БЕЗОПАСНОСТЬ ВОРДПРЕСС ПОЛНОЕ РУКОВОДСТВО

Почему важна безопасность WordPress?

Веб-сайт — это первая точка контакта для потенциальных клиентов, которые узнают вас и доверяют вашему бренду и бизнесу, поэтому важно всегда следить за здоровьем вашего сайта с точки зрения его безопасности.

Поскольку WordPress приобрел популярность в последние несколько лет, он стал предметом увлечения хакеров, которые пытаются взломать его, повредить ваши файлы и, в конечном итоге, ваш бизнес. Помимо взлома, существуют и другие угрозы, например, ransomware.

Ransomware — это программное обеспечение, которое проникает в вашу систему и блокирует доступ к ней для посетителей сайта. Владелец ransomware требует определенную сумму денег/выкупа, чтобы освободить ваш сайт. Если Google обнаружит, что ваш сайт поражен вирусом или хакерской атакой, он может внести его в черный список и исключить из индекса, и каждый раз, когда посетитель захочет зайти на ваш сайт, он будет уведомлен браузером о проблеме безопасности на вашем сайте. Все это делает очень важным для вас обеспечить безопасность вашего сайта, следуя лучшим практикам безопасности wordpress и используя лучшие отраслевые инструменты. Помимо правильных инструментов и методов, очень важно понимать роль вашего хостинг-провайдера. Важно разместить свой сайт у надежного и проверенного хостинг-провайдера. В этой статье мы расскажем вам, как оптимизировать безопасность WordPress!

Насколько безопасен WordPress?

Под WordPress мы подразумеваем основные файлы WordPress. WordPress очень безопасен, если пользователи следят за всеми остальными параметрами безопасности и соблюдают все процедуры безопасности. Администратору WordPress важно поддерживать все основные файлы WordPress в последней версии, а также обновлять все темы и плагины.

Плагины безопасности WordPress

Рекомендуется использовать надежные плагины безопасности WP, такие как Wordfence, Sucuri или All in One WordPress Security and Firewall. Существуют как бесплатные, так и платные версии этих плагинов. Эти плагины безопасности бдительно следят за всеми подозрительными действиями и блокируют атаки. Вы можете легко настроить эти плагины с помощью соответствующих панелей управления. Серверы WPOven уже оснащены всеми этими функциями плагинов безопасности, и вы можете настраивать и контролировать их с панели управления WPOven.

Мы рекомендуем Malcare, поскольку он поставляется с функцией мгновенного сканирования и очистки от вредоносных программ. С помощью этого плагина вы можете автоматически очистить свой сайт за несколько простых шагов. Он также предлагает встроенную функцию staging и очень хорошую поддержку. Цена начинается всего с 99 долларов в год.

Sucuri Security — это очень эффективный плагин безопасности WP с такими функциями, как аудит действий безопасности, мониторинг целостности файлов, удаленное сканирование вредоносных программ и мониторинг черного списка, с уведомлениями по электронной почте. Он имеет как бесплатную, так и платную версию с ежемесячной подпиской от $16/месяц.

Itheme Security — это очень универсальный плагин безопасности с такими опциями, как проверка на вредоносное ПО, ведение журнала действий пользователя и сравнение файлов в режиме онлайн. Также в плагин встроено множество других опций, таких как изменение URL для приборной панели WordPress, удаление информации заголовка RSD, изменение пути к wp-content и т.д. Вы также можете установить двухфакторную аутентификацию и истечение срока действия пароля с помощью этого плагина.

SecuPress — это простой плагин безопасности WordPress со сканированием на вредоносное ПО; блокировкой ботов и подозрительных IP. Он прост, но эффективен при установке WordPress и предоставляет отчеты о безопасности в формате PDF. Он также позаботится об использовании защищенных имен пользователей и паролей с помощью таких функций, как установка времени жизни пароля и запрет на использование имен пользователей, которые могут быть легко угаданы.

Отказ в обслуживании

Важно использовать темы и плагины от проверенных разработчиков, чтобы в их коде не было уязвимых ошибок. В этом типе атак хакеры используют эти слабые места в коде для увеличения использования оперативной памяти сервера путем выполнения повторяющихся запросов, что заставляет сайт перестать отвечать на запросы других посетителей сайта. Мы используем несколько систем, чтобы занять один ресурс, что приводит к тому, что веб-сайт перестает отвечать. Это может привести к огромным потерям для бизнеса, так как сайт может оказаться недоступным для посетителей и потенциальных клиентов. Уязвимость WordPress можно легко уменьшить, если следовать советам.

Межсайтовый скриптинг (XSS)

С помощью этой техники хакеры проникают в браузеры посетителей сайта и крадут их данные, которые могут включать важные пароли. Это происходит путем внедрения уязвимых файлов в установку WordPress. В основном это происходит в плагинах, разработанных новыми или ненадежными разработчиками. X SS-атаки обычно осуществляются с помощью JavaScript и CSS. Используя XSS-атаки, хакеры могут нанести вред посетителям сайта, включая кражу cookie, установку троянов, прослушивание клавиатуры, фишинг и кражу личных данных, при этом посетители даже не осознают потери. Не волнуйтесь, мы позаботимся о вас! Прочитайте все об ошибках WordPress, чтобы решить их в мгновение ока.

Хакеры могут перенаправлять посетителей вашего сайта на другие сайты, внедряя код перенаправления в один из ваших файлов, чаще всего в файл .htaccess. Когда посетители пытаются зайти на ваш сайт или какую-либо конкретную страницу на вашем сайте, они будут перенаправлены на вредоносный сайт. Это приведет к потере доверия к вашему бизнесу.

Попытки грубого входа в систему

Это один из самых распространенных методов, используемых хакерами для кражи паролей ваших посетителей. Обычно это делается через электронное письмо, которое выглядит как письмо из надежного источника, но, конечно, таковым не является. В нем содержится ссылка, нажав на которую, пользователь попадает в руки хакеров.

Хакеры могут использовать ваш сервер и WP Installation для рассылки вредоносных писем по списку электронной почты своей жертвы. Трудно определить, заражен ли ваш сайт фишинговыми скриптами. Хотя этого можно избежать с помощью регулярного сканирования.

Найти безопасный, надежный и проверенный хостинг WordPress

Как уже говорилось ранее, важно выбрать хостинг-провайдера, который очень трепетно относится к безопасности, соблюдает высокие стандарты мер безопасности и имеет хорошую систему поддержки. Хороший хостинг-провайдер будет всегда:

WPOven Управляемый WordPress хостинг «Все включено» предлагает все вышеперечисленное, чтобы помочь вам запустить свой WordPress сайт, не беспокоясь о безопасности. WPOven в рамках своего плана управляемого хостинга WordPress также предлагает:

Держите на сервере последнюю версию PHP

Все ваши файлы WordPress разработаны с использованием PHP-кодов, и это фундамент вашего сайта WordPress, поэтому очевидно, что фундамент должен быть прочным. Поэтому важно использовать только последнюю версию PHP. Версии PHP поддерживаются до 2 лет для защиты от проблем безопасности. В течение этого периода времени все необходимые исправления безопасности предоставляются разработчиками. После этого он становится устаревшим. Самая последняя версия PHP — 7.3, которая оптимизирована для лучшей скорости, а также гораздо более безопасна, чем ее предыдущие версии. Версии ниже PHP 7.0 являются небезопасными. Таким образом, вы можете использовать версии 7.0, 7.1, 7.2 или 7.3. W POven отказался от старых версий PHP и использует только PHP версии 7.0 и выше. Вы можете легко выбрать версию PHP, которую хотите использовать, что снижает уязвимость WordPress.

Делайте частые резервные копии

Всегда рекомендуется часто делать резервные копии файлов сайта WordPress, а также базы данных. Вы можете создавать резервные копии вручную, а также с помощью некоторых плагинов WordPress, таких как UpdraftPlus, VaultPress, BackupBuddy или любых других плагинов резервного копирования. Вы можете использовать эти плагины для планирования автоматического резервного копирования. При выборе плагина убедитесь, что в нем есть возможность легкого восстановления. Хранение резервных копий вне сервера является лучшим подходом, так как файлы находятся в безопасности в случае любого нежелательного инцидента на сервере.

Услуги по резервному копированию WordPress. Существуют некоторые внесетевые службы резервного копирования WordPress, которые хранят резервные копии в облаке. Некоторые из платных услуг такие как:

Плагины резервного копирования WordPress

Вы также можете использовать некоторые бесплатные и очень надежные плагины. Некоторые плагины обеспечивают резервное копирование на сервере, а некоторые — внесерверное резервное копирование, при котором резервные файлы хранятся на внесерверных площадках, таких как AmazonS3, Google Cloud, Dropbox, MS Azure, Rackspace и т.д.

UpdraftPlus: Это самый популярный плагин для резервного копирования и восстановления, который используется миллионами сайтов WordPress. Существует как бесплатная, так и премиум-версия этого плагина. Он также совместим с многосайтовой средой, может хранить резервные копии объемом до 100 Гб и даже планировать почасовое резервное копирование.

BackupBuddy: Это один из старейших плагинов WordPress для резервного копирования. Он обеспечивает мгновенные уведомления по электронной почте и настраиваемое содержание резервных копий.

WP Time Capsule: Это интеллектуальный плагин резервного копирования, который создает резервные копии только при наличии изменений в файле или базе данных. Это экономит время, место и ресурсы. Он имеет различные планы для удовлетворения потребностей пользователей, начиная от владельцев одного сайта и заканчивая агентствами, управляющими несколькими сайтами WordPress.

BackWPup: Это универсальный плагин для резервного копирования, который шифрует резервные копии. W POven имеет встроенную в приборную панель функцию резервного копирования и восстановления. В панели WPOven есть два типа резервного копирования: инкрементное и полное.  WPOven предоставляет бесплатное резервное копирование на срок до 14 дней и сохраняет резервные копии вне сервера.

Кроме того, можно загрузить полную резервную копию, а также резервные копии файлов или базы данных по отдельности, как показано на рисунке:

Надежные имена пользователей и пароли

Суровая реальность DDOS-атак заключается в том, что даже самые обновленные версии WordPress не могут предотвратить такие атаки. Их можно предотвратить только путем защиты серверов хостинга. Существуют некоторые сторонние инструменты, которые вы можете установить на свои сайты WordPress для предотвращения атак. Если вы пользуетесь услугами надежных и проверенных партнеров, таких как WPOver, вы можете использовать их инструменты для мониторинга аналитики сайта, производительности сервера и данных об использовании ресурсов. Важно определить аномальный всплеск использования ресурсов и уведомить об этом своего поставщика услуг. Ваш провайдер может проверить все необходимые журналы и принять необходимые меры, чтобы остановить атаку «Отказ в обслуживании».

Владельцы сайтов упускают из виду важность SSL, большинство из них считает, что это просто знак, который необходим только в том случае, если ваш сайт связан с финансовыми операциями. S SL-сертификат на сайте играет важную роль в создании безопасного соединения между вашим сайтом и браузером пользователя. Еще одним преимуществом использования HTTPS является повышение рейтинга в поисковых системах. W POven предоставляет бесплатный сертификат HTTPS через LetsEncrypt в один клик, устанавливаемый с автообновлением для всех сайтов.

XML-RPC в основном используется для выполнения нескольких процессов с помощью одной команды. Но это злонамеренно используется хакерами для взлома веб-сайта. Наиболее эффективным решением является полное отключение этой функции для вашего сайта WordPress. Вы можете использовать его с помощью некоторых из доступных плагинов. Вы можете использовать бесплатный плагин Disable XML-RPC plugin или платный плагин, например, от Perfmait. Но если вы используете WPOven, вам не нужно беспокоиться об этом, так как он уже отключен по умолчанию на его сервере для всех размещенных веб-сайтов.

Отключить выполнение файлов PHP

В среде установки WordPress есть определенные каталоги, в которых нет необходимости в любом типе выполнения PHP. Одним из примеров такой директории является поддиректория uploads в разделе wp-content. Для отключения директории создайте новый файл .htaccess под этой директорией и вставьте в него следующий код:

Неактивные пользователи выходят из системы

Иногда пользователи могут закрыть браузер, не выйдя должным образом из системы. Хакеры могут воспользоваться этой возможностью, чтобы проникнуть в приборную панель WordPress и завладеть учетными данными пользователя. Вы можете использовать плагин для автоматического выхода неактивных пользователей по истечении заданного времени. Это очень важно для безопасности вашего wp.

Удалите неиспользуемые файлы тем и плагинов

Бывает, что мы устанавливаем тему или плагин и никогда ими не пользуемся. Рекомендуется определить ненужные плагины и удалить их из системы. WordPress поставляется с некоторыми темами по умолчанию, такими как Twenty Seventeen, Twenty Nineteen и т.д. Мы рекомендуем удалить эти и другие неиспользуемые темы из системы. Обратите внимание на то, что нужно удалить все темы, кроме одной из тем по умолчанию, чтобы в случае, если ваша основная тема в какой-то момент не сработает, у вас была другая тема, на которую можно будет опереться. Но не забывайте обновлять эту тему, даже если она не используется.

Используйте как можно меньше возможных плагинов

Давайте объясним это на примере. Многие современные темы и конструкторы страниц (Avia, Thrive, Elementor и т.д.). Если в вашей теме или конструкторе страниц, который вы используете, уже есть элемент контактной формы, вам не нужен отдельный плагин для простых форм. Рекомендуется избегать использования дополнительных плагинов, если нет особой необходимости. Следует уделять должное внимание безопасности WP.

Добавьте капчу или вопрос безопасности на экран входа в систему

Еще одним популярным методом повышения безопасности WordPress является простой метод добавления капчи или вопроса безопасности на экране входа в систему. Для этого можно использовать доступные плагины.

Надежные разрешения файлов и папок

Это очень важный шаг, который необходимо предпринять для защиты вашего сайта от атак. В основном существует три типа разрешений на файлы (чтение, запись, выполнение). Для оптимальной и эффективной работы сайта важно понимать, какие файлы требуют определенного уровня разрешения. Вы можете установить эти разрешения для файлов и папок либо через диспетчер файлов, либо с помощью программного обеспечения FTP.

Но WPOven — универсальная система безопасности для wp — предлагает возможность разрешать файлы одним щелчком мыши через свою приборную панель.

Ограничить количество попыток входа в систему

По умолчанию в установках WordPress используются префиксы таблиц типа wp_, что облегчает задачу хакерам. Очевидный способ избежать этого — изменить префикс таблицы на что-то другое, что не так легко угадать хакерам. Это можно сделать во время установки. Установка WordPress от WPOven генерирует случайный префикс таблицы для каждого из своих сайтов. Это уменьшит количество проблем с безопасностью WordPress.

Отключить редактирование файлов

Все администраторы сайта WordPress могут получить доступ к файлам темы через редактор в панели управления. Это делает файлы тем уязвимыми для непреднамеренных изменений, а также для преднамеренных атак. Это можно предотвратить, отключив редактирование файлов. Это можно сделать, определив его в файле wp-config.php с помощью следующей строки кода: define(‘DISALLOW_FILE_EDIT’, true); Пользователи WPOven могут использовать функцию блокировки сайта, чтобы сделать это одним щелчком мыши.

Защитите файл wp-config

Файл wp-config.php в вашей установке WordPress содержит данные для входа в базу данных и другие ключи аутентификации, а также другие сведения о вашей базе данных (например, префикс таблицы, URL хоста БД). Существуют различные способы его защиты, описанные ниже:

Измените расположение wp-config: По умолчанию файл wp-config находится в корневом каталоге вашей установки WordPress. Вам просто нужно создать другой файл wp-config, который не находится в легкодоступном месте, и использовать его в качестве ссылки в оригинальном файле wp-config.

Изменение ключей безопасности WP по умолчанию: В каждом wp-конфиге есть 4 типа случайно сгенерированных буквенно-цифровых ключей: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY. Вы можете сгенерировать новый случайный ключ с помощью этого инструмента WP Security Key.

Измените права доступа к файлам: Рекомендуется изменить права доступа к файлам на 400, чтобы они не могли быть прочитаны внешними источниками. В качестве альтернативы вы можете установить значение 440, если 400 создает некоторые проблемы для правильной работы WP Installation.

Скрыть версию WP

Если злоумышленник знает, какую версию WordPress вы используете, он может использовать уязвимости, характерные для этой версии. Поэтому рекомендуется полностью скрыть ее. Это можно сделать, добавив небольшой код в файл functions.php. Это уменьшит уязвимость вашего WordPress

Помимо появления в заголовке, вы также можете определить версию WordPress через текстовый файл readme. Вы можете удалить этот файл (readme.html) из вашей установки.

Вы можете регулярно запускать сканирование с помощью плагинов безопасности и следить за тем, есть ли изменения в исходных файлах. Существуют также онлайн-инструменты, с помощью которых можно найти подозрительные файлы. Например, с помощью бесплатного инструмента WPSec можно узнать результаты онлайн-сканирования безопасности.

Обновляйте темы и плагины

WordPress, разработчики тем и плагинов часто выпускают новые версии. Мы рекомендуем обновлять все до последней версии на вашей установке WordPress. Новые версии всегда обновляются патчами безопасности для защиты от новых вирусов и вредоносных программ. Также устаревшие версии уязвимы для атак и не поддерживаются разработчиками. W POven all in one wp security Dashboard предоставляет интерфейс для просмотра установленных плагинов и тем, и они могут быть обновлены непосредственно с приборной панели:

Используйте проверенные темы и плагины

Перед установкой любой новой темы или плагина убедитесь, что она имеет хорошие и достаточные рейтинги и отзывы. Также посмотрите на его «Количество установок». Проверьте его Changelogs, чтобы узнать, как часто они обновляют версии. Перед установкой плагина проверьте, совместим ли он с вашей версией WordPress. Вы можете проверить историю разработчика и другие плагины или темы, которые он разработал, чтобы убедиться, что у него есть опыт и он создавал безопасные продукты. При регистрации на WPOven вы получаете бесплатные премиум-темы и плагины WordPress.

Защита медиафайлов WordPress

Защитите медиафайлы WordPress от индексации Google и прямого доступа к URL-адресу файла несколькими простыми щелчками мыши с помощью Prevent Direct Access (PDA) Gold. Фактически, плагин предлагает массовую защиту любых файлов, загружаемых в медиатеку WordPress, включая, но не ограничиваясь PDF, DOCX, PPTX, PNG, JPG, MP4 и MP3. P DA Gold позволяет ограничить прямой доступ к файлам только авторизованным пользователям. Это означает, что разрешение на доступ к файлам может быть установлено как для администраторов, так и для вошедших в систему пользователей или даже для определенных пользователей и пользовательских членств. Кроме того, вы можете создавать неограниченное количество ссылок на скачивание с истекающим сроком действия и затем делиться ими с группой пользователей и подписчиков. Эти ссылки на скачивание будут автоматически истекать через определенный период времени или после нажатия. И последнее, но не менее важное: PDA Gold предоставляет интуитивно понятный пользовательский интерфейс для обеспечения безопасности вашего сайта WordPress прямо сейчас:

Существуют и другие ресурсы, где можно найти подробную информацию о последних проблемах безопасности. Вот они:

Приведенная выше статья, должно быть, дала вам хорошее представление о том, как обеспечить безопасность вашего WordPress, но важно понимать и осознавать, что хороший хостинг-провайдер является вашим партнером в обеспечении безопасности вашего сайта. Ваш сайт — это синоним вашего бизнеса, а защищенный сайт вызывает доверие у ваших потенциальных клиентов, что очень важно для роста бизнеса.

WordPress — самая популярная система управления контентом (CMS), используемая для всех типов сайтов, от личных блогов до магазинов электронной коммерции.

К сожалению, его популярность также привлекает киберпреступников к использованию уязвимостей платформы.

Sucuri подтвердил это утверждение исследованием.

94% из более чем 60000 веб-сайтов WordPress, изученных в 2020 году, испытали нарушения безопасности.

Прежде чем спешить с поиском другой CMS, обратите внимание, что это не означает, что у WordPress ужасная система безопасности.

В основном нарушения безопасности WordPress происходят из-за недостаточной осведомленности пользователей о безопасности.

Вот почему понимание и применение множества мер безопасности важно для защиты вашего сайта от различных атак.

Чтобы помочь вам в этом процессе, в этой статье будут перечислены лучшие практики и советы по обеспечению безопасности вашего сайта WordPress.