Как защитить свой сайт WordPress в 2023 году (подробное руководство)
Опубликовано: 2023-07-28WordPress стал одной из самых популярных в мире систем управления контентом (CMS), на ней построено более 44% веб-сайтов. Как и в случае с любой онлайн-платформой, безопасность должна быть на первом месте в вашем списке проблем. В этом посте мы рассмотрим проблемы безопасности WordPress и дадим советы о том, как обеспечить безопасность и безопасность вашего веб-сайта WordPress.
Давайте погрузимся.
- 1 Безопасен ли WordPress?
- 2 проблемы безопасности WordPress
- 3 Как защитить свой сайт WordPress
- 3.1 Безопасность WordPress: выберите хороший хостинг WordPress
- 3.2 Защитите свой вход в WordPress
- 3.3 Используйте набор плагинов безопасности WordPress
- 3.4 Обновляйте PHP
- 3.5 Выбирайте надежные пароли
- 3.6 Безопасность WordPress: регулярно обновляйте программное обеспечение
- 3.7 Установите SSL-сертификат
- 3.8 Провести аудит безопасности
- 3.9 Расширенные методы безопасности WordPress
- 4 Что делать, если ваш сайт WordPress взломан
- 5 заключительных мыслей о безопасности WordPress
Безопасен ли WordPress?
Для большей части, да. Разработчики WordPress усердно работают над обеспечением безопасности своей платформы с помощью регулярных исправлений и обновлений. Однако, поскольку WordPress построен на платформе с открытым исходным кодом, хакеры могут анализировать ее структуру и часто разрабатывать новые способы получения контроля над веб-сайтами WordPress. Из-за этого безопасность WordPress имеет решающее значение. Знание рисков, связанных с использованием WordPress, важно для лучшего понимания того, как защитить свой сайт.
Вопросы безопасности WordPress
При работе с веб-сайтом WordPress существует несколько потенциальных рисков, о которых следует помнить. Одной из самых больших проблем являются хакеры. Поскольку WordPress настолько популярен, он привлекает внимание злоумышленников, которые пытаются использовать уязвимости, такие как устаревшие плагины или основные файлы, для получения несанкционированного доступа к вашему сайту. Они могут использовать такие методы, как бэкдоры, запуск атак методом перебора, фармацевтические атаки, атаки типа «отказ в обслуживании» (DoS) или межсайтовые сценарии (XSS).
Если оставить это нерешенным, могут быть серьезные последствия, такие как вредоносное ПО (вредоносный код, предназначенный для кражи информации о посетителях вашего сайта), перенаправление вашего веб-сайта на совершенно другой сайт, добавление контента, о котором вы не знаете, предупреждения Google, которые могут повредить вашей позиции в поисковая выдача или, что еще хуже, невозможность войти на ваш сайт.
Как защитить свой сайт WordPress
В следующем разделе будут рассмотрены передовые методы повышения безопасности WordPress для защиты вашего веб-сайта от потенциальных угроз.
Подпишитесь на наш канал на Youtube
Безопасность WordPress: выберите хороший хостинг WordPress
Первый шаг, который нужно сделать, — это партнерство с хорошей хостинговой компанией WordPress. Имея так много доступных вариантов, может быть трудно определить, как выбрать правильный хост. Если вы новичок, вероятно, лучше выбрать хорошего поставщика управляемого хостинга, такого как SiteGround, который будет предоставлять все обновления безопасности для WordPress, а также поддерживать сервер, на котором он установлен. Для тех, кто более технически подкован, отличным выбором будет провайдер облачного хостинга, такой как Cloudways.
Любой вариант предоставит вам все инструменты, необходимые для обеспечения безопасности вашего сайта, в том числе:
- Бесплатный SSL-сертификат
- Брандмауэр веб-приложений (WAF)
- SFTP-доступ
- Защита от распределенного отказа в обслуживании (DDoS)
- Защита от вредоносных программ
Обеспечьте безопасность входа в WordPress
Еще одна простая вещь, которую вы можете сделать, чтобы повысить безопасность WordPress, — это заблокировать свои учетные данные для входа. Это можно сделать несколькими способами, в том числе с помощью плагина для изменения URL-адреса входа с /wp-admin на что-то по вашему выбору. Вы также можете добавить двухфакторную аутентификацию (2FA) в свой логин и ограничить количество попыток входа, что поможет отпугнуть ботов.
Еще один способ защитить ваш логин — связать его с вашей учетной записью Google с помощью входа в Google Apps для WordPress. После того, как ваш логин заблокирован, вы должны внести IP-адреса ваших пользователей в белый список. Это гарантирует, что войти смогут только зарегистрированные пользователи, даже если им удалось вычислить ваш пароль.
Используйте набор плагинов безопасности WordPress
Еще одна очень полезная вещь, которую вы можете сделать, это установить хороший плагин безопасности, такой как iThemes Security. Это позволит вам добавить 2FA, ограничить количество попыток входа в систему, запланировать резервное копирование и скрыть свой логин WordPress.
В дополнение к плагину безопасности WordPress рассмотрите возможность установки хорошего плагина резервного копирования, такого как UpdraftPlus, если ваш хост не предлагает резервное копирование. Плагин для резервного копирования защитит вас от потери файлов вашего сайта, помогая избежать повторной сборки WordPress с нуля. Вы можете легко восстановить свой сайт без особых усилий, если что-то пойдет не так. Наконец, включение плагина журнала активности, такого как WP Activity Log, позволит вам точно определить, что и когда пошло не так.
Держите PHP обновленным
Для правильной работы WordPress требуется три вещи: поддержка PHP, MySQL и HTTPS. PHP, или препроцессор гипертекста, является популярным языком сценариев с открытым исходным кодом, используемым в веб-разработке, и является основой WP. Как и в случае с WordPress, открытый исходный код оставляет его открытым для злоумышленников, желающих воспользоваться преимуществом. Чтобы избежать этих потенциальных проблем, лучше постоянно обновлять PHP. Это не только помогает с безопасностью WordPress, но и обеспечивает оптимальную работу вашего сайта.
Выбирайте надежные пароли
Одним из наиболее важных аспектов безопасности WordPress является выбор надежных паролей для входа в систему. Ненадежные или легко угадываемые пароли делают ваш сайт уязвимым для несанкционированного доступа и делают его уязвимым для ботнетов. Ботнеты — это совокупность компьютеров, зараженных вредоносным ПО и попавших под контроль хакера. Они являются основной причиной DDoS-атак в Интернете, но вы можете предотвратить их попадание на свой сайт, приняв соответствующие меры предосторожности.
Например, вы можете защитить свой сайт, убедившись, что все пользователи придерживаются политики паролей. Отличный способ сделать это — установить плагин, такой как Password Policy Maker.
Безопасность WordPress: регулярно обновляйте программное обеспечение
Еще один простой шаг в обеспечении безопасности WordPress — постоянное обновление ядра WordPress, плагинов и тем. Устаревание программного обеспечения может иметь негативные последствия для вашего веб-сайта, включая нарушения безопасности, белый экран смерти WordPress или любое количество распространенных ошибок.
Вы можете либо следить за обновлениями самостоятельно, либо включить автоматические обновления. То, что вам подходит, зависит от нескольких факторов, включая время, опыт и тип программного обеспечения, которое работает на вашей установке WordPress. Независимо от того, обрабатываете ли вы обновления или выбираете автоматическое обновление, вы всегда должны делать резервную копию перед выполнением любых обновлений.
Установить SSL-сертификат
Если вы сотрудничаете с хорошим хостинг-провайдером, одним из его преимуществ является бесплатный SSL-сертификат. Однако могут возникнуть ситуации, когда вам нужно будет установить его самостоятельно. Большинство провайдеров, таких как SiteGround, предлагают бесплатный SSL, который устанавливается за несколько минут. Читая это, вы можете спросить : «Зачем мне нужен SSL-сертификат?». Давайте объясним.
SSL, или безопасный уровень сокетов, расширяет протокол передачи гипертекста (HTTP) до безопасного протокола передачи гипертекста (HTTPS), добавляя шифрование и дополнительный уровень безопасности. Например, потребитель, который совершает покупку через HTTP, рискует получить информацию о своей кредитной карте. С другой стороны, их информация была бы защищена, если бы они совершили ту же покупку через HTTPS. Ваш сайт и его посетители открыты и уязвимы без этого безопасного соединения. Вот почему установка SSL-сертификата на любом новом веб-сайте имеет решающее значение.
Провести аудит безопасности
После того, как вы предприняли шаги для защиты своего сайта, важно время от времени проводить аудит безопасности WordPress. Так же, как ежедневно меняются технологии, меняется и арсенал инструментов хакера. Вредоносное ПО и другие тактики разрабатываются регулярно, поэтому защита вашего веб-сайта WordPress не является разовой задачей. Запланируйте регулярные проверки безопасности и ищите признаки того, что у вашего сайта могут быть проблемы. Если вы заметили, что ваш сайт загружается медленно, ваш трафик падает, вы обнаружите новые ссылки, которые вы не добавляли, или у вас слишком много попыток входа в систему, возможно, пришло время запустить сканирование безопасности, чтобы убедиться, что ваш сайт остается в безопасности.
Расширенные методы безопасности WordPress
В дополнение к шагам, перечисленным выше, есть еще несколько продвинутых методов, которые можно включить в ваш сайт для повышения безопасности WordPress.
Закрепите файл wp-config.php
Одной из распространенных точек входа для хакеров является файл wp-config.php вашего веб-сайта WordPress. Он содержит информацию о вашей базе данных, включая имя, хост, имя пользователя и пароль. Оставлять этот важный файл открытым может оказаться вредным, поэтому скрытие его всегда является хорошей идеей.
Переместите файл wp-config.php
Чтобы переместить wp-config, вы можете перетащить его в корневую папку вашего сайта (общедоступный HTML), и WordPress будет искать его всякий раз, когда сайт пингуется. Однако, если файловая структура вашего сайта включает файл htaccess, вы можете дополнительно защитить его, добавив директиву для запрета доступа к нему, используя следующий код:
<FilesMatch "wp-config/.php"> Require all denied </FilesMatch">
Примечание. Прежде чем сделать это, убедитесь, что ваш хостинг-провайдер еще не предпринял шаги для перемещения файла wp-config за вас. Некоторые хостинги, такие как Kinsta, делают это автоматически, чтобы обеспечить безопасность вашего сайта.
Изменить солевые ключи WordPress
Еще один способ защитить файл wp-config — изменить сольные ключи вашего сайта. Эти ключи добавляют дополнительный уровень защиты при сохранении паролей в вашей базе данных, входе в файлы cookie и других важных аспектах безопасности WordPress. Если хакеры смогут получить ваши солевые ключи, они смогут получить доступ к базе данных и файлам вашего сайта, включая сохраненную информацию о кредитной карте, пароли и другую важную информацию. Поэтому рекомендуется их периодически менять.
Изменить права доступа к файлам
По умолчанию для файлов в корневом каталоге установлено значение 644, что означает, что они доступны как для чтения, так и для записи, что делает их уязвимыми для злоумышленников. Согласно WordPress, их нельзя оставлять с разрешениями по умолчанию. Вместо этого их следует изменить на 440 или 400, чтобы другие пользователи на том же сервере не могли их прочитать. Однако важно проконсультироваться с вашим хостинг-провайдером, прежде чем вносить какие-либо изменения в права доступа к файлам. У них может быть уникальная система, поэтому изменение разрешений может привести к сбоям в работе вашего сайта.
Отключить XML-RPC
XML-RPC — это API WordPress, который позволяет вам подключать ваш сайт к сторонним приложениям и инструментам. В последние годы он использовался для атак методом грубой силы, открывая доступ к сайтам WordPress. Он в основном используется для подключения к Zapier или удаленного доступа к вашему сайту через приложение. Вы должны отключить XML-RPC на своем сервере, если вы не используете ни одно из этих подключений.
Есть несколько способов сделать это, включая отключение через htaccess, фрагмент кода или плагин. Самый продвинутый метод, htaccess, может быть сложным для новичков, поэтому наиболее рекомендуемым подходом является использование фрагмента кода.
Для метода htaccess используйте FTP-клиент для доступа к файлам вашего сайта, затем добавьте следующий код в файл htaccess:
# Block WordPress xmlrpc.php requests <Files xmlrpc.php> order deny, allow deny from all allow from 123.123.123.123 </Files>
Примечание. Обязательно измените IP-адрес 123.123.123.123 на свой собственный.
Кроме того, вы можете использовать вкладку htaccess инструментов плагина AIOSEO, чтобы вставить код:
Если вы предпочитаете отключить XML-PRC с помощью фрагмента кода, вы можете легко сделать это с помощью плагина WPCode. Он имеет встроенный фрагмент кода, который можно использовать для отключения API.
Скрыть версию WordPress
Когда речь идет о безопасности WordPress, этот шаг часто упускают из виду, но он очень важен. По умолчанию WordPress оставляет след в коде вашего сайта, который показывает, какая версия установлена. Это может показаться безобидным, но, получив доступ к исходному коду веб-сайта, хакеры могут определить, какую версию WordPress вы используете. Если она устарела, они могут использовать эту информацию, чтобы взломать ваш сайт, внедрив вредоносное ПО или вредоносные скрипты.
Итак, в качестве дополнительной меры безопасности WordPress скройте версию WordPress вашего сайта, чтобы хакерам было труднее получить контроль над вашим сайтом. Есть хорошие способы сделать это. Вы можете либо реализовать плагин фрагмента кода, который удалит строку в исходном коде, либо создать дочернюю тему и поместить ее в файл functions.php.
function elegantthemes_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
В качестве альтернативы, если вы хотите удалить версию WP в метатеге, в строках запросов к базе данных и в RSS-каналах, используйте этот код:
/* Hide WP version strings from scripts and styles * @return {string} $src * @filter script_loader_src * @filter style_loader_src */ function elegantthemes_remove_wp_version_strings( $src ) { global $wp_version; parse_str(parse_url($src, PHP_URL_QUERY), $query); if ( !empty($query['ver']) && $query['ver'] === $wp_version ) { $src = remove_query_arg('ver', $src); } return $src; } add_filter( 'script_loader_src', 'elegantthemes_remove_wp_version_strings' ); add_filter( 'style_loader_src', 'elegantthemes_remove_wp_version_strings' ); /* Hide WP version strings from generator meta tag */ function wordpress_remove_version() { return ''; } add_filter('the_generator', 'elegantthemes_remove_version');
Что делать, если ваш сайт WordPress взломан
Даже если вы все сделаете правильно, вы можете оказаться в ситуации, когда ваш сайт взломан. К счастью, есть шаги, которые вы можете предпринять, включая перевод сайта в режим восстановления, восстановление из последней резервной копии или сброс паролей. Если ничего не помогает, ваш хостинг-провайдер может помочь.
Заключительные мысли о безопасности WordPress
Предприняв необходимые шаги для повышения безопасности WordPress, вы можете гарантировать, что ваш сайт продолжит нормальную работу, оставаясь при этом безопасным для посетителей. Хотя WordPress предлагает огромные преимущества и простоту использования, важно понимать его недостатки. К счастью, существует ряд плагинов безопасности WordPress, таких как iThemes, которые могут помочь отслеживать ситуацию.
Ищете дополнительную информацию о WordPress? Ознакомьтесь с некоторыми из наших подробных статей, которые в кратчайшие сроки превратят вас в эксперта по WordPress:
- Как установить WordPress: полное руководство
- 10 лучших вариантов хостинга WordPress в 2023 году (выбрано вручную)
- 31 лучший плагин WordPress в 2023 году (все, что вам нужно)
- 10 лучших тем WordPress в 2023 году (сравнение и ранжирование)
Избранное изображение через Пиковит / Shutterstock.com