Безопасность WordPress: полное руководство по обеспечению безопасности сайта WordPress

Киберпреступность находится на рекордно высоком уровне: хакеры и вредоносное ПО бушуют в огромном онлайн-пространстве. Каждую неделю Google вносит в черный список более 20 000 веб-сайтов за наличие вредоносных программ и более 50 000 веб-сайтов как потенциальных фишинговых! Позвольте цифрам погрузиться на мгновение. Итак, для целей этого чтения мы составили подробное руководство, которое поможет вам улучшить безопасность WordPress.

Видите ли, если ваш веб-сайт не соответствует передовым методам обеспечения безопасности, вы покинете свой сайт и весь его контент, который будет взломан. Но на кону стоит не только ваш контент, поскольку незащищенные веб-сайты также наказываются алгоритмами поиска Google.

Хакеры и вредоносное ПО не только опасны для содержимого вашего веб-сайта, но и представляют угрозу для людей, посещающих ваш веб-сайт. Итак, если вы не соблюдаете основные принципы безопасности — что, кстати, очень просто сделать — Google понизит вас в поисковой выдаче (странице результатов поисковой системы).

К счастью, пользователи WordPress имеют доступ к специальным плагинам и ультра-интуитивному интерфейсу, который может значительно повысить безопасность WordPress. Итак, не заставляя вас больше ждать, вот наши 10+ лучших способов улучшить вашу безопасность WordPress:

10+ лучших способов повысить безопасность WordPress

1. Установите плагины резервного копирования

Концепция здесь довольно проста – лучше быть в безопасности сейчас, чем сожалеть потом!

Благодаря резервному копированию вашего онлайн-контента и базы данных все остается в безопасности даже в том случае, если вы станете жертвой хакеров и вредоносных программ. Это делает установку плагина резервного копирования первой главой безопасности WordPress 101 и ставит его на первое место в списке приоритетов.

Плагин резервного копирования, такой как наш плагин резервного копирования WPvivid, может выполнять автоматическое резервное копирование всего вашего веб-сайта WordPress, включая базу данных. Вы можете настроить его так, чтобы резервное копирование выполнялось еженедельно или ежедневно. Резервные копии данных обычно хранятся в отдельной платформе облачного хранилища — либо предоставленной самим плагином, либо среди различных уже существующих платформ, таких как Google Drive, Amazon S3, Dropbox и т. д.

Теперь, если позднее ваш сайт сломается из-за вредоносных программ или хакеров, все ваши данные останутся доступными, и вы сможете восстановить резервные копии своего сайта, чтобы вернуть его в прежнее рабочее состояние. Просто не забудьте скрыть уязвимости безопасности, которые хакеры или вредоносное ПО использовали для проникновения на ваш сайт, чтобы это не повторилось.

С учетом всего вышесказанного, если вы ищете какие-либо рекомендации относительно того, какой плагин резервного копирования в дополнение к нашему плагину резервного копирования WPvivid использовать для повышения безопасности вашего WordPress, то вот несколько вариантов:

• UpDraftPlus
• BackWPup

2. Установите плагин брандмауэра для мониторинга вашего сайта WordPress.

Подобно программному обеспечению брандмауэра, которое вы установили на своем настольном компьютере или ноутбуке, плагин брандмауэра будет отслеживать входящий трафик и блокировать распространенные угрозы безопасности на вашем веб-сайте WordPress.

Плагины обычно ссылаются на базу данных, состоящую из вредоносных сигнатур и IP-адресов из черного списка, чтобы сканировать потенциальные угрозы, поступающие на ваш сайт, и сразу же блокировать их.

Как видите, это так же просто, как установить плагин WordPress, но повышает безопасность вашего WordPress, предотвращая проникновение хакеров, вредоносных программ, червей и вирусов на ваш сайт.

3. Установите надежный пароль для входа администратора

Когда вы думаете об этом, получение доступа к вашей панели инструментов WordPress не так уж и важно. Общеизвестно, что добавление «/wp-admin» в конце URL-адреса сайта WordPress переводит пользователя на страницу входа в систему администратора. Здесь единственное, что ограничивает доступ к серверной части веб-сайта, — это просто угадывание имени пользователя и пароля.

Теперь, поскольку имя пользователя «admin» почти всегда связано с веб-сайтом WordPress, единственное, что нужно сделать хакеру, — это угадать пароль, после чего он получит прямой доступ ко всему содержимому и данным вашего веб-сайта. Страшно представить, не так ли?

Принимая все это во внимание, наиболее очевидное улучшение безопасности WordPress, которое вы можете использовать, — это сделать ваш пароль чрезвычайно сложным и трудным для расшифровки даже методом грубой силы. Это включает в себя создание более длинных паролей, состоящих не менее чем из 10-12 символов. Также не забывайте использовать в пароле заглавные буквы, строчные буквы, цифры и специальные символы.

И просто, чтобы вы не забыли это сами, запишите его где-нибудь, где вы знаете, что он будет безопасным и надежным.

4. Настройте имя пользователя администратора

Подобно изменению пароля для входа в систему администратора WordPress, вам также следует подумать об изменении легко предсказуемого имени пользователя по умолчанию — admin. Итак, теперь хакеру нужно расшифровать пароль вместе с правильным именем пользователя, чтобы получить доступ к серверной части вашего сайта, что экспоненциально повышает безопасность вашего WordPress.

Но с учетом сказанного изменить имя пользователя администратора по умолчанию довольно сложно. Во-первых, вам нужно войти в бэкэнд WordPress > Пользователь > Добавить нового пользователя , а затем создать нового пользователя (с новым именем пользователя) с установленной ролью пользователя — Администратор . После этого войдите в систему с новой учетной записью пользователя и удалите учетную запись пользователя «admin» по умолчанию, заставив хакеров расшифровать не только правильный пароль, но и ваше новое имя пользователя. В качестве альтернативы вы можете управлять и редактировать роли пользователей с помощью плагина редактора ролей пользователей.

5. Настройте URL-адрес входа

До сих пор мы говорили о том, как затруднить хакерам угадывание ваших учетных данных для входа в серверную часть WordPress. Но еще лучшей тактикой безопасности WordPress будет полный отказ хакерам в доступе к вашему экрану входа.

Как упоминалось ранее, URL-адрес по умолчанию для внутренней страницы входа на ваш веб-сайт включает URL-адрес вашего веб-сайта, за которым следует «/wp-admin». Однако знаете ли вы, что вы можете настроить последнюю часть URL-адреса для входа на веб-сайт на любую другую буквенно-цифровую строку, которую вы можете себе представить, например — «/zero-hackers-allowed».

Однако обратите внимание, что это не стандартная функция CMS (системы управления контентом), и вам нужно будет установить плагин WordPress, такой как WPS Hide Login , чтобы помочь вам. После установки и активации плагин позволит вам изменить URL-адрес входа, чтобы хакеры не могли легко получить доступ к странице wp-login.php и каталогу wp-admin.

К настоящему моменту мы не только усложнили хакерам подбор правильной комбинации пароля и имени пользователя для доступа к нашему сайту, но также эффективно скрыли страницу входа от посторонних глаз. Как вы можете себе представить, это резко повышает безопасность вашего WordPress и делает практически невозможными атаки грубой силы.

6. Установите надежный пароль для пользователя базы данных

Если на вашем веб-сайте есть несколько пользователей, некоторые из которых имеют прямой доступ к вашей базе данных или другой конфиденциальной информации, убедитесь, что они установили надежные пароли для своих учетных записей. Хакеры с одинаковой вероятностью попытаются проникнуть на ваш сайт, используя других пользователей вашего сайта. Имея это в виду, любой свободный конец является потенциальной уязвимостью и угрозой безопасности.

Вы можете сделать обязательным для пользователей назначать надежный пароль для своих учетных записей, выполнив шаги, упомянутые ранее. В качестве альтернативы вы можете использовать сторонние плагины, чтобы заставить пользователей создавать надежный пароль для завершения процесса создания учетной записи.

7. Включите SSL (HTTP на HTTPS)

SSL, сокращение от Secure Sockets Layer, — это стандартный протокол безопасности в Интернете, который создает зашифрованное соединение между клиентом и сервером. После активации вы заметите, что текст HTTP в начале вашего URL-адреса заменен на защищенный HTTPS или HTTP. Включив SSL-сертификат, вы усложните хакерам перехват данных во время их передачи между сервером и клиентом.

Google также очень серьезно относится к сертификации SSL. Например, веб-сайты, которые все еще используют HTTP, отображаются как «небезопасные» в браузере Google Chrome. Кроме того, они также наказываются алгоритмом своей поисковой системы. С другой стороны, HTTPS веб-сайтов с сертификацией SSL награждается поисковой системой. Поэтому мы поставили установку SSL в качестве первого шага для SEO нового блога WordPress.

Этих двух пунктов должно быть достаточно, чтобы установить SSL-сертификат на свой веб-сайт, особенно если вы считаете, что это не так уж и сложно. Во-первых, практически все популярные веб-хостинги включают SSL-сертификат бесплатно. И если вы не получили его бесплатно, вы можете легко сделать это с помощью Let's Encrypt .

У вас даже есть доступ к специальному плагину WordPress SSL — Really Simple SSL, чтобы превратить HTTP в HTTPS и повысить безопасность вашего WordPress.

8. Переместите wp-config в более высокий уровень, чем корневой каталог

По умолчанию файл wp-config.php находится в той же папке, что и ваш блог/веб-сайт WordPress. Это может быть кошмаром для безопасности, поскольку файл содержит имя пользователя базы данных MySQL, пароль, ключи аутентификации WordPress и другие конфиденциальные данные.

Если кто-то получит этот файл, то он, по сути, получит полный контроль над каждой мелочью вашего сайта. Вот почему даже кодекс WordPress рекомендует пользователям перемещать файл wp-config.php из корневого каталога по умолчанию в папку более высокого уровня, к которой нет общего доступа.

Этого легко добиться, включив следующий фрагмент кода в папку .htaccess:

 <файлы wp-config.php>

приказ разрешить, запретить

отрицать от всех

</файлы>

Как видите, это связано с работой с основными файлами вашего веб-сайта WordPress, поэтому рекомендуется сделать резервную копию, прежде чем переходить к этому шагу.

9. Запретить список каталогов с помощью .htaccess, если в папке нет файла index.php

Список каталогов, также известный как просмотр каталогов, позволяет любому пользователю просматривать содержимое отдельных папок (каталогов) на вашем веб-сайте. Как вы можете себе представить, это вызывает серьезные проблемы с безопасностью, поскольку хакеры могут без особых усилий просматривать все ваши файлы и находить потенциальные уязвимости для взлома вашего веб-сайта.

Теперь, в защиту WordPress CMS, некоторые каталоги содержат файлы index.php, которые сервер мгновенно запускает/загружает, когда кто-то входит в папку. Это не позволяет зрителям просматривать ваши каталоги и получать доступ к структуре вашего сайта.

Но что, если файла index.php нет?

Даже в этом случае проблемы можно легко решить, внеся небольшие изменения в файл .htaccess. Все, что вам нужно сделать, это просто добавить следующую строку в конец .htaccess и сохранить ее.

 Опции Все -Индексы

После этого, если пользователь попытается получить доступ к любому из ваших каталогов, в котором отсутствует файл index.php, он покажет пользователю ошибку 403 «доступ запрещен» или «404 страница не найдена».

10. Регулярно обновляйте WordPress

WordPress чрезвычайно популярен, на нем работает более 30% всех веб-сайтов во всемирной паутине. Это делает CMS главной целью хакеров и злоумышленников. Они всегда заняты поиском уязвимостей и лазеек в коде, которые они могут использовать для получения доступа к данным вашего сайта.

Аналогичным образом, команда разработчиков WordPress также активно ищет ошибки и бреши в системе безопасности, чтобы исправить их до того, как ими воспользуются хакеры. Таким образом, обновление до последней версии WordPress — это не просто доступ к новым функциям и функциям, но также проверка того, что в коде нет недостатков, которыми могут воспользоваться хакеры.

Теперь, когда выходит новое обновление WordPress, весь мир, включая хакеров, может узнать об уязвимостях безопасности, которые присутствовали в предыдущей версии. Если вы откладываете быстрое обновление своего сайта до последней версии, хакеры могут воспользоваться уже известными уязвимостями безопасности на вашем сайте, что сделает вашу безопасность WordPress намного слабее, чем раньше. Кроме того, поскольку WordPress построен на PHP, также важно обновить ваш сайт WordPress до последней версии PHP, чтобы повысить производительность и безопасность вашего сайта. Не забудьте сделать полную резервную копию вашего сайта перед любым обновлением!

11. Удалить номер версии WordPress

Хотя вы всегда должны обновлять свой веб-сайт WordPress, как только выходит новое обновление CMS, иногда это не лучшее решение, которое вы можете принять. Некоторые возможные причины задержки обновления сайта могут быть из-за ошибочного обновления, проблем совместимости с вашими текущими плагинами и темами и так далее.

Однако, как мы только что обсуждали, откладывание обновления открывает перед вами множество угроз безопасности и попыток взлома. Но этого можно избежать, если удалить номер версии WordPress со своего сайта. Вот почему хакеры не сразу узнают, что ваш сайт работает в более старой версии, что снижает ваши шансы на использование недавно обнаруженных недостатков безопасности.

Теперь, чтобы удалить номер версии WordPress с вашего веб-сайта, вам нужно перейти к файлу functions.php и ввести следующий фрагмент кода:

 функция remove_wordpress_version () {
возвращаться '';
}
add_filter('the_generator', 'remove_wordpress_version');

Это удалит номер версии WordPress как из вашего файла заголовка, так и из RSS-канала, чтобы хакеры не могли угадать, какую версию WordPress вы используете.

В заключение

Итак, это были некоторые из наших рекомендуемых советов и приемов для повышения безопасности вашего WordPress. Мы надеемся, что это чтение оказалось полезным для вас и помогло сделать ваш сайт более безопасным и защищенным.

Как видите, многие улучшения можно сделать, просто выполнив один или два основных шага и установив некоторые плагины безопасности. Теперь есть некоторые технические аспекты, о которых вы также должны позаботиться. Тем не менее, вам не нужно так сильно беспокоиться об этом, если вы только начинаете свой блог/веб-сайт WordPress.

Но поскольку ваш сайт продолжает расти, помните, что хакеры будут стараться изо всех сил взломать его и создать проблемы. Таким образом, всегда будьте в курсе последних тенденций в области безопасности, не говоря уже о рассмотрении всех технических шагов, описанных выше, таких как перемещение файла wp-config и пароля, защищающего вашу базу данных.

Учитывая все это, опытным пользователям рекомендуется присоединиться к разговору и добавить свои личные тактики, чтобы гарантировать, что их сайт свободен от хакеров и вредоносных программ. Ваши коллеги-читатели получат большую пользу от ваших идей, и это может помочь им защитить свой сайт от потенциальных киберугроз.

Если вам это тоже может быть интересно, вот наше подробное руководство о том, как монетизировать блог.