Безопасность WordPress — полное пошаговое руководство (2020) — MalCare

Есть веская причина беспокоиться о безопасности вашего сайта. В отчетах говорится, что каждую минуту в день совершается более 90 000 попыток взлома веб-сайта WordPress.

Многие владельцы веб-сайтов могут подумать, что их веб-сайт слишком мал, чтобы привлечь внимание хакера. Правда в том, что, поскольку небольшие веб-сайты снисходительно относятся к безопасности, хакерам становится все легче взламывать небольшие веб-сайты.

Большой или маленький — каждый веб-сайт WordPress должен принимать меры безопасности.

К счастью, есть множество вещей, которые вы можете сделать, чтобы защитить свой сайт от хакеров и ботов. В этой статье мы покажем, какие именно шаги необходимо предпринять, чтобы обеспечить безопасность вашего веб-сайта.

[lwptoc skipHeadingLevel=”h1,h4,h5,h6″ skipHeadingText=”Заключительные мысли”]

Важность безопасности веб-сайта

WordPress — самая популярная в мире платформа для создания сайтов. Сейчас в Интернете насчитывается 75 миллионов веб-сайтов WordPress, и каждый день создаются сотни новых. Такая популярность имеет свою цену.

Чем больше людей используют его, тем привлекательнее он становится мишенью для хакеров. Windows — большая цель, чем операционная система Apple. Chrome является большей целью для эксплойтов, чем Firefox. Популярность привлекает больше внимания, как хорошего, так и плохого.

Ранее мы упоминали, что владельцы небольших веб-сайтов считают свои веб-сайты невосприимчивыми и не принимают необходимых мер предосторожности, что делает их идеальной мишенью.

Когда ваш веб-сайт взломан, хакеры используют веб-сайты для выполнения вредоносных действий. Они могут запускать более крупные атаки на другие сайты, рассылать спам-письма, хранить пиратское программное обеспечение, вставлять спам-ссылки, продавать нелегальные продукты, создавать партнерские ссылки с японским SEO-спамом и, помимо прочего.

И это конец проблемы. События могут быстро развиваться как снежный ком, и поисковые системы будут предоставлять пользователям вводящие в заблуждение предупреждения о сайтах и ​​могут занести ваш сайт в черный список. В отчетах говорится, что Google еженедельно помещает в черный список 50 000 веб-сайтов за фишинговые действия и около 20 000 веб-сайтов из-за вредоносных программ!

Кроме того, хостинг-провайдеры также могут приостановить действие вашей учетной записи. Это означает, что ваш веб-сайт будет недоступен в течение нескольких дней, что повлияет на ваш доход. Если вы слишком долго будете медлить с исправлением своего сайта, это нанесет непоправимый ущерб вашему бизнесу.

Мы все можем согласиться с тем, что принятие мер безопасности намного лучше, чем исправление взломанного веб-сайта WordPress.

Мы покажем вам, как вы можете защитить свой сайт, но перед этим мы хотим ответить на вопрос, который волнует многих наших читателей.

[Вернуться к началу ↑]

Но разве WordPress не безопасен?

Ядро WordPress защищено. У WordPress есть армия лучших разработчиков, неустанно работающих над обеспечением безопасности ядра WordPress. Они постоянно совершенствуют технологии и выпускают исправления и обновления для устранения любых сбоев или ошибок.

В ядре WordPress уже давно не было серьезных уязвимостей.

Несмотря на это, каждую минуту на сайтах WordPress совершается более 90 000 попыток взлома. И тому есть две основные причины.

Во-первых, WordPress — чрезвычайно популярная платформа. Около 75 миллионов веб-сайтов в Интернете построены на WordPress, что привлекает внимание хакерских групп со всего мира.

Еще одна причина — наличие уязвимых и устаревших тем и плагинов. Фактически, отчеты предполагают, что устаревшие темы и плагины являются основной причиной большего количества компрометаций WordPress.

(Psst — вы можете узнать больше об этом в нашей статье об обновлениях безопасности WordPress .)

Таким образом, несмотря на то, что ваш WordPress является безопасной платформой, существуют и другие факторы, которые могут привести к взлому веб-сайта. Следовательно, принятие следующих мер безопасности может иметь большое значение для сохранения ваших веб-сайтов WordPress.

[Вернуться к началу ↑]

[ss_click_to_tweet твит=”???? Если вы серьезно относитесь к своему веб-сайту, обратите внимание на рекомендации по безопасности WordPress. ????» содержание = "" стиль = "по умолчанию"]

Как защитить сайт WordPress?

Существует 15 различных мер безопасности, которые вы можете предпринять для защиты своего веб-сайта WordPress. Это:

1. Установите плагин безопасности WordPress
2. Делайте регулярные резервные копии
3. Используйте хорошую хостинговую компанию
4. Держите WordPress в актуальном состоянии
5. Используйте SSL-сертификат
6. Защитите свою страницу входа в WordPress
7. Настройте брандмауэр
8. Усильте свой сайт
9. Используйте принципы наименьших привилегий
10. Блокировка подозрительных IP-адресов
11. Внедрить блокировку страны
12. Скрыть версию WordPress
13. Проверить журнал действий
14. Используйте только адрес электронной почты для входа
15. Использовать HTTP-аутентификацию

Рассмотрим эти меры более подробно.

1. Установите плагин безопасности WordPress

Основными функциями подключаемого модуля или службы безопасности являются сканирование, очистка и защита. Несмотря на то, что существует множество плагинов безопасности WordPress на выбор, не все плагины эффективны. Некоторые могут предлагать множество функций, но они просто создают много шума. Опытный хакер может обойти такие плагины безопасности, чтобы взломать ваш сайт.

MalCare — один из лучших плагинов для проверки безопасности WordPress. Вот почему –

я. Сканер вредоносных программ MalCare

Сканер вредоносных программ WordPress требует ресурсов для запуска сканирования. Многие сканеры полагаются на ресурсы вашего веб-сервера, но это может снизить скорость вашего сайта.

Чтобы преодолеть эту проблему, MalCare использует ресурсы собственного сервера для сканирования вашего веб-сайта. Он передает файлы вашего веб-сайта на свой собственный сервер, а затем запускает там сканирование. Этот метод гарантирует, что ваш сайт останется незатронутым в процессе сканирования.

Многие сканеры ищут только существующие вредоносные программы, что означает, что они пропускают новые типы вредоносных программ. MalCare предназначен для выявления всех типов вредоносных программ, включая новые .

II. Удаление вредоносных программ MalCare

MalCare предлагает самый быстрый сервис по удалению вредоносных программ. Большинство служб безопасности WordPress предлагают очистку на основе тикетов. В этом случае, если ваш веб-сайт взломан, вам нужно будет подать заявку, оплатить сбор за удаление вредоносного ПО, а затем подождать, пока сотрудники службы безопасности очистят ваш сайт и свяжутся с вами. Этот процесс занимает много времени и включает в себя предоставление доступа к вашему сайту третьей стороне.

MalCare's Cleaner работает по-другому. После взлома время имеет существенное значение. Чем больше времени это займет, тем больше шансов, что Google внесет ваш сайт в черный список или веб-хосты приостановят работу вашего сайта. Вот почему MalCare предлагает мгновенное удаление вредоносных программ WordPress для очистки хакерского веб-сайта. Все, что вам нужно сделать, это нажать кнопку , расслабиться и позволить плагину очистить ваш сайт в течение нескольких минут.

III. Меры защиты WordPress от MalCare

Все меры, которые мы упоминали до сих пор — от использования брандмауэра до блокировки страны и усиления защиты вашего веб-сайта — это защитные меры, которые MalCare позволяет вам принять одним нажатием кнопки.

Как использовать MalCare?

• Чтобы использовать MalCare, вам необходимо сначала загрузить и установить плагин на свой веб-сайт.
• Затем добавьте свой сайт на панель инструментов MalCare. Плагин немедленно начнет сканирование вашего сайта. Если он обнаружит какие-либо вредоносные файлы на вашем веб-сайте, он сообщит вам об этом.
• Вы можете немедленно очистить свой сайт, используя кнопку автоматической очистки MalCare.

[Вернуться к началу ↑]

2. Делайте регулярные резервные копии

Резервные копии — ваша подушка безопасности. Если с вашим веб-сайтом что-то пойдет не так, вы можете восстановить его до нормального состояния, если у вас есть копия вашего веб-сайта.

Существует множество плагинов для резервного копирования. С огромным количеством доступных вариантов может быть очень легко получить услугу, которая не соответствует требованиям. Чтобы выбрать правильную службу резервного копирования, вам нужно знать, как выбрать плагин для резервного копирования.

Кроме того, просмотр плагинов резервного копирования будет трудоемким и дорогостоящим делом. К счастью, мы сравнили основные плагины для резервного копирования WordPress на рынке. Взгляните на лучшие плагины для резервного копирования WordPress.

[Вернуться к началу ↑]

3. Используйте хорошую хостинговую компанию

Двумя наиболее популярными хостинг-провайдерами являются виртуальный хостинг и управляемый хостинг.

Виртуальный хостинг популярен, потому что он дешевле. Это позволило миллионам людей по всему миру создать свой собственный веб-сайт без больших вложений. Но на виртуальном хостинге вы делите сервер с другими неизвестными веб-сайтами. И часто, когда один веб-сайт скомпрометирован, это влияет на другие веб-сайты на том же сервере. Следовательно, несмотря на свою популярность, провайдеры виртуального хостинга плохо подготовлены для того, чтобы справляться с угрожающими ситуациями.

Если вы можете позволить себе выделенный сервер, всегда выбирайте его. Он лучше справляется с обеспечением безопасности веб-сайта WordPress. Вы можете проверить, как веб-хостинг влияет на безопасность сайта.

Поскольку на выбор есть множество хостинг-провайдеров, мы провели сравнение лучших хостингов WordPress. Надеюсь, это поможет вам принять решение о том, какого поставщика веб-хостинга выбрать.

[Вернуться к началу ↑]

4. Поддерживайте веб-сайт WordPress в актуальном состоянии

Как и в любом другом программном обеспечении, в плагинах, темах и даже в ядре WordPress со временем появляются уязвимости.

Когда разработчики узнают об уязвимостях, они выпускают патч в виде обновления. Когда владельцы веб-сайтов не обновляют свой сайт, уязвимости остаются.

После выпуска патча разработчики объявляют причины обновления, что означает публичное объявление об уязвимости. Хакеры теперь знают об уязвимости в системе безопасности и о том, в какой версии она существует. Они понимают, что не каждый владелец веб-сайта сразу же обновит свой сайт, поэтому начинают искать веб-сайты, работающие на уязвимой версии. Этот временной разрыв дает им хорошие шансы на успешный взлом большого количества сайтов.

Например, статистика показывает, что более 80% веб-сайтов были взломаны, потому что они не обновлялись!

Вы должны регулярно обновлять свой сайт WordPress. Узнайте, как безопасно обновить свой сайт WordPress.

Вы можете заметить, что есть плагины и темы, которые давно не обновляются разработчиками. В большинстве случаев разработчики отказываются от программного обеспечения. Лучше всего удалить плагин или тему с вашего сайта и установить альтернативу.

[Вернуться к началу ↑]

5. Используйте SSL-сертификат

Быстро взгляните на URL-адрес этого веб-сайта.

Обратите внимание на замок? Эта блокировка означает, что сайт использует сертификат SSL. SSL — это безопасный уровень сокетов, который шифрует данные во время их передачи между браузером и веб-сайтом.

Почему? Потому что данные (например, данные кредитной карты), передаваемые из браузера посетителя на ваш сайт, могут быть перехвачены и украдены. Таким образом, даже если данные будут украдены, если они зашифрованы, хакеры не смогут их использовать.

Вот руководство, которое поможет вам установить SSL-сертификат на свой веб-сайт и перенести сайт WordPress с HTTP на HTTPS.

[Вернуться к началу ↑]

6. Защитите свою страницу входа в WordPress

Страница входа — одна из наиболее часто подвергаемых атакам частей сайта WordPress. Хакеры пытаются угадать учетные данные для входа и получить доступ к административной области WordPress, что даст им полный контроль над веб-сайтом. Следовательно, важно реализовать правильную защиту на странице входа в WordPress. Давайте рассмотрим различные методы, которые позволят вам защитить свою страницу входа и повысить безопасность входа в WordPress.

я. Используйте уникальное имя пользователя

Если ваше имя пользователя легко угадать, то хакеру нужно только выяснить пароль. На одну вещь меньше, и это значительно упрощает работу хакера.

Одним из наиболее распространенных имен пользователей WordPress является «admin». Еще несколько лет назад WordPress поощрял людей использовать «admin» в качестве имени пользователя. Хотя WordPress больше не предлагает «admin» автоматически, он по-прежнему широко используется. Следовательно, вы должны принять меры, чтобы ваши администраторы избегали использования «admin» в качестве имени пользователя вместе с этими часто используемыми именами пользователей.

Просмотр этого списка каждый раз, когда создается новая учетная запись пользователя, может иметь большое значение для обеспечения безопасности вашего WordPress. Более того, если кто-то из ваших существующих пользователей использует общие имена пользователей, скажите им изменить его. Вот руководство, которое они найдут полезным о том, как изменить имя пользователя WordPress?

II. Изменить отображаемое имя

Чтобы проникнуть на ваш сайт, хакеры просматривают ваш сайт и подбирают отображаемые имена. Они используют разные комбинации этих имен, чтобы попытаться войти в систему. Хакеры знают, что нередко иметь одно и то же имя пользователя и отображаемое имя. Например, если София Лоуренс является отображаемым именем, они могут попытаться войти в систему, используя в качестве имени пользователя sophialawrence , sophia.lawrence или sophia .

Итак, чтобы защитить свой сайт от этого, вы можете изменить отображаемое имя.

Перейдите в «Редактировать мой профиль» . А затем измените свой «Никнейм» . Сохраните обновление. Теперь выберите «Отображать имя публично как» . Появится раскрывающееся меню, в котором вы увидите новое отображаемое имя. Выберите его и сохраните настройку.

Хакеры неизбежно потерпят неудачу, если попытаются использовать отображаемое имя.

[Вернуться к началу ↑]

III. Предотвратить обнаружение имени пользователя

Помимо отображаемого имени, еще один метод, который можно использовать для обнаружения имени пользователя на вашем веб-сайте, — это WordPress Rest API. Это серьезная проблема безопасности WordPress. Эта основная функция WordPress, представленная в 2016 году, позволяет любому находить информацию о пользователях на вашем сайте. Все, что им нужно сделать, это запустить простой URL-адрес: example.com/wp-json/wp/v2/users .

Чтобы этого не произошло, используйте следующий фрагмент кода в файле functions.php. Он скроет список пользователей и выдаст ошибку 500, если вы попытаетесь снова запустить URL-адрес.

[php]
add_filter('остальные_конечные точки', функция($конечные точки){

если ( isset ($ endpoints ['/wp/v2/users'] ) ) {

unset($endpoints['/wp/v2/users']);

}

если ( isset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+) '] )) {

unset( $endpoints['/wp/v2/users/(?P&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;lt;id&amp ;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;amp;gt;[\\\\\\\\d]+)'] );

}

вернуть $конечные точки;

});
[/php]

Имя пользователя является одним из двух компонентов учетных данных для входа в систему. Давайте рассмотрим вторую составляющую — пароль, и попробуем разобраться, как защитить его от хакеров.

[Вернуться к началу ↑]

IV. Используйте надежные пароли

Любой пароль защитит мой сайт, разве этого недостаточно? Ответ — нет, потому что хакеры постоянно пытаются угадать пароли сайтов WordPress, чтобы взломать их.

Они используют технику, называемую атакой грубой силы, в которой они программируют ботов, чтобы они совершали миллионы попыток входа в систему, пытаясь угадать ваши учетные данные менее чем за несколько минут.

Если вы используете простой пароль, например Passw0rd123$ , бот взломает его за несколько попыток. Вот почему важно иметь уникальный и сложный пароль.

WordPress рекомендует пользователям автоматически генерировать надежные пароли, но вы все равно можете создать учетную запись, используя слабый пароль. Поэтому бремя использования надежных паролей ложится на ваши плечи.

Вы можете научить своих администраторов WordPress использовать надежные пароли. Рекомендации по установке надежного пароля следующие:

- Создавайте длинные пароли

Как правило, пароли, длина которых превышает 8–10 символов, считаются надежными и, как правило, их трудно взломать. Каждый символ, который вы добавляете в свой пароль, делает его более надежным. Однако за последние несколько лет технология взлома паролей значительно продвинулась вперед. Следовательно, многие сотрудники службы безопасности WordPress рекомендуют использовать парольные фразы длиной 15 символов.

• Длинный пароль: pd&&)xG56ZhLNrjl4jjNJ4#h (сложно запомнить)
• Длинная кодовая фраза: Его волк был белым, потому что ты ничего не знаешь, Джон Сноу (легко запомнить)

– Используйте комбинацию прописных, строчных и специальных символов.

При атаках методом грубой силы боты запрограммированы на выполнение процедур взлома паролей. Они следуют определенным инструкциям, например, пытаются угадать правильный пароль, придумывая комбинацию разных строчных букв («а», «б», «с» и т. д.). Использование простого пароля, такого как «testpass», означает, что они могут взломать пароль после нескольких попыток.

Следовательно, если вы используете комбинацию как строчных, так и прописных символов, им потребуется много времени, чтобы вычислить пароль. Однако действительно хорошо запрограммированный бот может перебирать несколько миллионов паролей каждую секунду. Таким образом, сочетание специальных символов, цифр, строчных и прописных букв в идеале должно сделать пароль непредсказуемым и трудным для взлома.

• Добавить заглавные буквы — TestPass
• Добавить цифру и символ – TestPass123$

– Избегайте использования общих слов и общеизвестных деталей.

Общие слова, такие как «тест», «администратор», «логин» — это общие слова, которые обычно используют пользователи WordPress. Это некоторые из паролей, которые боты пробуют в первую очередь, поэтому избегайте их использования. Согласно инфографике Splashdata, 25 наиболее часто используемых паролей:

• Общие виды спорта и интересы, такие как «бейсбол», «футбол», «Звездные войны», «Принцесса», «Соло» и т. д.
• Номера по порядку, такие как «87654321», «0123456» и т. д.
• Буквы в порядке , такие как «abc123» и т. д.

Хакеры, нацеленные на ваш веб-сайт, могут получить данные с вашего сайта и попробовать их. Например, если у вас есть веб-сайт, посвященный вашему любимому телешоу «Игра престолов», боты будут пробовать различные комбинации фраз, чтобы проникнуть на ваши сайты, такие как «GoThrones123» или «gameofthrones123». Чтобы этого не произошло, придумайте пароль, в котором не упоминается ничего, связанного с веб-сайтом.

Защита паролей сводит к минимуму вероятность нарушения безопасности. Но сложные пароли трудно запомнить, если у вас нет в рукаве нескольких хитростей.

[Вернуться к началу ↑]

v. Защита на основе CAPTCHA

Помимо использования уникальных имен пользователей и надежных паролей, использование CAPTCHA — еще один идеальный способ предотвратить атаки методом перебора на ваш сайт WordPress.

После определенного количества неудачных попыток входа в систему генерируется CAPTCHA, чтобы определить, является ли пользователь человеком или ботом. CAPTCHA спроектированы таким образом, чтобы их не читали боты. Следовательно, это препятствует атакам грубой силы, потому что боты не могут получить доступ к странице входа, пока они не решат CAPTCHA.

Плагины безопасности WordPress, такие как MalCare, генерируют CAPTCHA на основе изображений, которую может решить только реальный пользователь.

Разработанные для предотвращения взлома ваших учетных данных хакерскими ботами, CAPTCHA великолепны.

[Вернуться к началу ↑]

ви. Внедрение двухфакторной аутентификации

Вы замечали, как популярные сервисы, такие как Facebook и Gmail, аутентифицируют пользователей, когда они пытаются войти в систему? На смартфон, связанный с вашей учетной записью, отправляется код, который помогает подтвердить пользователя. Это известно как двухфакторная аутентификация.

WordPress не предлагает двухфакторную аутентификацию. Следовательно, чтобы реализовать это на своем сайте WordPress, вы можете следовать этому руководству о том, как добавить двухфакторную аутентификацию WordPress.

[Вернуться к началу ↑]

[ss_click_to_tweet tweet=»Каждый день взламываются сотни веб-сайтов. Примите меры предосторожности сегодня и защитите свой сайт от хакеров и ботов. ” содержание=”” стиль=”по умолчанию”]

7. Настройте брандмауэр

Некоторые из сотен посещений вашего веб-сайта являются вредоносными. Такие посетители приходят на ваш сайт с намерением найти уязвимости, которые они могут использовать, чтобы получить контроль над вашим сайтом.

Брандмауэр WordPress проверяет каждый запрос посетителя на ваш сайт. Независимо от того, какое устройство использует посетитель — настольный компьютер, смартфон, планшет, ноутбук — каждое устройство связано с IP-адресом. Если запрос поступает с подозрительного IP, посетитель блокируется, в противном случае ему будет разрешен вход и доступ к сайту. Хороший брандмауэр — это ваша первая линия защиты от вредоносного трафика.

Плагин брандмауэра WordPress, подобный тому, который предлагает MalCare, поставляется с расширенным брандмауэром, который обеспечивает лучшую безопасность. Он не только проверяет запросы трафика, сделанные на вашем сайте, но и записывает плохой трафик. Это означает, что когда он сталкивается с новым плохим IP-адресом, он сохраняет запись об этом. Если плохой IP-адрес снова попытается получить доступ к вашему веб-сайту, он будет немедленно заблокирован.

[Вернуться к началу ↑]

8. Усильте свой сайт

Мы определили некоторые общие области веб-сайта WordPress, которыми пользуются хакеры. Например, это может быть использование ваших ключей безопасности для доступа к вашему веб-сайту или установка вредоносных плагинов или тем на ваш веб-сайт. Чтобы защитить свой веб-сайт от хакеров, вам необходимо принять меры по укреплению вашего веб-сайта.

У нас есть руководство, которое поможет вам принять меры по усилению безопасности WordPress.

[Вернуться к началу ↑]

9. Используйте наименее привилегированные принципы

WordPress предлагает 6 пользовательских ролей WordPress по умолчанию: администратор, редактор, автор, участник, подписчик и суперадминистратор. Распределение этих ролей должно быть сделано тщательно. Каждая роль имеет свой собственный набор полномочий и обязанностей. Давайте посмотрим на них:

Администратор находится на вершине иерархии. Он имеет полный контроль над веб-сайтом и может выполнять следующие функции:

• Создание, редактирование и удаление контента
• Редактировать код плагинов и тем
• Управление всеми плагинами и темами
• Создание, изменение и удаление учетных записей пользователей

Права уменьшаются по мере продвижения вниз по иерархии. Редактор не может вносить серьезные изменения, но он может управлять категориями и ссылками, модерировать комментарии, создавать, редактировать и удалять публикации и страницы. Автор, участник и подписчик имеют меньше разрешений.

Самая высокая ответственность - это Администратор, права на который должны быть предоставлены людям, в которых вы уверены, что они не будут злоупотреблять властью.

Если доступ администратора получат не те люди, они могут воспользоваться этой ролью. Они могут устанавливать мошеннические плагины и темы, красть ваши данные и продавать их по цене, хранить незаконные файлы и папки, среди прочего.

[Вернуться к началу ↑]

10. Блокировка подозрительных IP-адресов

Если на вашем веб-сайте установлен плагин безопасности WordPress, такой как MalCare, просмотрите журнал IP-адресов, которые безуспешно пытались войти в систему.

Обратите внимание, что некоторые из них могут использовать общие имена пользователей (мы говорили об этом в разделе «Использование уникального имени пользователя»), например «adm2016». Это изображение ниже представляет собой запись неудачных попыток входа в систему на одном из наших веб-сайтов.

Чтобы заблокировать эти вредоносные IP-адреса, поместите код в свой файл .htaccess:

[php]
порядок разрешить, запретить

отклонить от 61.134.52.164

разрешить от всех
[/php]

Замените «61.134.52.164» IP-адресом, который вы хотите заблокировать, и сохраните файл.

[Вернуться к началу ↑]

11. Внедрите блокировку страны

Всемирная паутина дает хакерам доступ к веб-сайтам по всему миру. Они могут быть расположены в России, ориентируясь на веб-сайт из Нью-Йорка.

Статистика показывает, что в первую пятерку стран, где происходят попытки взлома, входят Китай, США, Турция, Бразилия и Россия.

Если у вас установлен MalCare, легко проверить пользователей, которые пытаются войти на ваш сайт. Вы можете увидеть их страну происхождения.

Если у вас есть пользователи, находящиеся только в США, то попытки входа из других стран, скорее всего, являются вредоносными.

На изображении выше мы видим, что попытки входа в систему были предприняты из четырех разных стран — США, Великобритании, России и Китая.

Теперь, если вы ориентируетесь только на определенные страны, такие как США, вам не нужен трафик из других стран, поэтому вы можете заблокировать Великобританию, Россию и Китай.

Чтобы узнать, как реализовать блокировку страны, воспользуйтесь этим руководством Как заблокировать страну в WordPress?

[Вернуться к началу ↑]

12. Скрыть версию WordPress

Еще один способ, которым хакер может узнать, есть ли у вас файлы с известными уязвимостями WordPress, — это посмотреть версию WordPress, которую вы используете. Иногда владельцы веб-сайтов пропускают новые обновления WordPress, которые делают их сайт уязвимым.

Хакеры могут использовать любую уязвимость, которая могла существовать в предыдущей версии базовой установки WordPress. Следовательно, скрытие версии WordPress, которую вы используете, может быть полезным.

Для этого нужно поместить код в файл function.php.

Шаг 1: Войдите в свою учетную запись хоста. Откройте cPanel > Диспетчер файлов > public_html.

Шаг 2: В папке public_html откройте wp-content и выберите папку вашей активной темы.

Например, если вы используете тему WordPress по умолчанию «Двадцать девятнадцать», выберите папку с названием «двадцать девятнадцать».

Обратите внимание, что «personalblogily» — это тема, которую мы в настоящее время используем на наших веб-сайтах, вы можете использовать другую тему.

Шаг 3: Щелкните правой кнопкой мыши файл function.php и выберите «Изменить». Здесь поместите следующий код.

[php]
функция wpbeginner_remove_version () {

возвращаться ";

}

add_filter('the_generator', 'wpbeginner_remove_version');
[/php]

Сохраните файл, и это удалит номер версии WordPress, который не будет отображаться где-либо на вашем сайте.

[Вернуться к началу ↑]

13. Проверьте журнал активности

Бдительное наблюдение за всем, что происходит на вашем веб-сайте WordPress, позволяет выявить подозрительное поведение на ранней стадии. Это поможет вам предотвратить любые возможные вредоносные хакерские атаки до того, как они действительно произойдут и нанесут ущерб вашему веб-сайту WordPress.

Вы можете сделать это, установив плагин, чтобы вести учет всего, что происходит на вашем веб-сайте WordPress, в журнале активности WordPress. Есть несколько различных плагинов, которые вы можете выбрать. WP Security Audit Log — один из таких плагинов.

14. Используйте только адрес электронной почты для входа

На странице входа в WordPress вы можете использовать свое имя пользователя или идентификатор электронной почты для входа в систему. Следовательно, отключение использования имени пользователя может помешать хакерам выполнять атаки методом грубой силы на ваш веб-сайт.

Существуют плагины, такие как No Login by Email Address, которые позволяют предотвратить использование имен пользователей для входа на ваш сайт.

[Вернуться к началу ↑]

15. Используйте HTTP-аутентификацию

HTTP-аутентификация предлагает уровень защиты страницы входа в WordPress и является важным шагом на пути к безопасности WordPress. Чтобы получить доступ к странице, пользователю необходимо ввести учетные данные HTTP. Без этого им не будет разрешен доступ к странице входа на ваш сайт.

Плагины, такие как HTTP Auth, помогают установить этот защитный слой на вашей странице входа. Не забудьте поделиться учетными данными HTTP-аутентификации со своими пользователями. В противном случае они окажутся заблокированными и не смогут войти на ваш сайт.

На этом мы подошли к концу расширенных мер безопасности для веб-сайтов WordPress.

[Вернуться к началу ↑]

Распространенные, но устаревшие меры безопасности WordPress

В мире безопасности WordPress есть много советов, которые обычно получают владельцы сайтов. Но некоторые из этих советов не очень эффективны. Мы собираемся перечислить некоторые из распространенных советов по безопасности, которые имеют серьезные недостатки. Эти меры на самом деле не защищают ваш веб-сайт, поскольку хакеры нашли способы обойти эти меры.

1. Скрыть страницу входа в WordPress
2. Установить срок действия паролей
3. Автоматический выход из системы при отсутствии активности

1. Скрыть страницу входа в WordPress

Хакеры редко атакуют отдельные веб-сайты. Они программируют автоматических ботов для запуска атак на страницы входа в WordPress. Любой, кто использовал WordPress достаточно долго, знает, что веб-сайты WordPress имеют URL-адрес страницы входа по умолчанию, который выглядит следующим образом: « example.com/wp-admin» .

Это значительно упрощает работу автоматизированных ботов. Следовательно, изменение страницы входа на веб-сайт на что-то вроде «example.com/wrongpage» может отразить надвигающуюся атаку.

Существует несколько плагинов, таких как WPS Hide Login, Hide WP-Admin и т. д., которые могут помочь вам скрыть страницу входа в WordPress.

Недостаток: хотя это может легко предотвратить попытки автоматического взлома, это не гарантирует, что ваш сайт будет в безопасности. В основном это связано с тем, что такие инструменты, как WPS Hide Login, предлагают URL-адрес для входа по умолчанию. Таким образом, сотни тысяч веб-сайтов, использующих этот инструмент, используют один и тот же URL-адрес для своей страницы входа. Хакеры могут легко узнать формат URL и начать атаки.

Кроме того, скрытие страницы входа без надлежащего информирования всех пользователей может оказаться очень неудобным. Это может стоить вам даже рабочего дня.

[Вернуться к началу ↑]

2. Установите срок действия паролей

Вы наверняка замечали, что в сервисах электронного банкинга вас просят сменить пароль по истечении определенного периода времени. Это мера безопасности, которая гарантирует, что в случае взлома вашей учетной записи хакер получит только ограниченное время для использования вашей учетной записи. Применение той же меры на ваших веб-сайтах WordPress снижает ущерб.

Используя плагин Expire Passwords, вы можете установить срок действия паролей пользователей через определенное количество дней. Все пользователи вынуждены обновлять свои пароли.

Недостаток: эта мера обеспечивает некоторый уровень безопасности, но хакеры находят способы превзойти ее. Например, взламывая ваш сайт, они создают новые учетные записи пользователей или устанавливают скрытые бэкдоры. Таким образом, даже если вы регулярно меняете свой пароль, они уже создали другие точки доступа.

[Вернуться к началу ↑]

3. Автоматический выход из системы при отсутствии активности

Для веб-сайтов с несколькими пользователями высока вероятность злоупотребления правами пользователей. Это еще выше для пользователей, которые работают удаленно. Пользователю, возможно, придется покинуть свой рабочий стол, чтобы заняться срочными делами, и забыть выйти из системы.

Что делать, если кто-то злоупотребляет веб-сайтом в это время? Чтобы снизить риск такого злоупотребления, вы можете настроить свой веб-сайт WordPress для автоматического выхода пользователей из системы, если они неактивны в течение длительного периода времени.

Плагин Inactive Logout предлагает функцию выхода из Idle Session. Это позволяет установить приемлемый период бездействия, например 10 или 20 минут, после которого пользователь автоматически выходит из системы.

Недостаток: но есть вероятность, что если кто-то захочет покопаться в вашем сайте, он сделает это сразу после того, как пользователь покинет его. В подобных случаях выход бездействующих пользователей не может предотвратить злоупотребление правами пользователей.

[Вернуться к началу ↑]

[ss_click_to_tweet tweet=»Беспокоитесь о безопасности своего сайта? ???? Примите эти действенные меры, чтобы защитить свой веб-сайт от уязвимостей системы безопасности». содержание = "" стиль = "по умолчанию"]

Последние мысли

Мы знаем, что это было действительно долгое чтение и немного ошеломляющее. Но прежде чем вы отправитесь вздремнуть, вот что мы предлагаем вам сделать:

• Добавьте эту статью в закладки.
• Поделитесь им с друзьями и соседями — всем, кому, по вашему мнению, будет полезно следовать нашему руководству.
• Ознакомьтесь с дополнительными руководствами, такими как «Защитите свой сайт WordPress с помощью wp-config.php», в нашем блоге WordPress.

Мы искренне надеемся, что эта статья оказалась для вас полезной. Мы хотим оставить вас с одной последней мыслью — принятие всех этих мер безопасности может быть очень сложным, поэтому мы предлагаем проводить регулярные аудиты безопасности WordPress и выбрать премиальный плагин безопасности WordPress, такой как MalCare, который будет обеспечивать безопасность для вас.

С MalCare у вас будет доступ к отличным функциям безопасности, таким как брандмауэр, регулярное сканирование на наличие вредоносных программ, защита WordPress и многое другое. Вы можете быть спокойны, зная, что о безопасности вашего сайта позаботятся.

Попробуйте наш плагин безопасности WordPress — MalCare прямо сейчас!