Безопасность WordPress: 8 шагов для защиты вашего сайта от хакеров

Опубликовано: 2019-02-26

Безопасность веб-сайта — серьезная проблема, но многие могут не знать, насколько серьезной она может быть. Когда вы узнаете, что ежедневно взламываются не менее 50 000 уникальных веб-сайтов, вы начнете понимать эту проблему.

Проблема в том, что большинство веб-сайтов сегодня работают на платформе WordPress. Это означает, что большой процент веб-сайтов, попавших под удар хакеров, основан на WordPress.

Хотя сам WordPress сделал все возможное, чтобы сайты, работающие на их CMS, были безопасными, ошибки случаются. В этой статье мы поговорим о том, как сделать так, чтобы этого не произошло.

Хотя до этого…

Почему вам нужна безопасность WordPress в первую очередь?

В зависимости от того, о чем ваш веб-сайт, есть много вещей, которые могут пойти не так, когда кто-то нарушает вашу безопасность. Вот некоторые из них:

  • Загрузка вредоносного ПО . Хакер может загрузить вредоносное ПО на серверы вашего веб-сайта по разным причинам.

Они могут использовать это для сбора данных и информации о вашем веб-сайте и о том, как вы его запускаете по той или иной причине. Они могут даже сделать так, чтобы такая вредоносная программа автоматически загружалась на компьютеры ваших посетителей.

Это не только разрушает вашу репутацию среди посетителей сайта, но и делает ваш сайт черным списком. В таких случаях восстановить репутацию будет практически невозможно.

  • Кража информации о пользователе . Если ваш веб-сайт хранит информацию о пользователе (профили, содержащие имена, дату рождения, возраст, пол и т. д.), это будет важно для хакеров.

Они могут собирать такие данные и продавать их через черную сеть компаниям по добыче данных или другому заинтересованному персоналу. Это представляет собой утечку данных, которые пользователи предоставили вам в доверительное управление, и нарушает ваше обещание хранить их данные в безопасности.

  • Кража финансовой информации — это очень распространено на веб-сайтах WordPress, используемых для работы интернет-магазина. Иногда это может быть не веб-сайт строго электронной коммерции, а тот, который продает предложение или что-то другое.

Когда такое случается, у хакеров есть все, что им нужно, чтобы ограбить всех, кто когда-либо предоставлял данные своей кредитной карты/платежа на ваш сайт. Помимо того факта, что это поставит многих ваших клиентов в дискомфорт, они не будут рады покупать у вас снова, если узнают, что нарушение исходит от вас.

  • Управление вашим доходом . Ваш веб-сайт может получать доход от партнерских источников, рекламных потоков и многого другого. Если хакер получит доступ, он может изменить данные вашего партнера/объявления/источника дохода на свои и перенаправить ваши продажи на свою сторону.

Они могут даже изменить ваши учетные записи получателей и получать ваши доходы на свои собственные учетные записи.

Конечно, это лишь некоторые из вещей, которые могут пойти не так, если ваш сайт WordPress не настолько безопасен, насколько это возможно. Существует множество других причин, по которым хакеры могут захотеть получить доступ к вашему сайту. Таким образом, на вас лежит ответственность за то, чтобы им было трудно это сделать.

Обеспечение безопасности вашего сайта WordPress

Хотите убрать свой сайт из списка легкой мишени для хакеров? Вот некоторые вещи, которые вы можете сделать:

1. Защитите свою страницу входа

Прежде чем ваш сайт вообще можно будет взломать, хакер должен попасть на страницу администратора. Если вы используете настройки WordPress по умолчанию, все, что им нужно сделать, это добавить / wp-admin или /wp-login.php в конце вашего доменного имени, и они окажутся на странице администратора.

Даже не подозревая об этом, вы облегчили им один шаг.

Чтобы обойти это, настройте свою страницу входа так, чтобы она отображалась только со специально назначенным адресом. Таким образом, вы можете оставаться вне сети для большинства хакеров.

2. Внедрите блокировку веб-сайта

Атаки грубой силы процветают благодаря возможности попробовать несколько паролей, пока они не получат правильный. Это дает хакерам свободу пробовать множество возможных комбинаций, прежде чем взломать вашу панель управления.

Простой способ избежать этого — указать количество неудачных попыток, которые может иметь пользователь, прежде чем он будет заблокирован в области администратора.

Лучшая часть этого шага заключается в том, что вы также получаете уведомление, когда любая такая активность записывается, что помогает вам сохранять более плотный корабль. Многие брандмауэры и плагины безопасности WordPress позволяют это сделать.

Возможно, стоит посмотреть.

3. Выберите хорошую хостинговую компанию

Не присоединяйтесь к тем, кто считает, что относительно дорогие хостинговые компании заставляют вас платить за торговую марку. Чаще всего это те, кто предоставляет вам несколько уровней безопасности по сравнению с более дешевыми вариантами.

Помимо дополнительных преимуществ, которые дает оплата этих дополнительных долларов, вы также получаете лучшую безопасность для всех своих усилий. Если вы не знаете, как выбрать правильный хостинг, вы можете следовать нашему полному руководству о том, как выбрать хостинг для WordPress.

4. Держитесь подальше от пустых тем

WordPress содержит множество платных и бесплатных тем для использования на вашем сайте. Эти темы были разработаны и написаны высококвалифицированными разработчиками, которые знают, что делают. Темы также были протестированы WordPress, чтобы убедиться, что они соответствуют стандартам установки.

Тем не менее, некоторые веб-сайты бесплатно предлагают взломанную/нулевую версию платных тем. Это может показаться хорошей сделкой, пока вы не узнаете, что взломанная тема содержит вредоносный код, который может сильно повредить вашему сайту. Посмотрите наше руководство о том, как выбрать идеальную тему для вашего сайта.

5. Отключить редактирование файлов

По умолчанию на вашем веб-сайте WordPress есть функция редактора кода, которая позволяет вам вносить изменения в тему и плагины. Вы можете найти это, перейдя на панель инструментов редактора в разделе « Внешний вид » или « Плагины ».

Когда хакеры получают доступ к вашему сайту, они могут зайти сюда, чтобы вставить вредоносные коды — и вы даже не узнаете об этом, пока не станет слишком поздно.

Лучший способ противостоять таким атакам, пока вы не обнаружите, что что-то не так, — отключить возможность редактировать плагины и тему.

6. Обновите свой сайт

Одна из самых простых вещей, которые вы можете сделать, чтобы защитить свой сайт WordPress, — это следить за тем, чтобы он время от времени обновлялся.

Когда приходит новое обновление, это означает, что разработчики нашли недостаток, который они считают достаточно важным, чтобы его исправить. Если вы не закроете этот пробел, вы станете уязвимыми для недостатка, который они заметили, и тем, кто знает, как обойти такой недостаток, будет легко использовать вас.

То же самое относится и к плагинам, и к PHP — они также могут быть обновлены и должны обновляться, как только вы получаете уведомление. Вот наше руководство по обновлению сайта WordPress до последней версии PHP.

Обратите внимание: перед выполнением каких-либо обновлений на вашем сайте WordPress настоятельно рекомендуется создать резервную копию всего вашего сайта.

7. Отключите функцию XML-RPC.

С развертыванием WordPress происходит автоматическое включение функции XML-RPC.

Было бы несправедливо по отношению к этому дополнению, если бы мы не рассмотрели его хорошие стороны. В конце концов, именно это позволяет легко связать вашу учетную запись WordPress с вашими мобильными и настольными приложениями.

Тем не менее, это также позволяет проводить атаки грубой силы гораздо быстрее.

Например, хакеру не нужно будет угадывать 500 паролей, если эта функция включена. Все, что им нужно сделать, это сделать около 50 запросов с помощью функции system.multicall , и они смогут попробовать тысячи паролей за один и тот же период времени.

Простым решением этой проблемы будет отключение этой функции, особенно если вы ее не используете.

8. Выйдите из системы бездействующих пользователей

Не каждый раз хакеру нужно получить доступ к вашему сайту из удаленного места. Если на вашем сайте несколько пользователей, такой хакер может просто слоняться без дела, пока пользователь не покинет свой компьютер.

Вот почему вы никогда не должны позволять никому бездействовать слишком долго в области приборной панели. Если вы наблюдали за многими банковскими и финансовыми веб-сайтами, это та же модель, которую они используют для обеспечения безопасности своих пользовательских данных.

Один из способов сделать это — установить плагин Idle User Logout. Настройте его, чтобы указать количество времени, которое вы хотите, чтобы каждый пользователь проводил без дела, прежде чем им потребуется снова войти в систему, и все готово.

После всего сказанного рекомендуется готовиться к худшему. Хотя вы, должно быть, внедрили вышеперечисленное, убедитесь, что вы время от времени делаете резервную копию своего веб-сайта, вы можете легко сделать это с помощью бесплатного плагина резервного копирования, такого как наш плагин резервного копирования WPvivid. Таким образом, вы всегда сможете восстановить данные из последней точки резервного копирования, если что-то случится.

Мы не надеемся, что для вас, однако.

У вас есть еще несколько советов, которые вы используете для защиты своего веб-сайта WordPress, которые мы здесь не упомянули? Дайте нам знать о них в комментариях.

В этой статье были рассмотрены наиболее важные шаги для защиты WordPress, мы также создали исчерпывающее руководство о том, как защитить сайт WordPress со всех аспектов, которые вам также могут понадобиться.