Новости

Безопасность WordPress - 14 способов защитить ваш сайт WordPress (2019)

  1. 1. Используйте хороший веб-хостинг
  2. 2. Используйте только качественные темы и плагины
  3. 4. Не используйте «Admin» в качестве имени пользователя
  4. 5. Используйте надежный пароль
  5. 9. Изменить префикс базы данных
  6. 10. Защита файлов wp-config.php и .htaccess
  7. 11. Добавить ключи безопасности
  8. 12. Отключить редактирование файлов
  9. 13. Предотвратите выполнение файлов PHP
  10. 14. Выборочное отключение XML-RPC
  11. Бонус: как проверить уязвимости
  12. Бонус: лучшие плагины безопасности WordPress
  13. Wordfence
  14. Sucuri
  15. iThemes Security
  16. Заключение

Безопасность WordPress должна быть главным приоритетом для владельцев сайтов. Зачем? Потому что каждую минуту происходит до 90 000 атак на сайты WordPress.

Если этого недостаточно, каждую неделю Google помещает в черный список около 20 000 веб-сайтов для вредоносных программ и 50000 для фишинга. А когда веб-сайт попадает в черный список - и пользователи вынуждены соглашаться на риски - это приводит к потере около 95% трафика.

Хотя последняя версия WordPress всегда является наиболее защищенной из доступных версий, вы можете сделать больше для своего сайта, чтобы обеспечить его непроницаемость для хакеров и ботов.

Вот несколько советов, которые помогут вам обезопасить свой сайт.

  1. Используйте хороший веб-хостинг
  2. Используйте только качественные темы и плагины
  3. Постоянно обновляйте ядро, темы и плагины WordPress
  4. Не используйте «Admin» в качестве имени пользователя
  5. Используйте надежный пароль
  6. Использовать двухфакторную аутентификацию
  7. Ограничить попытки входа
  8. Установить сертификат SSL
  9. Изменить префикс базы данных
  10. Защита файлов wp-config.php и .htaccess
  11. Добавить ключи безопасности
  12. Отключить редактирование файлов
  13. Предотвратить выполнение файлов PHP
  14. Отключить XML-RPC выборочно

1. Используйте хороший веб-хостинг

Хороший веб-хостинг - это ваша первая линия защиты от атак на ваш сайт. Поэтому не стоит автоматически выбирать дешевый хостинг. Вместо, Делай свою домашнюю работу ,

Пойдите с уважаемым хостом, который поддерживает последние версии основных веб-технологий, таких как PHP и MySQL. Убедитесь, что ваш хост поддерживает PHP 7 - это официальная рекомендуемая версия PHP для WordPress ,

Рассмотрите возможность выбора управляемый хост WordPress , Эти сервисы созданы специально для WordPress и заботятся обо всех важных технических аспектах хостинга, включая безопасность, резервное копирование, время работы и производительность.

2. Используйте только качественные темы и плагины

Согласно WPScan 52% уязвимостей сайта вызваны плагинами, а 11% - темами. В совокупности, это более 60% безопасности WordPress

Самый простой способ обеспечить ваш плагины а также темы Может противостоять атакам только скачивать их из авторитетных источников. Это включает WordPress.org и премиум провайдеры. Загрузка из хитрых разработчиков, которые скрывают вредоносный код в своих темах и плагинах, может поставить под угрозу ваш сайт.

Если вы не уверены, является ли веб-сайт, с которого вы хотите загрузить файл, безопасным, поищите отзывы и отзывы, чтобы убедиться, что продукт, который вы хотите, имеет качество звука.

Кроме того, убедитесь, что все плагины и темы, которые вы используете, также хорошо поддерживаются и регулярно обновляются. Если плагин или тема не обновлялись в течение долгого времени, скорее всего, в ней есть дыры в безопасности, которые не исправлены, или даже плохой код, который может сделать вас уязвимым для хаков.

Наконец, оставляйте только те плагины и темы, которые вам действительно нужны и которые вы используете. Чем больше у вас есть, тем выше риск быть взломанным. Поэтому регулярно просматривайте список плагинов и тем, отключайте и удаляйте все, что вам не нужно.

WordPress - это программное обеспечение с открытым исходным кодом, разработанное и поддерживаемое всемирным сообществом добровольцев. С каждым новым выпуском исправляются любые уязвимости безопасности.

По умолчанию WordPress автоматически устанавливает незначительные обновления (например, WordPress 4.9.4). Но для основных выпусков (например, WordPress 4.9) вы должны вручную обновиться до последней версии.

9) вы должны вручную обновиться до последней версии

Убедитесь, что на вашем сайте всегда установлена ​​последняя версия WordPress.

Эти основные обновления имеют решающее значение для безопасности и производительности вашего сайта. Поэтому обязательно сделайте резервную копию своего сайта и примените все основные обновления, когда они станут доступны.

Также важно регулярно обновлять любые плагины и темы, чтобы вы всегда использовали самые современные и безопасные версии программного обеспечения.

4. Не используйте «Admin» в качестве имени пользователя

Не используйте «admin» в качестве имени пользователя для вашего сайта. В более ранних версиях WordPress в качестве имени пользователя по умолчанию использовалось «admin», что облегчало работу хакеров - на одну часть головоломки меньше угадывать во время атаки методом перебора.

Но последние выпуски WordPress изменили это, предоставив пользователям возможность ввести свое имя пользователя во время установки. Тем не менее, некоторые люди по-прежнему предпочитают использовать «admin», а не исходное имя пользователя. Просто не надо.

Вы хотите, чтобы злоумышленникам было труднее проникнуть на ваш сайт, чтобы атаки занимали больше времени, и вы или ваш хостинг-провайдер могли определить любые атаки до того, как они будут успешными, и остановить их.

5. Используйте надежный пароль

Всегда создавайте надежные и уникальные пароли для вашей учетной записи администратора WordPress, базы данных, учетной записи хостинга, адреса электронной почты и любых учетных записей FTP. Как и имена пользователей, пароли являются еще одной загадкой для хакеров, и чем сильнее ваш пароль, тем сложнее вам сделать хакерам успешный вход на ваш сайт.

Во время установки WordPress попытается навязать вам надежный пароль и попросит поставить флажок, если вы введете слабый пароль. Хотя вы можете придумать свой собственный пароль, такие инструменты, как Генератор защищенных паролей может создать надежный пароль для вас.

Генератор безопасных паролей позволяет создавать уникальные и случайные пароли.

Даже при наличии надежного имени пользователя и пароля атаки методом перебора все еще являются проблемой для многих веб-сайтов. Здесь может помочь двухфакторная аутентификация.

Двухфакторная аутентификация добавляет еще один шаг в процессе входа в систему, заставляя пользователей вводить код, отправленный на их мобильный телефон, в дополнение к обычным учетным данным для входа. Это может предотвратить автоматические атаки и гарантировать, что ваш сайт не станет жертвой хакеров.

Плагины, такие как iThemes Security, могут реализовывать двухфакторную аутентификацию. Есть также бесплатные плагины, такие как Двухфакторная аутентификация это может добавить этот дополнительный уровень безопасности на ваш сайт.

Бесплатный плагин Two Factor Authentication позволяет легко добавить еще один уровень защиты при входе на ваш сайт.

По умолчанию вы можете пытаться войти в свою учетную запись WordPress столько раз, сколько захотите. Хотя это может быть удобно для вас, если вы забывчивы и не всегда получаете правильный пароль с первого или даже третьего шага, это также удобно для хакеров, выполняющих атаки с использованием грубой силы - это дает им неограниченное количество попыток взлома ваше имя пользователя и пароль.

Это можно легко исправить, ограничив количество неудачных попыток входа в систему, которые пользователь может сделать на вашем сайте. Бесплатные плагины, такие как WP Limit Login Попытки Позволяет ограничить попытки входа и временно заблокировать IP-адреса.

Установка SSL-сертификата на вашем сайте является обязательной, особенно если у вас есть интернет-магазин. Не только потому, что хакерам будет сложно перехватить конфиденциальную информацию между браузерами пользователей и вашим сервером, но и потому, что Google теперь настаивает на том, чтобы у всех сайтов был такой.

Начиная с июля 2018 года с выпуском Chrome 68, веб-страницы, которые загружаются без HTTPS, будут помечены как «небезопасные». Это означает, что пользователи, которые пытаются получить доступ к сайтам, не имеющим SSL-сертификат, получат предупреждение о том, что сайт не заслуживает доверия.

Это объявление очень важно, потому что, по словам Cloudflare, более половины посетителей сети увидят эти предупреждения.

Let's Encrypt - это бесплатный центр сертификации, предоставляющий SSL-сертификаты владельцам сайтов.

Получение сертификата SSL становится все более и более простым. Let's Encrypt предлагает бесплатные сертификаты с открытым исходным кодом в то время как хостинговые компании обычно предоставляют один бесплатно (а иногда даже бесплатно).

9. Изменить префикс базы данных

По умолчанию WordPress использует wp_ в качестве префикса для всех таблиц в базе данных вашего сайта. Это означает, что если вы используете по умолчанию - что является общеизвестным знанием WordPress - хакеры могут легко угадать, как называется ваша таблица, делая ее уязвимой для SQL-инъекций.

Простой способ исправить это, изменить префикс на что-то случайное, например 5jiqtu69dg_, используя генератор случайных строк , Чтобы обновить префикс вашей таблицы, откройте файл wp-config.php в корневом каталоге файлов вашего сайта и найдите следующую строку:

$ table_prefix = 'wp_';

Используя мой пример, вы бы заменили строку так:

$ table_prefix = '5jiqtu69dg_';

Далее вам необходимо обновить префикс, используемый в вашей базе данных. Хотя плагины безопасности, такие как iThemes Security, могут помочь вам сделать это быстро и легко, вы можете Узнайте, как сделать это вручную через phpMyAdmin здесь ,

10. Защита файлов wp-config.php и .htaccess

Файл wp-config.php вашего сайта, который обычно находится в корневой папке вашего сайта, содержит важную информацию об установке WordPress, включая имя, хост, имя пользователя и пароль для вашей базы данных. Между тем, .htaccess - это скрытый файл, который задает конфигурацию сервера на уровне каталогов, обеспечивает довольно постоянные ссылки и позволяет перенаправления.

Предотвратить доступ к этим критически важным файлам легко. Просто добавьте следующее в ваш файл .htaccess для защиты wp-config.php:

Порядок <Files wp-config.php> разрешать, запрещать запрещать для всех </ Files>

Кроме того, вы можете просто переместить файл wp-config.php в каталог выше, как WordPress искать там автоматически ,

Чтобы остановить нежелательный доступ к .htaccess, все, что вам нужно сделать, это изменить имя файла в коде:

Порядок <Files .htaccess> разрешает, запрещает запрещать все </ Files>

11. Добавить ключи безопасности

Ключи и соли безопасности WordPress шифруют информацию, хранящуюся в файлах cookie браузера, защищая пароли и другую конфиденциальную информацию. Всего имеется четыре ключа безопасности: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY.

Эти ключи аутентификации в основном представляют собой набор случайных переменных и усложняют взлом ваших паролей. Незашифрованный пароль, такой как «wordpress», не требует больших усилий для взлома. Но длинный и случайный пароль типа «L2 (Bpw 6 #: S.} TjSKYnrR ~ .Dys5c> +> 2l2YMMSVWno4`!% Wz ^ GOBf}; uj *> - tkye» взломать гораздо сложнее.

Добавление защитных ключей и солей выполняется вручную и легко. Вот как это сделать:

  1. Получите новый набор ключей безопасности и солей. Вы можете случайно генерировать их здесь ,
  2. Затем обновите файл wp-config.php. Откройте файл и прокрутите вниз, пока не найдете раздел ниже, и замените старые значения новыми ключами и солями:

/ ** # @ + * Аутентификация уникальных ключей и солей. * * Измените их на разные уникальные фразы! * Вы можете сгенерировать их, используя {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org службу секретных ключей} * Вы можете изменить их в любой момент времени, чтобы сделать недействительными все существующие печенье. Это заставит всех пользователей снова войти в систему. * * @since 2.6.0 * / define ('AUTH_KEY', 'добавить уникальные переменные здесь'); define ('SECURE_AUTH_KEY', 'добавить уникальные переменные здесь'); define ('LOGGED_IN_KEY', 'Добавить уникальные переменные здесь'); define ('NONCE_KEY', 'добавить уникальные переменные здесь'); define ('AUTH_SALT', 'добавить уникальные переменные здесь'); define ('SECURE_AUTH_SALT', 'добавить уникальные переменные здесь'); define ('LOGGED_IN_SALT', 'добавить уникальные переменные здесь'); define ('NONCE_SALT', 'добавить уникальные переменные здесь'); / ** # @ - * /

  1. Сохраните ваш файл wp-config.php. Вы автоматически выйдете из своего сайта WordPress, и вам нужно будет войти снова.

12. Отключить редактирование файлов

WordPress имеет встроенный редактор кода для плагинов и файлов тем. Хотя это полезно для администраторов, которые хотят быстро вносить изменения в файлы, это также означает, что хакеры и пользователи высокого уровня также могут вносить изменения в файлы. Вы можете найти эту функцию, выбрав « Внешний вид»> «Редактор» в админке WordPress.

Вы можете отключить редактирование файлов в вашем файле wp-config.php. Просто откройте свой файл и добавьте следующую строку кода:

define ('DISALLOW_FILE_EDIT', true);

Вы по-прежнему сможете редактировать свои плагины и темы с помощью FTP или же Cpanel , только не в админке WordPress.

13. Предотвратите выполнение файлов PHP

Общая папка для загрузки вредоносных программ в WordPress - это wp-content / uploads, но также wp-includes / . Чтобы файлы не выполнялись в этих папках, создайте новый текстовый файл в текстовом редакторе и вставьте следующий код:

<Files * .php> запретить все </ Files>

Затем сохраните этот файл как .htaccess и загрузите его в папки / wp-content / uploads и wp-includes / через FTP или cPanel.

14. Выборочное отключение XML-RPC

XML-RPC или удаленный вызов процедур XML - это API, который помогает подключать веб-приложения и мобильные приложения к вашему сайту WordPress. Он был включен по умолчанию в WordPress 3.5, но с тех пор был найден значительно усилить атаки грубой силы ,

Например, если хакер хочет попробовать 500 различных паролей на вашем сайте, обычно он должен будет сделать 500 отдельных попыток входа в систему. Но с XML-RPC хакер может использовать функцию system.multicall, чтобы попробовать большое количество комбинаций имени пользователя и пароля в одном HTTP-запросе.

Хотя было бы легко просто отключить эту функцию для вашего сайта, это означало бы потерю функциональности для плагинов, таких как Jetpack. Вместо этого лучше всего выбирать способы реализации и отключения XML-RPC с помощью специально разработанные плагины ,

Бонус: как проверить уязвимости

Есть несколько способов проверить ваш сайт на наличие уязвимостей: с помощью онлайн-сканера сайта или с помощью плагина.

С помощью этих бесплатных онлайн-инструментов вам нужно всего лишь ввести URL-адрес вашего сайта, и они начнут сканировать ваш сайт на наличие известных уязвимостей:

WordPress Security Scan - Этот инструмент пассивно проверяет основные проблемы безопасности. Вам нужно будет перейти на премиум-план для расширенного тестирования.

Sucuri SiteCheck - Проверьте свой веб-сайт на наличие известных вредоносных программ, статуса в черном списке, ошибок веб-сайтов и устаревшего программного обеспечения. Благодаря обновлению класса «премиум» этот инструмент будет выполнять очистку от вредоносных программ, защиту от DDoS / перебора, удаление черного списка и мониторинг безопасности.

WPScan - Этот черный ящик сканера уязвимостей WordPress, размещенный на GitHub, позволяет сканировать ваш сайт на наличие известных уязвимостей с помощью ядра, плагинов и тем. Вам нужно будет использовать терминал для запуска этого приложения. Это бесплатно для личного использования и спонсируется Sucuri.

Бонус: лучшие плагины безопасности WordPress

Установка плагин безопасности на вашем сайте WordPress добавлена ​​еще одна линия защиты от возможных атак. Они предлагают широкий спектр функций, помогающих защитить ваш сайт, включая сканирование сайтов, и могут уведомить вас, когда ваш сайт был взломан.

Вот лучшие 3 плагина:

Wordfence

Плагин безопасности Wordfence.

WordFence - очень популярный бесплатный плагин безопасности с более чем 2 миллионами активных установок и доступной опцией премиум-класса. Он имеет «Канал защиты от угроз», который использует новейшие правила брандмауэра, сигнатуры вредоносных программ и вредоносные IP-адреса, сохраняя ваш сайт на сайте.

Брандмауэр веб-приложений выявляет и блокирует вредоносный трафик, а черный список IP-адресов в режиме реального времени блокирует все запросы от вредоносных IP-адресов, защищая ваш сайт и снижая нагрузку.

Этот плагин защищает от взлома путем ограничения попыток входа в систему, применения надежных паролей и других мер безопасности входа в систему. Если он обнаружит какую-либо инфекцию на вашем сайте, он уведомит вас об этом по электронной почте. Вы также можете отслеживать трафик на ваш сайт в режиме реального времени, чтобы проверить, если он подвергся атаке.

Sucuri

Sucuri плагин безопасности.

В качестве бесплатного подключаемого модуля безопасности подключаемый модуль безопасности Sucuri предоставляет полный набор функций, включая аудит безопасности, чтобы вы могли следить за любыми изменениями, внесенными в ваш сайт, мониторинг целостности файлов, удаленное сканирование вредоносных программ, мониторинг черного списка и меры по усилению безопасности.

Раздел плагина «Действия безопасности после взлома» проведет вас через три ключевые вещи, которые вы должны сделать после компромисса. Вы также можете включить уведомления безопасности, чтобы, когда на вашем сайте обнаружена инфекция или она была скомпрометирована, вы были немедленно предупреждены.

При обновлении до премиум-версии вы получаете доступ к брандмауэру веб-сайта для дополнительной защиты.

iThemes Security

iThemes Плагин безопасности.

В то время как бесплатная версия iThemes Security помогает блокировать WordPress, исправлять общие дыры и усиливать учетные данные пользователей, профессиональная версия содержит практически все меры безопасности, которые могут вам понадобиться.

Существует двухфакторная аутентификация, планирование сканирования на наличие вредоносных программ и регистрация действий пользователя, поэтому вы можете отслеживать, когда пользователь редактирует контент, входит в систему или выходит из системы. Вы можете обновить ключи и соли безопасности, установить срок действия пароля и добавить Google reCAPTCHA на свой сайт.

Другие функции включают онлайн-сравнение файлов, интеграцию WP-CLI и временное повышение привилегий, так что вы можете предоставить временный доступ администратора или редактора к вашему сайту.

Заключение

Нет правильного способа защитить ваш сайт WordPress от угроз безопасности. Лучшее, что вы можете сделать, - это поддерживать ядро ​​WordPress, темы и плагины в актуальном состоянии и реализовывать ряд различных решений, которые исправляют уязвимости, защищают важные файлы и заставляют пользователей усиливать свои учетные данные.

Планирование регулярного резервного копирования тоже обязательно. Вы никогда не знаете, когда ваш сайт может стать жертвой атаки, поэтому важно, чтобы вы были готовы и имели план для быстрого восстановления вашего сайта в случае чрезвычайной ситуации.

Инвестирование в надежный плагин безопасности, который позволяет сканировать ваш сайт на наличие уязвимостей, отслеживать действия и предупреждать вас о том, что что-то не так, также поможет укрепить ваш сайт и обеспечить его надежную защиту от угроз.

Зачем?