Руководство по безопасности WordPress: Обеспечение безопасности WordPress 2022

Опубликовано: 2022-02-17

Представьте это:

Вы открываете свой сайт WordPress, весь с горящими глазами, пушистым хвостом и готовый загрузить свой последний пост в блоге… только для того, чтобы встретить кучу странного контента, побуждающего людей покупать фармацевтические таблетки на отрывочных веб-сайтах.

Это худший кошмар большинства веб-мастеров, но это может случиться с вашим сайтом WordPress… если вы не внедрите правильные передовые методы безопасности.

Мы не пытаемся вас напугать — WordPress безопасен . У него есть специальная команда безопасности и армия знающих участников и разработчиков, которые помогают поддерживать его таким.

Но если вы не опираетесь на этот безопасный фундамент, следуя передовым методам безопасности WordPress, вы можете открыть дверь для злоумышленников, чтобы проникнуть на ваш сайт.

В этом посте мы здесь, чтобы помочь вам узнать, каковы эти лучшие практики, чтобы вы могли предотвратить превращение этого кошмарного сценария в реальность.

С этой целью мы рассмотрим следующие разделы:

  • Безопасен ли WordPress?
  • Почему не стоит ждать, чтобы привести свою безопасность в порядок
  • 21 вещь, которую вы можете сделать с безопасностью прямо сейчас
  • Риски нарушения безопасности
  • Как понять, что ваш сайт взломан
  • Три первоклассных плагина безопасности WordPress
  • Три наиболее важные тактики безопасности для реализации
  • Мониторинг и устранение нарушений безопасности WordPress

Хотя вам может потребоваться несколько часов, чтобы ознакомиться с рекомендациями, описанными в этом посте, эти небольшие вложения сейчас окупятся в будущем в виде безопасного, пуленепробиваемого сайта WordPress.

Безопасен ли WordPress?

WordPress поддерживает более 43% всех веб-сайтов в Интернете, а это означает, что он является лакомой целью для злоумышленников.

Тот факт, что WordPress настолько популярен, также означает, что его используют самые разные люди, в том числе люди с совершенно разным уровнем знаний. Сравните опытного разработчика с кем-то, кто только запускает свой первый блог… и всех, кто между ними.

Здесь есть хорошие и плохие новости…

Хорошие новости:

WordPress безопасен . Вот почему его используют так много обычных людей, а также крупные организации, такие как Белый дом США и Facebook.

WordPress используется крупными брендами, которые ценят безопасность

Facebook и Белый дом не стали бы доверять свои веб-сайты небезопасной платформе. Более того, 43% веб-сайтов в Интернете не работали бы на WordPress, если бы он не был безопасным.

Плохая новость :

Многие сайты WordPress взламываются. Судя по отчетам Sucuri о взломе веб-сайтов, WordPress чаще всего подвергается взлому ( помните — он очень популярен ).

Итак, как WordPress может быть безопасным, а сайты могут быть взломаны? Разве это не взаимоисключающие вещи?

Ну, ответ полностью в том, как люди используют WordPress.

Если вы будете активно следовать рекомендациям по безопасности, подобным тем, которые мы рассмотрим в этом посте, вы сможете обеспечить безопасность своего сайта WordPress и избежать проблем.

У WordPress есть большой аппарат безопасности, в том числе официальная команда безопасности из 50+ членов и множество опытных разработчиков, которые создают безопасные расширения и отмечают потенциальные проблемы.

Эти люди проделали большую работу по обеспечению безопасности WordPress, но вам все равно нужно внести свой вклад, если вы хотите, чтобы он оставался таким.

Если вы не опираетесь на тяжелую работу этих участников WordPress и не следуете передовым методам, вы можете сделать ошибки, которые откроют дыры в программном обеспечении WordPress, будь то использование слабого пароля, установка уязвимого плагина или что-то еще.

Почему вы не должны ждать, чтобы серьезно относиться к безопасности WordPress

Безопасность WordPress — это одна из тех вещей, которые кажутся не очень важными… до тех пор, пока не станут действительно важными .

У вас много дел в плане маркетинга и развития вашего сайта, поэтому легко отодвинуть безопасность на задний план, потому что трудно связать улучшения безопасности с такими показателями роста, как трафик или доход.

Мы здесь немного прямолинейны, но такое мышление невероятно недальновидно. Внедрение приведенного ниже контрольного списка безопасности WordPress требует некоторого времени и, возможно, небольших денег, но эти затраты меркнут по сравнению с тем, что вы «заплатите», если ваш сайт взломан.

Одно нарушение безопасности легко «стоит» вам дороже с точки зрения потерянного времени, дохода, SEO-трафика и доверия ваших посетителей.

По сути, вы не хотите рисковать безопасностью своего сайта. Потратьте время сейчас , чтобы защитить себя от огромных затрат в будущем.

20 вещей, которые вы можете сделать прямо сейчас о безопасности WordPress

До сих пор мы говорили о теории. Теперь давайте начнем переходить к некоторым действенным тактикам блокировки вашего сайта, начиная с контрольного списка безопасности WordPress, который вы можете внедрить для защиты своего сайта уже сегодня.

1. Разберитесь с основными темами безопасности WordPress

Прежде чем что-либо менять на своем сайте, вы должны понять основные темы безопасности WordPress:

  • Ограничьте доступ — ограничьте доступ к вашему сайту как с помощью предполагаемых методов (учетных записей пользователей), так и непреднамеренных методов (уязвимостей).
  • Содержать проблемы — если злоумышленник все же получит доступ, вы хотите ограничить ущерб, который он может нанести.
  • Используйте только доверенных третьих лиц — хотя ядро ​​WordPress защищено, каждое расширение, которое вы добавляете на свой сайт, является потенциальной уязвимостью.

2. Своевременно применяйте обновления WordPress

Чтобы защитить свой сайт от возникающих уязвимостей в системе безопасности, важно своевременно применять обновления ядра WordPress, обновления плагинов и темы. Особенно это касается обновлений безопасности, которые следует применять немедленно*.

*Обновления безопасности имеют две точки в номере версии, например 5.9.1. Вы можете подождать, чтобы применить основные обновления функций, которые имеют только одну точку — например, 5.9.

3. Используйте надежные пароли для всего

Использование надежных уникальных паролей для вашей учетной записи администратора WordPress, учетной записи хостинга и других инструментов (например, учетных данных SFTP) может иметь большое значение для предотвращения атак методом грубой силы и других типов атак на основе входа в систему.

Для безопасного хранения паролей вы можете использовать менеджер паролей, например Bitwarden или LastPass. Эти менеджеры паролей также могут помочь вам создать уникальные пароли.

4. Используйте надежные плагины

Устанавливайте плагины только от доверенных разработчиков, которые все еще активно поддерживают плагин для учета новых выпусков WordPress и недавно обнаруженных уязвимостей.

5. Защитите свой компьютер

Убедитесь, что компьютер, который вы используете для доступа к своему сайту WordPress, чист. Используйте качественное антивирусное программное обеспечение и регулярно выполняйте сканирование на наличие вредоносных программ.

6. Заблокируйте свою страницу входа

Помимо использования надежных паролей, вы можете защитить свою страницу входа с помощью таких тактик, как ограничение попыток входа и двухфакторная аутентификация. Вы можете сделать это с помощью бесплатных плагинов для конкретных функций, таких как «Ограничить количество попыток входа в систему» ​​и «Двухфакторная аутентификация». Или вы можете использовать некоторые из широких плагинов безопасности WordPress, которые мы обсудим позже в этом посте.

Вы также можете изменить URL-адрес входа в WordPress. Хотя это не добавляет дополнительной безопасности при входе в систему, если вы применяете приведенные выше советы, это может сократить трафик ботов.

7. Делайте регулярные резервные копии

Создание регулярных резервных копий и их длительное хранение — важный элемент безопасности WordPress. Если у вас есть недавняя резервная копия, в худшем случае нарушение безопасности — это неудобство, а не катастрофа, когда речь идет о данных вашего сайта.

В настоящее время большинство управляемых хостингов WordPress предлагают автоматическое резервное копирование за пределы сайта. Если нет, вы можете использовать такой плагин, как UpdraftPlus.

8. Используйте безопасный хостинг

Используйте высококачественный хост WordPress, который реализует надежные протоколы безопасности, такие как брандмауэры и сканирование вредоносных программ. Хотя вы не должны полагаться только на свой хост, качественный хост WordPress может иметь большое значение для обеспечения безопасности вашего сайта WordPress.

9. Установите SSL-сертификат и используйте HTTPS

Убедитесь, что вы установили сертификат SSL и настроили свой сайт так, чтобы весь трафик направлялся на безопасную версию HTTPS. Это гарантирует, что любые данные, передаваемые между веб-браузером посетителя и сервером вашего сайта, будут зашифрованы.

Вы можете проконсультироваться со службой поддержки вашего хоста или документацией, чтобы узнать, как установить SSL-сертификат, а плагины, такие как Really Simple SSL, могут помочь вам направить HTTPS-трафик на ваш сайт.

10. Используйте SFTP и не храните пароли

Убедитесь, что вы используете SFTP при подключении к серверу вашего сайта, а не обычный FTP (который не зашифрован). Кроме того, старайтесь не хранить пароли SFTP в FTP-клиенте, если только они не зашифрованы и не защищены паролем.

11. Отключить XML-RPC

XML-RPC помогает некоторым приложениям, таким как приложение для iPhone, подключаться к вашему сайту WordPress. Большинство людей никогда не будут использовать эти приложения для подключения, а это означает, что XML-RPC — это просто ненужный вектор уязвимости для атак методом перебора или DDoS-атак.

По этой причине большинство людей отключают XML-RPC, что можно сделать с помощью подключаемого модуля, такого как Disable XML-RPC, или одного из общих подключаемых модулей безопасности, которые мы обсудим позже.

12. Отключить редактирование файлов

По умолчанию WordPress позволяет пользователям-администраторам напрямую редактировать файлы тем и плагинов с панели управления WordPress, что представляет собой огромную уязвимость, если злоумышленник когда-либо получит доступ к вашей панели.

Вы можете отключить его, добавив строку в файл wp-config.php .

13. Следите за проблемами безопасности

Внедрение регулярных политик мониторинга безопасности может помочь вам выявлять проблемы до того, как они станут более серьезными проблемами. Мы поговорим о надлежащих методах мониторинга позже в этом посте.

14. Безопасные ключевые файлы и папки WordPress

Некоторые файлы и папки WordPress особенно уязвимы, поэтому вам следует уделить особое внимание защите файла wp-config.php и папок wp-admin и wp-includes .

15. Реализуйте правильные права доступа к файлам

Права доступа к файлам контролируют доступ, который пользователи и программы имеют к файлам и папкам на вашем хост-сервере. Если они неправильно настроены, они могут предоставить злоумышленникам доступ к важным файлам, таким как ваш файл wp-config.php или файл .htaccess .

Чтобы узнать о правильных разрешениях для WordPress, вы можете прочитать эту страницу WordPress.org.

16. Рассмотрите возможность ведения журнала активности

Ведение журнала активности позволяет вам отслеживать, что происходит на вашем сайте, что может помочь вам обнаружить подозрительное поведение, прежде чем оно станет серьезной проблемой.

Чтобы настроить ведение журнала активности, вы можете использовать специализированный плагин, такой как WP Activity Log. Или некоторые универсальные плагины безопасности WordPress также включают функцию ведения журнала.

17. Добавьте последние заголовки безопасности

Заголовки безопасности HTTP могут помочь защитить ваш сайт, контролируя, как веб-браузеры взаимодействуют с содержимым вашего сайта. Обычно вы настраиваете их на уровне сервера — у KeyCDN есть отличный пост, объясняющий наиболее важные заголовки безопасности.

18. Защитите свою базу данных

Использование уникального префикса таблицы базы данных и уникального имени базы данных может немного затруднить внедрение злоумышленниками вредоносного содержимого в вашу базу данных, хотя некоторые эксперты спорят о его полезности. Учитывая, что это изменение легко применить, оно все равно того стоит, даже если это небольшое количество «безопасности за счет неясности».

19. Отключить хотлинкинг

Горячая ссылка на ваши изображения другими сайтами может не представлять прямой угрозы безопасности, но может негативно сказаться на вашем сервере с точки зрения напрасной траты ресурсов, поэтому хорошей практикой безопасности является отключение горячей ссылки.

20. Заранее настройте защиту от DDoS

Составьте план борьбы с распределенными атаками типа «отказ в обслуживании». Вы можете спросить своего хоста о том, какие средства защиты у него есть, или добавить свой сайт в Cloudflare, чтобы вы могли быстро включить режим Cloudflare «Я под атакой», если это необходимо.

Каковы риски, когда сайт взломан?

Существует три основных типа рисков, если ваш сайт взломан…

Риски для ваших веб-посетителей

Если вы храните данные о своих посетителях, злоумышленники могут получить доступ ко всей этой информации, что может привести к краже личных данных или краже финансовых средств в зависимости от данных, которые вы храните.

Злоумышленники также могут попытаться обманом заставить пользователей загружать вредоносные файлы и заражать их компьютеры.

Риски для владельцев сайтов

Нарушение безопасности может вызвать прямые проблемы в виде потери данных, напрасной траты времени и недоступности сайта. Если вы не поддерживаете регулярные резервные копии ( что, надеюсь, не так после прочтения этого руководства ), вы можете даже потерять весь свой сайт и вам придется восстанавливать его с нуля.

Нарушение может также вызвать менее ощутимые проблемы, такие как потеря доверия со стороны ваших посетителей или общий репутационный ущерб.

Риск для других сайтов

Если вы используете виртуальный хостинг и/или размещаете некоторые из своих других сайтов на той же учетной записи хостинга, взлом одного сайта может быстро распространиться на другие сайты, если сайты не изолированы друг от друга. Таким образом, заражение одного сайта может действовать как костяшка домино, уничтожая другие сайты, даже если в противном случае эти сайты были бы безопасными.

Как узнать, был ли взломан ваш сайт WordPress

Узнать, что ваш сайт взломан, можно двумя способами:

  • Реактивные признаки — вы обнаруживаете проблему, потому что видите проблему на своем сайте.
  • Упреждающие знаки — ваши протоколы мониторинга безопасности предупреждают вас о проблеме до того, как она проявится на вашем сайте.

В идеале вы хотите использовать инструменты, которые позволяют заранее устранять проблемы, а не ждать, пока они станут проблемой. Таким образом, вы можете минимизировать ущерб для вашего сайта.

Реактивные признаки взлома

  • Предупреждение браузера — большинство браузеров будут отображать предупреждение при посещении зараженной страницы. Если это происходит, когда вы посещаете свой собственный сайт, вы знаете, что у вас есть проблема.
  • Предупреждение поисковой системы — Google также будет предупреждать посетителей, если они перейдут по ссылке, ведущей на зараженный сайт. Пишет что-то вроде "Возможно, этот сайт взломан".
  • Услуги для веб -мастеров — если вы используете Google Search Console, Google предупредит вас о проблемах безопасности, если вы перейдете в раздел «Безопасность и действия вручную» → «Проблемы безопасности» .
  • Посетители веб -сайтов — если посетители веб-сайтов столкнутся с вредоносным содержимым, они могут сообщить вам об этом напрямую.
Google Chrome отображает предупреждение, если сайт заражен вредоносным ПО

Проактивные признаки взлома

  • Сканер вредоносных программ — сканер вредоносных программ может обнаружить вредоносный код на вашем сервере, даже если он еще не начал влиять на интерфейс вашего сайта.
  • Проверка целостности файлов — если основные файлы WordPress не соответствуют официальным версиям, это признак того, что на вашем сайте что-то не так. Большинство подключаемых модулей безопасности автоматически предупредят вас, если файл ядра был изменен.
  • Мониторы трафика — мониторинг трафика вашего сайта WordPress поможет вам обнаружить нарушения по мере их возникновения.
Плагин Wordfence предлагает сканирование безопасности WordPress.

Три лучших плагина и инструмента безопасности WordPress

Если вам нужно дополнительное спокойствие, когда речь заходит о безопасности WordPress, вы можете рассмотреть возможность использования специального плагина или службы безопасности WordPress.

Хотя эти инструменты не полностью устраняют необходимость быть бдительными, они могут справиться с большинством передовых методов безопасности WordPress для вас.

Вот три лучших:

1. Wordfence

Wordfence — один из лучших плагинов безопасности WordPress.

Wordfence — самый популярный плагин безопасности WordPress на WordPress.org. Он имеет полный набор функций, которые могут защищать и контролировать все области безопасности вашего сайта:

  • Брандмауэр веб-приложений (WAF) для упреждающей блокировки угроз до того, как они смогут нанести вред вашему сайту. Включает постоянно обновляемый набор определений для блокировки возникающих угроз.
  • Сканирование вредоносных программ и систем безопасности для обнаружения инфекций или уязвимостей в системе безопасности.
  • Функции безопасности при входе, включая ограничение попыток входа, двухфакторную аутентификацию, защиту от утечки пароля, отключение/защиту XML-RPC и многое другое.
  • Ведение журнала в режиме реального времени для обнаружения злоумышленников.
  • Уведомления , чтобы мгновенно предупредить вас о потенциальных проблемах на вашем сайте.
  • Множество других более мелких тактик усиления безопасности, включая обнаружение изменений в файлах.
  • Центральная панель управления безопасностью, позволяющая управлять безопасностью нескольких сайтов из одного места.

На WordPress.org есть бесплатная версия, а Wordfence Premium стоит от 99 долларов.

2. Сукури

Sucuri — это плагин и брандмауэр

Сукури состоит из двух вещей:

  1. Бесплатный плагин на WordPress.org, реализующий базовые методы повышения безопасности.
  2. Платный брандмауэр, который находится перед вашим сервером и блокирует вредоносный трафик до того, как он попадет на ваш сайт.

Для лучшей защиты вам нужно использовать оба инструмента.

Бесплатный плагин Sucuri реализует следующие функции усиления безопасности:

  • Мониторинг целостности файлов
  • Журналы аудита
  • Автоматический мониторинг черного списка
  • Основные параметры защиты, такие как отключение редактирования файлов и блокировка определенных файлов PHP.
  • Неудачный мониторинг входа в систему для обнаружения атак грубой силы
  • Автоматические оповещения безопасности по электронной почте

Чтобы использовать службу брандмауэра, вы измените серверы имен вашего домена на Sucuri, и брандмауэр Sucuri защитит ваш сайт на сетевом уровне.

Плагин Sucuri бесплатный, но стоимость брандмауэра начинается от 10 долларов в месяц. Вы также можете оплатить полный план обеспечения безопасности веб-сайта, который включает очистку и удаление вредоносных программ. Эти планы начинаются с 200 долларов в год.

3. Безопасность iThemes

iThemes Security Pro для WordPress

iThemes Security — еще один популярный инструмент, который может помочь вам защитить свой сайт и отслеживать его проблемы с безопасностью.

Вот чем это может помочь:

  • Сканер сайта автоматически обнаружит известные уязвимости на вашем сайте.
  • Защита входа , включая двухфакторную аутентификацию, ограничение попыток входа, доверенные устройства, требования к надежному паролю и многое другое.
  • Журналы безопасности, включая журналы событий безопасности и журналы активности пользователей.
  • Обнаружение изменения файла, чтобы увидеть, были ли изменены основные файлы.
  • Уведомления по электронной почте , чтобы мгновенно предупредить вас о потенциальных проблемах безопасности.
  • Общая защита WordPress , включая отключение XML-RPC, отключение редактирования файлов, проверку прав доступа к файлам и многое другое.

Одна функция, которую iThemes Security не предлагает, — это брандмауэр — разработчики рекомендуют соединить ее со службой брандмауэра Sucuri, если вам нужен брандмауэр.

Хотя на WordPress.org есть ограниченная бесплатная версия iThemes Security, вам понадобится iThemes Security Pro для лучшей защиты. Он начинается с 80 долларов.

Сосредоточьтесь на этих трех вещах для наибольшей рентабельности инвестиций в безопасность WordPress

Как и многое другое в жизни, безопасность WordPress следует принципу Парето 80/20. То есть, сосредоточив внимание на нескольких основных тактиках безопасности WordPress, вы получите большую часть пути к безопасному сайту.

Поэтому, хотя мы, безусловно, считаем важным следовать контрольному списку безопасности WordPress, которым мы поделились выше, сосредоточение внимания только на трех областях защитит вас от большинства проблем с безопасностью WordPress.

Пройдемся по ним…

1. Плагины

В то время как основное программное обеспечение WordPress является безопасным ( пока вы обновляете его ), плагины вводят переменные, которые основная команда не может контролировать, что делает их одним из самых больших векторов атак для злоумышленников.

Тем не менее, плагины также являются важной частью WordPress, поэтому не использовать их — нереалистичный вариант.

Вот три способа продолжать пользоваться плагинами, значительно минимизируя риски:

  • Избегайте заброшенных плагинов — если плагин больше не поддерживается, это означает, что нет никого, кто мог бы исправить недавно обнаруженные проблемы и обеспечить его совместимость с более новыми версиями WordPress.
  • Покупайте только у авторитетных разработчиков — используйте надежных разработчиков, таких как HeroThemes, которые следуют передовым методам безопасности WordPress и остаются в курсе возникающих угроз.
  • Регулярно обновляйте — даже лучшие плагины от лучших разработчиков иногда могут иметь недавно обнаруженные уязвимости. Качественные разработчики исправят эти уязвимости до того, как они станут проблемой, если вы своевременно обновите их.

2. Атаки грубой силы

Атаки грубой силы — это распространенный вектор атак, которые основаны на проникновении на ваш сайт через страницу входа. Неважно, насколько безопасна остальная часть вашего сайта — если злоумышленник может угадать ваше имя пользователя и пароль, у него есть ключи от входной двери.

Вот как защитить себя:

  • Используйте надежные уникальные пароли — выбирайте надежные пароли для всех своих учетных записей и не используйте один и тот же пароль в нескольких местах.
  • Ограничьте количество попыток входа — не позволяйте людям взломать вашу страницу входа, ограничив количество неудачных попыток входа и/или добавив CAPTCHA.
  • Рассмотрите возможность двухфакторной аутентификации — для еще большей безопасности вы можете рассмотреть возможность использования двухфакторной аутентификации с помощью SMS или, в идеале, с помощью приложения для смартфона или аппаратного ключа.
  • Уникальное имя пользователя — не используйте «admin» в качестве имени пользователя и постарайтесь сделать так, чтобы ваше имя пользователя было трудно угадать.
Пример ограничения попыток входа в WordPress

3. Учетная запись хостинга

Ваш сайт WordPress может быть полностью заблокирован; но если злоумышленник получит доступ к вашей учетной записи хостинга, он сможет делать с вашим сайтом практически все, что захочет.

Чтобы остановить это, важно также заблокировать свою учетную запись хостинга и сервер:

  • Используйте надежные пароли — как и в случае с вашей учетной записью WordPress, используйте надежные уникальные пароли для учетных записей хостинга и SFTP.
  • Включите двухфакторную аутентификацию — большинство хостинг-провайдеров поддерживают двухфакторную аутентификацию — воспользуйтесь этим.
  • Используйте SFTP — всегда подключайтесь через SFTP, а не через незашифрованный FTP.
  • Не храните пароли SFTP — не храните незашифрованные пароли SFTP в своем FTP-клиенте.

Мониторинг, выявление и устранение нарушений безопасности WordPress

Если вы примените все вышеперечисленные тактики безопасности WordPress, надеюсь, вам никогда не придется сталкиваться с нарушением безопасности.

Однако всегда есть вероятность , что что-то ускользнет, ​​поэтому важно иметь план для обнаружения и устранения проблем с безопасностью.

Мониторинг уязвимостей

  • Просканируйте свой сайт — используйте такие инструменты, как Sucuri SiteCheck, чтобы выявить проблемы из черного списка и просканировать сервер с помощью подключаемого модуля безопасности.
  • Google Search Console — обратите внимание на предупреждения в разделе вопросов безопасности.
  • Используйте команду Google site в поиске — введите site:yoursite.com, чтобы узнать, проиндексировал ли Google контент, который выглядит вредоносным. Это может быть контент, который вы не создавали, или контент со странными заголовками/мета-описаниями.
  • Журнал активности — просмотрите журнал активности вашего сайта, чтобы обнаружить подозрительную активность.
  • Проверяйте аналитику — ищите необъяснимые провалы или пики в аналитике трафика.
  • Файл .htaccess — обратите внимание на изменения в вашем файле .htaccess, так как именно в нем многие злоумышленники размещают вредоносные перенаправления или настраивают правила пользовательского агента, чтобы скрыть свой SEO-спам от посетителей.
Пример проверки черного списка в Sucuri SiteCheck

Выявление проблем

Как только ваши усилия по мониторингу обнаружили, что что-то идет не так, пришло время определить конкретную проблему на вашем сайте, чтобы вы могли исправить ее и заставить ваш сайт работать. Для этого вы можете использовать плагин безопасности для сканирования вашего сайта и выявления вредоносных файлов и бэкдоров.

Исправление вашего сайта

После того, как вы определили конкретную проблему, пришло время исправить ваш сайт.

Есть несколько различных маршрутов, которыми вы можете воспользоваться, в зависимости от серьезности инфекции и уровня ваших знаний:

  • Используйте плагин безопасности — многие плагины безопасности предлагают исправления в один клик, либо путем очистки файла, либо путем отката вашего сайта до чистой версии.
  • Наймите эксперта. Если вы чувствуете себя перегруженным, вы можете заплатить за экспертную услугу, такую ​​как Sucuri’s Website Security или Wordfence Site Cleaning Services.
  • Выполните ручную очистку — если у вас есть технические знания, вы можете очистить свой сайт вручную — у MalCare есть подробное руководство о том, как выполнить ручную очистку.

Если ваш сайт был занесен в черный список Google, вы также захотите запросить проверку после очистки вашего сайта. Вы можете сделать это в разделе « Проблемы безопасности » в Google Search Console.

Обеспечьте безопасность своего сайта WordPress

WordPress безопасен , но способы, которыми люди используют WordPress, не всегда безопасны.

Потратив немного времени на создание упреждающего плана безопасности WordPress, вы получите дивиденды в виде защищенного сайта и избавления от необходимости устранять нарушения в будущем.

Вы можете применить советы из этого поста и следовать контрольному списку безопасности WordPress, такому как контрольный список Wordfence. Если вам нужна помощь, вы также можете получить помощь от разработчика или нанять службу поддержки WordPress.

Безопасность WordPress также не является чем-то, в чем вы одиноки. У вас есть все сообщество WordPress на вашем сайте, помогающее вам создавать более безопасные сайты.

Здесь, в HeroThemes, мы сосредоточены на создании безопасных, надежных плагинов и тем, которые позволяют вам расширять свой сайт WordPress, сохраняя при этом его безопасность. Есть куча других разработчиков, делающих то же самое.

Если вы придерживаетесь подобных расширений и следуете другим рекомендациям по обеспечению безопасности, вы сможете пользоваться преимуществами безопасного сайта WordPress.