7 советов по защите пользователей WordPress в 2021 году

Опубликовано: 2021-03-16

Лучший способ защитить своих пользователей WordPress в 2021 году - использовать надежный пароль и двухфакторную аутентификацию. Это кажется довольно простым, правда? Реальность такова, что безопасность пользователей WordPress немного более тонкая.

Всякий раз, когда мы говорим о безопасности пользователей, мы часто слышим такие вопросы, как: должен ли каждый пользователь WordPress иметь одинаковые требования к безопасности, и насколько безопасность слишком велика?

Не волнуйся. Мы отвечаем на все эти вопросы. Но сначала давайте поговорим о разных типах пользователей WordPress.

Какие существуют типы пользователей WordPress?

Есть 5 различных пользователей WordPress по умолчанию.

  1. Администратор
  2. редактор
  3. Автор
  4. Автор
  5. Подписчик
Примечание: у мультисайтов WordPress есть шестой пользователь. Супер администратор имеет полный доступ к функциям администрирования сети сайта и всем остальным функциям. Они могут создавать новые и удалять сайты в сети, а также управлять пользователями, плагинами и темами сети.

У каждого пользователя разные возможности. Возможности диктуют, что они могут делать после доступа к панели управления. Узнайте больше о пользовательских ролях и разрешениях WordPress.

Возможный ущерб от различных взломанных пользователей WP

Прежде чем мы сможем понять, как защитить наших пользователей WordPress, мы должны сначала понять уровень угрозы каждого типа взломанного пользователя. Тип и уровень ущерба, который может нанести злоумышленник, сильно различаются в зависимости от ролей и возможностей пользователя, которого они взламывают.

Администратор - уровень угрозы высокий

Пользователи- администраторы могут делать все, что захотят.

  • Создавать, удалять и изменять пользователей.
  • Устанавливайте, удаляйте и редактируйте плагины и темы.
  • Создавайте, удаляйте и редактируйте все сообщения и страницы.
  • Публикуйте и отменяйте публикацию сообщений и страниц.
  • Добавляйте и удаляйте медиа.

Если хакеру удастся заполучить одного из администраторов вашего сайта, он может удержать ваш сайт с целью выкупа. Под программами-вымогателями понимается ситуация, когда хакер захватывает ваш сайт и не вернет его вам, если вы не заплатите им огромную плату.

Если хакеру удастся заполучить одного из администраторов вашего сайта, они могут удержать ваш сайт с целью выкупа. Под программами-вымогателями понимается ситуация, когда хакер захватывает ваш сайт и не вернет его вам, если вы не заплатите им огромную плату.

Среднее время простоя при атаке программы-вымогателя составляет 9,5 дней. Какой доход вам обойдется в 10 дней БЕЗ продаж?

Редактор - Уровень угрозы высокий

Редактор управляет всем содержанием сайта. У этих пользователей все еще есть немного власти.

  • Создавайте, удаляйте и редактируйте все сообщения и страницы.
  • Публикуйте и отменяйте публикацию всех сообщений и страниц.
  • Загрузите медиафайлы.
  • Управляйте всеми ссылками.
  • Управляйте комментариями.
  • Управляйте категориями.

Если злоумышленник получит контроль над учетной записью редактора, он может изменить одну из ваших страниц для использования в фишинг-атаке. Фишинг - это тип атаки, используемый для кражи пользовательских данных, включая учетные данные для входа и номера кредитных карт.

Фишинг - один из самых надежных способов внести ваш сайт в черный список Google. Каждый день 10 000 сайтов попадают в черный список Google по разным причинам.

Примечание. IThemes Security Site Scan ежедневно проверяет статус вашего сайта в черном списке Google.

Автор - Уровень угрозы Средний

Автор был разработан для создания и управления собственным контентом.

  • Создавать, удалять и редактировать собственные сообщения и страницы.
  • Публикуйте и отменяйте свои собственные сообщения.
  • Загрузить медиафайлы

Если злоумышленник получит контроль над учетной записью автора, он сможет создавать страницы и сообщения, которые отправляют посетителей вашего сайта на вредоносные веб-сайты.

Автор и подписчик - низкий уровень угрозы

Участник - это облегченная версия роли пользователя Автор. У них нет издательской власти.

  • Создавать и редактировать собственные сообщения.
  • Удалять собственные неопубликованные сообщения.

Подписчик может читать то, что публикуют другие пользователи.

Хотя хакеры с ролью участника или подписчика не могут вносить вредоносные изменения, они могут украсть любую конфиденциальную информацию, хранящуюся в учетной записи или на странице профиля пользователя.

7 советов по защите ваших пользователей WordPress

Итак, это довольно неприятные вещи, которые хакеры могут сделать с нашими веб-сайтами. Хорошей новостью является то, что большинство атак на ваши учетные записи пользователей WordPress можно предотвратить, приложив немного усилий с вашей стороны.

Давайте посмотрим, что вы можете сделать, чтобы защитить своих пользователей WordPress. На самом деле эти методы безопасности помогут обезопасить всех пользователей WordPress. Но по мере того, как мы рассмотрим каждый из методов, мы сообщим вам, какие пользователи должны использовать этот метод.

1. Предоставляйте людям только те возможности, которые им нужны

Самый простой способ защитить свой веб-сайт - предоставить пользователям только те возможности, которые им нужны, и ничего более. Если единственное, что кто-то собирается делать на вашем веб-сайте, - это создавать и редактировать свои собственные сообщения в блоге, им не нужна возможность редактировать сообщения других людей.

2. Ограничьте количество попыток входа в систему

Атаки методом грубой силы относятся к методу проб и ошибок, который используется для обнаружения комбинаций имени пользователя и пароля для взлома веб-сайта. По умолчанию в WordPress нет ничего, что ограничивало бы количество неудачных попыток входа в систему.

Без ограничения количества неудачных попыток входа в систему злоумышленник может продолжать пробовать бесконечное количество имен пользователей и паролей, пока не добьется успеха.

Функция локальной защиты от грубой силы iThemes Security Pro отслеживает недействительные попытки входа в систему с использованием IP-адресов и имен пользователей. Если IP-адрес или имя пользователя сделали слишком много последовательных недействительных попыток входа в систему, они будут заблокированы, и им будет запрещено делать больше попыток входа в систему.

3. Защитите пользователей WordPress с помощью надежных паролей.

Чем надежнее пароль вашей учетной записи пользователя WordPress, тем сложнее его угадать. Для взлома семизначного пароля требуется 0,29 миллисекунды. Но хакеру нужно два столетия, чтобы взломать двенадцатисимвольный пароль!

В идеале надежный пароль представляет собой буквенно-цифровую строку из двенадцати символов. Пароль должен содержать буквы верхнего и нижнего регистра, а также другие символы ASCII.

Хотя каждый может извлечь выгоду из использования надежного пароля, вы можете захотеть только заставить людей с полномочиями уровня автора и выше иметь надежные пароли.

Функция требования к паролям iThemes Security Pro позволяет заставить определенных пользователей использовать надежный пароль.

4. Откажитесь от взломанных паролей.

Несмотря на то, что 91% людей знают, что повторное использование паролей - плохая практика, 59% людей по-прежнему повторно используют свои пароли повсюду! Многие из этих людей все еще используют пароли, которые, как им известно, появились в дампе базы данных.

Хакеры используют форму атаки методом грубой силы, называемую атакой по словарю. Атака по словарю - это метод взлома веб-сайта WordPress с часто используемыми паролями, которые появляются в дампах базы данных. «Сборник №1? Нарушение данных, размещенное на хостинге MEGA, включало 1 160 253 228 уникальных комбинаций адресов электронной почты и паролей. То есть миллиард с буквой b. Такой результат действительно поможет словарной атаке сузить наиболее часто используемые пароли WordPress.

Это необходимо для предотвращения использования скомпрометированных паролей пользователями с правами автора и выше. Вы также можете подумать о том, чтобы не позволять пользователям нижнего уровня использовать скомпрометированные пароли.

Это совершенно понятно и рекомендуется максимально упростить создание новой учетной записи. Однако ваш клиент может не знать, что используемый им пароль был найден в дампе данных. Вы окажете своим клиентам отличную услугу, предупредив их о том, что пароль, который они используют, был скомпрометирован. Если они используют этот пароль повсюду, вы можете избавить их от серьезных головных болей в будущем.

Функция iThemes Security Pro «Отказаться от взломанных паролей» заставляет пользователей использовать пароли, которые не появлялись ни при каких нарушениях пароля, отслеживаемых с помощью Have I Been Pwned.

5. Защитите пользователей WordPress с помощью двухфакторной аутентификации.

Двухфакторная аутентификация - это процесс проверки личности человека, требующий двух отдельных методов проверки. Google поделился в своем блоге, что использование двухфакторной аутентификации может остановить 100% автоматических атак ботов. Мне очень нравятся эти шансы.

По крайней мере, вы должны потребовать, чтобы ваши администраторы и редакторы использовали двухфакторную аутентификацию.

Функция двухфакторной аутентификации iThemes Security Pro обеспечивает большую гибкость при внедрении 2fa на вашем веб-сайте. Вы можете включить двухфакторный режим для всех или некоторых ваших пользователей, и вы можете заставить своих высокоуровневых пользователей использовать 2fa при каждом входе в систему.

6. Ограничьте доступ устройств к панели управления WP.

Ограничение доступа к панели управления WordPress для набора устройств может повысить уровень безопасности вашего веб-сайта. Если хакер использует неподходящее устройство для пользователя, он не сможет использовать взломанного пользователя, чтобы нанести ущерб вашему веб-сайту.

Вы должны ограничивать доступ к устройству только администраторам и редакторам.

Функция надежных устройств iThemes Security Pro определяет устройства, которые вы и другие пользователи используете для входа на свой сайт WordPress. Когда пользователь вошел в систему на нераспознанном устройстве, доверенные устройства могут ограничить свои возможности на уровне администратора. Это означает, что если бы злоумышленник смог взломать серверную часть вашего сайта WordPress, у него не было бы возможности вносить какие-либо вредоносные изменения в ваш сайт.

7. Защитите пользователей WordPress от взлома сеанса

WordPress генерирует файл cookie сеанса каждый раз, когда вы входите на свой сайт. Допустим, у вас есть расширение для браузера, от которого разработчик отказался и больше не выпускает обновления безопасности. К сожалению для вас, в запущенном расширении браузера есть уязвимость. Уязвимость позволяет злоумышленникам захватить файлы cookie вашего браузера, включая ранее упомянутый файл cookie сеанса WordPress. Этот тип взлома известен как перехват сеанса . Таким образом, злоумышленник может воспользоваться уязвимостью расширения, чтобы воспользоваться вашим логином и начать вносить вредоносные изменения с вашим пользователем WordPress.

У вас должна быть защита от перехвата сеанса для ваших администраторов и редакторов.

Благодаря функции надежных устройств iThemes Security Pro перехват сеанса ушел в прошлое. Если устройство пользователя изменится во время сеанса, iThemes Security автоматически выйдет из системы, чтобы предотвратить любые несанкционированные действия в учетной записи пользователя, такие как изменение адреса электронной почты пользователя или загрузка вредоносных подключаемых модулей.

Подведение итогов

Популярность WordPress делает его мишенью для хакеров по всему миру. Как мы уже говорили, злоумышленник может нанести ущерб, взломав даже самый низкий уровень пользователя WordPress. Хорошая новость заключается в том, что, хотя нет способа предотвратить атаки на ваших пользователей WordPress, приложив немного усилий с нашей стороны, мы можем предотвратить успешные атаки.