Повышение безопасности WordPress: как обеспечить безопасность вашего сайта WordPress

Если вас когда-либо взломали, вы знаете, каким кошмаром это может быть. Может быть трудно понять, какие меры безопасности WordPress помогут обеспечить безопасность вашего веб-сайта WordPress.

Продолжайте читать, чтобы узнать, как обеспечить безопасность вашего сайта WordPress. Изучите правильные шаги по усилению защиты WordPress и получите контрольный список безопасности веб-сайта WordPress.

Что такое укрепление WordPress?

WordPress составляет около 40% всех веб-сайтов. Из-за этого люди, которые знают, как использовать WordPress, могут легко найти множество целей. К счастью, есть много вещей, которые вы можете сделать, чтобы значительно усложнить им работу. Это известно как ужесточение WordPress.

Почему важна безопасность WordPress

Быть взломанным не только стыдно, но и может привести к простоям, потере данных и утечке информации. Это может привести к потере продаж и плохой репутации бренда. В дополнение к этому может потребоваться много работы, чтобы все снова заработало.

Повышение безопасности WordPress: 10 шагов безопасности WordPress, которые необходимо предпринять

Хакеры могут получить доступ к вашему сайту Wordpress четырьмя основными способами:

• Получение пароля или сеанса и вход в систему.
• Через непрямой доступ, такой как FTP, SSH или база данных.
• Обнаружив информацию в корне вашего веб-сайта.
• Через уязвимости в коде WordPress или плагинах.

Самый простой способ получить доступ к вашему сайту — просто войти в систему. Вот несколько способов защитить WordPress от похитителей паролей.

1. Защитите машину, с которой вы подключаетесь

Одна важная вещь, которую легко упустить из виду, — это компьютер, с которого вы подключаетесь. Если это небезопасно, то это также может сделать ваш сервер уязвимым. Вот почему очень важно иметь антивирусный сканер и брандмауэр, поддерживать компьютер в актуальном состоянии и практиковать безопасные привычки просмотра.

2. Защитите соединение с сервером

Даже если ваш компьютер защищен, ваш пароль или сеансы все равно могут быть украдены на пути к серверу. Чтобы предотвратить это, важно убедиться, что вы используете HTTPS при входе в серверную часть WordPress.

Связанное чтение: Руководство для начинающих по оптимизации производительности WordPress >>

Предпочтительно всегда подключаться к серверу с помощью домашнего или рабочего проводного соединения или соединения Wi-Fi, в котором используется длинный случайный пароль Wi-Fi. Если вам необходимо подключиться через общедоступную точку доступа, вам обязательно нужно инвестировать в VPN.

3. Не позволяйте людям угадывать ваш пароль

Когда злоумышленник использует сценарий для быстрого перебора различных комбинаций имени пользователя и пароля до тех пор, пока не угадает правильную, это называется атакой грубой силы. Чтобы предотвратить атаки методом перебора, используйте длинный пароль, содержащий цифры и специальные символы в верхнем и нижнем регистре.

Чтобы сделать эту технику еще более сложной, вы можете получить плагины, которые помогут. Ищите плагины двухфакторной аутентификации, плагины, которые добавляют капчу в форму входа, и плагины, которые ограничивают количество неправильных попыток, которые вы можете сделать.

4. Не используйте администратора

Еще один способ предотвратить атаки методом грубой силы и другие методы кражи паролей — назвать вашу учетную запись администратора как-то иначе. Если они не могут угадать ваше имя пользователя, то они не могут угадать и ваш пароль. Любые дополнительные учетные записи администратора должны быть удалены, когда они больше не нужны. Любые новые учетные записи, которые вы создаете, должны иметь ровно столько доступа, сколько им нужно.

Если хакеры не могут напрямую получить доступ к вашей учетной записи администратора, они могут получить доступ к вашему сайту опосредованно через SSH, FTP или базу данных. Все, что упоминалось о защите вашего локального ПК, выборе надежных паролей и использовании VPN в общедоступном Интернете, также относится к SSH, FTP и подключениям к базе данных, но вот некоторые дополнительные соображения.

5. Используйте SFTP или FTPS

FTP передает ваши данные и пароли через Интернет в виде простого текста, а это означает, что любой, кто может перехватить ваши данные, может увидеть ваши пароли и ваши данные. SFTP и FTPS шифруют ваши данные.

6. Закройте или ограничьте доступ к портам

Как правило, если ваша база данных и ваш веб-сайт находятся на одном сервере, вам не нужно открывать общедоступный порт базы данных. Если вы можете управлять своей базой данных через портал или изнутри сервера, это, как правило, лучший вариант, поскольку он дает злоумышленникам на один способ меньше использовать ваш веб-сайт.

Связанное чтение: Когда WordPress нуждается в повышении: советы, инструменты и стратегия настройки >>

Аналогично с FTP, если вы можете использовать SFTP для подключения к серверу, нет необходимости открывать порт FTP. Если вам нужно использовать один из этих портов для подключения к вашему серверу, может быть хорошей идеей ограничить порты только вашим IP-адресом.

Если ваш IP-адрес часто меняется, может быть неудобно звонить, чтобы получить доступ к вашему серверу каждый раз, когда ваш IP-адрес меняется. Один из способов обойти это — использовать VPN. VPN не только шифрует соединения между вами и сервером, но и делает так, что вы можете использовать статический IP-адрес, который вы можете добавить в свой брандмауэр, чтобы никто другой не мог получить доступ к портам.

Одна ошибка, которую совершают многие люди, заключается в том, что они хранят файлы и дампы базы данных в корневом каталоге веб-сайта. Помните, что все в вашем веб-корне доступно для всех в Интернете, и в нем не должно быть ничего, что вы не хотели бы, чтобы кто-либо имел.

7. Удалите все ненужное из вашего веб-корня

Стоит просмотреть корневую папку вашего веб-сайта и убедиться, что в ней нет ничего ненужного для работы вашего сайта.

Например, может быть удобно выгрузить базу данных в корневой каталог, чтобы вы могли загрузить ее позже. Но помните, что ваша база данных содержит хэши ваших паролей и может содержать другую информацию, которую вы не хотите публиковать.

Лучшей идеей было бы сбросить базу данных в другое место и использовать SFTP для ее загрузки. Если вы хотите сохранить его на сервере в качестве резервной копии, вы можете просто переместить его на один уровень выше или поместить куда угодно, кроме веб-корня.

Точно так же заархивированные копии кода веб-сайта могут быть использованы для изучения вашего кода и могут быть загружены любым пользователем в Интернете. Другой распространенной практикой является создание резервной копии файла, такого как .htaccess или файла кода, перед его изменением.

Это, безусловно, хорошая идея сделать резервную копию ваших файлов перед их изменением, но если вы планируете хранить их в корневом каталоге веб-сайта, вам следует изменить разрешения, чтобы к ним не было доступа.

Связанное чтение: Развенчание мифов о безопасности хостинга WordPress >>

Например, вы можете ввести chmod 000 .htaccess. Наконец, даже файлы README или что-либо еще, что может раскрыть номера версий, должно быть безопасным для удаления — и их удаление может повысить безопасность.

Последнее, что нужно рассмотреть, — это сам код. Безопасность кода веб-приложений — очень сложная тема, по которой написаны целые книги. Поскольку вы используете WordPress, огромная задача по обеспечению безопасности кода выполняется за вас, все, что вам нужно сделать, это установить исправления.

Если вы используете хостинг Nexcess, мы позаботимся об обновлении ядра WordPress для вас, но темы и плагины также могут содержать уязвимости.

8. Удалите любой неиспользуемый код

Простой способ обеспечить безопасность вашего сайта WordPress — просто удалить все, что вы не используете. Просмотрите все свои плагины и удалите их, если они не приносят никакой пользы вашему сайту.

Связанное чтение: Основное руководство по плагинам WordPress >>

Это не только повышает безопасность, но также может ускорить работу WordPress и повысить стабильность вашего сайта. Имейте в виду, что в некоторых случаях даже отключенные плагины могут создавать ошибки или предоставлять хакерам возможность для атаки.

Если у вас есть какие-либо темы WordPress, которые не используются, вам также следует удалить их — хотя вы можете подумать о том, чтобы оставить самую последнюю тему WordPress по умолчанию на месте для устранения неполадок позже.

Наконец, очень важно удалить старые установки, которые вы не используете. Если у вас есть целый подкаталог со старым блогом или старой версией веб-сайта, который вы больше не используете, очень важно удалить его из корневого каталога. Если вы хотите сохранить его в качестве резервной копии, его можно безопасно хранить над корневым каталогом веб-сайта.

9. Убедитесь, что все ваши плагины и темы активно поддерживаются

Новые уязвимости обнаруживаются каждый день, и как только о них становится известно, они могут быть быстро и массово использованы скриптами по всему Интернету. Вот почему важно иметь знающих программистов, которые активно реагируют на любые недостатки, обнаруженные в их коде, и регулярно выпускают исправления для закрытия уязвимостей.

10. Применение патчей

Поскольку уязвимости в WordPress обнаруживаются постоянно и поскольку уязвимости WordPress очень быстро и тщательно эксплуатируются, очень важно применять исправления, как только они становятся доступными. Это очень важно сделать, чтобы избежать простоев.

Однако существует некоторый риск того, что один из патчей не будет совместим с остальной частью вашего кода, поэтому лучший способ сделать это — регулярно делать резервную копию, а затем вручную применять патчи, а затем тестировать свой сайт.

Если вы обнаружите, что что-то не работает, вы можете восстановить резервную копию и быстро вернуть свой сайт. Если у вас есть ресурсы, еще лучший способ — сохранить копию своего веб-сайта и сначала применить все исправления к копии. Это предотвращает простои и позволяет устранять любые проблемы до того, как исправления будут применены к рабочему сайту.

Контрольный список безопасности веб-сайта WordPress

• Обеспечьте безопасность своего ПК
• Используйте безопасные протоколы
• Используйте надежный пароль
• Используйте плагины, чтобы было сложнее подобрать пароль
• Переименуйте учетную запись администратора
• Закройте или ограничьте доступ к портам в вашем брандмауэре
• Очистите дампы базы данных, резервные копии и особенно старый код из вашего веб-корня.
• Тщательно выбирайте плагины и темы и удаляйте все, что не используете.
• Главное, держите их в курсе

Nexcess обеспечивает безопасность вашего сайта WordPress

Взлом вашего сайта может стать катастрофой. Это не только выставляет вас в плохом свете, но и может привести к длительному простою или даже потере заказов.

Хостинг WordPress с Nexcess — это первый важный шаг к обеспечению безопасности вашего сайта WordPress.

Nexcess предоставляет безопасную платформу для размещения вашего веб-сайта WordPress. С Nexcess вы получаете постоянный мониторинг безопасности, бесплатные ежедневные резервные копии, SSL-сертификаты и IThemes Security Pro.

А с командой экспертов WordPress и специалистов службы поддержки, которые круглосуточно готовы помочь с любыми вашими вопросами, у вас всегда будут необходимые ресурсы круглосуточно и без выходных.

Ознакомьтесь с нашими полностью управляемыми планами хостинга WordPress, чтобы начать уже сегодня.