Как защитить свой сайт WordPress

Опубликовано: 2020-09-25

Управляемые службы хостинга WordPress (например, Pressidium) обычно уделяют большое внимание безопасности своей хостинговой платформы. Множество функций развернуто, чтобы помочь обеспечить безопасность веб-сайтов WordPress, размещенных в этих системах.

Однако хост WordPress может сделать очень мало для обеспечения безопасности веб-сайта WordPress. Владельцы веб-сайтов должны сыграть свою роль в обеспечении безопасности своих веб-сайтов. В этой статье мы рассмотрим шаги, которые вы можете предпринять, чтобы защитить свой веб-сайт WordPress.

Обеспечение безопасности вашего веб-сайта — обзор

Многие взломы веб-сайтов происходят в результате действий (или бездействия), предпринимаемых владельцами веб-сайтов. Такие вещи, как невозможность обновить плагины до последней версии или использовать слабый пароль, приводят к появлению уязвимых мест на вашем сайте, на которые нацелены хакеры. Хорошая новость заключается в том, что есть ряд простых шагов, которые вы можете предпринять, чтобы обеспечить безопасность вашего сайта WordPress. Это включает:

  • Убедитесь, что вы и любые другие пользователи веб-сайта используете надежные пароли.
  • Используйте механизм Captcha
  • Используйте двухфакторную аутентификацию (2FA)
  • Удалить неактивных пользователей
  • Используйте систему «ограничить количество попыток входа»
  • Всегда обновляйте свои основные файлы, плагины и темы до последней версии.
  • Измените URL-адрес входа по умолчанию
  • Избегайте использования пустых тем и плагинов

Давайте подробнее рассмотрим некоторые из этих шагов и выясним, как вы можете применить их на своем веб-сайте.

Убедитесь, что ваши пользователи используют надежные пароли

Не существует брандмауэра на стороне сервера или другой системы безопасности хостинга, которая могла бы защитить ваш сайт WordPress от слабого пароля. Несмотря на известные проблемы с использованием слабого пароля, статистика показывает, что поразительные 35% пользователей по-прежнему используют слабые пароли для защиты своего веб-сайта WordPress, несмотря на то, что WordPress предлагает им выбрать более надежный пароль.

подтвердите слабый пароль

Возможно, отсюда можно сделать вывод, что некоторые пользователи просто не осознают, насколько уязвимым становится их сайт при использовании слабого пароля. К сожалению, хакеры давно придумали, как использовать пользователей, которые выбирают предсказуемые пароли, соответствующие определенным шаблонам (например, дата рождения или имя домашнего животного).

Другие, зная об уязвимости слабых паролей, тем не менее продолжают использовать их, возможно, потому, что это проще сделать. Ведь запомнить простой пароль гораздо проще, чем более сложный, состоящий из случайных букв, цифр и символов.

Без сомнения, ваш пароль обеспечивает критическую линию защиты от хакеров. Чем он сильнее, тем лучше. В идеале пароль должен быть уникальным, генерироваться случайным образом и регулярно обновляться.

Используйте механизм Captcha в форме входа

Цель капчи — отличить людей от «ботов», которые представляют собой программные приложения, выполняющие автоматизированные задачи. Хакеры могут использовать их, чтобы попытаться получить доступ к веб-сайтам через страницу входа в систему, поручив боту предпринимать постоянные попытки, используя случайные данные для доступа к веб-сайту. Капча предназначена для предотвращения подобных атак на сайт путем различения людей и ботов. Капчи используются уже три десятилетия и до сих пор используются на бесчисленных веб-сайтах, чтобы защитить их от активности ботов.

На ваш сайт WordPress можно добавить капчу, чтобы заблокировать попытки входа в систему ботов. Простой способ сделать это — установить плагин Login no Captcha reCaptcha, который использует преимущества системы проверки подлинности Google.

авторизоваться

После установки вы увидите знакомый флажок reCaptcha под панелью входа. Отметьте это, и вы ушли (при условии, что вы все равно знаете правильное имя пользователя и пароль!).

Чтобы плагин работал, вам необходимо зарегистрировать бесплатную учетную запись Google reCaptcha, которая затем позволит вам сгенерировать ключ сайта и секретный ключ.

Как сгенерировать сайт и секретный ключ:

  1. Войдите в свою учетную запись Google (вам нужно будет зарегистрироваться, если у вас еще нет учетной записи). Перейдите на страницу Google reCaptcha и нажмите «Консоль администратора», которая появляется в правом верхнем углу.
  2. Нажмите на значок «Плюс +», который снова находится в правом верхнем углу, чтобы зарегистрировать новый веб-сайт. Заполните необходимую информацию.
  3. Нажмите кнопку отправки, и вы увидите страницу, подобную этой:
Ключи сайта Google reCaptcha

Затем вам нужно будет вставить эти значения в поля в настройках плагина.

Двухфакторная аутентификация (2FA)

Использование процесса двухфакторной аутентификации добавит дополнительный уровень безопасности страницам входа на ваши веб-сайты, предотвратив так называемую атаку грубой силы. Эти виды атак заключаются в том, что бот постоянно пытается войти на ваш веб-сайт, используя угаданные пароли и имена пользователей (обычно следуя некоторым предварительно определенным спискам, которые используют известные «слабые» пароли, такие как 123password и т. д.). продолжайте пытаться получить доступ к вашему сайту до тех пор, пока он не будет успешным, что является плохой новостью по двум направлениям: во-первых, если он получает правильный пароль, ваш веб-сайт был взломан, во-вторых, эти непрерывные попытки входа в систему могут увеличить нагрузку на сервер и тем самым замедлить работу вашего веб-сайта для законных пользователи.

К счастью, есть сторонние плагины, которые могут помочь остановить это.

Двухфакторный плагин

Плагин Two-actor от Plugin Contributors — это полезный и простой в использовании плагин, который обеспечивает веб-сайтам двухфакторную защиту, заставляя пользователей вводить код аутентификации вместе с их обычными учетными данными для входа. Этот код можно отправить по электронной почте или сгенерировать с помощью генератора одноразовых паролей, такого как Google Authenticator.

Двухфакторный плагин

Плагин проверки подлинности Google

Плагин Google Authenticator — еще один популярный плагин 2FA, который можно развернуть для защиты вашего веб-сайта WordPress. Этот совершенно бесплатный плагин предоставляет множество вариантов аутентификации 2FA, включая SMS и, конечно же, с помощью приложения Google Authenticator. Настройка этого довольно быстро и легко. Просто следуйте инструкциям при активации плагина.

Плагин проверки подлинности Google

Удалить неактивных пользователей

Еще одной легкой мишенью для злоумышленников являются учетные записи пользователей веб-сайтов, которые долгое время не использовались. В результате пароль часто оказывается слабее, чем мог бы быть, если бы пользователь недавно создал учетную запись или регулярно заходил на веб-сайт. Из-за этого стоит периодически удалять все неактивные учетные записи.

Вы можете использовать плагин, чтобы легко обнаруживать этих неактивных пользователей, например плагин «Когда последний вход».

После активации он просто добавляет настраиваемый столбец в таблицу списка пользователей-администраторов, в которой отображается метка времени последнего входа в систему, дата и время этого пользователя. Вы можете отсортировать этот столбец, чтобы с первого взгляда определить неактивных пользователей, что означает, что вы можете удалить их, если это необходимо.

Когда последний вход

Затем на Пользователь -> Все пользователи сортируются по добавленному столбцу «Последний вход»:

При последнем входе последний столбец входа

Ограничьте количество попыток входа

Еще один способ добавить дополнительный уровень безопасности на ваш сайт WordPress — ограничить количество попыток входа в систему, разрешенных в течение определенного периода времени. Этот метод мешает ботам, которые постоянно делают предположения о входе в систему. Кроме того, некоторые подключаемые модули, обеспечивающие эту функцию, также могут блокировать IP-адрес, с которого были совершены попытки входа в систему, и тем самым предотвращать повторные атаки этого конкретного бота, работающего с этого IP-адреса, на ваш сайт в будущем.

Хорошим плагином, который предлагает эту функциональность, является бесплатный плагин Limit Login Attempts Reloaded.

Ограничить количество попыток входа Перезагрузить плагин

С более чем 1 миллионом установок на момент написания статьи вы можете быть уверены, что плагин работает хорошо.

После того, как вы установите и активируете его, перейдите в меню «Настройки» и нажмите «Ограничить попытки входа». Вы сможете изменить ряд параметров, включая количество разрешенных повторных попыток, прежде чем пользователь будет заблокирован на веб-сайте.

Ограничение попыток входа в систему

Ограничение попыток входа в систему — чрезвычайно эффективный способ защитить ваш веб-сайт, поэтому мы включаем его по умолчанию на всех веб-сайтах, размещенных Pressidium.

Примечание. Если вы используете Jetpack, последний выпуск функции под названием «Модуль защиты» включает систему ограничения количества попыток входа по умолчанию. Эта система также предоставляет информацию о заблокированных попытках входа в систему и возможность внесения IP-адресов в белый список. Если вы используете этот плагин, то нет необходимости устанавливать отдельный плагин «ограничить вход».

Держите ваши основные файлы, плагины и темы обновленными до последней версии

Помимо многих других преимуществ, обновление ядра WordPress, темы и плагинов имеет решающее значение для безопасности вашего сайта. Статистика показывает, что устаревшие версии, темы и плагины являются наиболее популярным способом получения доступа хакерами к веб-сайтам, поэтому их актуальность является главным приоритетом.

В Pressidium мы автоматически обновляем ядро ​​​​WordPress до последней версии после первого тестирования, чтобы убедиться в отсутствии ключевых проблем, которые могут вызвать проблемы у наших клиентов с их веб-сайтами. Поскольку эти обновления выполняются автоматически, вы можете быть уверены, что на вашем веб-сайте всегда установлена ​​последняя версия WordPress.

Разместите свой сайт с Pressidium

60- ДНЕВНАЯ ГАРАНТИЯ ВОЗВРАТА ДЕНЕГ

ПОСМОТРЕТЬ НАШИ ПЛАНЫ

Кроме того, мы делаем обновление плагинов на веб-сайтах, размещенных у нас, максимально простым, предоставляя средство обновления плагинов, доступное через панель управления Pressidium. Это позволяет нашим клиентам сразу увидеть, нуждаются ли плагины их веб-сайтов в обновлении. Если это так, обновление можно выполнить с помощью нескольких щелчков мыши на панели управления Pressidium. Мы также регулярно сканируем размещенные у нас веб-сайты на наличие подключаемых модулей с известными уязвимостями и информируем владельца веб-сайта об этой уязвимости по электронной почте. В тех случаях, когда устаревший плагин представляет серьезную опасность для веб-сайта, мы даже заранее обновим его от имени владельца веб-сайта.

Измените URL-адрес входа по умолчанию

Теперь, когда мы рассмотрели способы защиты страницы входа (фактически защищая «входную дверь»), давайте рассмотрим варианты сокрытия входной двери, чтобы грабитель (или хакер!) не смог даже попытаться проникнуть внутрь. .

Отличный способ сделать это — изменить расположение URL-адреса входа в WordPress по умолчанию, изменив его на собственный. При этом вы мгновенно блокируете трафик от wp-login, что, в свою очередь, означает, что вы не должны подвергаться атакам грубой силы на свой сайт.

Одним из таких плагинов, позволяющих быстро изменить расположение страницы входа, является WPS Hide Login.

WPS Скрыть логин

Избегайте использования пустых тем и плагинов

Нулевые темы или плагины обычно содержат вредоносное ПО или модифицированный код, предназначенный для причинения вреда. Они часто доступны «по дешевке», поэтому они нравятся людям. В конце концов, никому не нравится тратить деньги на премиальные темы и плагины. С некоторыми обнуленными темами и плагинами, доступными за небольшую часть стоимости «подлинной» версии, вы можете понять, почему их заманчиво использовать.

На самом деле «экономия», которую вы получаете, используя обнуленные версии, часто может быть омрачена расходами, понесенными в результате заражения вашего веб-сайта вредоносным ПО. Даже если они не содержат вредоносного кода, они часто содержат надоедливую рекламу и всплывающие окна, которые могут испортить впечатление от плагина или темы. Кроме того, они, конечно же, не поддерживаются первоначальным разработчиком, а это означает, что не к кому обратиться, если что-то пойдет не так.

Короче говоря, не используйте пустые темы или плагины… это действительно того не стоит!

Вывод

Взломанный сайт никому не интересен (кроме, конечно, хакера). Хотя высококачественный управляемый хостинг WordPress может значительно повысить безопасность вашего веб-сайта, также важно помнить, что вы, как владелец веб-сайта, также играете свою роль в обеспечении безопасности вашего веб-сайта.

Выполнение даже некоторых простых шагов, описанных выше, действительно может помочь повысить безопасность вашего веб-сайта, и их стоит реализовать.