Как защитить свой сайт WordPress
Когда вы отвечаете за веб – сайтов WordPress для нескольких клиентов. Проблемы, кажется, возникают из ниоткуда, и клиенты будут паниковать, по электронной почте, писать текстовые сообщения и звонить, потому что их сайт замедлился или вылетел из строя. Кроме того, если сайт одного клиента выйдет из строя, вы знаете, что могут быть проблемы и со всеми другими. Преданность своей работе и наличие клиентов, находящихся в разных часовых поясах, означает, что вы никогда не сможете отдохнуть от забот.
Нет надежного способа гарантировать, что у веб-сайта никогда не будет проблем. Однако использование надежных сервисов, ориентированных на WordPress, таких как ваш хостинг и провайдер темы, может решить и предотвратить многие распространенные проблемы, включая взломы.
Если ваш сайт WordPress когда-либо был взломан – или даже если вы просто вообразили это, перебирая все возможные результаты, – вы знаете, какая паника неизбежно разразится. Простого знания о возможности нарушения безопасности достаточно, чтобы помочь вам для создания более безопасного веб-сайта, который контролируется надежным хостом. В этой статье мы рассмотрим, как усилить защиту вашего веб-сайта WordPress и обеспечить максимальную безопасность.
Вот как это может выглядеть, если ваш WordPress будет взломан:
- Вы не можете войти в систему. Один из самых простых способов для хакеров получить доступ к вашей учетной записи WordPress – это изменить пароль пользователя. Однако они также могут полностью удалить вашу учетную запись. Невозможность получить доступ к своей учетной записи с использованием обычного пароля и невозможность сбросить пароль – верный признак того, что вы были взломаны, поскольку это означает, что ваша учетная запись исчезла.
- На вашем сайте новый контент… и вы его не разместили. Если вы заметили статическую страницу на месте вашей домашней страницы и / или если тема веб-сайта была заменена, это признак того, что вас взломали. Однако могут быть гораздо более тонкие различия, которые вам придется искать сложнее. Например, в контенте может быть случайная ссылка, ведущая на сомнительный сайт.
- Ваш сайт перенаправляется на другой сайт. Иногда хакеры добавляют скрипты, которые перенаправляют посетителей на совершенно другой сайт – тот, который вам определенно не нужен. Использование небезопасного сервера увеличивает вероятность этого, поэтому важно всегда выбирать качественный хостинг.
- Когда вы пытаетесь зайти на свой сайт, появляется предупреждение браузера или Google. Есть несколько причин, по которым вы можете получить предупреждение браузера о проблеме с вашим сайтом, и взлом – лишь одна из них. Это также может быть связано с кодом плагина или темы, который необходимо удалить. Или это может быть проблема с вашим доменом или SSL, с чем может помочь ваш хост. Однако, если Google отображает предупреждение, это может указывать на взлом карты сайта, который влияет на то, как Google сканирует ваш сайт.
Всякий раз, когда возникает уязвимость в системе безопасности, ваш плагин безопасности WordPress или веб-хостинг должны уведомить вас о взломе. Принятие мер безопасности, чтобы предупредить вас о проблеме и решить проблему, – лучший способ действий.
Есть несколько способов, которыми хакеры могут получить контроль над вашим сайтом .
Большинство взломов WordPress автоматизированы, и больше всего разочаровывает то, что их можно легко предотвратить, постоянно обновляя свой сайт WordPress. Хотя возможно, что хакер нацелится на один конкретный сайт, обычно веб-сайты являются частью гораздо более масштабной атаки. Вот как хакеры захватывают ваш сайт:
- Бэкдоры – это скрытые файлы или скрипты, представляющие альтернативный способ доступа к вашему сайту. Затем можно использовать бэкдор для добавления злонамеренного перенаправления на другой сайт, куда вы не хотели бы отправлять своих посетителей.
- Логины методом грубой силы – это когда автоматизированные инструменты вычисляют слабые пароли.
- Кросс-скриптинг – позволяет хакерам отправлять вредоносный код в браузер через скрипт в используемом плагине.
- Отказ в обслуживании (DoS) – добавляет ошибки в код веб-сайта, поэтому сайт больше не работает должным образом.
- Pharma hacks – когда код вводится в устаревшую версию WordPress.
Звучит довольно страшно. К счастью, есть шаги, которые вы можете предпринять, чтобы предотвратить возникновение этих проблем.
Краткий обзор усиления защиты WordPress
Укрепление веб-сайта WordPress создает надежное поле безопасности. Защита WordPress включает:
- Изменение URL-адреса для входа в WordPress .
- Скрытие вашей версии WordPress.
- Использование надежных паролей и требование ко всем учетным записям пользователей иметь надежные пароли.
- Защита паролем вашего административного каталога WP.
- Отключение редактирования файлов в Личном кабинете WordPress.
- Отключение выполнения файла PHP в определенных папках WordPress.
- Требуется двухэтапная проверка на экране входа в WordPress.
- Ограничение попыток входа в систему.
- Отключение подсказок для входа.
- Ограничение доступа для входа в систему для определенных IP-адресов.
- Отключение перечисления пользователей.
- Отключение XML-RPC.
Есть несколько способов сделать ваш сайт безопаснее и уберечь себя от взлома WordPress в будущем. Хотя вы можете справиться с некоторыми из этих обязательных действий самостоятельно, всегда лучше работать с выделенным хостом, который примет необходимые меры безопасности, будет следить за вашим сайтом, реагировать на любые потенциальные нарушения и держать вас в курсе по любым вопросам.
В этой статье мы расскажем вам о некоторых методах усиления защиты, с которыми вы можете справиться самостоятельно, но обратите внимание, что другие, как правило, слишком продвинуты для обычного пользователя. В этом случае вам захочется работать со специалистом по безопасности WordPress, например с хостом нового поколения, для всесторонней и всесторонней безопасности.
15 советов по созданию безопасного веб-сайта на WordPress
Существует ряд причин, по которым ваш сайт WordPress может быть взломан, и есть несколько способов укрепить ваш сайт. Давайте рассмотрим основные уязвимости безопасности, о которых должно знать каждое агентство, разработчик и фрилансер, а также то, как защитить свой сайт от их жертвы.
Всегда используйте последнюю версию WordPress
Каждый раз, когда WordPress выпускает новую версию, вам следует как можно скорее обновлять свой сайт. Версии WordPress часто содержат исправления безопасности для устранения проблем с предыдущей версией. Если вы не обновите, то можете оставить свой сайт уязвимым.
Всегда имея последнюю версию WordPress, вы закрываете бреши в безопасности, которые потенциально могут преодолеть хакеры. Лучше всего настроить автоматические обновления, чтобы они запускались без необходимости делать это вручную. И помните, что каждый раз, когда вы обновляете свой сайт, вы должны сохранять резервную копию своего сайта. Любой качественный хостинг автоматически обновит ваш сайт до последней версии WordPress, чтобы вам не приходилось оставаться в курсе последних событий.
Используйте самые надежные пароли
Если вы не создадите достаточно безопасный веб-сайт, хакерам будет легко получить доступ к вашей панели администратора WordPress – и как только они это сделают, они смогут делать практически все, что захотят. Хакеры используют автоматизированные инструменты, чтобы перебирать многочисленные потенциальные пароли, пока не найдут правильный. Затем они могут войти в вашу учетную запись администратора WordPress и получить полный контроль.
Слабый пароль – одна из самых серьезных уязвимостей веб-сайта, но ее также легче всего исправить. В дополнение к установке безопасного пароля для вашей учетной записи администратора WordPress (и его регулярному изменению) убедитесь, что каждая служба, связанная с веб-сайтом, защищена надежным и уникальным паролем, например, ваш FTP и логины хоста.
Вот несколько советов по установке надежных паролей:
- Не используйте версию своего имени, имени пользователя, бренда или веб-сайта.
- Не используйте словарные слова, будь они на английском или другом языке.
- Никогда не создавайте короткий пароль – он должен состоять минимум из восьми символов.
- Не используйте только буквы или цифры – ваш пароль должен состоять из букв, цифр и символов.
Существуют плагины безопасности, такие как Wordfence (также доступный как отдельный плагин безопасности входа ), которые вы можете использовать, которые заставят всех пользователей создавать надежные пароли, и иногда эта услуга входит в стандартную комплектацию планов хостинга. Кроме того, если вы добавите на свой сайт двухфакторную аутентификацию, хакерам будет еще труднее войти и создать свою учетную запись. Кроме того, если вы еще этого не сделали, установите расписание для регулярного обновления пароля, например, каждые 30, 60 или 90 дней.
Установите ограничение на попытки входа в систему
По умолчанию WordPress позволяет пользователям пытаться войти в систему неограниченное количество раз. Однако это делает ваш сайт уязвимым для хакеров, которые пытаются найти ваш пароль, пробуя многочисленные комбинации. Вы можете использовать специальный плагин, такой как Wordfence, ссылка на который приведена выше, чтобы установить ограничение на попытки входа в систему, но брандмауэр вашего веб-приложения (подробнее об этом чуть позже) может входить в стандартную комплектацию с этой функцией.
Ограничьте доступ к вашему сайту
Чем больше ваша команда, тем сложнее ограничить доступ к вашему сайту. Однако чем меньше людей, тем лучше, потому что вы снижаете риск случайных или преднамеренных нарушений безопасности. Просмотрите свой список учетных записей администратора (перейдите в раздел «Пользователи» на боковой панели панели инструментов), чтобы увидеть, есть ли какие-либо из них, которые больше не являются частью команды, не нуждаются в доступе к WordPress или должны иметь меньший доступ к вашему сайту. Также обратите внимание на всех пользователей, которых вы не узнаете.
Перед удалением пользователя, которого вы не знаете, проверьте у владельцев вашей учетной записи, обновили ли они данные своей учетной записи – возможно, пользователь является фактическим администратором, но они внесли изменения, которых вы не узнаете. На этом этапе также очистите свой список пользователей, чтобы удалить всех, кто больше не является частью вашего веб-сайта и / или не должен иметь доступа. Установите флажок рядом с любым пользователем, которого хотите удалить, затем измените раскрывающееся меню «Массовые действия» на «Удалить». Или, чтобы удалить одного пользователя, щелкните ссылку «Удалить» под его именем пользователя.
Установка таймера выхода для бездействующих пользователей
Если у вас есть много людей, которые имеют доступ к вашему сайту, подумайте об использовании специального плагина, который будет автоматически выходить из системы, когда они простаивают. Если пользователь уходит от своего компьютера, пока он все еще находится на вашем сайте, любой может внести изменения в вашу учетную запись WordPress. Плагин, такой как бесплатный неактивный выход , позволит вам установить продолжительность, чтобы решить, как долго пользователь может бездействовать, прежде чем он автоматически выйдет из системы. Вы также можете написать сообщение, которое появится на экране прямо перед тем, как пользователь выйдет из системы – таким образом, если он все еще находится перед своим компьютером, он может остаться в системе.
Усильте свой сайт с помощью серверной защиты
Когда у вас есть защита на стороне сервера, хакерам будет труднее взломать его. Добавив дополнительный уровень защиты к вашему wp-admin , вы защитите свой экран входа в систему, область администрирования WordPress и файлы. Лучший способ сделать это – использовать HTTPS SSL, который представляет собой зашифрованное соединение, для защиты вашего wp-admin . Уточните у своего хоста, предлагают ли они такой уровень безопасности.
Используйте брандмауэр веб-приложения
Один из лучших способов защитить ваш сайт – это использовать брандмауэр веб-приложений (WAF). По сути, WAF будет удерживать вредоносный трафик от вашего сайта. Есть два варианта:
- Брандмауэр на уровне DNS: этот тип брандмауэра будет отправлять трафик через свои собственные облачные прокси-серверы. Единственный трафик, который будет попадать на ваш сайт, будет качественным, не вредоносным.
- Брандмауэр на уровне приложения: когда вы используете плагин в качестве WAF, трафик достигнет вашего сервера, но плагин проверит его перед загрузкой скриптов.
Хотя брандмауэр на уровне приложения лучше, чем ничего, брандмауэр уровня DNS является более безопасным вариантом из двух. Это предлагают популярные плагины, такие как Wordfence , такие сервисы, как Cloudflare , и защищенные хосты, такие как Convesio .
Если у вас устаревшие или аннулированные плагины или темы, ваш веб-сайт WordPress уязвим для взлома. «Обнуленные» – это плагины и темы премиум-класса, за которые следует платить (при покупке из правильного источника), но вместо этого они предлагаются бесплатно на другом сайте. Эти элементы предназначены для сбора информации или, что еще хуже, для нанесения вреда вашему сайту.
Никогда не используйте плагин или тему из источника, которому не доверяете. Выберите свой из библиотеки WordPress или обязательно прочитайте множество обзоров, если вы используете внешний источник. Кроме того, любые плагины, которые вы выбираете, должны быть протестированы и совместимы с вашей версией WordPress.
Причина, по которой плагины и темы должны обновляться, заключается в том, что эти обновления включают в себя функции безопасности и исправления. Если у вас нет последней версии, у вас нет последних мер безопасности. Будьте в курсе, всегда используя последние версии авторитетных плагинов и тем. Если вы выберете правильного хостинг-провайдера, они будут запускать эти обновления за вас.
Избавьтесь от неиспользуемых установок
Если у вас деактивированы плагины и темы, которые вам не понадобятся, удалите их. То же самое касается ненужных файлов, установок WordPress и баз данных – избавьтесь от них. Чем больше данных находится в WordPress, тем более уязвим ваш сайт, особенно когда речь идет о старых установках WordPress, которые не обновляются.
Удалить ненужные файлы
Вам нужно обнаружить все файлы, которые не принадлежат этому каталогу, а затем удалить их. Для этого вам может потребоваться установить плагин безопасности, как показано ниже. Популярные варианты – Wordfence (снова!), Defender и MalCare . Эти типы плагинов могут сканировать ваш сайт и предупреждать вас обо всем, что ему не принадлежит.
Однако обратите внимание, что качественный веб-хостинг сделает это за вас автоматически, а это значит, что вам не придется беспокоиться об установке плагина, регулярном сканировании или удалении проблемных файлов. И если вы чувствуете, что вашему сайту прямо сейчас требуется ручное сканирование, вы можете связаться с вашим хостом, чтобы он тоже сделал это за вас.
Регулярное резервное копирование и сканирование
Регулярно создавайте резервные копии своего сайта WordPress (один раз в день или чаще) и обязательно включайте базу данных, медиафайлы, а также файлы плагинов и тем в каждую резервную копию. Кроме того, регулярно запускайте проверку целостности файлов и вредоносных программ, чтобы обнаружить любые вредоносные файлы, которые могут находиться на вашем сервере. Есть несколько плагинов безопасности WordPress, которые вы можете использовать для автоматизации этого процесса. Однако обратите внимание, что сканирование на самом деле не удаляет вредоносное ПО – оно просто сообщает вам о его наличии. Вам все равно нужно будет избавиться от вредоносного ПО самостоятельно (или попросить вашего хоста справиться с этим).
Вам также следует регулярно проверять свой компьютер на наличие вредоносных программ, шпионских программ и вирусов . Независимо от того, насколько безопасен ваш веб-сайт, если ваш компьютер небезопасен – например, если на нем есть кейлоггер, – ваш веб-сайт подвергается риску.
Отслеживайте изменения в ваших файлах
Каждый раз, когда происходит атака, остается какой-то след – например, доказательства атаки могут быть в журналах или файлах. Вы должны постоянно следить за своими файлами, и должны быть настроены оповещения, чтобы вы знали, когда вносятся изменения. Таким образом, если произойдет изменение, о котором вы не знали заранее, вы можете быстро оценить, связано ли оно с нарушением безопасности или нет. Некоторые из упомянутых выше плагинов, например Defender , могут позаботиться об этом за вас.
Регулярно очищайте свою базу данных
Когда вы очищаете свою базу данных, вы избавляетесь от лишних, ненужных данных, которые накопил ваш сайт с течением времени, таких как спам и комментарии к корзине, настройки тем, которые вы больше не используете, и т. Д. Чем меньше бесполезных данных в вашей базе данных, тем быстрее ваш сайт будет работать. Кроме того, если вы получили уведомление от вашего плагина безопасности или поставщика о том, что ваша база данных была взломана, этот шаг является необходимым. В каталоге WordPress есть несколько плагинов на выбор: WP Optimize – самый популярный специализированный вариант, или вы можете рассмотреть WP-Sweep или Advanced Database Cleaner . В качестве альтернативы вы можете работать с хостом, который выполняет за вас регулярную очистку базы данных.
Выберите безопасный веб-хостинг
Когда вы сотрудничаете с ненадежной и небезопасной хостинговой компанией, вы сталкиваетесь с рядом проблем, включая невозможность масштабирования, слишком длительное время простоя сервера и единые точки отказа. Вы должны иметь возможность масштабировать свой сайт при скачках трафика, не беспокоясь о том, что он выйдет из строя, выйдет из строя или станет более уязвимым для нарушений безопасности. Еще одно соображение: лучший хостинг изолирует каждый веб-сайт, чтобы один взломанный сайт не влиял на другие.
Если вы согласитесь на недорогой и некачественный хостинг, вы будете делить сервер с сотнями других клиентов. В результате ваш сайт будет тормозить. Кроме того, все эти другие сайты представляют угрозу безопасности для вашего сайта – чем больше сайтов загружено на сервер, тем больше уязвимостей. Более того, «бюджетный» хост, вероятно, не будет внимательно следить за вашим сайтом и не будет знать, была ли атака.
Большинство хостинговых компаний предлагают какие-то услуги безопасности, но где бы их роль ни заканчивалась, начинается ваша – и если вы не знаете, как управлять сайтом или обеспечивать его безопасность, ваша может оказаться очень уязвимой. Работайте с хостом, который будет предлагать множество функций безопасности, а также круглосуточный мониторинг и управление. Ваш хост также должен:
- Будьте открыты, чтобы ответить на любые ваши вопросы о безопасности, включая объяснения предлагаемых ими функций и их процессов.
- Предложите самую последнюю стабильную версию программного обеспечения.
- Регулярно делайте резервные копии своего сайта, а также предлагайте надежные процессы восстановления, если что-то пойдет не так.
Две стандартные меры безопасности, которые должен иметь каждый сайт, – это настройка брандмауэра и добавление SSL для дополнительной безопасности. Вы можете использовать плагины для обоих этих обязательных компонентов, но для сохранения компактности вашего сайта лучше всего, если вы найдете хост, который включает эти функции в свой стандартный план.
Вот еще два важных момента при выборе веб-хостинга:
- Не используйте общий сервер. Вы никогда не должны выбирать хост, который разместит ваш сайт на общем сервере. Когда вы находитесь на общем сервере, на нем размещается ваш сайт вместе со многими другими. Если один сайт будет скомпрометирован, ваш тоже окажется под угрозой.
- Используйте шифрование SFTP. Ваш веб-хост должен предлагать шифрование SFTP, что означает, что ваши данные и пароль зашифровываются при подключении к серверу. Даже если там присутствует хакер, они не смогут увидеть ваш пароль, потому что он будет скрыт при передаче между вашим компьютером и вашим сайтом.
Настройте повторяющиеся меры безопасности
Добавив плагин безопасности на свой сайт WordPress, вы будете уведомлены о подозрительной активности, как только она произойдет. Например, если кто-то пытается выполнить несанкционированный вход или добавляет файл, вы можете получить уведомление. Плагин должен выдавать предупреждение, в котором четко указывается, в чем проблема, чтобы вы знали, что делать дальше.
В качестве альтернативы вы можете обратиться к поставщику услуг безопасности, который будет следить за вашим сайтом и устранять возникающие проблемы. Однако это дорогостоящий вариант, но безопасность не должна быть вариантом для большинства владельцев сайтов – вам нужен ваш сайт WordPress, чтобы быть в безопасности. Качественный хостинг WordPress должен иметь встроенный круглосуточный мониторинг безопасности, чтобы вам не приходилось нанимать еще одного поставщика услуг только для того, чтобы ваш сайт работал.
Как установить приоритет безопасности WordPress на вашем веб-хостинге
Лучше всегда сотрудничать с поставщиками, которые используют первоклассные услуги безопасности. Например, Patchman – это решение на уровне сервера, которое обнаруживает и устраняет уязвимости и вредоносное ПО. Все это выполняется незаметно – клиентам не нужно устанавливать или настраивать его или даже следить за ним для обслуживания. Когда Patchman обнаруживает исправление безопасности в новом выпуске, он выполняет резервное копирование исправления, чтобы применить его ко всем предыдущим версиям.
Вот еще один пример: механизм анализа поведения Human Presence обнаруживает и устраняет 99% вредоносного спама от ботов. Посетители веб-сайта не видят, что он работает, но он продолжает защищать аналитику, комментарии, формы и обзоры, а также предотвращает удаление контента и данных с вашего сайта.
Когда вы выбираете веб-хостинг от Convesio, услуги безопасности входят в стандартную комплектацию. Например, функция корпоративной безопасности Cloudflare – хороший способ защитить ваш сайт WordPress, но обычно она стоит более 200 долларов в месяц. С хостингом нового поколения вы получите все сразу.
Эти другие функции безопасности также очень важны. Для многих пакетов хостинга вам придется приобретать эти преимущества безопасности отдельно – теперь вы можете включить их в свой стандартный пакет:
- Расширенные правила брандмауэра.
- Расширенный набор управляемых правил.
- Автоматическое исправление вредоносных программ.
- Автоматическое исправление уязвимостей.
- Комментируйте и формируйте защиту от спама.
- Защита от DDoS-атак на предприятии.
- Обнаружение ботов присутствия человека.
- Интеллектуальное обнаружение угроз.
- Наборы основных правил OWASP.
- Ограничение скорости.
- Защита от угроз на основе репутации.
Найдите веб-хостинг, которому вы доверяете
Опираясь на безопасный хостинг WordPress является обязательным для агентств, разработчиков, фрилансеры, и любой владелец веб – сайта , который нуждается в их сайт вверх и работает без икоты. Хостинг с полным спектром услуг означает, что вы можете положиться на своего провайдера, который внимательно следит за вашим сайтом, узнает, как только возникнет проблема, и исправляет ее, и все это без вашего участия. Вот лишь некоторые из функций, которые следует искать в безопасном веб-хосте:
- HTTPS
- Последний PHP
- Отключен просмотр каталогов
- Повышенная безопасность базы данных
- Шифрование
- Весы по запросу (что также позволяет избежать ненужных затрат)
- Изоляция сайта и безопасность контейнеров
В Convesio, если они начинают обнаруживать определенную нагрузку на экземпляр WordPress, они могут разделить трафик между несколькими экземплярами. Такой хостинг WordPress с высокой доступностью обычно стоит дорого, более 1400 долларов в месяц. Причина, по которой это так дорого, заключается в том, что это такая сложная (и важная) проблема. С Convesio вы платите всего 50 долларов в месяц и можете создать мультитенантный сайт WordPress, который масштабируется на несколько узлов.
Вывод
Безопасный веб-сайт – это не тот, у которого никогда не будет проблем с безопасностью – это невозможно обещать . Напротив, безопасный веб-сайт – это тот сайт, на котором максимально снижены риски безопасности. Чем прочнее и безопаснее ваш сайт, тем он менее уязвим для взломов.
Некоторые меры безопасности для защиты вашего сайта от взлома WordPress очевидны, и их легко решить самостоятельно, например, создание надежных паролей и выбор только авторитетных плагинов и тем. Однако другими управлять сложнее, особенно если вы отвечаете за множество веб-сайтов для клиентов.
Никто не хочет иметь дело с проблемой взлома WordPress. Ваш сайт станет недоступен для посетителей, и это может повлиять на ваш бизнес – и чем дольше ваш сайт будет недоступен, тем больше будет общее влияние. Необходимо действовать быстро.
Большая часть этого может быть автоматизирована и обработана за вас с помощью подходящего хоста – они могут выполнять регулярное резервное копирование, сканирование на наличие вредоносных программ, обновления безопасности, шифрование и брандмауэры. Независимо от того, был ли у вас взломан сайт и вы больше не хотите проходить через него, или вы хотите похвастаться тем, что ваши сайты ни разу не взламывали, ключевую роль играет качественная безопасность. Постоянное обновление вашего веб-сайта WordPress и сотрудничество с таким партнером, как Convesio, может предотвратить взломы в будущем.