WordPress — это мощный инструмент, который может упростить управление веб-сайтом. Но поскольку многие веб-сайты работают на WordPress, это делает платформу мишенью для хакеров. Используя ботов и другие методы автоматизации , хакеры могут за короткое время нанести большой ущерб множеству веб-сайтов в 2023 году.
Заманчиво запустить новый веб-сайт на WordPress и просто позволить ему начать делать свою работу. Вместо этого сделайте паузу и найдите время, чтобы защитить свой веб-сайт WordPress от хакеров, выполнив эти восемь простых шагов.
1. Отключить списки каталогов
На этом первом этапе мы отключим индексацию каталогов, чтобы повысить безопасность вашего веб-сайта.
Что это значит? Если веб-сервер не находит индексный файл на вашем веб-сайте, по умолчанию он показывает полный список всех файлов в этом каталоге, что является открытой дверью для
хакеров.
Как вы можете видеть на скриншоте ниже, папки видны всем.
Риск, связанный с такими открытыми списками каталогов, заключается в том, что они показывают хакерам или лицам со злыми намерениями содержимое вашего сервера.
Конфиденциальные файлы не должны быть доступны для общественности таким образом. Хорошая новость заключается в том, что если вы используете веб- сайт WordPress, скрыть списки каталогов довольно просто.
Выполните эти простые шаги, чтобы отключить индексацию каталога:
- Перейдите к вашему файлу .htaccess и откройте его.
- Вставьте следующий код в файл над любыми правилами WordPress.# Отключить параметры просмотра каталога
-Indexes - Сохраните и загрузите файл, и каталог файлов теперь будет скрыт.
- Очистите кеш и обновите браузер, теперь он должен отображать сообщение «Запрещено» и скрывать вид каталога.
2. Остановить перечисление пользователей
Если ваши имена пользователей видны на вашем веб-сайте WordPress, хакеры могут использовать эти общедоступные имена пользователей, чтобы получить доступ к странице входа на ваш веб-сайт. Все, что нужно сделать хакеру, это добавить «?author=1» в конце вашего URL-адреса, и он сможет увидеть имя пользователя автора этого сообщения.
Хакер может использовать скрипт для поиска всех имен авторов вашего веб-сайта, что подвергает вас множеству угроз безопасности.
Это называется перечислением пользователей, потому что хакер использует идентификационный номер имени пользователя, чтобы узнать имя пользователя. Однако есть способ предотвратить перечисление пользователей.
Следуйте этим простым шагам.
- На первом этапе мы переименуем наше отображаемое имя. Для этого нажмите на имя пользователя WordPress в правом верхнем углу.
- Теперь сделайте ваши имена пользователей отличными от ваших отображаемых имен. Для этого прокрутите вниз и измените псевдоним на что-то другое, а в разделе « Отображаемое имя публично как » выберите только что выбранный псевдоним и нажмите «Сохранить».
Этот шаг не позволяет хакерам увидеть ваше имя пользователя на странице, но оно все
равно будет отображаться в URL-адресе, если вы не выполните следующий шаг.
- Установите и активируйте плагин Stop User Enumeration . Этот плагин популярен, хорошо поддерживается и прост в использовании.
Затем проверьте, видите ли вы по-прежнему свои имена пользователей, когда добавляете «?author=1» к своему URL-адресу.
После проверки вы должны получить запрещенное сообщение.
3. Удалите номера версий WordPress
В WordPress существует рискованная практика отображения номера версии в коде HTML, кодах CSS и
JavaScript, RSS-каналах и других каналах.
Когда эта информация видна, она показывает хакерам слабые места, которые можно использовать в этих версиях WordPress, и нет никаких реальных преимуществ в отображении номера вашей версии WordPress на вашем сайте, поэтому лучше полностью отключить его.
Если вы просмотрите исходный код или код канала для своего веб-сайта, вы увидите в разделе заголовка, что версия WordPress четко указана.
Чтобы отключить отображение версий в коде вашего веб-сайта, зайдите на свой веб-сайт с помощью FTP-клиента или через cPanel и перейдите в корневую папку.
Найдите файл functions.php и откройте его в редакторе исходного кода.
В конце файла functions добавьте приведенный ниже код.
Код удалит номера версий из заголовка HTML, из RSS-канала и любых файлов CSS и JavaScript.
//
удалить версию из заголовка
remove_action(‘wp_head’,
‘wp_generator’);
//
удалить версию из rss
add_filter(‘the_generator’,
‘__return_empty_string’);
//
удалить версию из скриптов и стилей
function
shapeSpace_remove_version_scripts_styles($src) {
if (strpos($src, ‘ver=’)) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘style_loader_src’,
‘shapeSpace_remove_version_scripts_styles’, 9999);
add_filter(‘script_loader_src’,
‘shapeSpace_remove_version_scripts_styles’, 9999);
Сохраните и загрузите обновленный файл functions.php и проверьте, видите ли вы все еще версию в
исходном коде.
Выполните поиск номера версии в исходном коде, чтобы убедиться, что он больше не отображается.
Префикс таблицы WordPress по умолчанию всегда «wp_». И поскольку хакеры хорошо осведомлены об этом значении по умолчанию, они пишут сценарии и создают ботов, которые атакуют это соглашение об именах таблиц.
Вы можете предотвратить автоматические атаки, присвоив своим таблицам уникальный префикс, который эти боты и скрипты не смогут атаковать, поскольку таблица не существует с тем именем, которое они ищут.
Во время установки вы можете легко изменить префикс таблицы по умолчанию, как показано на снимке экрана ниже.
Чтобы ваши файлы было легко читать и сортировать по имени, вы можете добавить свои собственные символы в конец префикса «wp_».
Это может быть набор случайных символов, чтобы ваш префикс выглядел примерно так «wp_i2njk_».
5. Отключить редактирование файлов в админке
WordPress создан для удобного и легкого редактирования. И хотя это хорошо для многих людей, это
может оставить вас открытыми для проблем с безопасностью.
Одним из примеров этого является тот факт, что администратор может редактировать или вносить изменения в файлы темы. То же самое справедливо и для плагинов.
Как только злоумышленник получит доступ к административной части вашего веб-сайта, он сможет редактировать файлы вашего сайта и нанести большой ущерб за очень короткое время. Вы можете отключить возможность внесения изменений в эти файлы с помощью одного незначительного изменения в файле конфигурации .
Скопируйте и вставьте приведенный ниже
код в файл конфигурации прямо над строкой, которая говорит вам прекратить редактирование .
define(‘DISALLOW_FILE_EDIT’,
true);
Сохраните и загрузите изменения. Как вы можете видеть на снимке экрана ниже, опция «Редактор тем» больше не отображается, то же самое касается редактора плагинов в разделе «Плагины».
У администраторов больше не будет возможности редактировать какие-либо файлы через панель инструментов. Вместо этого они могут использовать более безопасный FTP-клиент или cPanel.
Это простое исправление безопасности может защитить файлы вашего веб-сайта, если хакер получит доступ к вашей панели инструментов.
Кроме того, это довольно легко отменить, если вы позже решите, что хотите, чтобы ваши администраторы имели возможность редактирования файлов из WordPress.
6. Отслеживайте журналы ошибок и активность
Мониторинг журналов ошибок на вашей хостинговой платформе может дать вам ценную информацию о том, кто пытается получить доступ к вашему веб-сайту.
Чтобы проверить свои журналы ошибок, войдите в свою cPanel и перейдите в раздел «Журналы ошибок и необработанный доступ » (журналы активности).
Если вы видите вредоносную активность в этих отчетах, убедитесь, что вы запретили этим пользователям их дальнейшие попытки. Боты и другие злоумышленники, которые постоянно пингуют ваш сайт, могут замедлить его работу для реальных посетителей.
Самый простой способ остановить эти запросы доступа — установить плагин WP-Ban . После того, как у вас есть плагин и он активирован на вашем веб-сайте, перейдите в меню «Настройки» и нажмите «Запретить».
Здесь вы можете обновить настройки вашего плагина. Из журналов ошибок вы можете добавить IP-адреса, которые пытались злонамеренно получить доступ к вашему веб-сайту. Как только вы сохраните изменения, этому пользователю будет представлено сообщение о запрете, и он будет заблокирован на вашем сайте.
7. Отключить отображение ошибок
Когда ваш веб-сайт отображает предупреждения и ошибки PHP в браузере, это может быть серьезной угрозой безопасности. Вы должны настроить свой веб-сайт, чтобы не отображать эти ошибки.
Веб- сайты, на которых отображаются эти ошибки, предоставляют хакерам важную информацию о сервере и настройке. Затем эти хакеры могут использовать эти ошибки против вас, чтобы найти пути на ваш сайт.
Даже если вы никогда не столкнетесь с хакером, получающим эту информацию, показ этой информации для публики просто выглядит плохо.
Новые установки WordPress по умолчанию не должны отображать никаких сообщений. Однако, если вы недавно устраняли проблему с хостом вашего веб-сайта или ваши разработчики активно
внедряли новые функции, в браузере могут отображаться ошибки и предупреждения.
Сделать это изменение просто в файле конфигурации. Прокрутите вниз, пока не увидите
константу «Отладка». Как только вы найдете его, убедитесь, что для всех констант «Отладка» установлено значение false, а не true.
Ваш код должен выглядеть так
:
define(
‘WP_DEBUG’, false );
8. Отслеживайте изменения файлов
Чтобы гарантировать , что на вашем веб-сайте происходят только те изменения, которые вносите вы и ваша команда, вы хотите отслеживать любые изменения файлов.
Простой способ сделать это — использовать плагин Website File Changes Monitor .
Плагин будет сканировать ваш сайт каждый день и отслеживать три типа изменений файлов: добавление, изменение и удаление.
Чтобы убедиться, что плагин правильно установлен и готов к работе, вы должны выполнить несколько тестов, удалив плагин, установив новый или отредактировав несколько файлов на своем веб-сайте. Плагин Website File Changes Monitor должен записывать все эти изменения на вашем сайте.
Защитить безопасность вашего веб-сайта WordPress можно менее чем за час и без найма разработчика. Нет никаких причин не предпринять эти восемь важных шагов, чтобы обеспечить защиту всего, что вы построили.
