Защита вашего сайта WordPress от хакеров в 2021 году

Ежедневно хакеры атакуют более 100 000 веб-сайтов! По этой причине крайне важно обеспечить безопасность вашего сайта WordPress. Ваш веб-сайт может быть одним из этих веб-сайтов в любой момент времени. WordPress довольно безопасен. Однако многие сайты WordPress становятся жертвами взлома. Это не столько связано с самим WordPress, сколько с тем, как вы, как веб-мастер, следите за своим сайтом и настраиваете свою безопасность.

Даже если вы убедились, что ваш сайт в безопасности, когда вы его запускали, поддержание безопасности гарантирует, что ваш сайт будет постоянно защищен надлежащим образом.

Прежде чем мы начнем, неплохо бы разобраться с некоторыми из распространенных проблем безопасности, с которыми сталкиваются сайты WordPress:

• Атаки грубой силы - атаки грубой силы являются причиной того, что важно иметь надежный пароль. Злоумышленник будет вводить данные для входа снова и снова, пока не получит правильную комбинацию для входа на ваш сайт WordPress.
• Вредоносное ПО - сокращение от вредоносного программного обеспечения, вредоносное ПО - это код, который используется для получения несанкционированного доступа к веб-сайту для сбора конфиденциальных данных, принадлежащих владельцу бизнеса и его клиентам или контактам.
• Эксплойты включения файлов - Эксплойты включения файлов происходят, когда для загрузки удаленных файлов используется небезопасный код, что дает хакерам доступ к вашему сайту. Это также предоставит им доступ к вашему файлу wp-config.php, который по сути является основой вашей установки WordPress. Если этот файл скомпрометирован, хакеры могут получить доступ к информации для входа в базу данных и безопасности шифрования.
• SQL-инъекции - SQL-инъекции - это атака на вашу базу данных WordPress, посредством которой злоумышленник получает доступ к вашей базе данных и, следовательно, к вашим данным. Когда это произойдет, злоумышленник сможет добавлять и изменять данные, которые могут включать вредоносные ссылки и спам.
• Межсайтовый скриптинг. Межсайтовый скриптинг является наиболее распространенной проблемой с плагинами и работает, когда злоумышленник находит способ заставить жертву по незнанию загружать веб-страницы с небезопасными скриптами javascript.

Что происходит, когда ваша безопасность оказывается под угрозой?

Хакеры могут украсть ваши данные и любые данные, принадлежащие вашим клиентам, оставляя эти данные открытыми. Вредоносное ПО может распространяться с вашего сайта среди посетителей, что может нанести ущерб вашему SEO-рейтингу, а также репутации вашего бренда. И, наконец, весь ваш сайт может быть удален, что, если не будет выполнено резервное копирование, может вызвать у вас серьезные проблемы.

Теперь главный вопрос: как обезопасить свой сайт от хакеров? Для сайтов WordPress есть несколько способов сделать свой сайт более безопасным. В этом руководстве я собираюсь показать вам некоторые из основных изменений безопасности, которые вы можете внести, вплоть до более глубоких функций безопасности WordPress. Давайте погрузимся.

Что такое основные настройки безопасности?

На большинстве сайтов даже не описаны основы, и это делает защиту довольно небрежной. Здесь мы расскажем об основных вещах, которые вы можете сделать, чтобы усилить безопасность WordPress.

1. Сильная репутация

Это может показаться глупым, но надежный пароль - это ваша первая линия защиты. Сегодня люди все еще используют пароли вроде Password123, которые обеспечивают очень слабую защиту. Может возникнуть соблазн использовать ваше имя пользователя или даже адрес электронной почты в качестве пароля, но не делайте этого!

Надежный пароль будет отличаться от вашего имени пользователя и / или адреса электронной почты и будет включать заглавные и строчные буквы, цифры и специальные символы (например,!, *,%).

Точно так же вы можете быть удивлены, узнав, что многие люди используют admin в качестве имени пользователя. Если да, то пора это изменить.

2. Безопасный хостинг, использующий безопасное соединение.

Веб-хосты несут ответственность за безопасность вашего веб-сайта так же, как и вы. В настоящее время хостинг предоставляется через облачный хостинг или виртуальный хостинг (проверьте лучшие дешевые варианты хостинга WordPress). Облачный хостинг размещает несколько веб-сайтов на нескольких серверах, тогда как общий хостинг будет размещать несколько веб-сайтов на одном сервере.

Облачный хостинг ценится за более высокий уровень надежности и безопасности, поскольку не требует совместного использования ограниченных ресурсов на нескольких сайтах. Это проблема с запуском общего хостинга, и когда хосты накапливают больше веб-сайтов, чем сервер может обработать, это делает сайты уязвимыми.

Это не значит, что виртуальный хостинг - это плохо. Ответственные хосты всегда будут использовать безопасное соединение и никогда не будут отдавать серверу больше, чем он может обработать. Возможно, сейчас самое подходящее время, чтобы проверить свой хост и выяснить, нужно ли вам переключиться.

3. Двухфакторная аутентификация

Простое исправление безопасности - включить двухфакторную аутентификацию при входе в личный кабинет. Это добавит дополнительный уровень безопасности вашему сайту, и его очень легко включить в ваших настройках.

Аутентификация обычно представляет собой код по SMS или электронной почте. Некоторых раздражает необходимость пройти дополнительный шаг для входа в систему, но это того стоит из-за дополнительной защиты.

3. SSL-сертификаты

Не уверены, есть ли у вашего сайта сертификат SSL? Сайт с SSL будет содержать https: / в начале своего веб-адреса, и часто ваш браузер сообщает, что сайт небезопасен. SSL-сертификаты позволяют посетителям узнать, что ваш сайт безопасен, поэтому их данные защищены при использовании вашего сайта.

Большинство хостинг-провайдеров теперь включают сертификаты SSL в свою стоимость подписки, но если у вас его нет, вы можете оплатить его через свой хост или использовать бесплатный сертификат Let's Encrypt (см., Как вручную добавить бесплатный SSL на сайт WordPress).

Как владелец веб-сайта, вы должны проверять различные типы SSL при выборе SSL-сертификата для своего веб-сайта. Например, если веб-сайт электронной коммерции имеет несколько поддоменов, вам следует подумать о получении сертификата SSL с подстановочными знаками.

Существует множество известных брендов сертификатов, которые могут помочь вам завоевать доверие на сайте, например AlphaSSL, Comodo, GlobalSign, DigiCert. Вы можете выбрать любого, так как все известные бренды обслуживают аутентифицированные SSL-сертификаты.

4. Сделайте резервную копию вашего сайта

Независимо от того, насколько высока безопасность вашего сайта, он никогда не будет на 100% надежным. Именно по этой причине резервное копирование вашего сайта (см. Сравнение плагинов резервного копирования WordPress) является одним из абсолютных требований безопасности веб-сайта. В случае неизбежного вы можете быть уверены, что вам не придется начинать свой сайт с нуля.

Вы можете использовать плагин резервного копирования, такой как Duplicator (см., Как перенести сайт WordPress с помощью Duplicator), BackupBuddy (см. Обзор BackupBuddy), WPvivid (см. Обзор WPvivid), резервное копирование 10Web (см. Обзор 10Web) и т. Д.

Еще один способ резервного копирования данных - синхронизация любых приложений или программного обеспечения, в которых используются те же данные. Например, вы можете сделать резервную копию своих контактов, синхронизируя Mailchimp и Office 365, это позволит вам сохранить контактные данные в безопасности.

5. Плагины и темы

Сайты WordPress работают с темами и множеством плагинов, которые также требуют обновлений. Эти обновления необходимы для обеспечения бесперебойной работы вашего сайта, а также для исправления любых ошибок или проблем в их программном обеспечении. У многих компаний есть веб-сайты, работающие на старых версиях программного обеспечения, и они даже не знают об этом.

Другая проблема заключается в использовании аннулированных тем и плагинов, они содержат модифицированный код и не заслуживают доверия. Использование обнуленных плагинов может поставить ваш сайт под угрозу.

6. Обновите версию PHP.

Любой сайт, на котором установлена ​​очень старая версия PHP, подвержен рискам безопасности. Устаревший PHP может сделать ваш сайт WordPress уязвимым. Хорошая идея - убедиться, что у вас установлена ​​последняя версия PHP. Вы можете найти свою версию, проверив запрос заголовка на своем сайте, используя различные плагины или через свою cPanel, если ваш хостинг ее использует.

7. Усиление админки.

Область администрирования WordPress по сути дает пользователю возможность получать доступ и выполнять определенные задачи на вашем сайте и часто остается незащищенной. По этой причине это наиболее часто используемая область сайта WordPress.

Вы можете усилить безопасность, добавив дополнительные меры аутентификации в свой административный каталог. Вы можете добавить двухфакторную аутентификацию и ограничить попытки входа в систему, чтобы добавить еще один уровень безопасности и отпугнуть хакеров.

Вы можете пойти дальше и изменить URL-адрес входа в WordPress. URL-адресом по умолчанию для сайтов WordPress является domain.com/wp-admin или /login.php, что упрощает хакерам попытку атаки методом грубой силы на ваш логин администратора.

Хотя это не серьезное исправление безопасности, изменение URL-адреса действительно затрудняет доступ злоумышленников к сайту. Вы можете изменить свой URL-адрес для входа, используя такой плагин, как iThemes Security (см. Сравнение безопасности iThemes и WordFence), Hide My WP (проверьте сравнение Swift Performance и Hide My WP) и т. Д.

Как обеспечить более надежную безопасность?

Вот несколько рекомендаций по повышению уровня безопасности сайта WordPress.

1. Установите плагин безопасности WordPress.

Вам может быть интересно, есть ли отличный плагин, который вы можете установить, чтобы облегчить безопасность ваших плеч, и хорошая новость заключается в том, что их много. Преимущество использования этих плагинов - их различные функции, а также возможность сканировать вашу установку WordPress на предмет любых измененных файлов, которые могут указывать на попытку взлома. Эти плагины также включают:

• Информация WHOIS о посетителях сайта
• Двухфакторная аутентификация
• reCAPTCHA
• Сканирование на вредоносное ПО
• Срок действия пароля - вынуждает вас сбросить пароль по истечении установленного времени.
• Брандмауэры безопасности WordPress

Хотя они могут не решить все ваши проблемы с безопасностью, плагин может помочь добавить еще один уровень защиты и предотвратить попытки взлома. Я рекомендую рассмотреть следующие плагины: Sucuri, Jetpack Security, iThemes Security Pro, BulletProof Security, Wordfence, MalCare (см. Обзор MalCare) и т. Д.

2. Скройте свою версию WordPress.

Чем меньше информации о вас и конфигурации вашего сайта доступно, тем сложнее хакерам атаковать вас. Скрытие версии вашего сайта не позволит хакерам идентифицировать ваш сайт как работающий на более старой версии.

Более простое решение - обеспечить постоянную актуальность вашего веб-сайта, но если вы хотите принять меры предосторожности, вы можете скрыть свою версию WordPress, добавив код в файл functions.php вашей темы.

3. Права доступа к файлам

Права доступа к файлам - это набор правил, используемых вашим веб-сервером для управления доступом к файлам на вашем сайте. Наличие неправильных разрешений может остановить работу вашего сайта, но они также могут позволить хакерам получить доступ, переписать и изменить эти файлы.

Рекомендуемые значения разрешений для файлов следующие: Все файлы должны быть установлены на 644, а все каталоги должны быть установлены на 755 или 750. Каталоги никогда не должны быть установлены на 777.

4. Безопасность базы данных

Ваша база данных будет называться так, как называется ваш сайт. Итак, если ваш сайт называется richie rich, ваша база данных будет называться wp_richierich. Изменив это значение на что-то не связанное с этим, хакеры не смогут угадать имя вашей базы данных.

Еще один способ повысить безопасность - изменить префикс таблицы WordPress по умолчанию. По умолчанию WordPress использовал wp_ в качестве префикса, который он использует для создания вашей базы данных. Во время установки вы можете изменить этот префикс, и рекомендуется сделать это, чтобы злоумышленникам было сложнее угадать имена вашей базы данных.

5. Предотвращение DDoS-атак.

DDoS - это тип атаки типа «отказ в обслуживании», которая не наносит вреда вашему сайту, но отключает ваш сайт на часы или даже дни. Хотя это может не нанести никакого вреда вашему веб-сайту, это может нанести ущерб вашему бизнесу, если вы полагаетесь на то, что ваш веб-сайт всегда будет полностью работоспособным. Вы можете предотвратить DDoS-атаку, используя сторонние средства защиты, такие как Securi или Cloudflare.

6. Защитите файл wp-config.php.

Как я упоминал ранее, файл wp-config.php - это самый важный файл в вашей установке WordPress. В случае взлома хакер может получить доступ к вашей базе данных, что даст им полный доступ к вашему сайту.

Это может показаться пугающим, но не волнуйтесь, вы можете усилить безопасность своего файла wp-config.php, изменив права доступа к файлу. Для файлов в корневом каталоге обычно установлено значение 644, что позволяет владельцу читать и записывать файлы и доступно для чтения пользователям в группе владельца и всем остальным.

Если вы хотите запретить доступ для других целей, файлы должны быть установлены на 440 или 400. Следует иметь в виду, что определенные хостинговые платформы будут иметь разные разрешения. Это потому, что у пользователя нет разрешения на запись файлов. В этом случае рекомендуется связаться с вашим хостинг-провайдером, чтобы узнать, какие у вас разрешения.

Обеспечение безопасности вашего сайта WordPress

Есть много причин, по которым сайты WordPress взламывают. Очистить взломанный сайт WordPress невозможно, но, приняв превентивные меры, вы можете снизить свои шансы на то, что сайт будет взломан, поэтому вам не придется беспокоиться об очистке своего сайта или, в худшем случае, о создании совершенно нового Веб-сайт.