13 мифов о безопасности WordPress | Защитите свой сайт от взлома!

Хотя WordPress является домом для огромного сообщества пользователей со всего мира и является ведущей платформой для управления контентом, это место номер один ставит цель на спину, и появляется множество мифов о безопасности WordPress.

Вы найдете множество советов по безопасности для защиты ваших сайтов, а также способов улучшения безопасности WooCommerce, но это привело к появлению множества мифов, которые на самом деле не делают ничего полезного для защиты вашего сайта. Некоторые из этих советов могут даже сделать его более уязвимым для атак.

Мифы о безопасности WordPress

Давайте рассмотрим 13 основных мифов о безопасности WordPress и то, что вы можете сделать, чтобы правильно защитить свой сайт WordPress.

1. Скройте свои страницы wp-admin или wp-login, и никто не сможет найти URL-адрес для входа.

Логика, лежащая в основе этой идеи, заключается в том, чтобы не дать потенциальным хакерам взломать то, что они не могут найти. Если ваш URL-адрес входа не является стандартным URL-адресом WordPress / wp-admin / , разве вы не защищены от атак грубой силы? Скрытие URL-адреса wp-admin может помочь остановить некоторые атаки, но не остановит их все.

Причина, по которой эта стратегия не работает, заключается в том, что существуют другие способы входа на ваши сайты WordPress, помимо обычного способа использования интернет-браузера, такие как REST API или XML-RPC. Это означает, что даже если вы измените URL-адрес входа в WordPress , плагин или тема, которые вы используете, все равно могут ссылаться на измененный URL-адрес.

Хотя функция скрытия серверной части достаточно хороша для предотвращения большинства попыток прямого доступа, те, кто найдет ваши пользовательские URL-адреса wp-admin или wp-login, могут быть перенаправлены на ваши страницы входа.

Еще одна причина, по которой это не работает, заключается в том, что полное скрытие серверной части приведет к поломке вашего сайта. Все, что вы устанавливаете, предполагает, что wp-admin будет в URL-адресе.

Скрытие URL-адреса входа может скрыть, но оно не может полностью изменить фактическую ссылку на ваши учетные записи WordPress, а настройка URL-адреса входа на самом деле может вызвать множество проблем, поскольку многие темы, плагины и приложения жестко кодируют wp-login.php в свои базовый код.

Если эти плагины, темы и т. Д. Не могут найти ссылку, вместо этого они обнаруживают ошибку. Более надежным решением будет использование двухфакторной аутентификации и отказ от взломанных паролей.

2. Скройте номер версии WordPress и название темы для дополнительной защиты.

Идея этой тактики заключается в том, что, если у хакеров есть эта информация, они могут использовать ее для доступа к вашему сайту.

Скрытие информации о версии WordPress или имени темы не защитит вас от нарушений безопасности, поскольку многие боты ищут известные уязвимости в коде, запущенном на вашем веб-сайте.

Вместо того, чтобы скрывать эту информацию, убедитесь, что ваша установка WordPress всегда актуальна, чтобы у вас были установлены последние исправления безопасности.

3. Переименуйте каталог wp-content, и все в порядке.

Все ваши плагины, темы и папка для загрузки мультимедиа содержатся в каталоге wp-content на вашем сайте. Там есть масса кода и информации, которую можно использовать, поэтому, конечно, разумно защитить эту информацию.

Однако изменение имени каталога содержимого на самом деле не добавит дополнительный уровень защиты вашему сайту. Используя инструменты разработчика браузера, имя вашего wp-контента можно найти, даже если вы его измените.

Переименование может даже вызвать конфликты с плагинами, у которых есть жестко запрограммированный путь к каталогу wp-content, который им необходимо использовать для работы.

Единственная причина, по которой вы должны беспокоиться о своем каталоге wp-content, заключается в том, что он содержит плагин или тему с уязвимостью, которую можно использовать. Лучший способ предотвратить это - поддерживать актуальность тем и плагинов, чтобы избежать уязвимостей в системе безопасности.

4. Взлом случается только с большими сайтами.

Даже если ваш сайт WordPress небольшой с низким трафиком, важно проявлять инициативу, когда речь идет о защите вашего сайта.

Хакеру все равно, насколько велик или загружен сайт. Любой уязвимый сайт может стать центром вредоносных сайтов, рассылки спама или даже майнинга биткойнов. Ключ - это уязвимость, а не размер сайта или уровень трафика.

Вы можете смягчить это, постоянно обновляя плагины, темы и сам WordPress , а также устанавливая надежный плагин безопасности для WordPress. Качественный хостинг и двухфакторная аутентификация также являются важными составляющими защиты от злоумышленников.

5. WordPress не является безопасной платформой

Возможно, вы слышали это утверждение раньше, но это просто неправда. WordPress, будучи сегодня одной из лучших онлайн-систем управления контентом, не смог бы достичь того уровня, на котором находится сейчас, без надежных и надежных мер безопасности.

Самая большая уязвимость исходит от пользователей, и ее можно избежать, приняв меры предосторожности владельцами сайтов. Причина номер один для взлома - устаревшее программное обеспечение, и большинство плагинов будут регулярно обновляться для исправления потенциальных уязвимостей в их коде.

Обязательно обновляйте свои темы и плагины. Когда сайт взламывают, это не недостаток WordPress - это упадок бдительности пользователя, который делает его уязвимым для атаки .

6. Регулярные обновления всегда обеспечивают безопасность вашего сайта.

Хотя регулярное обновление ваших плагинов и тем жизненно важно для обеспечения безопасности вашего сайта, это не панацея от потенциальной эксплуатации вашего сайта. WordPress имеет множество доступных плагинов и тем, и многие из них не обновлялись два и более года.

Плагины, которые не получили должного регулярного обслуживания, могут содержать устаревшие функции, которые замедляют время загрузки или, что еще хуже, ломают ваш сайт.

Убедитесь, что ваши плагины получают активную поддержку, чтобы обезопасить вас от потенциальных эксплойтов, и удалите старые плагины, которые больше не получают поддержки, чтобы свести к минимуму риск взлома.

7. Резервные копии всегда исправят ваш сайт.

Резервные копии - одно из наиболее распространенных решений для исправления взломанных веб-сайтов. Хотя полная резервная копия сайта (проверьте лучшие бесплатные плагины для резервного копирования WordPress) позволяет восстановить ваш сайт, она оставляет вам те же уязвимости безопасности, которые изначально скомпрометировали ваш сайт.

• Имя
• Бесплатная версия
• Платная версия

  С дополнительными обновлениями и дополнениями
• Полная резервная копия сайта

  Можно ли сделать резервную копию всего сайта со всеми файлами
• Резервные копии базы данных

  Можно ли сделать резервную копию только базы данных
• Резервные копии в Dropbox

  Можно ли сохранить файлы резервных копий в Dropbox
• Резервные копии на Amazon S3

  Можно ли сохранить файлы резервных копий на Amazon S3
• Резервные копии на Google Диск

  Можно ли сохранить файлы резервных копий на Google Диск
• Резервное копирование на FTP

  Можно ли сохранить файлы резервных копий на FTP
• Резервные копии в Rackspace

  Можно ли сохранить файлы резервных копий в Rackspace
• Уведомление по электронной почте

  Уведомление по электронной почте при создании резервной копии
• Меняет только бэкапы

  В целях сокращения ресурсов сервера и экономии места в резервную копию добавляются только новые изменения.
• Запланированное резервное копирование
• Резервное копирование в реальном времени

  Файлы резервных копий создаются всякий раз, когда вы вносите изменения на свой сайт.
• Перенести сайт

  Скопируйте сайт или переместите на новый хост
• Восстановление отдельных файлов

  Восстанавливать отдельные файлы / файл из резервной копии, а не целиком
• Восстановить резервную копию из интерфейса
• Проверка безопасности и вредоносного ПО

  Варианты поиска вирусов и других инфекций
• Ремонт и оптимизация базы данных

  Варианты оптимизации базы данных wordpress
• Поддержка нескольких сайтов
• Цена за платную версию

  Со всеми дополнениями и функциями (самый дешевый тариф на 1-2 сайта)

• BackWPup

  У него также есть премиум / платная версия с дополнительными надстройками и обновлениями.
• Только в платной версии
• 75 $

  Для стандартного плана

ПРОВЕРИТЬ

• BackUpWordPress

  У него также есть премиум / платная версия с дополнительными надстройками и обновлениями.
• Доступно только с платным дополнением по цене около 24 $.
• Доступно только с платным дополнением по цене около 24 $.
• Доступно только с платным дополнением по цене около 24 $.
• Доступно только с платным дополнением по цене около 24 $.
• Доступно только с платным дополнением по цене около 24 $.
• 60 $

  Для личного плана

ПРОВЕРИТЬ

• UpdraftPlus

  У него также есть премиум / платная версия с дополнительными надстройками и обновлениями.
• Доступно только с платным дополнением по цене около 15 $.
• Платный аддон

  Доступно только с платным дополнением по цене около 30 $.
• Платный аддон

  Доступно только с платным дополнением по цене около 25 $.
• 99 $ (неограниченное количество сайтов)

  Для плана разработчика со всеми аддонами и на неограниченное количество сайтов

ПРОВЕРИТЬ

Итак, как это исправить? Не полагайтесь только на резервные копии, чтобы исправить свой сайт после успешного взлома, поскольку вы потеряете данные и записи, такие как транзакции, которые произошли после последнего резервного копирования.

Чтобы сохранить свою информацию, будьте бдительны и применяйте исправления к фактическим недостаткам кода, прежде чем вы станете жертвой успешной попытки взлома.

8. Изменение префикса таблицы WordPress повышает вашу безопасность.

Это обычная рекомендация. Изменение префикса таблиц базы данных WordPress предотвратит атаки с использованием SQL-инъекций. Однако это не так просто, как заменить «wp_» на другое значение.

Пока нет никаких доказательств того, что этот метод что-то сделает для повышения безопасности вашего сайта. И это может поставить под угрозу весь ваш сайт, если он не будет работать идеально.

Подобные меры считаются «театром безопасности», потому что они заставляют вас чувствовать, что вы прикладываете много усилий для повышения своей безопасности, но на самом деле достигаете очень мало. Чтобы защитить ваш сайт от атак с использованием SQL-инъекций , требуется трехсторонний подход к безопасности.

Вам понадобится эффективный брандмауэр веб-приложений помимо постоянного исправления и обновления ваших плагинов, тем и ядра. И, конечно же, убедитесь, что вы отслеживаете свой сайт на предмет подозрительных попыток входа в систему или вредоносного ПО.

9. У моего сайта есть SSL-сертификат, поэтому он полностью безопасен.

При использовании SSL-сертификатов следует помнить, что обеспечиваемая ими безопасность является чисто транзакционной. Он защищает только информацию, передаваемую между вашим сайтом и вашими посетителями, например информацию о кредитной карте и личные данные (см., Как добавить бесплатный сертификат SSL на сайт WordPress).

Однако сертификаты SSL не защищают файлы и данные, которые находятся на самом сайте . Для защиты данных вашего сайта жизненно важно иметь брандмауэр веб-приложений и следить за тем, чтобы ваши плагины, темы и основные файлы были в актуальном состоянии.

10. Мой сайт безопасен; Я использую CDN или облачный брандмауэр

Сети доставки контента или CDN, а также облачные сервисы межсетевого экрана, такие как Cloudflare, Incapsula или Sucuri, защищают ваши сайты, перенаправляя трафик на свои серверы и фильтруя трафик по правилам брандмауэра. Если ваш трафик совместим с правилами брандмауэра, он направляется на ваш сайт.

Хотя вы можете подумать, что это идеальный способ избежать раскрытия фактического местоположения сервера вашего сайта, исходный IP-адрес вашего сайта все равно может выдать вас , и его может быть трудно скрыть, а то и невозможно.

• Сеть доставки контента
• Защита от крупнейших объемных атак
• Полная видимость на уровне приложения
• Защита от атак на DNS-серверы
• Защита сервисов не веб-инфраструктуры

  (FTP, SMTP, VOIP и т. Д.)
• Обнаружение и смягчение атак на уровне приложений
• Мгновенная настройка и распространение правил безопасности
• Видимость и контроль в реальном времени
• Защита исходных IP-адресов от DDoS-атак
• Внешний мониторинг DDoS-атак на сетевую инфраструктуру
• Сжатие и минификация
• Оптимизация контента и сети
• Кеширование как статического, так и динамически сгенерированного контента
• Обслуживание кэшированных ресурсов напрямую из физической памяти
• Кэширование вторичного уровня на SSD для обновления кеша в реальном времени
• Брандмауэр веб-приложений, совместимый с PCI (WAF)
• Контроль доступа
• Система мониторинга IP-репутации
• Самостоятельная настройка правил безопасности
• 60-секундное распространение правила безопасности
• Защита от бэкдора для защиты от заражения вредоносным ПО
• Интеграция API
• Двухфакторная аутентификация для предотвращения кражи паролей
• Балансировка нагрузки на глобальный сервер
• Уровень приложения Балансировка нагрузки локального сервера
• Отказоустойчивость сайта прикладного уровня
• Мониторинг работоспособности на уровне приложений в реальном времени
• Правила доставки приложений

  (например, перенаправления на основе файлов cookie, заголовка и т. д.)
• Билетная система
• Поддержка по телефону
• Поддержка HTTP / 2

  HTTP / 2 - это последняя разработка протокола HTTP, которая предлагает значительные улучшения скорости загрузки веб-сайтов и отзывчивости.
• Центры обработки данных
• Origin-Pull
• Push (загрузка на серверы CDN)
• Очистить / Очистить все
• Gzip
• Учитывает все заголовки исходного сервера
• Может переопределять заголовки исходного сервера
• Установить заголовки кеширования для отправленных файлов
• Пользовательские CNAME
• HTTPS
• Защита от хотлинков
• Живой чат
• Бесплатные резервные копии
• Интеграция с WordPress
• Цена

• Инкапсула
• Всегда включен
• 30
• Отправить повторно из источника или сжать по краю
• Общий сертификат бесплатен для всех планов, кроме бесплатного.
• Общий сертификат бесплатен для всех планов, кроме бесплатного.
• Интегрируется независимо от WordPress. Вам необходимо изменить настройки DNS. Вы получите все инструкции по электронной почте и на панели управления Incapsula.
• Бесплатные и платные планы

  Бесплатный план включает в себя защиту от ботов, контроль доступа, защиту входа в систему, CDN и оптимизатор, аналитику веб-сайта и поддержку сообщества. Платный план PRO начинается с 59 долларов в месяц и включает те же функции, что и бесплатный план, плюс поддержку SSL, повышенную производительность и поддержку по электронной почте.

Инкапсула

• CloudFlare
• Руководство по эксплуатации
• 86
• Интегрируется независимо от WordPress. Вам просто нужно зарегистрироваться в CloudFlare, а затем назначить новые DNS-серверы своему доменному имени. CloudFlare берет свое начало оттуда.
• Бесплатные и платные планы

  Они предлагают бесплатный базовый план, подходящий для небольших веб-сайтов и блогов, и платные пакеты, которые варьируются от 20 до 200 долларов.

CloudFlare CDN

• Акамай
• Более 100 000
• Отправить повторно из источника или сжать по краю
• Чтобы узнать цены на продукцию Akamai, вам необходимо связаться с ними.

Акамай

• MaxCDN
• MaxCDN скоро начнет предлагать DDOS и WAF
• MaxCDN скоро начнет предлагать DDOS и WAF
• MaxCDN скоро начнет предлагать DDOS и WAF
• MaxCDN скоро начнет предлагать DDOS и WAF
• MaxCDN скоро начнет предлагать DDOS и WAF
• MaxCDN скоро начнет предлагать DDOS и WAF
• MaxCDN скоро начнет предлагать DDOS и WAF
• 75
• CDN обрабатывает сжатие
• После настройки вытягивающей зоны вы можете интегрировать MaxCDN через плагин кеширования. Например, W3 Total Cache, Super Cache или WP Rocket.
• От 9 долларов в месяц до 299 долларов в месяц

  Также существует индивидуальная цена за гигабайт.

MaxCDN

• KeyCDN
• 25
• Только если исходный сервер делает Gzip
• После настройки вы можете интегрироваться через плагин кеширования. Например, W3 Total Cache, Super Cache или WP Rocket.
• Плати как сможешь

  Никаких пакетов покупать не нужно. Цена от 0,04 $ / ГБ

KeyCDN

Это обычная проблема с поставщиками облачных брандмауэров, и простое решение - реализовать меры безопасности конечных точек на вашем сайте. Если вы защищаете свои данные в точке их происхождения, это лучшая прямая защита от хакеров и других форм атак.

11. Блокировка IP-адресов не позволяет хакерам

В Интернете есть полезные сервисы для записи подозрительных входов в систему и отслеживания IP-адресов, а также для полной блокировки этих IP-адресов.

Хотя вы можете подумать, что блокировка IP-адресов является эффективным методом предотвращения доступа хакеров к вашему сайту, хакеры постоянно меняют IP-адреса и часто работают с нескольких IP-адресов одновременно для достижения своих целей.

Когда вы блокируете один IP-адрес, они могут просто переключиться на следующий, который они выстроили в очередь. Что еще хуже, неправильная блокировка IP-адресов может привести к сбою вашего сайта, на исправление которого может потребоваться много времени.

12. Все, что вам нужно - это надежное имя пользователя и пароль.

Хотя уникальное имя администратора и надежный сложный пароль жизненно важны для обеспечения надлежащей безопасности вашего сайта, это не надежный метод защиты от потенциальных хакеров.

Одна из распространенных тактик, которая используется для взлома сайтов, - это использование ботов для циклического перебора тысяч общих паролей со стандартным именем пользователя «admin».

Убедитесь, что вы изменили свое имя с помощью администратора и включили в свой пароль несколько типов символов , включая заглавные и строчные буквы, цифры, знаки препинания и другие уникальные символы, которые затруднят взлом.

Однако имейте в виду, что эффективная комбинация имени пользователя и пароля не защитит от всего. У хакеров есть другие средства атаки на ваш сайт, в том числе через уязвимости в устаревших темах или плагинах, утечки данных и даже схемы фишинга.

13. Просто отключите плагины / темы, которые вы не используете.

Это распространенная ошибка, которую делают многие владельцы сайтов. Вместо того, чтобы удалять старые плагины, они отключают их. Однако даже неактивные плагины и темы могут быть использованы из-за отсутствия обновлений или исправлений безопасности.

Хотя вы можете обновлять отключенные плагины и темы, лучший вариант - удалить вещи, которые вам не нужны, чтобы минимизировать риски безопасности.

Заключение о мифах о безопасности WordPress

Есть много причин, по которым сайты WordPress взламывают. После прочтения этих мифов о безопасности WordPress оптимизация безопасности на вашем сайте может показаться немного сложной. Не всегда легко сказать, будут ли меры безопасности эффективными, а что такое просто «театр безопасности».

Очень важно обеспечить безопасность вашего сайта WordPress, а также предотвратить кражу контента. Хотя нет никакого способа гарантировать, что сайт будет на 100% неуязвим для атак, существует множество методов и мер предосторожности, которые вы можете включить в управление и обслуживание своего сайта, которые могут минимизировать риск взлома и обеспечить вам душевное спокойствие.

Чтобы быть в безопасности, лучше всего установить плагин безопасности WordPress, такой как iThemes Security, WordFence, MalCare, Swift Security или Hide My WP, которые предоставляют огромное количество настроек и опций, которые вы можете включить для защиты своего веб-сайта и реализации уровней безопасности. Для получения дополнительной информации см. Обзор безопасности iThemes, Обзор MalCare, Wordfence против iThemes Security, Swift Security против Hide My WP.