Как защитить WordPress: 21 способ защитить свой сайт

Доброго здравия, друзья!

Сегодня пост про безопасность — ну куда уж без нее.

Советую прочитать все не спеша и вдумчиво, применить на практике и я надеюсь с вашим сайтом ничего страшного не произойдет.

Давайте начнем!

Как защитить WordPress

WordPress — самая популярная система управления контентом (CMS), используемая для всех типов сайтов, от личных блогов до магазинов электронной коммерции.

К сожалению, его популярность также привлекает киберпреступников к использованию уязвимостей платформы.

Sucuri подтвердил это утверждение исследованием.

94% из более чем 60000 веб-сайтов WordPress, изученных в 2020 году, испытали нарушения безопасности.

Прежде чем спешить с поиском другой CMS, обратите внимание, что это не означает, что у WordPress ужасная система безопасности.

В основном нарушения безопасности WordPress происходят из-за недостаточной осведомленности пользователей о безопасности.

Вот почему понимание и применение множества мер безопасности важно для защиты вашего сайта от различных атак.

Чтобы помочь вам в этом процессе, в этой статье будут перечислены лучшие практики и советы по обеспечению безопасности вашего сайта WordPress.

Зачем нужно защищать WordPress?

Последствия взлома далеки от приятных.

Взломанный веб-сайт может понести значительные потери данных, активов и доверия.

Кроме того, если ваш веб-сайт управляет информацией о клиентах, инцидент может поставить под угрозу их личные данные и платежную информацию.

По прогнозам, к 2025 году ущерб от киберпреступности может составить до 10,5 триллионов долларов в год.

Конечно, вы не хотите быть частью этой статистики.

Основываясь на базе данных уязвимостей WPScan, вот некоторые из наиболее распространенных типов уязвимостей безопасности WordPress:

  • Подделка межсайтовых запросов (CSRF) — заставляет пользователя выполнять нежелательные действия в доверенном веб-приложении;
  • Распределенный отказ в обслуживании (DDoS нападение) — парализуют онлайн услуги, заливая их нежелательными соединениями, что делает сайт недоступным;
  • Обход аутентификации — позволяет хакерам получить доступ к ресурсам вашего сайта без проверки их подлинности;
  • SQL-инъекция (SQLi) — заставляет систему выполнять вредоносные SQL-запросы и манипулировать данными в базе данных;
  • Межсайтовый скриптинг (XSS) — внедряет вредоносный код, превращающий сайт в переносчик вредоносных программ;
  • Включение локальных файлов (LFI) — заставляет сайт обрабатывать вредоносные файлы, размещенные на сервере.

Как повысить безопасность в WordPress?

Улучшение безопасности WordPress не всегда требует передовых технических знаний и рискованных вложений.

Простые шаги, которые может сделать каждый, например, обновление программного обеспечения WordPress и удаление неиспользуемых тем, помогают повысить безопасность сайта.

Тем не менее, реализации одной или двух мер безопасности WordPress будет недостаточно, чтобы сделать ваш сайт WordPress полностью безопасным.

Итак, давайте подробнее рассмотрим 21 совет, который поможет повысить безопасность вашего сайта WordPress.

1. Постоянное обновление сайта

WordPress выпускает регулярные обновления программного обеспечения для повышения производительности и безопасности.

Эти обновления защищают ваш сайт от новых сетевых угроз.

Таким образом, обновление версии WordPress — простой, но важный способ улучшить безопасность WordPress.

Окно, отображающее информацию об обновлениях и версии WordPress.

Однако более 50% сайтов WordPress работают на более старых версиях WordPress.

Если ваш сайт WordPress использует более старую версию, например 4.x, он подвержен более высокому риску нарушения безопасности.

Чтобы проверить, установлена ли у вас последняя версия WordPress, перейдите в меню «Обновления» на панели инструментов WordPress.

Если вы обнаружите, что на вашем сайте используется более старая версия, я рекомендую как можно скорее обновить версию WordPress.

WordPress имеет полный список всех выпущенных и будущих версий WordPress.

Следите за датами выпуска будущих обновлений, чтобы убедиться, что на сайте не будет работать устаревшая версия WordPress.

Далее я бы советовал обновить темы и плагины, установленные на вашем сайте WordPress.

Устаревшие темы и плагины могут конфликтовать с недавно обновленным основным программным обеспечением WordPress и вызывать нежелательные ошибки.

Более того, устаревшие темы и плагины также подвержены угрозам безопасности.

Перейдите в меню «Обновления» на панели администратора WordPress и найдите список тем и плагинов, готовых к обновлению.

Вы можете обновлять темы и плагины сразу все или по отдельности.

Раздел тем обновления WordPress

Включение автоматических обновлений снижает вашу рабочую нагрузку, но в то же время вы теряете полный контроль над своим сайтом.

Автоматическое обновление основной версии WordPress может привести к сбою вашего сайта из-за несовместимости со старыми плагинами или темами.

Если вы решите включить эту опцию, всегда проверяйте, что ваш сайт периодически копируется, чтобы вы могли вернуться к предыдущим версиям в случае сбоев или ошибок.

2. Использование безопасных учетных данных администратора

Одна из самых распространенных ошибок, которую все еще делают пользователи — это использование таких имен пользователей, как «admin», «administrator» и «test».

Это небольшая, но критическая ошибка, поскольку она подвергает ваш сайт более высокому риску атак методом перебора паролей.

Если вы используете имя, которое легко угадать, я рекомендую изменить имя пользователя на уникальное и безопасное.

Создание новой учетной записи администратора с новым именем пользователя также является отличным способом обеспечить безопасность вашего сайта.

Вот как создать новую учетную запись администратора WordPress:

Атаки методом перебора также нацелены на сайты WordPress со слабыми паролями.

Поэтому крайне важно использовать уникальный и надежный пароль.

  • На панели управления WordPress перейдите в раздел «Пользователи — Добавить нового»;
  • Создайте нового пользователя и назначьте ему роль администратора. Добавьте пароль и нажмите кнопку «Добавить нового пользователя», когда закончите.

Добавить новый пользовательский раздел в панель управления WordPress

  • Войдите в систему, используя только что созданные учетные данные пользователя WordPress;
  • Вернитесь в раздел «Пользователи», затем перейдите к меню «Все пользователи». Выберите старую учетную запись администратора, которую вы хотите удалить. Измените раскрывающееся меню «Массовые действия» на «Удалить» и нажмите «Применить».

Окно, показывающее, как применить действие массового удаления при удалении учетных записей администратора в панели управления WordPress.

Попробуйте включить в пароль цифры, прописные и строчные буквы и специальные символы.

Я также рекомендую использовать более 12 символов, так как более длинные пароли сложнее взломать.

Важно помнить, что, хотя сложность пароля важна, в случае взлома длина пароля всегда перевешивает сложность.

Пароль не обязательно должен быть длинным и сложным, используйте специальные символы и цифры вместо общеизвестных букв.

Например, «41@bAm@! = Алабама!», легко вспомнить, сложнее взломать.

Другая идея — использовать узор на клавиатуре вместо реальных слов.

«qpzmwoxn» — один из самых известных.

Кроме того, смешивание этих двух дает вам еще более сложный пароль для взлома.

Если вам нужна помощь в создании надежного пароля, для этого доступны онлайн-инструменты, такие как «LastPass» и «1Password».

Кроме того, их службы управления паролями помогают безопасно хранить надежные пароли, поэтому вам не нужно их запоминать.

Инструмент генератора паролей

Кроме того, перед входом в систему узнайте, какую сеть вы используете.

Если вы неосознанно подключились к «Hotspot Honeypot» — сети, управляемой хакерами — вы рискуете передать оператору учетные данные для входа в систему.

Даже общедоступные сети, такие как Wi-Fi в кафе или школьной библиотеке, могут быть не такими безопасными, как кажутся.

Хакеры могут перехватить ваше соединение и украсть незашифрованные данные, включая учетные данные для входа.

По этой причине я рекомендую использовать VPN при подключении к общедоступной сети.

Он обеспечивает уровень шифрования соединения, затрудняя перехват данных и защищая ваши действия в интернете.

3. Включение двухфакторной аутентификации

Активируйте двухфакторную аутентификацию, чтобы усилить процесс входа на свой сайт WordPress.

Этот метод аутентификации добавляет второй уровень безопасности WordPress на страницу входа, так как требует ввода уникального кода для завершения процесса входа в систему.

Код доступен только вам через текстовое сообщение или стороннее приложение для аутентификации.

Чтобы включить двухфакторную аутентификацию, установите плагин безопасности входа в систему, например «Wordfence Login Security».

Кроме того, вам необходимо установить стороннее приложение для аутентификации, такое как «Google Authenticator», на свой мобильный телефон.

Если вы не уверены, какой плагин двухфакторной аутентификации использовать, я рекомендую выбрать тот, у которого больше всего отзывов и который чаще всего / недавно обновлялся.

После установки плагина и приложения для аутентификации перейдите на страницу плагина в админке WordPress.

Если вы используете безопасность входа в Wordfence, перейдите в раздел «Безопасность входа», расположенный на левой боковой панели, и откройте вкладку «Двухфакторная аутентификация».

Используйте приложение на своем мобильном телефоне, чтобы отсканировать QR-код или ввести ключ активации.

Затем вам нужно будет ввести код, сгенерированный в приложении вашего мобильного телефона, чтобы завершить настройку.

Раздел двухфакторной аутентификации в WordPress

4. Включите функцию блокировки

Включение блокировки URL-адресов защищает вашу страницу входа от доступа неавторизованных IP-адресов и атак методом перебора паролей.

Для этого вам понадобится сервис межсетевого экрана веб-приложений (WAF), такой как «Cloudflare» или «Sucuri».

Используя «Cloudflare», можно настроить правило блокировки зоны.

Он определяет URL-адреса, которые вы хотите заблокировать, и диапазон IP-адресов, которым разрешен доступ к этим URL-адресам.

Никто за пределами указанного диапазона IP-адресов не сможет получить к ним доступ.

У «Sucuri» есть аналогичная функция, называемая черным списком путей URL.

По сути, вы добавляете URL-адрес страницы входа в черный список, чтобы никто не мог получить к нему доступ.

Затем вы заносите в белый список авторизованные IP-адреса для доступа к странице входа.

Обратите внимание, что черный список никогда не может быть исчерпывающим, поскольку постоянно появляются новые угрозы.

И хотя черный список эффективен против известных угроз, он бесполезен против новых, неизвестных угроз.

Хакеры могут создавать вредоносные программы специально для того, чтобы избежать обнаружения инструментами, использующими систему черных списков.

В то время как белые списки обеспечивают более надежную защиту, их также может быть сложнее реализовать.

Кроме того, сложно делегировать создание белого списка третьей стороне, потому что им потребуется информация обо всех используемых вами приложениях.

Поскольку для этого требуется информация, специфичная для каждой организации, он требует большего участия пользователей.

5. Отключение отчетов об ошибках PHP

Функция отчетов об ошибках PHP отлично подходит для мониторинга скриптов PHP на сайте.

Однако демонстрация уязвимостей вашего веб-сайта посетителям является серьезным недостатком безопасности.

Когда отчет об ошибках PHP включен, он будет отображать полную информацию о путях и файловой структуре вашего веб-сайта.

Он также отобразит имя плагина, в котором появилось сообщение об ошибке.

Чем больше информации отображается о серверной части вашего веб-сайта, тем больше уязвимостей он оставляет открытыми.

Например, если он отображает определенный плагин, люди с плохими намерениями могут использовать уязвимости этого плагина.

Есть два способа отключить отчеты об ошибках PHP — через файл PHP или через панель управления вашей учетной записи хостинга.

Изменение файла PHP

Первый метод требует добавления следующего фрагмента кода в файл сайта «wp-config.php»:

error_reporting(0);
@ini_set(‘display_errors’, 0);

Чтобы открыть файл и внести изменения, используйте FTP-клиент, например FileZilla, или файловый менеджер вашего хостинг-провайдера.

Кроме того, не забудьте добавить фрагмент перед любой другой директивой PHP.

Изменение настроек PHP с помощью панели управления

Используйте панель управления хостинг-провайдера, если не хотите заниматься кодированием.

Вот как отключить отчеты об ошибках PHP из hPanel:

  • В вашей приборной панели hPanel, перейдите в «Расширенный раздел». Затем щелкните «Конфигурация PHP»;
  • На вкладке «Параметры PHP» снимите флажок с опции «display_errors» и нажмите «Сохранить».

Конфигурация PHP в hPanel.

6. Использование надежных тем WordPress

Обнуленные темы WordPress — это неавторизованные версии исходных премиальных тем.

В большинстве случаев эти темы продаются по более низкой цене, чтобы привлечь пользователей.

Однако у них обычно есть масса недостатков безопасности.

Часто поставщики обнуленных тем обычно являются хакерами, которые взломали исходную премиальную тему и вставили вредоносный код, включая вредоносные программы и спам-ссылки.

Более того, эти темы могут быть бэкдорами для других эксплойтов, которые могут поставить под угрозу ваш сайт WordPress.

Поскольку nulled-темы распространяются нелегально, их пользователи не получают поддержки от разработчиков.

Это означает, что если они вызывают какие-либо проблемы с сайтом, вам придется выяснить, как их исправить и защитить свой сайт WordPress самостоятельно.

Чтобы этого избежать, я рекомендую выбирать тему WordPress из официального репозитория или проверенных разработчиков.

Если вы хотите купить премиальную тему, ищите варианты на официальных торговых площадках, таких как «ThemeForest».

Каталог тем WordPress

Хорошей практикой является сканирование темы вашего веб-сайта и безопасности плагина.

Проверьте уязвимости баз данных WordPress с помощью таких инструментов, как «Patchstack».

7. Проверка на наличие вредоносного ПО

Будьте осторожны с плагинами или темами, которые вы устанавливаете на свой сайт — не гарантирует, что они не будут содержать вредоносных программ.

Вирусы, шпионское ПО и программы-вымогатели — одни из самых распространенных типов вредоносных программ, с которыми вы можете столкнуться, и они могут быть невероятно опасными.

Вот почему так важно регулярно сканировать ваш сайт.

К счастью, существует множество отличных плагинов, которые помогают сканировать вредоносные программы и повышать безопасность веб-сайтов.

Вот несколько рекомендаций по установке плагинов безопасности WordPress на ваш сайт:

Домашняя страница плагина Wordfence

  • Wordfence — популярный плагин безопасности WordPress с обновлениями сигнатур вредоносных программ в режиме реального времени и уведомлениями о предупреждениях, которые информируют о том, что другой сайт внес ваш в черный список за подозрительную активность;
  • BulletProof Security — помогает защитить ваш веб-сайт WordPress с помощью функции выхода из сеанса ожидания, которая не позволяет другим людям захватить автоматическое устройство, скрытых папок плагинов, которые не видны в разделе плагинов WordPress, а также инструментов резервного копирования и восстановления базы данных;
  • Sucuri Security — один из лучших плагинов безопасности WordPress на рынке, предлагающий различные сертификаты SSL, удаленное сканирование на вредоносные программы и функции безопасности после взлома.

Если ваш веб-сайт WordPress заражен вредоносным ПО, сначала определите серьезность заражения, а затем выполните следующие ключевые моменты:

  1. Убедитесь, что ваша область «wp-admin» всегда доступна, выполните сканирование и избавьтесь от вредоносного ПО;
  2. Затем убедитесь, что ваши плагины, темы и ядро WordPress обновлены;
  3. Потом проверьте свою базу данных уязвимостей, чтобы увидеть, не указаны ли в ней ваши плагины или темы как опасные;
  4. Наконец, примите другие меры безопасности, такие как использование настраиваемого префикса для вашей базы данных.

8. Переход на более безопасный веб-хостинг

Ваш веб-хостинг играет важную роль в обеспечении безопасности вашего сайта.

41% веб-сайтов WordPress были взломаны из-за лазеек в безопасности их учетных записей хостинга.

Другими словами, безопасность вашего сайта не будет иметь большого значения, если сервер хоста подвержен кибератакам.

Если вы считаете, что ваша текущая хостинговая компания недостаточно защищена, пришло время перенести ваш сайт WordPress на новую хостинговую платформу.

Вот что вам нужно учитывать при поиске безопасного веб-хостинга:

  • Тип веб-хостинга — общий хостинг и хостинг WordPress, как правило, более уязвимы для кибератак, чем другие типы хостинга, из-за совместного использования ресурсов. Переходите на VPS или выделенный хостинг, чтобы изолировать свои ресурсы;
  • Безопасность — хороший хостинг-провайдер контролирует свою сеть на предмет подозрительной активности и периодически обновляет свое серверное программное обеспечение и оборудование. Им также необходима безопасность серверов и защита от всех типов кибератак;
  • Особенности — независимо от типа хостинга автоматическое резервное копирование и инструменты безопасности для предотвращения вредоносных программ являются обязательной функцией для защиты вашего сайта WordPress. В худшем случае используйте его для восстановления взломанного веб-сайта;
  • Поддержка — очень важно выбрать хостинговую компанию, у которой есть команда поддержки 24/7 с отличными техническими знаниями. Они помогут вам защитить ваши данные и решить любые технические проблемы и проблемы безопасности, которые могут возникнуть.

9. Установите сертификат SSL

Secure Sockets Layer (SSL) — это протокол передачи данных, который шифрует данные, которыми обмениваются веб-сайт и пользователи, что значительно усложняет злоумышленникам кражу важной информации.

Кроме того, SSL-сертификаты также способствуют поисковой оптимизации (СЕО) веб-сайта, помогая ему привлекать посетителей и увеличивать посещаемость веб-сайта.

Веб-сайты с установленным сертификатом SSL будут использовать HTTPS вместо HTTP, поэтому их легко идентифицировать.

Браузер, выделяющий URL-адрес Google

TimeWeb включает бесплатный SSL-сертификат Let’s Encrypt во все планы хостинга.

Кроме того, TimeWeb также предлагает возможность перейти на сертификат Sectigo Positive SSL.

После того, как у вас есть сертификат SSL, установленный в вашей учетной записи хостинга, вам необходимо активировать его на своем веб-сайте WordPress.

Плагины, такие как «Really Simple SSL» или «SSL Insecure Content Fixer», обрабатывают технические аспекты и активацию SSL за несколько кликов.

Премиум версия «Really Simple SSL» также имеет возможность включить HTTP Strict заголовков Transport Security, которые обеспечивают выполнение HTTPS использования при доступе к сайту.

Как только это будет сделано, последним шагом будет изменение URL-адреса вашего сайта с HTTP на HTTPS.

Для этого перейдите в «Настройки — Общие» и найдите поле «Адрес сайта (URL)», чтобы изменить его URL.

Меню общих настроек панели управления WordPress с выделенной опцией адреса сайта (URL)

10. Как можно чаще выполняйте резервное копирование

Регулярное создание резервных копий WordPress не менее важно, чем обеспечение вашего сайта различными мерами безопасности WordPress.

Это предотвращает потерю всей вашей работы и важной информации в случае нарушения безопасности и упрощает восстановление вашего веб-сайта в случае необходимости.

Несколько способов создания резервных копий: загрузка файлов и базы данных веб-сайта, использование инструментов резервного копирования хостинг-провайдера или установка плагина резервного копирования WordPress.

Чтобы создать резервную копию через hPanel, зайдите в «Файлы — Резервные копии».

В разделе «Создать новую резервную копию» нажмите «Выбрать».

Создать новую опцию резервного копирования в разделе резервного копирования в hPanel

Когда у вас есть копия файлов вашего веб-сайта WordPress, загрузите файлы, нажав «Выбрать» в разделе «Резервное копирование файлов» и выберите файлы, которые вы хотите загрузить.

Опция резервного копирования файлов в разделе резервного копирования в hPanel

Если у вас есть плагин резервного копирования WordPress, легко создавайте и загружайте файлы резервных копий из панели администратора WordPress.

У каждого плагина свой интерфейс, но, как правило, эта функция доступна из панели управления плагином.

Вот мои рекомендации для плагинов резервного копирования WordPress:

  • VaultPress — плагин на базе Jetpack, оснащенный инструментами резервного копирования и восстановления, службами миграции сайтов и автоматическим восстановлением файлов для восстановления файлов, зараженных вредоносным ПО;
  • UpdraftPlus — удобный для новичков и многоязычный плагин резервного копирования WordPress для резервного копирования выбранных файлов или всего веб-сайта. Он также предоставляет возможность отправлять файлы резервных копий на ваш адрес электронной почты;
  • Backup Guard — многофункциональный плагин безопасности WordPress, который предлагает неограниченное резервное копирование, интеграцию облачного хранилища с Dropbox и Google Drive, журналы резервного копирования и уведомления по электронной почте.

Я бы не рекомендовал хранить резервные копии веб-сайтов на персональном компьютере, вместо этого используйте приложения для хранения, такие как Google Диск.

Но если вы решите это сделать, лучше всего будет хранить его как минимум в трех местах, например на вашем компьютере, на USB-накопителе и во внешнем хранилище, таком как Dropbox.

11. Отключение редактирования файлов

WordPress имеет встроенный редактор файлов, который упрощает редактирование PHP-файлов WordPress.

Несмотря на это, эта функция может стать проблемой, если хакеры получат над ней контроль.

По этой причине некоторые пользователи WordPress предпочитают полностью отключать эту функцию.

Добавьте следующую строку кода в файл «wp-config.php», чтобы отключить его:

define( 'DISALLOW_FILE_EDIT', true );

Если вы хотите снова включить эту функцию на своем сайте WordPress, просто удалите предыдущий код из файла «wp-config.php» с помощью FTP-клиента или диспетчера файлов вашего хостинг-провайдера.

12. Удаление неиспользуемых плагинов и тем

Хранение неиспользуемых плагинов и тем на сайте может быть потенциально опасным, особенно если плагины и темы не были обновлены.

Устаревшие плагины и темы могут увеличить риск кибератак, поскольку хакеры могут использовать их для получения доступа к вашему сайту.

Чтобы удалить неиспользуемую тему, откройте панель администратора WordPress и перейдите во «Внешний вид — Темы».

Нажмите на тему, которую хотите удалить, появится всплывающее окно с подробными сведениями о теме.

Кликните кнопку «Удалить» в правом нижнем углу.

Скриншот, показывающий, как удалить тему WordPress

Чтобы удалить неиспользуемый плагин, перейдите в «Плагины — Установленные плагины».

Вы должны увидеть список всех установленных плагинов.

Нажмите кнопку «Удалить» под названием плагина.

Обратите внимание, что кнопка удаления будет доступна только после деактивации плагина.

Снимок экрана, показывающий, как удалить установленные плагины

При удалении популярного плагина или темы с панели управления WordPress у вас может не быть возможности использовать собственный деинсталлятор (где вы можете полностью удалить все данные, относящиеся к этому плагину / теме).

В этом случае, чтобы полностью удалить неиспользуемый плагин / тему, вам нужно будет сделать это вручную через FTP, получить доступ к своей базе данных и вручную удалить записи плагина или темы.

13. Использование .htaccess для повышения безопасности

Файл .htaccess гарантирует, что WordPress ссылка работает должным образом.

Если в этом файле не указаны правильные правила, на вашем сайте будет много ошибок «404 Not Found».

Кроме того, этот файл также может помочь вам еще больше защитить ваш сайт WordPress.

Например, .htaccess позволяет заблокировать доступ с определенных IP-адресов или отключить выполнение PHP для определенных папок.

В приведенных ниже примерах показано, как использовать .htaccess для усиления безопасности WordPress.

Перед внесением каких-либо изменений я настоятельно рекомендую вам сделать резервную копию старого файла .htaccess.

Если что-то пойдет не так, вы легко сможете восстановить свой сайт.

Ограничение доступа к области администратора WordPress

Следующий код предоставляет доступ к области администратора только определенным IP-адресам:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
allow from 00.00.00.000
</LIMIT>

Обязательно измените «00.00.00.000» на желаемый IP-адрес.

Если вы не знаете, какой у вас IP-адрес, «WhatIsMyIP» может помочь определить его.

Если вы используете более одного подключения для управления сайтом WordPress, включите все IP-адреса, повторяя код столько раз, сколько необходимо.

Отключение выполнения PHP в определенных папках

Хакеры часто загружают бэкдор-скрипты в папку «uploads».

По умолчанию в этой папке хранятся только загруженные медиафайлы, поэтому в ней не должно быть никаких файлов PHP.

Чтобы обеспечить безопасность сайта WordPress, отключите выполнение PHP в папке, создав новый файл .htaccess в «/wp-content/uploads/» со следующими правилами:

<Files *.php>
deny from all
</Files>

Защита файла wp-config.php

Файл «wp-config.php» в корневом каталоге содержит основные настройки WordPress и сведения о базе данных MySQL, что делает его самым важным файлом на вашем сайте, поэтому файл также является основной целью хакера.

Защитите этот файл и обеспечьте безопасность WordPress, реализуя следующие правила .htaccess:

<files wp-config.php>
order allow,deny
deny from all
</files>

14. Изменение префикса базы данных WordPress по умолчанию

База данных содержит и хранит всю важную информацию, необходимую для работы вашего сайта.

По этой причине хакеры часто атакуют базу данных с помощью SQL-инъекций.

Этот метод внедряет вредоносный код в базу данных и может обойти меры безопасности WordPress и получить содержимое базы данных.

SQL-инъекции составляют 80% кибератак, совершаемых на веб-сайты WordPress, что делает их одной из самых больших угроз.

Что заставляет хакеров выполнить эту атаку, так это то, что многие пользователи забывают изменить префикс базы данных по умолчанию «wp_».

Давайте рассмотрим два метода, которые можно реализовать для защиты вашей базы данных от атак с использованием SQL-инъекций.

Изменение префикса таблицы

Прежде чем продолжить, обязательно сделайте резервную копию своей базы данных MySQL.

С вашей приборной панели hPanel, перейдите к файловому менеджеру и откройте файл «wр-config.php».

Или используйте FTP-клиент для доступа к файлу.

Файл wp-config.php в папке public_html, как показано в hPanel

Найдите в коде значение $table_prefix, затем замените префикс базы данных по умолчанию «wp_» новым, как показано в примере.

Используйте комбинацию букв и цифр, чтобы создать уникальный префикс для веб-сайта.

/**
 * Префикс таблиц в базе данных WordPress.
 *
 * Можно установить несколько сайтов в одну базу данных, если использовать
 * разные префиксы. Пожалуйста, указывайте только цифры, буквы и знак подчеркивания.
 */
$table_prefix = 'wp_1secure1_';

Вернувшись к панели инструментов hPanel, перейдите в phpMyAdmin в разделе «Базы данных».

Затем откройте базу данных сайта, нажав «Enter phpMyAdmin».

Нажмите кнопку phpMyAdmin на hPanel.

Если у вас несколько баз данных, найдите имя базы данных в файле «wp-config.php».

Найдите следующий блок кода:

// ** Параметры MySQL: Эту информацию можно получить у вашего хостинг-провайдера ** //
/** Имя базы данных для WordPress */
define( 'DB_NAME', 'База данных MySQL' );
/** Имя пользователя MySQL */
define( 'DB_USER', 'Имя пользователя MySQL' );
/** Пароль к базе данных MySQL */
define( 'DB_PASSWORD', 'Пароль к базе данных MySQL' );

На панели управления phpMyAdmin перейдите на вкладку «SQL» в верхней строке меню.

Панель управления phpMyAdmin с выделением опции SQL в строке меню

Введите следующий запрос в редакторе запросов SQL, чтобы изменить префикс базы данных:

RENAME table `wp_tablename` TO `wp_1secure1_tablename`;

Не забудьте изменить «wp_tablename» на ваше текущее имя таблицы и «wp_1secure1_tablename» на новый префикс и имя таблицы.

Повторите эту строку кода в зависимости от количества таблиц, которые вы хотите переименовать, затем выберите «Вперед».

Снимок экрана, показывающий, как редактировать wp_tablename в редакторе SQL-запросов.

Изменение префикса вручную

В зависимости от количества плагинов, установленных на вашем сайте, вам может потребоваться обновить некоторые значения в базе данных вручную.

Для этого выполните отдельные SQL-запросы к таблицам, которые, вероятно, будут иметь значения с префиксом «wp_prefix» — они включают таблицы «Options» и «Usermeta».

Вместо того, чтобы просматривать все таблицы одну за другой, используйте приведенный ниже код для фильтрации всех значений, содержащих следующий префикс:

«wp_1secure1_tablename» содержит имя таблицы, в которой вы хотите выполнить запрос.

Между тем «field_name» представляет собой имя поля / столбца, в котором вероятнее всего появляются значения с префиксом «wp_prefix».

Вот как вручную изменить значение префикса:

На панели управления phpMyAdmin перейдите на вкладку «SQL» в верхней строке меню.

Введите предыдущий код в редакторе SQL-запросов, чтобы отфильтровать значения, содержащие «wp_», затем нажмите «Вперед».

Обязательно измените информацию в соответствии с вашими фактическими именами таблиц и полей.

Снимок экрана, показывающий, как ввести код wp_ values в редакторе SQL-запросов.

Когда вы получите результаты, обновите все значения из «wp_» до вашего недавно настроенного префикса, нажав кнопку «Изменить» рядом с целевым полем.

Измените значение префикса, затем нажмите «Вперед».

Сделайте это для всех отфильтрованных значений.

Снимок экрана, показывающий, как обновить значения wp_

Повторите эти шаги для остальных таблиц в базе данных.

Обеспечение безопасности новой установки WordPress

Если вы еще не установили WordPress, но хотите, чтобы его база данных была в безопасности, вам не нужно выполнять описанные выше шаги.

WordPress автоматически требует, чтобы вы решили, какой префикс таблицы использовать в процессе настройки базы данных.

15. Ограничение попыток входа в систему

WordPress позволяет своим пользователям делать неограниченное количество попыток входа на сайт.

Тем не менее, это прекрасная возможность для хакеров использовать различные комбинации паролей, пока они не найдут правильный.

Вот почему установка ограничения на неудачные попытки входа в систему важна для предотвращения таких атак на веб-сайт.

Ограничение неудачных попыток также может помочь отслеживать любые подозрительные действия, происходящие на вашем сайте.

Большинству пользователей требуется только одна попытка или несколько неудачных попыток, поэтому вы должны с подозрением относиться к любым сомнительным IP-адресам, которые достигают предела попыток.

Один из способов ограничить попытки входа в систему с целью повышения безопасности WordPress — использовать плагин.

Доступно множество отличных вариантов, в том числе:

  • Limit Login Attempts Reloaded — настройте количество неудачных попыток для определенных IP-адресов, добавьте пользователей в белый список или полностью заблокируйте их и проинформируйте пользователей веб-сайта об оставшемся времени блокировки;
  • Loginizer — предлагает функции безопасности входа в систему, такие как двухфакторная аутентификация, reCAPTCHA и вопросы входа в систему;
  • Limit Attempts by BestWebSoft — автоматическая блокировка IP-адресов, превышающих лимит попыток входа в систему, и добавление их в список запрещенных.

Одним из рисков внедрения этой меры безопасности является блокировка законного пользователя или администратора WordPress.

Однако не стоит об этом беспокоиться, так как существует множество способов восстановить заблокированные учетные записи WordPress.

Кроме того, чтобы сделать еще один шаг для защиты вашего веб-сайта от атак методом перебора, рассмотрите возможность изменения URL-адреса страницы входа.

Все веб-сайты WordPress имеют один и тот же URL-адрес входа по умолчанию — «yourdomain.com/wp-admin».

Использование URL-адреса для входа по умолчанию позволяет хакерам легко настроить таргетинг на вашу страницу входа.

Плагины, такие как «Change wp-admin Login», позволяют настраивать параметры URL-адреса для входа.

При использовании плагина «WPS Hide Login», перейдите в «Настройки — WPS Hide Login» на панели управления WordPress и заполните поле «URL-адрес» для входа своим пользовательским URL-адресом для входа.

Заполнение поля URL-адреса входа в плагин WPS Hide Login

16. Отключение XML-RPC

XML-RPC — это функция WordPress, которая позволяет пользователям получать доступ к контенту и публиковать его через мобильные устройства, включать обратные ссылки и пингбеки, а также использовать плагин Jetpack на своем веб-сайте WordPress.

Однако у XML-RPC есть некоторые недостатки, которыми могут воспользоваться хакеры.

Эта функция позволяет им делать несколько попыток входа в систему, не будучи обнаруженными программным обеспечением безопасности, что делает ваш сайт уязвимым для атак методом перебора.

Хакеры также могут воспользоваться функцией «pingback» XML-RPC для выполнения DDoS-атак.

Она позволяет злоумышленникам отправлять пингбеки сразу на тысячи веб-сайтов, что может привести к сбою целевых сайтов.

Чтобы определить, включен ли XML-RPC, запустите свой сайт через службу проверки XML-RPC и посмотрите, получаете ли вы сообщение об ошибке или сообщение об успешном завершении.

Если вы получили сообщение об успешном выполнении, функция XML-RPC запущена.

Есть два способа отключить функцию XML-RPC — с помощью плагина или вручную.

Отключение XML-RPC с помощью подключаемого модуля

Использование плагина — это более быстрый и простой способ заблокировать функцию XML-RPC на вашем веб-сайте.

Я рекомендую плагин «Disable XML-RPC Pingback» для выполнения этой работы.

Он автоматически отключит некоторые функции XML-RPC, что предотвратит выполнение хакерами атак с использованием этой уязвимости безопасности.

Отключение XML-RPC вручную

Другой способ остановить все входящие запросы XML-RPC — сделать это вручную.

Найдите файл .htaccess в корневом каталоге и вставьте следующий фрагмент кода в файл .htaccess:

# Block WordPress xmlrpc.php requests
<Files xmlrpc.php>
order deny,allow
 deny from all
 allow from 000.00.000.000
</Files>

Если вы хотите разрешить XML-RPC доступ к определенному IP-адресу, замените «000.00.000.000» IP-адресом или полностью удалите эту строку кода.

17. Автоматический выход из системы бездействующих пользователей

Многие пользователи забывают выйти из веб-сайта и оставляют свой сеанс запущенным, позволяя кому-то другому, кто использует то же устройство, получить доступ к своим учетным записям и потенциально использовать конфиденциальные данные.

Это особенно актуально для общедоступных компьютеров, доступных в интернет-кафе или публичных библиотеках.

Поэтому очень важно настроить ваш сайт WordPress для автоматического выхода из системы неактивных пользователей.

Большинство сайтов финансовых учреждений используют этот метод для предотвращения взлома их сайтов хакерами, обеспечивая безопасность данных своих клиентов.

Использование плагина безопасности WordPress — один из самых простых способов автоматически вывести бездействующего пользователя из системы.

«Inactive Logout» — один из них.

Этот плагин может не только отключать автоматических бездействующих пользователей, но и отправлять настраиваемое сообщение, чтобы предупредить бездействующего пользователя о том, что его сеанс на веб-сайте скоро будет завершен.

18. Скрытие версии WordPress

Хакерам намного проще взломать ваш сайт, если они знают, какую версию WordPress вы используете.

Они могут использовать уязвимости этой версии для атаки на ваш сайт, особенно если это более старая версия WordPress.

К счастью, можно скрыть информацию вашего сайта с помощью редактора тем WordPress.

На панели управления WordPress перейдите во «Внешний вид — Редактор тем».

Выберите свою текущую тему и выберите файл «functions.php».

Скриншот, показывающий, как редактировать тему в WordPress

Чтобы удалить номер версии из заголовка и RSS-каналов, вставьте следующий код в файл «functions.php»:

function dartcreations_remove_version() {
return '';
}
add_filter('the_generator', 'dartcreations_remove_version');
// Вы также можете добавить эту строку, чтобы удалить мета-тег генератора WordPress:
remove_action('wp_head', 'wp_generator');

Нажмите «Обновить файл», чтобы сохранить изменения.

Имейте в виду, что скрытие версии само по себе не улучшает безопасность WordPress.

Он просто удаляет информацию, которая помогает хакерам легко атаковать ваш сайт.

Поэтому по-прежнему необходимо применять другие меры безопасности.

19. Блокировка хотлинкинга

«Hotlinking» — это термин, используемый, когда кто-то использует URL-адрес вашего изображения для отображения изображения на своем сайте.

Это плохая практика, потому что каждый раз, когда люди посещают веб-сайт с горячими ссылками на ваш контент, он использует вашу пропускную способность.

В результате ваш сайт замедлится, потенциально достигнув предела пропускной способности.

Помимо дополнительных затрат, хотлинкинг также является незаконным, если он связан с лицензионными изображениями, которые вы приобрели.

Чтобы узнать, была ли ссылка на ваш контент добавлена, введите следующий запрос в Google Картинках, заменив «yourwebsite.com» своим доменным именем:

inurl:yourwebsite.com -site:yourwebsite.com

К счастью, есть несколько способов предотвратить хотлинкинг.

Вы можете использовать FTP-клиент, плагин безопасности, CDN или редактировать настройки панели управления.

Использование FTP-клиента

Этот метод — один из самых эффективных способов отключить хотлинкинг.

Все, что вам нужно сделать, это подключиться к своему веб-сайту через FTP-клиент и вставить следующий фрагмент в файл .htaccess:

RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?google.com [NC]
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yahoo.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ - [F]

Этот код заблокирует хотлинкинг со всех сайтов.

Однако вам нужно добавить свои домены, социальные сети и популярные поисковые системы, чтобы они могли сканировать изображения на вашем веб-сайте.

Не забудьте добавить форматы файлов, которые вы хотите заблокировать, в последней строке данного кода.

Использование плагина безопасности WordPress

Если вы предпочитаете вместо этого установить плагин, я рекомендую плагин «All in One WP Security & Firewall».

Плагин All In One WP Security & Firewall

После того, как вы установили и активировали плагин, перейдите в «WP Security — Firewall — Prevent Hotlinks».

Установите флажок «Предотвратить хотлинкинг изображений» и нажмите «Сохранить настройки», чтобы завершить процесс.

Раздел "Запретить горячие ссылки" в плагине All In one WP Security & Firewall

Использование сети доставки контента (CDN)

CDN использует группу удаленных серверов, чтобы обеспечить быструю доставку контента.

Установка серверов CDN на сайтах WordPress может повысить безопасность, снизить пропускную способность и увеличить скорость.

Метод отключения хотлинкинга может быть разным для каждого провайдера CDN.

Cloudflare, например, имеет встроенную настройку панели управления под названием «Hotlink Protection», которую можно легко активировать на вкладке «ScrapeShield».

Доступ к настройкам панели управления

Войдите в свою учетную запись hPanel.

Найдите раздел «Другое» на панели инструментов hPanel и выберите «Hotlink Protection».

Защита от хотлинков в панели управления hPanel

На странице настроек защиты от хотлинков выберите расширения файлов, к которым вы хотите запретить прямой доступ.

После настройки параметров нажмите «Сохранить».

Снимок экрана, показывающий, как настроить защиту от хотлинков в hPanel

Если вы используете cPanel, войдите в свою учетную запись хостинга и перейдите в раздел «Безопасность».

Выберите вариант «Hotlink Protection».

Раздел безопасности в cPanel, в котором отображается меню защиты от хотлинков

Убедитесь, что защита от хотлинков включена, нажав кнопку «Включить» вверху.

Затем настройте защиту от хотлинков, введя URL-адреса, с которых разрешены ссылки на ваш сайт, и расширения файлов, которые вы хотите заблокировать от хотлинков.

По завершении нажмите «Отправить».

Раздел защиты хотлинков в cPanel

20. Управление разрешениями каталогов

Не позволяйте хакерам получить доступ к вашей учетной записи администратора, определив, какие пользователи могут читать, писать или выполнять файлы или папки вашего сайта.

Используйте один из следующих вариантов для управления разрешениями для файлов и папок:

Используя диспетчер файлов веб-хостинга, найдите файл или папку, которые вы хотите изменить, и щелкните по нему правой кнопкой мыши.

Выберите параметр «Изменить разрешения», и появится всплывающее окно.

Введите желаемый номер разрешения на доступ к файлу для соответствующих пользователей и групп.

Снимок экрана, показывающий, как изменить права доступа к файлам в hPanel

Используйте FTP-клиент — перейдите к файлу или папке, затем щелкните по нему правой кнопкой мыши.

Найдите параметр «CHMOD» или «Разрешения для файлов», затем настройте параметры разрешений для файлов.

Снимок экрана, показывающий, как изменить права доступа к файлам через FTP-клиент.

21. Мониторинг активности пользователей

Отслеживание действий в вашей административной области — отличный способ выявить любые нежелательные или вредоносные действия, которые подвергают ваш сайт опасности.

Этот метод рекомендуется, если у вас есть несколько пользователей или авторов, которые обращаются к вашему сайту WordPress.

Это потому, что пользователи могут изменять настройки, которые им не следует, например изменять темы или настраивать плагины.

Наблюдая за их действиями, вы узнаете, кто несет ответственность за эти нежелательные изменения, и возможно ли несанкционированное проникновение на ваш сайт WordPress.

Самый простой способ отслеживать активность пользователей — использовать такой плагин, как:

  • WP Activity Log — отслеживайте изменения в нескольких областях веб-сайта, включая сообщения, страницы, темы и плагины. Этот плагин также регистрирует новые добавленные файлы, удаленные файлы и изменения любого файла.
  • Activity Log — он отслеживает различные действия в панели администратора WordPress и позволяет вам устанавливать правила для уведомлений по электронной почте.
  • Simple History — помимо записи журнала активности в админке WordPress, он поддерживает несколько сторонних плагинов, таких как Jetpack, WP Crontrol и Beaver Builder, записывая все связанные с ними действия.

Как защитить WordPress — FAQ

Нужен ли WordPress брандмауэр?

Настроить брандмауэр необходимо, так как он может помочь защитить ваш сайт WordPress от попыток взлома или других форм кибератак, блокируя нежелательный трафик.

Поскольку WordPress не имеет встроенного брандмауэра, вы можете настроить его, загрузив плагин, например Sucuri.

Легко ли взломать WordPress?

WordPress — одна из самых безопасных CMS, но если вы не будете вкладывать средства в какие-либо защитные меры, ваш сайт будет подвержен взлому.

Обязательно следуйте моим руководствам, чтобы защитить свой сайт WordPress.

Почему мой WordPress небезопасен?

Если ваш браузер показывает, что WordPress небезопасен, это означает, что у вашего сайта нет сертификата SSL или SSL настроен неправильно.

Рассмотрите возможность установки одного из них или перехода на HTTPS, чтобы решить эту проблему.

Необходим ли плагин безопасности для WordPress?

Да, установка плагинов безопасности, таких как Jetpack и Wordfence, может помочь защитить ваш сайт WordPress в долгосрочной перспективе.

Не забывайте устанавливать только необходимые, так как слишком много плагинов может замедлить ваш сайт.

Как мне защитить свой сайт WordPress без плагинов?

Внедрение некоторых основных и лучших практик безопасности WordPress, таких как регулярное обслуживание и активация 2FA, может быть эффективным для вашего сайта.

Кроме того, установка плагинов безопасности WordPress поможет защитить ваш сайт от любых рисков и проблем.

Заключение

Кибератаки могут принимать разные формы — от внедрения вредоносного ПО до распределенных атак типа «отказ в обслуживании» (DDoS).

В частности, веб-сайты WordPress являются частой мишенью для хакеров из-за популярности CMS.

Поэтому важно, чтобы владельцы веб-сайтов знали, как сделать свой сайт WordPress безопасным.

Напомню, вот 21 способ сделать ваш сайт на WordPress более безопасным:

  1. Держите свой сайт в актуальном состоянии;
  2. Используйте безопасные учетные данные администратора;
  3. Включите двухфакторную аутентификацию;
  4. Включите функцию блокировки;
  5. Отключите функцию отчетов об ошибках PHP;
  6. Используйте надежную тему WordPress;
  7. Регулярно проверяйте свой сайт на наличие вредоносных программ;
  8. Переходите на более безопасный веб-хостинг;
  9. Установите сертификат SSL;
  10. Часто создавайте резервные копии;
  11. Отключите функцию редактирования файлов;
  12. Удалите неиспользуемые темы и плагины;
  13. Используйте .htaccess, чтобы отключить выполнение PHP и защитить файл wp-config.php;
  14. Измените префикс базы данных WordPress по умолчанию;
  15. Ограничьте количество неудачных попыток входа в систему;
  16. Отключите функцию XML-RPC;
  17. Автоматический выход из системы бездействующих пользователей;
  18. Скройте версию WordPress, используемую на вашем сайте;
  19. Заблокируйте хотлинкинг с других сайтов;
  20. Управляйте разрешениями каталогов;
  21. Отслеживайте активность пользователей.

Я надеюсь, что эта статья помогла вам понять важность мер безопасности WordPress и способы их реализации.

Не стесняйтесь оставлять комментарии, если у вас есть какие-либо вопросы или советы по безопасности WordPress.

А я на этом буду заканчивать — до скорых встреч и берегите себя!

Удачи!

Оцените статью:
Не понравилосьПонравилось (+1 баллов, 1 оценок)
Загрузка...
vikz
Занимаюсь созданием сайтов на WordPress более 7 лет. Работал в нескольких веб-студиях, да и сейчас работаю. Иногда подрабатываю на фрилансе, как на нашем так и на зарубежном. Везде зарекомендовал себя очень хорошо. Если нужен сайт на WordPress, шаблон для сайта или лендинг - не стесняйтесь - пишите. Рад буду помочь!
Оставьте свой комментарий
Мы рады, что вы решили оставить комментарий. Пожалуйста, имейте в виду, что все комментарии модерируются в соответствии с нашей политикой конфиденциальности, и все ссылки являются "nofollow". Не используйте ключевые слова в поле "Имя". Давайте проведем личный и содержательный разговор, без спама и оскорблений.

Пока нет комментариев. Будь первым!