Если вы регулярно читаете наш блог, вы знаете, что безопасность веб-сайта и безопасность хостинга являются наиболее важными вопросами. И даже важнее, чем производительность, оформление и другие функциональные возможности. Создавая веб-сайт, вы должны убедиться, что он безопасен. Но безопасного хостинга и сервера недостаточно, если вы не обеспечиваете безопасность WordPress.
WordPress уязвим для атак
Чем популярнее приложение, тем больше вероятность того, что оно будет взломано хакерами. В настоящее время WordPress поддерживает более половины веб-сайтов по всему миру. Его успех был обусловлен в первую очередь сочетанием простоты и возможности развития. Открытая структура позволяет разрабатывать веб-сайты с помощью плагинов.
К сожалению, количество установок WordPress также приводит к некоторым позорным результатам. По данным Wordfence, 9 декабря 2021 года более 1,5 миллионов сайтов, созданных на WordPress, подверглись атаке. За 36 часов было предпринято более 13 миллионов попыток получить доступ к панелям управления сайтом.
Киберпреступники не сидят сложа руки и постоянно ищут слабые места в веб-сайтах и приложениях, благодаря которым они могут получить ценные данные. Сукури указывает на еще один важный элемент безопасности. Более 50% взломанных страниц на WordPress связаны с устаревшей версией приложения. Keycdn.com добавляет другую статистику: почти 56% угроз и уязвимостей в системе безопасности вызваны устаревшими плагинами или темами.
Как поддерживать WordPress в безопасности?
Но даже исправление приложения не является гарантией безопасности. Позаботьтесь о своем сайте самостоятельно. Делайте это в соответствии с нашими рекомендациями. Чем больше из них вы используете, тем безопаснее вы сделаете свой сайт.
Некоторые решения требуют базовых знаний панели phpMyAdmin, в которой вы можете редактировать базу данных. Неправильная работа с таблицами может привести к частичной недоступности страницы или всего веб-сайта.
Еще одним важным фактором безопасности хостинга является его размещение на защищенном сервере. У вас есть два решения: Хостинг VPS или безопасный хостинг WordPress. Я рекомендую второй, потому что он имеет встроенные меры безопасности для защиты WordPress от атак. Теперь давайте перейдем к списку.
Обновление WordPress
Звучит банально? Может быть, и так, но главное – дважды проверить, что ваш WordPress не стареет. Начиная с версии 3.7, WordPress может автоматически обновлять CMS, темы и плагины. Откладывать обновления очень рискованно.
Измените префикс wp_ по умолчанию для таблиц в базе данных
Благодаря префиксу к таблицам в базе данных MySQL приложение может распознавать, какие данные принадлежат ему. В конце концов, несколько приложений могут использовать одну базу данных. Одним из недостатков WordPress является то, что он оставляет в базе данных префикс wp_ по умолчанию; это упрощает задачу хакерам. Поэтому измените этот префикс на другой, менее отличительный (например, xtmx4_).
Вы можете сделать это двумя способами – при установке WordPress и после установки, войдя в базу данных MySQL через панель phpMyAdmin. Благодаря этому изменению веб-сайт, основанный на WordPress, будет менее подвержен атакам с использованием SQL-инъекций.
Изменение имени префикса таблицы требует изменения записей в двух таблицах WordPress: xtmx4_options и xtmx4_usermeta. Вы можете сделать это с помощью одной из двух SQL-команд (необходимо указать предложенные вами префиксы).:
- ВЫБЕРИТЕ * ИЗ `xtmx4_options` ГДЕ `option_name` КАК ‘% wp_%’;
- ВЫБЕРИТЕ * ИЗ `xtmx4_usermeta` ГДЕ `meta_key` НАПРИМЕР, ‘% wp_%’;
Не забудьте изменить строку с префиксом в wp-config.php файл после этого изменения.
Изменить логин и идентификатор администратора
Логин по умолчанию, предлагаемый WordPress, – “admin” – об этом легко догадаться тому, кто пытается войти в панель мониторинга. Во время установки стоит сменить его на другой, менее “логичный” с точки зрения внешнего пользователя. Помните, что логин не будет отображаться под статьями блога, так как отображаемое имя настраивается индивидуально на панели WordPress.
Измените логин после установки через phpMyAdmin в таблице (your-prefix)_users. Там же вы также измените идентификатор учетной записи. Лучше всего вводить большое число со случайной последовательностью чисел (например, вместо 333333 введите 158062).
Ограничить доступ к панели управления WordPress с помощью .htaccess
Ограничение доступа к странице входа в систему – очень разумное решение. В файле .htaccess достаточно настроить разрешенные подключения к выбранному IP-адресу. Ниже приведена правильная формула для включения в содержание:
- Имя пользователя “Пример управления доступом”
- AuthType Базовый
- запретить заказ, разрешить
- отрицать от всех
- разрешить с IP_address
Вместо “IP_address” введите адрес, с которого вы хотите получить доступ к панели.
Измените свой внутренний адрес входа в WordPress
Вредоносные скрипты в первую очередь атакуют подстраницы, связанные с контентом и его редакцией, то есть “/ wp-admin”. Поэтому стоит подумать о смене этого адреса на другой, более дружественный и менее очевидный для киберпреступников. Установите плагин WPS Hide Login и настройте его в соответствии с вашими потребностями. Новый адрес входа в панель будет доступен немедленно.
Другим типом защиты от “взлома” страницы входа в WordPress является использование файла .htaccess на хостинге и ссылки на файл .htpasswd, в котором вы настраиваете данные доступа для отображения страницы входа.
Измените способ входа на свой адрес электронной почты
Изменение способа проверки пользователя приложением повышает безопасность информационной панели WordPress. Для этого установите плагин WP Email Login и замените имя пользователя на адрес электронной почты, присвоенный пользователю. После сохранения изменений измените стандартный логин на набор случайных символов (особенно, если вы использовали “admin”).
Включить дополнительную защиту приложений на Хостинге (WAF)
Безопасный хостинг WordPress защищает вас дополнительным уровнем безопасности – брандмауэром веб-приложений. Если вы пользуетесь услугами другого провайдера, спросите его о WAF. Он защищает вас от атак с использованием уязвимостей, связанных с базами данных MySQL, или с использованием вредоносных заголовков.
Отключить редактирование файлов плагинов и тем
Вы закончили персонализацию своей темы и запуск плагинов? Защитите свои файлы, предотвратив дальнейшее редактирование кода на панели управления WordPress. Для этого добавьте одну строку в wp-config.php файл:
- определить (‘DISALLOW_FILE_EDIT’, true);
Отключить регистрацию пользователя
WordPress позволяет вам регистрировать пользователей по умолчанию, но если вы запускаете веб-сайт, который не нуждается в этой опции (например, он ориентирован только на чтение), лучше заблокировать его в настройках WordPress. Это еще одно “окно” для потенциальной попытки атаки.
Включить двухфакторную аутентификацию
Дополнительный уровень безопасности при входе в систему еще никому не повредил. Используйте плагин двухфакторной аутентификации, чтобы настроить двойной вход в панель. После ввода логина и пароля вам нужно будет ввести уникальный код, отправленный на ваш смартфон. Это решение требует установки приложения Google Authenticator на вашем смартфоне, доступного на Android и iOS.
Плагины безопасности для WordPress – почему НЕ стоит их использовать?
На рынке вы найдете несколько дополнительных плагинов, которые содержат некоторые из вышеперечисленных функций и дополнительно защищают WordPress от грубой силы и других атак. Таким образом, они экономят время (все, что вам нужно сделать, это установить один из них и настроить его за несколько минут) и (теоретически) решают несколько вопросов, связанных с безопасностью.
Но вы уверены? Давайте не будем забывать, что это всего лишь еще один плагин. Даже плагины безопасности могут содержать уязвимости, которые облегчат потенциальному хакеру доступ к вашей панели управления WordPress.
Плагины, такие как Wordfence, Sucuri или iThemes Security, являются модными, предлагают различные функции и выглядят заманчиво, но статистика исследования WPwhiteSecurity вызывает беспокойство. Среди 10 самых уязвимых плагинов WordPress в 2019 году Wordfence занял 4-е место.
Сделайте дополнительные копии ваших данных
На серверах UltaHost резервное копирование выполняется циклически в ночное время, точечно. Все файлы и базы данных в резервной копии отражают состояние сервера на определенный час. В любом случае пользователь может восстановить такие данные за последние 16 дней. Это одно из лучших предложений на рынке, но это не должно вызывать удивления. У UltaHost есть политика, ориентированная на безопасность.
Если ваш сайт динамичный и вы публикуете на нем много контента (например, в виде рекламного портала), установите дополнительные приложения для резервного копирования WordPress. Одним из них является восходящий поток, благодаря которому вы можете запрограммировать резервное копирование даже каждые 60 минут. Не забывайте создавать резервные копии при низком трафике, поскольку каждая операция резервного копирования является большой нагрузкой для сервера.
Удалите ненужные плагины и темы
WordPress позволяет вам создать веб-сайт для любых целей. Неудивительно, что вы будете тестировать на нем новые темы и плагины. Не забудьте удалить их, если вы не хотите ими пользоваться. Даже деактивированные, но устаревшие плагины могут стать причиной атаки на ваш сайт.
Загружайте плагины только из надежных источников. Это не обязательно должен быть официальный репозиторий WordPress, потому что есть плагины премиум-класса, которые вы можете загрузить только с сайта автора. Но избегайте плагинов из ненадежных источников, таких как электронная почта или бесплатные файловые сервисы. Они не проходят никакой проверки и не подлежат контролю.
Часто обновляйте тему
Это третий потенциальный источник проблемы, с которым может столкнуться веб-сайт, основанный на WordPress. Разработчики тем должны как можно чаще выпускать обновления для исправления ошибок и уязвимостей программного обеспечения. Они могут быть использованы хакерами, и их нельзя недооценивать.
Используйте SSL-сертификат
WordPress обеспечивает полную поддержку зашифрованного HTTPS-соединения через браузер. По состоянию на 2017 год приложение CMS требует, чтобы сервер поддерживал этот протокол. SSL-сертификат также необходим для SEO-оптимизации.
Кроме того, самые популярные браузеры (Google Chrome, Mozilla Firefox) помечают веб-сайты без SSL-сертификата как “незащищенные”. С психологической точки зрения это равносильно тому, чтобы отбить у пользователя охоту посещать сайт в будущем.
Используйте длинные пароли
Чем длиннее и разнообразнее пароль, тем лучше. WordPress автоматически предлагает сохранить пароль в виде нескольких символов без словарных фраз. Обычно на этом этапе мы хотим предложить наш пароль, но в большинстве случаев он будет недостаточно надежным.
Если вам понравилась эта статья, значит, вам понравится безопасная хостинг-платформа UltaHost. Получите поддержку 24/7 от нашей службы поддержки. Наша мощная инфраструктура ориентирована на автоматическое масштабирование, производительность и безопасность. Позвольте нам показать вам разницу! Ознакомьтесь с нашими Безопасными планами хостинга WordPress!