15 приемов безопасности WordPress для защиты вашего сайта WordPress

В последнее время было так много новостей о взломе сайтов WordPress. И многие люди начали сомневаться в безопасности WordPress из-за недавних атак.

Поэтому, если у вас есть веб-сайт WordPress, вы должны действовать в соответствии с этими 15 методами безопасности WordPress, которым я научу вас в этом руководстве.

Прежде чем мы перейдем прямо к этому, позвольте мне предупредить вас заранее.

Пока вы читаете эту статью, какой-нибудь скрипт-ребенок может попытаться взломать ваш сайт (WordPress или нет).

Шутки в сторону?

да.

«Зачем некоторым парням тратить на меня время? Не то чтобы я крупный бизнесмен».

Что ж, я не хочу вас беспокоить, но хакерам нравятся маленькие веб-сайты, потому что они являются легкой мишенью.

Почему безопасность веб-сайта вызывает такую ​​большую суету?

Хорошо, кто-то пытается проникнуть на мой сайт, но какое мне дело? Тем более, что у меня есть резервная копия всего. Я мог бы просто удалить WordPress и переустановить его.

Ваш вопрос актуален. Но что, если хакер получил доступ к вашей резервной копии и веб-хостингу?

Кроме того, существуют и другие риски, если компьютерный пират получит контроль над вашим сайтом, некоторые из них…

1. Хакеры могут украсть вашу информацию и информацию ваших посетителей и использовать ее в незаконных целях.
2. Если вы только начинаете получать посетителей, время простоя повлияет на вас в долгосрочной перспективе.
3. Люди начнут сомневаться в качестве вашего сайта.
4. Злоумышленники могут разместить на вашем веб-сайте что-то оскорбительное или незаконное, за что вам, возможно, придется столкнуться с последствиями (юридическими или иными).

Но зачем кому-то прикладывать все усилия только для того, чтобы создать проблемы для такого маленького веб-сайта, как мой?

1. Небольшой сайт легко взломать.
2. Хакеры тестируют свои инструменты на небольших веб-сайтах для более крупного проекта.
3. Они могут использовать ваш веб-хост для рассылки спама.
4. Злоумышленники используют ресурсы небольших сайтов для атаки на «больших парней». Ваш веб-сервер может быть частью ботнета для DDoS-атак.
5. Хакеры могут использовать ваш сайт для распространения вредоносных программ. Тысячи небольших веб-сайтов — хороший способ распространения вредоносного ПО, поскольку владельцы небольших веб-сайтов не могут позволить экспертам по безопасности проверять безопасность.
6. Хакеры могут использовать ваш веб-сайт для увеличения трафика и рейтинга своего веб-сайта в Google, размещая обратные ссылки.

Поэтому, даже если вы только начинаете создавать сайт, вы должны очень внимательно относиться к безопасности. Дело не только в тебе. Ваша невнимательность может затронуть и других (DDoS-атака).

WordPress был взломан, стоит ли искать другие платформы?

Во-первых, никакая система (веб-сайт или персональный компьютер) не является безопасной. Люди даже нашли способы взломать системы с воздушным зазором (изолированные компьютеры).

Какую бы платформу вы ни выбрали, хакеры найдут путь к ней.

Причина, по которой многие веб-сайты WordPress подвергаются взлому, заключается в том, что WordPress очень популярен. Около 27% веб-сайтов используют WordPress, и их количество растет. Итак, WordPress стал золотой жилой для хакеров и спамеров.

Киберпанки постоянно атакуют WordPress, потому что, если им удастся найти уязвимость, они могут получить контроль над 27% Интернета.

Другая причина, по которой сайты WordPress взламывают, заключается в том, что это открытая среда. Пользователи могут сами кодировать и изменять веб-сайты. Они могут добавлять сторонние плагины.

Итак, стоит ли вам искать другую CMS для своего сайта?

Нет.

Проблема не в основном коде WordPress, а в плагинах и темах, которые вы устанавливаете. Но с другой стороны, как я уже говорил ранее, ни одна система не является полностью безопасной.

Если сам WordPress небезопасен, почему 27% пользователей Интернета используют его?

Многие добровольцы уделяют особое внимание поддержке базовой системы и репозитория WordPress. Темы и плагины, доступные в репозитории WordPress, тщательно тестируются на безопасность и надежность.

Кроме того, команда WordPress очень умело решает все проблемы безопасности. Они постоянно выпускают обновления с исправлениями безопасности. Таким образом, вы можете доверять WordPress для своего сайта.

Тем не менее, вы, как владелец веб-сайта, также должны быть особенно осторожны. Вы всегда должны регулярно следить за своим сайтом.

Вот 15 мер безопасности WordPress, которым вы должны следовать, чтобы свести к минимуму риск взлома вашего сайта!

Совет для профессионалов: всегда делайте резервные копии ваших файлов WordPress, включая базу данных, перед внесением изменений в ваши файлы и установкой плагинов безопасности.

Примечание. Некоторые ссылки в этом руководстве являются партнерскими ссылками. Мы получаем определенную комиссию, если вы покупаете услуги/товары по ссылкам без каких-либо дополнительных затрат для вас. При этом мы не рекомендуем продукты, которые не стоят того.

1. Используйте уникальное имя пользователя и пароль

Когда вы устанавливаете WordPress, WordPress автоматически создает имя пользователя с именем «admin». Я думаю, что это отличная функция, потому что она избавляет меня от утомительной задачи ввода собственного имени пользователя. Я могу сосредоточиться на других действительно важных вещах. Спасибо, WordPress!

Знаю, знаю. Это глупое оправдание. Но меняли ли вы имя пользователя «admin» по умолчанию при установке WordPress? Добро пожаловать в клуб!

Когда хакеры пытаются войти в вашу панель администратора, они сначала пробуют «admin» в качестве имени пользователя.

Что такого особенного в имени пользователя, когда у вас есть надежный пароль?

Ну, я знаю, что надежный пароль — это хорошо. Но если вы по-прежнему используете «admin» в качестве имени пользователя, вы вдвое уменьшаете усилия хакера. Перестановки уменьшаются.

Хакеры могут просто попробовать комбинацию разных паролей, так как они уже знают ваше имя пользователя.

Но облом в том, что вы не можете изменить имя пользователя в WordPress!

Хотя вы можете установить какой-нибудь плагин для изменения имени пользователя, я не рекомендую использовать плагины для простых задач.

Поэтому просто создайте нового пользователя с правами администратора, а затем удалите старого пользователя с правами администратора. Не волнуйтесь, WordPress спросит вас, что вы хотите делать с сообщениями, созданными пользователем.

При создании нового пользователя используйте не слишком очевидное имя пользователя, например, «myname» или «mysitename».

Что касается пароля, простое правило заключается в том, что ваш пароль должен быть сложным , длинным и уникальным .

Сложный: Ваш пароль должен содержать как минимум 1 цифру, 1 заглавную букву и 1 специальный символ.

Длинный: Ваш пароль должен быть не менее 10 символов.

Уникальный: Ваш пароль не должен содержать общеупотребительные слова или фразы. И вы должны использовать разные пароли для каждого веб-сайта.

После того, как вы примените вышеуказанные правила пароля, ваш пароль должен выглядеть так: LTwYgrsewDhw@ertzK9#M!K%

Это надежный пароль. Но проблема в том, что мы люди, и это трудно запомнить.

Поэтому используйте такие инструменты, как LastPass и KeePass. Они бесплатны, и вы можете использовать их на нескольких устройствах.

Если вы все еще думаете, что вам могут сойти с рук простые пароли, потому что вы креативны, я надеюсь, что это изменит ваше мнение.

2. Используйте двухфакторную аутентификацию

Теперь вы использовали уникальное имя пользователя и надежный пароль для панели администратора WordPress.

Здорово!

Это шаг к повышению безопасности WordPress.

Но, какими бы сильными ни были пароли, их можно взломать! Хакеры используют атаки грубой силы (мы поговорим об этом позже), чтобы проникнуть на ваш сайт. Сильная атака грубой силы может взломать любой пароль.

Вот почему вы должны начать использовать двухфакторную аутентификацию на своем сайте. Это повысит безопасность.

Двухфакторная аутентификация требует, чтобы вы вводили защитный код, помимо имени пользователя и пароля для входа в систему. После активации двухфакторной аутентификации вы получите код (одноразовый) на свой смартфон. Вы сможете войти только после того, как введете код.

Я знаю, это хлопотно, но помните, лучше перестраховаться, чем потом сожалеть. Если гуру безопасности не найдут какие-то варианты входа в систему ДНК, два фактора — лучший метод безопасности.

К сожалению, WordPress не имеет встроенных настроек для добавления двухфакторной аутентификации. Вам нужно будет использовать плагин под названием Google Authenticator.

Если вы не знакомы с двухэтапной аутентификацией Google, у Evanto tuts+ есть отличные руководства по использованию двухфакторной аутентификации Google с WordPress.

3. Подтвердите пользователя как человека

Хакеры используют ботнеты для атаки на системы методом грубой силы. И один из способов действительно доставить неприятности хакерам — использовать форму reCAPTCHA.

Как правило, ботнеты не могут проверить reCAPTCHA, поэтому хакерам приходится вручную вводить имена пользователей и пароли. Это, друг мой, заноза в… сами знаете где.

Но старая reCAPTCHA, которая использует искаженный текст, неэффективна. Мы все были там, когда вам нужно было сделать дикую догадку о некоторых буквах.

Чтобы сделать reCAPTCHA более удобным для человека и отпугивающим ботов, Google представил новую функцию «No CAPTCHA reCAPTCHA». Новая невидимая reCAPTCHA может даже автоматически обнаруживать человека.

Вы можете добавить reCAPTCHA в свою форму входа, комментария и/или регистрации WordPress вручную или с помощью плагина No CAPTCHA reCAPTCHA.

Но сначала вам нужно получить ключ reCAPTCHA от Google. После того, как вы получите ключи, введите их в свои коды, если делаете это вручную, или в настройки плагина, если используете плагин.

4. Обновите WordPress

Вы должны всегда обновлять WordPress. Обновления WordPress предназначены не только для добавления функций. Обновления выпускаются, в первую очередь, для исправления ошибок и дыр в безопасности.

Но что, если у меня возникнут проблемы совместимости с моими темами и плагинами после обновления WordPress? Ну, обычно хорошие темы и плагины выпускают обновления, как только обновляется ядро ​​WordPress.

Если плагины или темы, которые вы используете, не обновлялись, то пришло время найти им альтернативу.

Большинство взломанных веб-сайтов используют устаревший WordPress, плагины или темы. Устаревшие версии плагинов могут подвергнуть риску ваш сайт.

Итак, обновите свои темы и плагины как можно скорее! Если нет доступных обновлений, измените их. Вы можете найти множество актуальных тем и плагинов в репозитории WordPress.

Вы также можете попробовать наши темы WordPress. Мы регулярно обновляем их, чтобы вам не приходилось беспокоиться о проблемах безопасности тем.

Как обновить WordPress

Обновить WordPress легко. WordPress автоматически отображает уведомления на панели инструментов, если есть какие-либо обновления для основной системы, тем или плагинов.

Перейдите в « Панель управления»> «Обновления» и нажмите на кнопки обновления.

Вы также можете включить автоматические обновления, чтобы ваш основной WordPress, плагины и темы автоматически обновлялись для второстепенных выпусков. Вы получите уведомление по электронной почте, когда ваш сайт будет автоматически обновлен.

5. Отключить редактирование файлов

Вы можете легко настроить свой сайт с помощью встроенного редактора кода в WordPress.

Однако представьте, хакерам каким-то образом удалось войти на ваш сайт. Теперь они также могут легко редактировать ваш сайт с помощью редактора. Поэтому безопасно отключать редактирование WordPress через редактор.

Чтобы отключить редактор, сначала сделайте резервную копию вашего WordPress. Затем найдите файл wp-config.php в админке вашего сайта. Вы можете найти wp-config.php в корневой папке вашего сайта вместе с другими папками, такими как wp-admin и wp-content .

Вы можете использовать FTP-клиент для подключения к серверной части сайта. Или, если у вас есть доступ к cPanel, вы можете использовать диспетчер файлов, доступный в cPanel.

Теперь добавьте следующую строку кода в файл wp-config.php и сохраните файл.

После обновления файла вы не сможете редактировать шаблоны тем с помощью панели управления WordPress. Вы по-прежнему можете изменять темы с помощью FTP или файлового менеджера cPanel.

6. Ограничьте количество попыток входа в систему

Когда вы устанавливаете WordPress, WordPress спрашивает вас, установить ли плагин ограничения попыток входа в систему или нет.

Ограничение попыток входа в систему — отличный способ защитить ваш сайт от атак методом грубой силы.

Хакеры попытаются войти на ваш сайт с помощью различных комбинаций входа. Однако, если вы включите ограничение на количество попыток входа, вы разрешаете пользователям пытаться войти только определенное количество раз, после чего пользователь блокируется.

Если вы забыли отметить эту опцию во время установки WordPress, не волнуйтесь. Вы можете найти плагин в репозитории WordPress.

Перейдите в « Плагины»> «Добавить новый » в меню панели инструментов WordPress. Найдите «Loginizer», а затем установите и активируйте плагин.

После активации плагина перейдите в Loginizer Security > Brute Force в меню администратора WordPress, чтобы настроить защиту входа.

7. Защита от грубой силы

Хакеры используют атаки грубой силы, чтобы получить доступ к панели администратора или FTP-аккаунтам вашего сайта. По сути, атака грубой силы — это метод проб и ошибок. Это как пробовать разные комбинации клавиш, чтобы открыть замок. Злоумышленники могут использовать ботнеты для автоматизации атак.

Чтобы защитить свой веб-сайт от атак методом перебора, следуйте инструкциям 1, 2, 3 и 6.

Вы также можете изменить URL-адрес входа по умолчанию (www.mywebsite.com/wp-admin/), чтобы хакерам было трудно найти форму входа.

Вы можете создать собственный URL-адрес для входа с помощью плагина All In One WordPress Security & Firewall. После установки плагина перейдите в раздел Brute Force, чтобы включить собственный URL-адрес для входа. У этого плагина так много функций, что вам даже не понадобятся другие плагины безопасности WordPress, если вы установите этот.

8. Защита от DDoS-атак

С таким количеством устройств, подключенных к Интернету, частота DDoS-атак увеличивается.

DDoS — это метод переполнения веб-сайта/сервиса поддельным трафиком с целью отключения сервиса. Хакеры используют зараженные системы (с вредоносными программами) для проведения DDoS-атак. В 2016 году хакеры взломали DYN, отключив многие известные веб-сайты, такие как Twitter, Amazon, Reddit и Netflix.

Поэтому вы всегда должны быть готовы противостоять DDoS-атакам.

Соблюдая вышеупомянутые меры безопасности (1, 2, 3, 4, 6 и 7), вы уже готовы к DDoS-атакам.

В дополнение к этому я бы также рекомендовал использовать облачные сервисы, такие как CloudFlare или MaxCDN. Они могут помочь вам смягчить атаки DDoS.

Точно так же кэширование вашего веб-сайта также может помочь вам защитить его от перегрузки по трафику. Вы можете кэшировать свой сайт с помощью таких плагинов, как WP Super Cache.

9. Сканируйте на наличие вредоносных программ и удаляйте их

Поскольку вы так внимательно читаете мои советы по безопасности (я очень на это надеюсь), позвольте мне рассказать вам кое-что пострашнее, если вы еще не запаниковали!

Хакеры хитрые! Возможно, они уже разместили вредоносное ПО в ваших веб-файлах.

Поэтому вам необходимо как можно скорее просканировать веб-сервер на наличие вредоносных файлов! И удалите их.

Как это сделать?

Вставьте плагин безопасности. Sucuri Security — лучший бесплатный плагин для обнаружения и удаления вредоносных программ в WordPress.

Если вам не нравится добавлять плагины или вы хотите выполнять полное сканирование на стороне сервера, подпишитесь на Sucuri. Эта услуга стоит вам.

Если вы не можете позволить себе Sucuri (я знаю, что это дорого), есть шоссе. Поскольку я проповедовал вам обо всех этих технических вещах, я думаю, вы заслуживаете угощения.

Вот как бесплатно сканировать и удалять вредоносные программы с вашего сайта!

Сначала загрузите папку public_html со своего сервера с помощью FTP-клиента по вашему выбору. Затем просканируйте загруженную папку с помощью антивирусной программы (Norton, Kaspersky или какой-либо другой) на своем компьютере. Убедитесь, что антивирусная программа обновлена.

После этого замените старый файл public_html новым, очищенным с помощью FTP. Так просто!

10. Хороший веб-хостинг

Веб-хостинг играет важную, очень важную роль в обеспечении безопасности веб-сайта.

Хороший веб-хостинг предоставляет вам поддержку и инструменты для борьбы с DDoS-атаками, атаками грубой силы и вредоносными программами. Поэтому я рекомендую хостинг SiteGround, поскольку они обеспечивают высокий приоритет безопасности.

Как правило, план виртуального хостинга более уязвим, поскольку сервер используется совместно с другими веб-сайтами. Хакеры могут использовать другие веб-сайты на том же сервере для атаки на ваш веб-сайт на виртуальном хостинге. Эта концепция называется перекрестным загрязнением.

Часто считается, что лучше всего получить выделенный хостинг или VPS-хостинг, но они дороги. Как стартер, у вас может не быть бюджета для этого.

Значит ли это, что вы рискуете собой? Нет. Даже виртуальный хостинг можно защитить.

Хорошие хостинговые компании, такие как SiteGround, устанавливают брандмауэры, такие как ModSecurity, даже в планах общего хостинга. Кроме того, они ограничивают количество веб-сайтов на сервере и регулярно сканируют серверы на наличие вредоносных программ.

Точно так же, если ваш веб-хостинг может предоставить вам Sucuri Security, это плюс.

11. Выбирайте плагины и темы с умом

Что ж, выбирайте плагины и темы с умом. Это все, что вам нужно знать по этой теме.

Возможность установки сторонних плагинов и тем делает WordPress уязвимым для хакеров.

Плагины и темы WordPress, доступные в репозитории WordPress, безопасны. Но если вам нужно добавить некоторые плагины или темы вручную, всегда проверяйте наличие вредоносных программ с помощью антивирусного программного обеспечения, прежде чем загружать их на свой WordPress.

Кроме того, перед установкой плагинов или тем проверьте наличие отзывов и дату последнего обновления.

12. Удалите ненужные/устаревшие темы и плагины

Всегда держите ваш WordPress в чистоте.

Если вы в настоящее время не используете какие-либо плагины или темы и они устарели, удалите их. Они могут приглашать хакеров.

Точно так же перейдите в заднюю часть WordPress и проверьте, есть ли у вас ненужные файлы, сравнив их с файлами WordPress по умолчанию.

Или вы можете просто сделать новую установку WordPress.

Во-первых, сделайте резервную копию ваших баз данных и WordPress. Затем удалите WordPress. И установите новый обновленный WordPress.

Убедитесь, что вы информируете своих посетителей во время обслуживания, отображая страницу обслуживания.

13. Защитите .htaccess и wp-content.php

Только Всевышний знает, что могут сделать хакеры, получив доступ к вашему файлу .htaccess или wp-content.php.

Таким образом, вы всегда должны скрывать файлы .htaccess и wp-content.php. Даже если вы не умеете программировать, вы можете легко защитить .htaccess и wp-content.php, вставив несколько кодов в файл .htaccess.

Пожалуйста, сохраните резервную копию файла .htaccess, прежде чем вносить в него изменения.

Найдите файл .htaccess в корне вашего веб-сайта и добавьте в него следующие строки кода.

Код для скрытия wp-config.php

Код для скрытия файла .htaccess

14. Скрыть конфиденциальную информацию

Убедитесь, что вы удалили (или хотя бы переименовали) файл readme.html после установки WordPress. Файл Readme сообщит хакерам, какую версию WordPress вы используете.

Кроме того, если вы создали файл phpinfo.php или i.php, я рекомендую вам удалить или переименовать его. Этот файл содержит всю информацию о вашем сервере.

Кроме того, отключите индексацию каталогов. Злоумышленники могут видеть структуру ваших папок и файлов при просмотре каталогов. Вам не нужно быть технически подкованным, чтобы сделать это. Просто перейдите к файлу .htaccess и добавьте следующий код в конец файла.

15. Будьте впереди и в курсе

Хакеры всегда на шаг впереди всех экспертов по безопасности. На самом деле эксперт по безопасности даже не узнает о дыре в безопасности, пока кто-нибудь не взломает систему.

Поэтому всегда держите себя в курсе новостей и проблем безопасности. Следите за охранными компаниями в Twitter или Facebook или даже подписывайтесь на их информационные бюллетени.

Kerbsonsecurity — отличный блог, где вы можете быть в курсе проблем безопасности.

Вывод

Сделайте игру в угадайку сложной для хакеров!

Вы не можете остановить хакеров от взлома. Все, что вы можете сделать, это подготовиться к атакам.

Хорошие ребята усердно работают над защитой WordPress от хакеров, но случаются ошибки.

Всегда сохраняйте резервную копию своего веб-сайта на случай, если хакеры захватят ваш сайт. Храните резервную копию в безопасном месте(ах) (по возможности в нескольких местах).

Наконец, следуйте всем вышеупомянутым 15 советам по обеспечению безопасности сайта WordPress. И держите себя, темы, плагины и WordPress обновленными!

Да прибудет с тобой сила.