Единственный контрольный список безопасности WordPress, который вам понадобится в 2024 году

WordPress — это безопасная система управления контентом (CMS), но способ установки и настройки вашего веб-сайта может повлиять на уровень его безопасности. Если вы не примете меры для защиты своего сайта, вы можете столкнуться с утечкой данных или потерей своего контента.

Чтобы помочь вам, мы создали полный контрольный список безопасности WordPress. Это проведет вас через все шаги, необходимые для защиты вашего сайта от ботов и злоумышленников.

В этом посте мы рассмотрим встроенные функции безопасности WordPress. Затем мы покажем вам 30 вещей, которые вы можете сделать, чтобы дополнительно защитить свой сайт.

Предлагает ли WordPress встроенную безопасность?

Да, WordPress предлагает некоторые меры безопасности. Ваша панель администратора защищена страницей входа, которая требует от пользователей ввода действительного имени пользователя и пароля.

CMS также регулярно получает исправления и обновления для устранения уязвимостей безопасности. Вообще говоря, если вы будете поддерживать WordPress и его компоненты в актуальном состоянии, вы будете избавлены от наиболее распространенных уязвимостей.

Однако следует учитывать и человеческий фактор. Во многих случаях сайты WordPress взламываются из-за человеческой ошибки, например, из-за совместного использования или повторного использования учетных данных для входа. Если злоумышленник получит доступ к учетной записи с высоким уровнем привилегий, он может нанести ущерб вашему сайту.

Поскольку CMS является такой популярной платформой, злоумышленники сканируют сеть, пытаясь найти сайты WordPress с известными уязвимостями. Чем больше растет ваш сайт, тем большей целью он становится.

Какой самый простой способ защитить сайт WordPress?

Для обеспечения безопасности веб-сайта WordPress вам необходимо изменить конфигурацию вашего сайта и добавить несколько функций, которые затрудняют взлом злоумышленникам. Если у вас нет времени следовать всему этому контрольному списку безопасности WordPress, лучшее, что вы можете сделать, это установить систему безопасности. плагин.

Jetpack Security предоставляет вам доступ к нескольким функциям безопасности, таким как автоматическое сканирование и удаление вредоносных программ, защита от спама и резервное копирование в реальном времени.

Важно отметить, что ни один плагин не может защитить ваш сайт от всех потенциальных угроз, с которыми он может столкнуться. Поэтому вам понадобится еще больше защитить свой сайт, если вы серьезно относитесь к защите своих данных и тяжелой работы.

Например, вы захотите установить надежные пароли и включить двухфакторную аутентификацию (2FA). Мы более подробно рассмотрим эти меры безопасности (и многие другие) в нашем контрольном списке.

30-шаговый контрольный список безопасности WordPress

Помните, что вам не нужно работать над всеми этими мерами безопасности одновременно. Вычеркивание каждого пункта в контрольном списке может занять некоторое время, но большинство из них — это исправления, которые вам нужно реализовать только один раз.

Итак, вот 30 способов повысить безопасность вашего сайта.

1. Постоянно обновляйте WordPress

Устаревшие установки WordPress, пожалуй, являются основной причиной нарушений безопасности. Многие пользователи забывают обновить WordPress, а также плагины и темы на своих сайтах. Это серьезная проблема, поскольку устаревшее программное обеспечение, как правило, является основной целью злоумышленников.

Чем старше программное обеспечение, тем больше времени у злоумышленников было на анализ его кода и поиск лазеек в безопасности. Разработчики отслеживают эти угрозы и исправляют их по мере появления. Поэтому вам следует запускать обновления сразу после их выпуска.

К счастью, WordPress позволяет легко оставаться в курсе обновлений. В личном кабинете перейдите в раздел «Обновления» . вкладка, и вы увидите обзор всего доступного.

Если вам нужно запустить много обновлений, важно создать резервную копию вашего веб-сайта WordPress, прежде чем продолжить. Это особенно важно при обновлении до более новой версии WordPress, поскольку иногда это может вызвать проблемы совместимости с плагинами и темами.

Вам нужно будет проверять страницу обновлений ежедневно. Кроме того, вы можете включить автоматическое обновление ваших плагинов и тем.

Таким образом, если вы забудете проверить свой сайт на наличие обновлений, они будут запущены автоматически.

2. Создавайте надежные имена пользователей и пароли.

Безопасность вашего веб-сайта зависит от учетных данных, которые вы используете для доступа к нему. WordPress сам сообщит вам, если вы устанавливаете слабый пароль при создании новой учетной записи.

«Слабый» пароль — это любой пароль, который легко угадать. Если ваши учетные данные что-то вроде «администратора» и «1234», ваш сайт, скорее всего, станет жертвой атак методом перебора.

В идеале ваш пароль должен содержать не менее восьми символов и комбинацию букв, цифр и специальных символов. Если на вашем сайте WordPress несколько пользователей, возможно, вы захотите напомнить им, чтобы они использовали надежные учетные данные и меняли пароли каждые несколько месяцев.

3. Добавьте дополнительный уровень защиты с помощью 2FA.

Двухфакторная аутентификация — это мера безопасности, которая требует использования второго уровня аутентификации при входе на сайт. Например, некоторые веб-сайты могут потребовать от вас ввести одноразовый код, отправленный по электронной почте или по SMS.

Цель 2FA — сделать так, чтобы злоумышленникам было практически невозможно угадать ваши учетные данные. Без доступа к другому устройству или учетной записи они не смогут войти в WordPress.

По умолчанию WordPress не включает функцию 2FA, поэтому вам нужно будет использовать плагин, например Jetpack, чтобы добавить эту функцию на свой сайт. С помощью Jetpack вы можете добавить 2FA (так называемую безопасную аутентификацию), которая работает с вашей учетной записью WordPress.com.

4. Установите надежный плагин безопасности.

Мощные плагины безопасности WordPress помогут вам исключить несколько пунктов из этого контрольного списка безопасности WordPress. В идеале вы должны выбрать один инструмент, который предлагает следующие функции:

Сканирование вредоносных программ

Если ваш веб-сайт заразится, вам следует узнать об этом как можно скорее. Регулярное сканирование на наличие вредоносных программ позволит вам узнать, находится ли какая-либо часть вашего сайта под угрозой.

Инструменты удаления вредоносных программ

Если ваш плагин безопасности обнаруживает вредоносное ПО, вам понадобится помощь в его удалении. Это может включать удаление файлов или их замену, в зависимости от зараженной части вашего сайта WordPress.

Резервные копии

Для WordPress существует множество автономных решений и плагинов для резервного копирования. Некоторые универсальные инструменты безопасности включают автоматическое резервное копирование, поэтому вам не потребуется устанавливать дополнительный плагин.

Журналы безопасности

В идеале вы захотите знать все, что происходит на вашем сайте. Журналы безопасности записывают события в WordPress и позволяют вам искать в них подозрительную активность.

реализация 2FA

Как мы обсуждали ранее, 2FA — это важнейший инструмент, который может помочь вам минимизировать риск нарушений безопасности из-за кражи учетных данных.

Jetpack Security включает в себя все эти функции, поэтому вы можете выполнить несколько шагов из этого контрольного списка безопасности с помощью одного инструмента.

5. Используйте брандмауэр веб-приложений (WAF).

WAF — это решение безопасности, которое помогает защитить приложения и веб-сайты, включая сайты WordPress, от атак путем фильтрации и мониторинга трафика. В зависимости от программного обеспечения оно должно иметь возможность идентифицировать вредоносный трафик, используя заданные правила или базы данных известных злоумышленников.

Многие веб-хостеры автоматически настраивают брандмауэры для своих клиентов. Вы также можете использовать Jetpack Security, чтобы добавить WAF на свой веб-сайт WordPress.

Jetpack Security позволяет вам настроить WAF на использование предустановленных правил и блокировку определенных IP-адресов. Вы также можете обмениваться данными об активности с помощью Jetpack, что помогает повысить эффективность WAF за счет увеличения базы данных известных угроз.

6. Регулярно сканируйте WordPress на наличие вредоносных программ и уязвимостей.

Сканирование вашего веб-сайта на наличие вредоносных программ и уязвимостей включает в себя проверку всех его файлов на наличие несанкционированных модификаций или вредоносного кода. Хотя этот процесс может показаться сложным, существуют инструменты, которые могут сделать это за вас.

Jetpack Security использует WPScan (крупнейшую базу данных известных уязвимостей WordPress) для сканирования вашего веб-сайта.

Если плагин WordPress обнаружит вредоносное ПО или уязвимости, он может немедленно уведомить вас и даже помочь удалить или восстановить поврежденные файлы. Это намного проще, чем ручной подход, который требует от вас определить, какие файлы нужно удалить, и выяснить, как их восстановить.

7. Делайте резервные копии вашего сайта регулярно или в режиме реального времени.

Резервные копии являются важнейшим компонентом безопасности веб-сайта. Если что-нибудь случится с вашим сайтом, они позволят вам быстро возобновить работу.

Полагаться на резервное копирование вашего хостинг-провайдера небезопасно, поскольку компрометация вашего сервера может сделать бесполезным как ваш сайт WordPress, так и его резервные копии.

Вместо этого вам нужно решение для удаленного резервного копирования в режиме реального времени, чтобы обеспечить круглосуточную защиту и возможность восстановить сайт в любой момент — даже если он полностью не работает.

Jetpack VaultPress Backup делает именно это, сохраняя ваш сайт каждый раз, когда вы вносите изменения.

Плагин хранит эти резервные копии в облаке, чтобы не перегружать сервер. Он использует комбинацию инкрементного и дифференциального резервного копирования, поэтому ему не нужно копировать весь сайт и базу данных каждый раз, когда вы вносите изменения, что делает процесс намного более эффективным.

Помимо изменений на веб-сайте, Jetpack VaultPress Backup сохраняет новые комментарии, заказы и другие действия пользователя. Это лучший инструмент резервного копирования для магазинов WooCommerce, поскольку он сохранит заказы, даже если вам придется вернуть свой сайт WordPress к предыдущей версии.

8. Храните резервные копии на отдельном сервере.

Как упоминалось выше, простого создания резервных копий недостаточно. Вам необходимо хранить их в нескольких безопасных местах за пределами площадки, чтобы в случае нарушения цифровой безопасности или физической катастрофы в одном центре обработки данных вы все равно могли получить доступ к файлам вашего сайта и восстановить их. По этой же причине вы не можете полагаться только на резервные копии с вашего хоста — ваш сайт и резервные копии могут быть скомпрометированы одновременно.

Если вы используете VaultPress Backup, все это позаботится за вас. Ваши резервные копии хранятся в нескольких местах в облаке и всегда доступны, даже если ваш сайт не работает.

9. Отслеживайте активность пользователей

Если у вас есть доступ к журналам активности вашего сайта, вы сможете увидеть, когда кто-то пытается войти в систему несколько раз и терпит неудачу, есть ли изменения в файле WordPress, устанавливает ли кто-то новый плагин и многое другое.

Думайте о журналах как о техническом эквиваленте записей безопасности. Вы надеетесь, что вам никогда не придется их использовать, но не зря они являются широко используемой функцией безопасности. WordPress не предлагает эту функцию по умолчанию, поэтому вам придется поискать плагин, который ее предоставляет.

Jetpack Security позволяет вам отслеживать все, что происходит на вашем веб-сайте. Он ведет журнал активности, в котором фиксируется, кто что делает, с указанием дат и времени. Если у вас возникла проблема с безопасностью, вы можете проверить этот журнал, чтобы узнать, что ее вызвало.

Он также интегрируется с функцией VaultPress Backup, поэтому вы можете восстановить свой сайт на определенный момент на основе того, что вы найдете в журнале активности.

10. Контролируйте доступ и разрешения пользователей.

Один из самых простых способов обеспечить безопасность любой системы — ограничить доступ к ней. Если вы единственный человек, работающий над вашим сайтом, никто другой не должен знать ваши данные для входа в WordPress.

При работе в команде важно в полной мере использовать систему ролей пользователей WordPress. CMS предлагает несколько ролей, которые вы можете назначить пользователям, в зависимости от того, какие разрешения вы хотите им предоставить.

Самая высокая роль — роль администратора, и это единственный пользователь, имеющий полный доступ ко всем функциям и настройкам WordPress. Другие пользователи WordPress, такие как авторы, могут публиковать только свой собственный контент и не смогут изменять конфигурацию сайта или даже получать доступ к его настройкам.

Решая, какую роль назначить каждому пользователю, подумайте о разрешениях, которые им необходимы для выполнения своих задач. Ни в коем случае пользователь не должен иметь больше разрешений, чем ему необходимо. Эти ограничения сделают ваш сайт безопаснее.

11. Ограничьте количество разрешенных попыток входа в систему.

Повторные попытки входа в систему могут быть признаком того, что кто-то забыл свои учетные данные. Но если количество попыток превышает несколько, вы, вероятно, имеете дело с кем-то, кто пытается взломать ваш сайт.

Вам следует ограничить попытки входа в систему, разрешенные в течение определенного периода времени, чтобы остановить автоматические атаки методом перебора. Опять же, вы можете использовать Jetpack для реализации этой меры безопасности.

Плагин может блокировать злоумышленников, которые пытаются использовать общие учетные данные для входа на ваш сайт. Вы также можете настроить его для внесения в список разрешенных определенных IP-адресов, чтобы только их пользователи могли войти в WordPress.

12. Используйте CDN для защиты от DDoS-атак.

Сеть доставки контента (CDN) — это система данных, которая хранит копии вашего веб-сайта на серверах в разных местах по всему миру, что сокращает задержку, которая может возникнуть, когда кто-то пытается посетить сайт, размещенный в далекой стране. Когда кто-то пытается посетить ваш сайт WordPress, CDN автоматически ответит на запрос от ближайшего сервера.

CDN может снизить нагрузку на ваши серверы, помочь вам обрабатывать больший трафик, сократить время загрузки и защитить вас от распределенных атак типа «отказ в обслуживании» (DDoS). Поскольку атаки не затронут ваш сервер напрямую, он не будет так сильно затронут, если он будет переполнен бот-трафиком.

Если вы используете Jetpack Security, у вас есть доступ к CDN изображений, который может помочь вам кэшировать медиафайлы для ускорения загрузки. Кроме того, он автоматически изменяет размер изображений и предлагает лучший вариант в зависимости от индивидуального устройства каждого посетителя. Вы также можете рассмотреть возможность интеграции других CDN с WordPress, чтобы еще больше сократить время загрузки и защитить ваш сайт от внезапного увеличения трафика.

13. Установите SSL-сертификат

Сертификат уровня защищенных сокетов (SSL) является сигналом того, что вашему веб-сайту можно доверять. Он также позволяет вам загружать ваш сайт через HTTPS, который шифрует данные, поступающие на ваш сайт и с него.

Большинство браузеров сигнализируют о том, что веб-сайты имеют сертификаты SSL, с помощью простого значка замка на панели навигации.

В наши дни большинство авторитетных веб-хостов предлагают пользователям бесплатные сертификаты SSL и автоматическую настройку. Если ваш веб-хост не делает этого, вы можете получить бесплатный сертификат из такого источника, как Let's Encrypt.

Когда сертификат будет готов, вам нужно будет установить его, а затем включить HTTPS. Есть несколько способов заставить WordPress загружаться через HTTPS. Really Simple SSL позволяет сделать это простым щелчком мыши.

Мы охраняем ваш сайт. Вы ведете свой бизнес.

Jetpack Security обеспечивает простую в использовании комплексную безопасность сайта WordPress, включая резервное копирование в реальном времени, брандмауэр веб-приложений, сканирование на наличие вредоносных программ и защиту от спама.

Защитите свой сайт

14. Предпочитайте SFTP FTP при передаче файлов.

Протокол передачи файлов (FTP) позволяет вам подключаться к вашему веб-сайту и напрямую загружать, скачивать и изменять файлы. Протокол использует другой набор учетных данных, которые вам должен предоставить ваш веб-хостинг.

Некоторые хосты используют обновленную и более безопасную версию протокола под названием SFTP. Современные FTP-клиенты поддерживают оба протокола и работают одинаково. Основное отличие состоит в том, что SFTP шифрует данные, которые вы отправляете и получаете с сервера (так же, как HTTPS).

Если ваш веб-хостинг позволяет использовать как FTP, так и SFTP, по умолчанию выберите последний. Если ваш веб-хостинг поддерживает только FTP, возможно, вам стоит подумать о переходе на провайдера, который предлагает лучшие функции безопасности.

15. Постоянно обновляйте версию PHP

WordPress построен на PHP, и используемая вами версия играет важную роль в скорости сайта. Новые версии PHP включают исправления безопасности, которые могут помочь вашему веб-сайту работать быстрее и предотвратить эксплойты.

Вы можете увидеть, какую версию PHP использует ваш сервер, перейдя в «Состояние сайта» → «Информация». и открываем сервер вкладка.

Сравните эту информацию с последней версией PHP и посмотрите, использует ли ваш веб-хостинг последнюю версию. Некоторые веб-хосты могут позволять вам переключаться между версиями PHP. Если у вас нет, возможно, пришло время подумать о переходе на новый хост WordPress.

16. Удалите неактивные темы и плагины WordPress.

Хорошее практическое правило — деактивировать и удалить любые плагины или темы WordPress, которые вы больше не используете. Это может снизить вероятность возникновения проблем совместимости или уязвимостей.

Удаление неактивных тем и плагинов сделает ваш сайт более безопасным и организованным. Вам необходимо периодически просматривать свои активные плагины и отмечать те, которые вы больше не используете.

17. Тщательно оценивайте новые плагины и темы.

Прежде чем устанавливать какой-либо плагин или тему на свой веб-сайт, важно убедиться, что он создан авторитетными разработчиками и имеет хорошую репутацию. Вы можете сделать это, проверив его рейтинги и обзоры.

То же самое касается тем WordPress. Большинство репозиториев плагинов и тем покажут вам историю обновлений. У авторитетного плагина или темы будут регулярные обновления, а это значит, что разработчики активно над ним работают.

Вам следует избегать плагинов и тем WordPress, которые больше не получают обновлений. Какими бы полезными они ни были, они могут привести к появлению уязвимостей на вашем сайте, поскольку код устарел.

18. Инвестируйте в безопасного хостинг-провайдера.

Не все хостинг-провайдеры предлагают одинаковый уровень обслуживания, производительности и функций. Некоторые из них лучше других, и это не обязательно означает, что они дороже.

Выбор надежного и безопасного хостинг-провайдера WordPress является важным решением, поскольку вы, как правило, будете связаны с ним в течение длительного периода времени. Важно, чтобы вы прочитали как можно больше обзоров и провели исследование, прежде чем обращаться к какой-либо услуге.

Если вам нужна помощь, вы можете просмотреть этот список хостов, рекомендуемых Jetpack, некоторые из которых включают ключевые функции Jetpack как часть услуг управляемого хостинга WordPress.

19. Измените администратора по умолчанию имя пользователя

Когда вы настраиваете WordPress, по умолчанию создается имя пользователя администратора. Это позволяет легко запомнить ваши учетные данные, а также позволяет злоумышленникам угадать ваши данные.

Если ваша учетная запись администратора WordPress уже настроена, у вас есть два варианта изменить имя пользователя администратора по умолчанию:

1. Создайте новую учетную запись администратора. Вы можете создать новую учетную запись администратора с любым именем пользователя, а затем переключиться на нее. Как только вы это сделаете, вы можете удалить старую учетную запись и продолжить использование новой.
2. Измените имя пользователя с помощью phpMyAdmin. Если вы хотите сохранить существующую учетную запись, вы можете изменить имя пользователя через базу данных.

Ни одно имя пользователя не должно быть легко угадать, особенно когда речь идет об учетной записи администратора. Если кто-то получит к нему доступ, он сможет вносить любые изменения в ваш сайт.

20. Измените префикс базы данных по умолчанию.

Префикс базы данных по умолчанию в WordPress — wp_ . Это означает, что если злоумышленник знает имя базы данных, он также может угадать префикс и использовать эту информацию, чтобы попытаться запросить ее.

Вы можете минимизировать этот риск, изменив префикс базы данных по умолчанию на любой другой, кроме wp_ . Это двухэтапный процесс. Первым шагом является изменение префикса базы данных в файле wp-config.php , в котором должна быть строка следующего вида:

 $table_prefix = 'wp_';

После внесения изменений в wp-config.php вам необходимо обновить таблицы в базе данных, добавив новый префикс. Вы можете сделать это с помощью phpMyAdmin и выполнив несколько запросов, подобных этому:

 RENAME table `wp_options` TO `wp_a1b2c3d4_options`;

Вы можете использовать эту структуру запроса и изменить то, что идет после «TO». чтобы имя таблицы соответствовало обновленному префиксу. Имейте в виду, что вам нужно будет выполнить этот запрос для каждой таблицы в базе данных, и пока вы этого не сделаете, ваш сайт не будет работать должным образом.

21. Измените URL-адреса /wp-admin и /wp-login.php по умолчанию.

URL-адреса /wp-admin и /wp-login.php позволяют вам получить доступ к панели управления и странице входа в WordPress. Эти URL-адреса легко запомнить, но они делают ваш сайт более уязвимым. Если кто-то хочет проникнуть на ваш сайт, он часто начинает с URL-адреса входа в WordPress по умолчанию.

Вы можете усложнить жизнь злоумышленникам, изменив эти URL-адреса по умолчанию. Существуют плагины, которые позволяют вам это сделать, например WPS Hide Login. Кроме того, вы можете изменить URL-адреса входа в систему через файл .htaccess , если предпочитаете ручной подход.

22. Ограничьте доступ wp-admin только авторизованными IP-адресами.

URL-адрес /wp-admin открывает панель управления WordPress. Технически никто не должен иметь доступа к панели управления без соответствующих учетных данных. Вы можете сделать еще один шаг в области безопасности, ограничив доступ только к IP-адресам из белого списка.

Это не та функция, которую предлагает WordPress. Чтобы реализовать это, вам нужно добавить следующий код в файл .htaccess :

 <Directory /root/wp-admin/> Order Deny,Allow Deny from all Allow from xxx.xxx.xxx.xxx </Directory>

xxx.xxx.xxx.xxx обозначает IP-адрес, который вы хотите внести в белый список. Обратите внимание, что вы можете добавить несколько IP-адресов, скопировав эту строку и введя разные адреса.

Вам также потребуется изменить путь к каталогу, чтобы он соответствовал расположению корневого каталога на сервере. После сохранения файла любой IP-адрес, которого нет в списке, увидит ошибку, если попытается получить доступ к панели управления.

23. Ограничьте доступ к FTP только авторизованным IP-адресам.

Вы можете ограничить доступ FTP/SFTP к вашему веб-сайту, ограничив доступ к соответствующим учетным данным. Некоторые панели управления хостингом также позволяют ограничить доступ к FTP по IP-адресу.

Это идеально, если у вас есть статический IP-адрес, поскольку он не позволит кому-либо еще подключиться к веб-сайту и получить доступ к его файлам через FTP, даже с правильными учетными данными. Без статического IP-адреса этот параметр может ограничить даже ваш собственный доступ к сайту.

Имейте в виду, что лишь немногие избранные смогут подключиться к веб-сайту по FTP. Если вы работаете с другими людьми, и у них нет причин напрямую получать доступ к основным файлам или редактировать их, у них не должно быть доступа к вашим учетным данным FTP.

24. Защитите свой файл wp-config.php.

Файл wp-config.php содержит важную информацию о вашем веб-сайте, включая сведения о базе данных. По умолчанию файл находится в корневом каталоге WordPress.

Самый простой способ защитить файл — переместить его непосредственно за пределы корневого каталога. Если WordPress не может найти wp-config.php там, где он обычно находится, он будет искать его в каталоге, расположенном выше его обычного местоположения.

Другой вариант — настроить права доступа к файлу, чтобы ограничить доступ всем, кроме администратора (то есть вас). Для этого вам необходимо понять, как права доступа к файлам работают в системах на базе UNIX, и изменить конфигурацию файла с помощью SFTP.

25. Отключите редактирование файлов, чтобы заблокировать вредоносные изменения.

Только администратор должен иметь разрешение на доступ и изменение основных файлов WordPress. Обычно вы сможете получить доступ к функциям редактирования файлов с панели управления. Это означает, что вы можете напрямую редактировать файлы ядра, плагинов и тем, не выходя из администратора WordPress.

В зависимости от уровня разрешений, которые имеют пользователи, они могут иметь доступ к редактору файлов. Лучший способ предотвратить это — вообще отключить редактирование файлов.

Чтобы реализовать эту меру безопасности, откройте файл wp-config.php и добавьте в конец следующую строку кода:

 define('DISALLOW_FILE_EDIT', true);

Сохраните изменения в файле и закройте его. Обратите внимание, что вы по-прежнему сможете редактировать файлы, но для этого вам нужно будет использовать SFTP, что является лучшим (и более безопасным) вариантом, чем использование редактора файлов WordPress.

26. Отключите выполнение PHP-файла.

Отключение выполнения файлов PHP в определенных каталогах вашего веб-сайта WordPress — это мера безопасности, которая помогает предотвратить запуск вредоносных скриптов. Если злоумышленнику удастся загрузить PHP-скрипт на ваш веб-сайт, он может выполнить его для получения несанкционированного доступа, манипулирования данными или распространения вредоносного ПО.

Вы можете отключить выполнение файлов PHP в определенных каталогах, подключившись к WordPress через FTP и перейдя в корневую папку. Внутри вы можете выбрать, какие каталоги вы хотите защитить, и создать внутри каждого из них новые файлы .htaccess .

Вот код, который вам нужно добавить в эти файлы:

 <Files *.php> Order Allow,Deny Deny from all </Files>

Обратите внимание, что отключение выполнения PHP на уровне корневого каталога может повлиять на функциональность WordPress. В конце концов, вся CMS построена на PHP. Это означает, что лучше отключить его для отдельных папок, таких как каталог медиафайлов.

27. Отключите отчеты об ошибках PHP.

Публичное отображение ошибок может раскрыть потенциальные уязвимости вашего веб-сайта WordPress для злоумышленников. Сообщения об ошибках PHP могут включать конфиденциальную информацию, такую ​​как пути к файлам, сведения о структуре базы данных или другие данные, которые могут быть использованы для взлома вашего веб-сайта.

WordPress позволяет отключить отчеты об ошибках PHP, изменив файл wp-config.php . Вы можете добавить в файл следующий код, чтобы отключить режим отладки WordPress и скрыть ошибки во внешнем интерфейсе:

 // Turn off all error reporting error_reporting(0); // Disable display of errors and warnings define('WP_DEBUG', false); define('WP_DEBUG_DISPLAY', false); // Hide errors from being displayed in the browser @ini_set('display_errors', 0);

Добавьте этот код в конец файла wp-config.php и убедитесь, что у вас есть последняя резервная копия вашего сайта WordPress, прежде чем сохранять ее. Имейте в виду, что отчеты об ошибках иногда могут быть полезны для устранения неполадок, поэтому в какой-то момент вам может потребоваться повторно включить эту функцию.

28. Отключите просмотр каталогов на вашем сайте.

Просмотр каталога — это функция, которая позволяет посетителям получать доступ к URL-адресам, таким как yourwebsite.com/wp-content , и просматривать содержимое этого каталога. Если просмотр каталогов включен, пользователи смогут видеть списки внутренних папок и файлов и даже получать к ним доступ в зависимости от их разрешений.

С точки зрения безопасности имеет смысл отключить просмотр каталогов. Многие веб-хосты WordPress делают это по умолчанию. Если у вас нет, вы можете отключить просмотр каталогов, добавив следующий код в файл .htaccess :

 Options -Indexes

Это простое изменение, поэтому его реализация не займет много времени. Впоследствии, если пользователи попытаются посетить каталог, вместо этого они увидят простое сообщение об ошибке.

29. Скройте свою версию WordPress

По умолчанию текущая версия WordPress, которую вы используете, указана в вашем исходном коде. Если кто-то знает, какую версию WordPress вы используете (а она устаревшая), он может изучить конкретные уязвимости этой версии, что облегчит взлом вашего сайта.

Чтобы скрыть свою версию WordPress, вы можете добавить этот код в свой файл function.php :

 function remove_version_info() { return ''; } add_filter('the_generator', 'remove_version_info');

30. Избегайте CAPTCHA для защиты от спама.

CAPTCHA — достойное решение для защиты веб-сайтов и форм от спама, но не без проблем.

Использование CAPTCHA на вашем веб-сайте добавляет уровень сложности, который может раздражать и отпугивать законных посетителей, и даже быть невозможным, особенно для людей с ограниченными возможностями.

Недавние изменения в векторах атак также сделали CAPTCHA менее эффективными. Если вы заботитесь о предотвращении спама (который может привести к нарушению безопасности), но также хотите максимизировать коэффициент конверсии за счет оптимального взаимодействия с пользователем, пришло время рассмотреть альтернативы.

Akismet — это универсальное решение для защиты от спама для WordPress, которое работает полностью в фоновом режиме. Плагин WordPress помогает вам блокировать спам, используя свою базу данных известных злоумышленников, а также определяя и блокируя определенные слова и URL-адреса в комментариях на вашем сайте. Все это делается автоматически, и посетителям не нужно использовать CAPTCHA, чтобы проверить, являются ли они людьми.

Часто задаваемые вопросы о безопасности WordPress

Если у вас все еще есть вопросы о том, как защитить свой сайт WordPress, этот раздел ответит на них.

Каковы преимущества наличия контрольного списка безопасности WordPress?

Доступ к контрольному списку безопасности WordPress поможет вам определить, какие меры вы предприняли для защиты своего сайта и что еще осталось сделать. Контрольный список — это простой ресурс, к которому вы можете обратиться в любое время, чтобы узнать, какие меры безопасности вы можете реализовать в WordPress.

Каков самый быстрый способ повысить безопасность моего WordPress?

Самый быстрый способ защитить ваш веб-сайт WordPress — использовать плагины безопасности WordPress. В зависимости от используемого вами плагина вы получите доступ к таким функциям, как 2FA, журналы активности, инструменты резервного копирования и сканирование на наличие вредоносных программ. Jetpack Security включает в себя все эти функции.

Как я могу просканировать свой сайт WordPress на наличие вредоносного ПО и уязвимостей?

Вы можете использовать плагин, например Jetpack Security, для сканирования вашего сайта WordPress на наличие вредоносных программ. Этот инструмент также выявит любые потенциальные уязвимости на вашем веб-сайте. Затем вы можете предпринять необходимые шаги для устранения этих проблем.

Если вам не нужен комплексный плагин безопасности WordPress, вы также можете выполнить сканирование на наличие вредоносных программ с помощью отдельного плагина WordPress, такого как Jetpack Protect.

Какой самый надежный способ резервного копирования и восстановления моего сайта WordPress?

Лучше всего использовать автоматизированное решение, чтобы вам не приходилось создавать резервные копии вручную. Плагин также должен сохранять копии в внешнем хранилище, чтобы избежать проблем в случае взлома вашего сервера.

Плагин Jetpack VaultPress Backup обеспечивает резервное копирование в реальном времени. Он также создает безопасные копии вашего сайта WordPress в облаке. Вы также можете получить доступ к VaultPress Backup и множеству других функций в рамках Jetpack Security.

Jetpack Security: плагин безопасности №1 для WordPress.

Jetpack Security предлагает набор функций безопасности, которые защитят ваш веб-сайт WordPress. С помощью этого плагина вы можете вычеркнуть несколько пунктов из контрольного списка безопасности WordPress.

Например, вы получаете доступ к решению для резервного копирования, сканированию вредоносных программ и удалению их одним щелчком мыши, защите от спама, журналам активности, двухфакторной аутентификации и многому другому. Это делает Jetpack одним из наиболее комплексных инструментов безопасности, которые вы можете использовать для WordPress.

Готовы ли вы повысить безопасность своего сайта? Начните работу с безопасностью Jetpack сегодня!