Аудит безопасности WordPress: 7 простых шагов для защиты вашего сайта

Опубликовано: 2020-07-06

Ваш сайт подвергается большему риску, чем вы думаете. Не волнуйтесь! Вы не одиноки в этой гонке. Большинство людей считают, что их веб-сайт безопасен, хотя на самом деле это не так.

Неудивительно, что ваш сайт WordPress может быть взломан из-за некоторых ваших распространенных ошибок. Это может произойти даже из-за того, что вы не обновили WordPress до более новой версии и упустили важную функцию безопасности.

Более 70% установок WordPress уязвимы для хакерских атак.

– WP Белая безопасность

Тем не менее, существуют эффективные способы устранения неизбежных угроз безопасности, постоянно нависающих над вашим сайтом. Как и в случае с постоянной угрозой, вам придется следить за своим сайтом, проводя регулярные проверки безопасности. Это может уберечь вас от множества потенциальных угроз, начиная от утечки данных и заканчивая программами-вымогателями.

В этой статье мы покажем несколько простых способов защитить ваш сайт от хакеров или любого нежелательного экземпляра.

Содержание

  • Что такое аудит безопасности WordPress?
  • Почему регулярный аудит безопасности важен для вашего сайта?
  • Проведение аудита безопасности WordPress
    • Выполнение аудита безопасности WordPress вручную
      • Проверьте наличие обновлений
      • Сохраняйте и проверяйте резервные копии WordPress
      • Оценить уязвимость учетной записи администратора
      • Проверить пользователей и аккаунты
      • Удалите ненужные плагины
      • Удалите неиспользуемые темы
      • Запустить проверку безопасности
    • Выполнение аудита безопасности WordPress с помощью плагинов
      • Журнал активности WP
      • Безопасность Wordfence

Что такое аудит безопасности WordPress?

How to Perform WordPress Security Audit

Ваш сайт может оказаться под угрозой по многим причинам. Например, устаревший плагин или тема могут быть использованы хакером. Или один из администраторов вашего веб-сайта мог установить слабый пароль, который может быть взломан посторонним лицом. Вот почему вам нужно иметь контрольный список, чтобы проверить все уязвимости безопасности, которые могут быть на вашем драгоценном веб-сайте WordPress.

Короче говоря, аудит безопасности WordPress — это операция по регулярной проверке вашего веб-сайта на наличие любых вредоносных действий или угроз безопасности.

Почему регулярный аудит безопасности важен для вашего сайта?

Люди часто не относятся серьезно к безопасности веб-сайтов. Большинство владельцев веб-сайтов считают, что WordPress достаточно способен позаботиться о безопасности всех веб-сайтов, созданных на его платформе. Другие, кажется, думают, что на их веб-сайте нет ничего особенного, ради чего стоило бы взламывать, так что кто будет взламывать их веб-сайт.

Hackers Can use Your Site in Many Ways
Хакеры могут использовать ваш сайт разными способами

Но хакеры не всегда взламывают веб-сайт, чтобы получить ваши данные. Когда ваш веб-сайт взломан, хакеры могут использовать его для многих вредоносных действий, таких как:

  • Майнинг криптовалюты
  • Хостинг фишинговых страниц
  • Отправка спам-писем
  • Для запуска собственных программ через ваш сайт
  • Просьба о выкупе, также известная как программа-вымогатель
  • Перенаправьте свой трафик на веб-сайты, которые могут поставить под угрозу их безопасность.

Итак, если вы считаете, что ваш веб-сайт безопасен, потому что на нем нет конфиденциальных данных, подумайте дважды!

Кроме того, хотя сам WordPress является очень безопасной платформой, он не может защитить ваш сайт, если его пользователи не будут сотрудничать с ними. По данным WordPress, только 41% пользователей используют последнюю версию платформы. Поскольку более новая версия поставляется с обновлениями безопасности наряду с другими функциями, более старые версии более подвержены нарушениям безопасности.

WordPress Versions in Use Right Now
Версии WordPress, используемые прямо сейчас (Источник: WordPress)

Принимая во внимание все вышеперечисленные факты, становится ясно, что безопасность вашего веб-сайта не является неуязвимой, если вы не проводите аудит сайта WordPress на регулярной основе.

Как провести аудит безопасности WordPress (7 простых шагов для ручного аудита)

Ваш веб-сайт может быть взломан по многим причинам, поэтому при проведении аудита безопасности вы не должны оставлять камня на камне. При проведении аудита безопасности всегда ведите плановый контрольный список, чтобы убедиться, что все потенциальные лазейки закрыты. Для вашего удобства я составил список вещей, которые вы должны проверить при проведении аудита безопасности.

Вы можете выполнить операцию как вручную, так и с помощью плагина аудита WordPress. Сначала я покажу вам ручной способ, а позже я расскажу о некоторых плагинах, которые вы можете использовать в качестве альтернативы для автоматического аудита безопасности.

Если вы не хотите использовать плагин, так как многие из них снижают скорость вашей страницы, вы можете вручную провести аудит безопасности на своем веб-сайте WordPress. Просто следуйте приведенным ниже инструкциям, чтобы убедиться, что ваш сайт находится на правильном пути.

1. Проверьте наличие последних обновлений

Постоянно обновляйте свой сайт — это один из лучших способов защитить его. Вы можете подумать, что обновления WordPress связаны с новыми функциями, и некоторые из них вам могут даже не понравиться. Но независимо от этого, вы должны проверять и устанавливать обновления при проведении аудита безопасности на вашем сайте.

Причина, по которой ваша версия WordPress обновляется, заключается в том, что более новая версия всегда поставляется с новыми исправлениями безопасности. Команда безопасности WordPress сотрудничает с ведущими экспертами по безопасности со всего мира, чтобы поддерживать платформу в целости и сохранности.

Вы можете проверить наличие обновлений WordPress в WP Admin Dashboard > Dashboard > Updates.

WordPress Updates


Наряду с обновлением WordPress вы также должны проверить, не ожидается ли какое-либо обновление для ваших плагинов и тем. Помните, что хакеры также могут использовать любую лазейку в ваших плагинах или темах, чтобы проникнуть на ваш сайт. Итак, я предлагаю вам регулярно проверять и обновлять все плагины и темы. Вы можете найти вариант обновления плагина и темы на той же странице, что и обновления WordPress.

2. Сохраняйте и проверяйте резервные копии WordPress

Регулярное резервное копирование вашего веб-сайта может пригодиться на случай, если ваш веб-сайт будет взломан или вы потеряете какие-либо данные из-за вредоносного ПО.

Качественные хостинг-провайдеры часто предоставляют услугу автоматического резервного копирования. Но даже если ваш хостинг-провайдер предоставляет услугу автоматического резервного копирования, вам следует установить качественный плагин резервного копирования для WordPress, чтобы обеспечить регулярное резервное копирование вашего сайта и всех ваших данных.

После установки плагина резервного копирования во время каждого аудита безопасности проверяйте, регулярно ли выполняется резервное копирование.

3. Оцените уязвимость учетной записи администратора

12345, 123456, 123456789, эти три были самыми популярными паролями в 2019 году. Список, составленный NordPass из 500 миллионов просочившихся в сеть паролей, ранжировал все популярные пароли, и 10 лучших из них представлены на изображении ниже.

Most Popular Password in 2019
Самый популярный пароль в 2019 году (Источник: NordPass)

Если один из ваших администраторов установит такой пароль, скорее всего, ваш сайт очень скоро подвергнется взлому. Выберите надежный пароль, предпочтительно тот, который предлагает WordPress. Если вы склонны что-то забывать, существует множество приложений для управления паролями для хранения ваших паролей.

Еще одна важная вещь, которую необходимо убедиться во время аудита безопасности, это то, что ни один администратор не установил имя пользователя admin . Это наиболее распространенное имя пользователя в WordPress, и его, безусловно, не следует использовать.

4. Проверьте пользователей и учетные записи

Если у вас есть форум или веб-сайт электронной коммерции, на котором пользователи должны зарегистрироваться, вам необходимо проверить, есть ли какие-либо подозрительные пользователи во время аудита безопасности. Вы можете найти список всех пользователей в WP Admin Dashboard > Users > All Users .

Но если у вас есть другие типы веб-сайтов и вам не нужны посетители для регистрации, я предлагаю вам отключить опцию «Любой может зарегистрироваться» в панели администратора WP> Общие> Любой может зарегистрироваться.

Turning Off Anyone Can Register Option


5. Удалите ненужные плагины

Установка большого количества плагинов на веб-сайт не только занимает место, но и представляет угрозу безопасности. Лучше удалить плагины, если они вам больше не нужны.

Removing Unnecessary Plugins


Старые плагины часто открывают уязвимости безопасности на вашем сайте. Их лучше вообще удалить, чем просто деактивировать.

6. Удалите неиспользуемые темы

При установке WordPress они упаковывают тему по умолчанию для запуска сайта. Но после этого мы все меняем нашу тему, как нам нравится. Иногда мы устанавливаем несколько тем WordPress, которые никогда не используем. Как и старые плагины, эти старые темы могут впоследствии вызвать проблемы. Просто в целях резервного копирования я обычно сохраняю только одну тему, кроме той, которую использую.

7. Запустите сканирование безопасности

Мы почти закончили. Пришло время провести окончательную проверку на вредоносное ПО с помощью подключаемого модуля безопасности. Существует множество плагинов безопасности для WordPress, которые помогут вам в этом.

После установки плагина безопасности на вашем сайте. Запустите полное сканирование и проверьте, нет ли на вашем сайте вредоносных программ. Выберите плагин, который также может обрабатывать попытки входа в систему методом грубой силы, чтобы предотвратить живые атаки на ваш сайт.

Как выполнить аудит безопасности WordPress с помощью плагинов

Если вы не хотите выполнять все задачи вручную, есть еще один способ выполнить необходимый аудит безопасности WordPress. Для веб-сайтов WordPress доступно несколько очень хороших плагинов безопасности, которые могут автоматически выполнять все задачи, упомянутые выше.

Журнал активности WP

wordpress security audit plugin

Журнал активности WP — один из самых популярных плагинов для аудита безопасности вашего сайта. Он отслеживает каждое изменение, сделанное на вашем сайте, и предупреждает о любых подозрительных действиях.

Вы можете проверить количество зарегистрированных пользователей, их активность, а также их IP-адреса. Вы можете ограничить количество попыток входа в систему, а также решить любую проблему на своем веб-сайте. В целом, это надежный плагин для передачи ваших обязанностей.

Безопасность Wordfence

wordpress security audit plugin

Wordfence Security — самый загружаемый плагин безопасности для WordPress за все время. Он имеет множество функций безопасности, которые наверняка защитят ваш сайт.

Wordfence Security имеет сканер вредоносных программ в режиме реального времени. Он может проверять основные файлы, темы и плагины на наличие вредоносных программ, неверных URL-адресов, бэкдоров, SEO-спама, вредоносных перенаправлений и внедрений кода.

Вы также можете отслеживать живой трафик с помощью этого плагина вместе с некоторыми другими полезными функциями.

Подведение итогов

WordPress — одна из самых безопасных платформ для создания вашего сайта. Если вы внимательно следите за распространенными лазейками в безопасности, взломать ваш сайт будет невозможно. Выполняя регулярные аудиты безопасности, вы можете легко отслеживать все уязвимости безопасности, которые могут быть на вашем веб-сайте.

Если вы настроены на безопасность своего веб-сайта и хотите узнать больше, вот еще один блог, чтобы узнать, что работает для безопасности WordPress.

Если у вас есть какие-либо вопросы относительно этого блога, оставьте комментарий ниже. Мы будем рады ответить на любые ваши вопросы.