,
  • и, помимо прочего, управляемые обновления ядра WordPress.

Еще одна ключевая функция безопасности — это изолирование каждой учетной записи и сайта WordPress на сервере.

Хорошая серверная архитектура может защитить вас от межсайтового заражения, когда хакеры используют один зараженный веб-сайт на сервере для проникновения и атаки на другие соседние сайты на том же сервере.

Хостинг-серверы с плохой конфигурацией учетных записей и плохим управлением, на которых пользователи могут устанавливать и создавать столько сайтов, сколько захотят, являются основной целью для злоумышленников.

С другой стороны, безопасный хостинг включает в себя хорошо организованное управление учетными записями, при котором действующие сайты принадлежат специально защищенной производственной среде, а все остальное находится в промежуточной среде.

К сожалению, вы не можете ожидать такого уровня безопасности от провайдеров виртуального хостинга. Они предлагают услуги всего за несколько сотен рублей, но сопряжены с угрозой безопасности.

С другой стороны, управляемый хостинг WordPress обеспечивает гораздо более безопасную среду со всеми перечисленными выше функциями безопасности, а также дополнительными резервными копиями, обновлениями и конфигурациями безопасности.

Выбирая провайдера для своего бизнес-сайта, инвестируйте в безопасный хостинг сейчас и меньше беспокойтесь в будущем.

От себя хочу добавить что пользуюсь услугами хостинга TimeWeb.ru уже более 8 лет, сделал и разместил на нем не один десяток сайтов. Быстрая тех. поддержка. Очень вам рекомендую!

4. Укрепите свой сайт надежными учетными данными

Атаки методом перебора паролей являются одними из самых распространенных методов взлома. Основная причина их распространенности в том, что их так легко выполнить.

Практически любой человек, обладающий небольшими техническими знаниями, может запустить атаку методом перебора, используя относительно простые хакерские инструменты.

Но другая причина, по которой так легко осуществить атаку методом перебора, заключается в том, что слишком многие владельцы сайтов используют слабые учетные данные администратора.

Исследования показывают, что пароли типа «123456», «password» и «qwerty» по-прежнему являются одними из самых популярных, даже в 2020 году, после всех этих нарушений безопасности.

Лучший (и очевидный) способ защитить ваш сайт WordPress от атак перебором — это иметь надежные учетные данные. Следуйте структуре CLU и придумайте пароль: сложный, длинный и уникальный.

Придумайте пароль, который включает буквы (прописные и строчные), цифры и другие специальные символы, такие как $ & # @% *. Избегайте использования своего имени, имени питомца, даты рождения или каких-либо «настоящих слов» в этом отношении.

Укрепите свой сайт надежными учетными данными

Поскольку ваш пароль администратора WordPress защищает вход на весь ваш бизнес-сайт, убедитесь, что он длинный и содержит не менее 16 символов.

И, наконец, убедитесь, что ваш пароль уникален и вы не используете его ни для какой другой учетной записи (например, для Facebook, Twitter, Вконтакте и т. д.).

Таким образом, если какая-либо из ваших других учетных записей будет взломана, ваш сайт WordPress останется в безопасности.

Если придумать надежный пароль слишком сложно, вы можете использовать бесплатные онлайн-генераторы или премиальные сервисы, такие как LastPass, 1Password или DashLane.

Эти сервисы также могут хранить ваши надежные пароли, чтобы вам не приходилось запоминать или записывать их на стикерах.

Ядро WordPress также поставляется с надежным генератором паролей, к которому вы можете получить доступ из управления своей учетной записью на панели инструментов WP.

Укрепите свой сайт

Я рекомендую предпринять несколько дополнительных шагов по обеспечению безопасности и изменить ваше общее имя пользователя администратора на что-то уникальное и более сложное.

И, наконец, разрешите WordPress принудительно использовать надежные пароли. Вы можете заставить своих пользователей использовать надежные пароли WordPress, настроив следующее:

  • Минимальная длина пароля,
  • Использование в паролях как строчных, так и прописных букв,
  • Включение цифр в пароли,
  • Использование специальных символов в паролях.

Я дам еще больше советов по безопасности, которые могут защитить вас от атак перебором, позже в этой статье. Продолжайте читать, если хотите обезопасить свою систему безопасности WordPress.

5. Обновите свой WP, темы и плагины

Вы, наверное, заметили, что ваши устройства постоянно обновляются, включая ваш компьютер, смартфон, приложения и т. д.

Эти обновления содержат улучшения, новые функции, исправления ошибок, но, что наиболее важно, исправления безопасности.

То же самое и с вашим сайтом WordPress. Ваше ядро WordPress, плагины и темы часто обновляются. Эти обновления могут улучшить внешний вид, улучшить стабильность и функциональность, а также исправить уязвимости безопасности вашего сайта.

Около 74% известных уязвимостей находятся в ядре WordPress. К счастью, большинство из них относятся к старым версиям WordPress, например 3.X.

Команда безопасности WordPress отлично справляется со всеми этими проблемами безопасности. Таким образом, поддержание вашего WordPress в актуальном состоянии может снизить значительную часть рисков безопасности.

По умолчанию WordPress автоматически устанавливает незначительные обновления, поэтому вы своевременно получаете срочные исправления. Для выпусков основных версий вам необходимо запустить обновление вручную.

Обновите свой WP, темы и плагины

Держите свои плагины под контролем

Другой серьезный риск для безопасности связан с плагинами и темами. Они разработаны сотнями сторонних разработчиков, которые также несут ответственность за безопасность вашего сайта с помощью обновлений.

К сожалению, плагины часто содержат уязвимости, что делает их главной целью для хакеров.

По данным Wordfence, почти 56% взломанных веб-сайтов WordPress были атакованы с помощью эксплойтов уязвимостей плагинов.

Держите свои плагины под контролем

Важнейшим шагом на пути к повышению безопасности WordPress является своевременное обновление ядра, плагинов и тем.

Хотя обновление ваших плагинов и тем WordPress может помочь исправить уязвимости безопасности, вам нужно быть осторожным. Некоторые обновления могут создавать новые проблемы, такие как ошибки, конфликты плагинов, и даже могут привести к поломке вашего сайта.

Я советую вам тестировать каждое обновление в тестовой среде, прежде чем вы решите запустить его на своем действующем сайте WordPress.

Кроме того, избегайте получения ваших плагинов с малоизвестных веб-сайтов с подозрительным фоном. Загружайте плагины и темы только из авторитетных источников, таких как репозиторий WordPress, Themeforest, Themeisle, Code Canyon и т. д.

И последнее, но не менее важное: всегда удаляйте неиспользуемые плагины и темы. Некоторые из них могут иметь незащищенные уязвимости, которые могут представлять потенциальную угрозу безопасности.

Неактивные плагины также могут снизить производительность и скорость вашего сайта, поэтому рекомендуется содержать ваш WordPress в чистоте и порядке.

Следуя логике этого исследования Wordfence, если вы можете защитить свой сайт от эксплойтов плагинов и атак перебором, вы будете защищены от более 70% атак. Но для остальных 30% прочтите оставшуюся часть этого руководства.

6. Резервное копирование, резервное копирование, резервное копирование

Независимо от того, сколько шагов вы предпримете для обеспечения безопасности вашего сайта, самым важным из них является создание резервной копии вашего сайта WordPress.

У вас всегда должна быть резервная версия вашего сайта, готовая к восстановлению для худшего случая. В конце концов, даже правительственные сайты взламывают, и единственная 100% эффективная мера безопасности — это резервное копирование.

WordPress не имеет встроенной функции резервного копирования, однако некоторые хостинг-провайдеры предлагают свои собственные автоматические резервные копии.

Существуют также другие сторонние варианты резервного копирования, вы можете использовать плагины, такие как BackupBuddy, BackUpWordPress, VaultPress, или облачные сервисы, такие как Amazon, Dropbox или Stash.

Резервное копирование

Вы можете установить частоту резервного копирования в зависимости от того, как вы используете свой веб-сайт и как часто вы вносите изменения и обновления.

Например, вы можете выбрать ежедневное, еженедельное и даже резервное копирование в реальном времени.

Убедитесь, что у вас всегда есть резервная копия, чтобы вы могли быстро восстановить свой сайт на случай, если хакерам удастся каким-то образом проникнуть в вашу безопасность.

7. Включите брандмауэр WordPress

Еще одна важная мера безопасности WordPress — это установка брандмауэра веб-приложений (WAF — Web Application Firewall). Ваш WAF — это первая линия защиты, которая предотвращает вредоносные атаки еще до того, как они достигнут вашего сайта.

Плагины брандмауэра WordPress защищают ваш сайт от взлома, перебора паролей и DDoS-атак. Существует множество плагинов брандмауэра WordPress, которые могут защитить ваш сайт на уровне DNS или приложения, например:

  • Sucuri
  • Wordfence
  • SiteLock
  • Cloudflare

Включите брандмауэр WordPress

Плагины брандмауэра работают либо путем маршрутизации вашего трафика через прокси-серверы, либо путем изучения трафика, когда он достигает вашего сервера, но до загрузки WordPress.

WAF добавляет еще один уровень безопасности на ваш сайт WordPress, что очень важно. Тем не менее, они неэффективны, если хакер уже проник на ваш сайт.

Вот почему вам все равно необходимо принять другие меры безопасности, чтобы ваш сайт был безопасным в качестве хранилища.

8. Скройте URL для входа в WordPress

Скрытие URL-адреса для входа в WordPress — это простой, но эффективный способ защиты от атак методом перебора.

Изменение вашей страницы входа работает относительно хорошо, потому что хакеры методом перебора используют ботов, которые настроены для атаки на сайт с типичной настройкой.

Эти боты нацелены на вашу страницу входа, и если они не могут найти вашу страницу (из-за того, что вы изменили URL-адрес), скорее всего, боты уйдут с вашего сайта.

По умолчанию URL-адрес для входа на ваш сайт WordPress — domain.com/wp-admin. Вы можете скрыть свою страницу входа, просто изменив URL-адрес. Вы можете сделать это с помощью бесплатного плагина, такого как «WPS Hide Login».

Скройте URL для входа

Этот тип тактики называется «безопасность через неизвестность» и может защитить вас от менее опытных хакеров. Однако это ни в коем случае не может быть мерой безопасности от более продвинутых хакеров.

Тем не менее, это стоящая тактика безопасности, и ее настройка займет всего несколько минут.

9. Ограничьте попытки входа в систему

Еще один упреждающий способ защиты вашего сайта от злоумышленников — ограничение неудачных попыток входа в систему.

По умолчанию WordPress позволяет пользователям пытаться войти в систему столько раз, сколько они хотят, однако это делает ваш сайт уязвимым для атак методом перебора.

Хакеры могут атаковать ваш сайт, миллионы раз пытаясь угадать комбинацию вашего имени пользователя и пароля, пока не взломают.

Вам необходимо принять меры, которые ограничили бы количество попыток входа в систему с неверными учетными данными.

Это похоже на то, что делают банковские карты — если вы введете неправильный PIN-код в банкомат несколько раз, ваша карта будет заблокирована.

В случае WordPress будет заблокирован IP-адрес, с которого происходят неудачные попытки входа в систему, а не весь ваш сайт.

Вы можете ограничить попытки входа в систему с помощью подключаемых модулей, таких как «Cerber Security», «Login Lockdown» или универсальных подключаемых модулей безопасности, таких как iThemes.

Ограничьте попытки входа в систему

Просто установите максимальное количество разрешенных неудачных попыток входа в систему, прежде чем имя пользователя или IP-адрес будут заблокированы. Блокировка временно запрещает злоумышленнику попытки входа в систему.

Если пользователя заблокируют трижды, ему будет запрещено даже просматривать ваш сайт.

10. Используйте двухфакторную аутентификацию

Двухфакторная аутентификация становится все более популярной мерой безопасности для обеспечения безопасности учетных записей в интернете.

Этот тип защиты включает в себя двухэтапный процесс, в котором первым шагом является ввод вашего имени пользователя/пароля, а вторым шагом является подтверждение вашего входа в систему с помощью кода, который доставляется на ваш телефон, электронную почту и т. д.

Вы можете включить двухфакторную аутентификацию с помощью таких плагинов, как «DUO Two-Factor Authentication» или «Google Authenticator».

Используйте двухфакторную аутентификацию

Это простой, но очень эффективный метод защиты от вторжений, поскольку практически невозможно, чтобы хакеры имели и ваши учетные данные, и ваш телефон одновременно.

Это делает его надежной мерой безопасности, которую Google и другие крупные технологические компании используют для защиты учетных записей своих пользователей.

Вы даже можете добавить контрольный вопрос на экран входа в систему с помощью плагина «WP Security Question».

WP Security Question

11. Защитите паролем свои страницы входа и администратора

Для дополнительного спокойствия вы можете добавить еще один уровень безопасности, который защитит вашу страницу администратора с помощью пароля.

Эта мера требует, чтобы пользователи вводили другой набор имени пользователя и пароля, прежде чем они смогут получить доступ к странице входа.

Защитите паролем свои страницы входа

Ограничение доступа к вашему логину, админке и другим важным страницам — верный способ защитить ваш сайт от ботов, а также от некоторых DDoS-атак.

Это защита на уровне сервера, поэтому вам нужно создать файл .htpasswds и отредактировать свой .htaccess.

Имейте в виду, что эта мера безопасности носит довольно технический характер. Также может стать очень раздражающим необходимость вводить свое имя пользователя/пароль каждый раз, когда вы хотите получить доступ к своим страницам администратора. Так что используйте этот способ по своему усмотрению.

12. Автоматический выход неактивных пользователей

Неактивные пользователи, которые вошли в вашу серверную часть WordPress, могут представлять угрозу безопасности. Хакеры могут перехватывать их сеансы, изменять учетные данные и вносить изменения в важные файлы.

Вот почему лучшая практика безопасности — автоматически отключать бездействующих пользователей.

Пользователи должны будут снова войти в систему после того, как они не будут активны в течение определенного времени, что обеспечит более высокую защиту от хакеров.

Вы можете включить автоматический выход из системы с помощью такого плагина, как «Inactive Logout».

Автоматический выход неактивных пользователей

Просто настройте параметры тайм-аута, перенаправления и добавьте сообщение о выходе. Теперь ваш сайт на WordPress стал намного безопаснее.

13. Зашифруйте свое соединение с помощью сертификата SSL

SSL-шифрование защищает соединение между вашим сайтом и браузерами посетителей. Это означает, что все передаваемые данные зашифрованы и конфиденциальны, что не позволяет хакерам украсть такую информацию как пароли и данные кредитной карты.

С сертификатом SSL ваш сайт будет использовать HTTPS и будет отображать знакомый значок замка, который означает, что ваш сайт использует безопасное соединение.

Зашифруйте свое соединение

Первоначально он использовался для сайтов электронной коммерции, которым требовался способ защиты транзакций. Однако в последние годы HTTPS расширился и стал отраслевым стандартом безопасности.

Наличие HTTPS и SSL дает вам множество преимуществ, например:

  • Безопасность — HTTPS повышает безопасность как для вас, так и для ваших посетителей,
  • SEO — Google начал отдавать предпочтение веб-сайтам с безопасным подключением,
  • Доверие и авторитет — безопасные соединения повышают ваш авторитет, что может привести к увеличению количества конверсий и продаж,
  • Нет предупреждений Chrome — Google Chrome начал отмечать веб-сайт без HTTPS как «небезопасный», что может произвести негативное впечатление на ваших посетителей.

Наличие HTTPS и SSL

Убедитесь, что ваш хостинг-провайдер может подключить вас к SSL-сертификату, чтобы ваш сайт мог пользоваться всеми преимуществами безопасного соединения.

14. Управляйте разрешениями для файлов и серверов WordPress

В этом контексте разрешения определяют, кто может читать, писать, изменять и получать доступ к различным файлам и каталогам в вашей установке WordPress.

Вы хотите защитить свои важные файлы от хакеров, которые потенциально могут изменить их и нанести ущерб вашему сайту. В то же время слишком строгие разрешения могут помешать правильной работе вашего сайта.

Вы можете использовать «iThemes» для проверки прав доступа к важным файлам и каталогам на вашем сайте.

Управляйте разрешениями для файлов

«iThemes» также предлагает варианты разрешений для повышения безопасности.

Вам необходимо убедиться, что только авторизованные стороны имеют разрешение на доступ к жизненно важным файлам и каталогам.

Установите права доступа к каталогам на «755» и к файлам на «644», чтобы защитить всю файловую систему — каталоги, подкаталоги, а также отдельные файлы.

Для управления правами доступа к файлам используйте диспетчер файлов из панели управления хостингом или через терминал (связанный с SSH) с помощью команды «chmod».

Управление вашими разрешениями довольно технически, поэтому, если вам неудобно делать это самостоятельно, обязательно обратитесь за помощью к опытным разработчикам WordPress.

Если вы все же решите сделать это самостоятельно, ознакомьтесь с Кодексом WordPress для получения более подробных инструкций по управлению вашими разрешениями.

15. Скройте свою версию WordPress

Скрытие вашей версии WordPress — небольшая, но важная мера безопасности. Когда потенциальные злоумышленники знают вашу точную версию WP, они могут настроить атаку на известную уязвимость этой версии (особенно для более старых версий WP).

Ваша версия WordPress видна всем, кто знает, как просмотреть исходный код вашего сайта (подсказка: щелкните правой кнопкой мыши в Chrome и откройте «просмотреть исходный код страницы»).

Скройте свою версию WordPress

Скрытие ваших версий — еще одна тактика «безопасности через безвестность». Вы можете скрыть свою версию WordPress, используя строку кода, которую вы добавляете в свой файл functions.php.

    function wp_version_remove_version() {
        return;
        }
    add_filter("the_generator", "wp_version_remove_version");
ВНИМАНИЕ: помните, что изменения в исходном коде могут привести к поломке вашего сайта, если вы не сделаете это правильно!

Альтернативой является использование премиального плагина, такого как «Perfmatters», чтобы скрыть вашу версию WP с помощью простого переключателя.

Скрытие ваших версий

16. Управляйте разрешениями пользователей WordPress

Если вы похожи на многих владельцев сайтов, над вашим сайтом работают несколько человек. Некоторые из них несут ответственность за работу вашего сайта, как администраторы и разработчики, в то время как другие вносят свой вклад в ваш сайт с контентом, например, авторы и редакторы.

Это может показаться очевидным, но все же стоит упомянуть, что вы не хотите волей-неволей раздавать разрешения пользователям верхнего уровня. Вам необходимо соответствующим образом назначить роли и разрешения каждому пользователю.

Например, гостевые блогеры, которые пишут статьи на вашем сайте, не должны иметь прав пользователя на редактирование вашего HTML.

Кроме того, им не нужен доступ к вашей теме, плагинам и т. д. Кто-то, вмешивающийся в ваш код или вносящий изменения на вашу страницу, может сломать ваш сайт (белый экран смерти).

Управляйте разрешениями пользователей

С другой стороны, разработчикам и администраторам, обслуживающим ваш сайт, необходим доступ ко всему сайту, чтобы добавлять плагины и темы, делать обновления и т. д.

Хороший способ управлять разрешениями пользователей — выполнить следующие три шага:

  • Предоставляйте каждому пользователю только необходимый им уровень доступа,
  • Ограничьте количество пользователей с разрешениями верхнего уровня,
  • Используйте плагины для настройки ролей пользователей (например, «User Role Editor»).

17. Отключить хотлинкинг

Проблемы с хотлинкинг возникают, когда кто-то публикует изображение с вашего сайта через URL-адрес изображения.

Это приводит к проблемам с производительностью и затратами, поскольку другой веб-сайт использует ресурсы вашего сервера, чтобы показать изображение на своем собственном сайте.

В таком случае они крадут не только ваше изображение, но и вашу пропускную способность.

При включенном хотлинкинге изображение остается на вашем сервере, и весь трафик, поступающий на другой сайт, использует ресурсы вашего сервера.

Сканеры контента активно используют этот метод, который может привести к значительным счетам за пропускную способность.

Вы можете проверить, не делает ли кто-то хотлинкинг ваших изображений, с помощью поисковых операторов Google:

inurl: -site:

Используйте эту команду для поиска всех изображений с вашего веб-сайта, которые не содержат ваш собственный URL.

Отключить хотлинкинг

Я столкнулся с этой проблемой даже через несколько месяцев после запуска моего обновленного сайта. Поэтому безопасный способ — полностью отключить хотлинкинг изображений.

Вы можете отключить хотлинкинг:

  • Редактирование файла .htaccess,
  • Настройка вашего CDN.

Некоторые плагины WAF (брандмауэры) также могут обеспечивать защиту, по крайней мере, когда дело доходит до предотвращения других ссылок на ваши изображения.

18. Защитите себя от DDoS-атак

DDoS-атаки отличаются от хакерских атак и вредоносных программ. Они не вредят вашему сайту и не крадут вашу информацию — скорее они временно отключат ваш сайт.

Тем не менее, DDoS-атаки могут привести к потере доходов, а также к потенциальным затратам на восстановление вашей системы. Из-за того, как они работают, термин кибертерроризм часто ассоциируется с DDoS-атаками.

Злоумышленники используют взломанные веб-сайты (ботнет) и другие программы для отправки ненормального объема трафика, чтобы перегрузить ваш сервер и вызвать его сбой.

Когда сервер перегружен, законный трафик больше не может приниматься, и ваш сайт становится недоступным.

Защитите себя от DDoS-атак

Злоумышленники DDoS используют машины, расположенные по всему миру, для генерации трафика, поэтому отследить и предотвратить эти атаки намного сложнее.

Единственный способ защитить себя от DDoS-атак — это использовать WAF (брандмауэр) для анализа используемой полосы пропускания и полного блокирования DDoS-атак.

19. Отключить XML-RPC

Хотя XML-RPC может быть полезен, если вашей системе WordPress необходимо подключаться к интернету и мобильным приложениям, он также представляет большую угрозу безопасности. Это почти открывает двери для злоумышленников.

Обычно, если хакер хотел попробовать 1000 разных паролей на вашем веб-сайте, ему пришлось бы сделать 1000 отдельных попыток входа в систему. Это запустит плагины безопасности входа в систему, и злоумышленник будет заблокирован.

При включенном XML-RPC хакер может использовать так называемую «функцию system.multicall» для проверки тысяч комбинаций паролей с помощью всего 20 или 50 запросов.

Это позволяет хакерам оставаться незамеченными там, где большинство плагинов безопасности не могут их найти.

Качественные плагины безопасности WordPress, такие как «iThemes», могут блокировать попытки входа в систему XML-RPC, чтобы защитить ваш сайт от этих типов атак методом перебора.

Отключить XML-RPC

Вы можете даже пойти дальше и полностью отключить XML-RPC с помощью файла .htaccess.

Используйте средство проверки XML-RPC, чтобы проверить, работает ли эта функция в настоящее время на вашем сайте.

20. Используйте последнюю версию PHP

Постоянное обновление версии PHP жизненно важно для вашей безопасности, так же как и ядра WordPress, плагинов и тем.

Каждая версия PHP обычно поставляется с двухлетней поддержкой, которая устраняет любые уязвимости безопасности.

Используйте последнюю версию PHP

На данный момент версии 7.0 и более ранние больше не поддерживаются и могут представлять потенциальную угрозу безопасности.

К сожалению, слишком много веб-сайтов WordPress отстают, более 31,9% все еще используют PHP v5.6.

Безопасен ли WordPress

Убедитесь, что ваш сайт работает на последней стабильной версии PHP, чтобы обеспечить максимальную безопасность.

Иногда разработчикам требуется время для тестирования и обеспечения совместимости со своим кодом, поэтому вы можете использовать любую из версий PHP, которые все еще имеют поддержку безопасности (в настоящее время 7.2 и 7.3 и 7.4, а для версии 7.1 осталось всего несколько месяцев).

Запуск вашего сайта на последней версии PHP может значительно повысить безопасность и производительность. Уточните у своего хостинг-провайдера, на какой версии работает ваш сайт WordPress.

21. Ограничьте доступ к жизненно важным частям вашего сайта

Хакеры часто используют вредоносные программы для важных файлов на вашем сайте WordPress. К ним относятся ваши файлы index.php, functions.php и wp-config.php.

Ограничьте доступ к жизненно важным частям

По словам Sucuri, есть несколько основных причин, по которым эти файлы становятся популярными целями среди злоумышленников:

  • Они загружаются при каждом доступе к сайту,
  • Это основные файлы, которые не перезаписываются во время обновлений WordPress,
  • Они часто игнорируются системами контроля целостности, так как их ценность часто меняется.

Эти типы атак очень опасны, поскольку регулярные проверки на наличие вредоносных программ не обнаруживают инфекции, содержащиеся в этих файлах.

Чтобы защитить ваши основные файлы WordPress, попробуйте сделать следующее:

  • Скройте файл wp-config.php,
  • Запретите редактирование файла с помощью файла wp-config.php,
  • Измените префикс вашей базы данных (wp_),
  • Защитите свои файлы с помощью правил .htaccess,
  • Ограничьте доступ к файлам PHP,
  • Защитите свой каталог /wp-includes/,
  • Отключите просмотр каталогов,
  • Запретите перебор имени пользователя.

Вы можете перейти к WordPress Codex для получения более подробной информации о том, как обеспечить безопасность ваших файлов.

Однако этот тип безопасности требует большого количества технических ноу-хау, поэтому будьте осторожны или обратитесь к своему разработчику.

22. Предотвратите спам

Спам стал настоящей чумой для всех в интернете. Однако, помимо того, что это раздражает, он также может привести к перебору паролей и DDoS-атакам, а также к уязвимостям XSS.

Различные типы спама могут поставить под угрозу как вас, так и ваших пользователей. Чтобы укрепить свой сайт WordPress и обеспечить максимальную безопасность, вам необходимо предотвратить:

  • Спам в комментариях — наиболее распространенный тип спама, который появляется в разделе комментариев на вашем сайте. Комментарии к спаму часто содержат ссылки на сайты, заполненные вредоносным ПО, вирусами или мошенничеством.
  • Splogs — это сокращение от блогов со спамом. Спамеры могут зарегистрироваться на сайте в многосайтовой сети, чтобы использовать полосу пропускания и ресурсы для публикации спама или партнерских ссылок на сомнительные элементы.
  • Обратные ссылки — это когда другой сайт ссылается на ваше сообщение в одном из своих сообщений, и это отображается как комментарий на вашем сайте.
  • Pingbacks — пингбеки по сути такие же, как и трекбэки, за исключением того, что процесс автоматизирован.

Спам может нанести вред вашему сайту по-разному — от снижения производительности до фишинга и SQL-инъекций.

Очень важно, чтобы на вашем сайте не было спама. Вы можете защитить свой сайт с помощью специальных подключаемых модулей защиты от спама, таких как Akismet, а также универсальных средств безопасности, таких как Wordfence.

23. Следите за безопасностью своего сайта

Наконец, когда у вас есть все меры безопасности, вам нужно постоянно контролировать безопасность своего сайта.

Вы можете включить ведение журнала безопасности WordPress с помощью плагина iThemes, чтобы отслеживать действия, связанные с вашей безопасностью.

Следите за безопасностью своего сайта

Журнал безопасности может отслеживать такие действия, как:

  • Атаки перебором паролей,
  • Локауты,
  • Управление версиями (обновления),
  • Ведение журнала пользователей и т. д.

Еще один способ контролировать вашу безопасность — это проверить наличие проблем с безопасностью и принять меры вручную в Google Search Console.

Google Search Console

Эти проблемы могут иметь большое негативное влияние на ваше СЕО, поэтому внимательно следите за этим отчетом GSC.

Сделаем вывод

Когда вы думаете о безопасности WordPress, всегда думайте о нескольких уровнях безопасности.

Не существует единой надежной меры безопасности, которая могла бы защитить вас от всех хакерских атак, вредоносных программ, эксплойтов и т. д.

Хотя качественные плагины безопасности WordPress предоставляют обширные уровни безопасности, защита вашего сайта также зависит от вашего сервера/хостинга, а также некоторых технических конфигураций.

Если вам слишком сложно справиться со всей этой проблемой безопасности или ваш сайт уже взломан, не стесняйтесь обращаться к команде веб-разработчиков или ко мне — я тоже могу помочь вам. Лучше перестраховаться, чем сожалеть.

Найдите кого-нибудь, кто сможет укрепить WordPress и застраховать ваш сайт с помощью резервных копий, брандмауэров и других мер безопасности для вашего спокойствия.

И не забудьте оставить комментарий, если вы думаете, что я пропустил какие-либо важные советы по безопасности, или если у вас есть конкретная проблема с безопасностью.

А сейчас я буду заканчивать эту статью., надеюсь она будет вам полезна. До скорых встреч и берегите себя!

Статья была обновлена: 04 ноября 2020 года
Оцените статью:
Не понравилосьПонравилось (+3 баллов, 3 оценок)
Загрузка...
vikz
Занимаюсь созданием сайтов на WordPress более 7 лет. Работал в нескольких веб-студиях, да и сейчас работаю. Иногда подрабатываю на фрилансе, как на нашем так и на зарубежном. Везде зарекомендовал себя очень хорошо. Если нужен сайт на WordPress, шаблон для сайта или лендинг - не стесняйтесь - пишите. Рад буду помочь!
Оставьте свой комментарий
Мы рады, что вы решили оставить комментарий. Пожалуйста, имейте в виду, что все комментарии модерируются в соответствии с нашей политикой конфиденциальности, и все ссылки являются "nofollow". Не используйте ключевые слова в поле "Имя". Давайте проведем личный и содержательный разговор, без спама и оскорблений.

Пока нет комментариев. Будь первым!