Как защитить сайт от хакеров и легко его обезопасить

Ваш сайт ценен: для вас и для посетителей вашего сайта. А также, для хакеров.

Чтобы создать надежную защиту от вредоносных атак, вам нужно серьезное руководство о том , как защитить веб-сайт от хакеров .

Это то самое руководство по защите от хакеров!

Откуда мы так уверены? MalCare защищает более 25000 веб-сайтов, а наша служба поддержки каждый день выявляет самые неуловимые вредоносные программы с веб-сайтов. Мы знаем кое-что о том, как защитить ваш сайт от хакеров и других вредоносных атак.

Вкратце: лучшая мера безопасности — установить плагин безопасности , работающий на автопилоте. Мы также рекомендуем вам реализовать все меры безопасности, описанные в этой статье.

Прежде чем вы начнете

Увидеть длинный список мер безопасности для защиты веб-сайта от хакеров может быть несколько сложно. Мы это понимаем. Итак, чтобы упростить внедрение этих мер безопасности, мы организовали этот список защиты от хакеров по простоте. Мы предлагаем добавить эту статью в закладки и возвращаться к ней по мере изучения.

В этом списке есть множество защитных шагов: вещи, которые вы должны делать, вещи, которые вы не должны делать, а также несколько развеянных мифов.

Цель этой статьи — демистифицировать безопасность, избавившись от беспорядка, доступного в других местах. Однако самым важным выводом должно быть то, что защита вашего веб-сайта от хакеров и вирусов — это не разовая деятельность; но об этом по мере продвижения.

6 основных шагов для немедленной защиты вашего сайта от хакеров

Защитные меры, описанные в этом разделе, проще всего реализовать, и, честно говоря, они достаточно хорошо вас настроят. На первый взгляд они могут показаться техническими или продвинутыми, но поверьте тому, кто не является инженером: вы поняли!

1. Установите хороший брандмауэр

Хакеры не взламывают веб-сайты вручную. Хороший хакер создаст бота, который вынюхивает уязвимые сайты и автоматизирует большую часть процесса. Теперь боты запрограммированы на выполнение очень специфических действий. Они не разумны.

По своей сути брандмауэр — это код, который идентифицирует вредоносные запросы. Каждый запрос информации на ваш сайт сначала проходит через брандмауэр. Если брандмауэр обнаруживает, что запрос является вредоносным или выполняется с заведомо вредоносного IP-адреса, запрос блокируется, а не обрабатывается.

Избегайте изменения конфигурации брандмауэра

Некоторые брандмауэры позволяют настраивать параметры. Однако мы не рекомендуем его, если вы не являетесь добросовестным профессионалом в области безопасности веб-сайтов. Правила брандмауэра создаются после серьезных исследований в области безопасности и большого количества удаленных вредоносных программ.

Например, в большинстве плагинов безопасности WordPress есть правила, которые запрещают любому, у кого нет доступа администратора, доступ к файлу wp-config.php. Файл wp-config.php — это основной файл WordPress, который содержит много конфиденциальной информации. Таким образом, брандмауэр проверяет каждый запрос к веб-сайту, чтобы увидеть, содержит ли он текст «wp-config.php». Если это правило срабатывает, запрос отклоняется брандмауэром.

Кроме того, поскольку хакеры пытаются взломать как можно больше веб-сайтов при обнаружении уязвимости, это выявляет хакерские IP-адреса. Брандмауэры WordPress превентивно отслеживают и блокируют вредоносные IP-адреса на основе этих атак.

Конечно, ни один брандмауэр не может быть взломан на 100%. Но лучше иметь брандмауэр, блокирующий большинство вредоносных программ, чем вообще не иметь брандмауэра. Но все брандмауэры не одинаковы, и некоторые из них намного эффективнее других. Итак, мы составили для вас список лучших брандмауэров WordPress.

2. Имейте надежную политику паролей и используйте менеджер паролей

Мы занимаемся безопасностью WordPress уже более десяти лет. Вы будете удивлены, узнав, сколько веб-сайтов было взломано только потому, что пароль был слабым.

Легко угадываемые пароли используются сотнями тысяч веб-сайтов. 5% взломанных сайтов, которые использовали MalCare для удаления вредоносных программ, использовали слабые пароли.

У хакеров есть список таких паролей, называемых радужными таблицами, и они постоянно создают таблицы большего размера, чтобы использовать их в качестве своего рода словаря. Используя эти таблицы, хакер может запустить атаку, известную как «атака по словарю».

Атаки по словарю в основном представляют собой вариант атак грубой силы. Но это не единственный способ взломать пароль. Поэтому рекомендуется использовать надежные пароли.

Надежные пароли представляют собой комбинацию букв, цифр и символов. Необычные комбинации трудно взломать, и на их расшифровку алгоритмам грубой силы могут уйти годы. Кроме того, чем длиннее пароль, тем сложнее его взломать.

Эта статья поможет вам создать свой эпический пароль.

Вы также можете использовать плагины для обеспечения надежных паролей от всех ваших пользователей WordPress с плагином Password Policies for WordPress. Этот плагин поможет вам создать политики, которые заставят всех ваших пользователей WordPress создавать надежные пароли при создании своих учетных записей.

3. Установите SSL и используйте HTTPS на своем сайте.

Сертификат Secure Sockets Layer (SSL) — это протокол безопасности, который шифрует все сообщения на веб-сайте и с него. Его установка гарантирует, что даже если хакер перехватит данные с вашего сайта, он никогда не сможет понять, что это такое.

Мы создали целое руководство по правильной установке SSL-сертификата. Серьезно, шумиха оправдана. Получите SSL-сертификат для своего сайта прямо сейчас. В качестве дополнительного бонуса вы также получите преимущества SEO.

4. Внимательно изучите пользователей-администраторов

Большинство людей предполагают, что хакеры просто установят вредоносное ПО на свой сайт и уйдут. Это не правда. По-настоящему умные хакеры создадут учетную запись-призрак с правами администратора, чтобы они могли вернуться, когда захотят.

Регулярная проверка и удаление пользователей WordPress может решить эту проблему.

Да, это может занять много времени, если у вас есть большая команда, управляющая вашим сайтом. Но оно того стоит. Удаление пользователей, которые больше не вносят свой вклад в ваш сайт, — это первое, с чего нужно начать. Затем сделайте надежные пароли обязательными, чтобы ваши писатели и редакторы случайно не скомпрометировали ваш сайт.

Вы можете следовать строгим правилам безопасности для своих паролей, но если, например, один из ваших администраторов станет жертвой фишинга, ваш веб-сайт также будет затронут.

В полной мере используйте роли пользователей WordPress, чтобы максимально ограничить доступ. Например, если кто-то только пишет и загружает статьи, предоставьте ему доступ «Автор», а не доступ «Администратор». Прочтите нашу статью о ролях в WordPress, чтобы узнать, как все сделать безболезненно.

5. Используйте журнал активности

Увидев что-то неожиданное на своем веб-сайте, вы можете своевременно насторожиться в нескольких ситуациях. Подумайте, была ли учетная запись администратора создана без вашего ведома; или плагин деактивирован (например, защитный) без консенсуса.

Все это примеры законных действий администратора веб-сайта, однако они также могут свидетельствовать о несанкционированном доступе. Журналы активности расскажут вам, что происходит на вашем сайте, и вы сможете затем оценить, законны ли эти действия или нет.

Эта одна практика много раз спасала наш бекон.

Большинство хакеров очень осторожны, чтобы их не поймали, потому что они могут контролировать ваш сайт только до тех пор, пока их не поймают. Журналы активности помогают сигнализировать об изменениях, поэтому вы можете пресечь несанкционированную активность в зародыше.

MalCare поставляется в комплекте с журналом действий на панели инструментов, и для его настройки не требуется никаких настроек.

6. Делайте регулярные резервные копии

Создание резервных копий, возможно, является одной из самых недооцененных тактик, которые вы можете применить. Всегда делайте ежедневные резервные копии, чтобы вы могли быстро восстановить свой сайт в случае катастрофического сбоя.

Выберите хороший надежный плагин для резервного копирования, потому что ручное резервное копирование трудно выполнить правильно без значительного опыта.

На самом деле, прежде чем приступить к любому из шагов, описанных в этой статье, сделайте полную резервную копию своего веб-сайта и немедленно настройте ежедневное резервное копирование. Это всегда хорошая практика при внесении любых изменений на ваш сайт.

5 промежуточных шагов для защиты вашего сайта до следующего уровня

Основные шаги, описанные в статье, являются хорошим началом, и их настройка не займет много времени. В этом разделе, помимо двухфакторной аутентификации и ограничения попыток входа в систему, шаги являются постоянными мерами безопасности.

Как мы уже говорили ранее в этой статье, важно правильно думать о безопасности веб-сайта. Это не разовая настройка или действие, и его следует рассматривать как регулярную часть администрирования вашего сайта.

1. Обновите все

Более 90% взломов происходят из-за того, что хакеры обнаружили уязвимость в теме или плагине и использовали ее на нескольких веб-сайтах.

Так что же такое уязвимость? Темы и плагины — это программное обеспечение. Как и любое другое программное обеспечение, они представляют собой фрагменты кода, в которых обязательно будут ошибки. Некоторые ошибки относительно безобидны и могут вызвать небольшие сбои при обновлении. Другие могут сделать код уязвимым для эксплуатации.

Когда уязвимости обнаруживаются, в основном исследователями безопасности, они сообщаются разработчику плагина для исправления. Ответственные разработчики выпустят исправление, а веб-сайты с установленным плагином увидят, что скоро будет доступна обновленная версия плагина.

Как только исправление выпущено, уязвимость становится общедоступной. Если вы были одним из веб-сайтов, которые обновили плагин или тему с помощью исправления безопасности, это отлично. В противном случае ваш сайт станет целью хакеров-любителей (так называемых скрипт-кидди), желающих быстро заработать.

Поэтому всегда лучше постоянно обновлять все — от WordPress до плагинов. Мы знаем, что обновления иногда могут неожиданно нарушить работу веб-сайтов, поэтому, чтобы избежать любых неудобств, используйте промежуточные этапы для безопасного обновления. Но, пожалуйста, обновите все.

Мы создали руководство по безопасному обновлению веб-сайтов WordPress с минимальными перерывами.

2. Выбирайте хорошие темы и плагины

Как вы заметили из предыдущего раздела, мы назвали ответственными разработчиков, выпускающих обновления для исправления уязвимостей. Короче говоря, хорошие разработчики активно поддерживают свое программное обеспечение.

Это ни в коем случае не универсальное положение дел. Печально, но верно.

Таким образом, мы настоятельно рекомендуем использовать хорошие плагины и темы для вашего сайта. Понятно, что «хороший» — понятие относительное и несколько расплывчатое. Итак, мы перечисляем факторы, которые следует учитывать при выборе плагина для вашего сайта:

• Регулярные обновления: плагин или тема, которая постоянно выпускает обновления и продолжает исправлять любую обнаруженную уязвимость. Это покажет вам, что разработчик серьезно относится к рискам безопасности своего продукта.

• Активные установки: у популярного плагина с миллионами установок всегда будет цель. Контактная форма 7 — очень яркий пример этой тенденции. Обратной стороной является то, что популярные плагины также имеют тенденцию быть более безопасными, потому что над улучшением продукта обычно работает большая и лучшая команда. Так что выбирайте мудро, после проведения адекватных исследований.

• Достоверность: не устанавливайте плагин или тему, разработанную фрилансерами, о которых никто не слышал. Используйте только плагины и темы, разработанные известными разработчиками и брендами. Если вы покупаете на торговой площадке, убедитесь, что вы доверяете разработчику, а не только торговой площадке.

• Платные версии. Как правило, поставщики платных плагинов тратят больше времени и денег на поиск и исправление уязвимостей. Если у вас очень ограниченный бюджет, то бесплатный плагин будет иметь больше смысла. Но если вы беспокоитесь о безопасности своего веб-сайта, мы настоятельно рекомендуем вместо этого использовать премиальные темы и плагины.

В качестве примечания: у вас может возникнуть соблазн использовать обнуленные плагины и темы. Не делай этого. Просто риск того не стоит.

Программное обеспечение Nulled распространяет вредоносное ПО. Вот почему вы получаете премиальный продукт бесплатно. Но даже если zip-файл не содержит явного вредоносного кода, любой пользователь плагина или темы с нулевым значением знает, что он не может обновить программное обеспечение. Это делает веб-сайт уязвимым для взлома, как мы говорили в предыдущем разделе.

3. Внедрите двухфакторную аутентификацию

Двухфакторная аутентификация (2FA) — это мера безопасности, которая добавляет еще одно устройство или токен, к которому у вас должен быть доступ для входа в систему, в дополнение к вашему паролю.

Есть несколько протоколов, которые используются для 2FA, например TOTP (одноразовый пароль на основе времени) или HOTP (одноразовый пароль на основе HMAC). У каждого из них есть свои плюсы и минусы, но в целях безопасности входа в систему нам не нужно вникать в эти детали.

Существует несколько платных и бесплатных приложений, которые можно использовать для добавления 2FA на страницу входа, и они поддерживают самые популярные протоколы. Для получения дополнительной помощи ознакомьтесь с этой статьей, чтобы узнать, как настроить WordPress 2FA. Если у вас много участников на вашем веб-сайте, определенно рекомендуется реализовать эту функцию безопасности.

4. Выберите хороший веб-хостинг

Большинство людей возлагают на веб-хосты ответственность даже за безопасность веб-сайта. Но в случае взлома вашего сайта редко виноват веб-хостинг. Фактически, в тех редких случаях, когда веб-хост несет ответственность за нарушение безопасности, последствия огромны. Пострадают тысячи сайтов.

Обувь большую часть времени находится на другой ноге, и хороший веб-хостинг играет важную роль в защите вашего сайта от хакеров. Таким образом, вы должны стремиться к наиболее безопасному хостингу. Вот список лучших хостинг-провайдеров WordPress, который мы составили, чтобы помочь вам выбрать хороший веб-хостинг.

5. Ограничьте количество попыток входа

Один из простых способов заблокировать брутфорс-ботов и злоумышленников — запретить вход на IP-адрес после 3 неудачных попыток. Брандмауэр MalCare интегрирован с этой функцией. Ограничение попыток входа в систему — это очень эффективный способ защитить ваш веб-сайт без особых недостатков.

Вы также можете использовать плагин «Limit Loginizer» при установке WordPress. Но если вы 3 раза неправильно ввели свой собственный пароль, вам придется попросить веб-хостинг разблокировать ваш IP-адрес, чтобы повторить попытку.

2 экспертных шага, чтобы действительно усилить защиту вашего сайта

Даже если вам удалось выполнить шаги, описанные в предыдущих разделах, с точки зрения защиты вашего сайта от хакеров у вас все в порядке. Следующие меры эффективны, однако они требуют некоторого изучения кода.

Мы хотим повторить, что большинство взломов происходит из-за уязвимостей, поэтому забота об этом достаточно хорошо защитит ваш сайт от хакеров и вирусов. Если вам неудобно выполнять следующие шаги самостоятельно, вы можете проигнорировать их или отправить разработчику для реализации. В любом случае, ваш сайт по-прежнему хорошо защищен от хакеров.

1. Заблокировать выполнение PHP в папке загрузок

Существует целый класс уязвимостей, называемых уязвимостями удаленного выполнения кода, которые позволяют хакерам загружать вредоносный код PHP в папку Uploads. Как правило, папка Uploads не предназначена для содержания исполняемого кода. Он предназначен для хранения ваших медиафайлов. Но природа папки Uploads заключается в том, что она позволяет хранить в ней файлы и папки.

Как только код загружен на ваш сайт, хакер может запустить его и получить эффективный контроль над вашим сайтом. Однако, если вы заблокируете выполнение PHP в папке Uploads, атака никогда не состоится.

Если вы используете MalCare, вы можете заблокировать выполнение PHP в папке «Загрузки» одним нажатием кнопки в рамках мер по усилению безопасности WordPress.

2. Измените ключи безопасности WordPress

Если вас недавно взломали, вы можете изменить ключи безопасности WordPress. Это строка, которая хэшируется вместе с вашим именем пользователя и паролем для управления входящими в систему сеансами для пользователей.

Вы можете установить для этой строки что угодно, однако, как и в случае с паролями, лучше всего использовать случайно сгенерированную буквенно-цифровую строку. Узнайте больше о ключах безопасности и о том, как их изменить.

2 БОНУСНЫХ совета по защите сайта от хакеров

1. Будьте в курсе новостей безопасности

Быть в курсе, задавать вопросы и консультироваться с сообществом — отличные способы отслеживать последние взломы и изменения в ландшафте угроз. Например, если обнаружена уязвимость плагина, вы можете деактивировать ее на панели инструментов, пока обновление не будет доступно и установлено. С какими бы неудобствами вы ни столкнулись, они меркнут по сравнению с потерями, понесенными в результате взлома веб-сайта.

2 . Проводить регулярные проверки безопасности

Многие владельцы веб-сайтов ошибочно полагают, что их сайты слишком малы, чтобы считать их достойными взлома. Это далеко не так. Взломы происходят по разным причинам, и если ваш веб-сайт, скажем, не приносит прибыли с точки зрения пользовательских данных, он все еще имеет достаточно авторитета для SEO, чтобы его можно было использовать в качестве фишингового сайта.

Регулярные проверки безопасности помогут выявить небезопасные методы, а также потенциальные уязвимости на вашем веб-сайте. Следя за тем, что происходит на вашем веб-сайте — например, через журнал активности или просматривая пользователей — вы избавите себя от горя в долгосрочной перспективе.

Вещи, которые НЕ помогут защитить ваш сайт

Мы выступаем за то, чтобы заботиться о безопасности, но не параноидально. Кроме того, мы увидели, что существует множество плохих советов для владельцев веб-сайтов в дикой природе. Совет может прийти из хорошего места, однако он может иметь непредвиденные последствия, такие как плохой пользовательский опыт или блокировка вашего собственного веб-сайта!

Поэтому, пожалуйста, не делайте следующего.

1. Скройте свою страницу входа в wp

Многие плагины безопасности до сих пор считают, что этот старый трюк работает.

Если хакер не может найти страницу входа, он не может проводить атаки методом перебора, верно? Нет, не совсем. Вместо:

• Это делает ваш сайт очень сложным в использовании. Если вы забудете новый URL-адрес для входа, восстановление вашей учетной записи может быть затруднено.
• Если вы используете URL-адреса по умолчанию, поставляемые с подключаемым модулем безопасности, хакерам будет легко угадать ваш новый URL-адрес.
• Даже если хакеры не смогут найти страницу wp-login, они все равно смогут взломать ваш сайт, используя уязвимость XML-RPC.

Этот вариант в конечном итоге ничего не дает и может вызвать немало неприятностей.

2. Геоблокировка

Геоблокировка — это, по сути, блокировка трафика из стран, где ваш продукт или услуга недоступны или неактуальны. Обычно это рассматривается как мера безопасности, но на самом деле это способ снизить плату за потребляемые серверные ресурсы.

Вполне возможно, что вы считаете, что трафик из Габона не помогает вашему бизнесу. Но блокировка всего трафика из Габона вообще ничего не решает. С хорошим VPN любой может обойти даже геоблокировку Netflix.

Кроме того, вы рискуете заблокировать робота Google и себя!

3. Защита паролем каталога wp-admin

Папка wp-admin — один из самых важных каталогов в любой установке WordPress. Так что, естественно, каждый хакер хочет туда попасть. Специалисты по безопасности изначально думали, что защита каталога паролем будет хорошей идеей, но с тех пор мы пришли к выводу, что это не очень хорошая практика.

Защита паролем вашего каталога wp-admin нарушает функциональность AJAX на вашем веб-сайте WordPress и приводит к сбоям в работе многих плагинов. Если вы используете веб-сайт WooCommerce, сломанный код AJAX может разрушить вашу функцию поиска и другие важные элементы UX.

Почему вы должны защитить свой сайт от хакеров?

В этой статье уже есть много информации о том, как защитить свой сайт от хакеров, и, возможно, мы уже упоминали об этом несколько раз, но стоит повторить. Ваш сайт ценен.

Когда мы говорим, что это ценно, мы имеем в виду не только вас и ваших посетителей. Может быть, у вас есть небольшой интернет-магазин или хобби-блог, который регулярно посещает небольшая группа людей. Дело в том, что даже если прямая денежная выгода от взлома вашего веб-сайта невелика, преимущества наличия чистого веб-сайта для продажи нелегальных товаров или товаров с серого рынка по-прежнему оправдывают взлом для хакера.

Таким образом, небольшой веб-сайт не является защитой от злого умысла.

Во-вторых, мы все обязаны защищать данные и личность наших пользователей. Они проявляют определенное доверие к сайту, посещая его вообще, и мы должны помнить и учитывать их при рассмотрении вопросов безопасности веб-сайта.

Заключение

Вы можете остановить хакера, проявляя бдительность и применяя упреждающий подход к безопасности. Важно понимать, что защита вашего веб-сайта от хакеров и вредоносных атак — это непрерывный процесс. Есть шаги, которые вы можете предпринять один раз, но в основном вам нужно быть в курсе изменений в ландшафте угроз.

Кроме того, нет универсальной исчерпывающей статьи, которая поможет вам остановить все возможные взломы вашего веб-сайта. Любая статья, веб-сайт или эксперт, заявляющие об этом, не соответствуют действительности.

Итак, хотя мы не можем обещать, что эта статья навсегда обеспечит безопасность вашего веб-сайта, мы дали вам несколько общих советов по безопасности, которые значительно усложнят взлом вашего веб-сайта. Используя советы из этой статьи, вы сможете исправить несколько недостатков в безопасности вашего сайта.

Часто задаваемые вопросы