Как защитить свой сайт WordPress — 9 советов | JustLearnWP.com

Опубликовано: 2020-01-13

WordPress, пожалуй, не самая популярная CMS в мире, на долю которой приходится около половины мирового рынка. Это неудивительно, учитывая, что он существует уже давно, а также имеет множество отличных функций, которые нравятся разработчикам.

Тем не менее, его популярность также означает, что он является целью кибератак, которые охотятся на плохо защищенные сайты WordPress. Так что не становитесь следующей жертвой целевых атак WordPress! Итак, что делать, чтобы обезопасить себя от хакеров. Не волнуйтесь! Мы собрали несколько ключевых шагов, которые вы должны выполнить, чтобы усилить безопасность WordPress.

Использовать SSL

SSL означает Secure Socket Layer, и это протокол, который реализует безопасность клиент-сервер на веб-сайтах и ​​защищает данные между сервером и браузерами. Вы можете включить безопасность SSL, установив так называемый сертификат SSL. Таким образом, вы сможете защитить себя и своих пользователей, особенно если ваш сайт обрабатывает конфиденциальные данные, такие как информация о кредитной карте и тому подобное.

Let's Encrypt предлагает бесплатные SSL-сертификаты.

Существует множество типов SSL-сертификатов, которые вы можете купить в зависимости от вашего веб-сайта WordPress. Например, вы можете купить мультидоменный SSL, который защищает основной домен вашего сайта вместе с другими доменами и поддоменами под ним. Суть в том, что вам нужно купить правильный SSL для вашего сайта WordPress.

Тема Focus и безопасность плагинов

Один из самых простых способов проникновения злоумышленника на ваш сайт WordPress — использование тем и плагинов. В архитектуре WordPress есть функции, которые нам нравятся, и, к сожалению, некоторые классные темы и плагины WordPress не бесплатны.

Некоторые мошеннические разработчики часто пиратят эти темы и плагины, предоставляющие бесплатный доступ сообществу. Звучит как хорошая сделка? Это может быть не так.

Большинство пиратских версий могут представлять потенциальную опасность для вашего сайта WordPress. Нетрудно догадаться, что мошеннические разработчики реконструируют эти продукты, и вы, конечно же, не можете полагаться на то, что они просто захотят передать вам их бесплатно, не скрывая какой-либо вредоносный код.

Как правило, вы должны быть осторожны с плагинами и темами, бесплатными или платными. Вот несколько советов по безопасности, о которых следует помнить при работе с плагинами и темами WordPress:

  1. Устанавливайте только темы и плагины из проверенных источников (чем больше у них отзывов, тем лучше)
  2. Обновляйте свои темы и плагины всякий раз, когда выпускаются новые версии
  3. Деактивируйте и удалите устаревшие плагины и темы

Защитите свои пароли WordPress

Безопасность паролей — еще один аспект безопасности WordPress, который часто игнорируется. Часто это простые шаги, такие как частая смена паролей, использование длинных паролей, которые трудно угадать, и т. д.

На самом деле, распространенный тип атаки, используемый против веб-сайтов WordPress, известен как атака грубой силы. Здесь злоумышленник пытается угадать ваши пароли для входа, и это определенно будет проще, если ваши пароли легко взломать.

  1. Установите пароли с истекающим сроком действия для конфиденциальных приложений, таких как банковские операции.
  2. Установите сеансы для пользователей вашего сайта WordPress
  3. Добавьте уровень аутентификации

Добавление уровней аутентификации — это еще один способ снизить вероятность доступа хакеров к вашему сайту с помощью таких атак, как грубая сила. Другими словами, вы не хотите, чтобы кто-то получил доступ к вашему сайту, просто взломав ваши пароли и все!

Вы можете добавить еще один уровень сложности, чтобы сделать его еще сложнее. Хорошим примером является то, что известно как двухфакторная аутентификация (2FA), когда вы можете добавить что-то вроде проверки SMS поверх обычной комбинации имени пользователя/электронной почты и пароля.

Изменить страницу входа в WordPress

Еще один способ уменьшить количество атак методом перебора и таких атак, как отказ в обслуживании (DOS), — это изменить страницы входа в WordPress по умолчанию, что затруднит хакерам попытки атаковать ваш сайт.

HideMyWP — очень мощный и популярный плагин безопасности, который предлагает множество функций для защиты вашего сайта WordPress.

Изменить страницу входа в WordPress довольно просто. Просто найдите плагин, который настраивает URL-адрес входа, установите его на свой WordPress, и все готово.

Фильтровать трафик на ваш сайт WordPress

Вы также можете защитить свой веб-сайт WordPress, отфильтровав трафик, особенно тот, который выглядит подозрительно. Например, вы можете заблокировать трафик из мест, откуда вы не ожидаете посетителей.

Вы можете ограничить IP-адреса, которые могут получить доступ к страницам входа в систему и панели управления WordPress. Опять же, существует множество инструментов, которые могут помочь в создании таких правил и ограничений, таких как использование плагинов брандмауэра, использование теста CAPTCHA и т. д.

Защитите свои файлы и базу данных WordPress

Сторонний хостинг поможет защитить ваш сайт на уровне хостинга, но вам все равно придется работать на своем сайте, чтобы защитить ваши файлы WordPress. Например, вы должны убедиться, что права доступа к файлу указаны правильно, чтобы избежать нарушения безопасности. Вот другие способы защитить ваши файлы WordPress и БД:

  1. Измените префикс базы данных с префикса по умолчанию
  2. Отключите выполнение файла PHP, чтобы предотвратить запуск вредоносного кода на серверной части,
  3. Отключить просмотр каталога
  4. Скрыть файлы wp-config.php и .htaccess

Назначение надлежащих прав пользователя

Каждому пользователю в вашей команде должны быть назначены привилегии в зависимости от его роли. Таким образом, вы только предотвратите уязвимости, нацеленные на ваших пользователей WordPress. Привилегии WordPress высокого уровня должны назначаться только тем пользователям, которые могут взять на себя и защитить эту ответственность.

Сделайте резервную копию вашего сайта WordPress

Наконец, регулярно делайте резервную копию своего сайта, чтобы у вас была точка восстановления в случае возникновения нежелательной ситуации. Существуют сторонние плагины для резервного копирования, веб-хостинг, служба обслуживания веб-сайтов и ручные способы, которые помогут вам регулярно выполнять резервное копирование.

JetPack — один из лучших плагинов для резервного копирования и защиты вашего веб-сайта, если он предлагает множество функций, и резервное копирование — одна из них. Установите Jetpack и используйте функции резервного копирования.

Катастрофа может поразить ваш веб-сайт в любое время, так как время простоя может привести к потере бизнеса, поэтому вам следует часто делать резервное копирование. Желательно запланировать автоматическое резервное копирование, чтобы облегчить вам задачу.

Последние мысли

Мы рассмотрели некоторые основные шаги по обеспечению безопасности, которые вы должны предпринять, чтобы защитить свой сайт WordPress и, следовательно, защитить свой бизнес. Это определенно не все, но это должно помочь вам начать работу с точки зрения безопасности WordPress.