Руководство для начинающих по безопасности веб-сайта WordPress

Руководство для начинающих по безопасности веб-сайта WordPress

Все мы знаем, что WordPress является самой популярной платформой для ведения блогов в мире. Миллионы пользователей ежедневно работают с этой CMS. И поскольку она так популярна, для неё есть множество разных тем, плагинов и служб, которые дополняют каждый сайт. Но популярность имеет обратную сторону.

Наряду со всеми преимуществами, имеются также недостатки, идущие вместе с открытой версией WordPress. Хакеры обращают больше внимания на эту платформу, как раз из-за её популярности. Они следят за каждым Вашим неверным шагом.

Да, это звучит немного неприятно, но это так. Многие не понимают опасности, исходящей от хакеров, и сознательно пренебрегают безопасностью своих блогов; пока не стало слишком поздно, и все, что они могут сделать, это позвать на помощь. И чтобы Вы не стали еще одной жертвой Интернета, уделите внимание этой статье, поскольку я собираюсь показать Вам самые важные вещи, которые Вы могли бы и должны сделать для своего сайта. Даже если Вы начинающий, Вы можете многое сделать для повышения уровня безопасности своего блога.

Регулярные обновления

Одним из первых шагов по улучшению безопасности сайта должно стать регулярное техническое обслуживание. Из-за большого количества инноваций в технологии, это нормально, что обновления появляются очень часто. И Вам нужно понять, что обновление файлов ядра WordPress, плагинов и тем не так уж и сложно, и это поможет защитить Ваш сайт.

Обновление тем WordPress

Если Вы взглянете на официальную статистику WordPress, то заметите, что очень много людей все еще используют в своих блогах старые версии WordPress. В редких случаях это оправдано, но чаще всего необходимо обновлять свой сайт к новейшей версии.

То же самое касается различных тем и плагинов, которые также нуждаются в регулярных обновлениях. Я уже говорил о том, почему так важны обновления и как их устанавливать непосредственно с инструментальной панели.

Тщательно выбирайте имя пользователя

Хотя может показаться не таким страшным, что администратор входит в систему под именем пользователя «admin», это серьезная проблема безопасности. Поскольку многие пользователи не меняют имя пользователя, имеющееся по умолчанию, хакеры вполне могут его угадать. Оставив всё как есть, Вы, фактически, играете на стороне злоумышленника.

Имя пользователя в WordPress

При установке WordPress вместо «admin» используйте Ваше имя, ник или что-то еще. Если у Вас уже имеется сайт с именем пользователя «admin», его можно изменить. Один из вариантов — создать нового пользователя с правами администратора, зайти в свою консоль под новым именем, а затем удалить пользователя, использовавшегося по умолчанию (записи, имеющиеся под старым именем пользователя, будут автоматически назначены новому пользователю), или Вы можете использовать плагин Username Changer, который всё это сделает еще проще.

Используйте надежные пароли

Надёжные пароли состоят из более чем десятка различных символов, которые включают буквы, цифры и другие специальные символы. К сожалению, вместо надежного пароля, такого как «kYj7G0%SO[» многие по-прежнему используют небезопасные пароли, такие как их имена, даты рождения или простые комбинации, которые легко угадать (например, «1234» — это никудышный пароль, но его достаточно часто используют).

Пока не стало слишком поздно, предлагается изменить свой пароль на надёжный. Вы даже можете использовать плагин Force Strong Passwords, если хотите обеспечить безопасность паролей для всех ваших пользователей.

Регулярно выполняйте резервное копирование сайта

Резервное копирование

Регулярное резервное копирование важнее, чем считают многие начинающие пользователи. Большинство из них думают, что их сайты недостаточно ценны для хакеров, или что они уже сделали все возможное, чтобы обеспечить безопасность сайта. Но когда произойдет что-то плохое, Вам понадобится недавняя резервная копия (бэкап) Вашего блога. В таком случае, даже если всё удалено, потеряно или Вы просто утратили доступ к блогу, Вы всегда сможете восстановить полную резервную копию своего веб-сайта и продолжить работу без особых проблем.

Используйте безопасные соединения

SSL (Secure Socket Layer) — это технология, обеспечивающая безопасную передачу данных между браузерами пользователей и серверами. Если используется SSL, хакеры с меньшей вероятностью смогут перехватывать конфиденциальные данные (например, имена пользователей, пароли и номера кредитных карт).

Хотя это может показаться слишком сложным технически, Вы можете очень быстро получить свой SSL. Многие хостинговые компании в настоящее время предлагают бесплатные SSL-сертификаты, и Вы также, в свою очередь, можете запросить об этом дополнительную информацию у своей хостинговой компании. Кроме того, Вы можете приобрести отдельные сертификаты, которые затем могут быть установлены на Вашем сайте.

Просканируйте все файлы на наличие проблемных мест в безопасности

Устанавливая различные плагины и темы из Интернета, Вы рискуете всем сайтом. Если элемент, который Вы пытаетесь добавить, содержит вредоносное программное обеспечение, можно дать возможность подвергнуть сайт взлому или поставить под угрозу безопасность всех, кто его использует. Это может быть проблемой, даже если Вы единственный администратор. Но представьте себе риск для Вашего сайта, когда есть десятки пользователей, которые могут добавлять темы, плагины и другие файлы.

Плагин Security Ninja

Чтобы убедиться, что Вы в безопасности, предлагается использовать бесплатный плагин Security Ninja. Просто нажмите одну кнопку, и плагин просканирует весь сайт на наличие дыр в системе безопасности, уязвимостей и вредоносных программ. А затем Security Ninja посоветует Вам, как исправить проблемы на Вашем сайте.

Ограничьте количество попыток входа в систему

При попытке получить доступ к Вашему сайту хакеры часто используют атаки перебором. Используя боты и различные скрипты, они будут постоянно пытаться угадать комбинацию Вашего имени пользователя и пароля. Чтобы их остановить, пока не стало слишком поздно, можно довольно легко ограничить количество попыток входа в систему. В этом случае каждый пользователь получит три, пять или десять попыток входа на Ваш сайт. Если все попытки будут неудачными, этот пользователь будет заблокирован в течение определенного периода времени.

Чтобы ограничить количество попыток входа в систему, Вы можете использовать бесплатный плагин под названием Login LockDown или выбрать платный плагин Login Ninja.

Используйте двухэтапную аутентификацию

Если Вы понимаете, что производится слишком много попыток входа в систему, то можно усилить степень безопасности, используя двухэтапный процесс аутентификации. В отличие от обычных логинов, двухэтапная аутентификация добавляет еще один уровень безопасности, предлагая пользователю ввести еще один пароль со стороннего устройства. Например, после ввода Вашего имени пользователя WordPress и пароля плагин для двухэтапной аутентификации отправит на Ваш смартфон определенный код. Обычно этот код действителен только в течение нескольких минут и работает только с комбинацией имени пользователя и пароля.

Двухэтапная аутентификацияИз-за дополнительного уровня безопасности Ваш логин практически непробиваем. Единственным недостатком двухэтапной аутентификации является более сложный процесс входа в систему.

Вы можете использовать плагин типа 5sec Google Authenticator, который работает в сочетании с официальным приложением Google Authenticator для генерации кодов на Вашем смартфоне.

Измените префикс таблиц базы данных

При установке WordPress Вы можете ввести свой собственный префикс для таблиц базы данных, используемых платформой WordPress. В целях безопасности важно, чтобы у Вас был уникальный префикс, чтобы хакеры не смогли легко получить доступ к таблицам. Поскольку при инсталляции WordPress по умолчанию используется один и тот же префикс «wp_» и одинаковые имена таблиц, хакерам даже не приходится угадать, где хранится вся информация.

И если Вы не ввели свой префикс при установке WordPress, то можно внести изменения прямо сейчас. Есть несколько способов сделать это вручную, но так как это руководство для начинающих, я просто укажу Вам на бесплатный плагин, который сделает всё сам. Вам нужно только установить плагин Change Table Prefix и выбрать другой префикс. Вы можете удалить плагин после окончания модификации.

Скройте страницу входа

По умолчанию каждый сайт WordPress имеет один и тот же URL-адрес входа. Всё, что требуется, — добавить /wp-login или /wp-admin в конце имени любого домена, чтобы получить доступ к странице входа, где можно начать угадывать учетные данные. Таким образом, чтобы ограничить доступ к Вашей странице входа, Вы можете просто скрыть её.

Более продвинутые пользователи могут напрямую изменить ссылку из файлов WordPress, но для начинающих предлагается использовать простой и бесплатный плагин WPS Hide Login.

Получайте уведомления о проблемах безопасности

Вы не можете постоянно быть на своем сайте. Но, к сожалению, проблемы с безопасностью могут возникнуть в любой момент. Кто-то может попытаться украсть Ваш домен или изменить данные Name-сервера для перенаправления ваших писем. Может так случиться, что Вы использовали вредоносное программное обеспечение, которое изменило Ваш контент, или Google может пометить сайт как небезопасный, даже если Вы об этом не догадываетесь. Иногда такие проблемы неизбежны. Но Вы всё равно можете среагировать сразу же, как только узнаете о них.

Инструмент SmartMonitor PRO

Такие инструменты, как SmartMonitor, могут здесь помочь. Этот плагин WordPress будет информировать Вас по электронной почте, SMS или push-уведомлению, как только произойдет что-то подозрительное. Узнавая об угрозах безопасности вовремя, Вы можете связаться со своим хостинг-провайдером или специалистом по безопасности, чтобы спасти ситуацию.

Автоматически производите выход из системы для неактивных пользователей

Если Вы работаете дома, то не имеет большого значения, что Вы остаетесь на Вашем сайте WordPress долгое время. Но если Вы хотите взять свой блог с собой и получить доступ к консоли с ноутбука, планшета или смартфона в общественном месте, легко забыть выйти из системы. И если Вы случайно оставите свой дивайс без присмотра, кто-то может легко получить доступ к Вашему сайту, сменить пароль и украсть всё.

Если Вы установите Idle User Logout, этот бесплатный плагин будет проверять активность пользователя и автоматически производить выход из системы для каждого, кто не был активен в течение определенного времени. Иногда это может очень сильно помочь.

Используйте плагины безопасности «все-в-одном»

Многие из мер предосторожности, которые были упомянуты в этой статье, являются частью популярных плагинов безопасности. Многие из них позволяют Вам защитить сайт всего за несколько кликов. В зависимости от используемого плагина, Вы даже можете получить несколько дополнительных преимуществ, которые ещё повысят уровень безопасности Вашего сайта. Некоторые из самых популярных плагинов безопасности:

Заключение

О безопасности веб-сайта нужно заботиться постоянно. Даже если Вы полный новичок, Вы можете выполнить те шаги, которые упомянуты в этой статье. Но это только начало. Есть гораздо больше вещей, которые следует учитывать, но поскольку они требуют изменений программных файлов и прав доступа к ним, оставлю эти советы на будущее.

Для начинающих важно понимать, что безопасность Вашего сайта в Ваших руках, и что Вы всегда должны стремиться сделать блог максимально безопасным.

Оставьте комментарий