Руководство для начинающих по защите вашего сайта WordPress
WordPress — одна из самых популярных систем управления контентом.
Фактически, эта издательская платформа в настоящее время используется более чем 27,5% из 10 миллионов лучших сайтов. Другие платформы, такие как Joomla и Drupal, просто меркнут по сравнению с ними. Что делает WordPress настолько широко поддерживаемым, так это его простота использования, позволяющая создать полнофункциональный сайт за короткий период времени.
Но тот факт, что WordPress так широко распространен, также делает его мишенью для хакеров.
Любые уязвимости в системе безопасности могут сделать ваш сайт уязвимым для вредоносных атак и даже поставить под угрозу пользовательские данные. Такого рода атаки могут быть абсолютно разрушительными для любого бизнеса.
Скомпрометированный сайт не только снижает доверие посетителей, но и может привести к тому, что ваши страницы будут занесены в черный список Google. На самом деле, один шаг, который Google уже делает для более безопасной сети, — это отображение предупреждения для пользователей Chrome, если они пытаются посетить потенциально небезопасный или вводящий в заблуждение сайт (например, фишинговый или вредоносный).
Любой, кто посещает ваш сайт (если он подвергся атаке), может столкнуться со следующим:
Важность безопасности веб-сайта невозможно переоценить.
Достаточно одной атаки, чтобы полностью остановить продажи и потенциально занести ваш сайт в черный список Google. Удаление вашего сайта, безусловно, возможно, но вам нужно будет запросить ручную проверку, которая может занять несколько дней или даже недель, в зависимости от проблемы. Гораздо лучшим решением будет принять меры для защиты вашего сайта.
Здесь мы подробно рассмотрим, как вы можете защитить и обеспечить безопасность своего сайта WordPress.
Держите WordPress в курсе
Обновления для WordPress имеют решающее значение.
Оценка более 11 000 зараженных сайтов показала, что 75% из них были на WordPress. Однако более удивительным является тот факт, что более 50% этих веб-сайтов устарели. Обновление до последней версии не только дает вам доступ к новым функциям, но и устраняет известные недостатки безопасности, которыми могут воспользоваться злоумышленники.
На самом деле об этих уязвимостях в системе безопасности становится известно, когда становятся доступны новые обновления. Вот пример журнала безопасности для обновленной версии WordPress:
Эта информация находится в открытом доступе по мере выхода новых обновлений. Но если вы немедленно не обновитесь, вы оставите свой сайт открытым для атак. Всегда обновляйте до последней версии, чтобы ваш сайт был защищен от недавно обнаруженных уязвимостей. Если есть какие-либо доступные обновления, вы увидите уведомление в верхней части панели инструментов:
Более новые версии WordPress позволяют легко обновляться одним нажатием кнопки. Имейте в виду, что ваш сайт будет переведен в режим обслуживания на короткий период, пока обновление не будет завершено. Обновление занимает всего несколько минут, но после его завершения вам больше ничего делать не нужно.
Не хотите вручную обновлять свой сайт каждый раз?
Уведомления могут быть довольно раздражающими. Но обновление вашего WordPress — один из самых простых способов обеспечить безопасность вашего сайта. Если вы не хотите беспокоиться о том, установлена ли на вашем сайте последняя версия, вы можете настроить автоматические обновления с помощью нескольких простых настроек.
Откройте файл wp-config.php и добавьте в него следующую строку:
define('WP_AUTO_UPDATE_CORE', true);
Вы также можете включить автоматическое обновление плагинов, добавив следующую строку в тот же файл:
add_filter( 'auto_update_plugin', '__return_true' );
И добавьте эту строку, чтобы включить обновления для тем:
add_filter( 'auto_update_theme', '__return_true' );
Добавление этих строк обеспечит актуальность вашего сайта без каких-либо дополнительных действий. Если вы тот, кого не беспокоят обновления или уведомления, вам обязательно нужно настроить автоматические обновления, чтобы ваш сайт всегда был в актуальном состоянии.
Защитите область администратора
Независимо от того, насколько что-то защищено, любой может легко получить доступ, если у него есть нужные инструменты или владельцы небрежны. В WordPress область администратора является главной целью для хакеров.
Выполните следующие действия, чтобы обеспечить безопасность этой страницы:
Используйте надежный пароль
Если вы используете слабый пароль (например, «12345», «пароль» и т. д.), вы подвергаете свой сайт большему риску, так как злоумышленники могут использовать автоматические сценарии для грубой силы. Это означает повторные попытки ввести пароль, пока он не сработает. Но использование надежного пароля, содержащего комбинацию цифр и символов, делает практически невозможным взлом даже самых сложных программ.
Используйте такой инструмент, как Генератор надежных паролей, чтобы создать надежный и безопасный пароль для вашего сайта WordPress:
Для взлома такого пароля компьютерной программе потребовались бы годы или даже десятилетия. Недостатком является то, что надежный пароль трудно запомнить. Но компромисс определенно того стоит, если он означает предотвращение доступа злоумышленников к вашему сайту. К счастью, существует ряд менеджеров паролей, которые вы можете использовать для хранения своего пароля.
Измените свое имя пользователя
При первой установке WordPress вам будет предложено ввести имя пользователя.
Злоумышленники не смогут получить доступ к вашей панели управления, если у них нет вашего имени пользователя и пароля. Вы можете легко заблокировать попытки грубой силы, просто используя более уникальное имя пользователя. Поэтому не используйте «admin» при выборе имени пользователя.
Ограничьте количество попыток входа
Как упоминалось ранее, злоумышленники могут использовать программы для взлома вашего сайта. Однако существуют доступные плагины, такие как Login LockDown, которые позволяют ограничить попытки входа в систему с определенного IP-адреса. Если несколько неудачных попыток, этот пользователь блокируется.
Наконец, еще один способ защитить административную область — полностью переместить страницу входа. Доступ к панели инструментов обычно осуществляется из www.yoursite.com/wp-admin
. Одна вопиющая проблема заключается в том, что хакеры знают, что простое добавление «/wp-admin
» к сайту WordPress даст им доступ к странице администратора.
Protect WP-Admin решает эту проблему, позволяя веб-мастерам настраивать URL панели администратора:
Защита области администратора с помощью следующих шагов может значительно уменьшить и заблокировать автоматические атаки на ваш сайт.
Включить двухфакторную аутентификацию
Двухфакторная аутентификация добавляет дополнительный уровень безопасности, еще больше затрудняя злоумышленникам доступ к вашей учетной записи. Для входа в систему требуются не только имя пользователя и пароль, но и дополнительный код авторизации, который обычно отправляется в виде SMS на мобильное устройство.
Даже если злоумышленник каким-то образом угадает ваше имя пользователя и пароль, он не сможет войти в вашу учетную запись без кода авторизации. Загрузите и установите плагин Google Authenticator, чтобы легко настроить двухфакторную аутентификацию на своем сайте:
Помимо возможности использовать приложение Google Authenticator для проверки, плагин также предлагает дополнительные параметры двухфакторной аутентификации, такие как проверка электронной почты и телефонного звонка. Двухфакторную аутентификацию также можно использовать, если на вашем сайте несколько пользователей.
Используйте .htaccess для ограничения доступа к важным файлам
Вы можете дополнительно усилить безопасность своего сайта WordPress с помощью файла .htaccess. Этот файл в основном используется в WordPress для оптимизации веб-сайта, например, для перезаписи URL-адресов, чтобы они были более удобными для пользователей и поисковых систем. Но его также можно использовать для повышения безопасности вашего сайта.
Файл .htaccess обычно находится в корневой папке, и доступ к нему можно получить либо через FTP-клиент, либо через cPanel. Также доступно несколько плагинов, в том числе SEO от Yoast, который обеспечивает прямой доступ с панели инструментов.
Вот несколько способов защитить свой сайт с помощью файла .htaccess:
Скрыть wp-config.php
Файл wp-config.php является стандартным для каждой установки, но он также содержит конфиденциальную информацию, такую как ключи безопасности и сведения о подключении базы данных к вашему сайту. Это детали, которые вы, конечно, не хотите в чужие руки. Тогда лучшим решением будет полностью скрыть этот файл и сделать его недоступным.
Скройте файл wp-config.php, добавив следующий код в файл .htaccess:
order allow,deny
deny from all
Запретить просмотр каталога
Из-за того, как WordPress реализует свою файловую структуру, посетители вполне могут получить доступ к папкам и файлам вашего сайта, просто перейдя на yoursite.com/wp-content/uploads. Таким образом, вы захотите предотвратить просмотр каталогов, поскольку злоумышленники могут использовать эту информацию в гнусных целях.
Добавьте следующую строку в ваш файл .htaccess:
Options All -Indexes
Файлы PHP невероятно важны для защиты, поскольку хакеры могут использовать эти файлы для внедрения вредоносного кода для заражения сайта. Добавьте следующий код в файл .htaccess, чтобы предотвратить доступ к файлам PHP вашего плагина и темы:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
Простое добавление этих изменений в файл .htaccess повысит безопасность вашего сайта WordPress и затруднит злоумышленникам доступ к вашему сайту. Тем не менее, не существует полностью безопасных сайтов, поскольку постоянно обнаруживаются и эксплуатируются новые уязвимости.
Вот почему у вас должен быть запасной план на случай, если что-то пойдет не так.
Регулярно делайте резервные копии своего сайта Поддерживайте регулярное резервное копирование
Независимо от того, сколько мер безопасности вы принимаете, ваш сайт все равно может быть уязвимым.
Несмотря на то, что WordPress существует уже более десяти лет, команда разработчиков постоянно выявляет и устраняет проблемы безопасности. Не говоря уже о том, что любые новые темы или плагины, которые вы устанавливаете, также могут иметь эксплойты, которые еще не исправлены.
Вот почему рекомендуется регулярно делать резервную копию вашего сайта. Таким образом, вы сможете быстро восстановить свой сайт и свести к минимуму любые потери, если ваш сайт будет отключен от атаки.
Вы захотите убедиться, что ваш сайт регулярно резервируется, а также сохраняется в облаке. Если ваш компьютер взломан, вы сможете получить доступ к этой резервной копии и восстановить ее с другого устройства. Мы рекомендуем использовать автоматизированное решение, такое как BackupBuddy.
Большинство решений для резервного копирования требуют платной подписки. Но если вы полагаетесь на свой веб-сайт для своего бизнеса, платить стоит только за душевное спокойствие. В случае, если ваш сайт будет отключен из-за атаки, вы можете обратиться к своему хостинг-провайдеру и легко вернуть свой сайт к предыдущей версии с помощью резервной копии.
Вывод
Хотя сам WordPress относительно безопасен, добавление тем, плагинов и пользовательского кода увеличивает вероятность уязвимости системы безопасности, которую могут (и используют) хакеры. Если вы не примете определенные меры безопасности прямо сейчас, ваш сайт может стать потенциальной целью.
Важно отметить, что ни одна система не является полностью безопасной. Но есть меры предосторожности, которые вы можете предпринять, чтобы значительно снизить вероятность того, что вы подвергнетесь злонамеренной атаке.
Следуйте инструкциям, описанным здесь, чтобы усилить безопасность вашего сайта WordPress.