Как провести аудит безопасности WordPress

Опубликовано: 2021-11-08

Защита вашего сайта WordPress — это не разовая сделка. Независимо от того, насколько вы доверяете своему подключаемому модулю безопасности или насколько тщательно вы относитесь к защите веб-сайта, безопасный веб-сайт сегодня не гарантирует безопасность веб-сайта завтра. Чтобы держать хакеров в страхе, вы должны регулярно проводить проверки безопасности WordPress и заделывать обнаруженные дыры в безопасности.

Тактика взлома веб-сайтов постоянно совершенствуется, а вместе с ними и превентивные меры по обеспечению безопасности вашего сайта. Думайте об этом как о цикле. Чем безопаснее веб-сайт, тем более изобретательными должны быть хакеры, чтобы проникнуть в него, а это значит, что ваш веб-сайт должен стать еще безопаснее и так далее.

Стремитесь проводить аудит безопасности WordPress как минимум каждые три месяца. Лучше каждый месяц, а лучше каждую неделю (или даже каждый день, в зависимости от того, насколько чувствителен ваш сайт). И конечно, если вы чувствуете, что с вашим сайтом что-то не так, то немедленно проводите аудит безопасности. Любое из следующего должно поднять красный флаг:

  • Ваш сайт стал медленным и вялым внезапно.
  • Посещаемость веб-сайта резко упала без видимых причин.
  • Есть новые учетные записи, попытки входа или запросы «забыли пароль».
  • Новые ссылки, которые вы не добавляли, находятся на вашем сайте.

Следующие шаги являются обязательными для поддержания вашего сайта в отличной форме с точки зрения безопасности. Имея под рукой контрольный список, вы сделаете свои аудиты упорядоченными, а не громоздкими.

Обзор аудита безопасности WordPress

В тот или иной момент почти каждый веб-сайт WordPress столкнется с какой-либо проблемой безопасности. Распространенным является плагин или тема, которые страдают от уязвимости, позволяющей хакерам проникнуть прямо на ваш сайт. После взлома вашего сайта может произойти что угодно:

  • Личные данные клиентов украдены
  • Незаконная реклама и отображаемый контент
  • Трафик перенаправлен в другое место
  • Данные WordPress зашифрованы, удалены или проданы

Это гораздо больше, чем головная боль или неработающий сайт на несколько часов. Хакеры могут удерживать ваши данные с целью получения выкупа. Информацию с вашего сайта можно продавать в даркнете. Google может внести ваш сайт в черный список за отображение спама на веб-страницах. Клиенты могут подать на вас в суд, если данные их кредитной карты будут украдены. Другие веб-сайты могут быть заражены, как только хакеры получат доступ к вашему.

Аудиты безопасности WordPress выявляют эти уязвимости, поэтому вы можете исправить их сразу — до того , как хакер проникнет внутрь. нужно больше защиты.

Оцените подключаемый модуль безопасности, который вы используете

Ваш плагин безопасности WordPress — один из самых важных инструментов для защиты вашего сайта. Убедитесь, что ваш подключаемый модуль безопасности все еще работает следующим образом:

  • Журнал активности: отслеживает пользователей вашего сайта, в том числе, кто и когда вошел в систему, неудачные попытки входа и изменения на сайте.
  • Брандмауэр: блокирует ботов, хакеров и IP-адреса, которые пытаются проникнуть на ваш сайт.
  • Попытки входа в систему: качественные плагины безопасности будут применять надежные пароли, требовать двухфакторную аутентификацию и ограничивать попытки входа в систему.
  • Защита входа: это блокирует атаки грубой силы, когда хакеры пробуют разные комбинации имени пользователя и пароля для входа в систему.
  • Сканирование и очистка от вредоносных программ: это должно выполняться ежедневно, глубоко сканируя базу данных, файлы и папки вашего сайта на наличие вредоносных программ и удаляя все, что он находит.
  • Оповещения в режиме реального времени: плагин должен немедленно уведомить вас, если с вашим сайтом происходит что-то подозрительное.

У вас еще нет плагина безопасности? Подумайте о том, чтобы получить его в качестве предварительного шага в аудите безопасности WordPress. Мы собрали 6 лучших плагинов безопасности WordPress на выбор.

Протестируйте решение для резервного копирования вашего веб-сайта

Если на вашем сайте что-то пойдет не так, что невозможно или слишком сложно исправить, наличие резервной копии WordPress означает, что вы можете восстановить свой сайт до его предыдущего состояния до возникновения проблемы. Однако, если ваша резервная копия не удалась, вам нечего восстанавливать, а это означает, что вы можете застрять на зараженном или неисправном сайте. В идеале вы будете использовать решение для резервного копирования (независимо от того, предоставлено ли оно вашим хостом или используемым вами плагином), которое позволяет вам тестировать ваши резервные копии, например BlogVault. Вы также можете прочитать нашу статью с 6 лучшими плагинами для резервного копирования WordPress.

Пройдитесь по админке WordPress и настройке FTP

С WordPress у вас может быть несколько человек, вошедших в систему для работы над различными проектами, но это не означает, что каждый человек с логином должен иметь полный доступ к вашему сайту. А когда дело доходит до вашего FTP-клиента, предоставление доступа нескольким людям означает, что они могут вносить изменения в ваш сайт… ну, во все.

Когда вы добавляете нового пользователя в WordPress, вы назначаете ему роль (и вы также можете отредактировать его профиль, чтобы изменить его роль):

аудит безопасности вордпресс

Разные роли имеют разные возможности. Например, администратор может получить доступ ко всем инструментам администрирования сайта (таким как изменение темы или установка плагина), но участник может только писать и управлять своими собственными сообщениями. Вот всесторонняя разбивка различных ролей и их возможностей.

Для аудита безопасности WordPress сделайте следующее:

  • Посмотрите, какие пользователи WordPress имеют доступ на уровне администратора.
  • Решите, нужен ли всем этим пользователям такой уровень доступа (и должны ли другие пользователи с ограниченным доступом быть администраторами).
  • Понизьте разрешения и ограничьте доступ, обновив роли пользователей для этих лиц.
  • Если вы не узнаете пользователей на панели инструментов, удалите их — это могут быть учетные записи, созданные хакером.
  • Являются ли какие-либо имена пользователей просто «admin»? Это слишком распространенное имя пользователя, которое хакеры часто пытаются использовать для доступа к вашему сайту. Создайте новую учетную запись пользователя для этого человека и удалите старую учетную запись.
  • Удалите учетные записи FTP для пользователей, которым не нужен такой высокий уровень доступа.

Наконец, если ваш сайт допускает участников, вы должны убедиться, что они действительно должны создать учетную запись при регистрации и что их роль по умолчанию не разрешает доступ администратора. Выберите « Настройки » > « Основные ». Снимите флажок « Любой может зарегистрироваться ». Затем выберите соответствующий параметр в разделе « Новая роль пользователя по умолчанию ».

Убедитесь, что WordPress обновлен

Вы можете запустить это автоматически, но все равно стоит перепроверить, обновлен ли WordPress до самой последней версии. Обновления не только закрывают дыры в безопасности — они также улучшают производительность и добавляют новые функции. Перейдите в раздел « Панель управления » > « Обновления », чтобы узнать, готово ли оно.

аудит безопасности вордпресс

Очистите свои плагины и темы

Плагины могут расширить возможности вашего веб-сайта, но они также уязвимы для атак, особенно если они слишком долго не обновляются. Надежные разработчики будут следить за уязвимостями своих плагинов и выпускать обновления с исправлениями. Во время обновления безопасности WordPress перейдите к списку плагинов и выполните следующие действия:

  • Деактивируйте и удалите все плагины, которые вы больше не используете или которые вам незнакомы.
  • Обновите все оставшиеся плагины, для которых есть готовые обновления.
  • Если вы используете плагин, который не получал обновлений от разработчика, рассмотрите возможность использования другого плагина с той же функциональностью — устаревший плагин слишком уязвим для проблем с безопасностью.

Даже если вы проводите аудит безопасности WordPress раз в месяц или около того, рекомендуется чаще проверять свои плагины, чтобы обновлять их по мере необходимости. Кроме того, удалите все темы, которые вы в настоящее время не используете или которые вам не понадобятся. Как и в случае с плагинами, темы представляют собой риск уязвимостей в системе безопасности, поэтому лучше постараться, чтобы ваш веб-сайт был как можно более свободным от них.

Оставайтесь в безопасности там!

Вы не перестаете работать над другими частями своего бизнеса — придумывать новые продукты или услуги, продвигать их, продавать и т. д. Безопасность вашего веб-сайта не должна быть другой. Небольшая проблема может быстро привести к взлому, угрожающему бизнесу, если вы не поймаете ее вовремя, но, не зная, где находятся проблемные области, вы не будете знать, какие исправления нужно реализовать.

Обеспечение безопасности вашего веб-сайта — это непрерывный процесс, и наличие контрольного списка аудита безопасности WordPress избавляет вас от необходимости каждый месяц вспоминать, что делать. Кроме того, чем больше вы можете автоматизировать с помощью плагина безопасности, тем лучше. Ваш контрольный список аудита безопасности WordPress может быть намного меньше, если большая часть того, что вам нужно сделать, — это дважды проверить, правильно ли работает плагин. У нас есть подробные обзоры обзоров двух ведущих плагинов безопасности, Sucuri и Wordfence.