Все, що вам потрібно знати про безпеку WordPress (+20 порад щодо посилення)

Якщо ви шукаєте топову, універсальну систему управління контентом для вашого сайту, не шукайте далі за WordPress.

WordPress є відмінною, безпечною платформою з коробки, але є ще багато чого, що ви можете (і повинні!) зробити, щоб захистити свій сайт від зловмисних намірів. Багато з цих заходів безпеки легко впроваджуються та можуть бути виконані вручну всього за кілька хвилин. Інші просто вимагають встановлення певного плагіна.

У цій статті я проведу вас через 20 різних стратегій посилення захисту вашої фортеці WordPress. Але спочатку давайте трохи більше зрозуміємо, чому безпека веб-сайту повинна бути важливою для вас.

Чому безпека WordPress така важлива

Вибір WordPress як вашої платформи є відмінним способом для початку, коли ви намагаєтесь створити сайт. Це не лише гнучка, потужна платформа для побудови вебсайтів — вона також надзвичайно безпечна в своєму первісному вигляді.

Звичайно, жодна платформа не може бути на 100% безпечною, і є багато причин хвилюватися за безпеку вашого сайту WordPress:

• Популярність – WordPress використовує значну частину всіх вебсайтів в інтернеті, що робить його привабливою мішенню для кіберзлочинців. Його широке використання робить його привабливою платформою для експлуатації вразливостей та отримання несанкціонованого доступу до вебсайтів.
• Вразливості – Як і будь-яке програмне забезпечення, WordPress не є імунним до вразливостей. Хакери постійно шукають вразливості у темах, Plugins/plugin та основному програмному забезпеченні WordPress. Їх експлуатація може призвести до несанкціонованого доступу, витоку даних, спотворення або навіть повного контролю над вебсайтом.
• Витік даних – Вебсайти WordPress часто зберігають чутливу інформацію користувачів, таку як адреси електронної пошти, паролі та особисті дані. Порушення безпеки може призвести до витоку цієї конфіденційної інформації, що спричинить крадіжку особистих даних, фінансові втрати або навіть юридичні наслідки (ой!).
• Вплив на SEO – Зламаний сайт WordPress може використовуватися для шкідливих діяльностей, таких як розміщення Malware, перенаправлення відвідувачів на шкідливі вебсайти або відправлення спам-листів. Пошукові системи можуть позначити та покарати такі вебсайти, що призведе до значного падіння рейтингу та органічного трафіку, коли ви знову отримаєте контроль над вашим сайтом.
• Репутація та довіра – Якщо вебсайт WordPress було скомпрометовано та використано для шкідливих цілей, це може серйозно зашкодити репутації власника сайту та підірвати довіру користувачів. Уявіть, наприклад, інтернет-магазин. Якщо магазин не може гарантувати безпеку особистих даних покупців, люди просто не будуть там купувати (і хто їх може звинуватити?).
• Простої та фінансові втрати – Зламаний сайт може зазнавати тривалих простоїв, поки власник вебсайту намагається вирішити проблему з безпекою. У свою чергу, простої можуть призвести до втрати бізнесу, зниження доходу та додаткових витрат на відновлення та відновлення.

З огляду на ці ризики, вкладення у заходи безпеки WordPress є необхідним для захисту вашого сайту та даних його користувачів. Ідеально, ви повинні приділити безпеці стільки ж часу та зусиль, скільки ви витратили на дизайн вашого сайту спочатку (якщо не більше). На щастя для вас, шановний читачу, існує багато простих, швидких способів покращення безпеки вашого сайту, а також деякі більш складні техніки, які вам, можливо, захочеться використати — і нижче ми розглядаємо їх усі.

Основні уразливості безпеки WordPress

Як кажуть, знай свого ворога. Перш ніж ми перейдемо до наших порад щодо безпеки, давайте дізнаємось більше про уразливості безпеки, від яких вам потрібно захистити ваш сайт WordPress.

• Застаріле програмне забезпечення, теми та плагіни – Використання застарілих версій WordPress, тем або плагінів може залишити ваш сайт вразливим до відомих проблем безпеки.
• Слабкі імена користувачів та паролі – Слабкі дані для входу полегшують хакерам доступ до вашого сайту. Уникайте використання загальновідомих імен користувачів, таких як “admin”, та обирайте міцні, унікальні паролі, які включають комбінацію літер, цифр та символів.
• Атаки грубою силою – Атаки грубою силою включають повторні спроби вгадати ваші дані для входу. Їх можна запобігти, обмеживши спроби входу та використовуючи двофакторну авторизацію (детальніше про це пізніше в цій статті).
• Міжсайтовий скриптинг (XSS) – XSS вразливості виникають, коли шкідливі скрипти вводяться на веб-сторінки, потенційно ставлячи під загрозу браузери користувачів або дані сесії. Багато плагінів безпеки мають функції для запобігання XSS.
• Інфекції шкідливим програмним забезпеченням – Шкідливе програмне забезпечення може бути введене на ваш сайт через вразливості, заражені теми або плагіни, або скомпрометовані файли. Щоб уникнути шкідливого програмного забезпечення, не встановлюйте плагіни без перевірки їх репутації. Та регулярне сканування на наявність шкідливого програмного забезпечення може виявити інфекції, перш ніж вони матимуть змогу завдати шкоди вашому сайту.
• Задні двері – Задні двері – це прихований вхідний пункт на веб-сайті, який дозволяє несанкціонований доступ навіть після встановлення заходів безпеки. Задні двері можуть бути створені зловмисниками або випадково введені через скомпрометовані теми, плагіни або слабкі практики безпеки. Після створення задніх дверей, вони можуть надати несанкціонований доступ нападнику, який може потім маніпулювати сайтом, красти дані або виконувати інші зловмисні дії без знань власника веб-сайту.

Впровадження плагінів безпеки та інших кращих практик може захистити ваш сайт від цих вразливостей. Отже, без зволікань перейдемо до того, заради чого ви тут: практичні поради з безпеки WordPress та як їх застосувати на практиці.

20 порад щодо безпеки WordPress

Сподіваюсь, я переконав вас у важливості підтримки безпечного веб-сайту WordPress. Якщо ні, то мені доведеться знову записатися на курс «Основи переконливого письма». Будь ласка, не змушуйте мене це робити.

Протягом решти цієї статті я представлю 20 стратегій (разом із деякими з найкращих плагінів безпеки для WordPress) для захисту вашого сайту від деяких з найпоширеніших і небезпечних вразливостей безпеки. Вам не обов’язково впроваджувати кожну пропозицію з цього списку (хоча ви, звісно, можете!), але чим більше кроків ви зробите для захисту вашого сайту, тим нижчі ваші шанси зіткнутися з катастрофою у майбутньому.

1. Використовуйте якісний хостинг

Ви можете сприймати ваш хостинг як вулицю на Інтернеті, де “живе” ваш сайт. І як важлива якісна шкільна дистрикція для майбутнього вашої дитини (так кажуть; я вийшов нормальним), так і якість домівки вашого сайту має значення у багатьох важливих аспектах.

Надійний провайдер хостингу може вплинути на те, наскільки добре працює ваш сайт, на його надійність, масштаби росту та навіть на позиціонування в пошукових системах. Кращі хости пропонують різноманітні корисні особливості, відмінну підтримку та сервіс, адаптований до вашої вибраної платформи.

Як ви вже могли здогадатися, ваш хост також може мати значний вплив на безпеку вашого сайту. Існує кілька переваг безпеки від вибору найкращих хостингових компаній.

Як хостинг може покращити безпеку WordPress:

• Якісний хост постійно оновлює свої послуги, програмне забезпечення та інструменти, щоб реагувати на останні загрози та усувати потенційні проблеми безпеки.
• Веб-хости часто пропонують різноманітні спеціалізовані функції безпеки, такі як сертифікати SSL/TLS і захист від DDoS-атак. Вам також слід отримати доступ до брандмауера веб-додатків (WAF), який допоможе відстежувати та блокувати серйозні загрози для вашого сайту.
• Ваш хост, ймовірно, надасть можливість резервного копіювання вашого сайту (в деяких випадках навіть виконуючи резервне копіювання в реальному часі для вас), тож якщо вас зламають, ви зможете легко повернутися до стабільної попередньої версії.
• Якщо ваш хост пропонує надійну підтримку 24/7, ви завжди матимете когось, хто допоможе вам, якщо виникне проблема, пов’язана з безпекою.

Цей список має допомогти вам знайти відправну точку при виборі хостингу для вашого нового сайту. Вам потрібно знайти такий, що пропонує всі необхідні функції та можливості, а також славиться надійністю та відмінною продуктивністю.

DreamPress – це керований хостинг WordPress, який є швидким, надійним, масштабованим і, звичайно, безпечним. DreamPress включає попередньо встановлений сертифікат SSL/TLS та надає спеціалізований WAF, розроблений з правилами, створеними для захисту сайтів WordPress та блокування спроб злому. З вашим тарифним планом ви також отримаєте автоматичне резервне копіювання, цілодобову підтримку від експертів WordPress, і Jetpack Premium — плагін, який може додати багато додаткових функцій безпеки до вашого сайту — без додаткових витрат.

З DreamPress ви зможете спокійно спати, знаючи, що ваш сайт захищений. Наш сервіс хостингу також піклується про багато інших кроків щодо підвищення безпеки у цьому списку — хоча ми все ще радимо вам читати далі, щоб дізнатися, які додаткові заходи ви можете вжити для захисту вашого сайту.

2. Зареєструйте свій домен приватно

Щоб зареєструвати домен, вам потрібно вказати своє ім’я, адресу та номер телефону. Ця інформація використовується для відстеження власності доменних імен і може бути знайдена в Інтернеті за допомогою швидкого пошуку в довіднику WHOIS.

Хоча відстеження цієї інформації є важливим для здоров’я Інтернету, цілком розумно не хотіти, щоб ваша особиста інформація була в мережі. Ось де вступає в гру Приватна реєстрація. Коли ви реєструєте домен у DreamHost (або на іншій безпечній хостинг-платформі, я гадаю), у вас є можливість замінити вашу особисту інформацію відповідними даними з хостинг-платформи — так що при пошуку вашого домену в WHOIS замість вашої інформації відображається адреса та контактна інформація DreamHost. Ви навіть можете активувати цю функцію безпеки після того, як ваш домен вже був зареєстрований!

3. Змініть своє ім’я адміністратора

Коли ви вперше створюєте свій вебсайт, весь блискучий та новий, вам надається Профіль користувача. В будь-який час ви можете повернутися та змінити свій Псевдонім або заповнити своє Повне ім’я, але змінити свій ім’я користувача — це інша історія — вам потрібно створити цілком нового користувача та надати цьому обліковому запису роль адміністратора. Недолік? Вам потрібно використовувати іншу адресу електронної пошти, ніж та, що використовується вашим поточним обліковим записом.

Ви можете змінити своє ім’я користувача, створивши нового користувача, надавши йому адміністративну роль, передавши всі свої дані йому, та видаливши свій первісний акаунт. Коли ваше попереднє ім’я користувача буде видалено, ви можете змінити адресу електронної пошти свого нового акаунту, якщо бажаєте.

4. Увімкніть веб-застосунковий брандмауер

Ви, ймовірно, знайомі з концепцією брандмауера — програми, яка допомагає блокувати всі види небажаних атак на ваш сайт. Ймовірно, у вас є якийсь брандмауер на комп’ютері. Брандмауер веб-додатків (WAF) — це просто брандмауер, спеціально розроблений для вебсайтів. Він може захищати сервери, конкретні вебсайти або цілі групи сайтів.

WAF на вашому сайті WordPress буде виступати як бар’єр між вашим сайтом та рештою вебу. Файервол контролює вхідну активність, виявляє атаки, Malware та інші небажані події, і блокує все, що він вважає ризиком для доступу до вашого веб-сервера. #winning

У вас є багато варіантів для додавання WAF на ваш сайт (WordFence є популярним вибором). Але якщо ви обрали наш пакет DreamPress, можете розслабитися; вам не знадобиться додатковий брандмауер. DreamPress включає вбудований WAF, який буде стежити за вашим сайтом для виявлення загроз та блокувати зловмисних користувачів і програми, що намагаються отримати доступ. Від вас не потрібно жодних дій.

DreamHost також пропонує DreamShield, наш власний сервіс сканування на шкідливе програмне забезпечення. Коли ви активуєте DreamShield на вашому хостинг-акаунті, ми щодня скануватимемо ваш сайт на наявність шкідливого коду. Якщо ми знайдемо щось підозріле, ви негайно отримаєте повідомлення через електронну пошту.

5. Впровадіть двофакторну автентифікацію

Двофакторна аутентифікація (яка також відома під назвою двоетапна аутентифікація та різними іншими, схожими назвами) означає двоетапний процес, який вам доведеться виконувати під час входу на ваш сайт. Це займає трохи більше часу та зусиль, але значно допомагає відлякувати хакерів.

Двофакторна аутентифікація передбачає використання смартфона або іншого пристрою для підтвердження вашого входу. Спочатку ви відвідаєте свій сайт WordPress та введете своє ім’я користувача та пароль, як зазвичай. Після цього на ваш мобільний пристрій буде надіслано унікальний код, який вам потрібно надати для завершення входу. Це дозволяє вам довести свою особу, показуючи, що у вас є доступ до чогось, що належить лише вам — наприклад, до певного телефону чи планшета.

Як і багато інших функцій WordPress, двофакторну аутентифікацію легко додати за допомогою спеціалізованого плагіну. Плагін Two Factor Authentication є надійним вибором — він створений надійними розробниками, сумісний з Google Authenticator і дозволить вам додати функціонал двофакторної аутентифікації на ваш сайт без зайвих зусиль.

Ще одним варіантом є Two-Factor plugin, який був розроблений головним чином розробниками основи WordPress і відомий своєю надійністю. Як і будь-який plugin у цій категорії, він має деяку криву навчання, але він виконає свою роботу та є неймовірно безпечним. Якщо ви готові витратити трохи грошей, ви також можете ознайомитися з преміум рішенням Jetpack на кшталт Clef.

Який би шлях ви не обрали, переконайтеся, що плануєте заздалегідь зі своєю командою, оскільки вам доведеться зібрати номери телефонів та іншу інформацію для всіх облікових записів користувачів. З цим ваша сторінка входу тепер захищена і готова до використання.

6. Будьте уважні при додаванні нових плагінів та тем

Однією з найкращих речей у WordPress є готовність плагінів та тем для майже будь-якої потреби. За допомогою цих зручних інструментів ви можете зробити свій сайт саме таким, який хочете, та додати майже будь-яку функцію або можливість, яку можете уявити.

Однак не всі плагіни та теми створені однаково.

Розробники, які не проявляють обережності або не мають необхідного рівня досвіду, можуть створювати Plugins, які є ненадійними або небезпечними — або просто жахливими. Вони можуть використовувати погані практики кодування, які залишають дірки, які хакери можуть легко використовувати або ненавмисно перешкоджати важливому функціоналу.

Це означає, що ви маєте бути дуже обережними щодо тем і плагінів, які ви додаєте на свій сайт. Кожен з них має бути перевірений, щоб переконатися, що це надійний варіант, який не зашкодить вашому сайту або не викличе проблем. Ось як вибрати якісні інструменти:

• Читайте відгуки – Ознайомтеся з оцінками користувачів та відгуками, щоб дізнатися, чи мали інші хороший досвід роботи з плагіном або темою.
• Підтримка розробника – Перегляньте, коли востаннє плагін або тема оновлювалися. Якщо це було більше шести місяців тому, швидше за все, вони не настільки безпечні, як могли б бути.
• Простіше краще – Встановлюйте нові плагіни та теми по одному, щоб у разі проблем ви могли зрозуміти причину. Також не забудьте зробити резервну копію вашого сайту перед додаванням чогось на нього.
• Перевірені джерела – Завантажуйте свої плагіни та теми з надійних джерел, таких як Довідники тем та плагінів WordPress.org, ThemeForest і CodeCanyon, та надійні веб-сайти розробників.

7. Регулярно оновлюйте WordPress

Оновлення WordPress до актуальної версії є однією з найважливіших речей, які ви можете зробити для забезпечення безпеки вашого сайту. Менші патчі та оновлення безпеки будуть впроваджуватися автоматично, але вам може знадобитися незалежно схвалити основні оновлення (не хвилюйтеся, це дуже просто зробити). Це, мабуть, очевидно, але DreamHost керує цими оновленнями за вас, тому вам не потрібно турбуватися.

Але ваша робота не завершена просто тому, що WordPress оновлено.

Вам також потрібно регулярно оновлювати ваші плагіни, теми та інші встановлення WordPress, щоб переконатися, що вони добре працюють разом і захищені від останніх загроз. На щастя, це також досить легко — просто перейдіть до вашої панелі керування WordPress, шукайте червоні сповіщення, які повідомляють вам, що є теми або плагіни з доступними оновленнями, і клацніть “Оновити зараз” поруч з кожним.

Ви також можете оновити свої плагіни пакетно, вибравши всі їх та натиснувши кнопку оновлення, тут або в панелі WordPress.

8. Налаштування прав доступу до файлів

Давайте поговоримо про технічне на хвилину.

Багато інформації, даних та контенту на вашому сайті WordPress зберігається у серії папок і файлів на його backend. Вони організовані в ієрархічну структуру, і кожному з них присвоюється рівень дозволів. Дозволи на файл або папку WordPress визначають, хто може переглядати і редагувати їх. Вони можуть бути встановлені так, щоб дозволяти доступ всім, тільки вам, або майже будь-якому проміжному варіанту.

Дозволи на файли представлені тризначним числом у WordPress, і кожне число має значення. Перше число стосується індивідуального користувача (власника сайту), друге число – групи (наприклад, члени вашого сайту), а третє – всіх у світі. Саме число означає, що користувач, група або світ:

• 0: Немає доступу до файлу.
• 1: Може лише виконувати файл.
• 2: Може редагувати файл.
• 3: Може редагувати та виконувати файл.
• 4: Може читати файл.
• 5: Може читати та виконувати файл.
• 6: Може читати та редагувати файл.
• 7: Може читати, редагувати та виконувати файл.

Отже, наприклад, якщо файлу надано рівень дозволів 640, це означає, що основний користувач може читати та редагувати файл, група може читати файл, але не редагувати його, а решта світу не може отримати до нього доступ взагалі. Важливо забезпечити, щоб кожна особа мала лише той рівень доступу до файлів і папок вашого сайту, який ви хочете їй надати.

WordPress рекомендує встановлювати рівень прав доступу для папок на 755 та для файлів на 644. Ви можете дотримуватися цих рекомендацій, але також можете налаштувати будь-яку комбінацію, яку бажаєте. Просто пам’ятайте, що краще не надавати нікому більше доступу, ніж абсолютно необхідно, особливо до основних файлів.

Ви також повинні пам’ятати, що ваші ідеальні налаштування дозволів будуть залежати від вашого хостингу, тому вам може знадобитися дізнатися, що рекомендує ваш хост.

Примітка: Будьте дуже обережні, коли змінюєте рівні вашого дозволу — вибір неправильних значень (як страшний 777) може зробити ваш сайт недоступним.

І поки ми обговорюємо цю тему, важливо зазначити, що WordPress містить вбудований редактор коду, який дозволяє користувачам редагувати файли тем і плагінів прямо з Адміністративної зони. Це зручно, коли вам це потрібно, але великий ризик безпеки, якщо ваш сайт потрапить в чужі руки. Тому ви повинні відключити редагування файлів за допомогою плагіна, як-от Sucuri.

9. Мінімізуйте кількість користувачів WordPress

Якщо ви самостійно керуєте своїм сайтом WordPress, вам не потрібно хвилюватися про цей крок. Просто не давайте нікому іншому облікового запису на вашому сайті, і ви будете єдиною особою, яка може вносити зміни.

Однак, існує багато причин додати інший обліковий запис користувача на ваш сайт: Ви можете захотіти дозволити іншим авторам додавати контент, або вам може знадобитися люди для редагування контенту та управління вашим сайтом. Ви навіть можете мати цілу команду користувачів, які регулярно відвідують ваш сайт WordPress та вносять свої зміни.

Це може бути корисним (або навіть необхідним). Однак, це також потенційний ризик для безпеки.

Чим більше людей мають доступ до вашого сайту, тим вища ймовірність, що хтось припуститься помилки, викличе проблеми або просто буде незручним. Тому вам слід тримати кількість користувачів вашого сайту якомога нижче, не заважаючи його здатності до зростання. Зокрема, намагайтеся обмежити кількість адміністраторів та інших ролей користувачів з високими привілеями.

Ось кілька інших кращих практик:

• Обмежте кожного користувача лише тими дозволами, які необхідні для виконання їхньої роботи.
• Заохочуйте користувачів використовувати надійні паролі.
• Намагайтеся обмежитися одним адміністратором та невеликою групою редакторів.
• Видаляйте користувачів, які залишили сайт або більше не потребують доступу.
• Регулярно виходьте з системи користувачів, які не активні (для цього чудово підходить плагін Inactive Logout!).
• Розгляньте можливість завантаження плагіна, такого як Members, який забезпечує користувацький інтерфейс для системи ролей та можливостей WordPress.

10. Обмеження кількості спроб входу

Усі іноді забувають свій пароль. Але є хороші новини! За замовчуванням WordPress дозволяє необмежену кількість спроб.

Але чи це дійсно хороші новини? Атаки методом грубої сили, або атаки, коли хакер пробує безліч паролів, є одними з найпоширеніших способів, за допомогою яких хакери отримують доступ до приватних акаунтів. Без обмеження на спроби входу, хакер або Bot може спробувати кожен пароль, який є, без будь-яких наслідків.

Спочатку перевірте свій брандмауер доступу до вебу (WAF), щоб обмежити кількість спроб входу, яку може зробити користувач. Якщо ваш брандмауер вже налаштований, ліміт вже буде встановлено, але ви також можете використовувати окремий плагін для цього! Обидва Login Lockdown та Cerber Limit Login Attempts записують IP-адресу та часову мітку для кожної невдалої спроби входу, дозволяють обмежувати кількість невдалих спроб, дозволених за певний час, та блокують IP-адреси, які перевищують ліміт. Обидва плагіни безкоштовні, але Login Lockdown простіший і більш зручний для початківців. Якщо вам потрібна більш надійна система, Cerber Limit Login Attempts — це те, що вам треба, дозволяючи не лише ведення білого/чорного списків IP, але й повідомлення адміністраторам, якщо досягнута певна кількість блокувань.

11. Відстежуйте активність в адміністративній зоні

Якщо у вас є кілька користувачів, відстеження того, що вони роблять на сайті, — це гарна ідея. Відстеження активності в вашій адміністративній зоні WordPress допоможе вам помітити, коли інші користувачі роблять те, чого не повинні — і може допомогти вам виявити несанкціонований доступ.

Але вам також потрібен інструмент, щоб дізнатися, хто стоїть за різними діями на сайті — наприклад, коли хтось робить несанкціоновану зміну або підозріле нове встановлення. Для цього вам потрібен інший плагін. Simple History відповідає своїй назві, створюючи стислий, легко зрозумілий журнал змін і подій на вашому сайті.

Для більш всебічних функцій відстеження, ознайомтеся з WP Security Audit Log, який відстежує майже все, що відбувається на вашому сайті та пропонує преміум додаткові послуги.

12. Захистіть свою сторінку входу паролем

Сторінка входу є найбільш ймовірним шляхом для хакерів отримати доступ до вашого сайту, тому її захист є чудовим способом захисту решти вашого сайту. Це може бути трохи технічно, але все ж варто вивчити. Скористайтеся цим посібником, щоб дізнатися, як створити файл htaccess і додати запит пароля на вашу сторінку входу. Вхід для вашого входу — що вони ще придумають?

І якщо ви розміщуєте контент, який не всім потрібно бачити, ви можете захистити паролем інші частини вашого сайту. Для блог-постів та інших сторінок ви можете додати захист паролем, перейшовши до сторінок >> всі публікації. Клікніть “редагувати”, і ви побачите опцію зміни видимості на “Захищено паролем”. Просто опублікуйте, і бадабінг-бадабум, ця сторінка надійно захищена!

13. Сховайте вашу сторінку входу

Додавання захисту паролем до вашої сторінки входу є чудовим, але ще краще, якщо хакери навіть не зможуть її знайти. Зміна ваших сторінок wp-admin та wp-login є простою та допомагає уникнути хакерів, які легко можуть знайти вашу сторінку входу, якщо ви залишите налаштування за замовчуванням.

Існує кілька плагінів, які можуть перенаправити стандартну сторінку входу на іншу сторінку на ваш вибір. Багато плагінів пропонують це як частину більшого пакету (наприклад, Defender також включає сканер шкідливих програм і брандмауер). Але якщо ви шукаєте щось просте, спробуйте WPS Hide Login, який просто приховує ваш вхід. Просто не забудьте додати закладку на вашу нову сторінку входу, щоб ви могли її знайти.

14. Оновлення PHP

Так само, як Америка функціонує на Dunkin’ (не цитуйте нас), WordPress працює на PHP. Оновлення WordPress недостатньо для забезпечення безпеки вашого сайту — вам також потрібно переконатися, що ви використовуєте останню версію PHP.

Зазвичай кожна версія PHP підтримується принаймні два роки після її випуску, що означає, що уразливості усуваються інженерами, які розробили код. Коли код стає застарілим (або досягає свого EOL або «кінця життя»), настав час оновитися, або ви ризикуєте бути вразливими до проблем з безпекою, зниження продуктивності та численних помилок.

Щоб побачити, яку версію PHP ви зараз використовуєте, увійдіть на свій сайт WordPress, і виберіть Інструменти >> Стан сайту. Перейдіть до Інформації та потім Сервер, та перегляньте вашу поточну версію PHP.

15. Захистіть вашу базу даних WordPress

Залишати будь-які налаштування за замовчуванням – це подарунок для хакерів, і за замовчуванням WordPress використовує wp_ як префікс для усіх ваших відповідних таблиць. Гарні новини! Якщо ви використовуєте Інсталятор в один клік, у вас вже є префікс з випадкових літер та цифр. Доки він закінчується підкресленням, система задоволена. Ще кращі новини! Навіть якщо ваш WordPress вже встановлений, він може бути придатним для Інсталятора в один клік, якщо сайт повністю розміщено на хостингу і відповідає декільком іншим вимогам.

Просто зауважте, що зламати щось можна так само просто, як пропустити підкреслення. На щастя, існує стандартна версія файлу wp-config.php, доступна на WordPress Core, тому ви можете швидко та легко відновити — чи ви намагалися змінити префікс бази даних вручну, чи за допомогою сервісу, як-от phpMyAdmin.

16. Додати питання безпеки

Питання безпеки часто ігноруються, але вони додають додаткового імпульсу вашій безпеці. Залежно від плагіна, який ви оберете, ви або виберете з існуючих питань безпеки, або створите свої власні.

17. Сховати вашу версію WordPress

Безпека через непомітність — якщо вони не можуть це знайти, вони не можуть це зламати!

Приховайте, яку версію WordPress ви використовуєте (або приховайте те, що ви взагалі використовуєте WordPress), змінивши код заголовку. Якщо це здається занадто технічним, скористайтеся плагіном, як WPCode. Просто переконайтеся, що ви змінюєте код, а не просто редагуєте інформацію про відображення у налаштуваннях вашої теми — ці фрагменти коду повернуться після наступного оновлення теми.

18. Запобігання гарячим посиланням

Hotlinking — це викрадення пропускної здатності шляхом використання файлів, розміщених на одному сайті, та їх посилання на інший. Наприклад, уявімо, що хтось створив дуже влучний комікс, і деякий інший вебсайт хоче показати його без дозволу. Вони могли б використати hotlinking для коміксу замість того, щоб розміщувати його на своїх серверах, тим самим збільшуючи витрати оригінального вебсайту на пропускну здатність і, отже, на гроші.

Щоб запобігти хотлінкінгу, ви можете вибрати відхилення певних доменів, дозволити лише певні домени або зовсім видалити можливість хотлінкінгу, зробивши кілька змін у вашому файлі htaccess. Ви навіть можете включити фрагмент у ваш файл .htaccess, який направлятиме всі спроби хотлінкінгу на сторінку або зображення на ваш вибір — можливо, таке, що говорить: «Перестань використовувати хотлінкінг, безплатник!»

19. Захист від DDoS (Вимкнення XML RPC)

Розподілена атака відмови в обслуговуванні (або DDoS) відбувається, коли хакер використовує кілька систем для відправлення великого обсягу даних і перевантаження своєї цілі. Це може сповільнити роботу і вивести з ладу цільовий об’єкт — уявіть великий затор для вашого веб-сайту, де жоден легітимний трафік не може потрапити.

Ми знаємо, що терпіння в інтернеті закінчується швидко, з середнім користувачем, який чекає лише 3 секунди на завантаження сторінки, перш ніж покинути її, тому чим швидше ви зможете виявити та вирішити атаку на ваш сайт, тим краще.

Хоча запобігання атаці DDoS може здатися складним завданням, одним із перших кроків, які ви можете зробити, є видалення або вимкнення будь-яких старих або невикористовуваних плагінів. Плагіни надзвичайно корисні, але, збільшуючи функціональність, вони також мають доступ до вашого сайту, який може бути використаний. На цей раз завантаження більше плагінів не є відповіддю!

XML-RPC дозволяє доступ до WordPress через додаток на вашому мобільному пристрої. Якщо ви не використовуєте свій смартфон для внесення змін на ваш сайт WordPress, ймовірно, вам не потрібна ця функція. Її вимкнення передбачає додавання короткого фрагменту коду до вашого файлу htaccess, і це зробить ваш сайт безпечнішим.

20. Сканування на Malware

Malware (скорочено від шкідливе програмне забезпечення) ховається в здавалося б безпечних програмах, тому користувач не знає, що його комп’ютер або веб-сайт заражені.

Сканування на наявність шкідливих програм є важливим захистом, який працює за допомогою антивірусного програмного забезпечення, щоб ідентифікувати та ізолювати підозрілі файли, доки ви не вирішите, чи потрібно їх видаляти. Якщо загроза виявлена, хороший сканер шкідливих програм видалить будь-які сліди її з вашого комп’ютера якнайшвидше. На щастя, декілька плагінів брандмауера включають вбудоване сканування на шкідливі програми, тож обов’язково перевірте ваші плагіни безпеки, щоб побачити, що вони пропонують.

Якщо ви використовуєте DreamHost як вашу хостинг-платформу, ви можете активувати DreamShield для щоденного сканування на наявність шкідливих програм.

Безпека WordPress: Захист

Якщо ваш вебсайт зламано, вам доведеться витратити години (можливо, навіть дні), намагаючись відновити пошкодження. Ви можете назавжди втратити дані або побачити, що ваша особиста інформація скомпрометована — або гірше: дані ваших клієнтів.

Саме тому ви повинні приділити достатньо часу та енергії, щоб переконатися, що ваш сайт захищений. В іншому випадку ви ризикуєте втратити цінний бізнес та дорогоцінний час.

Ці поради щодо безпеки WordPress мають допомогти. Деякі з них – прості налаштування, тоді як інші впливають на весь сайт. Але якщо ви шукаєте одну значущу зміну, яку ви можете внести сьогодні, щоб забезпечити безпеку вашого сайту, переконайтеся, що він розміщений на захищеному хостингу WordPress.

Хостинг DreamPress (з безкоштовною міграцією WordPress) спеціально розроблений для середовища WordPress. Крім того, якщо ви стикнетеся з проблемами безпеки, ми готові вам допомогти з автоматичними щоденними резервними копіями, щоденним скануванням на Malware та нашою командою експертів з WordPress! Готові захистити свій сайт від загроз та вразливостей? Дізнайтеся більше про хостинг DreamPress сьогодні.