Безопасность и защита WordPress, полное руководство

WordPress пользуется огромной популярностью. Примерно каждый пятый сайт в Интернете использует WordPress в той или иной форме. Будь то скромный блог, многосайтовая система управления контентом (CMS) или сайт электронной коммерции. В результате неудивительно, что веб-сайты WordPress являются очень популярной целью как для опытных хакеров, так и для любителей скриптов.

Последнее, чего хочет любой веб-мастер, — это узнать, что его веб-сайт был взломан; может быть взят в заложники и является частью ботнета, распространяет вредоносное ПО или участвует в атаках типа «отказ в обслуживании» (DoS). В этой статье мы поделимся рядом советов и стратегий, которые помогут вам укрепить ваш сайт WordPress.

Оглавление

• Безопасен ли WordPress?
• Плагины и темы
  • Запускайте меньше программного обеспечения
  • Соблюдайте принцип наименьших привилегий
  • Обновите свои плагины и темы WordPress
  • Держитесь подальше от «нулевых» плагинов и тем WordPress
• Держите WordPress в актуальном состоянии
• WordPress Хостинг
• Панель управления WordPress
  • Отключить регистрацию
  • Реквизиты для входа
  • Двухфакторная аутентификация (2FA)
• Усиление ядра WordPress
  • Отключить ведение журнала отладки
  • Отключить XML-RPC
  • Ограничить API REST WordPress
  • Предотвратить раскрытие версии WordPress
  • Запретить перечисление пользователей WordPress
  • Отключить редактор файлов WordPress
  • Отключить управление темами и плагинами
• TLS (SSL)
• Выводы и дальнейшие шаги

Безопасен ли WordPress?

Этот вопрос задают многие системные администраторы, и это правильно. Несмотря на то, что WordPress в целом хорошо сложен и безопасен, он имеет репутацию подверженного уязвимостям безопасности и не относящегося к «корпоративному уровню». Эта репутация не совсем справедлива. Чаще всего проблемы заключаются в том, что WordPress является невероятно популярным программным пакетом, который легко настроить, используя ярлыки безопасности. Что подводит нас к нашей первой теме — плагинам и темам.

Плагины и темы

Проблема номер один, от которой страдает безопасность WordPress, также делает его невероятно популярным. Плагины и темы WordPress сильно различаются по качеству и безопасности. Несмотря на то, что команда WordPress проделала большую работу, чтобы помочь разработчикам создавать более безопасные плагины и темы, они по-прежнему остаются кошмаром безопасности. Это можно заметить при использовании плохо поддерживаемых плагинов или плагинов, полученных из отрывочного источника.

Прежде чем мы продолжим обсуждение плагинов и тем WordPress, давайте сначала разберемся, что такое плагин WordPress. Плагины — это просто пользовательский код PHP, который WordPress запускает для расширения функциональности WordPress. Для более подробного и технического объяснения обратитесь к Что такое плагины WordPress.

Точно так же темы WordPress позволяют настраивать визуальные аспекты вашего сайта WordPress. С точки зрения злоумышленника между ними очень мало различий, поскольку обеими можно злоупотреблять для запуска вредоносного кода.

Запускайте меньше программного обеспечения

Так как же определить, является ли плагин вредоносным или нет? Это сложный вопрос, но, к счастью, у нас есть ответ для вас. Мы подробно писали об этом в статье о том, как выбрать лучший плагин WordPress для вашего сайта WordPress.

Даже если вы проведете все необходимые исследования, есть вероятность, что плагин все еще может представлять угрозу безопасности. Таким образом, один из способов снизить риск — запускать только то программное обеспечение, которое вам абсолютно необходимо и которому вы доверяете. Перед установкой нового плагина WordPress спросите себя, действительно ли вам нужно установить этот плагин. Может ли небольшой фрагмент кода в плагине для конкретного сайта помочь, или вам действительно нужен полноценный плагин?

Важно — будьте очень бдительны с фрагментами кода, которые вы найдете в Интернете. Никогда не используйте фрагмент кода, если вы полностью не понимаете, что он делает — то, что он находится в StackOverflow, не означает, что его можно безопасно использовать.

Если вам действительно нужно запустить плагин, убедитесь, что он активно поддерживается и регулярно обновляется, как мы объясняем в нашем руководстве. Как правило, чем больше загрузок и последних обновлений плагина или темы, тем больше их использование и активно поддерживается авторами. Это не означает, что в плагине никогда не будет уязвимости. Однако, если уязвимость будет найдена, разработчик будет действовать быстро и быстро выпустит исправление.

Старайтесь избегать плагинов, у которых мало загрузок и, что особенно важно, у которых нет активного сообщества и регулярных обновлений. Если что-то не получило обновления в течение года, обычно это тревожный сигнал.

Соблюдайте принцип наименьших привилегий

WordPress не нужно использовать пользователя root MySQL для подключения к своей базе данных. И при этом не каждый пользователь WordPress должен иметь роль администратора. Точно так же не рекомендуется запускать большинство программ от имени привилегированного пользователя, если для этого нет особой причины.

Передовая практика безопасности всегда требует, чтобы приложения всегда получали наименьшие возможные привилегии, которые позволяют им работать должным образом, с отключенными любыми дополнительными привилегиями. Эту практику обычно называют принципом наименьших привилегий.

Предположим гипотетически, что WordPress подключается к базе данных с привилегированной учетной записью пользователя. В случае плагина WordPress, содержащего уязвимость SQL-инъекций, злоумышленник может не только выполнять SQL-запросы от имени администратора, но в некоторых случаях он может даже выполнять команды операционной системы. Если злоумышленник успешно выполняет команды операционной системы, он может провести разведку и распространить атаку на другие системы.

Запуск программного обеспечения с административными привилегиями или предоставление пользователям большего доступа, чем необходимо, вызывает проблемы. Это противоречит испытанному принципу наименьших привилегий, поскольку позволяет злоумышленнику нанести больший ущерб в случае нарушения безопасности.

Преимущество WordPress в том, что он имеет ряд встроенных ролей, которые вы можете использовать для назначения различных привилегий разным пользователям в зависимости от их требований. Мы много писали об этом в статье о том, как использовать роли пользователей WordPress для повышения безопасности WordPress.

Обновите свои плагины и темы WordPress

Обновления плагинов и тем WordPress важны не только для того, чтобы воспользоваться новыми функциями и исправлениями ошибок, но и для исправления уязвимостей в системе безопасности. И плагины, и темы легко обновлять в интерфейсе WordPress.

Некоторые коммерческие плагины, вероятно, будут иметь свои собственные механизмы для обновления плагинов, однако в большинстве случаев это прозрачно для пользователей. Тем не менее, просто убедитесь, что какая бы система обновлений ни использовалась, вы поддерживаете свои плагины и темы в актуальном состоянии.

Не используйте обнуленные плагины и темы WordPress.

WordPress использует GPL ¹ . Не вдаваясь в подробности, лицензия GPL позволяет любому свободно распространять программное обеспечение под лицензией GPL. Это включает в себя коммерческие/премиальные темы и плагины WordPress под лицензией GPL. Таким образом, загрузка модифицированной, обычно называемой нулевой , премиальной темы или плагина и использование ее бесплатно не является незаконным.

Однако, как вы, возможно, уже догадались, помимо отсутствия поддержки разработчика плагина, вы вряд ли будете получать обновления для плагинов с нулевым значением. Более того, у вас нет возможности узнать, был ли изменен исходный код этого плагина, чтобы делать что-то гнусное.

Держите WordPress в актуальном состоянии

Точно так же, как вы должны обновлять свои плагины и темы, вы также должны постоянно обновлять версию WordPress, которую вы используете. К счастью, теперь это намного проще, чем в прошлом, критические обновления безопасности устанавливаются автоматически. Конечно, если вы явно не отключите эту функцию.

Помимо новых функций, улучшений и исправлений ошибок, обновления ядра WordPress также содержат исправления безопасности, которые могут защитить вас от злоумышленников, использующих ваш веб-сайт WordPress для получения нечестной прибыли.

WordPress Хостинг

Где и как вы решите разместить свой сайт WordPress, будет сильно зависеть от ваших требований. Хотя нет ничего плохого в том, чтобы размещать и управлять WordPress самостоятельно, если вы либо не настолько технически подкованы, либо хотите убедиться, что соответствуете большинству основ безопасности WordPress, не делая много тяжелой работы, вы можете выбрать управляемый хостинг-провайдер WordPress, такой как Kinsta или WP Engine.

Поскольку у нас были веб-сайты, размещенные на обоих хостах, мы написали о них. В историях наших клиентов мы рассказываем о нашем опыте работы с ними. Чтобы узнать больше о своем опыте, прочитайте нашу историю клиентов WP Engine и Kinsta. Управляемый хостинг WordPress абстрагируется от множества решений и настроек безопасности, которые вам нужны, чтобы беспокоиться о себе.

Естественно, управляемый хостинг WordPress тоже может вам не подойти. Вы можете разместить WordPress самостоятельно, особенно если у вас ограниченный бюджет. Самостоятельный хостинг WordPress также дает вам больший контроль над вашей установкой WordPress. Чтобы узнать больше обо всех различных вариантах хостинга WordPress и о том, что лучше всего подходит для вас, обратитесь к руководству по выбору хостинга WordPress.

Панель управления WordPress

Панель инструментов WordPress вашего сайта — это место, где вы не хотите, чтобы кто-то несанкционированно скрывался. Хотя есть некоторые сайты, у которых есть законные основания разрешать общедоступным пользователям входить в систему с помощью панели управления WordPress, это огромный риск для безопасности, и его следует очень тщательно учитывать.

К счастью, большинство веб-сайтов WordPress не имеют этого требования и поэтому должны блокировать доступ к панели управления WordPress. Есть несколько способов сделать это, и вы должны выбрать тот, который лучше всего подходит для вас.

Обычной практикой является ограничение доступа с помощью пароля, защищающего страницы администратора WordPress (wp-admin). Другим решением было бы разрешить доступ к /wp-admin только нескольким выбранным IP-адресам.

Отключить регистрацию

По умолчанию WordPress не позволяет публичным пользователям регистрироваться на вашем сайте WordPress. Чтобы подтвердить, что регистрация пользователя отключена:

1. перейдите на страницу « Настройки »> « Общие » в области панели инструментов WordPress.
2. перейдите в раздел « Членство »
3. убедитесь, что флажок рядом с Любой может зарегистрироваться не установлен.

Реквизиты для входа

Как и на любом другом веб-сайте, доступ к вашей панели управления WordPress зависит от ваших учетных данных. Обеспечение надежной защиты паролем WordPress является важным элементом управления безопасностью любой системы, и WordPress не является исключением.

В то время как WordPress не имеет никакого способа установить политику паролей из коробки, плагин, такой как WPassword, абсолютно необходим для обеспечения соблюдения требований к надежности пароля для всех ваших пользователей, у которых есть доступ к панели управления WordPress.

После того, как вы примените надежную защиту паролем на своем веб-сайте, используйте WPScan для проверки слабых учетных данных WordPress, чтобы убедиться, что ни одна учетная запись все еще не использует слабые пароли.

Двухфакторная аутентификация (2FA)

Еще один важный элемент управления безопасностью вашей панели управления WordPress — требование двухфакторной аутентификации. Двухфакторная аутентификация (2FA) значительно усложняет злоумышленнику доступ к вашей панели управления WordPress, если злоумышленнику удастся раскрыть пароль пользователя (например, злоумышленник может обнаружить пароль пользователя в результате утечки данных).

К счастью, настроить двухфакторную аутентификацию в WordPress очень просто. Существует ряд высококачественных плагинов, которые вы можете использовать для добавления этой функциональности. Ознакомьтесь с лучшими плагинами двухфакторной аутентификации для WordPress, чтобы узнать о лучших плагинах 2FA, доступных для WordPress.

Усиление ядра WordPress

Несмотря на то, что ядро ​​WordPress является безопасным программным обеспечением, это не означает, что мы не можем сделать его еще более жестким. Ниже приведен ряд стратегий усиления безопасности, специфичных для ядра WordPress.

Убедитесь, что ведение журнала отладки отключено

WordPress позволяет разработчикам записывать отладочные сообщения в файл (по умолчанию это /wp-content/debug.log). Хотя это вполне приемлемо в среде разработки, имейте в виду, что злоумышленник также может легко получить доступ к этому файлу, если тот же файл и/или настройки попадают в рабочую среду.

Отладка WordPress отключена по умолчанию. Хотя всегда лучше перепроверить это — убедитесь, что у вас нет константы WP_DEBUG, определенной в вашем файле wp-config.php, или явно установите для нее значение false. Обратитесь к руководству по отладке WordPress для получения списка всех параметров отладки.

Если по какой-то причине вам нужны журналы отладки WordPress на вашем жизненном веб-сайте, войдите в файл за пределами корня вашего веб-сервера (например, /var/log/wordpress/debug.log). Чтобы изменить па

define('WP_DEBUG_LOG', '/path/outside/of/webserver/root/debug.log');

Отключить XML-RPC

Спецификация WordPress XML-RPC была разработана для обеспечения связи между различными системами. Это означает, что практически любое приложение может взаимодействовать с WordPress. Спецификация WordPress XML-RPC исторически была важна для WordPress. Это позволяет ему взаимодействовать и интегрироваться с другими системами и программным обеспечением.

Хорошо, что XML-RPC был заменен WordPress REST API. Чтобы подчеркнуть некоторые проблемы безопасности, связанные с XML-RPC; его интерфейс был источником многочисленных уязвимостей безопасности на протяжении многих лет. Он также может быть использован злоумышленниками для перебора логинов, перебора паролей. или атаки типа «отказ в обслуживании» (DoS) с помощью pingback-запросов XML-RPC.

Поэтому, если вы активно не используете XML-RPC и не используете соответствующие меры безопасности, вам следует отключить его. Поскольку это легко достижимо без установки стороннего плагина, ниже мы расскажем, как это сделать.

Хотя вы можете просто настроить свой веб-сервер так, чтобы он блокировал доступ к /xmlrpc.php, предпочтительный способ сделать это — явно отключить XML-RPC с помощью встроенного фильтра WordPress. Просто добавьте следующее в файл плагина и активируйте его на своем сайте.

add_filter('xmlrpc_enabled', '__return_false');

Берегись

• Рекомендуется использовать плагин WordPress must use для этого и других подобных фрагментов кода.

Ограничить API REST WordPress

В том же духе, что и XML-RPC, WordPress API — это современный способ взаимодействия сторонних приложений с WordPress. Хотя его использование безопасно, рекомендуется ограничить некоторые функции в нем, чтобы предотвратить перечисление пользователей и другие потенциальные уязвимости. В отличие от XML-RPC, WordPress не предоставляет простого, собственного способа полностью отключить REST API ( ^раньше , но это устарело, поэтому лучше так больше не делать), однако вы можете ограничить его.

Как это обычно бывает с WordPress, для этого вы можете использовать плагин или добавить следующий фильтр в файл плагина и активировать его на своем сайте. Следующий код отключит WordPress REST API для всех, кто не вошел в систему, вернув неавторизованный код состояния HTTP (код состояния 401) с помощью хука WordPress rest_authentication_errors.

add_filter( 'rest_authentication_errors', function( $result ) {
if ( ! empty( $result ) ) {
return $result;
}
if ( ! is_user_logged_in() ) {
return new WP_Error( 'rest_not_logged_in', 'You are not currently logged in.', array( 'status' => 401 ) );
}
return $result;
});

Кроме того, WordPress REST API по умолчанию включает JSONP. JSONP — это старый метод обхода политики одного и того же источника браузера до того, как современные браузеры стали поддерживать CORS (совместное использование ресурсов из разных источников). Поскольку это потенциально может быть использовано злоумышленником в качестве шага в атаке, нет реальной причины для его включения. Рекомендуется отключить его с помощью фильтра WordPress rest_jsonp_enabled, используя следующий фрагмент кода PHP.

add_filter('rest_enabled', '__return_false');

Обратитесь к документации фильтра для получения дополнительной информации о нем.

Предотвратить раскрытие версии WordPress

Как и многие другие веб-приложения, WordPress по умолчанию раскрывает свою версию в ряде мест. Раскрытие версии не совсем является уязвимостью системы безопасности, однако эта информация очень полезна для злоумышленника при планировании атаки. В результате отключение функций раскрытия версии WordPress может немного затруднить атаку.

WordPress пропускает много информации о версии. К счастью, этот список GitHub предлагает полный список фильтров WordPress, которые можно отключить в виде плагина WordPress. Конечно, вы можете включить этот код в любые существующие плагины для конкретных сайтов или обязательные к использованию плагины, которые у вас уже есть.

Запретить перечисление пользователей WordPress

WordPress уязвим для ряда атак с перечислением пользователей. Такие атаки позволяют злоумышленнику выяснить, какие пользователи существуют независимо от того, существует пользователь или нет. Хотя это может показаться безобидным, имейте в виду, что злоумышленники могут использовать эту информацию как часть более крупной атаки. Для получения дополнительной информации по этой теме прочитайте, как перечислить пользователей WordPress с помощью WPScan.

Чтобы предотвратить перечисление пользователей WordPress, вам необходимо убедиться, что следующие функции WordPress отключены или ограничены.

• Ограничьте использование WordPress REST API для неавторизованных пользователей
• Отключить WordPress XML-RPC
• Не выставляйте /wp-admin и /wp-login.php напрямую в общедоступный Интернет.

Кроме того, вам также потребуется настроить веб-сервер, чтобы запретить доступ к /?author=<number>. Если вы используете Nginx, вы можете использовать следующую конфигурацию, чтобы предотвратить перечисление пользователей WordPress.

RewriteCond %{REQUEST_URI} ^/$
RewriteCond %{QUERY_STRING} ^/?author=([0-9]*)
RewriteRule .* - [R=403,L]

В качестве альтернативы, если вы используете HTTP-сервер Apache, вы можете использовать следующую конфигурацию, чтобы предотвратить перечисление пользователей WordPress.

if ( $query_string ~ "author=([0-9]*)" ) {
return 403;
}

Отключить редактор файлов WordPress

Одной из самых опасных функций WordPress является возможность редактировать файлы из самой панели управления WordPress. Не должно быть никаких законных причин, по которым любой пользователь должен это сделать, и, конечно же, не для ядра WordPress. Во всяком случае, вы хотите убедиться, что точно знаете, какие файлы были изменены, с помощью подключаемого модуля безопасности высококачественного контроля целостности файлов (FIM).

Чтобы получать уведомления об изменениях файлов, используйте плагин Website File Changes Monitor, который мы разрабатываем.

Любые изменения файлов на вашем веб-сайте должны происходить либо через безопасное соединение (например, SFTP), либо, что предпочтительнее, отслеживаться в репозитории контроля версий и развертываться с использованием CI/CD.

Чтобы отключить редактор файлов плагинов и тем на панели управления WordPress, просто добавьте следующее в файл wp-config.php.

define('DISALLOW_FILE_EDIT', true );

Отключить управление темами и плагинами

Хорошей практикой безопасности WordPress является отключение управления плагинами и темами с панели управления WordPress. Вместо этого используйте инструменты командной строки, такие как wp-cli, чтобы внести эти изменения.

Отключив изменения тем и плагинов, вы резко уменьшите поверхность атаки вашего веб-сайта WordPress. В этом случае, даже если злоумышленник успешно взломает учетную запись администратора, он не сможет загрузить вредоносный плагин для эскалации атаки за пределы доступа к панели инструментов WordPress.

Константа DISALLOW_FILE_MODS, определенная в wp-config.php, отключает обновления плагинов и тем и их установку через панель инструментов. Он также отключает все модификации файлов на панели инструментов, тем самым удаляя редактор тем и редактор плагинов.

Чтобы отключить модификацию тем и плагинов на панели управления WordPress, добавьте следующее в файл wp-config.php.

define('DISALLOW_FILE_MODS', true );

WordPress HTTPS (SSL/TLS)

Безопасность транспортного уровня (TLS) абсолютно необходима для вашей безопасности WordPress, она бесплатна и проста в настройке. Примечание. TLS — это протокол, пришедший на смену протоколу Secure Socket Layer, SSL. Однако, поскольку термин SSL очень популярен, многие до сих пор называют TLS SSL.

Когда вы посещаете свой веб-сайт через HTTPS (HTTP через TLS), HTTP-запросы и ответы не могут быть перехвачены и отслежены или, что еще хуже, изменены злоумышленником.

Хотя TLS больше связан с вашим веб-сервером или сетью доставки контента (CDN), чем с вашей установкой WordPress, одним из наиболее важных аспектов TLS (WordPress HTTPS) является его обеспечение. В Интернете есть много информации о том, как настроить WordPress HTTPS (SSL и TLS).

Если вам неудобно редактировать файлы конфигурации и вы предпочитаете переключаться на WordPress HTTPS с помощью плагина, вы можете использовать Really Simple SSL или WP Force SSL. Они оба очень хорошие и простые в использовании плагины.

Следующие шаги для еще более безопасного WordPress

Если вы зашли так далеко, отлично, но это не значит, что больше не нужно делать больше закалки. Ниже приведен ряд элементов, на которые вы можете обратить внимание, чтобы еще больше укрепить свой веб-сайт WordPress.

1. Укрепить PHP. Учитывая, что PHP является основным компонентом любого веб-сайта WordPress, укрепление безопасности PHP является одним из следующих логических шагов. Мы много писали об этом в статье «Лучшая настройка безопасности PHP для веб-сайтов WordPress».
2. Используйте авторитетные плагины безопасности. Качественные плагины безопасности предлагают расширенные функции безопасности, изначально не включенные в WordPress. Существует огромное количество плагинов безопасности WordPress. Тем не менее, обязательно выбирайте плагины с хорошей репутацией и в идеале те, для которых доступна премиальная или коммерческая поддержка, например, наши высококачественные плагины безопасности для WordPress.
3. Выполните аудит прав доступа к файлам. Для веб-сайтов WordPress, работающих на Linux, неправильные права доступа к файлам могут позволить неавторизованным пользователям получить доступ к потенциально конфиденциальным файлам. Для получения дополнительной информации по этому вопросу обратитесь к нашему руководству по настройке разрешений безопасного веб-сайта и веб-сервера WordPress.
4. Выполните аудит файлов резервных копий. Файлы резервных копий, случайно оставленные доступными, могут привести к утечке конфиденциальной информации. Это включает в себя конфигурацию, содержащую секреты, которые могут позволить злоумышленникам получить контроль над всей установкой WordPress.
5. Защитите свой веб-сервер
6. Закрепить MySQL
7. Добавьте необходимые заголовки безопасности HTTP
8. Убедитесь, что у вас есть работающая система резервного копирования WordPress.
9. Воспользуйтесь сервисом защиты от DDoS-атак
10. Внедрите политику безопасности контента
11. Управление открытыми резервными копиями и файлами без ссылок.

Заключение — это только первый шаг на пути к безопасности WordPress.

Поздравляем! Если вы следовали всем приведенным выше советам и применяли все рекомендуемые передовые методы обеспечения безопасности, ваш веб-сайт WordPress находится в безопасности. Однако безопасность WordPress — это не одноразовое решение, это постоянно развивающийся процесс. Существует большая разница между укреплением веб-сайта WordPress (однократное состояние) и обеспечением его безопасности в течение многих лет.

Повышение безопасности — это лишь один из четырех этапов процесса обеспечения безопасности WordPress (колесо безопасности WordPress). Для безопасного веб-сайта WordPress круглый год вы должны следовать итеративному процессу безопасности WordPress: тестирование > укрепление > мониторинг > улучшение. Вы должны постоянно тестировать и проверять состояние безопасности вашего веб-сайта WordPress, укреплять программное обеспечение, контролировать систему и улучшать свои настройки на основе того, что вы видите и узнаете. Например:

• такой инструмент, как WPScan, может помочь вам проверить состояние безопасности вашего веб-сайта WordPress.
• Брандмауэр WordPress может защитить ваш веб-сайт WordPress от вредоносных известных хакерских атак.
• журнал активности WordPress может помочь вам пройти долгий путь — ведя учет всех изменений, происходящих на вашем веб-сайте, вы можете улучшить учет пользователей, узнать, чем занимается каждый пользователь, а также следить за всеми скрытыми действиями.
• такие инструменты, как наши плагины безопасности и управления WordPress, могут помочь вам обеспечить безопасность паролей, усилить процесс безопасности WordPress, получать уведомления об изменениях файлов и многое другое.

У вас есть все необходимые инструменты для обеспечения безопасности вашего сайта. Даже если у вас небольшой веб-сайт WordPress, найдите время, чтобы постепенно изучить это руководство. Убедитесь, что в конечном итоге вы не потратите работу на создание отличного веб-сайта только для того, чтобы его взломала атака, нацеленная на WordPress.

Не существует такой вещи, как 100% эффективная защита. Тем не менее, вы значительно усложняете злоумышленнику возможность закрепиться и успешно атаковать ваш веб-сайт WordPress, применяя различные методы защиты, описанные в этом руководстве. Помните, что когда злоумышленники нацеливаются на свою следующую жертву, вам не нужно их перехитрить. Вам нужно только быть более безопасным, чем следующий уязвимый веб-сайт!