Главная > Руководство по безопасности WordPress
Руководство по безопасности WordPress2018-08-26T20:54:02+00:00

Руководство по безопасности WordPress

Безопасность WordPress — это тема, имеющая огромное значение для каждого владельца веб-сайта. Каждую неделю Google черным списком составляет около 20 000 сайтов для вредоносного ПО и около 50 000 для фишинга. Если вы серьезно относитесь к своему сайту, то вам нужно обратить внимание на безопасность WordPress. В этом руководстве мы поделимся всеми советами по безопасности WordPress, которые помогут вам защитить ваш сайт от хакеров и вредоносных программ.

Улучшение безопасности WordPress

Основное программное обеспечение WordPress очень безопасно и регулярно проверяется сотнями разработчиков, многое делается для того, чтобы упростить ваш сайт WordPress.

Безопасность — это не просто устранение рисков. Как владелец веб-сайта, вы можете многое сделать для улучшения безопасности WordPress (даже если вы не разбираетесь в технологии).

У нас есть ряд шагов, которые можно предпринять для улучшения безопасности WordPress.

Почему важна безопасность веб-сайта?

Взломанный сайт WordPress может нанести серьезный урон вашему бизнесу и репутации. Хакеры могут красть пользовательскую информацию, пароли, устанавливать вредоносное программное обеспечение и даже распространять вредоносное ПО среди ваших пользователей.

Хуже того, вы можете попасть под шантаж злоумышленника для того, чтобы восстановить доступ к вашему сайту.

Важность безопасности WordPress

В марте 2016 года Google сообщила, что более 50 миллионов пользователей веб-сайтов были предупреждены о посещаемом ими веб-сайте, который может содержать вредоносное ПО или кражу информации.

Кроме того, Google черным списком выявляет около 20 000 сайтов в которых содержаться вредоносные программы и около 50 000 для фишинга каждую неделю.

Если ваш сайт является бизнесом, вам нужно уделять больше внимания безопасности WordPress.

Подобно тому, как владельцы бизнеса обязаны защищать свое физическое хранилище, как владелец интернет-бизнеса, вы несете ответственность за защиту своего бизнес-сайта.

Обновление WordPress

WordPress — это программное обеспечение с открытым исходным кодом, которое регулярно поддерживается и обновляется. По умолчанию WordPress автоматически устанавливает незначительные обновления. Для основных выпусков вам необходимо вручную инициировать обновление.

WordPress также поставляется с тысячами плагинов и тем, которые вы можете установить на свой сайт. Эти плагины и темы поддерживаются сторонними разработчиками, которые регулярно выпускают обновления.

Эти обновления WordPress имеют решающее значение для безопасности и стабильности вашего сайта WordPress. Вы должны убедиться, что ядро ​​WordPress, плагины и тема обновлены.

Сильный пароль и роли пользователей

Управление паролями WordPress

Самые распространенные попытки взлома WordPress использование украденных паролей. Вы можете сделать пароль сложнее, используя более сильные пароли, которые уникальны для вашего сайта. Не только для области администрирования WordPress, но также для учетных записей FTP, базы данных, учетной записи хостинга WordPress и вашего адреса электронной почты.

Еще один способ уменьшить риск — не предоставлять какой-либо из доступов к вашей учетной записи администратора WordPress, если вам это не нужно для каких либо правок со стороны программиста. Если у вас есть большая команда или гостевые авторы, убедитесь, что вы понимаете роли и возможности пользователей в WordPress, прежде чем добавлять новых пользователей и авторов на свой сайт WordPress.

Роль хостинга WordPress

Ваш хостинг WordPress играет самую важную роль в безопасности вашего сайта WordPress. Хороший хостинг-провайдер, такой как Beget, принимает дополнительные меры для защиты своих серверов от общих угроз.

Однако на общем хостинге вы совместно используете ресурсы сервера со многими другими клиентами. Это открывает риск межсайтового заражения, когда хакер может использовать соседний сайт для атаки вашего сайта.

Использование управляемого хостинга WordPress обеспечивает более безопасную платформу для вашего сайта. Управляемые хостинговые компании WordPress предлагают автоматическое резервное копирование, автоматические обновления WordPress и более сложные конфигурации безопасности для защиты вашего сайта.

Установка резервного копирования WordPress

Установка резервного копирования WordPress

Резервные копии — это ваша первая защита от любой атаки WordPress. Помните, что ничего не на 100% безопасно. Если правительственные сайты могут быть взломаны, то так же и ваши.

Резервные копии позволяют быстро восстановить сайт WordPress, если произойдет что-то плохое.

Существует множество бесплатных и платных плагинов WordPress, которые вы можете использовать. Самое главное, что вам нужно знать, когда речь заходит о резервном копировании, — это то, что вы должны регулярно сохранять резервные копии всего сайта в удаленном месте (а не в своей учетной записи хостинга).

Мы рекомендуем хранить его в облачном сервисе, таком как Dropbox или Яндекс.Диск.

Исходя из того, как часто вы обновляете свой веб-сайт, идеальным вариантом может быть один раз в день или резервное копирование в реальном времени.

Измените имя пользователя «admin»

В старые времена по умолчанию имя пользователя WordPress было «admin». Поскольку имена пользователей составляют половину учетных данных для входа, это облегчило хакерам совершать атаки с использованием грубой силы.

К счастью, WordPress с тех пор изменил это и теперь требует, чтобы вы выбрали пользовательское имя пользователя во время установки WordPress.

Однако некоторые установщики WordPress с одним щелчком мыши по-прежнему устанавливают имя администратора по умолчанию admin.

Поскольку WordPress не позволяет вам поменять имена пользователей по умолчанию, вы можете использовать три метода для изменения имени пользователя.

  1. Создайте новое имя администратора и удалите старый.
  2. Используйте плагин Username Changer
  3. Обновить имя пользователя из phpMyAdmin

Примечание. Мы говорим о имени пользователя «admin», а не о роли администратора.

Отключить редактирование файлов

WordPress поставляется со встроенным редактором кода, который позволяет редактировать тему и файлы плагинов прямо из области администрирования WordPress. В неправильных руках эта функция может представлять угрозу безопасности, поэтому мы рекомендуем отключить ее.

Вы можете легко сделать это, добавив следующий код в ваш файл wp-config.php.

1
2
// Disallow file edit
define('DISALLOW_FILE_EDIT', true );

Отключить выполнение PHP-файлов в некоторых каталогах WordPress

Другой способ упростить безопасность WordPress — это отключить выполнение PHP-файлов в каталогах, где это не нужно, например / wp-content / uploads /.

Вы можете сделать это, открыв текстовый редактор, например «Блокнот», и вставьте этот код:

1
2
3
<Files *.php>
deny from all
</Files>

Затем вам нужно сохранить этот файл как .htaccess и загрузить его в / wp-content / uploads / folders на вашем сайте с помощью FTP-клиента.

Ограниченные попытки входа в систему

По умолчанию WordPress позволяет пользователям пытаться войти столько раз, сколько захочется. Это оставляет уязвимость вашего сайта WordPress для атаки грубой силы. Хакеры пытаются взломать пароли, пытаясь войти в систему с разными комбинациями.

Это можно легко устранить, ограничив неудачные попытки входа в систему, которые пользователь может сделать.

Во-первых, вам необходимо установить и активировать плагин Login LockDown.

После активации перейдите на вкладку «Настройки» Login LockDown, чтобы настроить плагин.

Изменение префикса базы данных WordPress

По умолчанию WordPress использует wp_ в качестве префикса для всех таблиц в базе данных WordPress. Если на вашем сайте WordPress используется префикс базы данных по умолчанию, это облегчает хакерам догадываться, какое имя вашей таблицы. Именно поэтому мы рекомендуем изменить его.

Примечание. Это может сломать ваш сайт, если он не выполнен правильно. Продолжайте, если вы чувствуете себя комфортно с вашими навыками кодирования.

Защита паролем для WordPress и страница входа в систему

Как правило, хакеры могут запрашивать вашу папку wp-admin и страницу входа без каких-либо ограничений. Это позволяет хакерам попробовать свои хакерские трюки или запустить DDoS-атаки.

Вы можете добавить дополнительную защиту паролем на стороне сервера, которая будет эффективно блокировать эти запросы.

Отключить индексирование каталогов и просмотр

Просмотр каталога WordPress

Просмотр каталогов может использоваться хакерами, чтобы узнать, есть ли у вас файлы с известными уязвимостями, чтобы они могли использовать эти файлы для получения доступа.

Просмотр каталога также может использоваться другими людьми для просмотра ваших файлов, копирования изображений, поиска структуры каталогов и другой информации. Вот почему настоятельно рекомендуется отключить индексирование каталогов.

Вам необходимо подключиться к вашему сайту с помощью FTP-менеджера или файлового менеджера cPanel. Затем найдите файл .htaccess в корневом каталоге вашего веб-сайта.

После этого вам нужно добавить следующую строку в конец файла .htaccess:

Options -Indexes

Не забудьте сохранить и загрузить файл .htaccess на свой сайт.

Отключить XML-RPC в WordPress

XML-RPC был включен по умолчанию в WordPress 3.5, поскольку он помогает подключать ваш сайт WordPress к веб-и мобильным приложениям.

Однако из-за его мощной природы XML-RPC может значительно усилить атаки грубой силы.

Например, традиционно, если хакер хотел попробовать 500 разных паролей на вашем веб-сайте, им пришлось бы сделать 500 отдельных попыток входа, которые будут пойманы и заблокированы плагином блокировки входа.

Но с XML-RPC, хакер может использовать функцию system.multicall, чтобы попробовать тысячи паролей, например, 20 или 50 запросов.

Вот почему, если вы не используете XML-RPC, мы рекомендуем отключить его.

Существует 3 способа отключения XML-RPC в WordPress.

Совет. Метод .htaccess является лучшим, потому что он наименее ресурсоемкий.

Добавить вопросы безопасности на экран входа в WordPress

Добавление защитного вопроса на ваш экран входа в WordPress еще более затрудняет доступ к несанкционированному доступу.

Вы можете добавить вопросы безопасности, установив плагин WP Security Questions. После активации вам нужно перейти на страницу настроек «Вопросы безопасности», чтобы настроить параметры плагина.

Исправление взломанного сайта WordPress

Многие пользователи WordPress не осознают важность резервного копирования и безопасности веб-сайта до взлома их веб-сайта.

Очистка сайта WordPress может быть очень сложной и трудоемкой. Наш первый совет — позволить профессионалу позаботиться об этом.

Хакеры устанавливают бэкдоры на затронутые сайты, и если эти бэкдоры не исправляются должным образом, ваш веб-сайт, скорее всего, снова будет взломан.

Вот и все, мы надеемся, что эта статья помогла вам изучить лучшие рекомендации по безопасности WordPress.