Как защитить WordPress? 16 шагов к безопасному веб-сайту

Если вы регулярно читаете наш блог, вы знаете, что безопасность веб-сайта и безопасность хостинга являются наиболее важными вопросами. Важнее, чем производительность, оформление и другие функции. При создании веб-сайта вы должны убедиться, что он безопасен. Но безопасного хостинга и безопасности сервера недостаточно, если вы не обеспечиваете безопасность WordPress.

WordPress уязвим для атак

Чем популярнее приложение, тем больше вероятность его взлома хакерами. В настоящее время WordPress поддерживает более половины веб-сайтов по всему миру. Его успех определялся в первую очередь сочетанием простоты и возможности разработки. Открытая структура позволяет разрабатывать веб-сайты с помощью плагинов.

К сожалению, количество установок WordPress также приводит к некоторым позорным результатам. По данным Wordfence, 9 декабря 2021 года более 1,5 миллионов веб-сайтов, созданных на WordPress, были атакованы. За 36 часов было предпринято более 13 миллионов попыток получить доступ к панелям управления сайтом.

Киберпреступники не сидят сложа руки и постоянно ищут слабые места на веб-сайтах и в приложениях, благодаря которым они могут получить ценные данные. Сукури указывает на еще один важный элемент безопасности. Более 50% взломанных страниц на WordPress связаны с устаревшей версией приложения. Keycdn.com добавляет другую статистику: почти 56% угроз и уязвимостей в системе безопасности вызваны устаревшими плагинами или темами.

Как обеспечить безопасность WordPress?

Но даже исправление приложения не является гарантией безопасности. Позаботьтесь о своем веб-сайте самостоятельно. Делайте это в соответствии с нашими рекомендациями. Чем больше из них вы используете, тем безопаснее вы сделаете свой сайт.

Некоторые решения требуют базовых знаний панели phpMyAdmin, в которой вы можете редактировать базу данных. Неправильная работа с таблицами может привести к частичной недоступности страницы или всего веб-сайта.

Еще одним важным фактором безопасности хостинга является его размещение на защищенном сервере. У вас есть два решения: хостинг VPS или безопасный хостинг WordPress. Я рекомендую второй, потому что он имеет встроенные меры безопасности для защиты WordPress от атак. Теперь давайте перейдем к списку.

Обновить WordPress

Звучит банально? Может быть, и так, но главное – дважды проверить, не устарел ли ваш WordPress. Начиная с версии 3.7, WordPress может автоматически обновлять CMS, темы и плагины. Откладывать обновления очень рискованно.

Измените префикс wp_ по умолчанию для таблиц в базе данных

Благодаря префиксу к таблицам в базе данных MySQL приложение может распознавать, какие данные принадлежат ему. В конце концов, несколько приложений могут использовать одну базу данных. Одним из недостатков WordPress является то, что он оставляет в базе данных префикс wp_ по умолчанию; это облегчает задачу хакерам. Поэтому измените этот префикс на другой, менее отличительный (например, xtmx4_).

Вы можете сделать это двумя способами – при установке WordPress и после установки, войдя в базу данных MySQL через панель phpMyAdmin. Благодаря этому изменению веб-сайт, основанный на WordPress, будет менее подвержен атакам с использованием SQL-инъекций.

Изменение имени префикса таблицы требует изменения записей в двух таблицах WordPress: xtmx4_options и xtmx4_usermeta. Вы можете сделать это с помощью одной из двух команд SQL (необходимо указать предложенные вами префиксы):

• SELECT * FROM `xtmx4_options` WHERE` option_name` LIKE ‘% wp_%’;
• SELECT * FROM `xtmx4_usermeta` WHERE` meta_key` LIKE ‘% wp_%’;

Не забудьте изменить строку с префиксом в wp-config.php файл после этого изменения.

Измените логин и идентификатор администратора

Логин по умолчанию, предлагаемый WordPress, – “admin” – это легко угадать, если кто-то пытается войти в панель управления. Во время установки стоит сменить его на другой, менее “логичный” с точки зрения внешнего пользователя. Помните, что логин не будет отображаться под статьями блога, так как отображаемое имя настраивается индивидуально на панели WordPress.

Измените логин после установки через phpMyAdmin в таблице (your-prefix)_users. Там же вы также измените идентификатор учетной записи. Лучше всего вводить большое число со случайной последовательностью цифр (например, вместо 333333 введите 158062).

Ограничить доступ к панели управления WordPress с помощью .htaccess

Ограничение доступа к странице входа в систему – очень разумное решение. В файле .htaccess достаточно настроить разрешенные подключения к выбранному IP-адресу. Ниже приведена правильная формула для включения в контент:

• Имя пользователя “Пример контроля доступа”
• AuthType Basic
• запретить заказ, разрешить
• запретить от всех
• разрешить с IP_address

Вместо “IP_address” введите адрес, с которого вы хотите получить доступ к панели.

Измените свой внутренний адрес входа в WordPress

Вредоносные скрипты в первую очередь атакуют подстраницы, связанные с контентом и его редакцией, то есть “/ wp-admin”. Поэтому стоит подумать об изменении этого адреса на другой, более дружественный и менее очевидный для киберпреступников. Установите плагин WPS Hide Login и настройте его в соответствии с вашими потребностями. Новый адрес для входа в панель будет доступен немедленно.

Другим типом защиты от “взлома” страницы входа в WordPress является использование файла .htaccess на хостинге и ссылки на файл .htpasswd, в котором вы настраиваете данные доступа для отображения страницы входа.

Измените способ входа на свой адрес электронной почты

Изменение способа проверки пользователя приложением повышает безопасность панели управления WordPress. Для этого установите плагин WP Email Login и замените имя пользователя на адрес электронной почты, присвоенный пользователю. После сохранения изменений измените стандартный логин на набор случайных символов (особенно, если вы использовали “admin”).

Включите дополнительную защиту приложений на хостинге (WAF)

Безопасный хостинг WordPress защищает вас дополнительным уровнем безопасности – брандмауэром веб-приложений. Если вы используете другого провайдера, спросите его о WAF. Он защищает вас от атак с использованием уязвимостей, связанных с базами данных MySQL, или с использованием вредоносных заголовков.

Отключить редактирование файлов плагинов и тем

Вы закончили персонализацию своей темы и запуск плагинов? Защитите свои файлы, предотвратив дальнейшее редактирование кода на панели управления WordPress. Для этого добавьте одну строку в wp-config.php файл:

• define (‘DISALLOW_FILE_EDIT’, true);

Отключить регистрацию пользователей

WordPress позволяет вам регистрировать пользователей по умолчанию, но если вы запускаете веб-сайт, который не нуждается в этой опции (например, он ориентирован только на чтение), лучше заблокировать его в настройках WordPress. Это еще одно “окно” для потенциальной попытки атаки.

Включите двухфакторную аутентификацию

Дополнительный уровень безопасности при входе в систему еще никому не повредил. Используйте плагин двухфакторной аутентификации, чтобы настроить двойной вход в панель. После ввода логина и пароля вам нужно будет ввести уникальный код, отправленный на ваш смартфон. Для этого решения требуется установка приложения Google Authenticator на вашем смартфоне, доступного на Android и iOS.

Плагины безопасности для WordPress – почему их НЕ стоит использовать?

На рынке вы найдете несколько дополнительных плагинов, которые содержат несколько из вышеперечисленных функций и дополнительно защищают WordPress от грубой силы и других атак. Таким образом, они экономят время (все, что вам нужно сделать, это установить один из них и настроить его за несколько минут) и (теоретически) решают несколько вопросов, связанных с безопасностью.

Но вы уверены? Давайте не будем забывать, что это всего лишь еще один плагин. Даже плагины безопасности могут содержать уязвимости, которые облегчат потенциальному хакеру доступ к вашей панели управления WordPress.

Такие плагины, как Wordfence, Sucuri или iThemes Security, являются модными, предлагают различные функции и выглядят заманчиво, но статистика из исследования WPwhiteSecurity вызывает беспокойство. Среди 10 самых уязвимых плагинов WordPress в 2019 году Wordfence занял 4-е место.

Сделайте дополнительные копии своих данных

На серверах UltaHost резервное копирование выполняется циклически ночью, точечно. Все файлы и базы данных в резервной копии отражают состояние сервера на определенный час. В любом случае пользователь может восстановить такие данные за последние 16 дней. Это одно из лучших предложений на рынке, но это не должно вызывать удивления. UltaHost придерживается политики безопасности.

Если ваш веб-сайт динамичен и вы публикуете на нем много контента (например, в виде рекламного портала), установите дополнительные приложения для резервного копирования WordPress. Одним из них является Updraft, благодаря которому вы можете запрограммировать резервное копирование даже каждые 60 минут. Не забывайте делать резервные копии, когда у вас низкий трафик, потому что каждая операция резервного копирования – большая нагрузка на сервер.

Удалите ненужные плагины и темы

WordPress позволяет создавать веб-сайт для любых целей. Неудивительно, что вы будете тестировать на нем новые темы и плагины. Не забудьте удалить их, если вы не будете их использовать. Даже деактивированные, но устаревшие плагины могут быть причиной атаки на ваш сайт.

Загружайте плагины только из надежного источника. Это не обязательно должен быть официальный репозиторий WordPress, потому что есть плагины премиум-класса, которые вы можете загрузить только с сайта автора. Но избегайте плагинов из ненадежных источников, таких как электронная почта или бесплатные файловые сервисы. Они не проходят никакой проверки и не подлежат контролю.

Часто обновляйте тему

Это третий потенциальный источник проблемы, с которой может столкнуться веб-сайт, основанный на WordPress. Разработчики тем должны выпускать обновления как можно чаще, чтобы исправлять ошибки и уязвимости программного обеспечения. Они могут быть использованы хакерами, и их нельзя недооценивать.

Используйте SSL-сертификат

WordPress обеспечивает полную поддержку зашифрованного HTTPS-соединения через браузер. С 2017 года приложение CMS требует, чтобы сервер поддерживал этот протокол. Сертификат SSL также необходим для оптимизации SEO.

Кроме того, самые популярные браузеры (Google Chrome, Mozilla Firefox) помечают сайты без SSL-сертификата как “незащищенные”. С психологической точки зрения это равносильно нежеланию пользователя посещать сайт в будущем.

Используйте длинные пароли

Чем длиннее и разнообразнее пароль, тем лучше. WordPress автоматически предлагает сохранить пароль в виде нескольких символов без словарных фраз. Обычно на этом шаге мы хотим предложить наш пароль, но в большинстве случаев он будет недостаточно надежным.