Посібник для початківців із захисту вашого сайту WordPress
WordPress є однією з найпопулярніших систем керування контентом.
Насправді цю платформу публікації зараз використовують понад 27,5% із 10 мільйонів найкращих сайтів. Інші платформи, такі як Joomla та Drupal, просто бліднуть у порівнянні. Що робить WordPress настільки широко підтримуваним, так це його простота у використанні, що дає можливість створити повністю функціональний сайт за короткий проміжок часу.
Але той факт, що WordPress настільки поширений, також робить його мішенню для хакерів.
Будь-які вразливості системи безпеки можуть зробити ваш сайт сприйнятливим до зловмисних атак і навіть скомпрометувати дані користувача в процесі. Такий вид атаки може бути абсолютно руйнівним для будь-якого бізнесу.
Зламаний сайт не тільки знижує довіру відвідувачів, але також може помістити ваші сторінки в чорний список Google. Фактично, один із кроків, який Google уже робить для більш безпечної мережі, – це відображення попередження для користувачів Chrome, якщо вони намагаються відвідати потенційно небезпечний або оманливий сайт (наприклад, фішинг або зловмисне програмне забезпечення).
Будь-хто, хто відвідує ваш сайт (якщо його атакували), може зустрітися з таким:
Неможливо переоцінити важливість безпеки веб-сайту.
Щоб повністю припинити продажі та потенційно помістити ваш сайт у чорний список Google, потрібна лише одна атака. Видалити ваш сайт, звичайно, можливо, але вам потрібно буде подати запит на перевірку вручну, вирішення якої може тривати кілька днів або навіть тижнів залежно від проблеми. Тоді набагато кращим рішенням є вжити заходів для захисту свого сайту.
Тут ми детально розглянемо, як можна захистити та зберегти безпеку свого сайту WordPress.
Оновлюйте WordPress
Оновлення для WordPress дуже важливі.
Оцінка понад 11 000 заражених сайтів показала, що 75% з них були на WordPress. Однак більш дивним є той факт, що понад 50% цих веб-сайтів були застарілими. Оновлення до останньої версії не лише дає вам доступ до новіших функцій, але й виправляє відомі недоліки безпеки, якими можуть скористатися зловмисники.
Насправді про ці вразливості системи безпеки стає відомо, коли з’являються нові оновлення. Ось приклад журналу безпеки для оновленої версії WordPress:
Ця інформація стає відкритою, коли виходять нові оновлення. Але якщо ви негайно не оновите сайт, ви залишите його відкритим для атак. Завжди оновлюйте до останньої версії, щоб захистити свій сайт від нових вразливостей. Якщо є доступні оновлення, ви побачите сповіщення у верхній частині інформаційної панелі:
Новіші версії WordPress дозволяють легко оновлюватися одним натисканням кнопки. Майте на увазі, що ваш сайт буде переведено в режим обслуговування на короткий період до завершення оновлення. Оновлення займає лише кілька хвилин, але після його завершення вам більше нічого не потрібно буде робити.
Вам не хочеться щоразу оновлювати сайт вручну?
Сповіщення можуть бути досить неприємними. Але оновлення WordPress – це один із найпростіших способів захистити свій сайт. Якщо ви не хочете турбуватися про те, чи ваш сайт має останню версію, ви можете налаштувати автоматичні оновлення за допомогою кількох простих налаштувань.
Відкрийте файл wp-config.php і додайте до нього такий рядок:
define('WP_AUTO_UPDATE_CORE', true);
Ви також можете ввімкнути автоматичне оновлення плагіна, додавши такий рядок до того самого файлу:
add_filter( 'auto_update_plugin', '__return_true' );
І додайте цей рядок, щоб увімкнути оновлення для тем:
add_filter( 'auto_update_theme', '__return_true' );
Додавання цих рядків гарантує, що ваш сайт буде оновлюватися, не вимагаючи жодних інших дій. Якщо ви просто не можете турбуватися про оновлення чи сповіщення, ви обов’язково захочете налаштувати автоматичні оновлення, щоб ваш сайт завжди був оновленим.
Захист адмінзони
Незалежно від того, наскільки безпечним є щось, будь-хто може легко отримати доступ, якщо у нього є відповідні інструменти або власники недбалі. У WordPress адміністративна область є основною мішенню для хакерів.
Виконайте такі дії, щоб захистити цю сторінку:
Використовуйте надійний пароль
Якщо ви використовуєте слабкий пароль (наприклад, «12345», «пароль» тощо), ви наражаєте свій сайт на більший ризик, оскільки зловмисники можуть використовувати автоматичні сценарії, щоб грубо проникнути. Це означає неодноразові спроби пароля, доки він нарешті не спрацює Але використання надійного пароля, який містить комбінацію цифр і символів, робить його майже неможливим зламати навіть найскладніші програми.
Скористайтеся таким інструментом, як Генератор надійних паролів, щоб створити надійний і безпечний пароль для свого сайту WordPress:
Щоб зламати комп’ютерну програму шляхом грубого підбору пароля, потрібні роки чи навіть десятиліття. Недоліком є те, що надійний пароль важко запам’ятати. Але компроміс безсумнівно того вартий, якщо це означає запобігання доступу зловмисників до вашого сайту. На щастя, є кілька доступних менеджерів паролів, за допомогою яких можна зберігати свій пароль.
Змініть своє ім’я користувача
Коли ви вперше інсталюєте WordPress, вам буде запропоновано ввести ім’я користувача.
Зловмисники не зможуть отримати доступ до вашої інформаційної панелі, якщо вони не матимуть вашого імені користувача та пароля. Ви можете легко блокувати спроби грубої сили, просто використовуючи більш унікальне ім’я користувача. Тому не використовуйте «admin» під час вибору імені користувача.
Обмежити спроби входу
Як згадувалося раніше, зловмисники можуть використовувати програми, щоб проникнути на ваш сайт шляхом грубої обробки. Однак існують плагіни, такі як Login LockDown, які дозволяють обмежити спроби входу з певної IP-адреси. Якщо кілька спроб виявилися невдалими, цей користувач блокується.
Нарешті, ще один спосіб захистити адміністративну область — повністю перемістити сторінку входу. Доступ до інформаційної панелі зазвичай здійснюється з www.yoursite.com/wp-admin
. Проте одна кричуща проблема полягає в тому, що хакери знають, що просте додавання «/wp-admin
» до сайту WordPress надасть їм доступ до сторінки адміністратора.
Protect WP-Admin вирішує цю проблему, дозволяючи веб-майстрам налаштовувати URL-адресу панелі адміністратора:
Захист адміністративної області за допомогою цих кроків може значно зменшити та заблокувати автоматичні атаки на ваш сайт.
Увімкніть двофакторну аутентифікацію
Двофакторна автентифікація додає додатковий рівень безпеки, ускладнюючи зловмисникам доступ до вашого облікового запису. Для входу потрібні не лише ім’я користувача та пароль, а й додатковий код авторизації, який зазвичай надсилається через SMS на мобільний пристрій.
Навіть якщо зловмисник якимось чином вгадає ваше ім’я користувача та пароль, він не зможе увійти до вашого облікового запису без коду авторизації. Завантажте та встановіть плагін Google Authenticator, щоб легко налаштувати двофакторну автентифікацію на своєму сайті:
Окрім можливості використання програми Google Authenticator для перевірки, плагін також пропонує додаткові параметри двофакторної автентифікації, як-от перевірка електронної пошти та телефонного дзвінка. Двофакторну автентифікацію також можна використовувати, якщо на вашому сайті кілька користувачів.
Використовуйте .htaccess, щоб обмежити доступ до важливих файлів
Ви можете додатково посилити безпеку свого сайту WordPress за допомогою файлу .htaccess. Цей файл здебільшого використовується в WordPress для оптимізації веб-сайтів, наприклад для переписування URL-адрес, щоб вони були більш зручними для користувачів і пошукових систем. Але його також можна використовувати для підвищення безпеки вашого сайту.
Файл .htaccess зазвичай знаходиться в кореневій папці, доступ до якого можна отримати через FTP-клієнт або cPanel. Є також кілька доступних плагінів, включаючи SEO від Yoast, який забезпечує прямий доступ з інформаційної панелі.
Ось кілька способів захисту вашого сайту за допомогою файлу .htaccess:
Приховати wp-config.php
Файл wp-config.php є стандартним для кожної інсталяції, але він також містить конфіденційну інформацію, таку як ключі безпеки та деталі підключення бази даних до вашого сайту. Це деталі, які ви точно не захочете потрапити в чужі руки. Тоді найкращим рішенням буде повністю приховати цей файл і зробити його недоступним.
Приховайте файл wp-config.php, додавши такий код до файлу .htaccess:
order allow,deny
deny from all
Заборонити перегляд каталогу
Завдяки тому, як WordPress реалізує свою файлову структуру, відвідувачі цілком можуть отримати доступ до папок і файлів вашого сайту, просто перейшовши на yoursite.com/wp-content/uploads. Тож ви захочете запобігти перегляду каталогу, оскільки зловмисники можуть використати цю інформацію для підлих цілей.
Додайте такий рядок до свого файлу .htaccess:
Options All -Indexes
PHP-файли неймовірно важливі для захисту, оскільки хакери можуть використовувати ці файли для введення шкідливого коду для зараження сайту. Додайте такий код до свого файлу .htaccess, щоб запобігти доступу до PHP-файлів плагіна та теми:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ - [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ - [R=404,L]
Лише додавання цих змін до вашого файлу .htaccess покращить безпеку вашого сайту WordPress і ще більше ускладнить доступ зловмисників до вашого сайту. Незважаючи на це, не існує такого поняття, як сайт, який був би повністю безпечним, оскільки нові вразливості постійно виявляються та використовуються.
Ось чому вам потрібно мати запасний план на випадок, якщо ситуація піде на гірше.
Регулярно створюйте резервні копії свого сайту. Регулярно створюйте резервні копії
Незалежно від того, скільки заходів безпеки ви вживаєте, ваш сайт все одно може бути вразливим.
Незважаючи на те, що WordPress існує вже більше десяти років, команда розробників постійно виявляє та виправляє проблеми безпеки. Не кажучи вже про те, що будь-які нові теми чи плагіни, які ви встановлюєте, також можуть мати експлойти, які ще не виправлено.
Ось чому варто регулярно створювати резервні копії свого сайту. Таким чином ви зможете швидко відновити свій сайт і мінімізувати будь-які втрати, якщо ваш сайт буде зруйновано в результаті атаки.
Ви захочете переконатися, що резервне копіювання вашого сайту регулярно створюється, а також зберігається в хмарі. Якщо ваш комп’ютер зламано, ви зможете отримати доступ до цієї резервної копії та відновити з іншого пристрою. Ми рекомендуємо використовувати автоматизоване рішення, наприклад BackupBuddy.
Для більшості рішень резервного копіювання потрібна платна підписка. Але якщо ви покладаєтеся на свій веб-сайт для свого бізнесу, оплата того варта лише заради душевного спокою. У випадку, якщо ваш сайт було знищено через атаку, ви можете співпрацювати зі своїм хостинг-провайдером і легко повернути свій сайт до попередньої версії за допомогою резервної копії.
Висновок
Незважаючи на те, що сам WordPress є відносно безпечним, додавання тем, плагінів і спеціального коду підвищує ймовірність уразливості безпеки, якою можуть (і роблять) скористатися хакери. Якщо ви зараз не вживете певних заходів безпеки, ваш сайт може стати потенційною мішенню.
Важливо зазначити, що жодна система не є повністю безпечною. Але є запобіжні заходи, які ви можете вжити, щоб значно зменшити ймовірність постраждати від зловмисної атаки.
Виконайте наведені тут кроки, щоб посилити безпеку свого сайту WordPress.