10 инновационных приемов безопасности WordPress для защиты вашего сайта
Независимо от того, являетесь ли вы владельцем личного блога или важного для бизнеса веб-сайта с конфиденциальными данными, вы должны уделить должное внимание их максимально возможной защите. Чтобы посетитель со злым умыслом не получил доступ к вашему веб-сайту, очень важно подготовить контрольный список безопасности и проводить периодические проверки безопасности.
При этом стопроцентно безопасную систему практически невозможно настроить, так как всегда есть вероятность появления новых «угроз» ни с того ни с сего. Хотя полностью устранить риск нарушений безопасности может быть невозможно, соблюдение ряда передовых методов может помочь вам свести к минимуму потенциальные уязвимости.
Когда дело доходит до защиты веб- сайта WordPress, вы будете избалованы выбором в отношении доступности ресурсов. На множестве веб-сайтов и блогов опубликовано множество советов, настроек и руководств. Однако, если вы присмотритесь повнимательнее, вы можете разочароваться в отсутствии содержания. Меры безопасности WordPress, перечисленные на большинстве этих веб-сайтов, очень просты по своей природе. Будь то обновление до самой последней версии WordPress, планирование периодического резервного копирования или использование пароля администратора высокой сложности — возможно, вы уже реализовали все эти фундаментальные меры. Совершенно очевидно, что вопрос, который приходит вам на ум, звучит так: «Что дальше?».
Этот учебник предназначен для того, чтобы дать определенный ответ на ваш вопрос. Здесь обсуждаются десять инновационных мер безопасности, которые могут помочь вам сохранить контроль над веб-сайтом WordPress в надежном месте. Давайте теперь приступим к деталям.
1 Используйте двухфакторную аутентификацию:
Когда вы реализуете двухфакторную аутентификацию, человек, пытающийся войти в вашу панель управления WordPress, должен будет ввести случайно сгенерированный OTP (одноразовый пароль), помимо стандартного имени пользователя и пароля. Криптографические функции используются для создания OTP в режиме реального времени, и он отправляется только предполагаемому получателю на устройстве связи через безопасный шлюз. Сотовый телефон является наиболее широко используемым средством связи для этой цели.
Таким образом, даже если хакеру удастся украсть ваше имя пользователя и пароль, он все равно не сможет получить доступ к вашей панели администратора WordPress без одноразового пароля.
Как реализовать двухфакторную аутентификацию?
Вы можете использовать любой плагин для генерации одноразовых паролей для реализации двухфакторной аутентификации на своем веб-сайте WordPress. На рынке доступны как коммерческие, так и бесплатные плагины. Два рекомендуемых плагина, которые находятся в свободном доступе в репозитории WordPress:
Оба плагина очень просты в настройке даже для веб-мастера-новичка. Подробную документацию по установке и настройке можно найти на соответствующих страницах плагина.
2 Отключить редактирование файла шаблона через WP Dashboard
Пользователь WordPress с правами администратора может редактировать файлы шаблонов вашего веб-сайта, выбрав «Внешний вид» > «Редактор». В случае, если посетителю со злым умыслом удастся взломать ваши учетные данные администратора, он также сможет внести желаемые изменения в эти файлы прямо с панели управления WordPress. Чтобы предотвратить такое возникновение, вы можете отключить редактирование файлов на панели управления WordPress.
Как отключить редактирование файла шаблона?
Чтобы отключить редактирование файлов с помощью редактора панели инструментов, вам нужно добавить строку кода в файл конфигурации вашего сайта WordPress. Перейдите в программу файлового менеджера, доступную на панели управления хостингом, и перейдите в корневой каталог. Откройте файл wp-config.php в текстовом редакторе и добавьте следующую строку кода внизу файла.
define( 'DISALLOW_FILE_EDIT', true );
3 Скрыть отзывы посетителей об ошибках входа
Какова цель отображения журналов ошибок вашим посетителям? Совершенно ничего. Когда что-то пойдет не так, об этом должны знать только вы, администратор. Что еще хуже, публикуя отзывы об ошибках, вы фактически даете технически опытному посетителю достаточно подсказок, чтобы попытаться взломать ваш сайт.
Как перестать отображать обратную связь об ошибке?
Существует простой способ предотвратить публичное отображение отзывов об ошибках входа в WordPress. После входа в панель администратора WordPress перейдите в раздел «Внешний вид» > «Редактор». Откройте файл functions.php активной темы и поместите следующий фрагмент кода в любое место внутри файла.
add_filter('login_errors',create_function('$a', "return null;"));
4 Удалите пользователя «admin»
Учетной записью администратора по умолчанию, которая создается автоматически во время установки WordPress, является «admin». Это также наиболее уязвимая область с точки зрения безопасности WordPress, которая чаще всего используется хакерами. Поэтому удаление этой учетной записи администратора по умолчанию и управление вашим веб-сайтом из другой учетной записи псевдоадминистратора — очень хорошая идея, чтобы держать хакеров в страхе. По крайней мере, это немного усложнит жизнь любому потенциальному хакеру.
Как удалить пользователя «admin» по умолчанию?
Эта деятельность может выполняться на двух разных этапах, как описано ниже:
- При установке WordPress: если это новая учетная запись хостинга, на которой вы хотите создать свой веб-сайт WordPress, вы можете избавиться от пользователя «admin» при установке WordPress. На первом экране установки вы получаете настраиваемые пользователем параметры. Имя пользователя — это один из таких элементов, который вам разрешено изменять. Прежде чем нажать кнопку «Установить», расположенную в нижней части экрана, просто замените имя пользователя по умолчанию «admin» на любое имя, которое вы предпочитаете. Затем продолжите процесс установки, как обычно.
- Для существующей установки WordPress: если у вас уже есть существующий веб-сайт WordPress, сначала вам нужно войти в систему с помощью учетной записи «admin» и создать новую учетную запись пользователя. Убедитесь, что вы предоставляете новому пользователю полные права администратора. Затем выйдите из учетной записи администратора и войдите снова, используя только что созданную учетную запись пользователя. Перейдите на вкладку «Пользователи» на панели инструментов WordPress и удалите учетную запись пользователя «admin». Теперь вы можете управлять своей информационной панелью с помощью только что созданного администратора.
5 Скрыть номер версии WordPress
Каждая версия WordPress имеет несколько уязвимостей, которые обычно исправляются при выпуске следующей версии. Если хакеру удастся определить, какую версию WordPress вы используете, он может легко связать ее с известной слабостью и использовать ее, чтобы получить контроль над вашим сайтом. Чтобы предотвратить такой сценарий, вы можете указать файлу функций WordPress не раскрывать номер версии.
Как скрыть номер версии WP?
Обычно номер версии WordPress вставляется в файл заголовка вашей темы с помощью функции «wp-head()». Однако удаление этой функции не является решением, потому что эта же функция может также использоваться некоторыми из установленных вами плагинов. Вместо этого лучшей альтернативой является добавление приведенного ниже фрагмента кода в файл functions.php.
remove_action('ks29so_head','ks29so_generator');
6 Блокировка доступа к ботам
Боты — это запрограммированные компьютером автоматизированные инструменты, используемые хакерами для получения контроля над вашим сайтом. Эти автоматизированные программы также могут использовать ресурсы вашего веб-хостинга для выполнения других действий от имени хакера. Предотвратив доступ ботов к вашим веб-страницам и каталогам, вы можете усилить контроль над администрированием веб-сайта.
Как предотвратить доступ ботов к вашему сайту?
Перезапись мода — эффективное средство от блокировки доступа ботов. Используя любой текстовый редактор, откройте .htaccess
файл, который находится в корневом каталоге WordPress. Прокрутите вниз до конца файла, вставьте указанный ниже фрагмент кода, а затем сохраните файл в том же месте. Убедитесь, что вы не меняете имя файла.
SetEnvIfNoCase User-Agent ^$ keep_out
SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out
SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out
SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out
Order Allow,Deny
Allow from all
Deny from env=keep_out
7 Используйте правильные права доступа к файлам/папкам
Права доступа к файлам — это не что иное, как метод ограничения доступа. Используя правильные параметры прав доступа к файлам, вы можете запретить посетителям доступ к важным файлам конфигурации, находящимся в вашем каталоге установки WordPress.
Как реализовать ограничение доступа?
Ниже перечислены рекомендуемые настройки прав доступа к файлам и папкам для вашего веб-сайта WordPress:
Значение CHMOD для всех файлов данных должно быть установлено на 644.
Значение CHMOD для всех папок и подпапок должно быть установлено на 755.
Значение CHMOD для файла конфигурации WordPress (wp-config.php) должно быть установлено на 640.
8 Ограничьте количество попыток входа пользователя:
По всей вероятности, ожидается, что хакер будет использовать различные комбинации имени пользователя и пароля для взлома вашей панели администратора WordPress. Если не установлено ограничение на количество неудачных попыток входа в систему, хакер может продолжать до тех пор, пока не найдет правильную комбинацию имени пользователя и пароля.
Как ограничить попытки входа?
Самый простой способ ограничить количество попыток входа пользователя — использовать плагин с открытым исходным кодом Limit Login Attempts. Его можно бесплатно загрузить из репозитория плагинов WordPress. После установки и активации плагина вы можете указать количество неудачных попыток входа в систему, которые пользователь может предпринять в течение определенного периода времени.
9 Используйте режим SSL для сеансов входа
Перевод вашего веб-сайта WordPress в режим SSL для входа в систему обеспечивает безопасную передачу данных между веб-браузером пользователя и вашим сервером. Веб-браузер шифрует имя пользователя и пароль перед отправкой их на ваш сервер по защищенному каналу при использовании SSL.
Как использовать режим SSL для всех логинов?
Прежде всего, на вашем веб-сервере должен быть установлен действующий сертификат SSL. Чтобы принудительно включить режим SSL для всех пользовательских входов в систему, вам необходимо определить параметры входа SSL в файле конфигурации WordPress (wp-config.php). Вы можете принудительно включить режим SSL только для администратора или включить эту функцию для всех логинов. Перейдите в корневой каталог и откройте файл wp-config.php. Затем добавьте любой из приведенных ниже фрагментов кода в зависимости от ваших требований.
Только для сеансов входа администратора:
define('FORCE_SSL_ADMIN', true);
Для всех сеансов входа пользователя:
define('FORCE_SSL_LOGIN', true);
10 Отключить доступ к папке «wp-content»
Все изображения и медиафайлы, которые вы загружаете на свой веб-сайт WordPress, хранятся в папке «wp-content». Он также содержит все файлы плагина. Хакеры могут использовать его в качестве точки входа для внедрения вредоносных элементов на ваш сайт. Еще одно неэтичное действие, которое может быть выполнено через тот же канал, — кража полосы пропускания. Поэтому настоятельно рекомендуется заблокировать публичный доступ к этому каталогу.
Как отключить доступ к медиафайлам и плагинам?
Вы можете добавить правило в свой .htaccess
файл, чтобы запретить доступ ко всем типам файлов, доступным в папке «wp-content». Имейте в виду, что файлы CSS и JavaScript, а также изображения (jpg, png, gif) подвергаются наибольшему риску взлома хакерами.
Order Allow,Deny
Deny from all
Allow from all
Вывод:
С каждым днем хакеры изобретают новые методы, чтобы получить контроль над вашим сайтом и бизнесом. Нет смысла придерживаться того, что «другие» делали веками. Чтобы исключить возможность взлома вашего веб-сайта WordPress, вам нужно оставаться на шаг выше и быть умнее своего врага.