Все, что вам нужно знать о безопасности WordPress (+20 советов по усилению защиты)

Если вы ищете высококлассную, универсальную систему управления содержимым для вашего сайта, не ищите ничего, кроме WordPress.

WordPress — это отличная, безопасная платформа с самого начала, но есть определенно больше того, что вы можете (и должны!) сделать, чтобы обезопасить ваш сайт от вредоносных намерений. Многие из этих улучшений безопасности легко реализовать и могут быть выполнены вручную всего за несколько минут. Другие просто требуют установки определенного плагина.

В этой статье я расскажу вам о 20 различных стратегиях усиления защиты вашей крепости WordPress. Но сначала давайте немного подробнее рассмотрим, почему безопасность вашего сайта должна быть для вас важна.

Почему так важна безопасность WordPress

Выбор WordPress в качестве вашей платформы — отличный способ начать, когда вы пытаетесь создать сайт. Это не только гибкая и мощная платформа для создания сайтов — она также изначально обладает высоким уровнем безопасности.

Но, конечно, никакая платформа не может быть на 100% безопасной, и есть много причин беспокоиться о безопасности вашего сайта WordPress:

• Популярность – WordPress управляет значительной частью всех веб-сайтов в интернете, что делает его привлекательной целью для киберпреступников. Его широкое использование делает его привлекательной платформой для эксплуатации уязвимостей и получения несанкционированного доступа к веб-сайтам.
• Уязвимости – Как и любое программное обеспечение, WordPress не защищен от уязвимостей. Хакеры постоянно ищут уязвимости в темах, плагинах и основном программном обеспечении WordPress. Их эксплуатация может привести к несанкционированному доступу, утечкам данных, искажению данных или даже полному контролю над веб-сайтом.
• Утечки данных – Веб-сайты WordPress часто хранят конфиденциальную информацию пользователей, такую как адреса электронной почты, пароли и личные данные. Нарушение безопасности может раскрыть эту конфиденциальную информацию, что приведет к краже личных данных, финансовым потерям или даже юридическим последствиям (ой!).
• Влияние на SEO – Компрометированный сайт WordPress может использоваться для вредоносной деятельности, такой как размещение вредоносного программного обеспечения, перенаправление посетителей на вредоносные веб-сайты или отправка спам-писем. Поисковые системы могут пометить такие веб-сайты и наказать их, что приведет к значительному снижению рейтингов и органического трафика после восстановления контроля над вашим сайтом.
• Репутация и доверие – Если веб-сайт WordPress скомпрометирован и используется во вредоносных целях, это может серьезно повредить репутацию владельца сайта и подорвать доверие пользователей. Представьте магазин электронной коммерции, например. Если магазин не может гарантировать безопасность личных данных покупателей, люди просто не будут там покупать (и кто может их винить?).
• Простои и финансовые потери – Взломанный сайт может испытывать продолжительные простои, пока владелец веб-сайта работает над устранением нарушения безопасности. В свою очередь, простои могут привести к потерям бизнеса, снижению дохода и дополнительным расходам на восстановление и реставрацию.

Учитывая эти риски, вложения в меры безопасности WordPress необходимы для защиты вашего сайта и данных его пользователей. Идеально, если вы уделите безопасности столько же времени и усилий, сколько вы потратили на дизайн вашего сайта в первую очередь (если не больше). К счастью для вас, дорогой читатель, существует множество простых и быстрых способов улучшить безопасность вашего сайта, а также некоторые более сложные техники, которые вы можете захотеть использовать — и ниже мы рассмотрим все их.

Основные уязвимости безопасности WordPress

Как гласит поговорка, знай своего врага. Прежде чем мы перейдем к нашим советам по безопасности, давайте узнаем больше о уязвимостях безопасности, от которых вам нужно защитить ваш сайт на WordPress.

• Устаревшее программное обеспечение, темы и Plugins – Использование устаревших версий WordPress, тем или Plugins может оставить ваш сайт уязвимым для известных уязвимостей безопасности.
• Слабые имена пользователей и пароли – Слабые учетные данные упрощают хакерам доступ к вашему сайту. Избегайте использования общих имен пользователей, таких как “admin”, и выбирайте сильные, уникальные пароли, включающие комбинацию букв, цифр и символов.
• Атаки методом подбора паролей – Атаки методом подбора паролей включают повторные попытки угадать ваши учетные данные. Вы можете предотвратить их, ограничив количество попыток входа в систему и используя двухфакторную аутентификацию (подробнее об этом позже в этой статье).
• Межсайтовый скриптинг (XSS) – Уязвимости XSS возникают, когда злонамеренные скрипты внедряются в веб-страницы, потенциально компрометируя браузеры пользователей или данные сессий. Многие плагины безопасности имеют функции для предотвращения XSS.
• Инфекции Malware – Malware может быть внедрен в ваш сайт через уязвимости, зараженные темы или Plugins, или скомпрометированные файлы. Чтобы избежать вредоносного ПО, не устанавливайте Plugins без предварительной проверки их репутации. Регулярное сканирование на наличие Malware может помочь обнаружить инфекции, прежде чем они успеют нанести ущерб вашему сайту.
• Задние двери – Задняя дверь — это скрытая точка входа на веб-сайт, которая позволяет несанкционированный доступ даже после введения мер безопасности. Задние двери могут быть созданы злоумышленниками или случайно введены через скомпрометированные темы, Plugins или слабые практики безопасности. После установления задней двери она может предоставить несанкционированный доступ злоумышленнику, который затем может манипулировать сайтом, красть данные или выполнять другие вредоносные действия без ведома владельца сайта.

Реализация плагинов безопасности и других лучших практик может защитить ваш сайт от этих уязвимостей. Итак, без лишних слов, перейдем к тому, зачем вы здесь: практические советы по безопасности WordPress и как их применять.

20 советов по безопасности WordPress

Надеюсь, я смог убедить вас в важности поддержания безопасности сайта на WordPress. Если нет, мне придется снова записаться на курс Убедительного письма 101. Пожалуйста, не заставляйте меня это делать.

В оставшейся части этой статьи я представлю 20 стратегий (наряду с некоторыми из лучших плагинов безопасности WordPress) для защиты вашего сайта от некоторых наиболее распространенных и опасных уязвимостей безопасности. Вам не обязательно реализовывать каждое предложение из этого списка (хотя вы, конечно, можете!), но чем больше шагов вы предпримете для защиты вашего сайта, тем ниже вероятность столкновения с катастрофой в будущем.

1. Используйте качественный хостинг

Можно считать вашего веб-хоста улицей вашего сайта в интернете — это место, где ваш сайт «живет». И так же, как хороший школьный район важен для будущего вашего ребенка (так говорят; я вполне нормально вырос), качество «домашней базы» вашего сайта имеет значение по многим важным причинам.

Надежный провайдер хостинга может повлиять на то, насколько хорошо работает ваш сайт, на его надежность, масштабируемость и даже на позиции в поисковых системах. Лучшие хосты предлагают разнообразные полезные функции, отличную поддержку и сервис, адаптированный под выбранную вами платформу.

Как вы, вероятно, уже догадались, ваш веб-хост также может оказать значительное влияние на безопасность вашего сайта. Существует несколько преимуществ в плане безопасности при выборе лучших хостинг-компаний.

Как хостинг может повысить безопасность WordPress:

• Качественный хост постоянно будет обновлять свои услуги, программное обеспечение и инструменты, чтобы отвечать на последние угрозы и устранять потенциальные уязвимости безопасности.
• Веб-хостинги часто предлагают различные специализированные функции безопасности, такие как сертификаты SSL/TLS и защиту от DDoS-атак. Вы также должны получить доступ к брандмауэру веб-приложений (WAF), который поможет отслеживать и блокировать серьезные угрозы для вашего сайта.
• Ваш веб-хост, скорее всего, предоставит возможность резервного копирования вашего сайта (в некоторых случаях даже выполняя резервное копирование в реальном времени для вас), так что если ваш сайт будет взломан, вы сможете легко вернуться к стабильной предыдущей версии.
• Если ваш хост предлагает надежную круглосуточную поддержку, у вас всегда будет кто-то, кто поможет вам, если у вас возникнут проблемы, связанные с безопасностью.

Этот список должен стать хорошей отправной точкой для поиска хоста для вашего нового сайта. Вам нужно будет найти такой, который предлагает все необходимые функции и возможности, а также известен своей надежностью и отличной производительностью.

DreamPress — это управляемый хостинг WordPress, который быстрый, надежный, масштабируемый и, конечно, безопасный. DreamPress включает предустановленный сертификат SSL/TLS и предоставляет выделенный WAF, разработанный с правилами, созданными для защиты сайтов WordPress и блокирования попыток взлома. Вместе с вашим хостинг-планом вы также получите автоматизированные резервные копии, круглосуточную поддержку от экспертов WordPress и Jetpack Premium — плагин, который может добавить множество дополнительных функций безопасности на ваш сайт — без дополнительных расходов.

С DreamPress вы можете быть спокойны за защиту вашего сайта. Наш сервис хостинга также заботится о многих других шагах по усилению безопасности из этого списка — хотя мы все же рекомендуем вам прочитать далее, чтобы узнать, какие дополнительные меры вы можете предпринять для защиты вашего сайта.

2. Зарегистрируйте ваш домен в частном порядке

Для регистрации домена вам необходимо предоставить ваше имя, адрес и номер телефона. Эта информация используется для отслеживания владения доменными именами и может быть найдена в интернете с помощью быстрого поиска в директории WHOIS.

Хранение этой информации жизненно важно для здоровья интернета, однако вполне разумно не хотеть размещать свои личные данные в сети. Здесь на помощь приходит Приватная регистрация. Когда вы регистрируете домен на DreamHost (или на другой надежной хостинг-платформе, я полагаю), у вас есть возможность заменить свои личные данные соответствующими данными хостинг-платформы — так что при поиске вашего домена в WHOIS отображается адрес и контактная информация DreamHost, а не ваша. Вы даже можете включить эту функцию безопасности после того, как ваш домен уже был зарегистрирован!

3. Измените имя вашего администратора

Когда вы впервые создаете свой сайт, совершенно новый и блестящий, вам предоставляется Профиль пользователя. В любое время вы можете вернуться и изменить свой Псевдоним или ввести своё Полное имя, но изменить ваше имя пользователя — это другая история: вам нужно будет создать совершенно нового пользователя и предоставить этой учётной записи роль администратора. Недостаток? Вам нужно использовать другой адрес электронной почты, чем тот, который используется вашей текущей учетной записью.

Затем вы можете изменить свое имя пользователя, создав нового пользователя, наделяя его административной ролью, передав все свое содержимое ему и удалив свою первоначальную учетную запись. Когда ваше предыдущее имя пользователя будет удалено, вы можете изменить адрес электронной почты вашего нового аккаунта, если желаете.

4. Включите веб-приложение брандмауэра

Вы, вероятно, знакомы с концепцией файрвола — программы, которая помогает блокировать все виды нежелательных атак на ваш сайт. Вероятно, у вас на компьютере установлен какой-то файрвол. Веб-приложение файрвол (WAF) — это просто файрвол, специально разработанный для веб-сайтов. Он может защищать серверы, конкретные веб-сайты или целые группы сайтов.

WAF на вашем сайте WordPress будет функционировать как барьер между вашим сайтом и остальным интернетом. Фаерволл отслеживает входящую активность, обнаруживает атаки, вредоносное программное обеспечение и другие нежелательные события, и блокирует все, что он считает риском для доступа к вашему веб-серверу. #winning

У вас есть множество вариантов добавления WAF на ваш сайт (WordFence является популярным выбором). Но если вы выбрали наш пакет DreamPress, можете расслабиться; вам не понадобится дополнительный брандмауэр. DreamPress включает встроенный WAF, который будет следить за угрозами на вашем сайте и блокировать доступ вредоносным пользователям и программам. Действий с вашей стороны не требуется.

DreamHost также предлагает DreamShield, нашу внутреннюю службу сканирования на Malware. Когда вы включите DreamShield на вашем хостинг-аккаунте, мы будем ежедневно сканировать ваш сайт на наличие вредоносного кода. Если мы обнаружим что-то подозрительное, вы немедленно получите уведомление по электронной почте.

5. Реализуйте двухфакторную аутентификацию

Двухфакторная аутентификация (которая также известна как двухэтапная аутентификация и другими похожими названиями) относится к двухэтапному процессу, который вам необходимо будет пройти при входе на ваш сайт. Это требует немного больше времени и усилий, но значительно помогает защититься от хакеров.

Двухфакторная аутентификация включает использование смартфона или другого устройства для проверки вашего входа в систему. Сначала вы посетите свой сайт WordPress и введете свое имя пользователя и пароль как обычно. Затем на ваше мобильное устройство будет отправлен уникальный код, который вы должны предоставить для завершения входа в систему. Это позволяет вам подтвердить свою личность, показывая, что у вас есть доступ к чему-то, что принадлежит только вам — например, к определенному телефону или планшету.

Как и многие функции WordPress, двухфакторную аутентификацию легко добавить с помощью специализированного плагина. Плагин Two Factor Authentication — хороший выбор, он создан надежными разработчиками, совместим с Google Authenticator и позволит вам добавить функциональность двухфакторной аутентификации на ваш сайт без лишних хлопот.

Ещё один вариант — это плагин Two-Factor, который был разработан в основном разработчиками WordPress и известен своей надёжностью. Как и любой плагин в этой категории, он требует некоторого времени на изучение, но справится с задачей и обеспечит высокий уровень безопасности. Если вы готовы потратить немного денег, вы также можете ознакомиться с премиум-решением от Jetpack, похожим на Clef.

Какой бы путь вы ни выбрали, убедитесь, что вы спланировали все вместе с вашей командой, так как вам потребуется собрать номера телефонов и другую информацию для всех учетных записей пользователей. Теперь ваша страница входа защищена и готова к использованию.

6. Будьте внимательны при добавлении новых плагинов и тем

Одно из лучших качеств WordPress — это готовая доступность плагинов и тем для практически любой потребности. С помощью этих удобных инструментов вы можете сделать свой сайт идеальным и добавить почти любую функцию или функциональность, о которой можно подумать.

Однако не все плагины и темы созданы одинаково.

Разработчики, которые не проявляют должной осторожности или не обладают необходимым уровнем опыта, могут создавать Plugins/plugin, которые ненадежны или небезопасны — или просто откровенно плохи. Они могут использовать плохие практики кодирования, которые оставляют пробелы, которые хакеры могут легко использовать или ненароком мешать важной функциональности.

Это означает, что вам нужно быть очень осторожным при выборе тем и плагинов для вашего сайта. Каждый из них должен быть проверен, чтобы убедиться, что это надежный вариант, который не повредит вашему сайту и не вызовет проблем. Вот как выбрать качественные инструменты:

• Читайте отзывы – Ознакомьтесь с оценками и отзывами пользователей, чтобы узнать, был ли у других хороший опыт использования плагина или темы.
• Поддержка разработчиков – Посмотрите, насколько недавно плагин или тема были обновлены. Если это было более шести месяцев назад, вероятно, они не так безопасны, как могли бы быть.
• Проще – лучше – Устанавливайте новые плагины и темы по одному, чтобы в случае возникновения проблем вы могли понять причину. Также не забудьте сделать резервную копию вашего сайта перед добавлением чего-либо на него.
• Проверенные источники – Получайте ваши плагины и темы из надежных источников, таких как директории тем и плагинов WordPress.org, ThemeForest и CodeCanyon и надежные сайты разработчиков.

7. Регулярно обновляйте WordPress

Поддержание актуальности WordPress — одна из самых важных задач для обеспечения безопасности вашего сайта. Мелкие исправления и обновления безопасности будут внедряться автоматически, но вам может потребоваться самостоятельно одобрить крупные обновления (не волнуйтесь, это очень просто сделать). Несомненно, стоит отметить, что DreamHost обрабатывает эти обновления за вас, так что вам не о чем беспокоиться.

Но ваша работа не заканчивается только обновлением WordPress.

Вам также необходимо регулярно обновлять ваши Plugins/plugin, темы и другие установки WordPress, чтобы обеспечить их хорошую совместимость и защиту от последних угроз. К счастью, это также довольно просто — просто перейдите в вашу панель управления WordPress, найдите красные уведомления о том, что есть темы или Plugins/plugin с доступными обновлениями, и кликните “Обновить сейчас” рядом с каждым из них.

Вы также можете обновить ваши плагины пакетом, выбрав все их и затем нажав кнопку обновления, здесь или на панели WordPress.

8. Настройка разрешений файлов

Давайте поговорим на технические темы на минутку.

Много информации, данных и содержимого на вашем сайте WordPress хранится в ряде папок и файлов на его backend. Они организованы в иерархическую структуру, и каждому элементу присваивается уровень разрешений. Разрешения на файл или папку WordPress определяют, кто может просматривать и редактировать их. Они могут быть настроены так, чтобы предоставить доступ любому, только вам или чему-то среднем между этими крайностями.

Права доступа к файлам представлены трехзначным числом в WordPress, и каждая цифра имеет значение. Первая цифра относится к отдельному пользователю (владельцу сайта), вторая цифра к группе (например, членам вашего сайта), а третья к каждому в мире. Само число означает, что пользователь, группа или весь мир:

• 0: Нет доступа к файлу.
• 1: Может только выполнять файл.
• 2: Может редактировать файл.
• 3: Может редактировать и выполнять файл.
• 4: Может читать файл.
• 5: Может читать и выполнять файл.
• 6: Может читать и редактировать файл.
• 7: Может читать, редактировать и выполнять файл.

Так, например, если файлу присвоен уровень прав 640, это означает, что основной пользователь может читать и редактировать файл, группа может читать файл, но не редактировать его, а остальной мир вообще не имеет к нему доступа. Важно убедиться, что каждый человек имеет только тот уровень доступа к файлам и папкам вашего сайта, который вы хотите им предоставить.

WordPress рекомендует установить для папок уровень разрешений 755 и для файлов 644. Вы можете смело придерживаться этих рекомендаций, хотя можете настроить любую комбинацию, которую захотите. Просто помните, что лучше не предоставлять кому-либо больше доступа, чем это абсолютно необходимо, особенно к основным файлам.

Вы также должны иметь в виду, что идеальные настройки прав доступа во многом зависят от вашего хостинг-сервиса, поэтому вам может понадобиться узнать, что рекомендует ваш хост.

Примечание: Будьте очень осторожны при изменении уровней разрешений — выбор неправильных значений (например, опасные 777) может сделать ваш сайт недоступным.

И пока мы обсуждаем эту тему, важно отметить, что WordPress содержит встроенный редактор кода, который позволяет пользователям редактировать файлы тем и Plugins/plugin прямо из Панели управления. Это удобно, когда это необходимо, но представляет большую угрозу безопасности, если ваш сайт попадет в чужие руки. Вот почему вы должны отключить редактирование файлов с помощью Plugins/plugin, например, Sucuri.

9. Сведите количество пользователей WordPress к минимуму

Если вы управляете своим сайтом на WordPress в одиночку, вам не нужно беспокоиться об этом шаге. Просто не предоставляйте доступ к вашему сайту другим людям, и вы будете единственным человеком, который может вносить изменения.

Однако существует множество причин добавить на ваш сайт другую учетную запись пользователя: вы можете захотеть, чтобы другие авторы вносили контент, или вам может потребоваться помощь в редактировании контента и управлении сайтом. У вас даже может быть целая команда пользователей, которые регулярно заходят на ваш сайт WordPress и вносят свои изменения.

Это может быть полезным (или даже необходимым). Однако, это также потенциальный риск для безопасности.

Чем больше людей имеет доступ к вашему сайту, тем выше вероятность, что кто-то совершит ошибку, вызовет проблемы или просто окажется неприятным человеком. Поэтому вам следует держать количество пользователей вашего сайта как можно меньше, не мешая его способности к росту. В частности, старайтесь ограничить количество администраторов и других ролей пользователей с высокими привилегиями.

Вот несколько других лучших практик:

• Ограничьте каждого пользователя только теми правами, которые необходимы для выполнения его работы.
• Поощряйте пользователей использовать надежные пароли.
• Постарайтесь придерживаться одного администратора и небольшой группы редакторов.
• Удаляйте пользователей, которые покинули сайт или больше не нуждаются в доступе.
• Регулярно выходите из системы неактивных пользователей (плагин Inactive Logout отлично подходит для этого!).
• Рассмотрите возможность скачивания плагина, такого как Members, который предоставляет пользовательский интерфейс для системы ролей и возможностей WordPress.

10. Ограничение попыток входа

Все иногда забывают свой пароль. Но хорошие новости! По умолчанию WordPress позволяет делать неограниченное количество попыток.

Но это действительно хорошие новости? Атаки методом грубой силы, при которых хакер пробует любое количество паролей, являются одним из самых распространенных способов, с помощью которого хакеры получают доступ к частным аккаунтам. Без ограничения на количество попыток входа в систему, хакер или Bot могут попробовать каждый пароль, не сталкиваясь с последствиями.

Сначала проверьте ваш Брандмауэр веб-доступа (WAF), чтобы ограничить количество попыток входа, которые пользователь может совершить. Если ваш брандмауэр уже настроен, лимит будет уже установлен, но вы также можете использовать отдельный плагин для этого! Оба Login Lockdown и Cerber Limit Login Attempts записывают IP-адрес и временную метку для каждой неудачной попытки входа, позволяют ограничивать количество неудачных попыток, разрешенных за определенный период времени, и блокируют IP-адреса, превышающие лимит. Оба плагина бесплатные, но Login Lockdown проще и более подходит для новичков. Если вам нужна более надежная система, Cerber Limit Login Attempts будет лучшим выбором, позволяя не только включать IP в белые/черные списки, но также уведомлять администраторов, если достигнуто определенное количество блокировок.

11. Отслеживайте активность в зоне администрирования

Если у вас много пользователей, следить за тем, что они делают на сайте, – хорошая идея. Отслеживание активности в вашей административной зоне WordPress поможет вам заметить, когда другие пользователи делают что-то, что им не следовало бы делать — и может помочь вам обнаружить случаи несанкционированного доступа.

Но вам также необходим инструмент, который поможет увидеть, кто стоит за различными действиями на сайте — например, когда кто-то делает несанкционированное изменение или подозрительную новую установку. Для этого вам понадобится другой плагин. Simple History оправдывает своё название, создавая стройный, легко понимаемый журнал изменений и событий на вашем сайте.

Для более полного отслеживания функций, ознакомьтесь с WP Security Audit Log, который отслеживает практически все, что происходит на вашем сайте и предлагает премиальные дополнения.

12. Защитите страницу входа паролем

Страница входа — это наиболее вероятный способ для хакеров получить доступ к вашему сайту, поэтому ее защита является отличным способом защитить остальную часть вашего сайта. Это может быть немного технически сложно, но всё же стоит изучить. Используйте этот учебник чтобы узнать, как создать файл htaccess и добавить запрос пароля на вашу страницу входа. Вход для вашего входа — что они придумают дальше?

И если вы размещаете контент, который не должен быть доступен каждому, вы можете защитить другие части вашего сайта паролем. Для блог-постов и других страниц вы можете добавить защиту паролем, перейдя в раздел страницы >> все записи. Кликните «редактировать», и вы увидите опцию изменения видимости на «Защищенный паролем». Просто опубликуйте, и вуаля, эта страница надежно заблокирована!

13. Скрыть вашу страницу входа

Добавление защиты паролем на вашу страницу входа – это замечательно, но еще лучше, если хакеры не смогут ее найти. Изменение ваших страниц wp-admin и wp-login просто и помогает отпугивать хакеров, которые легко могут найти вашу страницу входа, если вы оставите настройки по умолчанию.

Существует несколько plugin, которые могут перенаправить стандартную страницу входа на другую страницу по вашему выбору. Многие plugin предлагают это в рамках более крупного пакета (например, Defender также включает сканер Malware и Firewall). Но если вы ищете что-то простое, попробуйте WPS Hide Login, который просто скрывает вашу страницу входа. Только не забудьте добавить в закладки вашу новую страницу входа, чтобы вы могли её найти.

14. Обновление PHP

Так же, как Америка работает на Dunkin’ (не цитируйте нас), WordPress работает на PHP. Обновление WordPress недостаточно для того, чтобы ваш сайт был безопасным — вам также нужно убедиться, что вы используете последнюю версию PHP.

Обычно каждая версия PHP поддерживается как минимум два года после даты её выпуска, что означает, что уязвимости устраняются инженерами, разработавшими код. Когда код устаревает (или достигает своего EOL или “конца жизненного цикла”), приходит время для обновления, или вы рискуете быть подверженными безопасностным проблемам, замедлениям производительности и множеству ошибок.

Чтобы узнать, какую версию PHP вы в данный момент используете, войдите в свой сайт на WordPress, и выберите Инструменты >> Здоровье сайта. Перейдите в раздел Информация и затем Сервер, и посмотрите вашу текущую версию PHP.

15. Обеспечьте безопасность вашей базы данных WordPress

Использование настроек по умолчанию является подарком для хакеров, и по умолчанию WordPress использует wp_ в качестве префикса для всех связанных таблиц. Хорошие новости! Если вы используете Установщик в один клик, у вас уже есть префикс из случайных букв и цифр. Главное, чтобы он заканчивался подчёркиванием, системе это подходит. Ещё лучше! Даже если ваш WordPress уже установлен, он может быть подходящим для Установщика в один клик, если сайт полностью обслуживается и соответствует нескольким другим критериям.

Имейте в виду, что сломать что-то может быть так же просто, как пропущенное подчеркивание. К счастью, есть стандартная версия файла wp-config.php, доступная на Ядре WordPress, так что вы можете быстро и легко восстановить его — будь то попытка вручную изменить префикс базы данных или с использованием сервиса, например phpMyAdmin.

16. Добавить контрольные вопросы

Вопросы безопасности часто игнорируются, но они добавляют дополнительный импульс вашей защите. В зависимости от выбранного вами плагина, вы либо выберете из существующих вопросов безопасности, либо создадите свои собственные.

17. Скрыть вашу версию WordPress

Безопасность через неясность — если они не могут это найти, они не могут взломать!

Скрыть, какую версию WordPress вы используете (или скрыть, что вы вообще используете WordPress), изменив код заголовка. Если это звучит слишком технически, используйте плагин, например WPCode. Только убедитесь, что вы изменяете код, а не просто редактируете информацию о дисплее в настройках вашей темы — эти фрагменты кода вернутся с следующим обновлением темы.

18. Предотвращение хотлинкинга

Hotlinking — это кража пропускной способности путем использования файлов, размещенных на одном сайте, и их связывания с другим сайтом. Например, предположим, что кто-то нарисовал довольно остроумную карикатуру, и другой сайт хочет показать ее без разрешения. Они могли бы сделать hotlinking карикатуры вместо того, чтобы размещать ее на своих серверах, что обходится исходному сайту в большее количество трафика, а следовательно, и денег.

Для предотвращения хотлинкинга, вы можете выбрать отклонение определённых доменов, разрешить только определённые домены, или полностью убрать возможность хотлинкинга, сделав несколько изменений в вашем файле htaccess. Вы даже можете включить фрагмент в ваш файл .htaccess, который будет перенаправлять все попытки хотлинкинга на страницу или изображение по вашему выбору — возможно, на ту, которая говорит: «Прекрати хотлинкинг, халявщик!»

19. Защита от DDoS (Отключение XML RPC)

Распределённая атака типа «отказ в обслуживании» (или DDoS) происходит, когда хакер использует множество систем для отправки огромного объема данных и перегружает свою цель. Это может замедлить и обрушить работу цели — представьте себе огромную пробку на вашем сайте, где законный трафик не может проникнуть.

Мы знаем, что терпение в интернете встречается нечасто, средний пользователь ждет всего 3 секунды перед тем как уйти с страницы, поэтому чем быстрее вы сможете обнаружить и устранить атаку на ваш сайт, тем лучше.

Хотя предотвращение атаки DDoS может показаться сложной задачей, одним из первых шагов, которые вы можете предпринять, является удаление или отключение старых или неиспользуемых плагинов. Плагины чрезвычайно удобны, но, увеличивая функциональность, они также имеют доступ к вашему сайту, который может быть использован во вред. На этот раз скачивание большего количества плагинов не является решением!

XML-RPC позволяет доступ к WordPress через приложение на вашем мобильном устройстве. Если вы не используете свой смартфон для внесения изменений в ваш веб-сайт WordPress, скорее всего, вам не нужна эта функция. Отключение включает добавление небольшого фрагмента кода в ваш файл htaccess, и это сделает ваш сайт более безопасным.

20. Сканирование на Malware

Malware (сокращение от вредоносное программное обеспечение) скрывается в том, что кажется безопасными приложениями, так что пользователь не знает о заражении своего компьютера или веб-сайта.

Сканирование на наличие вредоносного программного обеспечения является важной защитой, которая работает с помощью антивирусного программного обеспечения для обнаружения и изоляции подозрительных файлов до того, как вы решите, нужно ли их удалять. Если угроза обнаружена, хороший сканер Malware удалит любые следы её с вашего компьютера как можно скорее. К счастью, несколько плагинов брандмауэра имеют встроенное сканирование на наличие Malware, поэтому обязательно проверьте свои плагины безопасности, чтобы узнать, что они предлагают.

Если вы используете DreamHost в качестве вашей платформы хостинга, вы можете активировать DreamShield для ежедневного сканирования на наличие вредоносного программного обеспечения.

Безопасность WordPress: Надежная защита

Если ваш сайт взломан, вы потратите часы (а может быть, даже дни) на устранение ущерба. Вы можете навсегда потерять данные или столкнуться с утечкой личной информации — или что еще хуже: данных ваших клиентов.

Вот почему вам нужно уделять достаточно времени и энергии, чтобы обеспечить безопасность вашего сайта. В противном случае вы рискуете потерять ценный бизнес и драгоценное время.

Эти советы по безопасности WordPress должны помочь. Некоторые из них представляют собой простые изменения, в то время как другие влияют на весь сайт. Но если вы ищете одно значимое изменение, которое вы можете сделать сегодня, чтобы обезопасить свой сайт, убедитесь, что он работает на защищенном хосте WordPress.

DreamPress hosting (с бесплатной миграцией WordPress) специально разработан для среды WordPress. Кроме того, если у вас возникнут проблемы с безопасностью, мы готовы помочь с автоматическими ежедневными резервными копиями, ежедневным сканированием на наличие Malware и нашей командой экспертов по WordPress! Готовы защитить ваш сайт от угроз и уязвимостей? Узнайте больше о хостинге DreamPress сегодня.