Безопасность WordPress: лучшие способы защитить сайт WordPress в 2022 году

Опубликовано: 2022-03-09

Безопасность WordPress является серьезной проблемой для всех владельцев веб-сайтов. Каждый день Google добавляет в черный список более 10 000 веб-сайтов на предмет наличия вредоносных программ, а каждую неделю — 50 000 веб-сайтов на предмет фишинга.

Если вы беспокоитесь о безопасности своего веб-сайта, вам следует следовать рекомендациям по обеспечению безопасности WordPress.

В этом посте мы рассмотрим все лучшие способы безопасности WordPress, которые помогут вам защитить ваш сайт от хакеров и вредоносных программ.

Хотя основное программное обеспечение WordPress достаточно безопасно, и сотни разработчиков регулярно проверяют его, вы все еще можете многое сделать для обеспечения безопасности своего сайта.

Как владелец веб-сайта, вы можете сделать несколько вещей, чтобы улучшить безопасность WordPress.

Есть несколько практических шагов, которые вы можете предпринять, чтобы защитить свой сайт WordPress от уязвимостей безопасности.

Давайте начнем.

Почему важна безопасность веб-сайта WordPress?

Взломанный веб-сайт WordPress может нанести значительный ущерб доходам и репутации вашего бизнеса. Хакеры могут украсть пароли к информации пользователей, установить вредоносное программное обеспечение и даже заразить ваших пользователей вредоносными программами.

Хуже того, вас могут заставить заплатить хакерам программы-вымогатели, чтобы восстановить доступ к вашему сайту.

В марте 2016 года Google объявил, что более 50 миллионов посетителей Интернета были уведомлены о том, что посещаемый ими веб-сайт может содержать вредоносное ПО или украсть информацию.

Кроме того, каждый день Google добавляет в черный список более 10 000 веб-сайтов на предмет наличия вредоносных программ и около 50 000 веб-сайтов на предмет фишинга.

Если вы используете бизнес-сайт, вам следует уделить особое внимание безопасности WordPress.

Наиболее распространенные проблемы безопасности WordPress

Наиболее распространенные уязвимости безопасности WordPress возникают до или вскоре после взлома вашего сайта. Хакер стремится получить несанкционированный доступ администратора к вашему сайту WordPress либо через внешний интерфейс (ваша панель управления WordPress), либо со стороны сервера (вставка скриптов или вредоносных файлов).

Ниже приведены пять основных проблем безопасности WordPress, о которых вам следует знать:

1. Атаки грубой силы

Атаки грубой силы WordPress относятся к процессу многократного ввода различных комбинаций имени пользователя и пароля до тех пор, пока не будет найдена успешная комбинация. Подход грубой силы использует самый простой способ доступа к вашему веб-сайту: вашу страницу входа в WordPress.

По умолчанию WordPress не ограничивает количество попыток входа в систему. Таким образом, боты могут использовать метод грубой силы для атаки на вашу страницу входа в WordPress. Даже если атака грубой силы не удалась, она все равно может вызвать хаос на вашем сервере, перегрузив вашу систему и замедлив работу вашего веб-сайта.

2. Межсайтовый скриптинг (XSS)

Атаки с использованием межсайтового скриптинга (XSS) составляют 54,4% всех уязвимостей безопасности WordPress, выявленных в 2021 году. Наиболее распространенной уязвимостью, обнаруживаемой в плагинах WordPress, является межсайтовый скриптинг.

Основной метод межсайтового скриптинга заключается в следующем: злоумышленник находит способ убедить жертву загрузить уязвимые скрипты javascript на свои веб-страницы. Эти сценарии загружаются без ведома посетителей, а затем используются для кражи информации из их браузеров. Захваченная форма, которая, как кажется, находится на вашем веб-сайте, является примером атаки с использованием межсайтовых сценариев. Если пользователь заполняет форму, XSS примет его информацию.

3. Эксплойты с включением файлов

После атак грубой силы наиболее распространенной уязвимостью безопасности, используемой злоумышленниками, являются слабые места в PHP-коде вашего веб-сайта WordPress.

Уязвимости включения файлов возникают, когда уязвимый код используется для загрузки внешних файлов, что позволяет злоумышленникам получить доступ к вашему веб-сайту. Атака с включением файлов — один из самых популярных способов получения злоумышленником доступа к файлу wp-config.php вашего веб-сайта WordPress, который является одним из наиболее важных файлов в вашей установке WordPress.

4. SQL-инъекции

База данных MySQL используется для запуска вашего сайта WordPress. SQL-инъекции происходят, когда злоумышленник получает доступ к вашей базе данных WordPress, а также ко всем данным на вашем сайте.

Злоумышленник может создать новую учетную запись пользователя уровня администратора с помощью SQL-инъекции, которую затем можно использовать для входа в систему и получения полного контроля над вашим веб-сайтом WordPress. SQL-инъекции также могут использоваться для ввода новых данных, таких как ссылки на вредоносные или спам-сайты, в вашу базу данных.

5. Вредоносное ПО

Вредоносное ПО — это код, используемый для получения несанкционированного доступа к веб-сайту для сбора конфиденциальной информации. Взломанный сайт WordPress обычно указывает на то, что в файлы вашего сайта было помещено вредоносное ПО; поэтому проверьте недавно измененные файлы, если вы подозреваете наличие вредоносного ПО на своем сайте.

Несмотря на то, что в Интернете существуют различные типы атак вредоносных программ, WordPress не уязвим для всех из них. Ниже приведены четыре наиболее распространенных вредоносных программы для WordPress:

  • Бэкдоры
  • Попутные загрузки
  • Фарма хаки
  • Вредоносные перенаправления

Каждая из этих форм вредоносных программ может быть легко идентифицирована и удалена путем удаления вредоносного файла вручную, установки новой версии WordPress или восстановления вашего сайта WordPress из предыдущей незараженной резервной копии.

Руководство по безопасности WordPress 2022

Реализации только одной или двух мер безопасности WordPress будет недостаточно для обеспечения безопасности вашего сайта WordPress. Вот несколько лучших способов защитить сайты WordPress в 2022 году.

1. Регулярно обновляйте версию WordPress

WordPress регулярно предоставляет обновления программного обеспечения для повышения скорости и безопасности. Эти обновления также помогают защитить ваш сайт от кибератак.

Один из самых простых способов повысить безопасность WordPress — обновить версию WordPress. Однако более половины всех сайтов WordPress используют более старую версию программного обеспечения, что делает их более уязвимыми.

Чтобы узнать, установлена ​​ли у вас самая последняя версия WordPress, перейдите в Панель инструментов -> Обновления в левой панели меню в области администрирования WordPress. Если он показывает, что ваша версия устарела, мы предлагаем вам обновить ее как можно скорее.

2. Используйте надежный пароль

Одна из самых основных ошибок, которую совершают пользователи, — это использование легко угадываемых имен пользователей, таких как «admin», «administrator» или «test». В результате ваш сайт более уязвим для атак грубой силы. Кроме того, злоумышленники используют этот метод для атак на сайты WordPress со слабыми паролями.

Поэтому мы рекомендуем сделать ваше имя пользователя и пароль более сложными и уникальными.

Если вам нужна помощь в создании надежного пароля, воспользуйтесь онлайн-инструментами, такими как LastPass и 1Password. Их службы управления паролями также могут использоваться для безопасного хранения надежных паролей. Вам не придется запоминать их таким образом.

Также очень важно проверить сеть перед входом в систему, чтобы обеспечить безопасность вашего сайта. Если вы по ошибке связаны с Hotspot Honeypot , управляемой хакерами сетью, вы рискуете раскрыть свои данные для входа операторам.

Даже общедоступные сети, такие как Wi-Fi в школьных библиотеках , могут быть не такими безопасными, как кажутся. Хакеры могут перехватить ваше соединение и украсть незашифрованные данные, например пароли для входа.

В результате всякий раз, когда вы подключаетесь к общедоступной сети, мы рекомендуем использовать VPN . Он шифрует соединение, что затрудняет перехват данных и защищает вашу онлайн-активность.

3. Инвестируйте в безопасный хостинг WordPress

Ваш хостинг WordPress является наиболее важным аспектом безопасности вашего сайта WordPress. Отличные службы виртуального хостинга, такие как Bluehost или Siteground, сделают все возможное, чтобы защитить свои серверы от распространенных угроз.

Вот как хороший хостинг-провайдер защищает ваши веб-сайты и данные в фоновом режиме.

  • Они следят за своей сетью на предмет любой подозрительной активности.
  • У всех хороших хостинговых компаний есть системы для предотвращения крупномасштабных атак DDOS.
  • Чтобы хакеры не использовали известную уязвимость безопасности в более старой версии, они поддерживают свое серверное программное обеспечение, версии PHP и аппаратное обеспечение в актуальном состоянии.
  • У них есть планы аварийного восстановления и аварийного восстановления, которые готовы к развертыванию, что позволяет защитить ваши данные в случае крупной аварии.

Когда вы выбираете план виртуального хостинга, вы будете делиться ресурсами сервера со многими другими людьми. Это увеличивает риск межсайтового заражения, которое происходит, когда хакер использует соседний сайт для атаки на ваш сайт.

Использование управляемого хостинг-провайдера WordPress гарантирует, что ваш сайт будет более безопасным. Управляемые хостинговые компании WordPress включают автоматическое резервное копирование, автоматические обновления WordPress и более расширенные настройки безопасности для защиты вашего веб-сайта.

4. Регулярно создавайте резервные копии WordPress

Резервные копии — это ваша первая линия безопасности в случае атаки на WordPress.

Резервные копии позволяют легко восстановить сайт WordPress, если что-то пойдет не так.

Существует множество бесплатных и премиальных плагинов для резервного копирования WordPress, которые вы можете использовать. Самое важное, что нужно помнить о резервных копиях, это то, что вы должны регулярно сохранять полные резервные копии сайта в удаленном месте (не в своей учетной записи хостинга).

Мы рекомендуем использовать облачного провайдера, такого как Amazon, Dropbox, или частные облака, такие как Stash, для его хранения.

В зависимости от того, как часто вы обновляете свой веб-сайт, идеальным вариантом может быть либо один раз в день, либо резервное копирование в режиме реального времени.

К счастью, такие плагины, как UpdraftPlus, упрощают эту задачу. Это также обязательный плагин для веб-сайтов WordPress. UpdraftPlus надежен и, самое главное, прост в использовании (кодирование не требуется).

5. Используйте плагины безопасности WordPress

Атаки вредоносных программ на сайты WordPress довольно распространены. Если вы не отслеживаете вручную исходный код своего веб-сайта, вы можете даже не знать, что ваш код заражен.

К сожалению, вам нужно знать, как кодировать, чтобы понять это. Однако есть способ лучше и проще. Плагины безопасности WordPress предназначены для обнаружения и удаления вредоносного кода и вирусов с вашего сайта.

Самое приятное то, что они работают круглосуточно, и вам не придется ничего делать. Sucuri и Wordfence — два самых популярных плагина безопасности WordPress.

6. Включите брандмауэр веб-приложений (WAF)

Лучший способ защитить свой сайт и быть уверенным в безопасности WordPress — использовать брандмауэр веб-приложений (WAF).

Брандмауэр веб-сайта блокирует весь вредоносный трафик до того, как он попадет на ваш сайт.

Брандмауэр веб-сайта на уровне DNS . Эти брандмауэры фильтруют трафик вашего веб-сайта через облачные прокси-серверы. В результате они могут доставлять только настоящий трафик на ваш веб-сервер.

Брандмауэр уровня приложения — эти плагины брандмауэра проверяют трафик, как только он достигает вашего сервера, но до загрузки большинства скриптов WordPress. С точки зрения минимизации нагрузки на сервер это решение не так эффективно, как межсетевой экран уровня DNS.

Для этого вы можете использовать Sucuri как лучший брандмауэр веб-приложений для WordPress.

Лучшей особенностью брандмауэра Sucuri является то, что он включает в себя гарантию очистки от вредоносных программ и удаления из черного списка. По сути, если ваш сайт взломан во время его мониторинга, они гарантируют, что исправят это.

7. Установите SSL-сертификат

SSL — это протокол передачи данных, который шифрует данные, пересылаемые между веб-сайтом и его посетителями, что затрудняет кражу конфиденциальной информации хакерами.

SSL-сертификаты также улучшают поисковую оптимизацию веб-сайта (SEO), что помогает ему привлекать больше посетителей.

Веб-сайты с SSL-сертификатом будут использовать HTTPS вместо HTTP, что упрощает их идентификацию.

Начать использовать SSL для всех ваших веб-сайтов WordPress теперь проще, чем когда-либо. Многие хостинговые компании теперь предоставляют бесплатный SSL-сертификат для вашего сайта WordPress.

8. Измените имя пользователя по умолчанию «admin»

Имя пользователя по умолчанию в WordPress — admin, и многие владельцы веб-сайтов никогда не меняют его.

В результате, когда хакеры начнут атаку на ваш сайт, первое имя пользователя, которое они попробуют, будет admin. Если это имя известно, им остается только угадать пароль.

В результате вам следует избегать использования этого имени пользователя для вашего сайта WordPress.

9. Ограничьте количество попыток входа

WordPress позволяет пользователям пытаться войти на сайт бесконечное количество раз. Тем не менее, это хороший знак для хакеров, которые пытаются взломать систему, пробуя несколько комбинаций паролей, пока не найдут правильную.

Чтобы избежать таких атак на веб-сайт, очень важно установить ограничение на неудачные попытки входа в систему. Ограничение неудачных попыток также может помочь в обнаружении любой подозрительной активности на вашем веб-сайте.

Большинству пользователей требуется всего одна попытка или несколько неудачных попыток; поэтому следует избегать подозрительных IP-адресов, которые превышают лимит попыток.

Использование плагина — это один из способов ограничить количество попыток входа в систему и тем самым повысить безопасность WordPress. Для этого вы можете использовать плагин Login lockDown WordPress.

10. Отключить редактирование файлов

WordPress имеет встроенный редактор кода, который позволяет вам изменять файлы темы и плагинов прямо из области администрирования WordPress. Эта функция может быть проблемой безопасности в чужих руках, поэтому мы рекомендуем отключить ее.

Вы можете сделать это, вставив следующий код в ваш файл wp-config.php . // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

11. Включите двухфакторную аутентификацию

Метод двухфакторной аутентификации требует, чтобы пользователи входили в систему с использованием процесса двухэтапной аутентификации.

Первый шаг — ввести имя пользователя и пароль, а второй — пройти аутентификацию с помощью другого устройства или приложения.

Большинство ведущих онлайн-платформ, таких как Google, Facebook и Twitter, позволяют активировать его для ваших учетных записей. Вы можете легко включить ту же функцию на свой сайт WordPress.

Для этого вы можете использовать плагины WordPress Google Authenticator или Two Factor Authentication.

12. Измените префикс базы данных WordPress по умолчанию

База данных WordPress содержит и хранит всю информацию, необходимую для работы вашего сайта.

В результате хакеры обычно используют атаки SQL-инъекций для атаки на базу данных. Этот метод внедряет вредоносное ПО в базу данных, позволяя злоумышленникам обойти систему безопасности WordPress и получить содержимое базы данных.

SQL-инъекция используется примерно в половине всех кибератак, что делает ее одной из самых серьезных угроз.

Хакеры проводят этот взлом, потому что многие пользователи не могут изменить префикс базы данных по умолчанию wp_ . Поэтому мы рекомендуем его изменить.

13. Отключить индексирование и просмотр каталогов

Хакеры могут использовать просмотр каталогов, чтобы узнать, есть ли у вас какие-либо файлы с известными уязвимостями, а затем использовать эти файлы для получения доступа.

Пользователь также может использовать просмотр каталогов для просмотра файлов, копирования изображений, определения структуры каталогов и получения некоторой другой информации.

Поэтому настоятельно рекомендуется отключить индексирование и просмотр каталогов.

Вы должны подключиться к вашему сайту через FTP или файловый менеджер в cPanel. Затем в корневом каталоге вашего сайта найдите файл .htaccess .

Затем в нижней части файла .htaccess добавьте следующую строку:

Options -Indexes

Не забудьте сохранить и загрузить файл .htaccess на свой сайт.

14. Отключить XML-RPC

XML-RPC включен по умолчанию в WordPress 3.5, поскольку он помогает в соединении вашего сайта WordPress с веб-приложениями и мобильными приложениями.

Из-за своей мощной природы XML-RPC может значительно усилить атаки грубой силы.

Например, если хакер хочет попробовать 100 разных паролей на вашем веб-сайте, ему придется сделать 100 различных попыток входа в систему, которые плагин блокировки входа поймает и отклонит.

Однако при использовании XML-RPC хакер может использовать функцию system.multicall для перебора тысяч разных паролей всего за 20 или 50 запросов.

15. Автоматический выход бездействующих пользователей

Многие люди забывают выйти из веб-сайта, и их сеансы продолжают работать.

В результате кто-то другой, использующий то же устройство, сможет получить доступ к своим учетным записям и, возможно, неправомерно использовать личную информацию. Это особенно актуально для тех, кто использует общедоступные компьютеры в таких местах, как интернет-кафе или библиотеки.

Поэтому очень важно настроить ваш веб-сайт WordPress таким образом, чтобы неактивные пользователи немедленно выходили из системы.

Большинство банковских веб-сайтов используют эту стратегию, чтобы предотвратить доступ нежелательных пользователей к своим сайтам, гарантируя безопасность информации своих клиентов.

Одним из самых простых способов автоматического выхода из неактивных учетных записей пользователей является использование плагина безопасности WordPress, такого как Inactive Logout. В дополнение к удалению неактивных пользователей этот плагин может отправлять настраиваемое сообщение, чтобы уведомить бездействующих пользователей о том, что их сеанс веб-сайта скоро истечет.

16. Измените URL-адрес страницы входа в WordPress

Чтобы сделать еще один шаг к защите вашего веб-сайта WordPress от атак грубой силы, рассмотрите возможность изменения URL-адреса страницы входа.

URL-адрес входа по умолчанию для всех сайтов WordPress — yourdomain.com/wp-admin . Хакеры могут легко атаковать вашу страницу входа, если вы используете URL входа по умолчанию.

Плагины, такие как WPS Hide Login и Change wp-admin Login, позволяют настроить пользовательские настройки URL-адреса входа.

17. Скрыть версию WordPress

Скройте свою версию WordPress еще раз поднимает тему безопасности WordPress через неизвестность. Чем меньше людей знают о настройке вашего сайта WordPress, тем лучше. Если хакеры увидят, что у вас устаревшая установка WordPress, это может быть хорошим признаком.

Версия WordPress по умолчанию отображается в заголовке исходного кода вашего сайта. Опять же, мы рекомендуем постоянно обновлять установку WordPress, чтобы вам не пришлось об этом беспокоиться.

Вы можете использовать следующий код для удаления версии WordPress. Просто добавьте его в файл functions.php вашей темы WordPress. function hide_wp_version() { return ''; } add_filter('the_generator', 'hide_wp_version');

18. Обновите PHP до последней версии

Обновление до последней версии PHP — одна из самых важных вещей, которые вы можете сделать, чтобы обеспечить безопасность вашего сайта WordPress.

Когда обновление будет готово, WordPress сообщит вам через панель управления. Затем он перенаправит вас на вашу учетную запись хостинга, где вы сможете обновиться до самой последней версии PHP.

Если вы не знаете, как обновить учетную запись хостинга, обратитесь к своему веб-разработчику.

19. Выполняйте регулярные проверки безопасности

Если вы используете плагин безопасности WordPress, он будет регулярно сканировать ваш сайт на наличие вредоносных программ и сигналов о нарушениях безопасности.

Однако, если вы видите значительное снижение посещаемости веб-сайта или поискового рейтинга, вам следует выполнить сканирование вручную. Для этого вы можете использовать свой плагин безопасности WordPress или некоторые онлайн-инструменты, такие как Sucuri SiteCheck или IsItWP Security Scanner.

Запуск этих онлайн-инструментов сканирования прост. Просто введите URL-адреса вашего веб-сайта, и их поисковые роботы будут просматривать ваш веб-сайт в поисках известных вирусов и вредоносного кода.

Помните, что большинство сканеров безопасности WordPress могут сканировать только ваш сайт. Они не могут удалить вредоносное ПО или очистить взломанный сайт WordPress.

20. Удалите неиспользуемые плагины и темы WordPress.

Наличие неиспользуемых плагинов и тем на вашем сайте может быть опасным, особенно если они не были обновлены.

Хакеры могут использовать устаревшие плагины и темы, чтобы получить доступ к вашему сайту, что увеличивает риск кибератак.

21. Используйте безопасную тему WordPress

Нулевые темы WordPress являются незаконными копиями оригинальных премиальных тем. В большинстве случаев эти темы продаются по более низкой цене, чтобы привлечь пользователей. Однако иногда у них возникают проблемы с безопасностью.

Поскольку обнуленные темы выпускаются нелегально, их пользователи не получают никакой помощи от разработчика. Это означает, что если на вашем сайте есть какие-либо проблемы, вам придется выяснить, как их решить и защитить свой сайт WordPress самостоятельно.

Чтобы не стать целью хакеров, мы предлагаем использовать тему WordPress из официального репозитория или от известного разработчика. В качестве альтернативы вы можете искать сторонние темы на официальных торговых площадках, таких как ThemeForest, где есть сотни премиальных тем WordPress.

Безопасность веб-сайта WordPress: последняя мысль

WordPress — это популярная и надежная система управления контентом, которая упрощает создание веб-сайта для всех. Однако, поскольку он широко используется, он стал популярной целью для хакеров.

К счастью, есть несколько шагов, которые вы можете предпринять, чтобы защитить свой сайт WordPress. Однако имейте в виду, что вам не обязательно делать все, что перечислено выше. Если вы будете следовать основным рекомендациям, вы будете далеко впереди конкурентов.

После этого делайте то, что можете и чувствуете, что способны на это. Безопасность — это постоянное усилие, а не разовое событие. Вы всегда можете сделать больше, но самое главное — начать.

Это все; мы надеемся, что наш пост помог вам узнать лучшие советы по безопасности WordPress для защиты вашего веб-сайта WordPress. Если вам понравился этот пост, вы также можете прочитать:

  • Лучшие плагины безопасности WordPress для защиты вашего сайта
  • Советы по SEO WordPress для улучшения вашего рейтинга SEO
  • Как ускорить сайт WordPress в 2022 году