Как защитить сайт WordPress, пошаговое руководство по защите вашего сайта WordPress

У людей, как правило, неправильное представление о том, что все бесплатное и с открытым исходным кодом менее защищено. Но правда в том, что сообщества с открытым исходным кодом, такие как те, что стоят за WordPress, очень велики и следят за тем, чтобы WordPress был в курсе всех последних методов безопасности и проверок качества. Вам просто нужно следовать лучшим практикам и принимать необходимые меры предосторожности. Вы должны иметь четкое представление о том, как защитить сайт WordPress, чтобы защитить свой сайт.

Давайте начнем с пошагового руководства о том, как защитить сайт WordPress, а затем вы сможете прочитать дополнительные советы по обеспечению безопасности веб-сайта.

Руководство о том, как защитить сайт WordPress

Прежде чем вы начнете изучать ноу-хау для обеспечения безопасности сайта WordPress, поймите, почему это необходимо в первую очередь. Как и любая деятельность, связанная с веб-сайтом, безопасность требует вашего времени, усилий и ресурсов. Серьезное отношение к этому и выделение необходимых ресурсов полностью вознаграждается, потому что невыполнение этого требования нанесет несколько повреждений репутации вашего бренда и росту бизнеса.

Согласно отчету, более 70% установок WordPress подвержены атакам из более чем 40 000 веб-сайтов WordPress, которые входят в 1 миллион лучших в рейтинге Alexa.

Атака веб-сайта может привести к упущенным деловым сделкам, потере конфиденциальности, потере компьютерного времени и может привести к большим финансовым потерям. Рассмотрим недавние атаки программ-вымогателей, которые привели к тому, что многим компаниям пришлось платить за свои пикеты, чтобы вернуть свои данные от хакеров.

Вот почему главной целью мер безопасности должно быть предотвращение, а не реагирование. Вы должны использовать правильные инструменты и методы, чтобы не оставить места для вредоносных программ и кибератак, чтобы воспользоваться вами.

Шаг 1: Обновляйте WordPress.

WordPress поддерживается растущим сообществом разработчиков, которое постоянно выпускает исправления безопасности и решения для устранения обнаруженной уязвимости. Вы можете получить эти обновления, если будете регулярно обновлять свой WordPress.

Для большинства незначительных обновлений вы можете настроить параметры WordPress для включения автоматических обновлений. Обязательно обновите версию WordPress до последней версии, как только выйдет новая версия.

Последние выпуски не просто обеспечивают обновленную безопасность; они также предоставляют вам последние функции и улучшения по сравнению с вашими существующими функциями. Обновления WordPress необходимы для бесперебойной работы сайта и имеют решающее значение для безопасности и стабильности вашего сайта.

Совет для профессионалов: WordPress 5.5 вышел, обновите свой сайт до последней версии прямо сейчас.

Шаг 2. Обновите плагины и темы

Помимо ядра WordPress, вам также необходимо регулярно обновлять все плагины и темы, которые вы используете.

Возможно, вы используете несколько сторонних плагинов и тем, некоторые из которых плохо обслуживаются. Попробуйте заменить эти плагины лучшими альтернативами, которые обеспечивают регулярные обновления и функции безопасности. Устаревшие плагины могут содержать уязвимости, о которых вы можете не знать. Если на вашем сайте используется какой-либо плагин, который вы в настоящее время не используете, деактивируйте его.

Выполняйте ежемесячный аудит всех доступных плагинов и оставьте только те, которые необходимы.

Шаг 3. Используйте надежные пароли

Существует несколько учетных записей пользователей, таких как учетная запись остановки, учетная запись администратора WordPress, учетные записи FTP, учетные записи базы данных и другие, с которыми вы будете работать при запуске сайта WordPress. Для каждой из этих учетных записей потребуется идентификатор электронной почты и надежный пароль для безопасного авторизованного использования.

Поэтому выбирайте индивидуальные адреса электронной почты, специально предназначенные для этой цели, и используйте надежные пароли. Запомнить все пароли может быть сложно, но это необходимая мера для обеспечения безопасности. Вы можете попробовать использовать менеджер паролей, чтобы управлять всеми вашими паролями.

Шаг 4. Установите надлежащие уровни доступа

Когда вы работаете над сайтом WordPress в команде или на вашем сайте пишут разные приглашенные авторы, убедитесь, что каждому пользователю назначены соответствующие роли и возможности.

Изучите роли, доступные в WordPress, и создавайте учетные записи пользователей только в отношении назначенной роли.

Шаг 5: Выберите безопасную платформу хостинга

Это, вероятно, самая важная часть безопасности WordPress. Хороший хостинг-партнер должен быть в состоянии обеспечить надлежащие меры безопасности, чтобы избежать любых утечек данных и кибератак. Вот некоторые качества хорошей хостинговой платформы, на которые следует обратить внимание при выборе.

• Возможности непрерывного мониторинга сети для обнаружения любой подозрительной активности.
• Инструменты для блокировки DDOS-атак
• Предоставьте резервные серверы на случай отключения электроэнергии или продолжающейся кибератаки.
• Современное аппаратное и программное обеспечение для исправления любой известной уязвимости
• Надлежащее аварийное восстановление и план на случай непредвиденных обстоятельств для защиты данных в случае каких-либо аварий или сбоев.

Планы общего хостинга более рискованны, чем выделенные серверы хостинга, поскольку вы будете делить ресурсы сервера с другими клиентами. Это может поставить вас в уязвимое состояние для межсайтового заражения, когда соседний сайт может быть использован для взлома вашего сайта.

Следует иметь в виду, что есть некоторые провайдеры веб-хостинга, которые предлагают в дополнение к своей базовой защите сервера платные надстройки безопасности, такие как Sitelock.

В целом, для большей безопасности попробуйте выбрать управляемый план хостинга WordPress.

Шаг 6. Подготовьте решение для резервного копирования

Всегда сохраняйте обновленную резервную копию, чтобы помочь вам в случае нападения или серьезной аварии. Резервные копии позволяют быстрее восстанавливать ваш сайт WordPress и откатывать его до надлежащего состояния. Существует множество бесплатных и платных версий плагинов WordPress, которые позволяют делать резервные копии и безопасно хранить их в удаленном месте.

Хранение в удаленном месте намного безопаснее по сравнению с резервными копиями, сделанными в вашей учетной записи хостинга. Вы можете использовать любые облачные хранилища, такие как Amazon и Dropbox.

Сделайте резервную копию вашего сайта один раз в день и настройте его на автоматическое резервное копирование. Вы можете увеличить или уменьшить частоту резервного копирования в зависимости от частоты ваших обновлений.

Шаг 7. Используйте плагины безопасности WordPress

Установите хороший плагин безопасности, который поможет вам проверять и контролировать действия вашего сайта. Плагины безопасности также могут помочь вам отслеживать каждое взаимодействие вашего сайта со сторонними каналами и обнаруживать любые подозрительные действия или попытки взлома вашего сайта.

Например, такие действия, как неудачные попытки входа в систему и атаки ботов, можно отслеживать и блокировать в нужное время с помощью подключаемых модулей безопасности. Вы также можете выполнять сканирование на наличие вредоносных программ, проверку целостности файлов и другие задачи, связанные с безопасностью, с помощью подключаемых модулей безопасности. Изучите лучшие доступные плагины безопасности, которые соответствуют вашим потребностям, и начните их использовать.

Совет для профессионалов: некоторые из подключаемых модулей безопасности, которые вы можете использовать, — это Sucuri, Wordfence Security, Defender и VaultPress.

Шаг 8. Включите брандмауэр веб-приложений

Брандмауэры помогают вам обеспечить систему защиты, чтобы блокировать доступ любого вредоносного трафика к вашему сайту. Вам необходимо использовать два уровня брандмауэров.

• Брандмауэр веб-сайта на уровне DNS

Этот брандмауэр будет направлять ваши веб-запросы через облачные прокси-серверы и разрешать доступ к вашему сайту только законному трафику.

• Брандмауэр уровня приложений

Этот брандмауэр проверит запрос на стороне сервера и разрешит выполнение ваших сценариев только в том случае, если будет установлено, что это подлинный запрос. Но этот тип брандмауэра может увеличить нагрузку на сервер.

Шаг 9. Переключитесь на https

Сайты HTTPS намного более безопасны, чем обычные сайты HTTP, поскольку они принимают только безопасные соединения на основе шифрования. Уровень сокетов SSL шифрует каждую передачу данных между вашим веб-сайтом и браузером, что затрудняет доступ хакеров к вашему веб-сайту.

Цены на SSL-сертификаты, выпущенные частными органами, начинаются от 80 долларов в год. Вы также можете выбрать бесплатные сертификаты, предоставляемые в рамках программы Let's Encrypt.

Советы о том, как защитить сайт WordPress

Что бы это ни обсуждалось выше, это были очень простые вещи, о которых вы должны позаботиться в целях безопасности. Вот несколько дополнительных предложений и советов по созданию надежно защищенного веб-сайта.

Используйте пользовательский идентификатор пользователя.

Замените обычное имя пользователя admin на что-то более личное и сложное для угадывания хакерами. К счастью, WordPress теперь требует, чтобы вы выбрали собственное имя пользователя для своей учетной записи. Но когда вы выполняете установку одним щелчком мыши, имя пользователя по умолчанию устанавливается как admin, и, следовательно, вам придется установить WordPress, чтобы установить правильное пользовательское имя пользователя вручную. Если вы уже настроили admin в качестве имени пользователя, создайте новое имя пользователя admin и удалите старое. Вы можете использовать плагин или страницу phpMyAdmin для этой задачи.

Отключить редактирование файлов

Чтобы отключить встроенный редактор кода в WordPress, вам нужно изменить файл wp-config.php. Установите для DISALLOW_FILE_EDIT значение true. Эту функцию также можно включить, усилив защиту вашей учетной записи WordPress с помощью плагинов безопасности.

Когда скрипт не требуется запускать из определенных каталогов, безопасно отключить их там. Например, вы можете отключить выполнение файла PHP, добавив соответствующие записи в файл htaccess.

Ограничьте количество попыток входа

Это можно настроить с помощью подключаемого модуля безопасности, который может отслеживать неудачные попытки входа в систему из учетной записи и блокировать ее на установленный период. Это помогает предотвратить атаки грубой силы.

Сделайте свои логины более надежными, используя двухфакторную аутентификацию. Двухфакторная аутентификация требует двухэтапного процесса входа в систему, при котором в дополнение к паролю на мобильный телефон или адрес электронной почты пользователя отправляется одноразовое проверочное сообщение или пароль. Вы также должны подумать о безопасности своей страницы входа. Ваш URL-адрес для входа в WordPress — одно из самых уязвимых мест.

Вы также можете использовать приложения для проверки подлинности, чтобы обеспечить надежный уровень защиты для каждой попытки входа в систему.

Настройка соглашений об именовании баз данных.

По умолчанию таблицы базы данных в WordPress начинаются с префикса wp_, что позволяет хакерам угадывать имена таблиц. Попробуйте изменить эти префиксы на более индивидуальные имена, которые обеспечат дополнительную защиту.

Добавьте дополнительную защиту паролем на уровне сервера, чтобы пресечь любые попытки DOS-атак.

Отключите индексирование и просмотр каталогов.

Когда хакеры могут просматривать ваши каталоги и файлы, они могут обнаружить любую уязвимость и попытаться воспользоваться ею. Эту настройку можно выполнить, изменив файл htaccess.

Отключите XML-RPC. XML RPC был добавлен из WordPress 3.5 как способ оптимизации обработки запросов. Но это может выступать в качестве бэкдора, облегчающего хакерские атаки грубой силы. Итак, если вы не используете XML-RPC на своем сайте, обязательно отключите его, изменив файл htaccess или используя брандмауэр.

Выход бездействующих пользователей после периода простоя.

Вы можете использовать плагин неактивного выхода из системы для автоматического выхода из системы неактивных пользователей.

Добавьте контрольные вопросы на экран входа в систему для дополнительного уровня аутентификации.

Запустить сканирование

Регулярно выполняйте сканирование на наличие вредоносных программ, и если будут обнаружены какие-либо вредоносные программы или ненужные файлы, обязательно удалите их. Исправление взломанного веб-сайта может быть сложной задачей. Лучше нанять специалиста по безопасности или опытного веб-мастера, чтобы он позаботился об этом. Если вы пытаетесь сделать это самостоятельно, обязательно хорошо изучите, сделайте резервную копию важных файлов и начните исправлять свой сайт.

Выберите хорошую хостинговую компанию с несколькими уровнями безопасности.

Когда вы используете веб-сайт, который использует конфиденциальные данные клиентов, вам необходимо инвестировать, чтобы обеспечить безопасность данных. Так что не поддавайтесь искушению выбирать более дешевые планы хостинга, в которых отсутствуют меры безопасности. Сделайте безопасность главной задачей при выборе платформы хостинга.

Получайте свои темы и плагины из проверенных источников. Бесплатные темы и плагины могут показаться заманчивыми, но без надлежащего обслуживания и поддержки эти устаревшие плагины или темы могут содержать уязвимые блоки кода, которые могут поставить под угрозу безопасность вашего сайта.

Кроме того, скройте основные файлы WordPress, такие как htaccess и wp-config.

Подведение итогов

Помните ключевые принципы защиты любого программного обеспечения — ограничивайте доступ и устанавливайте соответствующие уровни авторизации. Кроме того, содержать и защищать критические компоненты в базе данных. Обязательно регулярно обновляйте свою систему и храните резервные копии в безопасном удаленном месте. И всегда используйте плагины и темы только из проверенных источников.

Используйте надежные пароли, не сообщайте свои пароли, ограничивайте права пользователей и регулярно отслеживайте активность сайта. Используйте инструменты безопасности, которые помогут вам контролировать и принимать упреждающие меры для защиты вашего сайта.

И, наконец, не забывайте сообщать о любых проблемах с безопасностью и обращаться за помощью в службу технической поддержки для дальнейшего расследования. Не стесняйтесь нанимать специалистов для решения проблем безопасности.

Так что да, это все с моей стороны, я надеюсь, вы понимаете, как защитить сайт WordPress.