Ведение блога — колоссальный труд. Звучит как правдивое утверждение, предназначенное только для удовлетворения тщеславия блоггеров, но это не так. Год назад я начал вести блог о веб-дизайне и ожидал, что его администрирование потребует много времени и ресурсов.

Несмотря на все мои приготовления, я недооценил, сколько времени и ресурсов я должен выделить для ведения блога: продвижение постов в блоге занимает больше времени, чем их написание, домашняя страница никогда не разрабатывается полностью, а монетизация — сложная задача. Это всего лишь несколько уроков, которые я извлек из этого опыта.

В этом свете пренебрежение безопасностью вашего блога понятно, но, безусловно, это не очень умная идея. Я был одним из многих блоггеров, которые просто не заботились о безопасности. У меня есть сильный антивирус, надежный пароль, и я старался держаться подальше от «опасных сайтов». Я думал, что этого достаточно, чтобы избежать взлома, но реальность показала, что я ошибался.

Следовательно, несколько месяцев назад я решил запачкать руки безопасностью WordPress; теперь я хочу поделиться с вами своим мнением. Во-первых, я блоггер, не являющийся разработчиком, и много раз связывал безопасность WordPress с уровнем владения Php. Я разговаривал с другими блоггерами, и они разделяли ту же идею; будет здорово узнать, согласны ли вы со мной или у вас есть другая точка зрения. Что ж, сейчас я думаю, что это частично верно — вы можете позаботиться о безопасности своего сайта, не будучи мастером Php. Конечно, чем лучше вы знаете Php, тем лучше вы сможете защитить свой сайт! Подводя итог, каждый может существенно улучшить безопасность блога WordPress! Единственные требования – страсть, время и немного удачи!

Во-вторых, я думал, что если хакер захочет взломать мой сайт, это будет лишь вопросом времени, когда он/она добьется своего. Я не передумал, но научился укреплять свой блог. Не существует 100% безопасного веб-сайта, но вы можете принять меры и устроить настоящий ад, взломав веб-сайт. Я намеренно выделил жирным шрифтом вопрос времени — огромная разница между возможностью взломать веб-сайт всего за несколько часов и взломать его за неделю. Только хакеры, у которых есть шпионские миссии, будут вкладывать свои ресурсы в постоянные попытки взломать веб-сайт.

В-третьих, особые условия безопасности WordPress заставляют большинство блоггеров убегать из этой области. Да, есть некоторые термины, которые трудно описать и понять, но никто из них не был прирожденным экспертом по безопасности высшего уровня. Шаг за шагом любой блоггер может узнать, как защитить свой блог и какие термины связаны с безопасностью веб-сайта. В следующих строках я объясню вам некоторые из этих терминов.

К сожалению, недостаточно изучить безопасность WordPress, вы должны применить теоретические знания на практике. Вот мое личное руководство по обеспечению безопасности сайта на WordPress. Я считаю, что это хорошая отправная точка для блоггера, не являющегося разработчиком; это совершенствуется, и я открыт для ваших предложений.

Проактивные меры

Золотое правило безопасности веб-сайтов гласит, что лучше предотвратить, чем устранять. Я настоятельно подчеркиваю, что принятие превентивных мер — лучший способ обеспечить безопасность вашего блога. Разработчики WordPress работают день и ночь, чтобы сделать более совершенные и безопасные версии, но в то же время хакеры всеми силами пытаются найти новые уязвимости.

Бинго, что такое уязвимость? Этот термин описывает уязвимость продукта, которая позволяет злоумышленнику скомпрометировать этот продукт. Это не очень сложное определение, но я думаю, что оно резюмирует суть его значения. Если вам нужно более глубокое определение, эта статья от Microsoft — ваша следующая лекция!

Последний отчет Sucuri демонстрирует, что безопасность веб-сайта — это не роскошь, а атаки становятся все более изощренными. Кроме того, WordPress лидирует по количеству атак! Моя цель не в том, чтобы вас встревожить, я хочу представить точную ситуацию и дать вам план по улучшению безопасности вашего сайта.

1 Выбрать качественный хостинг

Есть множество блогов, посвященных выбору правильного хостинга; несмотря на это, все ответы начинаются с «это зависит от» (если вы хотите назвать их ответами, если они начинаются с «это зависит от»). WP White Security сообщает, что 41% взломанных сайтов происходит по вине хостинг-провайдера.

Довольно сложно доверять отзывам о хостинге, потому что они неточны из-за комиссий за аффилированный маркетинг (не поймите меня неправильно, все еще есть блоги, которые предлагают объективные обзоры). Тем не менее, я думаю, что рекомендации WordPress.org должны работать лучше всего с точки зрения надежности, скорости, обслуживания клиентов и, конечно же, безопасности! Главный недостаток – стоимость, но качество не может быть достигнуто с низкими ценами!

2 Обновите версию WordPress, темы и плагины

Пожалуйста, не игнорируйте статью только из-за этого совета — это глупо, но вы должны знать, что это одна из наиболее часто используемых хакерами уязвимостей для получения контроля над веб-сайтом. Или, может быть, этот совет не так глуп, как вы думаете — умный хакер может получить много данных, взламывая плагины или темы, которые не обновляются. Думаю, все слышали о Панамских документах. Что ж, считается, что за огромной потерей данных стоит уязвимая версия широко используемого плагина под названием Revolution Slider! В этой ситуации взлом имеет положительный эффект — люди узнали имена лидеров, которые прячут от них деньги.

Настоящий парадокс, чем проще метод защиты от взлома, тем больше его игнорируют! Плагины имеют наибольшее количество уязвимостей (за плагином скрывается больше кода), но версии и темы WordPress также должны быть обновлены. Представьте, что хакер узнает, что вы используете старую версию WordPress. Почти наверняка у любого хакера есть база данных версий WordPress и их уязвимостей. Это полезный архив в этом отношении, и им может свободно пользоваться любой хакер! Разумеется, хакеры обновляют свои базы данных, как только обнаруживается новая уязвимость! Возьмите их пример и обновите свои темы, плагины и версии WordPress, чтобы избежать проблем с безопасностью!

3 Надежные пароли — надежные веб-сайты

Это еще один широко распространенный совет по безопасности, который известен всем. Несмотря на это, почти 8% взломаны из-за слабых паролей. Честно говоря, я думаю, что у вас нет оправдания тому, что вас взломали таким образом! Иногда хакеры используют сложные методы для кражи учетных данных вашей учетной записи, но иногда они используют грубую силу. Да, это еще один термин, относящийся к безопасности веб-сайтов!

Концепция грубой силы проста; хакер пробует различные комбинации имени пользователя и пароля, чтобы войти на ваш сайт. Это кропотливая работа, и она требует много догадок и времени. К сожалению, есть программные решения, которые делают грязную работу очень быстро. Если ваше имя пользователя admin (это очень распространенное имя пользователя), то вы оказываете ценную помощь хакерам!

4 Ограничьте количество попыток входа

Одним из наиболее эффективных решений против атак грубой силы является ограничение количества попыток входа в систему. Концепция проста и эффективна: администратор сайта ограничивает количество неудачных попыток входа. Например, если пользователь пытался войти в систему пять раз подряд, его/ее IP-адрес блокируется или ему/ей необходимо войти в систему через определенный период времени. К счастью, есть несколько надежных плагинов, таких как Jetpack Protect, Login LockDown и Login Security Solution. Конечно, плагины содержат множество других дополнительных функций — вы можете отслеживать источники IP-атак, получать уведомления о взломе учетной записи и настраивать количество попыток входа в систему.

5 Двухэтапная аутентификация

Эта мера более сложная, но значительно снижает риск взлома. Речь идет о двухэтапной аутентификации — новом термине из области безопасности веб-сайтов. Обозначает способ использования дополнительного кода или пароля для входа на ваш сайт. Это совсем не сложно, но требует дополнительного времени. Фактически вы вводите свои «обычные» учетные данные и должны отправить код на свой смартфон. Как только вы получите и введете его в форму отправки, вы сможете войти в систему. Довольно сложно справиться со взломом веб-сайта, который использует двухэтапную аутентификацию, не так ли? Кроме того, это просто реализовать! Конечно, как и для любой проблемы, связанной с WordPress, есть плагин для ее решения! WPMU Dev предлагает вам шесть надежных и эффективных плагинов для реализации двухэтапной аутентификации.

6 Отключить подсказки для входа

Честно говоря, я не обратил внимание на то, что при неправильном вводе логина или пароля выдается сообщение о том, что логин введен неверно или пароль не подходит. Таким образом, хакер получает подтверждение с вашего сайта, если ему удастся украсть ваше имя пользователя. Например, если имя пользователя «admin», хакер будет уведомлен о том, что он/она неправильно ввел пароль — наверняка любой хакер попытается ввести имя пользователя «admin»! В этом случае половина дела уже сделана.

К счастью, эту подсказку легко убрать, просто добавив следующие строки кода в файл functions.php. Если вы не слишком заинтересованы в основных файлах WordPress, это видео от WordPress Beginner прольет свет на этот вопрос.

functionno_wordpress_errors(){
return 'Bad luck! Back off!';
}
add_filter( 'login_errors', 'no_wordpress_errors' );

7 Обеспечьте безопасность вашего компьютера

Применение всех вышеперечисленных советов сделает ваш сайт более безопасным, чем подавляющее большинство из них, но он все еще уязвим. Другой способ, используемый хакерами для взлома веб-сайта, — заражение компьютера администратора веб-сайта. Обычно администратор периодически проверяет свой сайт, и очень жаль, что его взломают вирусы, хранящиеся в файлах вашего компьютера!

Следовательно, вы должны были установить на все свои устройства сильное антивирусное программное обеспечение; некоторые из них даже бесплатны, так что у вас нет оправдания!

8 Избегайте фишинговых и целевых фишинговых атак

Оба термина относятся к безопасности веб-сайтов, и в какой-то степени я думаю, что все мы были жертвами таких кампаний. Если вы получили нежелательные сообщения о лекарствах и волшебных решениях для улучшения вашей сексуальной жизни, значит, вы стали жертвой этого метода.

Как вы, вероятно, догадались, фишинг — это незаконное действие, при котором злоумышленник пытается получить учетные данные или другую информацию для входа в систему, выдавая себя за доверенное лицо. Эти атаки обычно происходят через электронную почту.

Spear phising — это более тонкая версия phising — это целенаправленная атака. Однако жертвой фишинговой атаки может стать каждый!

Многие веб-сайты, работающие на WordPress, являются блогами, и блоггеры используют их для связи с большим количеством людей — читателями, потенциальными спонсорами, другими блоггерами, приглашенными авторами, покупателями веб-сайтов и т. д. Поэтому я рекомендую обращать внимание на любые электронные письма, полученные от неизвестных людей. Например, я получил электронное письмо, в котором сообщалось, что богатый инвестор из Канады заинтересован в покупке моего домена и готов заплатить хорошие деньги. Это было потрясающее предложение для меня… на самом деле слишком привлекательное, чтобы быть правдой! Я поискал в Интернете «этот богатый инвестор» и обнаружил, что он интересовался многими другими областями. Я должен купить сертификат (у мошеннического агентства) и в конечном итоге предоставить им учетные данные. Честно говоря, я был в восторге, когда впервые прочитал электронное письмо, и я был почти готов купить сертификат. Конечно, другие блоггеры WordPress экспериментировали с той же ситуацией и чувствами. Маловероятно, что некоторые блоггеры получили сертификаты и, возможно, предоставили учетные данные для входа.

Как определить, взломан ли сайт

К сожалению, бывают случаи, когда даже самых бдительных администраторов сайтов обманывают вирусы или хакеры. Поэтому рекомендуется иметь четкое представление о том, действительно ли ваш сайт взломан. Кроме того, рекомендуется иметь четкое разграничение между нарушением безопасности и неисправностью плагина или темы. Иногда плагин или тема могут не работать должным образом по разным причинам, и вы можете запаниковать, что веб-сайт взломан.

Здесь я предлагаю вам несколько инструментов для четкой оценки безопасности вашего сайта!

1 Консоль поиска Google

Консоль поиска Google (ранее известная как Инструменты Google для веб-мастеров) — это ценный ресурс, который помогает администраторам веб-сайтов получать полезную информацию (индексирование, поисковый трафик, аспекты сканирования и безопасность) об управляемых веб-сайтах. Пользователи Search Console могут настроить получение уведомлений каждый раз, когда Google обнаруживает подозрительную активность в отношении администрирования веб-сайта. Кроме того, здесь вы получите ценную информацию, когда сайт взломан.

Подводя итог, если вы владеете веб-сайтом или администратором, Google Search Console — это инструмент, который следует использовать часто, и вы должны начать использовать его даже для защиты веб-сайта.

2 Безопасный просмотр Google

Это еще один инструмент, предоставленный Google, и он работает по той же схеме — он прост и эффективен. Вы должны ввести название веб-сайта в поле поиска, и Google выдаст вам вердикт в кратчайшие сроки. Будем надеяться, что текущий статус будет «не опасен»!

3 Органический поиск Google

Да, это хороший показатель для проверки вашего сайта, но это следует рассматривать как последнее решение. Google использует, чтобы пометить взломанный веб-сайт в списках поиска. Вполне вероятно, что вы тратите много ресурсов, чтобы заработать первую или вторую позицию в поисковой выдаче. Совершенно нежелательно быть номером один, когда пользователи ищут ваше ключевое слово, а Google помечает ваш веб-сайт сообщениями типа «Этот веб-сайт может нанести вред вашему компьютеру» или «Этот сайт может быть взломан»! Кроме того, пользователи не будут нажимать на название вашего сайта!

4 инструмента аналитики

Обычно взлом веб-сайта связан с всплеском трафика, поэтому вам следует проверить свою аналитику на этот счет. Конечно, всплеск трафика должен быть поводом для радости, но иногда лучше проявить осмотрительность!

Помимо этих инструментов, веб-мастера имеют в своем распоряжении множество онлайн-сканирований, которые могут предоставить полезную информацию и полезные советы по безопасности. Вот список некоторых из наиболее популярных среди пользователей WordPress, в произвольном порядке:

1 Соки онлайн сканирование

Sucuri — известный поставщик решений для обеспечения безопасности WordPress, и их инструмент сканирования работает как магнит для привлечения новых клиентов. Очевидно, что он позволяет узнать, страдает ли ваш сайт от спама, искажений или вредоносного ПО.

Всего 2 вируса

Virus Total — простой инструмент, который отлично справляется со своей задачей. Он позволяет сканировать файл или URL-адрес и сообщает о найденных вирусах — будем надеяться, что Virus Total сообщит об 0 найденных вирусах. Несмотря на простой дизайн, за этим инструментом стоит активное сообщество, ожидающее, когда вы к ним присоединитесь.

3 СпамХаус

SpamHaus — отличный помощник в обеспечении безопасности для любого типа веб-сайтов. Он имеет два разных инструмента: поиск IP-адреса и поиск домена. Первый инструмент полезен для определения того, связан ли IP-адрес со спамом или незаконными действиями. Например, если вы заметили, что IP-адрес несколько раз пытался войти на ваш сайт, вам следует проверить его и найти дополнительную информацию о.

Второй инструмент, поиск домена, сообщает, находится ли ваш сайт в их списке источников спама. Я хочу, чтобы вы никогда не были добавлены в этот список, но если вы это сделаете, SpamHaus предлагает вам информацию о том, как решить ваши проблемы с безопасностью и, наконец, быть удаленным из списка.

4 Куттера

Quttera — еще один впечатляющий инструмент, который следует периодически использовать всем, кто интересуется безопасностью своего веб-сайта. Он анализирует множество файлов, поэтому требуется несколько минут, прежде чем выводится результат. Кроме того, из-за одновременного анализа нескольких веб-сайтов можно получить сообщение с требованием попробовать их услуги позже. Это не нормально, но услуги бесплатные и качественные, так что немного терпения – золото!

5 Акунетикс

В отличие от предыдущих инструментов, для этого требуется подписка, но он аналогичен с точки зрения эффективности и полезности. Acunetix является лидером в области безопасности, и их онлайн-сканирование дает много ценной информации. У них есть специальное предложение — 14 дней на бесплатное тестирование и пользование их услугами.

Как очистить взломанный сайт

Несмотря на такое количество инструментов для повышения безопасности веб-сайтов, ежедневно взламываются десятки веб-сайтов! Я надеюсь, что следующие подпункты будут просто чтением для улучшения ваших общих знаний, а не чем-то, что можно применить на практике. Как вы уже догадались, в следующих строках речь пойдет о том, как нейтрализовать хакерские атаки.

Во-первых, в этих случаях невозможно переоценить важность резервной копии. Свежий контент необходим, чтобы поддерживать прочную связь с читателями и кормить пауков поисковых систем. Многие творения WordPress представляют собой блоги или новостные журналы, поэтому вам не следует тратить свой контент впустую, если вас взломали. Существует множество решений для резервного копирования вашего сайта, и многие из них бесплатны. Посмотрите этот список плагинов резервного копирования, предоставленный WP Beginner, или эту статью, написанную экспертом WPMU Dev.

Во-вторых, вы должны сохранять спокойствие! Если вы в панике, вполне возможно принять неверные решения! Не забывайте, нет ничего, что нельзя было бы починить. В-третьих, если вы блоггер, не являющийся разработчиком, лучше обратиться за услугами к службам безопасности веб-сайтов. Цены дорогие для малобюджетного веб-сайта, но у вас есть уверенность, что расчистка выполняется экспертами.

В общем, отважный блогер, не являющийся разработчиком, способен очистить свой взломанный сайт. Вот личная стратегия очистки веб-сайта — я надеюсь, что вам никогда не придется применять ее для своего веб-сайта, но будет разумно уделить пристальное внимание каждому из следующих шагов.

1 Свяжитесь с вашим хостом

Обычно на виртуальном хостинге взлом может затронуть больше веб-сайтов, и команда хостинга уже предупреждена, когда вы просите о помощи. Также в надежной хостинговой компании есть служба безопасности, которая часто занимается различными видами хакерских атак. Следовательно, специалисты по безопасности могут помочь администратору веб-сайта, не являющемуся разработчиком. Следуйте их советам, и у вас есть большие шансы свести к минимуму последствия взлома.

2 Смените пароли и восстановите резервную копию

Прежде чем приступить к очистке зараженных файлов, следует сменить пароли — как свои, так и других пользователей сайта. Если у вас есть решение для резервного копирования, то вам повезло. Вы просто выполняете откат к предыдущей версии, и зараженные файлы исчезают. Вы все равно должны быть осторожны, применяя этот метод — вы можете потерять важные фрагменты контента. Вот почему так важно ежедневно создавать резервные копии.

3 Определите зараженные файлы

Это самый сложный шаг; поиск зараженных файлов является сложной задачей. Администраторы, не являющиеся разработчиками, должны спросить команду хостинга о том, какие файлы взломаны. Обычно хост отправляет по электронной почте список с именами зараженных файлов и некоторыми указаниями о том, как их очистить.

Другим решением является использование онлайн-сканирования, которое дает рекомендации по очистке веб-сайта. Они предлагают зараженные файлы и какие действия вы должны предпринять. Если у вас есть зараженные файлы, вы должны удалить и заменить файл за файлом.

4 Обновить все

Что ж, я уверен, что если ваш сайт взломан, вопрос обновления ядра WordPress, тем и плагинов будет рассматриваться гораздо серьезнее.

5 Запросить Google обзор

Если вас взломали, Google, скорее всего, узнает об этом первым. Администраторы веб-сайтов получают предупреждения через Google Search Console о возможных проблемах с безопасностью, но Google также предупреждает пользователей Интернета о взломанных веб-сайтах. Конечно, не только Google предупреждает пользователей о взломанных сайтах, но и остальные поисковые системы и даже браузеры замечают пользователей о взломанных сайтах.

Определенно, это серьезно вредит трафику — кто посмеет посетить веб-сайт, когда Google сообщает вам, что соответствующий адрес используется хакером? Следовательно, администратор веб-сайта должен действовать быстро и очищать веб-сайт. Сразу после завершения этой работы необходимо сообщить специалистам Google, что сайт чист, и попросить их проверить.

Я надеюсь, что специалисты по безопасности подтвердят, что на сайте нет вредоносного кода и он безопасен для пользователей. Тем не менее, вот руководство, разработанное Google, чтобы помочь вам справиться с этим вопросом.

Как я уже говорил, в мире WordPress возможны чудеса, и многие из них трансформируются в форму плагинов. Репозиторий WordPress полон высокоэффективных и активных плагинов, которые являются бесплатными инструментами для укрепления вашего сайта. Здесь я перечислил для вас некоторые из лучших решений в произвольном порядке.

1 Безопасность Wordfence

Wordfence Security имеет более 1 миллиона активных установок и рейтинг 4,9 из 5. Я провел много времени в репозитории WordPress и не знаю другого плагина с таким количеством активных установок и таким хорошим рейтингом одновременно. Эти статистические данные должны убедить вас в его могучей силе. Я являюсь пользователем этого плагина (здесь нет партнерских ссылок) и рекомендую его всем, кто не хочет тратить много времени на безопасность сайта. Он делает все, что вам нужно, чтобы сделать ваш сайт настоящим укреплением, противостоящим хакерским атакам.

Невероятно, но плагин бесплатный! У вас есть множество функций, даже если это бесплатная версия. Если вы все еще хотите большего, для этого замечательного плагина есть премиум-план. Вы должны посетить официальный сайт Wordfence для более подробной информации; Учебный центр — ценный источник информации для любых пользователей WordPress, и вам следует использовать опыт специалистов Wordfence, чтобы укрепить свой веб-сайт.

2 Все в одном WP Безопасность и брандмауэр

Это еще один плагин, который полностью заслуживает вашего внимания. Это популярный плагин, широко используемый многими веб-сайтами WordPress, другими словами, он надежный, эффективный и мощный. Плагин построен с учетом потребностей пользователя WordPress, не являющегося разработчиком, поэтому проблем при его настройке не возникнет. Интерфейс привлекательный и рассчитан на поддержание интереса пользователя. Например, измеритель прочности защиты — оригинальное и эффектное решение.

Среди других важных функций у вас есть защита от атак грубой силы при входе в систему, полная информация об активности учетных записей, планирование резервного копирования, добавление различных брандмауэров и импорт/экспорт настроек безопасности.

3 Безопасность iThemes

Это еще один первоклассный плагин, который не позволит никому взломать ваш сайт. Его предыдущее название было Better WP Security; это такой же эффективный инструмент против злоумышленников веб-сайтов. Некоторые настройки могут сбить с толку менее опытных пользователей WordPress, но эта статья станет для них золотым самородком. Здесь у вас есть ясные и точные объяснения; у вас есть бонус — короткое видео для просмотра о том, как лучше настроить плагин. Помимо защиты вашего веб-сайта, iThemes Security создает резервные версии веб-сайта, поэтому у него две основные роли: решение для резервного копирования и плагин для усиления безопасности.

4 сока безопасности

Sucuri — известная компания для всех, кто хорошо разбирается в онлайн-безопасности. Их плагин WordPress — отличный инструмент, который помогает пользователям значительно повысить безопасность своих веб-сайтов. Разработчики утверждают, что среди множества опций и функций одной из самых недооцененных функций является мониторинг активности безопасности. Практически администратор сайта может видеть любые изменения/активность пользователей. Проще говоря, Sucuri Security дает вам возможность предотвратить любые нарушения безопасности. Очевидно, что плагин эффективен против атак Brute Force или Denial of Service. Что ж, пришло время для другого термина — отказ в обслуживании. Объяснения из Википедии понятны, а примеры наводят на размышления.
Согласно Википедии, отказ в обслуживании сравнивают с ситуацией, когда сотни людей пытаются одновременно войти в магазин.

Ясно, что никто не может войти через дверь, и таким образом магазин блокируется. Та же идея применяется к веб-сайту — злоумышленник не позволяет законным пользователям войти на веб-сайт.

Это конечная точка нашего путешествия; если вы внимательно прочитаете этот пост и примените хотя бы половину из представленных советов, шансы быть взломанным невелики и вы сможете полностью сосредоточиться на других аспектах. Тем не менее, безопасность веб-сайта является динамичной областью, и вы должны быть в курсе последних новостей. Как видите, усиление защиты вашего веб-сайта WordPress не так сложно, как это может показаться блоггеру, не являющемуся разработчиком. Почти все можно решить с помощью плагина.

В конце концов, мне любопытно узнать ваше мнение о безопасности WordPress и о том, что вы собираетесь делать, чтобы улучшить безопасность своих сайтов. Чем больше мнений, тем лучше для всех нас! Конечно, вы можете поделиться публикациями со своими друзьями, чтобы они знали, как защитить свои веб-сайты.