Советы по защите вашего сайта WordPress от уязвимостей

Вы можете найти эту статью в поисках Как защитить веб-сайт WordPress от эксплойтов? или

Как защитить сайт WordPress от взломов и вредоносных программ?

Или Советы защитите свой сайт WordPress от всех эксплойтов.

Конечно, это правильная статья, и в ней рассказывается о всевозможных методах, инструментах и ​​​​плагинах, которые помогут вам защитить ваш сайт WordPress.

По данным W3Techs, WordPress поддерживает более 58% всех веб-сайтов, использующих CMS, что составляет 24,9% всех веб-сайтов в мире.

Таким образом, с увеличением использования WordPress и постоянно растущей популярностью того, насколько легко его настроить и насколько легко использовать, растет использование все большего количества тем WordPress, а также плагинов.

Но поскольку это легко, есть и всадник, который приходит вместе с ним. Хакерам становится довольно легко взломать его, если он используется со всеми настройками по умолчанию.

Следовательно, необходимо понимать безопасность и обеспечивать безопасность вашего веб-сайта на WordPress, потому что никому не нравится, когда их веб-сайт взломан.

Очевидно, что когда вы ищете в Google это ключевое слово: «предотвратить взлом WordPress», вы получите 8 миллионов или более результатов, которые показывают, насколько отчаянно люди, такие как разработчики, а также начинающие пользователи, хотят знать методы и инструменты предотвращения взлома для своего веб-сайта WordPress.

Вот список советов и инструментов, а также методов, которые мы, как разработчики тем WordPress, могли бы придумать.

Конечно, эта статья может привести к обсуждению, и с течением времени можно будет внести больше информации и дополнений.

Мы начнем с самых простых техник, а затем перейдем к более сложным:

Простые советы по безопасности:

1. Хостинг . Ваш хостинг играет решающую и важную роль в обеспечении безопасности вашего веб-сайта WordPress. Много раз вас взломали из-за плохого хоста.

Если у вас есть отличный хостинг, многие вещи можно решить быстро, и большая часть вашего разочарования может быть уменьшена. Например: Резервное копирование легко.

Атаки грубой силы, спам и инъекции SQL часто проверяются и избегаются. Поэтому мы поговорим о наиболее рекомендуемых хостах и ​​их инструментах.

а. Виртуальный хостинг : большинство людей просто хотят запустить свой веб-сайт и, следовательно, они не хотят тратить много на первый раз и поэтому выбирают виртуальный хостинг в качестве своей платформы.

Существуют тысячи хостинговых компаний, которые предоставляют виртуальный хостинг, и мы не можем перечислить их всех здесь, но мы включаем только 4 хостинга, которые мы лично пробовали и можем порекомендовать.

Однако может быть даже лучше или аналогичный сервис. Дайте нам знать:

я. Bluehost : WordPress.org постоянно ссылается на Bluehost на своей странице хостинга: https://wordpress.org/hosting/. Это хорошая отправная точка для виртуального хостинга, если вам нужен веб-сайт WordPress, поскольку у него есть премиум-хостинг WordPress для будущий и простой виртуальный хостинг с установкой в ​​1 клик.

Поскольку это виртуальный хостинг, который стоит от 3 до 4 долларов США в месяц, вы не можете сильно жаловаться на отсутствие функций или услуг.

Однако у него есть автоматизированный инструмент для резервного копирования, известный как мастер резервного копирования, который поставляется вместе с cpanel, которую вы можете использовать. Таким образом, резервные копии могут гарантировать вашу безопасность, и если ваш сайт будет взломан, вы сможете восстановить резервную копию.

II. Маленький апельсин : Мы лично размещаемся на этом хостинге, и здесь присутствует большинство функций, присутствующих в Bluehost. Но прежде всего, что нам нравится больше всего и можно сказать, что даже лучше, чем у вышеупомянутого хоста, это поддержка.

На запросы в службу поддержки отвечают в течение 5-6 часов, и мы всегда можем пообщаться с кем-то в чате в течение нескольких минут.

Поддержка — это то, что отличает этот хост от остальных, потому что есть много ответов и помощи, которые они могут предоставить бесплатно. Все, что вам нужно сделать, это попросить их об этом. Пример: установка кэша сервера NGINX, резервные копии и их использование и т. д.

III. SiteGround : еще один популярный виртуальный хостинг WordPress, который также предоставляет вам хорошие инструменты для резервного копирования вашего сайта. Остальные cpanel и стандартные функции присутствуют. Чат также активен, и на запросы в службу поддержки часто отвечают.

IV. Godaddy : Godaddy — крупнейший регистратор доменов, поэтому многие предпочитают его и для своего хостинга. Overtime Godaddy также внес несколько изменений, чтобы сделать его надежным хостингом для WordPress.

Он также начал предоставлять стандартный хостинг Cpanel WordPress, который позволяет создавать резервные копии и использовать другие простые в использовании инструменты.

б. Управляемый хостинг WordPress : для тех, у кого небольшой бюджет и кто хочет, чтобы хостинг управлял их безопасностью.

Эти 2 хостинговые компании из многих, которые мы нашли надежными, более дешевыми, чем остальные, часто помогают вам защитить ваш сайт, а также сообщают вам, какие плагины хороши, а какие нет.

У них также есть ночные резервные копии, что означает, что вы можете быть спокойны с ними. Таким образом, всякий раз, когда происходит взлом, который случается редко, поскольку они им управляют, они могут быстро восстановить резервную копию:

я. WP Engine : WP Engine позволяет узнать список плагинов, которые они рекомендуют для большинства. Следовательно, уязвимые плагины находятся в страхе.

II. FlyWheel : Flywheel говорит вам не устанавливать какие-либо плагины безопасности, поскольку они сами обеспечивают безопасность, что означает, что вам не нужно ничего делать после их установки, а они позаботятся обо всем остальном.

2. Резервное копирование: Резервное копирование может быть выполнено с помощью файлового менеджера cpanel или через ftp (для файлов) и загрузки базы данных с использованием phpMyAdmin с использованием cpanel или доступа к базе данных хоста.

Существуют сотни руководств о том, как сделать резервную копию вашего сайта WordPress вручную. Однако вам следует подумать о том, чтобы прочитать Процедуры резервного копирования Кодекса, поскольку они безопасны и хорошо написаны: http://codex.wordpress.org/WordPress_Backups.

Также есть несколько плагинов. Мы расскажем о них вкратце, так как большинство из них, которые мы здесь упомянули, отлично работают и имеют хорошие отзывы от других:

а. БэкупВордПресс
б. BackUpBuddy (также присутствует платная версия этого плагина)
в. VaultPress
д. Резервное копирование и восстановление Dropbox
е. Резервное копирование и восстановление Amazon S3

3. Обновите версию WordPress . В большинстве случаев из-за использования более старой версии WordPress ваш сайт может быть взломан. WordPress распознает множество недостатков и параметров безопасности в своих предыдущих версиях и, как сообщают другие участники, которые время от времени обновляются.

Следовательно, использование последней версии WordPress должно снизить риск взлома или подключения вредоносных программ.

4. Обновление плагинов и тем WordPress . Как правило, авторы тем и плагинов выпускают обновления и функции одинаковым образом. В большинстве случаев это обновления функций.

Но время от времени эти авторы также обнаруживают недостатки безопасности, и, следовательно, рекомендуется продолжать использовать обновленные плагины и темы.

5. Изменить имя пользователя и пароль по умолчанию. Использование имени пользователя и пароля по умолчанию, таких как простая серия чисел или сохранение администратора, допустимо, пока вы находитесь на локальном сервере или на тестовом сайте.

Но для бизнес-сайтов важно изменить имя пользователя и пароль по умолчанию.

Теперь с последними версиями WordPress можно выбрать защищенное имя пользователя и создать безопасный пароль, но для пользователей с более старыми версиями WordPress вы можете перейти в свой профиль, чтобы изменить свой пароль.

Однако для изменения имени пользователя используйте либо phpMyAdmin, если вам удобно изменить его оттуда, либо используйте любой из плагинов ниже:
а. Расширенное переименование администратора
б. Смена имени пользователя

6. Двухэтапная аутентификация для атак грубой силы : двухэтапная аутентификация необходима в случае, если ваш сайт подвергается большому количеству атак грубой силы и имеет высокий трафик или конфиденциальную информацию.

Двухэтапная аутентификация защищает область входа на веб-сайт WordPress и делает ее очень сложной для атак методом грубой силы. Плагины, которые можно использовать для двухэтапной аутентификации:
а. Ключ
б. Дуэт
в. Аути
д. Гугл аутентификатор
е. Рублон

Эти простые шаги должны заставить пользователя чувствовать себя спокойно с точки зрения, по крайней мере, наличия своевременных резервных копий и, по крайней мере, представления своего веб-сайта с минимальной безопасностью.

Следующие шаги, которые мы собираемся обсудить, — это более сложные шаги по еще большей защите вашего веб-сайта WordPress.

Сложные шаги:

1. Шаги, перечисленные в Укреплении WordPress Кодексом : http://codex.wordpress.org/Hardening_WordPress
Большинство из этих шагов предназначены для разработчиков или для людей, которые используют WordPress довольно долго и понимают, как работает wp-config.

Вы использовали файловый менеджер или ftp и можете вносить изменения в htaccess, wp-config и т. д.

Эти шаги, несомненно, послужат отправной точкой в ​​обеспечении безопасности вашего сайта. Тем не менее, некоторые из нескольких плагинов безопасности, которые мы собираемся обсудить далее, обеспечивают сетевую защиту вашего веб-сайта WordPress, поэтому вам также следует проверить следующие:

2. Плагины, которые помогут в обнаружении вредоносных программ и обнаружении изменений файлов :

а. Sucuri Site Scan : Sucuri Site Scan имеет довольно много вкладок. На первой вкладке находятся общие настройки о том, когда получать уведомления о таких предупреждениях, как вход в систему, атаки методом перебора, регистрация новых пользователей, предупреждения о неудачных попытках входа в систему, установка плагинов и т. д.

Поэтому, если на вашем веб-сайте много пользователей и много администраторов или редакторов, которые могут установить плагин, тогда эти функции полезны и необходимы.

Второй — сканирование на наличие вредоносных программ, которое сообщает вам о любых вредоносных программах или вредоносных кодах, присутствующих в любом каталоге плагинов или тем.

Он также проверяет файлы ошибок, измененные файлы, если таковые имеются. Сканирование должно быть уменьшено, если трафик вашего сайта низкий и вы размещаетесь на виртуальном хостинге, поскольку сканирование также занимает много оперативной памяти хостинга.

Третья часть — это усиление безопасности, например удаление версии WordPress (поскольку более ранние версии более подвержены взлому, хакеры проверяют версию и знают, в какой версии присутствуют уязвимости безопасности).

Следовательно, удаление версии WordPress, каталог Uploads, в котором хранятся медиафайлы, должен быть защищен и усилен, ограничение доступа к wp-контенту, readme.html должен быть усилен, учетная запись администратора по умолчанию должна быть удалена и изменена, префикс базы данных по умолчанию должен быть изменен Защита Sucuri Firewall .

Мы не тестировали это, но показывает использование брандмауэра Cloudproxy, который, как утверждается, должен помочь вам защитить ваш сайт от DDOS, грубой силы и SQL-инъекций. Если вы использовали эту функцию, сообщите нам об этом, поскольку у нас нет доказательств того, что этот брандмауэр действительно помогает.

б. Антивирус : Еще один плагин, который мы сочли полезным, — это Антивирус. Он обнаруживает файлы тем WordPress и файлы базы данных для обеспечения безопасности и эксплойтов.

Единственным недостатком этого плагина безопасности является то, что он будет использовать wp-cron, и если вы настроите ежедневное сканирование, а также в случае, если ваш общий хостинг не такой мощный, а ваш сайт больше по размеру.

Что касается страниц, сообщений и базы данных, то этот плагин может потреблять много ресурсов при сканировании файлов и таблиц базы данных.

в. Anti-Malware and Brute Force Security от ELI : Защита от вредоносных программ и Brute Force Security, как следует из названия, отлично справляется с этой задачей.

Если вы подпишетесь на плагин на сайте gotmls.net, вы получите все обновления известных угроз. Он также сканирует htaccess на наличие любых скриптов, проверяет эксплойты timethumb и предупреждает вас, проверяет наличие бэкдор-скриптов и просит не использовать вас, а также проверяет ваш логин на наличие уязвимостей.

Таким образом, этот плагин выполняет задачу защиты от вредоносных программ. Также проверяет все исходные файлы WordPress. Вы можете использовать его и проверить наличие проблем на вашем существующем веб-сайте и исправить их.

д. Проверка подлинности темы : в большинстве случаев мы пытаемся сканировать плагины и общую безопасность панели управления WordPress, такую ​​как вход в систему, файлы WordPress и т. д.

Но темы WordPress и их безопасность также важны, потому что могут быть ненужные скрипты или запутанный вредоносный код, который можно легко взломать.

Следовательно, этот плагин служит хорошим инструментом для сканирования и проверки вашей темы, и как только вы узнаете, какие файлы нежелательны или какой код проблематичен, вы можете направить его автору исходной темы для удаления или изменения кода.

Для более безопасных практик или если уязвимостей слишком много, лучше используйте более безопасную тему. В большинстве случаев для проверки темы он работает лучше, чем антивирус.

3. Плагины безопасности, которые защитят ваш сайт WordPress

а. All-in-One WP Security and Firewall : этот модуль отвечает за следующие аспекты безопасности, которые вы можете обеспечить на своем веб-сайте:
я. Безопасность входа пользователя
II. Безопасность учетной записи пользователя
III. Безопасность регистрации пользователей
IV. Безопасность системных файлов
v. Настройка брандмауэра
ви. Черный список
vii. Безопасность базы данных
VIII. Резервные копии
икс. Брандмауэр и брутфорс

б. Безопасность WordFence

в. Лучшая безопасность WP (теперь iThemes Security)

д. Пуленепробиваемая безопасность

4. Другие не включены в этот список, но могут быть полезны :

а. Acunetix WP Security : в последнее время появилось много негативных отзывов об этом плагине на WordPress.org, поэтому мы не можем рекомендовать его вам.

б. 6Scan Security : многие клиенты жаловались на то, что сайт становится пустым после установки этого плагина, поэтому мы не можем вам его рекомендовать.

в. Сканер эксплойтов

д. Веб-сканер вредоносных программ Quttera