10 лучших рекомендаций по безопасности WordPress
Опубликовано: 2023-02-15Какие десять основных шагов вы можете предпринять, чтобы защитить свой сайт WordPress? Какие меры по усилению безопасности окажут наибольшее влияние на безопасность вашего веб-сайта? Безопасность всегда была горячей темой в сообществе WordPress, и подобные вопросы важны по уважительной причине. WordPress поддерживает почти половину Интернета, и его ведущее положение делает его приоритетной целью для хакеров.
Тысячи веб-сайтов WordPress ежедневно становятся жертвами кибератак. Это капля в море от общего количества сайтов WordPress, но если это случится с вами? Это огромно. Некоторые владельцы сайтов страдают от долгосрочных последствий потери данных, кражи данных и мошенничества. Плохая политика безопасности и управление рисками приводят к подобным бедствиям. Что значит иметь твердую политику безопасности в качестве владельца сайта WordPress? Каковы основные риски и как с ними справиться?
Ключевым моментом является создание безопасных основ, а затем дальнейшее их укрепление с помощью последовательных методов обеспечения безопасности. Это руководство научит вас, как это сделать и защитить свой сайт WordPress уже сегодня.
В этом руководстве мы подробно рассмотрим безопасность WordPress. Вы узнаете о самых опасных кибератаках на WordPress. Вы узнаете, как свести к минимуму риск стать их жертвой. Мы предоставим вам десять лучших рекомендаций по безопасности WordPress и объясним, как их реализовать. Тогда вы сможете защитить себя от самых изощренных и вредоносных атак современности.
Безопасен ли WordPress? Да!
Короче говоря, да, основная платформа WordPress безопасна.
Будучи зрелым, двадцатилетним проектом программного обеспечения с открытым исходным кодом, WordPress является одной из наиболее проверенных временем и безопасных платформ для создания веб-сайтов.
Сообщество разработчиков и экспертов по безопасности поддерживает ядро WordPress. Более того, кодовая база находится в открытом доступе. Это означает, что исследователи безопасности могут свободно анализировать его. При общественном контроле любые ошибки, прошедшие начальные этапы тестирования нового выпуска, как правило, обнаруживаются быстро. WordPress получает регулярные обновления и быстро исправляет любые уязвимости, обнаруженные в ядре WordPress. Эта постоянная адаптация повышает безопасность и качество платформы в целом.
Что делает сайт WordPress небезопасным?
Когда люди создают сайты с помощью WordPress, безопасность может быть не на первом месте. Небрежная настройка в сочетании с плохой практикой безопасности (или вообще без нее) создает значительные риски безопасности для всей экосистемы WordPress.
Владельцы сайтов, которые не запускают обновления
Регулярные обновления и поддержка разработчиков WordPress делают WordPress очень безопасным. Тем не менее, популярность WordPress во многом связана с простотой его настройки с помощью плагинов и тем. Эти сторонние надстройки могут поддерживаться и тестироваться так же хорошо, как и ядро WordPress, а могут и не быть. Их также необходимо обновлять при выходе новых версий. Для сайта WordPress с 12-24 плагинами каждую неделю может быть доступно несколько новых обновлений. Оставляя известные уязвимости неисправленными и не выполняя регулярные обновления, вы значительно увеличиваете вероятность того, что ваш сайт WordPress будет взломан.
Ядро WordPress также получает обновления в течение года. Обычно будет четыре основных выпуска. Релизы безопасности и обслуживания также будут появляться по мере необходимости. По состоянию на 2023 год около 60% сайтов WordPress используют последнюю (6.1) версию ядра WordPress. 40% — нет, и это нехорошо для их безопасности. По состоянию на декабрь 2022 года версии WordPress 3.7–4.0 больше не поддерживаются и могут не получать исправления безопасности.
Владельцы сайтов и хосты, которые не обновляют PHP
Более тревожная статистика заключается в том, что многие сайты WordPress используют версию PHP ниже 7.4. PHP является частью серверной среды вашего хоста. Это язык, на котором работает WordPress. В начале 2023 года 55% всех сайтов WordPress размещались на PHP 7.4. Это последний крупный выпуск ветки PHP 7. Это самая высокая версия PHP, официально поддерживаемая WordPress в настоящее время, хотя многие хосты WordPress предлагают PHP 8. Хорошо управляемые хосты WordPress будут поддерживать безопасность PHP 7, но срок его официальной поддержки истек. Плагины WordPress будут требовать PHP 8 со временем все больше и больше. Сайты, которые не поспевают за развитием WordPress и PHP, подвергаются более высокому риску взлома.
Почему важна безопасность WordPress
Безопасность сайта WordPress имеет значение! Сейчас всегда лучшее время, чтобы начать относиться к этому серьезно, если у вас нет последовательных методов обеспечения безопасности. Растущая изощренность и объем кибератак делают безопасность веб-сайтов чрезвычайно важной, особенно для владельцев веб-сайтов WordPress. Злоумышленники не просто выбирают, какие сайты взламывать. Современные кибератаки высоко автоматизированы, и одновременно могут быть атакованы тысячи сайтов WordPress. Популярность WordPress и количество сайтов, которые не были обновлены, делают его большой и легкой мишенью.
Независимо от того, ведете ли вы блог, бизнес-сайт или интернет-магазин, вам доверена безопасность ваших клиентов и их данных. Утечка данных может поставить под угрозу ваш бизнес и значительно повредить вашей репутации. Плохая практика безопасности может привести к серьезным финансовым потерям.
Недавнее исследование показало, что большинство предприятий малого и среднего бизнеса (SMB) считают, что они не являются целью для взлома, но они ошибаются. Атаки растут и нацелены именно на них. В среднем небольшие компании, которые сталкиваются с нарушением цифровой безопасности, в конечном итоге платят более 100 000 долларов США.
Пять наиболее распространенных проблем с безопасностью WordPress
Наиболее распространенными угрозами, с которыми WordPress столкнулся в 2022 году и которые используют внутренние уязвимости сайта, были атаки межсайтового скриптинга (XSS) и подделки межсайтовых запросов (CSRF), а также SQL-инъекции (SQLi). Общие полезные нагрузки или ущерб, нанесенный взломанным и зараженным сайтам, включают бэкдоры и вредоносные перенаправления. Наконец, наиболее распространенные атаки вообще не связаны с программной уязвимостью. Это попытки грубой силы входа в систему, подстановка паролей, скимминг карт, кардинг и распределенные атаки типа «отказ в обслуживании» (DDoS).
Давайте рассмотрим эти угрозы и рассмотрим решения, которые предотвратят их проникновение на ваш сайт WordPress.
Подстановка паролей, грубая сила входа в систему и DDOS-атаки
Брутфорс и DDoS-атаки — это высокораспределенные кибератаки, управляемые ботами. Они пытаются взломать веб-сайт или отключить его, перегружая сервер веб-запросами. Оба типа атак часто включают сеть ботов (также известную как ботнет), контролируемую злоумышленником.
Атаки с использованием грубой силы, также известные как атаки с подбором пароля, используют сеть (обычно взломанных) компьютеров для проверки тысяч случайных комбинаций букв, цифр и символов, чтобы обнаружить действительное имя пользователя и пароль для целевого сайта.
Вброс паролей — это тип атаки методом грубой силы, при которой для получения доступа к вашему сайту используются фактические пароли, украденные в другом месте. Если вы или пользователи вашего сайта использовали те же учетные данные для входа на другом сайте, который был скомпрометирован, подмена паролей на вашем сайте может быть успешной.
Когда злоумышленник предпринимает тысячи попыток входа в систему в минуту, это может иметь эффект DDoS-атаки. DDoS-атаки бросают так много запросов на ваш сервер, что он перегружается. Иногда DDoS-атаки выполняются просто для того, чтобы отключить таким образом сайты.
Когда дело доходит до WordPress и WooCommerce, кардинговые атаки являются хорошим примером попытки грубой силы ввести украденные номера счетов кредитных карт на сайт электронной коммерции для совершения мошеннических покупок. Кардерные атаки также могут иметь эффект DDoS.
Межсайтовый скриптинг и подделка запросов
Межсайтовые сценарии и подделка межсайтовых запросов, также известные как XSS и CSRF, — это кибератаки, которые пытаются запустить вредоносные сценарии на вашем веб-сайте, которые будут использовать компьютеры ваших посетителей. Используя ваш сайт, эти атаки отправляют с него несанкционированные запросы от имени вашего пользователя. Цель состоит в том, чтобы обмануть посетителей вашего сайта и украсть у них конфиденциальную информацию или деньги. Межсайтовый скриптинг и подделка запросов считаются двумя наиболее опасными кибератаками, нацеленными на сайты WordPress.
Один из наиболее ярких примеров атак с использованием межсайтового скриптинга, влияющих на WordPress, связан с использованием карточных скиммеров на основе JavaScript, внедряемых в магазины WooCommerce. Вредоносное ПО для скимминга карт, загруженное с веб-сайта злоумышленника, внедряется в браузеры ваших посетителей. Этот вредоносный код попытается украсть важную платежную информацию со страницы оформления заказа после совершения покупки.
Бэкдоры и веб-шеллы
Бэкдоры и веб-шеллы — это два связанных типа вредоносного программного обеспечения, которые часто загружаются на взломанные веб-сайты в качестве полезной нагрузки при первоначальном взломе. Оба допускают более глубокий уровень ущерба: заражение вредоносным ПО. Оба являются инструментами, которые злоумышленники используют для более глубокого проникновения в ваш сервер и веб-приложения или для совершения мошенничества и дальнейших атак на другие сайты.
Бэкдоры — это программное обеспечение, которое внедряется на веб-сайт, чтобы позволить злоумышленнику получить несанкционированный доступ к его критическим областям, минуя обычные методы аутентификации. Веб-оболочки, в свою очередь, представляют собой вредоносные утилиты управления файлами, используемые хакером для загрузки дополнительных вредоносных полезных данных на взломанный веб-сайт.
Бэкдоры часто могут проникнуть мимо владельцев веб-сайтов и даже антивирусного программного обеспечения. Бэкдор позволит хакеру вернуться и повторно заразить или использовать веб-сайт позже, даже если были приняты все необходимые меры безопасности. Точно так же, если веб-оболочка не будет удалена, злоумышленник сохранит контроль над веб-сайтом.
Вредоносные перенаправления
Одной из наиболее распространенных целей злоумышленника является заражение ваших посетителей вредоносным ПО. Одним из наиболее распространенных способов достижения этой цели является перенаправление ничего не подозревающих пользователей с надежных веб-сайтов, над которыми злоумышленники получили контроль.
Хакеры могут размещать вредоносные перенаправления в любом месте на взломанных веб-сайтах, что может затруднить их поиск и удаление. Часто владельцам веб-сайтов приходится переустанавливать WordPress (что очень просто) или восстанавливать весь свой веб-сайт из резервной копии (что может быть более сложным), чтобы очистить его от вредоносных перенаправлений после того, как они исправили уязвимость, которая сделала возможным этот эксплойт.
Фарма-взломы, как разновидность SEO-спама, стали одной из самых известных атак, затрагивающих сайты WordPress. Злоумышленники заполняют взломанный веб-сайт WordPress спам-ключевыми словами для популярных лекарств, пытаясь поднять его на высокие позиции в поисковых системах, а затем перенаправляют посетителей на мошеннические порталы, продающие регулируемые фармацевтические препараты. В большинстве случаев злоумышленники размещают вредоносные перенаправления в .htaccess file
или создают для этой цели, казалось бы, безобидный файл .ico.
Атаки SQL-инъекций
Атака с внедрением SQL, также известная как вставка SQL (SQLi), представляет собой тип атаки с внедрением данных, использующий недостаточную проверку пользовательского ввода, что позволяет злоумышленнику злонамеренно манипулировать базой данных веб-сайта. Как SQL-инъекции, так и межсайтовые сценарии используют так называемые входные уязвимости, которые могут повлиять на определенные области вашего сайта WordPress. Уязвимости ввода возникают, когда подключаемый модуль принимает данные или контент, отправленные пользователем, но не проверяет их на наличие вредоносного кода. Этот код может выполнять запросы к вашей базе данных, чтобы украсть личные данные или повредить их.
10 лучших рекомендаций по безопасности WordPress
Когда дело доходит до безопасности веб-сайта WordPress, ключевым фактором является продуманный подход к уменьшению поверхности атаки. Знание наиболее распространенных уязвимостей WordPress и типов кибератак поможет вам значительно повысить безопасность вашего сайта. Следующие 10 наиболее важных рекомендаций по безопасности WordPress — это основные знания, необходимые для защиты любого сайта WordPress. Большинству из этих рекомендаций относительно легко следовать, и они не требуют никаких платных решений для обеспечения безопасности.
Выполняйте регулярные обновления и не устанавливайте программное обеспечение из непроверенных источников
Одной из наиболее важных рекомендаций по безопасности WordPress является регулярное обновление ядра, темы и плагинов. Убедитесь, что все программное обеспечение, которое вы устанавливаете, получено из проверенных и надежных источников. Поскольку WordPress написан на PHP, убедитесь, что вы используете поддерживаемую версию PHP из последней основной версии. В настоящее время это PHP 7.4 с только бета-поддержкой PHP 8.
Функции WordPress по умолчанию редко удовлетворяют все потребности владельцев бизнеса, поэтому они расширяют возможности платформы, устанавливая дополнительные плагины и темы. Сторонние темы и плагины увеличивают поверхность атаки, делая сайты WordPress уязвимыми для большего количества угроз безопасности.
Основные проблемы могут возникнуть из-за использования неофициальных, пиратских версий платных плагинов и тем. Они всегда поступают из весьма сомнительных источников. Использование устаревших версий WordPress и отсутствие исправления уязвимостей также крайне рискованно.
Используйте плагин безопасности, такой как iThemes Security Pro
Лучший способ обеспечить безопасность вашего веб-сайта — включить автоматические обновления для ядра, тем и плагинов. iThemes Security Pro может легко отслеживать все доступные обновления программного обеспечения и устанавливать новые версии ядра WordPress, а также темы и плагины. Если вы управляете несколькими веб-сайтами WordPress, iThemes Sync Pro позволяет вам выполнять все административные задачи из единого интерфейса и пользоваться преимуществами мониторинга времени безотказной работы и отслеживания показателей SEO.
Большинство решений для хостинга WordPress, таких как управляемые облачные планы хостинга WordPress, предлагаемые Nexcess, также позаботятся обо всех обновлениях программного обеспечения и даже поставляются со встроенными инструментами, такими как визуальное сравнение, которые помогут вам отслеживать любые потенциальные конфликты плагинов и другие проблемы до их установки. выполнение любых обновлений. Nexcess также предоставляет вам каталог премиальных решений WordPress. Он предлагает Kadence WP в качестве встроенной блочной темы с настраиваемыми блоками, которые помогут вам создать веб-сайт вашей мечты, обеспечивая при этом его безопасность.
Создайте сильную стратегию резервного копирования
Сильная стратегия резервного копирования абсолютно необходима для безопасности WordPress. Выполнение регулярного резервного копирования вашего сайта WordPress подготовит вас к легкому восстановлению в случае взлома, неудачного обновления или любой другой проблемы, которая может возникнуть.
Лучше иметь как минимум десять дней или даже две недели полных резервных копий WordPress, которые включают вашу базу данных WordPress, файлы веб-сайта и любой другой связанный контент. Сохранение еженедельных и ежемесячных резервных копий может быть очень полезным в дополнение к ежедневным и ежечасным резервным копиям.
Обязательно соблюдайте принцип избыточности данных. Хранение рабочих копий вашего сайта WordPress в нескольких местах. Это поможет вам восстановить вашу информацию, если что-то случится с одним резервным архивом.
Вы можете использовать решения для резервного копирования, предоставляемые вашим хостинг-провайдером, в том числе резервные копии cPanel и Acronis, чтобы сохранять копии своего веб-сайта ежедневно, еженедельно и ежемесячно. Плагин резервного копирования WordPress может помочь вам создать более гибкий график резервного копирования. BackupBuddy — это плагин мирового класса для защиты и восстановления данных для WordPress. Это может помочь вам создать надежную стратегию резервного копирования и легкий доступ к восстановлению одним щелчком мыши, когда вам это нужно.
Выполняйте регулярное сканирование уязвимостей и вредоносных программ
Сканирование уязвимостей и мониторинг целостности файлов — одни из лучших инструментов, которые вы можете использовать для защиты всех критических областей вашего веб-сайта WordPress. Встроенный интерфейс WordPress Site Health — отличный инструмент для начала. Если вам нужны дополнительные рекомендации по безопасности WordPress, адаптированные для вашего веб-сайта, iThemes Pro Site Scan предоставит вам исчерпывающий отчет о безопасности вашего веб-сайта WordPress.
Предотвращение является ключевым фактором, но не менее важным является раннее обнаружение атак и их устранение. Основная цель большинства вредоносных программ — как можно дольше оставаться незамеченными. Нередко веб-сайты WordPress взламываются неделями, пока их владельцы не заметят. iThemes Security Pro предлагает расширенный мониторинг изменений файлов, который будет предупреждать вас в любое время, когда в файлах вашего веб-сайта WordPress происходит какая-либо подозрительная активность.
Выполнение регулярного сканирования на наличие вредоносных программ поможет выявить заражение вредоносным ПО на ранней стадии. Это ключ к блокировке плохих парней и очистке вашего сайта WordPress до того, как будет нанесен необратимый ущерб. Если вы ищете отличные бесплатные сканеры вредоносных программ, ImunifyAV от CloudLinux оказался чрезвычайно надежным и удобным для пользователя.
Обеспечьте безопасность прав доступа к файлам и защитите wp-config.php
Права доступа к файлам WordPress могут сильно повлиять на общую безопасность вашего сайта WordPress. Неправильные настройки разрешений могут подвергнуть всю систему серьезному риску, особенно если вы поддерживаете свой собственный сервер и запускаете на нем несколько сайтов. Надежная настройка прав доступа к файлам WordPress абсолютно необходима.
Одной из наиболее уязвимых областей вашего веб-сайта WordPress является его основной файл конфигурации: wp-config.php
. Хранящиеся там важные данные, включая информацию о подключении к базе данных WordPress, делают wp-config.php
приоритетной целью для атак, пытающихся захватить контроль над вашим сайтом.
Одной из ключевых рекомендаций по безопасности WordPress, которую вы можете реализовать прямо сейчас, является установка разрешений для файла wp-config.php
вашего веб-сайта как минимум на 640. Если вы не уверены, какие права доступа к файлам должны быть у файлов других веб-сайтов, проверьте права доступа к файлам iThemes Security Pro. инструмент поможет вам узнать.
Компрометации между учетными записями способствуют небезопасные права доступа к файлам и плохая изоляция пользователей.
Хакеры активно используют плохую изоляцию пользователей в сочетании с небезопасными правами доступа к файлам для выполнения опасных атак между учетными записями. Они известны как «взломы символических ссылок» или взломы WordPress «Анонимный лис».
Используя один взломанный веб-сайт в качестве точки входа, злоумышленник может создать символические ссылки между учетными записями на файлы конфигурации других веб-сайтов, такие как wp-config.php
, чтобы раскрыть конфиденциальную информацию и получить контроль над всеми веб-сайтами на данном сервере. Этот взлом возможен только в том случае, если ваш файл wp-config.php
доступен для чтения другим пользователям на том же сервере.
В некоторых рекомендациях по безопасности WordPress предлагается переместить wp-config.php
, что может помочь, но на самом деле это не устраняет все риски. Сохраняйте права доступа к файлам и убедитесь, что все веб-сайты изолированы друг от друга на одном сервере. Один из лучших способов добиться этого — использовать CageFS, предоставляемую операционной системой CloudLinux.
Настройка брандмауэра веб-приложения
Еще одна ключевая рекомендация по безопасности WordPress — использовать брандмауэр веб-приложений или, что еще лучше, несколько систем защиты, таких как хост-сервер и облачный WAF. Брандмауэр веб-приложений служит первой линией защиты от всех известных кибератак, отфильтровывая любой вредоносный трафик на основе постоянно обновляемого набора правил.
WAF сканируют весь веб-трафик на наличие подозрительных запросов на основе ряда шаблонов, установленных в соответствии с определяемыми нами правилами. Это обеспечивает высокий уровень защиты от DDoS-атак и атак методом перебора, а также SQLi и XSS.
Облачный WAF, такой как Cloudflare WAF, может смягчить широкий спектр атак, одновременно снизив нагрузку на исходный сервер. Запросы, поступающие на сервер, на котором размещен ваш веб-сайт WordPress, затем подвергаются еще одному раунду проверок с помощью WAF на основе хоста, такого как ModSecurity. Оба решения полностью бесплатны и считаются отраслевым стандартом безопасности WordPress.
Настройка заголовков безопасности HTTP
Заголовки ответа безопасности HTTP — один из самых ценных инструментов для повышения безопасности вашего веб-сайта WordPress. Подобно брандмауэрам веб-приложений, заголовки ответов HTTP могут блокировать доступ к важным областям вашего веб-сайта и предотвращать любые действия, которые могут поставить под угрозу ваших клиентов и их данные.
Наиболее важные заголовки безопасности HTTP для WordPress включают в себя:
- Политика безопасности контента (CSP). Надежное решение, которое может помочь смягчить межсайтовый скриптинг и кликджекинг, а также другие опасные кибератаки, нацеленные на веб-сайты WordPress. Использование CSP помогает вам определить список ресурсов, которые могут загружать контент с вашего веб-сайта, а также список ресурсов, с которых ваш веб-сайт может загружать контент.
- Set-Cookie . Заголовок ответа Set-Cookie управляет тем, как файлы cookie отправляются с сервера в браузер пользователя. Настройка атрибута SameSite может помочь защитить ваш веб-сайт WordPress от подделки межсайтовых запросов и кликджекинга.
- Строгая транспортная безопасность (HSTS). Заголовок ответа HSTS гарантирует, что доступ к вашему веб-сайту WordPress возможен только через HTTPS, что обеспечивает сквозное шифрование между сервером и браузером.
В большинстве случаев вы можете настроить заголовки безопасности HTTP для своего веб-сайта WordPress в локальном файле .htaccess
. Обратите внимание, что большинство хостинг-провайдеров WordPress настраивают для вас заголовки ответов HTTP, поэтому вам может потребоваться проконсультироваться со службой поддержки вашего хоста, чтобы узнать, нужно ли вам переопределить какие-либо правила локально.
Отключить выполнение PHP в папке загрузки и отключить индексирование каталогов
Когда дело доходит до WordPress, хакеры, как правило, прячут вредоносное ПО в папках, в которых обычно не хранится исполняемый код. Одной из таких папок является каталог uploads в wp-content
. Отключение выполнения PHP в папке загрузки — хорошая идея. Это может помочь ограничить масштабы заражения вредоносным ПО и ускорить устранение вредоносных программ.
Если у вас есть доступный для использования Apache HTTP, создайте файл .htaccess
в wp-content/uploads и добавьте в него приведенное ниже правило. Это заблокирует загрузку любых PHP-скриптов из папки загрузки. Это обычное место, где злоумышленник может разместить вредоносный код.
В дополнение к блокировке выполнения PHP отключение индексации каталогов на вашем веб-сайте является еще одним важным пунктом в списке наших рекомендаций по безопасности WordPress. Если индексирование каталогов не отключено, браузер загрузит список файлов, присутствующих в запрошенном каталоге, если в нем отсутствует файл index.php
или index.html
.
Злоумышленники широко используют эту возможность, особенно когда речь идет об атаках по символическим ссылкам между учетными записями, описанных ранее в руководстве. Вы можете заблокировать индексирование каталогов глобально или отдельно для каждого каталога, используя следующее правило в .htaccess
:
Измените префикс базы данных WordPress и имя пользователя администратора по умолчанию
Если вы не измените процесс установки по умолчанию, WordPress автоматически будет использовать стандартный префикс wp-
для своей базы данных и создаст пользователя admin
по умолчанию. Поскольку это общеизвестно, атаки методом грубой силы и внедрения данных предполагают это.
Удалите пользователя-администратора по умолчанию и измените префикс базы данных WordPress на что-то похожее на wp2789_
. Вы можете сделать это, переименовав все таблицы базы данных с помощью phpMyAdmin или через интерфейс командной строки MySQL. После этого обязательно обновите префикс базы данных в wp-config.php
.
Ограничение доступа к XMLRPC и входу в WordPress
Когда дело доходит до перебора и DDoS-атак, xmlrpc.php
и страница входа в WordPress — это две области веб-сайтов WordPress, на которые злоумышленники больше всего нацелены. Если доступ к этим двум интерфейсам не ограничен, ваш сайт WordPress, скорее всего, будет страдать от низкой производительности и частых простоев. Более того, есть все шансы, что в конечном итоге хакер сможет взломать вашу учетную запись администратора и нанести ущерб вашему сайту.
XMLRPC — это интерфейс прикладного программирования (API), который позволяет WordPress взаимодействовать с другими системами и является частью WordPress с момента создания платформы. Однако, поскольку WordPress сильно зависит от REST API, XMLRPC используется редко и обычно может быть полностью отключен без каких-либо негативных последствий. Для этой цели вы можете добавить указанное ниже правило в .htaccess file
вашего веб-сайта или просто обнулить права доступа к файлу xmlrpc.php.
Ограничение доступа к панели администратора WordPress — еще одна из наших ключевых рекомендаций по безопасности WordPress. Хотя изменение адреса входа в WordPress значительно усложняет обнаружение, защита паролем страницы входа или определение эксклюзивного диапазона IP-адресов, которые могут получить к ней доступ, эффективно устранит риск получения злоумышленником несанкционированного доступа к серверной части WordPress.
Используйте надежные пароли и настройте многофакторную аутентификацию
Важность использования надежных паролей невозможно переоценить. Однако некоторые владельцы веб-сайтов WordPress склонны забывать, что панель администратора WordPress — не единственный вектор атаки. Большое количество сайтов WordPress взламывается в результате того, что злоумышленник получает доступ к их учетным записям в панели управления веб-хостингом.
На многих хостах имя учетной записи вашего веб-сайта WordPress соответствует фактическому пользователю, созданному на хост-сервере. Это легко догадаться или публично видно. В сочетании с паролем пара учетных данных может позволить вам подключиться к вашему сайту через SSH и SFTP. Это то, как вы получаете доступ к панели управления хостингом. Если эта учетная запись будет скомпрометирована, злоумышленник может получить полный доступ не только к вашему сайту, но и ко всей вашей учетной записи хостинга, электронной почте и даже к вашим доменным именам или записям DNS.
Примите надежные политики паролей и многофакторную аутентификацию как для ваших администраторов WordPress, так и для учетной записи панели управления хостингом вашего веб-сайта. Если возможно, полностью отключите аутентификацию по паролю для SSH в пользу методов аутентификации на основе ключей.
iThemes Security Pro позволяет вам настроить беспарольную аутентификацию для вашей панели администратора WordPress, используя пароли с биометрическими логинами. Это, в сочетании с многофакторной аутентификацией, настроенной для вашей учетной записи хостинга, обеспечивает полную защиту от атак грубой силы и защищает ваш веб-сайт, даже если ваши учетные данные для входа были скомпрометированы.
Внедрите лучшие рекомендации по безопасности WordPress с помощью iThemes Security Pro
Как самая популярная система управления контентом в мире, WordPress является первоочередной целью для хакеров во всем мире. Чтобы использовать утечки данных и распространять вредоносное ПО, злоумышленники используют широкий спектр изощренных методов, таких как внедрение в базу данных, межсайтовый скриптинг и подделка межсайтовых запросов. Если ваш сайт WordPress не защищен от этих распространенных угроз безопасности, он может стать легкой мишенью.
Из-за множества рекомендаций по безопасности WordPress может быть сложно понять, как обеспечить безопасность вашего веб-сайта, особенно когда существует несколько стратегий для смягчения последствий каждой кибератаки. iThemes стремится сделать безопасность WordPress более доступной. Пусть iThemes Security Pro и BackupBuddy станут вашими личными помощниками по безопасности! Они предлагают более 50 способов защитить ваш сайт WordPress от самых опасных кибератак, существующих на сегодняшний день.
Лучший плагин безопасности WordPress для защиты и защиты WordPress
В настоящее время WordPress поддерживает более 40% всех веб-сайтов, поэтому он стал легкой мишенью для хакеров со злыми намерениями. Плагин iThemes Security Pro устраняет сомнения в безопасности WordPress, упрощая защиту вашего веб-сайта WordPress. Это похоже на штатного эксперта по безопасности, который постоянно отслеживает и защищает ваш сайт WordPress для вас.
Кики имеет степень бакалавра в области управления информационными системами и более двух лет опыта работы с Linux и WordPress. В настоящее время она работает специалистом по безопасности в Liquid Web и Nexcess. До этого Кики была частью группы поддержки Liquid Web Managed Hosting, где она помогла сотням владельцев веб-сайтов WordPress и узнала, с какими техническими проблемами они часто сталкиваются. Ее страсть к писательству позволяет ей делиться своими знаниями и опытом, чтобы помогать людям. Помимо технологий, Кики любит узнавать о космосе и слушать подкасты о реальных преступлениях.