Лучший контрольный список безопасности WordPress [Полное руководство]
Опубликовано: 2022-04-22Если вы хотите защитить свой сайт WordPress, вы найдете множество советов в Интернете, некоторые из которых хороши, а некоторые — откровенно вредны, хотя и из лучших побуждений.
Когда дело доходит до безопасности WordPress, вы должны быть в состоянии доверять своим источникам и находить информацию, которая не только заслуживает доверия, но также осуществима и применима. Только в 2020 году количество атак вредоносных программ выросло более чем на 150%, и, похоже, в ближайшее время их число не замедлится. Поэтому защита вашего сайта WordPress должна быть вашим приоритетом номер один.
Лучший способ защитить ваш сайт WordPress — установить плагин безопасности и позволить ему справиться с тяжелой работой. Но даже без него вы все равно можете в значительной степени защитить свой веб-сайт, следуя контрольному списку безопасности WordPress, обсуждаемому ниже.
TL;DR: защитите свой сайт WordPress с помощью MalCare и избегайте регулярного обслуживания, связанного с безопасностью. Безопасность WordPress — это лабиринт пробелов, которые вам нужно исправить. Обратитесь к нашему контрольному списку безопасности WordPress, чтобы убедиться, что вы не упустите ничего важного.
Самый простой способ защитить ваш сайт WordPress
Как мы уже говорили, лучший способ защитить ваш сайт WordPress — это использовать плагин безопасности, в частности, MalCare. MalCare не только автоматически заботится о контрольном списке безопасности WordPress, но и делает это, не беспокоясь об отслеживании каждой мелочи.
MalCare имеет несколько функций, которые вместе обеспечивают безопасность вашего сайта. Но его три основные функции гарантируют, что ваш сайт останется свободным от вредоносных программ: сканирование, брандмауэр и очистка. С помощью MalCare вы можете запланировать автоматическое сканирование вашего сайта WordPress и получать оповещения в случае обнаружения чего-либо подозрительного. MalCare также защищает ваш сайт с помощью интеллектуального брандмауэра, защищающего от большинства атак. И самое главное, если ваш сайт будет взломан — учитывая, что ни один сайт не может быть надежным, MalCare очистит ваш сайт за считанные минуты одним нажатием кнопки.
Еще одна причина, по которой вам следует выбрать MalCare, заключается в том, что при ручных мерах безопасности всегда есть вероятность человеческой ошибки. Но ошибки в безопасности могут стоить вам не только нескольких долларов. Если взломы усугубятся, они могут привести к краже данных, порче веб-сайтов, потере клиентов и, что наиболее важно, к потере доверия к вашему бизнесу.
Окончательный контрольный список безопасности WordPress
На сайте WordPress так много элементов, что отслеживание всего может стать непосильной задачей. Мы составили для вас контрольный список безопасности WordPress, основанный на частоте времени, которое вам нужно для выполнения задачи.
Для повседневной безопасности
Безопасность веб-сайта — это постоянный процесс, который не может быть разовым обязательством. Но есть способы автоматизировать ежедневные задачи. Эти задачи гарантируют, что ваш сайт защищен от любых непредвиденных проблем или угроз.
Сканируйте свой сайт
Важно каждый день сканировать свой сайт на наличие вредоносных программ. Веб-сайт взламывается каждые 38 секунд в Интернете, и есть большая вероятность, что вы можете быть одним из них. Регулярное сканирование вашего сайта гарантирует, что вы будете первыми, кто узнает о каких-либо угрозах или вредоносных программах на вашем сайте, и поможет вам принять меры до того, как злоумышленник сможет нанести какой-либо ущерб вашему сайту.
Если сканирование вашего сайта каждый день вручную кажется вам утомительным, вы можете выбрать решение для обеспечения безопасности, такое как MalCare, которое позволяет ежедневно планировать автоматическое сканирование, чтобы вам не приходилось беспокоиться о том, что вы пропустите сканирование или вам придется запускать его лично. .
Резервное копирование вашего веб-сайта
Есть несколько причин, по которым вам следует сделать резервную копию вашего веб-сайта WordPress, но самая важная из них — безопасность. Если вовремя не обнаружить вредоносное ПО, оно может нанести ущерб вашему сайту WordPress и, как следствие, привести к потере данных или порче веб-сайта. Часто веб-хостинги удаляют сайты со своих серверов, если они заражены, и если у вас нет независимой резервной копии вашего сайта, вам придется начинать с нуля.
Важно ежедневно делать резервные копии ценных веб-сайтов, чтобы не потерять ничего важного. Это особенно актуально для сайтов WooCommerce, которым требуется резервное копирование в реальном времени. Удобное решение, такое как BlogVault, может очень упростить этот процесс. BlogVault позволяет планировать резервное копирование ежедневно или в режиме реального времени, в зависимости от ваших требований, и сохраняет эти резервные копии на внешнем сервере, так что даже если сервер вашего веб-сайта взломан, резервные копии останутся в безопасности.
Для ежемесячной безопасности
Проверить журнал активности
Взломы и установка вредоносного ПО, рекламного ПО или других видов вредоносных программ обычно происходят тайно. Часто единственный видимый след можно найти в журнале активности вашего сайта, хронологической записи выполненных действий и внесенных изменений. В результате рекомендуется ежемесячно проверять журнал активности вашего сайта на предмет любых несоответствий или подозрительной активности. Это может помочь вам отследить ряд важных деталей в случае взлома вашего сайта, например, какие IP-адреса были задействованы и как это могло произойти.
Если у вас высокопроизводительный сайт, т. е. вы публикуете контент ежедневно или еженедельно, проверка журнала активности раз в месяц может оказаться сложной задачей, поскольку на сайте происходит много изменений. В этом случае вы можете проверять журнал активности раз в неделю или раз в две недели.
WordPress не предлагает журнал действий по умолчанию, поэтому вам придется полагаться на плагин. Кроме того, MalCare предоставляет вам подробный и понятный журнал действий, а также полную безопасность WordPress.
Обновите свой веб-сайт
В идеале вы должны обновлять свой сайт WordPress, как только выпускаются новые обновления, но ежемесячные обновления также работают. Соблюдая ежемесячный график обновлений, вы можете быть уверены, что ваш сайт хорошо защищен, а любые новые уязвимости исправлены.
Обновления часто пугают, потому что известно, что они ломают сайты. Но если вы используете плагин, такой как BlogVault, вы можете протестировать свои обновления на промежуточном сайте и легко объединить изменения с вашим действующим сайтом.
Проверить консоль поиска
Добавление вашего сайта WordPress в консоль поиска Google имеет ряд преимуществ, связанных с SEO, но также может повысить безопасность вашего сайта. В консоли поиска Google есть вкладка «Проблемы безопасности», которая помечает любые вредоносные программы, обнаруженные на вашем сайте, поэтому время от времени проверяйте ее, чтобы помочь вам обнаружить вредоносные программы.
Если вы регулярно сканируете свой сайт с помощью MalCare, вы уже обнаружите вредоносное ПО на своем сайте. Но по-прежнему рекомендуется проверять, считает ли Google, что на вашем сайте ведется какая-либо подозрительная деятельность.
Удалить неиспользуемые темы и плагины
Удаление старых и неиспользуемых тем и плагинов преследует две цели. Во-первых, нужно ускорить работу вашего сайта, так как слишком большое количество файлов может вызвать раздувание и замедление работы сервера. Во-вторых, убедиться, что ваш сайт не может быть атакован через них. Неиспользуемые темы и плагины часто игнорируются и не обновляются, что создает уязвимости, которыми можно легко воспользоваться. Поэтому обязательно ежемесячно проверяйте все темы и плагины, которые вы используете, и удаляйте те, которые служат своей цели.
Примечание. Также проверьте наличие поддельных плагинов на вашем сайте. Вредоносное ПО часто скрыто как папка с плагинами, но поддельные плагины имеют только один или два файла, не могут быть расположены в репозитории WordPress и имеют странные имена, такие как «azzz» или «tiff».
Обновите свои учетные данные
Использование одних и тех же учетных данных слишком долго или их повторное использование в нескольких учетных записях представляет собой серьезный риск. Чтобы защитить свой сайт WordPress, обновляйте свои пароли не реже одного раза в месяц. Это гарантирует, что любой хакер, который мог получить ваш пароль, не сможет его использовать, а также выводит вас из вашей учетной записи на всех устройствах. Хотя это немного неудобно, это гарантирует, что вы можете контролировать доступ к своему веб-сайту.
Проверьте роли и привилегии пользователей
Учетные записи пользователей на вашем сайте WordPress так же важны, как и учетная запись администратора. Если хакер получит доступ к какой-либо учетной записи, он может заразить ваш сайт, повысить свои ролевые привилегии и даже заблокировать доступ к вашему собственному сайту.
Убедитесь, что каждый пользователь на сайте имеет только необходимые привилегии, а старые учетные записи пользователей удалены. Также проверьте, не были ли повышены какие-либо привилегии пользователя без вашего разрешения, это может быть признаком вредоносного ПО.
Блокировать вредоносные IP-адреса
Блокировка или ограничение вредоносных IP-адресов может значительно облегчить вам жизнь. Если вас взломали, вы можете отследить IP-адрес, с которого это происходит, и просто заблокировать его. Это не позволит никому с таким IP-адресом получить доступ к вашему сайту. Этот метод используется для борьбы с хакерами, остановки ботов или троллей и защиты от неавторизованных пользователей. Если вы используете брандмауэр, он автоматически заблокирует вредоносные IP-адреса.
Вы также можете заблокировать всю географическую область, если вы сталкиваетесь с повторяющимися атаками из этого региона.
Проверьте свои резервные копии
Если произойдет худшее, и ваш сайт WordPress выйдет из строя, вы можете положиться на свои резервные копии, чтобы снова запустить его. Но вы также должны убедиться, что ваши резервные копии в безопасности. В случае, если ваши резервные копии уже были взломаны, восстанавливать их будет бессмысленно. Точно так же вам также необходимо проверить, работают ли они, иначе вы будете восстанавливать сломанный сайт. Вы можете легко протестировать свои резервные копии, если используете BlogVault, и убедиться, что они надежны.
Обновите соли WordPress
WordPress использует соли как часть процесса шифрования. Соль — это случайная строка символов, которая добавляется к паролю перед шифрованием. Результирующая строка представляет собой хэш, который хранится в базе данных. Таким образом, если хакер сможет получить хешированные пароли из базы данных и расшифровать их, он все равно не будет знать, какая часть пароля на самом деле является паролем, а какая солью. Единственный способ узнать об этом — получить доступ к солям и ключам безопасности в файле конфигурации.
Это похоже на то, как пароли хранятся в файлах cookie браузера. Причина, по которой вы можете оставаться на любом сайте, заключается в том, что информация о сеансе хранится в файлах cookie. Но если бы там хранились пароли в открытом виде, это было бы опасно. Поэтому WordPress вместо этого хранит соленую и хешированную версию. Наличие доступа к соли не означает, что вы можете расшифровывать хэши, но снижает уровень безопасности. Поэтому важно периодически обновлять свои соли WordPress.
Для долгосрочной безопасности
Проверить SSL
SSL — это протокол безопасности, предназначенный для шифрования любого обмена данными с сервером вашего веб-сайта и с него. Это не позволяет злоумышленникам получить доступ, прочитать или изменить любую передаваемую информацию.
Обычно вы защищаете свой сайт с помощью SSL при получении домена или плана хостинга. Однако срок действия SSL-сертификатов истекает примерно каждые два года, и вам необходимо позаботиться о том, чтобы он обновлялся как можно раньше. Это вдвойне важно, если пользователи совершают транзакции на вашем веб-сайте, поскольку любое нарушение безопасности может привести к утечке данных кредитной карты или банковского счета.
Проверить планы хостинга
Если вы забудете вовремя продлить тарифный план хостинга, ваша учетная запись WordPress будет заблокирована. Это может вызвать ряд проблем. Посещаемость вашего сайта пострадает, вы потеряете клиентов и даже можете потерять данные. Регулярная проверка услуг хостинга также позволяет анализировать трафик вашего сайта и использование сервера. Чрезмерно высокая загрузка сервера является распространенным симптомом атаки грубой силы, и раннее обнаружение таких атак дает больше шансов их остановить. Если вы заранее предупреждены о грубой силовой атаке, вы можете действовать и защитить свой сайт до того, как хакеры получат доступ к вашему сайту.
Разовые меры для полной безопасности
Хотя безопасность WordPress необходимо постоянно проверять, есть некоторые меры, которые вы можете принять один раз, и вам не придется постоянно обновлять их.
Инвестируйте в надежный брандмауэр
Брандмауэр защищает ваш сайт WordPress, отфильтровывая вредоносный трафик и останавливая большинство атак до того, как они смогут заразить ваш сайт. Существует несколько видов брандмауэров, таких как брандмауэры веб-приложений, сетевые брандмауэры или облачные брандмауэры. Сильный брандмауэр веб-приложений, такой как MalCare, позволяет вам фильтровать трафик вашего веб-сайта и блокировать посетителей по количеству попыток входа в систему или географическому местоположению.
Реализовать HTTP-аутентификацию
HTTP-аутентификация — это протокол, который разрешает доступ к веб-ресурсу только тем, кому он предназначен. Аутентификация HTTP ограничивает доступ, запрашивая имя пользователя и пароль при запросе определенной веб-страницы. Теперь, очевидно, вы не можете сделать это для всего своего веб-сайта, но внедрение этого для панели администратора или страницы входа может значительно уменьшить количество атак ботов.
Используйте двухфакторную аутентификацию
Двухфакторная аутентификация — это метод, который требует от пользователя предоставления двух отдельных ключей для доступа к учетной записи. Например, если вы пытаетесь получить доступ к своей электронной почте, обычно вам нужно указать имя пользователя и пароль, но при реализации двухфакторной аутентификации вам также придется предоставить ключ, который создается в режиме реального времени, например -временной пароль или PIN-код. Это снижает количество попыток входа в систему и не перегружает сервер вашего веб-сайта запросами на вход. Он также защищает ваш сайт от атак грубой силы. Вы можете использовать плагин, такой как 2FA, чтобы включить двухфакторную аутентификацию для вашего сайта.
Ограничьте количество попыток входа
Мы уже говорили о том, как необходимо ограничить попытки входа в систему. WordPress по умолчанию разрешает неограниченное количество попыток входа в систему, и это дает хакерам прекрасную возможность попытаться получить доступ к вашей учетной записи WordPress с помощью атак грубой силы. Самый простой способ ограничить количество попыток входа — использовать плагин безопасности, такой как MalCare, или добавить собственный код в файл function.php.
Отключить XML-RPC
Подобно WP REST API, XML-RPC — это функция WordPress, позволяющая удаленно публиковать контент. Это полезно, если вы используете приложение WordPress или вам нужно включить обратные ссылки и пингбэки, но в противном случае хакеры могут использовать его для получения доступа к вашему сайту с помощью атак грубой силы. Самое простое решение здесь — отключить его с помощью плагина или вручную.
Отключить просмотр каталогов
Когда ваш сервер не находит индексный файл для веб-сайта, он показывает индекс содержимого каталога. Если хакер получит доступ к этой информации, он сможет проверить, есть ли на вашем сайте какие-либо уязвимые файлы. Это подвергает ваш веб-сайт серьезным рискам безопасности.
Чтобы избежать этого, вы можете отключить просмотр каталогов, добавив строку кода в ваш файл .htaccess. Выполните следующие действия, чтобы отключить просмотр каталогов на вашем сайте WordPress.
- Загрузите файл .htaccess на свой сайт через FTP-клиент.
- Откройте файл и добавьте следующий код в конец файла:
Опции Все -Индексы
- Теперь сохраните файл и повторно загрузите его. Сначала вам придется удалить исходный файл с вашего сайта.
Ограничить права доступа к файлам
Права доступа к файлам на вашем сайте определяют, кто может получить доступ к каким частям вашего сайта и кто может их изменять. Обычно ваш веб-хостинг настраивает всю эту информацию за вас. Но по-прежнему рекомендуется понимать права доступа к файлам и обеспечивать их оптимальную настройку.
Если вы хотите понять, как работают права доступа к файлам и как вы можете оптимизировать их для обеспечения безопасности вашего сайта, ознакомьтесь с нашим подробным и удобным для начинающих руководством.
Скрыть файл wp-config
Файл wp-config на вашем веб-сайте полон конфиденциальной информации, такой как пароли, ключи и соли. Если хакеры получат доступ к файлу, для них это будет все равно, что закатать красную ковровую дорожку на сайт. Файл wp-config по умолчанию находится в папке public_html, поэтому хакеры знают, где его искать. Но вы можете изменить расположение файла, и он по-прежнему работает так же хорошо, эффективно скрывая конфиденциальную информацию.
Отключение выполнения PHP в определенных папках
Хакеры могут загружать файлы PHP на ваш сайт, замаскированные под основные файлы WordPress, и получать доступ к вашему сайту. В некоторых папках, таких как wp-uploads, вообще не должно быть файлов PHP. Так что же делать в этом случае?
Вы можете отключить выполнение PHP в этих папках, чтобы даже если хакерам удалось проникнуть в эти файлы через любые бэкдоры, они не смогли получить доступ к вашему сайту.
Почему важна безопасность веб-сайта
WordPress — это безопасная платформа, но она очень популярна и привлекает всеобщее внимание. Некоторые из которых являются гнусными. Чтобы убедиться, что хакеры не смогут получить доступ к вашему сайту, вам необходимо убедиться, что безопасность вашего сайта обновлена, иначе вы можете столкнуться с такими ужасными последствиями, как:
- Потеря клиентов
- Потеря данных
- Утечка личных учетных данных
- Потеря дохода
- Юридические проблемы
- Удар по репутации бренда
- Потеря доверия
Последние мысли
Безопасность WordPress не является загадкой. Если вы предпримете несколько шагов для защиты своего сайта, вы сможете отразить атаки и вредоносное ПО и избежать любого ущерба. Мы надеемся, что этот контрольный список безопасности WordPress поможет вам ужесточить меры безопасности.
Если вам нужно простое решение, которое не ставит под угрозу вашу безопасность, MalCare — единственный вариант. Благодаря автоматическому сканированию, расширенному брандмауэру и очистке одним щелчком мыши MalCare представляет собой комплексное решение для защиты вашего сайта.
Часто задаваемые вопросы
Как защитить свой сайт WordPress?
Самый простой способ защитить свой сайт WordPress — установить плагин безопасности, такой как MalCare. MalCare каждый день сканирует ваш веб-сайт, чтобы убедиться, что он в безопасности, и защищает ваш веб-сайт с помощью своего расширенного брандмауэра. Он также предлагает очистку одним щелчком мыши в случае взлома.
Есть ли у WordPress проблемы с безопасностью?
WordPress — это безопасная платформа, используемая более чем половиной веб-сайтов в Интернете. Однако именно из-за этой популярности он привлекает внимание хакеров. Вы можете защитить свой сайт WordPress с помощью плагина безопасности, чтобы убедиться, что ваш сайт защищен от этих элементов.
Как защитить свой сайт WordPress без плагинов?
Если вы хотите защитить свой сайт без использования плагинов, вам необходимо регулярно выполнять несколько проверок безопасности. Вам придется выполнять сканирование сайта, делать резервные копии, искать подозрительное поведение в журнале активности сайта и вручную очищать любое вредоносное ПО, которое вы можете обнаружить. Список способов, которыми хакеры могут проникнуть на ваш сайт, бесконечен, и единственный способ защитить свой сайт без необходимости постоянно быть начеку — это использовать плагин безопасности.