WordPress безопасность: Защита WordPress – 12 Советов, чтобы защитить ваш сайт

Советы по безопасности WordPress для дилетанта: безопасность входа в WordPress и другие методы обеспечения безопасности

С тех пор как он был впервые представлен более двух десятилетий назад, WordPress стал (и вырос) теперь безопасно называться самой популярной в мире системой управления контентом. Сегодня, более четверти существующих сайтов, запускаются на WordPress.

Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначенный для этой конкретной операционной системы.

Версии 10 WordPress с наибольшими уязвимостями (источник). Исследование, проведенное в 2017 году, выявило 74 различных версии WordPress в 1 миллион лучших веб-сайтов Alexa; 11 из этих версий недействительны — например версия 6.6.6 (источник).

Почему ваш блог WordPress является ценной целью?

В случае, если вам интересно, почему на земле хакер хотел бы контролировать ваш блог WordPress, есть несколько причин, включая:

• Используя его, чтобы тайно отправлять спам-сообщения
• Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
• Добавление вашего сайта в бот-сеть, которую они могут использовать позже

К счастью, WordPress — это платформа, которая предлагает вам множество возможностей защитить себя. Помогая самостоятельно настраивать и администрировать несколько веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить ваш сайт WordPress.

Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.

Защитите свою страницу входа в WordPress

Защита вашей страницы входа не может быть достигнута каким-либо конкретным способом, но, безусловно, есть шаги и бесплатные плагины безопасности Вы можете предпринять любые атаки, которые с меньшей вероятностью будут успешными.

Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной.

1. Выберите хорошее имя пользователя администратора

Используйте необычные имена пользователей. Ранее с WordPress вам приходилось начинать с имени пользователя-администратора по умолчанию, но это уже не так. Тем не менее, большинство новых веб-администраторов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Ты можешь использовать Admin Renamer Extended для изменения имени администратора.

Грубая форсировка страниц входа в систему — одна из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш веб-сайт почти наверняка станет не просто целью, а в конечном итоге жертвой. По опыту, большинство попыток взлома сайта пытаются войти в систему с тремя основными вариантами имени пользователя. Первые два всегда являются «admin» или «administrator», а третий обычно основан на вашем доменном имени.

Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».

Не хорошая идея.

2. Обязательно используйте надежный пароль

К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.

Всплеск данных составил список часто используемые пароли в 2018 году, Пароль по рангу с точки зрения использования.

1. 123456
2. пароль,
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. солнечный свет
9. БУКВ
10. ILOVEYOU

Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.

Сильный пароль будет включать в себя смесь:

• Верхний и нижний заглавные символы
• Быть буквенно-цифровым (AZ и az)
• Включите специальный символ (!, @, #, $ И т. Д.).
• По крайней мере, длина символов 8

Чем более случайным является ваш пароль, тем более безопасным он будет. Попробуйте этот генератор случайных паролей, если у вас возникнут проблемы с его выходом. https://passwordsgenerator.net/

3. Внедрить reCaptchaНастенные боты от вашего блога WP.

reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.

Существуют несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.

4. Используйте двухфакторную аутентификацию (2FA)

2FA — это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.

Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.

Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.

T

5. Переименуйте ваш логин

Большинство хакеров пытаются войти через стандартную страницу входа в WordPress, которая обычно

sample.com/wp-admin.

Чтобы добавить еще один уровень защиты, быстро и легко измените URL-адрес страницы входа с помощью WPS Hide Login.

6. Ограничить количество попыток входа

Это один из невероятно простых способов остановить атаки грубой силы на странице входа в систему. Атака грубой силы работает, пытаясь получить ваше имя пользователя и пароль, повторив несколько комбинаций снова и снова.

Если определенный IP-адрес, который совершает атаку, отслеживается, вы можете заблокировать повторные попытки принудительного форматирования и обеспечить безопасность своего сайта. Это также связано с тем, что глобальные атаки DDOS происходят с несколькими IP-адресами с различным происхождением атаки, чтобы отбросить услуги хостинга и безопасность веб-сайта.

Войти LockDown и Решение Логин безопасности оба предлагают отличные решения для защиты страниц входа на ваш сайт. Они отслеживают IP-адреса и ограничивают количество попыток входа в систему для защиты вашего сайта.

Защитная стена

Мы обсудили различные тактики защиты вашей страницы входа в WordPress — указанные выше шаги — это основы, которые вы можете сделать. Вы также должны знать, что некоторые веб-хосты предписывают некоторые из этих мер безопасности своим пользователям. Есть ряд других методов безопасности, которые вы можете реализовать на своих сайтах.

7. Защитите свой каталог wp-adminДобавьте дополнительный уровень безопасности в свой каталог хоста.

Каталог wp-admin — это основа вашей установки WordPress. В качестве дополнительной защиты пароль защищает этот каталог.

Для этого вам необходимо войти в панель управления учетной записью хостинга. Используете ли вы Cpanel or Plesk, вы можете выбрать вариант ‘Папки с защитой паролем.

Кроме того, вы можете защитить каталог паролем, настроив файлы .htaccess и .htpasswds. Подробное пошаговое руководство и генератор кода доступны бесплатно по адресу Динамический привод.

Обратите внимание, что защита паролем вашей папки wp-admin сломать публичный AJAX для WordPress — вам нужно будет разрешить права администратора ajax через .htaccess, чтобы избежать ошибок сайта.

8. Использовать SSL для шифрования данныхHTTP и HTTPS-соединение (Источник: Sucuri)

Помимо самого сайта, вы также захотите защитить соединение между вами и сервером, и именно здесь SSL зашифрует ваши сообщения. Имея зашифрованное соединение, хакеры не смогут перехватывать данные (например, ваш пароль), когда вы общаетесь с вашим сервером.

Помимо этого, также хорошо применять SSL сейчас, поскольку поисковые системы все чаще наносят ущерб сайтам, которые они считают «незащищенными».

Для отдельных блоггеров и малого бизнеса — бесплатный общий SSL-протокол, который вы обычно можете получить у своего хостинг-провайдера.  Let’s Encrypt или Cloudflare — обычно более чем достаточно. Для предприятий, которые обрабатывают платежи клиентов — лучше, если вы купить выделенный сертификат SSL от вашего веб-хостинга или центра сертификации (CA).

Подробнее о SSL в нашем всеобъемлющем AZ Руководство по SSL.

9. Используйте сеть распространения контента (CDN)

Хотя это не может спасти ваш сайт от взлома, оно помогает предотвратить вредоносные атаки на него. Некоторые хакеры стремятся взломать сайты, делая их недоступными для общественности. CDN поможет смягчить удар Распределенный отказ в обслуживании атака на ваш сайт.

Кроме того, это также помогает немного ускорить ваш сайт, кэшируя некоторый контент. Чтобы изучить эту опцию, посмотрите на Cloudflare в качестве примера. Cloudflare предлагает услуги CDN по многоуровневой цене, так что вы даже можете использовать основные функции бесплатно.

Узнать больше о как работает Cloudflare и преимущества использования сервиса.

10. Убедитесь, что все ваше программное обеспечение обновлено

Независимо от того, насколько хорошо или дорогостоящее программное обеспечение, в них всегда найдутся новые недостатки, которые могут оставить их открытыми для использования. WordPress не является исключением, и команда постоянно выпускает новые версии с исправлениями и обновлениями.

Хакеры почти всегда стремятся воспользоваться слабостью, и известный эксплойт, который остается незафиксированным, просто просит неприятностей. Это вдвое больше для плагинов, которые часто создаются гораздо меньшими компаниями с меньшим объемом ресурсов.

Если вы используете плагины, убедитесь, что обновления выпускаются регулярно, или попробуйте найти популярные плагины с аналогичной функциональностью, которая постоянно обновляется.

Сказав это, я НЕ рекомендую вам использовать автоматическое обновление WordPress и плагинов, особенно если вы используете живой сайт. Некоторые обновления могут вызывать проблемы, будь то внутри или через конфликт с другими плагинами и настройками.

В идеале создайте тестовую среду, которая отображает ваш живой сайт и проверит там обновления. Как только вы убедитесь, что все работает нормально, вы можете применить обновление к текущему сайту.

Панели управления, такие как Plesk, дают вам возможность создать клон сайта для этой цели.

11. Резервное копирование, резервное копирование и резервное копирование!

Независимо от того, какие меры безопасности или насколько осторожны вы, происходят несчастные случаи. Спасите себя от сокрушительного горя и сто часов работы, просто убедившись, что у вас есть адекватные резервные услуги на месте.

Как правило, ваш веб-хост должен иметь некоторые базовые функции резервного копирования, но если вы параноик, как я, всегда убедитесь, что вы выполняете собственные независимые резервные копии. Резервное копирование не так просто, как просто копирование некоторых файлов, но также учитывать информацию в вашей базе данных.

Ищите резервное решение, которое проверено и проверено. Даже небольшие инвестиции стоят того, чтобы сэкономить на слезах в случае чрезвычайной ситуации. Что-то вроде BackupBuddy может помочь вам сохранить все, включая вашу базу данных за один раз.

12. Ваш веб-хостинг имеет значение!

Хотя традиционно хостинговые компании просто предлагали нам место для размещения наших веб-сайтов, времена изменились. Провайдеры веб-хостинга, понимание уязвимостей, предприняли шаги по повышению безопасности, предлагая многие дополнительные услуги в дополнение к своему веб-хостингу.

Возьмем, к примеру, HostGator, одно из более установленных имен в игре. Помимо базовых функций Cloudflare, HostGator (по цене $ 10 + / mo) также поставляется с защитой от спама, автоматическим удалением вредоносных программ, автоматическим резервным копированием, конфиденциальностью домена и т. Д.

Управляемый хостинг-провайдер WordPress, KinstaСоздавайте аппаратные брандмауэры и активно отслеживайте их серверы на наличие вредоносных программ и DDoS-атак с помощью собственной системы.

Если это еще не произошло, я настоятельно рекомендую вам посмотреть, какие функции безопасности предоставляет ваш хост, и сравнить их с имеющимися в настоящее время.

Для полного списка вы можете проверить WHSR сборник лучших веб-хостов здесь.

Что теперь?

Прежде чем вы начнете дико и начнете чистить Интернет в панике, ища миллион и одну систему безопасности — сделайте глубокий вдох. Как и во всем остальном, кто-то еще поможет вам в панике и ищет решение.

Даже если вы реализуете столько решений безопасности, сколько сможете найти, Убедитесь ты в безопасности?

Вот где-то вроде Безопасность Ninja заходите, что поможет вам исследовать ваш сайт за недостатки.

Быстрая демонстрация: как работает Security Ninja.

Есть несколько веских причин использовать что-то вроде Security Ninja, но позвольте мне сказать, что это инструмент, который я бы рекомендовал использовать на нескольких этапах вашего путешествия, чтобы защитить ваш сайт.

Сначала запустите его на своем веб-сайте «как есть» — перед внесением любых изменений. Позвольте плагину выталкивать и продвигать ваш сайт, прежде чем давать вам результаты.

Затем, основываясь на этих результатах, работайте над обеспечением безопасности вашего сайта. Security Ninja выполняет больше, чем тесты 50 для проверки вашей защиты. Даже после того, как вы внесли свои изменения, запустите его снова (и каждый раз, когда есть изменения сайта или обновления плагина), чтобы проверить ваш сайт.

Если это звучит для вас слишком много, Security Ninja также поставляется с множеством дополнительных модулей (pro версия, единственный сайт $ 29), которые помогут вам решить проблемы, которые он находит.

Некоторые другие ключевые функции в этих модулях включают:

• Сканируйте основные файлы WP, чтобы определить проблемные файлы
• Восстанавливайте измененные файлы одним щелчком мыши
• Исправить неработающие автообновления WP
• Запретить 600 миллионов плохих IP-адресов, собранных с миллионов атакованных сайтов
• Список автоматических обновлений, нет необходимости в обслуживании или ручной работе
• Защитите форму входа в систему от атак методом перебора

Заключительные мысли

Хотя все это может показаться немного чрезмерным для среднего пользователя WordPress, я заверяю вас, что все это (и многое другое) необходимы. Игнорируя глобальную статистику взлома и многое другое, позвольте мне поделиться с вами некоторой личной информацией об одном из самых неясных сайтов, которым я помогаю.

Первоначально начатый как простой сайт биографии, я создал www.timothyshim.com, Очевидно, это было то, что я настраивал, и большую часть времени оставляю в покое, просто как контрольную точку. В каждый месячный период этот сайт, который в основном ничего не делает и не собирает данных, сталкивается с атаками 30 — комбинацией грубой силы и сложной.

Все, что ему нужно, это для одного из них добиться успеха, и у меня будет на самом деле плохой день.

Безопасность сайта на WordPress: подробная инструкция по настройке

В этой статье говорим о лучших методах безопасности веб-сайтов на WordPress 

Не секрет, что WordPress является лидером среди CMS по разработке сайтов, в частности для создания блогов. Поэтому хакеры часто нацелены на взлом защиты сайтов на WordPress. Несмотря на простую установку и запуск сайта на WP, рекомендуем владельцам принять некоторые меры безопасности. Другими словами вся информация вашего сайта, не важно какая это информация (компании или клиентов), находится в зоне риска, даже если вы размещаете его на надежном хостинге. 

Итак, сегодня поговорим о лучших методах, решающих проблемы безопасности сайтов..

УВЕЛИЧЬТЕ БЕЗОПАСНОСТЬ САЙТА НА WORDPRESS С ПОМОЩЬЮ РЕГУЛЯРНЫХ ОБНОВЛЕНИЙ

Самая важная вещь, которую нужно регулярно делать — это обновлять все файлы и плагины WordPress, а также шаблоны, если вы их используете без собственных корректировок. Новые обновления безопасности для WP и все остальные разные плагины выпускаются достаточно регулярно. Наличие последних версий значительно затрудняет доступ киберпреступникам к вашему сайту. Не пренебрегайте даже самыми, на первый взгляд, незначительными изменениями. Проводите тщательную проверку безопасности собственного сайта и убедитесь, что установлены все последние обновления. Любая уязвимость WP, в том числе в шаблоне блога на WordPress, имеет значение, поэтому не рискуйте и перестрахуйтесь, установив все обновления.

2. ЗАЩИТИТЕ ВАШУ ПАНЕЛЬ УПРАВЛЕНИЯ

Панель управления WP — это область, в которой вы можете вносить все изменения и совершать любые действия на вашем сайте. Важно ограничить доступ в панель администратора и предоставлять доступы только тем, кому они действительно нужны. Например, если вы не зарегистрированы на сайте, то вам как пользователю веб-сайта не нужен доступ к страницам /wp-login/ или /wp-admin/.

Следующий шаг это настроить ваш домашний IP адрес, который вы можете узнать на разных ресурсах, таких как “whatismyip.com” и добавить следующие строки в Ваш файл /.htaccess/ , находящийся в папке admin . В строке 4 замените ххх на свой ip адрес:       

1. <Files wp-login.php>      
2. order deny, allow      
3. Deny fr om all      
4. Allow from xx.xxx.xxx.xxx      
5. </Files>

Чтобы разрешить авторизацию из разных мест или компьютеров, просто добавьте ещё одну строку “Allow from” с новым ip адресом.

Часто меняете место доступа или пользуетесь сетями Wi-Fi? Тогда вам нужно иметь доступ в панель управления вне зависимости от ip адреса. Для этого уменьшите количество попыток авторизации. Теперь вы в безопасности от любых попыток взломать ваш пароль методом перебора. Вот как это можно настроить. Сначала найдите плагин “WP Lim it login attempts”, затем выберите значения количества попыток авторизации (кол-во попыток ввода неверного пароля). При превышении этого значения пользователь (клиент) будет заблокирован. Данная мера уменьшит уязвимость сайта для хакеров.

НЕ ИСПОЛЬЗУЙТЕ ЛОГИН ADMIN

Кажется это так очевидно, но очень много людей никогда не меняют логин по умолчанию, таким образом, давая хакерам возможность войти в систему под “админскими” правами. Всё что им нужно, это использовать определённые программы для подбора паролей. Киберпреступникам нет ничего проще взломать систему, используя эту уязвимость, поэтому избегайте ошибок новичков и меняйте дефолтное значение логина администратора.

УСИЛИВАЙТЕ ВАШИ ПАРОЛИ

Это же правило относится и для паролей. Многие используют простые фразы и указывают в пароле первое, что им придёт в голову. Вы можете считать ваш пароль уникальным, но фактом является то, что многие люди придумывают похожие пароли. Поэтому для укрепления безопасности сайта, создавайте пароли немного длиннее, так как хакеры знают об этом факте.

Для примера можете использовать предложение, которое вас характеризует и вы можете его легко запомнить. Используйте первые буквы каждого слова и потом добавьте числа и символы между ними для увеличения сложности.

УДАЛЯЙТЕ ВИРУСЫ И ВРЕДОНОСНЫЕ ПРОГРАММЫ

Если ваш компьютер не защищён (заражён вирусами), использование его для входа на сайт, также делает ваш сайт уязвимым. Т.е. если на вашем компьютере есть вирусы или вредоносные программы, то хакер может быстро получить ваши доступы, когда вы подключаетесь к сайту невзирая на все принятые меры безопасности. Возможно вы думаете, что наибольший риск проистекает из онлайна и прямых атак.

Но большинство хакеров создают хитрые программы, которые находятся на вашем компьютере годами. Они крадут важную информацию, такие как доступы авторизации . Вот почему нужно устанавливать хорошие антивирусные программы.

Обновляйте их и сканируйте ваши компьютеры регулярно, чтобы ваши системы были не заражены.

ПРОВОДИТЕ ПРОВЕРКУ БЕЗОПАСНОСТИ С ПОМОЩЬЮ ИНСТРУМЕНТА PLESK WORLDPRESS TOOLKIT

PleskWordPress Toolkit — это панель управления, с помощью которой можно легко управлять, настраивать, и устанавливать ваш сайт на WordPress в панели Plesk (предоставляется бесплатно с редакциями Plesk Web Pro и Plesk Web Host. Также PleskWordPress Toolkit можно приобрести отдельно как дополнение (прим. редакции)). Вы можете её использовать если на вашем сервере установлена система Plesk и с её помощью проводить проверку безопасности сайта.

WordPress папка с контентом

В папке /WP-content/ есть много незащищённых РНР файлов, которые приведут к неработоспособности сайта если кто-то их повредит. После установки WP вы можете работать с рнр файлами прямо из этой директории. Эта настройка безопасности проверяет запрет выполнения данных файлов в папке. Нужно помнить, что любые кастомные директивы в файлах /web.config/ или /.htaccess/ могут переопределять установки безопасности. Дополнительно будьте внимательны к некоторым плагинам WP, которые могу перестать работать из-за настроек безопасности папки /WP-content/.

Конфигурационный файл

В файле WP-config.php много важной информации, включая доступы к базе данных. Поэтому после установки WP запустите этот файл. Так как если на веб сервер отключена обработка рнр, то любой умный хакер может открыть содержимое этого файла. Используя проверку безопасности , вы сможете заблокировать любой нежелательный доступ к этому файлу. Более того знайте, что оба файла /web.config/ и /.htaccess/ могут переопределять настройки безопасности.

Права просмотра директорий

Если разрешен просмотр каталогов, это даст хакерам возможность получить важную информацию сайта, включая информацию о его структуре, плагинах и т. д. В панели Plesk по умолчанию отключён доступ к папкам и в настройках безопасности вы также можете проверить статус прав доступа.

Префикс базы данных

Каждая установка WP использует идентичную номенклатуру для таблиц базы данных. Если вы будете использовать только стандартный префикс /WP_/ для имён таблиц базы данных, то структура базы данных будет не защищена, т.е. любой сможет получить информацию из них.

Поэтому настройка безопасности изменит все префиксы таблиц в базе данных вместо дефолтного /WP_/ . Далее она деактивирует плагины и включит режим обслуживания (поддержки). После этого данная настройка изменит префиксы в конфигурационном файле и в базе данных. Затем активирует плагины, обновит структуру постоянных ссылок и в конце выключит режим обслуживания.

Права для файлов и папок

Если права не соответствуют требованиям политики безопасности, тогда все файлы подвержены уязвимости. После окончания установки, права на файлах и папках могут быть разными. Используя проверку безопасности WP, вы можете проверить корректность прав. На папках должны быть права 755, а на файлах 644 и 600 для файла wp-config.php

Информация о версии

Все версии WP имеют разные уязвимости. Вот почему нужно избегать отображения используемой версии, так как хакеры могут знать их слабые места. Они могут найти эту информацию в файлах /readme.html/ и в метаданных страницы.

С помощью настройки безопасности WP вы можете проверить файлы /readme.html/ на наличие данных. Плюс вы можете увидеть все ли ваши темы имеют файл /functions.php/ с текстом Remove_action (/wp_head/ , /wp_generator/)

Также вы можете изменить настройки безопасности и увидеть её статус. Сначала перейдите к колонке S, которая находится в разделе Сайты и Домены-> WordPress и сделайте следующие шаги:

1. Нажмите “Проверка безопасности” (“check security”), чтобы увидеть статус безопасности всех установленных сайтов WP      
2. Если хотите защитить выбранную установку, тогда найдите колонку S и нажмите на иконку рядом определённой установкой.      
3. Если хотите проверить несколько установок, проверьте их разделы сбоку и нажмите на кнопку “Проверка безопасности” (security button).      
4. В конце выберите чекбоксы с опциями безопасности, которые хотите добавить и нажмите на кнопку установки безопасности.

Вот необходимые шаги, которые вы можете выполнить для настройки надежного уровня безопасности сайтов WP. Но помните, что это не гарантирует 100% защищённости, так как таковой не существует в природе. Но выполнив данные рекомендации, вы существенно снизите шансы на взлом вашего сайта, кражу данных и их последующее использование во вредоносных целях в сети интернет.

Перевод: Сергей Гордеев (Русоникс)
Оригинал

20+ лучших плагинов безопасности WordPress на 2020 год

Ведение блога, создание нового веб-сайта электронной коммерции или даже запуск малого бизнеса требует минимального бюджета и таких важных элементов, как хост, темы, плагины и веб-разработчики.

Первоначальные инвестиции могут обеспечить запуск вашего веб-сайта, но имейте в виду, что вам придется повысить уровни безопасности веб-сайта, чтобы защитить первоначальные инвестиции и продукт или услуги, которые вы предлагаете.

Без сомнения, WordPress – лучшая система управления контентом на рынке. Но однозначно нельзя сказать, что это лучший вариант. Если вы не обращаете внимания на аспект безопасности веб-сайта, то вы приглашаете хакеров для получения доступа к вашим данным.

В этой статье мы хотели бы представить 20 лучших плагинов безопасности WordPress, которые повысят уровни безопасности вашего сайта и защитят их от любых известных атак и вредоносных программ.

Что такое плагин безопасности WordPress? Почему это так важно?

WordPress – самая популярная CMS, и большинство веб-сайтов в Интернете построено на WordPress, и хакеры по всему миру заинтересованы в получении доступа к веб-сайтам WordPress.

Почему?

WordPress всегда поощряет своих пользователей обновлять свои веб-сайты. Однако использование сторонних тем и плагинов может поставить под угрозу безопасность WordPress.

Это означает, что хакеры могут найти слабые места вашего сайта и получить доступ к WordPress и даже к серверу.

По умолчанию файлы ядра предназначены для обеспечения базовой безопасности WordPress. Однако безопасность, обеспечиваемая WordPress, довольно слабая по сравнению с плагинами, разработанными специально для повышения безопасности WordPress.

Установив плагин, вы можете активно отслеживать и сканировать WordPress. Правильный плагин безопасности может добавить экстремальные уровни безопасности в WordPress и уведомить вас, если есть какие-либо нарушения безопасности.

Даже если ваш сайт взломан, они начинают процесс восстановления WordPress.

Лучшие плагины безопасности WordPress

Вот наш выбор из длинного списка плагинов безопасности WordPress:

1. Защитные соки

Sucuri доступен как в бесплатной, так и в премиальной версии. Хотя бесплатной версии более чем достаточно для личных веб-сайтов, если вы хотите использовать веб-брандмауэр или некоторые другие функции, вам необходимо приобрести премиум-версию.

Однако большинство владельцев веб-сайтов считают, что в этой функции нет необходимости.

В бесплатной версии вы можете управлять файлами и черным списком. Кроме того, вы получаете уведомления о безопасности.

Премиум-версия позволяет сканировать WordPress сколько угодно. Например, заплатив 17 долларов в месяц, вы можете сканировать WordPress каждые 12 часов.

Почему сукури – хороший выбор?

• Различные типы SSL в премиум-версии.
• Поддержка клиентов через чат или тикет.
• Он уведомляет вас, если есть какие-либо атаки.
• Он предлагает расширенную защиту от DDoS-атак.
• Бесплатная версия предлагает черный список и сканирование на наличие вредоносных программ и повышает общую безопасность.

2. Пуленепробиваемая безопасность

BulletProof Security – еще один проверенный плагин безопасности WordPress. Этот плагин защищает базу данных, брандмауэр и страницу входа пользователя.

BulletProof Security ограничивает попытки входа в систему и блокирует любую активность при сканировании ваших файлов или просмотре кода WordPress.

Кроме того, этот плагин блокирует хакерам блокировку IP-адресов. Он сканирует строки кода, связанные с основными файлами WordPress, шаблонами и активными плагинами, чтобы убедиться, что с ними нет проблем.

Он защищает ваш сайт от XSS, RFI, CRLF, CSRF, Base64, внедрения кода и SQL. Поэтому, если вы собираетесь использовать этот плагин, мы рекомендуем регулярно его обновлять.

Премиум-версия предлагает больше расширенных функций и защищает WordPress во всех аспектах. Однако бесплатная версия так же популярна, как и премиум-версия, и, вероятно, этого достаточно для блогов и малого бизнеса.

3. Wordfence

Wordfence – еще один популярный плагин безопасности WordPress в нашем списке. Поначалу этот плагин может показаться простым. Но он предлагает мощные функции для защиты вашего сайта от любых атак.

Защита страницы входа и восстановление файлов – это только две из многих функций, которые предлагает этот плагин. Кроме того, он анализирует поведение пользователей на WordPress и отображает их в виде диаграммы.

В премиум-версии Wordfence предлагает гораздо больше функций. Однако это стоит 99 долларов в год для веб-сайта. Они предлагают значительные скидки при многократных покупках. Некоторые из ключевых функций этого плагина:

• Бесплатная версия достаточна для небольших сайтов.
• Веб-разработчики, управляющие несколькими веб-сайтами, могут снизить свои затраты на безопасность с помощью этого подключаемого модуля.
• Брандмауэр в этом плагине может предлагать блокировку в зависимости от местоположения, немедленную защиту от текущих атак и защиту от вредоносных программ.
• Функция сканирования в этом плагине сканирует каждый файл, установленный на вашем сервере, и вовремя обнаруживает вредоносные программы и спам.
• Возможность фильтровать спам в комментариях. Устранение необходимости установки другого плагина.

4. Безопасность iThemes

Этот плагин ранее назывался Better WP Security, и они утверждают, что предоставляют более 30 функций для оптимизации вашего сайта и блокировки хакеров.

Основное внимание в iThemes Security уделяется слабым паролям и слабым местам установленных плагинов на WordPress.

В бесплатной версии обеспечиваются ваши повседневные потребности. Однако вы можете получить доступ к премиум-версии, заплатив 80 долларов в год.

Премиум-версия предлагает чат, постоянные обновления и поддерживает несколько веб-сайтов.

Если вы управляете большим количеством веб-сайтов, есть другие программы, которые стоят намного дороже. В премиум-версии плагин заставляет пользователей выбирать надежные пароли, удаляет неактивных пользователей, создает резервные копии базы данных и добавляет двухфакторную аутентификацию на страницу входа.

Это лишь некоторые из функций, предлагаемых этим плагином.

Итак, почему вы должны использовать iThemes Security?

• Сравнение файлов. Когда файл изменяется, он сканирует его, чтобы убедиться, что это вредоносное ПО или он был изменен пользователем.
• Google reCAPTCHA. Используя этот сервис, этот плагин добавляет дополнительный уровень безопасности на страницу входа в WordPress.
• Он проверяет основные файлы WordPress и помогает обнаружить вредоносное ПО. Если есть.
• Соли и ключи WordPress. IThemes Security упрощает обновление ключей и солей WordPress.
• Используя «Режим отсутствия», вы можете заблокировать панель управления WordPress, чтобы никто не мог получить к ней доступ.

5. Безопасность WP All In One

Плагин All in One WP Security имеет удобный интерфейс, отличную поддержку и функции.

Кроме того, он использует визуальные инструменты, такие как графики, чтобы новички могли понять стандарты уровней безопасности и способы их повышения.

Уровни безопасности в этом плагине предлагаются на трех основных уровнях: базовый, средний и продвинутый.

Поэтому, даже если вы опытный веб-разработчик, этот плагин все равно будет для вас хорошим вариантом. Плагин All In One WP Security защищает учетные записи, предотвращает атаку грубой силы при входе в систему и повышает уровень безопасности страницы регистрации. Кроме того, он защищает ваши файлы и базу данных WordPress.

Почему вы должны выбрать этот плагин?

• Он поддерживает черный список. Вы можете определить, когда пользователю будет заблокирован доступ к веб-сайту.
• Вы можете создавать резервные копии файлов .htaccess и wp-config. Таким образом, если с этими файлами что-то пойдет не так, они вернутся в исходное состояние.
• Этот плагин предлагается бесплатно для широкой публики.

6. Реактивный ранец

Большинство пользователей WordPress знакомы с плагином Jetpack. Поскольку он имеет множество функций и, что наиболее важно, он разработан WordPress.com.

Этот плагин предлагает множество модулей для улучшения ваших социальных сетей, предотвращения спама и оптимизации WordPress в целом.

Кроме того, этот плагин поставляется с множеством инструментов безопасности, что делает его доступным для пользователей с небольшим бюджетом, которые ищут жизнеспособный плагин. Например, модули безопасности предлагаются бесплатно и могут предотвратить любые ненормальные действия.

Защита WordPress от атаки методом перебора и внесения в белый список предлагается в бесплатной версии Jetpack.

Если вам нужны дополнительные функции, вы должны приобрести премиум-версию этого плагина, которая стоит 99 долларов в год. Этот плагин сканирует вредоносное ПО, создает резервные копии различных разделов вашего сайта и восстанавливает их в случае атак.

Кроме того, заплатив 299 долларов, он позволяет сканировать на наличие вредоносных программ и создавать резервные копии в любое время.

Почему этот плагин – хороший выбор?

• Если у вас небольшой веб-сайт, используя бесплатную версию этого плагина, вы можете удовлетворить потребности WordPress в безопасности. Кроме того, купив премиум-версию, вы сможете разблокировать все остальные функции.
• Премиум-версия охватывает резервное копирование, защиту от спама и сайта.
• Регулярные обновления подключаемых модулей управляются подключаемым модулем Jetpack.
• Jetpack избавляет от необходимости загружать другие плагины. Например, он занимается маркетингом по электронной почте, маркетингом в социальных сетях и позволяет настраивать и оптимизировать WordPress.
• Jetpack постоянно следит за сайтом. Поэтому, если на сайте есть какие-либо проблемы, он быстро их устраняет.

7. WP fail2ban

WP Fail2ban плагин предлагает только один сервис для пользователя. Это предотвращает любые атаки грубой силы.

Этот плагин использует другие методы по сравнению с другими плагинами для борьбы с атаками грубой силы. Плагин WP fail2ban сохраняет каждую попытку входа в Syslog с помощью LOG_AUTH.

Кроме того, он позволяет использовать более простые или более сложные методы входа в систему. Однако эта функция заменяет метод входа в систему WordPress по умолчанию.

У плагина WP fail2ban нет специальной конфигурации. Просто установите и позвольте ему делать свою работу.

Функция грубой силы этого плагина предлагается пользователям бесплатно, согласно отзывам пользователей, плагин WP fail2ban защищает страницу входа в WordPress без каких-либо проблем.

Почему этот плагин?

• Это дает вам возможность определять новые правила для страницы входа.
• Совместим с CloudFare и другими прокси-серверами.
• Он ведет полный учет комментариев. Следовательно, это может предотвратить спам-комментарии.
• Он записывает пингбеки, спам и пользователей.
• Это дает пользователям возможность использовать шорткоды. Он может блокировать страницу входа пользователя, не давая ему возможности войти в систему.

8. Acuneti WP SecurityScan.

Acuneti WP SecurityScan плагин разработан Acunetix для повышения уровня безопасности веб – сайта WordPress. Эта компания известна созданием первоклассных программ безопасности.

Плагин Acuneti WP SecurityScan полностью сканирует ваш веб-сайт на предмет выявления слабых мест и предлагает различные методы их защиты.

Почему этот плагин? Какие особенности?

• Безопасность прав доступа к файлам.
• Скрывает версию WordPress.
• Удаляет метатеги из базы данных.
• Отключает отчеты об ошибках PHP.
• Этот плагин также скрывает внутренний код, поэтому хакеры не могут использовать какую-либо информацию против вашего сайта.
• Удаляет информацию об обновлении плагинов, тем и версий WordPress от пользователей, не являющихся администраторами.
• Отключает базу данных и отчеты об ошибках PHP. Поэтому хакеры не могут использовать эту информацию против вас.
• Живое сканирование.

Кроме того, Acuneti WP SecurityScan регулярно выполняет резервное копирование базы данных, и вы можете управлять живой аудиторией на WordPress.

9. Защита от вредоносного ПО.

Как вы, вероятно, можете понять по названию этого плагина, Anti-Malware Security защищает WordPress от вредоносных программ. Плагин Anti-Malware Security активно ищет распространенные риски.

Сканер вредоносных программ этого плагина позволяет сканировать все файлы и папки, чтобы найти деструктивный код, бэкдоры, вредоносные программы и другие известные методы, которые хакеры используют для получения доступа к веб-сайту.

Во-первых, вам необходимо создать новую учетную запись на веб-сайте Anti-Malware Security, чтобы получить доступ к последней версии и определениям.

В премиум-версии этого плагина предусмотрена защита от перебора. Кроме того, он уведомляет вас, есть ли какие-либо обновления для плагина Anti-Malware Security.

10. 6Scan Security

6Scan Security наиболее популярен для восстановления поврежденных файлов в WordPress. Этот плагин рекомендует правила безопасности на основе правил и обычно пытается поддерживать уровни безопасности WordPress в обновленном состоянии.

Этот плагин сканирует ваш сайт на наличие SQL-инжекторов, межсайтовых сценариев, CSRF, обхода каталогов, DDoS-атак и еще десяти распространенных атак.

Ключевой особенностью этого плагина является тот факт, что он обнаруживает и устраняет проблемы самостоятельно. Как только он находит деструктивный код, он начинает процесс. Кроме того, он позволяет автоматически обнаруживать и удалять вредоносные программы.

Если есть какие-либо проблемы с установленными плагинами или темами, вы получите уведомление по электронной почте.

11. VaultPress

VaultPress – еще один важный плагин безопасности, который работает как iThemes Security Pro и Sucuri Scanner.

Если вы хотите использовать функции, предоставляемые в этом плагине, вы должны платить 39 долларов в год, что является выгодной сделкой по сравнению с другими плагинами премиум-класса, упомянутыми в этом списке.

Однако, по словам разработчиков этого плагина, версии этого плагина за 39 долларов достаточно для небольших сайтов и блогеров. Если вам нужны более мощные функции, вы можете перейти на версию за 99 или 299 долларов.

Возможность делать ежедневное резервное копирование или мгновенное резервное копирование с календарем для планирования резервного копирования – интересные особенности этого плагина.

Восстановление находится всего в одном клике. Также восстановленные файлы сохраняются в панели управления WordPress. При получении резервной копии выбираются разные версии, поэтому вы можете выбрать из них нужную.

Лучшая особенность этого плагина – это оптимизированный метод получения резервной копии. Это означает, что когда вы получаете резервную копию, она не перезаписывает файлы. Вместо этого он сохраняет новую информацию и добавляет ее в файл резервной копии. Этот процесс экономит много времени и места на сервере.

Кроме того, вы можете проверять статистику своего сайта с помощью одной главной панели управления.

Каковы основные особенности VaultPress?

• Цена, которую вы платите за премиум-версию, относительно ниже по сравнению с другими плагинами, упомянутыми в нашем списке.
• Интерфейс очень удобный.
• Используя календарь, предоставленный в плагине, вы можете создавать резервные копии файлов вручную и мгновенно.
• Используя статистическую функцию, предоставляемую вам этим плагином, вы можете видеть время пиковой нагрузки и любые атаки, которые могли произойти в это время.

Если вам требуется дополнительная информация об этом плагине, вы можете связаться с их службой поддержки и попросить их предоставить дополнительную информацию о восстановлении и получении резервной копии.

12. Защитник

Defender – это плагин для многоуровневой безопасности. Этот плагин имеет очень простой интерфейс и доступен как в бесплатной, так и в премиальной версиях.

Этот плагин позволяет вам свободно сканировать ваш сайт WordPress и находить любой подозрительный код. Функция сканирования сравнивает установленную версию WordPress с каталогом, чтобы убедиться, что в нем нет подозрительных вредоносных программ, и отображает отчет. Кроме того, поврежденные файлы можно восстановить простым щелчком.

Премиум-версия дает вам 10 ГБ облачного хранилища для загрузки файлов резервных копий. Сохраненные данные используются для любых изменений. Сканирование безопасности и черный список – это другие функции, предоставляемые в премиум-версии.

Что делает плагин Defender таким хорошим? Какие особенности?

• Если ваш сайт взломан, служба поддержки может помочь вам восстановить его.
• Двухэтапная аутентификация Google.
• Сканирование и восстановление файлов WordPress.
• Черный список IP и ведение журнала.
• Неограниченное сканирование файлов.
• Временная защита от атак грубой силы.
• 404 ограничители для блокировки уязвимых сканирований.
• Отчеты и уведомления о блокировке IP.

13. MalCare

После просмотра более 240 тысяч веб-сайтов и исследования уровней безопасности WordPress, плагин MalCare был разработан и разработан для удовлетворения потребностей в безопасности веб-сайта WordPress.

Благодаря многоуровневой безопасности он находит скрытые и сложные вредоносные программы за считанные минуты.

Каковы ключевые особенности MalCare?

• Одновременно сканирует весь сайт.
• Повышает безопасность WordPress.
• Защищает страницу входа.
• Белая этикетка.
• Полная клиентская отчетность.

Премиум-версия предлагает больше функций и полностью защищает ваш сайт от любых вредоносных программ. В профессиональной версии вы можете обновлять плагины, темы и WordPress на одной панели инструментов.

Это увеличивает ваш сайт таким образом, чтобы посторонний персонал не мог получить к нему доступ. Вы можете создать резервную копию в любой день года.

Если вы управляете чужими веб-сайтами, плагин MalCare предлагает белые метки и может создавать отчеты для клиентов.

14. WebARX

WebARX – это платформа безопасности премиум-класса, которая поддерживает все приложения PHP. WebARX завоевал популярность благодаря передовому межсетевому экрану. Эта функция позволяет полностью контролировать трафик между вашими веб-сайтами с облачной панели управления.

Другими словами, WebARX – это стена безопасности, которая защищает ваш сайт от плагинов, атак, ботов и нереалистичного трафика.

Вы можете написать собственные правила брандмауэра. Кроме того, он оптимизирует WordPress, позволяет выполнять резервное копирование, отслеживать время безотказной работы и проблемы безопасности, а также получать уведомления по электронной почте. Установить и запустить приложение тоже очень просто.

Почему вы должны выбрать этот плагин?

• Расширенный брандмауэр.
• Он автоматически получает команды для проверки слабых мест установленных плагинов и шаблонов и их исправления.
• Контролирует работоспособность сайта. Когда веб-сайт выйдет из строя, администратор получит уведомление по электронной почте или в Slack.
• Создает полные отчеты о безопасности в формате PDF. (вы можете настроить его и добавить свой логотип в этот отчет и отправить его своим клиентам.)
• Обеспечивает безопасность неограниченного количества веб-сайтов.

15. Google Authenticator – двухфакторная аутентификация.

В большинстве случаев плагины безопасности WordPress предлагают ограниченные функции безопасности, и не имеет смысла устанавливать один плагин для одной функции. Часто, установив такой плагин, как iThemes Security Pro, вы можете получить эту функцию вместе с десятками других. 

С другой стороны, двухфакторная аутентификация – это совсем другая история. Потому что большинство плагинов не предлагают эту функцию. Таким образом, установка плагина Google Authenticator очень разумна.

Плагин Google Authenticator рекламирует дополнительный уровень безопасности для страницы входа. Этот уровень безопасности очень важен, потому что большинство хакеров, как правило, получают доступ, взломав страницу входа.

Этот плагин, кроме обычного метода входа в систему, заключающегося в вводе пароля, предлагает другие методы для получения доступа к вашей учетной записи. Например, SMS, QR-код или секретный вопрос.

Этот плагин сводит к минимуму возможные способы получения доступа к WordPress хакером. Потому что только вы знаете и можете получить доступ к дополнительным уровням безопасности. (например, ваш мобильный телефон для SMS-пароля)

Google Authenticator – это бесплатный плагин с удобным интерфейсом. Помимо выбора второго уровня безопасности, вы также можете выбрать, кому нужно использовать двухфакторную аутентификацию для получения доступа к вашей учетной записи WordPress.

Например, вы можете разрешить администраторам входить на сайт без использования двухфакторной аутентификации, но редакторы и авторы должны использовать двухфакторную аутентификацию. Как известно, взломать двухфакторную аутентификацию очень сложно, особенно если вы используете мобильный метод.

Почему мы рекомендуем этот плагин?

• Он добавляет в WordPress двухфакторную аутентификацию.
• Вы можете выбрать, какой метод вы хотите использовать для двухфакторной аутентификации.
• Вы можете определить, какие пользователи должны использовать двухфакторную аутентификацию.
• Этот плагин можно добавить на настраиваемую страницу входа с помощью шорткода.

16. Блокировать неверные запросы

Block Bad Queries (BBQ) – один из лучших плагинов безопасности WordPress в нашем списке. Функции, предоставляемые этим плагином, значительно повышают уровень безопасности вашего сайта.

Блокировать плохие запросы очень легко использовать. Этот плагин защищает ваш сайт от вредоносных запросов, подозрительных URL-адресов и отслеживает входящий трафик eval, base64_ и блокирует циклические запросы.

Это надежный плагин для веб-сайтов, которые не могут использовать надежный брандмауэр .htaccess. BBQ – лучшее решение для защиты вашего сайта от SQL-инжекторов.

Каковы ключевые особенности плагина Block Bad Queries?

• Это plug-n-play.
• Никакой конфигурации не требуется.
• Просто и быстро.
• Основное внимание уделяется безопасности и производительности.
• Блокирует широкий спектр вредоносных запросов.
• Разработан на основе межсетевого экрана 5G / 6G.

17. Astra Web Security

Astra Web Security – это полный пакет безопасности для веб-сайтов WordPress. Этот плагин защищает ваш сайт от вредоносных программ, SQLi, XSS, спама в комментариях, атак методом грубой силы и сотен атак. Следовательно, вам не нужно устанавливать какие-либо дополнительные плагины безопасности.

Его панель управления очень удобна и проста в использовании. Известные компании, такие как Gillette, African Union, Ford и Oman Airways, используют этот плагин.

Планы Astra начинаются с 9 долларов в месяц, а если вы платите за весь год, вы получите скидку 20%. Подводя итог, если вы хотите инвестировать в безопасность WordPress, Astra Web Security – лучший выбор.

Какие особенности у Астры?

• Astra Security можно установить как плагин, и вам не нужно менять DNS.
• Помимо удаления вредоносных программ, его мощный брандмауэр предотвращает SQLi, XSS, подозрительных ботов, грубую силу, спам в комментариях и т.д.
• Его панель инструментов позволяет вам видеть всю необходимую информацию в одном месте. Вы можете заблокировать страну, IP или URL. Кроме того, вы можете видеть действия входа.
• Он предлагает бесплатную платформу и создает отчет о любых атаках.

18. Щит безопасности

Основная цель Shield Security – повысить безопасность вашего сайта. Если вы занятой человек и не хотите иметь дело с электронными письмами безопасности, вам следует установить умный плагин безопасности, который не спамит вас сотнями писем за короткий промежуток времени.

Плагин Shield Security можно использовать как для продвинутых, так и для начинающих веб-разработчиков, и он начинает свою работу сразу после его установки на WordPress. Он хранит в себе все отсканированные данные. Поэтому, если вам нужно узнать результаты, вы должны проверить плагин.

Ядро этого плагина полностью бесплатное. Эксперты и люди с крупным бизнесом, которым требуется круглосуточная безопасность, могут приобрести премиум-версию, заплатив 12 долларов в месяц.

Премиум-версия выполняет больше сканирований и следует строгим правилам для имени пользователя и пароля, а также выполняет больше тестов. Кроме того, профессиональная версия совместима с плагином WooCommerce, отслеживает посещаемость сайта и т.д.

Почему Shield Security?

• Один из немногих плагинов, ограничивающих доступ к своим настройкам определенным пользователям.
• Умная защита. Он автоматически проверяет и отслеживает действия в фоновом режиме, не отправляя вам сотни писем.
• Единственный плагин, который предлагает три типа двухфакторной аутентификации бесплатно.
• Версия Pro стоит всего 12 долларов за сайт.
• Версия Pro поставляется с 6-кратным мощным сканированием для обнаружения проблем на вашем веб-сайте.

19. Секупресс

SecuPress плагин представляет собой совершенно новое имя в безопасности WordPress. Однако ситуация быстро улучшается. Этот плагин доступен как в бесплатной, так и в премиальной версии.

Если вы ищете плагин с уникальным интерфейсом, SecuPress – лучший вариант. В бесплатной версии у вас есть доступ к межсетевому экрану, предотвращению атак методом перебора и блокировке IP-адресов.

Защита ключей безопасности и блокировка плохих ботов предлагаются в бесплатной версии. (в большинстве плагинов вы должны заплатить за премиум-версию, чтобы разблокировать эти функции)

Если вам нужны дополнительные функции безопасности, заплатив всего 59 долларов в год за сайт, вы можете разблокировать такие функции, как двухфакторная аутентификация, блокировка IP-адресов на основе геолокации, сканирование на наличие вредоносных программ в PHP и создание отчетов в формате PDF.

Почему вам следует выбрать плагин SecuPress?

• У него один из лучших интерфейсов, который делает плагин простым в использовании для новичков.
• Премиум-версия проверяет 35 мер безопасности за 5 минут и отправляет вам отчет.
• Он может изменить URL-адрес входа.
• Он помогает обнаруживать деструктивные плагины, темы и код.

20. StackPath

StackPath обычно известен как CDN, который позволяет публиковать свой веб-сайт с высокой скоростью. Кроме того, эта платформа также управляет безопасностью вашего сайта.

StackPath защищает ваш сайт от DDoS-атак. Все пакеты, предлагаемые в этом плагине, поддерживают DDoS-атаки 3 и 4 уровней и полностью покрывают веб-сайт.

StackPath предназначен для шифрования вашего веб-сайта в сети, сканирования сети и защиты от вредоносных программ и серьезных атак.

Этот плагин не только защищает ваш сайт, но также оптимизирует WordPress и увеличивает его скорость.

Вывод

В этой статье мы обсудили 20 лучших плагинов безопасности WordPress с разными и часто похожими функциями. Пользователи WordPress могут выбрать либо премиум, либо бесплатную версию в зависимости от своих требований.

Источник записи: https://betterstudio.com

Безопасность WordPress — как обеспечить безопасность вашего сайта

Все мы знаем, что WordPress – самая популярная платформа для ведения блогов в мире. Ежедневно с CMS работают миллионы пользователей. И из-за его популярности существует множество фантастических тем, плагинов и сервисов, которые дополняют каждый сайт. Но быть популярным – не всегда хорошо.

У модели с открытым исходным кодом WordPress есть и недостатки. Хакеров больше интересует платформа, поскольку ею пользуется очень много людей. Итак, каждый неверный шаг, который вы сделаете, они будут наблюдать за вами.

Да, это может показаться немного пугающим, и должно быть. Многие люди не проявляют должного уважения к хакерам, а многие сознательно пренебрегают безопасностью своих блогов; пока не станет слишком поздно, и все, что они могут сделать, это кричать о помощи. Чтобы вы не стали еще одной жертвой Интернета, оставайтесь с нами до конца этой статьи, поскольку мы собираемся показать вам самые важные вещи, которые вы можете и должны сделать для своего блога. Даже если вы новичок, вы можете многое сделать, чтобы повысить безопасность своего недавно созданного блога WordPress.

Регулярно обновляйте

Одним из первых шагов к повышению безопасности сайта является регулярное обслуживание WordPress. При таком большом количестве технологических новинок это нормально, что обновления распространяются с огромной скоростью. Но вам нужно адаптироваться, так как обновление основных файлов, плагинов и тем WordPress совсем не сложно и может спасти ваш сайт от плохих парней.

Если вы быстро взглянете на официальную статистику WordPress, вы заметите, что слишком много людей все еще ведут свой блог на старых версиях WordPress. В редких случаях это оправдано, но чаще всего вам придется обновить свой сайт до последней версии.

То же самое касается различных тем и плагинов WordPress, которые также нуждаются в регулярных обновлениях. Мы уже говорили о том, почему обновления важны и как их устанавливать прямо с панели инструментов.

Тщательно выбирайте логины

Хотя может показаться нормальным, что администратор входит в систему с именем пользователя «admin», это серьезная проблема безопасности. Поскольку многие пользователи не меняют имя пользователя по умолчанию, хакеры могут легко его угадать. Оставляя все как есть, вы как будто поворачиваете ключ для злоумышленника.

При установке WordPress используйте свое имя, псевдоним или любое другое имя вместо «admin». Если у вас уже есть сайт с именем пользователя «admin», вы все равно можете внести изменения. Один из вариантов – создать нового пользователя с правами администратора, а затем удалить пользователя по умолчанию (сообщения, назначенные старому имени пользователя, будут автоматически назначены новому пользователю), или вы можете использовать плагин Username Changer, который сделает все еще проще.

Используйте надежные пароли

Надежные пароли состоят из более чем десятка различных символов, включая буквы, цифры и другие специальные символы. К сожалению, вместо надежного пароля, такого как «jTh6F9% aO (», многие люди по-прежнему используют небезопасные пароли, такие как их имена, даты рождения или простые комбинации, которые легко угадать (« 1234» – ужасный пароль, но многие люди используют Это).

Пока не стало слишком поздно, мы предлагаем вам сменить пароль на надежный и сделать то же самое для всех пользователей вашего блога. Вы даже можете использовать плагин Force Strong Passwords, если хотите обеспечить соблюдение безопасных паролей для всех своих пользователей.

Регулярно делайте резервные копии своего сайта

Регулярное резервное копирование важнее, чем думают многие новички. Большинство из них считают, что их сайты недостаточно ценны для хакера или что они уже сделали все возможное, чтобы обеспечить безопасность сайта. Но когда случится что-то плохое, вам понадобится последняя резервная копия вашего блога. В этом случае, даже если все будет удалено, потеряно или вы просто потеряете к нему доступ, вы всегда сможете восстановить полную резервную копию своего сайта и продолжить работу без особых хлопот.

Используйте безопасные соединения

SSL (Secure Socket Layer) – это технология, которая обеспечивает безопасную передачу данных между пользовательскими браузерами и серверами. Используя SSL, хакеры с меньшей вероятностью будут вторгаться и получать в свои руки конфиденциальные данные (например, имена пользователей, пароли и номера кредитных карт) из подключений.

Хотя на данный момент это может показаться слишком техническим, вы можете получить свой SSL в кратчайшие сроки. Многие хостинговые компании в настоящее время предлагают бесплатные SSL-сертификаты, и вы также можете узнать об этом у своей хостинговой компании. Как вариант, вы можете купить отдельные сертификаты, которые затем можно будет установить на своем сайте.

Сканировать все файлы на наличие уязвимостей

Устанавливая различные плагины и темы из Интернета, вы рискуете всем сайтом. Если элемент, который вы пытаетесь добавить, содержит вредоносное ПО, вы можете потерять сайт для хакера или поставить под угрозу безопасность всех, кто его использует. Это может быть проблемой, даже если вы единственный администратор. Но представьте себе риск, которому вы подвергаете свой сайт, когда десятки пользователей могут добавлять темы, плагины и другие файлы.

[iframe src=”https://www.youtube.com/embed/Fe4o-1dtjsY”]

Чтобы убедиться, что вы в безопасности, мы предлагаем использовать бесплатный плагин Security Ninja. Просто нажав кнопку, плагин просканирует весь сайт на наличие дыр в безопасности, уязвимостей и вредоносных программ <. После этого Security Ninja посоветует вам, как решить проблемы на вашем сайте.

Ограничить количество попыток входа

Пытаясь получить доступ к вашему сайту, хакеры часто используют атаки методом грубой силы. Используя ботов и различные скрипты, они будут постоянно пытаться угадать комбинацию вашего имени пользователя и пароля. Чтобы остановить их, пока не стало слишком поздно, вы можете довольно легко ограничить количество попыток входа в систему. В этом случае у каждого пользователя будет три, пять или десять попыток войти на ваш сайт. Если он потерпит неудачу, этот пользователь будет заблокирован на определенный период времени.

Чтобы ограничить количество попыток входа в систему, вы можете использовать бесплатный плагин под названием Login LockDown.

Использовать двухэтапную аутентификацию

Если вы понимаете, что попыток входа в систему слишком много, вы можете сделать все более безопасным, используя двухэтапный процесс аутентификации. В отличие от обычного входа в систему, двухэтапная аутентификация добавляет еще один уровень безопасности, добавляя еще один пароль, который пользователь генерирует на стороннем устройстве. Например, после ввода имени пользователя и пароля WordPress по умолчанию плагин для двухэтапной аутентификации отправит другой код на ваш смартфон. Обычно этот код действителен только в течение нескольких минут и работает только с комбинацией вашего имени пользователя и пароля.

Из-за дополнительного уровня безопасности ваш логин практически недоступен. Единственным недостатком двухэтапной аутентификации является более сложный процесс входа в систему.

Изменить префикс таблицы базы данных

При установке WordPress вы можете ввести собственный префикс для таблиц базы данных, используемых платформой. В целях безопасности важно, чтобы у вас был уникальный префикс, чтобы хакеры не могли легко получить к ним доступ. Поскольку в установках WordPress по умолчанию используется тот же префикс «wp_» и те же имена таблиц, хакерам даже не нужно гадать, где хранится вся информация.

Но если вы не ввели собственный префикс при установке WordPress, вы можете внести изменения прямо сейчас. Есть несколько способов сделать это вручную, но поскольку это руководство для начинающих, мы просто укажем вам бесплатный плагин, который сделает все за вас. Все, что вам нужно сделать, это установить плагин Change Table Prefix и выбрать другой префикс. Вы можете удалить плагин после успешной модификации.

Скрыть страницу входа

По умолчанию каждый сайт WordPress имеет один и тот же URL-адрес для входа. Все, что нужно, – это добавить / wp-login или / wp-admin в конце любого домена, чтобы получить доступ к странице входа, где вы можете начать угадывать учетные данные. Итак, чтобы не дать хакерам-подражателям даже получить доступ к вашей странице входа, вы можете просто скрыть это.

Более опытные пользователи могут изменить ссылку напрямую из файлов WordPress, но для новичков мы предлагаем использовать простой и бесплатный плагин WPS Hide Login.

Получать уведомления о проблемах с безопасностью

Вы не можете быть на своем веб-сайте все время. Но, к сожалению, проблемы безопасности и хакера это не волнует. Кто-то может попытаться украсть ваш домен или изменить данные NameServers для перенаправления ваших писем. Возможно, вы выбрали вредоносное ПО, которое изменило ваш контент, или Google может пометить сайт как небезопасный, даже не подозревая об этом. Иногда такие проблемы неизбежны. Но вы все равно можете вовремя отреагировать, если бы просто знали о них.

В этом случае вам могут помочь такие инструменты, как SmartMonitor . Этот конкретный плагин WordPress уведомит вас по электронной почте, SMS или push-уведомлением, как только произойдет что-то подозрительное. Своевременно зная об угрозах безопасности, вы можете связаться с вашим хостинг-провайдером или экспертом по безопасности, чтобы сэкономить время.

Автоматический выход из системы бездействующих пользователей

Если вы работаете из дома, не имеет особого значения, если вы останетесь на своем сайте WordPress в течение более длительного времени. Но если вы хотите взять свой блог с собой и получить доступ к панели управления с ноутбуков, планшетов и смартфонов в общественных местах, легко забыть выйти из системы. Если вы предпочитаете оставлять портативное устройство без присмотра, кто-то может легко получить доступ к вашему сайту, сменить пароли и все украсть.

Если вы установите Idle User Logout, бесплатный плагин будет проверять активность пользователей (входящих) и автоматически отключать всех, кто не был активен в течение определенного времени. Просто иногда это может быть палочкой-выручалочкой.

Защитите свой сайт от хакеров

WordPress рекомендует повысить уровень безопасности вашего сайта, внеся определенные изменения в ваш WP-сайт. Мы уже обсуждали регулярное резервное копирование и предотвращение доступа к вашему сайту путем ограничения попыток входа в систему. WordPress рекомендует еще несколько шагов для повышения безопасности своего сайта, например, отключение редактора файлов, предотвращение выполнения PHP и т.д. В Интернете есть несколько руководств, которые помогут вам вручную укрепить ваш сайт, но это рискованная операция. Одна ошибка в коде может привести к сбою вашего сайта. Использование плагина безопасности, такого как MalCare, позволяет выполнять эти функции одним нажатием кнопки <. Нет никакого риска ручной ошибки.

Используйте универсальные плагины безопасности

Многие меры предосторожности, упомянутые в этой статье, являются частью популярных подключаемых модулей безопасности. Большинство из них позволяют защитить свой сайт всего несколькими щелчками мыши. В зависимости от плагина и версии, которую вы используете, вы можете даже получить несколько дополнительных привилегий безопасности, которые добавят еще один уровень безопасности на ваш сайт. Некоторые из самых популярных плагинов безопасности:

Вывод

Безопасность веб-сайта должна быть тем, о чем вы всегда должны думать. Будь то просто изменение паролей и имен пользователей или настройка плагинов, вы не должны пренебрегать своим блогом. Даже если вы полный новичок, вы все равно можете выполнить все шаги, упомянутые в этой статье. Но это только начало. Есть еще много вещей, которые следует учитывать, но поскольку они требуют изменений кода и прав доступа к файлам, мы оставим эти советы на некоторое время.

Для начала важно, чтобы вы понимали, что безопасность веб-сайта в ваших руках и что вы всегда должны стремиться сделать свой блог максимально безопасным.

Источник записи: https://firstsiteguide.com

Главное о безопасности в WordPress — Джино • Журнал

29 апреля 2020 г.

Время чтения: 2 минуты

WordPress — популярнейшая платформа, поэтому и отношение у киберпреступников к ней особое. Ежедневно происходят тысячи попыток взлома сайтов на этой CMS с теми или иными целями. И нередко эти попытки заканчиваются успехом — во многом из-за того, что администраторы пренебрегают соблюдением мер безопасности.

Что именно взломщики делают с сайтами? По данным Wordfence и WP WhiteSecurity, в топ-3 самых популярных атак на WordPress-сайты входят межсайтовый скриптинг (XSS), SQL-инъекции и загрузка вредоносных файлов. И в каждом из этих случаев может быть нанесён непоправимый ущерб.

Доля самых популярных видов атак на WordPress-сайты в 2019 году, согласно исследованию Wordfence

Интересно, что 92% случаев взлома произошли в результате работы ботов. То есть атаки на WordPress-проекты сегодня проводятся в автоматическом режиме и носят массовый характер. А всё могло бы быть по-другому, если бы владельцы сайтов соблюдали самое главное правило…

Устанавливайте все обновления, пока не поздно

Едва ли не во всех материалах о безопасности в WordPress советуют следить за обновлениями и своевременно их устанавливать. И не зря: например, по информации WP WhiteSecurity, 73% WordPress-сайтов имеют уязвимости из-за неактуальной версии CMS. Поэтому устанавливайте все приходящие обновления WordPress, ведь они содержат патчи безопасности для защиты вашего сайта.

Регулярно обновлять также необходимо темы и плагины. Если, конечно, обновления для них выпускаются. От компонентов, которые не обновляются больше года или которые уже удалены из каталогов WordPress, лучше отказаться вовсе. Ведь со временем они будут становиться всё уязвимее перед вредоносными атаками. Также следует удалить все неиспользуемые плагины и темы.

По возможности выбирайте популярные плагины, которые имеют большое число активных установок и у которых прошло немного времени с момента последнего обновления. И избегайте установки тем и плагинов из непроверенных источников, пользуйтесь только официальными каталогами, этим и этим. Они также доступны и в панели администратора. И приобретайте платные темы только у надёжных продавцов. Не соблюдая все эти рекомендации, под видом полезной темы или плагина вы можете получить вредоносное ПО.

Соблюдайте общие меры кибербезопасности

У сайтов на WordPress есть своя специфика, но обезопасить их от вредоносных атак можно и с помощью тех рекомендаций, которые относятся ко всем сайтам в целом. Вот лишь некоторые из них:

• Позаботьтесь о надёжности паролей. Они не должны легко угадываться.

• Не забывайте о резервном копировании, оно может спасти вас в трудную минуту.

• Получите SSL-сертификат, если вы ещё этого не сделали.

• Не используйте анонимное соединение по FTP, а лучше воспользуйтесь SFTP.

• Обеспечьте регулярное сканирование сайта антивирусным ПО. В случае с WordPress можно подключить специализированный плагин.

• Проверяйте свой компьютер на наличие угроз и используйте файрвол.

• Не заходите в панель администратора, присоединившись к открытой сети Wi-Fi. Иначе ваши данные могут быть перехвачены.

Всё это поможет вам значительно повысить безопасность вашего сайта. Но есть и другие способы защититься от вредоносных атак, которые будут полезны непосредственно пользователям WordPress. О них мы расскажем чуть позже, поэтому следите за Джино.Журналом!

Безопасности много не бывает, или как выстроить оборону сайта

Что и как нужно сделать, чтобы обезопасить сайт? Сложный пароль на вход – это лишь один из пунктов. Помимо этого, есть еще куча дверей, через которые можно попасть на сайт или подпортить его работу. Посмотрим на примере одного из плагинов, какие настройки можно сделать, чтобы крепостные стены сайта были крепкие и надежные.

Насколько безопасен сам WordPress?

Хороший вопрос. С одной стороны, c 2003 г. система развивается, внедряются новые функции. В том числе по безопасности. С другой – у популярности WordPress есть и обратная сторона. Огромное количество сайтов в Интернете на этой платформе – лакомый кусочек для злоумышленников.

Можно изначально заказать разработку самописного сайта. То есть без использования готовых CMS (систем управления контентом). В теории такой сайт, написанный специально под ваши запросы, будет работать чуть лучше, стабильнее, быстрее.

Это в теории. На практике разительной разницы в скорости работы можно и не заметить. При этом удобнейшая админка WordPress, за которую его и любят, останется за бортом. Как будет реализована схема управления материалами в самописном сайте – отдельный вопрос. К тому же в этом случае вы будете привязаны к разработчикам сайта, когда будет нужно сделать те или иные изменения.

Ну, и вопросы безопасности на таком сайте тоже не на последнем месте. Будет нужно заранее проговаривать все моменты, которые следует учесть при разработке. Так что, как ни крути, с точки зрения безопасности WordPress на сегодня очень стабильная и безопасная система. Нужно лишь соблюдать элементарные правила цифровой безопасности, ну, и сделать еще пару пунктов сверху для большего спокойствия.

Базовые правила безопасности

Зачастую сайты оказываются взломанными вовсе не из-за дыр в безопасности самой системы, а из-за устаревшей версии одного из плагинов. Чтобы уберечь себя от таких напастей, рекомендую прочитать подборку идей по безопасности сайта.

Во многих случаях даже этих советов вполне хватит для укрепления обороны сайта. Но безопасности много не бывает, поэтому все же будет лучше взяться за это дело более основательно. Ничего лучше плагина безопасности на сегодня нет. В каталоге WordPress есть разные плагины, глаза разбегаются от предложений. Выбрать свой – проблема.

На примере одного из таких плагинов и посмотрим, что можно сделать для еще большей безопасности сайта. Плагин называется All In One WP Security & Firewall и обладает хорошими показателями по загрузкам, совместимости, языкам поддержки и активным установкам.

Скриншот страницы плагина в каталоге WordPress.

На мой взгляд, настроек у него даже больше, чем нужно. Но это и хорошо, кому-то важна такая детализация. Сейчас пошагово разберем основные настройки, которые точно стоит сделать.

Какие настройки сделать в плагине?

Первым делом стоит сказать, что у плагина есть хороший визуальный измеритель безопасности. Чем больше галочек в настройках вы поставите, тем больше баллов будет начислено. Но нужно понимать, что, «закручивая гайки», можно невзначай навредить работе сайта. Будет нельзя то, это, а еще вот эта и эта функция могут работать не по плану. Все хорошо в меру.

После установки в админке появляется пункт WP Security, внутри которого и находятся разделы с настройками.

Администраторы

Скриншот раздела по управлению именами администраторов сайта.

Этот раздел проверяет, чтобы на сайте не было учетной записи с именем admin. Просто потому что при создании сайта это имя ставится по умолчанию. А подбирать пароль, зная логин, считайте, полдела сделано. Поэтому меняем его, если все же admin есть. После этого начисляется 15 баллов, которые будут учтены в том самом индексе безопасности.

На вкладке «Отображаемое имя» тоже нужно проверить, что все в норме и еще 5 очков прилетят в копилку. А на вкладке «Пароль» можно проверить, насколько он у вас безопасен и защищен от взлома путем простого перебора.

Авторизация

Скриншот раздела по управлению авторизациями на сайте.

Здесь общий смысл такой: если на сайт пытается зайти человек и вводит логин, которого у вас в принципе нет, то плагин может сразу забанить такого пользователя. Сработает настройка «Сразу заблокировать неверные пользовательские имена». А пункт «Период блокировки» укажет плагину время, на которое нужно такого гостя заблокировать. Вернее, его IP-адрес.

Есть еще пункт «Максимальное количество попыток входа». Если там поставить, например, 1, то права на ошибку вообще не будет. Ни у кого. Даже вы как админ сайта можете попасть под блокировку, если ошибетесь хоть в одном символе при вводе своего логина. И тогда смотрим на схему выше. Ваш IP-адрес будет заблокирован на то самое количество минут.

Однажды я так сам себя заблокировал. Три раза ввел неверный логин и все – сайт закрылся для меня. Это я так его проверял, помнится. Если у вас случится такой конфуз, то на сайт можно будет зайти только с другого IP-адреса. Например, при помощи VPN. Нужно будет зайти на эту страницу настроек и удалить ваш адрес из списка заблокированных. И больше не ошибаться.

Регистрация пользователя

Скриншот раздела по управлению регистрациями на сайте.

Если на вашем сайте могут регистрироваться новые пользователи, то стоит поставить галочку для включения капчи на странице регистрации. Но опять же по желанию. На первой вкладке «Подтверждение вручную» можно задать настройку, что все новые учетки будут создаваться неактивными. За этим просто нужно смотреть.

Защита базы данных

Скриншот раздела по управлению базой данных.

Здесь можно изменить стандартный префикс (часть имени) базы данных со стандартного для WordPress wp_ на любой другой. А вторая вкладка поможет с резервным копированием базы. Даже себе на почту можно будет ее отправлять, по расписанию. Плагин так умеет.

Защита файловой системы

Скриншот раздела по защите файловой системы.

На вкладке «Редактирование файлов PHP» можно поставить эту галочку, и тогда в админке пропадет возможность редактировать файлы темы во «Внешнем виде» и файлы плагинов, соответственно, в «Плагинах». Во избежание разных казусов эту настройку лучше включить.

Файрволл

Скриншот раздела по настройкам правил файрволла.

На этой странице можно включить основные функции файрволла, которые сразу добавят новые способы защиты сайта. На вкладке «Предотвратить хотлинки» можно активировать настройку, которая запретит показывать картинку с вашего сайта на другом сайте.

Пример: изображение на страницу можно добавить либо из библиотеки медиафайлов, либо по прямой ссылке с другого сайта. А теперь представьте, что на вашем сайте есть очень качественная, в большом разрешении картинка. И когда несколько сайтов добавят ее себе на сайт по прямой ссылке, то все эти запросы пойдут на ваш сервер. Тем самым нагружая его.

В случае с одной картинкой это, может, не так заметно. Но если таких сайтов будет много, а изображение с большим разрешением, то нагрузка на сервер будет ощутимо больше. Для таких случаев и нужна эта настройка.

Защита от брутфорс-атак

Скриншот раздела по защите от брутфорс-атак.

Что такое брутфорс? Это взлом чего-либо (в нашем случае сайта) путем перебора паролей. Методичного, последовательного перебора всех возможных комбинаций. Делается это автоматически, само собой. Именно здесь свою силу (или слабость) покажет ваш пароль. Чем больше в нем символов, тем он надежнее и устойчивей ко взлому.

Это одна из самых важных настроек, которую нужно сделать. По умолчанию страница входа на сайт в WordPress – это адрес /wp-login.php или /wp-admin. Попав сюда, можно методично перебирать логин и пароль. И может статься, что у кого-то это и получится.

Чтобы запретить такую самодеятельность, лучше поменять адрес входа на сайт на свой собственный. Задаете здесь новый адрес, и он сразу меняется. Теперь стандартные адреса больше не работают. Большой плюс к безопасности. Буквально парой кликов.

Режим обслуживания

Скриншот раздела по управлению режимом обслуживания.

А этот пункт может собой заменить целый отдельный плагин. Когда нужно на некоторое время закрыть сайт для проведения каких-то работ, включается заглушка. Что так и так, сайт временно закрыт, скоро все вновь заработает. Можно установить отдельный плагин, а можно воспользоваться уже установленным. Ставим галочку, и сайт на время оказывается закрыт всем посетителям. Кроме администратора, конечно.

Итоги настройки

Возможностей у плагина много. Можно заблокировать одно, другое, а потом еще с десяток. Но все хорошо в меру, поэтому и здесь не стоит ставить все галочки. Начать лучше с этих пунктов, что описаны здесь. Остальные – по желанию и необходимости.

Но, опять же, все познается в сравнении. Если на вашем сайте будут выставлены даже эти настройки, что я описал, все плагины и сам WordPress будут обновлены до актуальных версий, то сайт будет уже более защищенным. Ведь многие атаки на сайты проводятся в автоматическом режиме. Сайт сканируется на известные уязвимости, и каждая из них проверяется – можно ли ею воспользоваться. В плагинах это решается регулярным обновлением.

А сама система защищается отдельно. Как именно – теперь вы знаете. Если на вашем сайте еще нет этого или любого другого плагина, то самое время установить.

4 основных метода защиты вашего сайта WordPress в 2019 году

В течение нескольких лет WordPress использовался для создания миллионов веб-сайтов. Многие из них собирают и даже хранят личную и личную информацию безопасными способами. Часто это платежные данные клиентов электронной коммерции. Поэтому вы должны защитить свой сайт WordPress любой ценой.

WordPress — это имя, признанное многими пользователями, поэтому мы склонны думать, что эта CMS обязательно неуязвима для пиратства.

На самом деле, этому довольно часто противоречат, но будьте уверены, все это нормально.

На самом деле у программного обеспечения всегда есть недостатки, WordPress не исключение. Обычно, когда сайт WP взломан, это не вина WordPress CMS … а веб-мастера, управляющего сайтом. Действительно, клиенты редко следуют рекомендациям по защите своего сайта на wordpress.

КИБЕРПРЕСТУПНОСТЬ

С начала 2020 года специалисты ожидали большего проникновения на сайты WP, поскольку довольно много людей не обновлялись до WP 5.0 с декабря 2018 года.

Кроме того, как агентство создание сайта на wordpress в Швейцарии это обычное явление при первом контакте с компаниями, и это не потому, что вы небольшое франкоговорящее, французское или бельгийское МСП, и вас обязательно будут щадить!

Действительно, для такого рода взлома хакеры целятся и автоматизируют атаки с помощью роботов, называемых ботами. Итак, хороший вопрос: что мне делать, чтобы веб-сайт и как защитить сайт на wordpress ?

Наши четыре совета по безопасности WordPress защитят ваш сайт в 2020 году

1. ЗАЩИТИТЕ СВОЮ СТРАНИЦУ АДМИНИСТРАТОРА

Страница администратора — это первый шаг к защите от кибератак. Так что лучше сделайте его недоступным. Вот 4 важных вещи, чтобы избежать неприятных сюрпризов:

• Люди с сайтом WP знают, где получить доступ к странице администратора. Это очень просто, просто введите /wp-login.php или / wp-admin. Любой хакерский бот добавит эту ссылку в конец вашего URL-адреса, и вы будете уязвимы. Итак, чтобы начать защищать свой сайт WordPress, необходимо изменить ссылку на странице администратора. Есть плагины для защиты вашего сайта на wordpress.

• Мы также приглашаем вас использовать систему блокировки веб-сайтов, это называется «антибрутфорс», которая блокирует ваш сайт после нескольких попыток использования ложных комбинаций пользователя и пароля. Это защищает от насильственных атак. В тот момент, когда вы неоднократно пытаетесь получить доступ к своему WP с неправильным паролем, страница администратора вылетает, и вы получите электронное письмо или смс с сообщением, что IP-адрес пытается получить к нему доступ без авторизации. Есть несколько специальных плагинов, которые вы можете протестировать для защиты своего сайта WordPress.

• На странице администратора двухфакторная аутентификация — еще одна дополнительная мера безопасности. Как администратору сайта WP вам необходимо решить, какие настройки использовать. Это может быть обычный пароль с секретным кодом, символами или даже использование системы, которая отправляет знаменитый секретный код на ваш телефон. Этот последний вариант гарантирует, что только человек с телефоном, обычно вы, может получить доступ к сайту.

• Вам следует регулярно обновлять свои пароли. Используйте сочетание букв верхнего и нижнего регистра, цифр и специальных символов. При подборе пароля достаточно длинный пароль (10) будет практически невозможно взломать.

2. ИСПОЛЬЗУЙТЕ БЕЗОПАСНЫЙ ХОСТИНГ ДЛЯ WORDPRESS

Чтобы защитить сайт под wordpress требует большего, чем просто блокировка последнего. Сайт WP должен быть защищен на уровне веб-сервера. Это одна из обязанностей вашего хозяина. Очень важно провести свое исследование и найти хоста, в котором вы можете быть полностью уверены и который присутствует в течение многих лет, например, infomaniak или siteground.

Предварительно на вашем сервере должен быть межсетевой экран на уровне сервера, а также системы для обнаружения вторжений. Это защитит ваш сайт даже во время установки WordPress и во время разработки вашего сайта. Еще одно эффективное решение — бесплатная версия cloudflare, которая действует непосредственно на трафик.

Используя облачный хостинг, хост должен быть в состоянии гарантировать, что программное обеспечение, установленное на его серверах, защищает ваш сайт WordPress, сохраняя при этом совместимость с последними обновлениями WordPress.

3. ИСПОЛЬЗУЙТЕ WP С ПОСЛЕДНИМИ ОБНОВЛЕНИЯМИ

Когда мы хотим, чтобы сайт WP был должным образом защищен, его необходимо поддерживать и, следовательно, обновлять версии wordpress.

Так же, как замена моторного масла или стрижка газона, вам необходимо поддерживать свой сайт WordPress. От основной базы WordPress, через ваши плагины и темы все должно регулярно обновляться.

Отчет фирмы WP White Security показал, что

«Почти 50% недостатков WP связаны с плагинами или темами, которые не обновляются или не исправляются. Уязвимости быстро распространяются в мире с открытым исходным кодом, и люди, которые стремятся использовать эти уязвимости, знают, с чего начать ».

Источник: https://www.wpwhitesecurity.com/statistics-highlight-main-source-wordpress-vulnerabilities/

D’après Malcare Security, это число будет намного выше, около 80%. Причина, по которой WordPress нужно обновлять очень часто. В каждой новой версии исправлены ошибки и уязвимости. WordPress выявляет свои уязвимости, и во время каждого обновления они принимают меры защиты от них. Без обновлений ваш сайт будет уязвим перед атаками.

Кроме того, независимо от того, нравятся ли вам последние находки WordPress (да, уважаемые редакторы Гутенберга), обновление больше не является необязательным, но необходимо для защиты вашего сайта WordPress.

4. НЕ РАЗМЕЩАЙТЕ НЕСКОЛЬКО САЙТОВ WP НА ОДНОМ СЕРВЕРЕ
Представьте, что у вас есть 4 сайта, размещенных на вашем сервере. У 3 из этих веб-сайтов много посетителей, поэтому они регулярно получают обновления, но не забудьте обновить последний, чтобы обеспечить безопасность wordpress.

Хакерский бот может найти устаревшие сайты и получить доступ к бэкэнду вашего хостинг-сервера. После этого он сможет загрузить скрипт, позволяющий ему взять под свой контроль ваш хостинг и взломать данные в файлах.

Не беспокойтесь о виртуальном хостинге, следует отметить, что у хороших веб-хостов очень маленькие пулы серверов. Считается, что на каждом сервере размещается несколько сайтов.

Поэтому, когда один из них подвергается атаке, взлом будет затронут только небольшое количество веб-сайтов … Это еще больше снижает риск того, что ваш WP-сайт будет частью этого лота.

И закончить…

Еще несколько советов, которые вы можете применить в 2019 году для защиты WordPress:

• Используйте качественные темы WP, то есть обновленные их создателями. Проверьте, прежде чем выбрать бесплатную тему WordPress.
• Мы не должны принимать администратора в качестве имени пользователя. К сожалению, многие веб-мастера WordPress используют admin в качестве имени пользователя. Так что легко расшифровать идентификатор на их веб-сайте в WordPress.
• Отключите редактирование и редактирование файлов через панель управления WordPress.

Контент-стратег, он передает ясное сообщение бренда общественности. Его разносторонний подход позволяет ему интегрировать свои навыки в области маркетинга, чтобы определять потребности клиентов и предлагать лучшие продукты и услуги.

Как изменить префикс базы данных WordPress для повышения безопасности

База данных WordPress похожа на мозг для всего вашего сайта WordPress, потому что каждая отдельная информация хранится там, что делает ее излюбленной целью хакеров. Спамеры и хакеры запускают автоматические коды для SQL-инъекций. К сожалению, многие люди забывают изменить префикс базы данных при установке WordPress. Это упрощает хакерам планирование массовой атаки с использованием префикса по умолчанию wp_ .Самый разумный способ защитить свою базу данных — это изменить префикс базы данных, что очень легко сделать на настраиваемом сайте. Но требуется несколько шагов, чтобы правильно изменить префикс базы данных WordPress для вашего установленного сайта, не испортив его полностью.

Видеоурок

Подписаться на WPBeginner

Если вам не нравится видео или вам нужны дополнительные инструкции, продолжайте читать.

Препарат

Мы рекомендуем сделать резервную копию базы данных WordPress, прежде чем выполнять что-либо, предложенное в этом руководстве.Важно делать ежедневные резервные копии вашего сайта, для этого мы рекомендуем плагин BackupBuddy. Следующее, что мы рекомендуем, — это перенаправить посетителей на временную страницу обслуживания.

Изменить префикс таблицы в wp-config.php

Откройте файл wp-config.php, который находится в корневом каталоге WordPress. Измените строку префикса таблицы с wp_ на что-то вроде этого wp_a123456_

Итак, строка будет выглядеть так:

 $ table_prefix = 'wp_a123456_'; 

Примечание. Вы можете изменить его только на цифры, буквы и символы подчеркивания.

Изменить имя всех таблиц базы данных

Вам необходимо получить доступ к своей базе данных (скорее всего, через phpMyAdmin), а затем изменить имена таблиц на те, которые мы указали в файле wp-config.php. Если вы используете хостинг cPanel WordPress, вы можете найти ссылку phpMyAdmin в своей cPanel. Посмотрите на изображение ниже:

Всего существует 11 таблиц WordPress по умолчанию, поэтому изменение их вручную было бы сложной задачей.

Вот почему, чтобы ускорить работу, у нас есть SQL-запрос, который вы можете использовать.

ПЕРЕИМЕНОВАТЬ таблицу `wp_commentmeta` НА` wp_a123456_commentmeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_comments` НА` wp_a123456_comments`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_links` НА` wp_a123456_links`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_options` НА` wp_a123456_options`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_postmeta` НА` wp_a123456_postmeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_posts` НА` wp_a123456_posts`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_terms` НА` wp_a123456_terms`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_termmeta` НА` wp_a123456_termmeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_term_relationships` НА` wp_a123456_term_relationships`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_term_taxonomy` НА` wp_a123456_term_taxonomy`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_usermeta` НА` wp_a123456_usermeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_users` НА` wp_a123456_users`;
 

Возможно, вам придется добавить строки для других плагинов, которые могут добавлять свои собственные таблицы в базу данных WordPress.Идея состоит в том, что вы меняете префикс всех таблиц на тот, который вам нужен.

Таблица опций

Нам нужно найти в таблице параметров любые другие поля, использующие wp_ в качестве префикса, чтобы мы могли их заменить. Чтобы упростить процесс, используйте этот запрос:

 ВЫБРАТЬ * ИЗ `wp_a123456_options` ГДЕ` option_name` LIKE '% wp_%' 

Это вернет много результатов, и вам нужно переходить по одной, чтобы изменить эти строки.

Таблица UserMeta

Затем нам нужно найти в мете пользователя все поля, которые используют wp_ в качестве префикса, чтобы мы могли его заменить.Используйте для этого этот SQL-запрос:

 ВЫБРАТЬ * ИЗ `wp_a123456_usermeta` ГДЕ` meta_key` LIKE '% wp_%' 

Количество записей может варьироваться в зависимости от того, сколько подключаемых модулей вы используете и т. Д. Просто замените все, что имеет wp_, на новый префикс.

Резервное копирование и готово

Теперь вы готовы протестировать сайт. Если вы выполнили вышеуказанные шаги, все должно работать нормально. Теперь вы должны сделать новую резервную копию своей базы данных на всякий случай.

Безопасность | WordPress.орг

Узнайте больше о безопасности основного программного обеспечения WordPress в этом бесплатном техническом документе. Вы также можете скачать его в формате PDF.

Обзор

Этот документ представляет собой анализ и объяснение разработки основного программного обеспечения WordPress и связанных с ним процессов безопасности, а также анализ внутренней безопасности, встроенной непосредственно в программное обеспечение. Лица, принимающие решения, оценивающие WordPress как систему управления контентом или структуру веб-приложений, должны использовать этот документ в своем анализе и принятии решений, а разработчикам — обращаться к нему, чтобы ознакомиться с компонентами безопасности и передовыми методами работы программного обеспечения.

Информация в этом документе актуальна для последней стабильной версии программного обеспечения, WordPress 4.7 на момент публикации, но ее следует рассматривать также как относящуюся к самым последним версиям программного обеспечения, поскольку обратная совместимость является важным направлением для команда разработчиков WordPress. Особые меры безопасности и изменения будут отмечены, поскольку они были добавлены к основному программному обеспечению в определенных выпусках. Настоятельно рекомендуется всегда использовать последнюю стабильную версию WordPress, чтобы обеспечить максимальную безопасность.

Краткое содержание

WordPress — это динамическая система управления контентом с открытым исходным кодом, которая используется для работы миллионов веб-сайтов, веб-приложений и блогов. В настоящее время он обслуживает более 41% из 10 миллионов веб-сайтов в Интернете. Удобство использования, расширяемость и развитое сообщество разработчиков делают WordPress популярным и безопасным выбором для веб-сайтов любого размера.

С момента своего создания в 2003 году WordPress постоянно подвергался усилению, поэтому его основное программное обеспечение может устранять и смягчать распространенные угрозы безопасности, включая список 10 лучших, определенных проектом Open Web Application Security Project (OWASP) как распространенные уязвимости безопасности, которые обсуждаются в этой статье. документ.

Команда безопасности WordPress в сотрудничестве с основной группой руководства WordPress и при поддержке глобального сообщества WordPress работает над выявлением и устранением проблем безопасности в основном программном обеспечении, доступном для распространения и установки на WordPress.org, а также над рекомендациями и документацией по безопасности. рекомендации для сторонних авторов плагинов и тем.

Разработчики и администраторы сайта должны уделять особое внимание правильному использованию основных API-интерфейсов и базовой конфигурации сервера, которые были источником распространенных уязвимостей, а также обеспечению того, чтобы все пользователи использовали надежные пароли для доступа к WordPress.

Обзор WordPress

WordPress — это бесплатная система управления контентом (CMS) с открытым исходным кодом. Это наиболее широко используемое программное обеспечение CMS в мире, и оно поддерживает более 41% из 10 миллионов веб-сайтов ¹ , что составляет 62% доли рынка всех сайтов, использующих CMS.

WordPress под лицензией General Public License (GPLv2 или новее), которая предоставляет четыре основных свободы и может рассматриваться как «Билль о правах» WordPress:

1. Свобода запуска программы для любых целей.
2. Свобода изучать, как работает программа, и изменять ее, чтобы заставить делать то, что вы хотите.
3. Свобода распространения.
4. Свобода распространять копии ваших измененных версий среди других.

Основная команда лидеров WordPress

Проект WordPress — это меритократия, управляемая основной командой руководителей и возглавляемая соавтором и ведущим разработчиком Мэттом Мулленвегом. Команда управляет всеми аспектами проекта, включая разработку ядра WordPress.org и инициативы сообщества.

Основная команда лидеров состоит из Мэтта Малленвега, пяти ведущих разработчиков и более десятка основных разработчиков с постоянным доступом к фиксации. Эти разработчики имеют окончательную власть над техническими решениями и руководят обсуждениями архитектуры и усилиями по реализации.

WordPress имеет ряд разработчиков. Некоторые из них являются бывшими или нынешними коммиттерами, а некоторые, вероятно, будущими коммиттерами. Эти разработчики являются надежными и опытными участниками WordPress, которые заслужили большое уважение среди своих коллег.При необходимости в WordPress также есть гостевые коммиттеры, лица, которым предоставляется доступ к фиксации, иногда для определенного компонента, на временной или пробной основе.

Основные и участвующие разработчики в первую очередь руководят разработкой WordPress. В каждой версии сотни разработчиков вносят свой код в WordPress. Эти основные участники — добровольцы, которые тем или иным образом вносят свой вклад в основную кодовую базу.

Цикл выпуска WordPress

Каждый цикл выпуска WordPress возглавляется одним или несколькими разработчиками ядра WordPress.Цикл выпуска обычно длится около 4 месяцев с момента первоначального обсуждения до запуска версии.

Цикл выпуска следует по следующей схеме: ² :

• Этап 1: Планирование и обеспечение руководителей групп. Это делается в чате #core на Slack. Руководитель выпуска обсуждает функции для следующего выпуска WordPress. Авторы WordPress принимают участие в этом обсуждении. Руководитель выпуска определит руководителей группы по каждой из функций.
• Этап 2: Начинаются опытно-конструкторские работы. Руководители групп собирают команды и работают над назначенными им функциями. Запланированы регулярные чаты, чтобы разработка продолжалась.
• Этап 3: Бета. Выпущены бета-версии, и бета-тестерам предлагается начать сообщать об ошибках. Начиная с этого этапа больше никаких коммитов для новых улучшений или запросов функций не выполняется. Сторонним авторам плагинов и тем предлагается протестировать свой код на предмет предстоящих изменений.
• Этап 4: Релиз-кандидат.С этого момента для переводимых строк происходит замораживание строк. Работа нацелена только на регрессии и блокираторы.
• Этап 5: Запуск. Версия WordPress запущена и доступна в админке WordPress для обновлений.

Нумерация версий и выпуски безопасности

Основная версия WordPress продиктована первыми двумя последовательностями. Например, 3.5 является основным выпуском, как и 3.6, 3.7 или 4.0. Не существует «WordPress 3» или «WordPress 4», и каждый основной выпуск обозначается своей нумерацией, например.g., «WordPress 3.9.»

Основные выпуски могут добавлять новые пользовательские функции и API для разработчиков. Хотя обычно в мире программного обеспечения «основная» версия означает, что вы можете нарушить обратную совместимость, WordPress стремится никогда не нарушать обратную совместимость. Обратная совместимость — одна из важнейших философий проекта, цель которой — упростить обновление как для пользователей, так и для разработчиков.

Младшая версия WordPress продиктована третьей последовательностью. Версия 3.5.1 является второстепенным выпуском, как и 3.4.2 ³ . Незначительный выпуск зарезервирован только для исправления уязвимостей безопасности и устранения критических ошибок. Поскольку новые версии WordPress выпускаются так часто — основная цель — каждые 4-5 месяцев, а второстепенные выпуски происходят по мере необходимости — нужны только основные и второстепенные выпуски.

Версия с обратной совместимостью

Проект WordPress твердо привержен обратной совместимости. Это обязательство означает, что темы, плагины и настраиваемый код продолжают работать после обновления основного программного обеспечения WordPress, что побуждает владельцев сайтов обновлять свою версию WordPress до последней безопасной версии.

WordPress и безопасность

Команда безопасности WordPress

Команда безопасности WordPress состоит из примерно 50 экспертов, включая ведущих разработчиков и исследователей в области безопасности — около половины из них — сотрудники Automattic (создатели WordPress.com, самой ранней и крупнейшей платформы хостинга WordPress в Интернете), а некоторые работают в Интернете. поле безопасности. Команда консультируется с известными и проверенными исследователями безопасности и хостинговыми компаниями ³ .

Команда безопасности WordPress часто сотрудничает с другими группами безопасности для решения проблем в общих зависимостях, таких как устранение уязвимости в синтаксическом анализаторе PHP XML, используемом XML-RPC API, который поставляется с WordPress, в WordPress 3.9.2 ⁴ . Это устранение уязвимости стало результатом совместных усилий групп безопасности WordPress и Drupal.

Риски, процессы и история безопасности WordPress

Команда безопасности WordPress верит в ответственное раскрытие информации, немедленно предупреждая команду безопасности о любых потенциальных уязвимостях.О потенциальных уязвимостях безопасности можно сообщить команде безопасности через WordPress HackerOne ⁵ . Группа безопасности общается между собой через частный канал Slack и работает над изолированным частным Trac для отслеживания, тестирования и исправления ошибок и проблем с безопасностью.

Каждый отчет о безопасности подтверждается при получении, и группа работает над проверкой уязвимости и определением ее серьезности. В случае подтверждения группа безопасности планирует выпуск патча для устранения проблемы, который может быть привязан к предстоящему выпуску программного обеспечения WordPress или может быть выдвинут как немедленный выпуск безопасности, в зависимости от серьезности проблемы.

Для немедленного выпуска безопасности группа безопасности публикует уведомление на сайте новостей WordPress.org ⁶ с объявлением о выпуске и подробным описанием изменений. Благодарность за ответственное раскрытие уязвимости дается в рекомендации, чтобы поощрять и укреплять непрерывную ответственную отчетность в будущем.

Администраторы программного обеспечения WordPress видят уведомление на панели управления своего сайта о необходимости обновления, когда доступна новая версия, и после обновления вручную пользователи перенаправляются на экран «О WordPress», где подробно описаны изменения.Если у администраторов включено автоматическое фоновое обновление, они получат электронное письмо после завершения обновления.

Автоматические фоновые обновления для выпусков безопасности

Начиная с версии 3.7, WordPress представил автоматические фоновые обновления для всех второстепенных выпусков ⁷ , таких как 3.7.1 и 3.7.2. Команда безопасности WordPress может выявлять, исправлять и внедрять автоматические улучшения безопасности для WordPress, при этом владельцу сайта не нужно делать что-либо с их стороны, и обновление безопасности будет установлено автоматически.

Когда обновление безопасности выдвигается для текущего стабильного выпуска WordPress, основная группа также будет выдвигать обновления безопасности для всех выпусков, которые поддерживают фоновые обновления (начиная с WordPress 3.7), поэтому эти более старые, но все еще последние версии WordPress будут получать улучшения безопасности.

Владельцы отдельных сайтов могут выбрать удаление автоматических фоновых обновлений путем простого изменения файла конфигурации, но основная группа настоятельно рекомендует сохранить эту функциональность, а также запустить последнюю стабильную версию WordPress.

2013 OWASP Top 10

Open Web Application Security Project (OWASP) — это онлайн-сообщество, посвященное безопасности веб-приложений. В списке «10 лучших» OWASP ⁸ основное внимание уделяется выявлению наиболее серьезных рисков безопасности приложений для широкого круга организаций. 10 основных элементов выбираются и устанавливаются приоритеты в сочетании с согласованными оценками возможности использования, обнаруживаемости и оценки воздействия.

В следующих разделах обсуждаются API, ресурсы и политики, которые WordPress использует для защиты основного программного обеспечения, а также сторонних плагинов и тем от этих потенциальных рисков.

A1 — Впрыск

В WordPress есть набор функций и API-интерфейсов, которые помогают разработчикам исключить возможность внедрения неавторизованного кода и помогают им проверять и дезинфицировать данные. Доступны передовые методы и документация ⁹ о том, как использовать эти API-интерфейсы для защиты, проверки или дезинфекции входных и выходных данных в HTML, URL-адресах, заголовках HTTP, а также при взаимодействии с базой данных и файловой системой. Администраторы также могут дополнительно ограничить типы файлов, которые могут быть загружены с помощью фильтров.

A2 — Нарушение аутентификации и управления сеансом

Основное программное обеспечение

WordPress управляет учетными записями пользователей и аутентификацией, а такие детали, как идентификатор пользователя, имя и пароль, управляются на стороне сервера, а также файлы cookie аутентификации. Пароли в базе данных защищены стандартными методами соления и растягивания. Существующие сеансы уничтожаются при выходе из системы для версий WordPress после 4.0.

A3 — межсайтовый скриптинг (XSS)

WordPress предоставляет ряд функций, которые могут помочь обеспечить безопасность данных, вводимых пользователем. ¹⁰ .Доверенные пользователи, то есть администраторы и редакторы в одной установке WordPress, и сетевые администраторы только в WordPress Multisite, могут публиковать неотфильтрованные HTML или JavaScript по мере необходимости, например, внутри сообщения или страницы. Недоверенные пользователи и отправленный пользователями контент фильтруются по умолчанию для удаления опасных объектов с использованием библиотеки KSES с помощью функции wp_kses .

Например, основная команда WordPress заметила перед выпуском WordPress 2.3 видно, что функция the_search_query () неправильно использовалась большинством авторов тем, которые не избегали вывода функции для использования в HTML. В очень редком случае, когда обратная совместимость немного нарушалась, в WordPress 2.3 вывод функции был изменен на экранирование.

A4 — Ссылка на незащищенный прямой объект

WordPress часто предоставляет прямую ссылку на объект, например, уникальные числовые идентификаторы учетных записей пользователей или контент, доступный в URL-адресе или полях формы.Хотя эти идентификаторы раскрывают прямую системную информацию, обширная система разрешений и контроля доступа WordPress предотвращает несанкционированные запросы.

A5 — Неверная конфигурация безопасности

Большинство операций по настройке безопасности WordPress ограничено одним авторизованным администратором. Настройки по умолчанию для WordPress постоянно оцениваются на уровне основной группы, а основная группа WordPress предоставляет документацию и лучшие практики для повышения безопасности конфигурации сервера для запуска сайта WordPress ¹¹ .

A6 — Раскрытие конфиденциальных данных

Пароли учетных записей пользователей WordPress обрабатываются и хешируются на основе Portable PHP Password Hashing Framework ¹² . Система разрешений WordPress используется для управления доступом к частной информации, такой как PII зарегистрированных пользователей, адреса электронной почты комментаторов, контент, опубликованный в частном порядке, и т. Д. В WordPress 3.7 в базовое программное обеспечение был включен измеритель надежности пароля, предоставляющий дополнительную информацию для настроек пользователей. их пароли и намеки на усиление силы.WordPress также имеет необязательную настройку конфигурации для требования HTTPS.

A7 — Отсутствие контроля доступа на уровне функций

WordPress проверяет правильность авторизации и разрешений для любых запросов доступа на уровне функций до выполнения действия. Доступ или визуализация административных URL-адресов, меню и страниц без надлежащей аутентификации тесно интегрирована с системой аутентификации для предотвращения доступа неавторизованных пользователей.

A8 — Подделка межсайтовых запросов (CSRF)

WordPress использует криптографические токены, называемые одноразовыми номерами ¹³ , для проверки намерения запросов действий от авторизованных пользователей для защиты от потенциальных угроз CSRF.WordPress предоставляет API для генерации этих токенов для создания и проверки уникальных и временных токенов, и токен ограничен конкретным пользователем, определенным действием, определенным объектом и определенным периодом времени, который может быть добавлен в формы и URL-адреса по мере необходимости. Кроме того, все одноразовые номера становятся недействительными при выходе из системы.

A9 — Использование компонентов с известными уязвимостями

Основная команда WordPress внимательно следит за несколькими включенными библиотеками и фреймворками, с которыми WordPress интегрируется для обеспечения основных функций.В прошлом основная группа внесла вклад в несколько сторонних компонентов, чтобы сделать их более безопасными, например, в обновление для исправления межсайтовой уязвимости в TinyMCE в WordPress 3.5.2 ¹⁴ .

При необходимости основная группа может принять решение о разветвлении или замене критически важных внешних компонентов, например, когда библиотека SWFUpload была официально заменена библиотекой Plupload в 3.5.2, а безопасная вилка SWFUpload была предоставлена ​​группой безопасности < ¹⁵ для тех плагинов, которые продолжали использовать SWFUpload в краткосрочной перспективе.

A10 — Непроверенные перенаправления и пересылки

Внутренняя система контроля доступа и аутентификации WordPress защитит от попыток направить пользователей к нежелательным адресатам или автоматических перенаправлений. Эта функция также доступна разработчикам подключаемых модулей через API wp_safe_redirect () ¹⁶ .

Дополнительные риски и проблемы безопасности

Атаки обработки XXE (XML eXternal Entity)

При обработке XML WordPress отключает загрузку пользовательских XML-сущностей, чтобы предотвратить атаки как External Entity, так и Entity Expansion.Помимо основных функций PHP, WordPress не предоставляет дополнительных безопасных API обработки XML для авторов плагинов.

SSRF (подделка запросов на стороне сервера) Атаки

HTTP-запросов, выдаваемых WordPress, фильтруются для предотвращения доступа к закрытым и частным IP-адресам. Кроме того, доступ разрешен только к определенным стандартным портам HTTP.

Плагин WordPress и безопасность тем

Тема по умолчанию

WordPress требует, чтобы тема была включена для отображения содержимого во внешнем интерфейсе.Тема по умолчанию, которая поставляется с ядром WordPress (в настоящее время «Twenty Twenty-One»), была тщательно проверена и протестирована по соображениям безопасности как командой разработчиков тем, так и основной командой разработчиков.

Тема по умолчанию может служить отправной точкой для разработки пользовательской темы, и разработчики сайтов могут создать дочернюю тему, которая включает некоторые настройки, но возвращается к теме по умолчанию для большей функциональности и безопасности. Тема по умолчанию может быть легко удалена администратором, если в ней нет необходимости.

WordPress.org Репозитории тем и плагинов

На сайте WordPress.org представлено около 50 000+ плагинов и 5 000+ тем. Эти темы и плагины отправляются на включение и проверяются добровольцами вручную перед тем, как сделать их доступными в репозитории.

Включение плагинов и тем в репозиторий не является гарантией отсутствия в них уязвимостей. Руководства предоставлены авторам плагинов для консультации перед отправкой для включения в репозиторий ¹⁷ , а обширная документация о том, как выполнять разработку тем WordPress ¹⁸ , предоставляется на WordPress.сайт org.

Каждый плагин и тема могут постоянно разрабатываться владельцем плагина или темы, а любые последующие исправления или разработка функций могут быть загружены в репозиторий и предоставлены пользователям с установленным плагином или темой с описанием этого изменения. Администраторы сайта получают уведомления о подключаемых модулях, которые необходимо обновить, через их административную панель.

Когда группа безопасности WordPress обнаруживает уязвимость в плагине, они связываются с автором плагина и вместе работают над исправлением и выпуском безопасной версии плагина.Если от автора плагина нет ответа или если уязвимость серьезная, плагин / тема извлекается из общедоступного каталога и в некоторых случаях исправляется и обновляется непосредственно группой безопасности.

Группа проверки темы

Группа проверки темы — это группа добровольцев, возглавляемая ключевыми и авторитетными членами сообщества WordPress, которые проверяют и одобряют темы, представленные для включения в официальный каталог тем WordPress. Группа проверки темы поддерживает официальные рекомендации по обзору темы ¹⁹ , данные модульного тестирования темы ²⁰ и плагины проверки темы ²¹ , а также пытается привлечь и обучить сообщество разработчиков тем WordPress относительно передовых методов разработки.Включение в группу модерируется основными коммиттерами команды разработчиков WordPress.

Роль хостинг-провайдера в безопасности WordPress

WordPress можно установить на множество платформ. Хотя основное программное обеспечение WordPress предоставляет множество положений для работы с безопасным веб-приложением, которые были рассмотрены в этом документе, конфигурация операционной системы и базового веб-сервера, на котором размещено программное обеспечение, одинаково важны для обеспечения безопасности приложений WordPress.

Примечание о WordPress.com и безопасности WordPress

WordPress.com — крупнейшая установка WordPress в мире, принадлежит и управляется Automattic, Inc., основанной Мэттом Мулленвегом, соавтором проекта WordPress. WordPress.com работает на основном программном обеспечении WordPress и имеет собственные процессы безопасности, риски и решения ²² . Этот документ относится к безопасности автономного загружаемого программного обеспечения WordPress с открытым исходным кодом, доступного на WordPress.org и устанавливается на любой сервер в мире.

Приложение

Основные API WordPress

Интерфейс программирования основных приложений (API) WordPress состоит из нескольких отдельных API-интерфейсов ²³ , каждый из которых охватывает функции, задействованные в заданном наборе функций и использующие их. Вместе они образуют интерфейс проекта, который позволяет плагинам и темам безопасно и надежно взаимодействовать, изменять и расширять основные функции WordPress.

Хотя каждый API WordPress предоставляет передовые методы и стандартизированные способы взаимодействия с основным программным обеспечением WordPress и расширения его возможностей, следующие API WordPress являются наиболее подходящими для обеспечения и усиления безопасности WordPress:

API базы данных

API базы данных ²⁴ , добавленный в WordPress 0.71, обеспечивает правильный метод доступа к данным в виде именованных значений, которые хранятся на уровне базы данных.

API файловой системы

API файловой системы ²⁵ , добавленный в WordPress 2.6 ²⁶ , изначально был создан для функции автоматического обновления WordPress. API файловой системы абстрагирует функциональные возможности, необходимые для чтения и записи локальных файлов в файловую систему, которые должны выполняться безопасно на различных типах хостов.

Он делает это с помощью класса WP_Filesystem_Base и нескольких подклассов, которые реализуют различные способы подключения к локальной файловой системе, в зависимости от поддержки отдельного хоста. Любая тема или плагин, которым необходимо записывать файлы локально, должны делать это с использованием семейства классов WP_Filesystem.

HTTP API

HTTP API ²⁷ , добавленный в WordPress 2.7 ²⁸ и расширенный в WordPress 2.8, стандартизирует HTTP-запросы для WordPress. API обрабатывает файлы cookie, кодирование и декодирование gzip, декодирование фрагментов (если HTTP 1.1) и различные другие реализации протокола HTTP. API стандартизирует запросы, проверяет каждый метод перед отправкой и, в зависимости от конфигурации вашего сервера, использует соответствующий метод для выполнения запроса.

Разрешения и текущий пользовательский API

Разрешения и API текущего пользователя ²⁹ — это набор функций, которые помогут проверить разрешения и полномочия текущего пользователя для выполнения любой запрашиваемой задачи или операции и могут дополнительно защитить от несанкционированного доступа пользователей или выполнения функций, выходящих за рамки их разрешенных возможностей.

Содержание официального документа Лицензия

Текст в этом документе (не включая логотип или товарный знак WordPress) находится под лицензией CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Вы можете копировать, изменять, распространять и выполнять работу даже в коммерческих целях, не спрашивая разрешения.

Особое спасибо за информационный документ по безопасности Drupal , который послужил источником вдохновения.

Дополнительная литература

---

Автор Сара Россо

Взносы от Барри Абрахамсон, Майкл Адамс, Джон Кейв, Хелен Хоу-Санди, Дион Халс, Мо Джангда, Пол Майорана

Версия 1.0 марта 2015

---

Сноски

WordPress Security: как обезопасить и защитить WordPress

Безопасность хостинга веб-сайтов в последние годы выросла, и это сложная тема.

Большинство хостов обеспечивают необходимую безопасность на различных уровнях стека, но не для самого веб-сайта. Есть ряд хостинг-провайдеров, которые предлагают безопасность за дополнительную плату, но если вы не приобрели у них продукт безопасности, маловероятно, что они решат за вас компромисс.

Существует четыре основных хостинг-среды, которые можно использовать для установки WordPress:

• Общие среды хостинга
• Среды виртуального частного сервера (VPS)
• Управляемые среды хостинга
• Выделенные серверы

Теоретически среды, которые устраняют наибольшую зависимость от пользователя, будут обеспечивать наибольшую безопасность. Если у вас есть время и навыки, чтобы обезопасить свою среду, у вас есть больше возможностей, но и больше ответственности.

В действительности, однако, тип среды хостинга, которую вы выбираете, должен диктоваться вашими потребностями и опытом:

• Если вы мало понимаете, как работают веб-сайты, то в ваших интересах использовать управляемую среду.
• Если у вас есть собственный центр управления сетью (NOC), центр управления информационной безопасностью (SOC) или выделенные системные администраторы, то VPS или выделенный сервер обеспечивает лучшую изоляцию вашей среды (при условии, что он правильно настроен).

Вы также можете начать разговор со своим хостинг-провайдером, чтобы узнать, как они относятся к безопасности. Следует обратить внимание на некоторые ключевые моменты:

• Какие меры безопасности они принимают для защиты вашего веб-сайта (а не только своего сервера)?
• Какие действия они предпримут, если обнаружат вредоносное ПО на одном из ваших веб-сайтов?
• Как часто они ищут вредоносное ПО?
• Предлагают ли они услуги по реагированию на инциденты?
• Потребуется ли вам обратиться к третьему лицу, если ваш сайт будет взломан?

Соединения SFTP / SSH

Безопасная передача файлов на ваш сервер и с вашего сервера — важный аспект безопасности веб-сайта в среде вашего хостинга.Шифрование гарантирует, что любые отправленные данные защищены от посторонних глаз, которые могут прослушивать ваш сетевой трафик.

Мы рекомендуем использовать один из следующих методов для подключения к вашему серверу и обеспечения безопасности вашего WordPress:

SSH: Secure Socket Shell — это безопасный сетевой протокол и наиболее распространенный способ безопасного администрирования удаленных серверов. С Secure Socket Shell любой вид аутентификации, включая аутентификацию по паролю и передачу файлов, полностью зашифрован.

SFTP: Протокол передачи файлов SSH является расширением SSH и позволяет выполнять аутентификацию по защищенному каналу. Если вы используете FileZilla или какой-либо другой FTP-клиент, вы часто можете вместо этого выбрать SFTP. Порт по умолчанию для SFTP в большинстве служб FTP — 22.

10 советов по безопасности WordPress для обеспечения безопасности вашего сайта

Почему тема советов по безопасности WordPress? Потому что все сайты уязвимы.

Независимо от того, сколько работы вы вложили в запуск своего сайта, он всегда может оказаться в опасности, даже если вы, возможно, не сделали ничего плохого.Так работает Интернет и проводятся случайные атаки.

Но большинство угроз можно предотвратить, если вы потратите немного времени на реализацию этих 10 простых советов по безопасности WordPress:

10 советов по безопасности WordPress для защиты вашего сайта

Есть несколько вещей, которые вы должны включить в список, когда дело доходит до выполнения плановой проверки. Чтобы обезопасить себя, достаточно просматривать эти шаги примерно раз в месяц.

Мы собираемся сосредоточиться на определенных ключевых областях сайта.В некоторой степени веб-сайт похож на человеческое тело. Если определенная часть повреждена, это влияет на всю систему.

Вот что делать:

1. Регулярно обновляйте WordPress

С каждым новым выпуском WordPress улучшается, и его безопасность тоже улучшается. Каждый раз при выходе новой версии исправляется множество ошибок и уязвимостей. Кроме того, если будет обнаружена какая-либо особенно вредоносная ошибка, разработчики ядра WordPress немедленно позаботятся о ней и незамедлительно установят новую безопасную версию.Если вы не обновите, то рискуете.

Чтобы обновить WordPress, вам сначала нужно зайти в личный кабинет. Вверху страницы вы будете видеть объявление каждый раз, когда выходит новая версия. Нажмите, чтобы обновить, а затем нажмите синюю кнопку «Обновить сейчас». Это займет всего несколько секунд.

2. Обновите темы и плагины

То же самое и с плагинами и темами. Вам следует обновить текущую тему и плагины, установленные на вашем сайте. Это поможет вам избежать уязвимостей, ошибок и потенциальных точек нарушения безопасности.

Как и в случае с большинством программных продуктов, время от времени определенные плагины могут быть взломаны или в них могут быть обнаружены дыры в безопасности. Например, в прошлом такие плагины, как Ninja Forms и WooCommerce, сталкивались с довольно неприятными проблемами.

Итак, как обновить темы и плагины?

Начнем с плагинов. Перейдите в Плагины / Установленные плагины ; появится список всех ваших плагинов. Если у определенного плагина не последняя версия, WordPress сообщит вам:

Например, у меня есть две старые версии плагинов, поэтому все, что мне нужно сделать, это щелкнуть «обновить сейчас» под каждой из них, и они будут готовы через несколько секунд.

Чтобы обновить тему, перейдите в раздел «Внешний вид / Темы », и вы увидите все установленные вами темы. Устаревшие будут отмечены так же, как и плагины. Просто нажмите «Обновить сейчас».

Помимо обновления каждого плагина и темы, не забудьте также удалить плагины и темы, которые вы в данный момент не используете . Это просто лишний вес. Считайте это бонусом среди советов по безопасности WordPress.

3.Регулярно создавайте резервные копии своего сайта

Резервное копирование вашего сайта — это создание копии всех данных сайта и их безопасное хранение. Таким образом, вы сможете восстановить сайт из этой резервной копии в случае, если что-то случится.

Для резервного копирования вашего сайта вам понадобится плагин. Здесь есть много хороших решений для резервного копирования. Например, Jetpack теперь имеет несколько встроенных функций резервного копирования по доступной цене 3,50 доллара в месяц. Для этого вы получаете ежедневные резервные копии, восстановление одним щелчком, фильтрацию спама и 30-дневный архив резервных копий.

Существует также бесплатная альтернатива UpdraftPlus.

Вот еще несколько советов и инструкций по резервному копированию вашего сайта WordPress.

4. Ограничьте количество попыток входа в систему и почаще меняйте пароль

Не позволяйте вашей форме входа в систему допускать неограниченное количество попыток ввода имени пользователя и пароля, потому что это именно то, что помогает хакеру добиться успеха. Если вы позволите им попробовать бесконечное количество раз, они в конечном итоге обнаружат ваши данные для входа. Ограничение доступных попыток — это первое, что вы должны сделать, чтобы этого избежать.

Вы можете использовать определенные специализированные плагины для ограничения возможных попыток входа в систему. Есть два очень популярных решения, например, оба бесплатные:

Кроме того, часто меняя пароли, еще больше снижает шансы любого хакера взломать ваш сайт. Хотя, говоря «часто», я не имею в виду каждый день… одного раза в 2-3 месяца будет достаточно. Разнообразие убивает удовольствие тех, кто пытается проникнуть внутрь.

Советы по безопасности WordPress Примечание: LastPass — это хороший инструмент, который безопасно хранит ваши пароли, а также генерирует надежные пароли, поэтому вам не нужно придумывать их самостоятельно.

5. Установите межсетевой экран

Еще один из наших советов по безопасности WordPress касается брандмауэров.

На вашем компьютере

Брандмауэры

обычно защищают ваш компьютер от различных сетевых угроз. Таким образом, каждая странная вещь, которая пытается установить с вами связь, будет подвергнута сомнению и будет удалена, если она окажется подозрительной.

По сути, это не имеет ничего общего с вашим сайтом WordPress, по крайней мере, у него нет прямого подключения, но установка брандмауэра на ваш компьютер все же стоит усилий по одной важной причине:

• Вы используете свой компьютер для подключения к админке вашего сайта.Таким образом, если ваш компьютер был скомпрометирован, ваше соединение с веб-сайтом также может оказаться под угрозой.

Пара инструментов для этой цели: Norton Internet Security, Comodo или ZoneAlarm. Последний бесплатный.

На вашем сайте WordPress

Помимо установки брандмауэра на компьютер, вы также можете установить инструменты безопасности прямо на свой веб-сайт WordPress. Этот тип межсетевого экрана защищает ваш сайт от вирусов, вредоносных программ, хакерских атак и т. Д.

Sucuri отлично справляется с этой задачей, и это одна из лучших служб безопасности для WordPress.Он делает все понемногу.

Существуют также бесплатные решения для межсетевых экранов, например:

6. Ограничьте доступ пользователей к вашему сайту

Если вы не единственный пользователь, имеющий доступ к вашему сайту, будьте осторожны и при создании новых учетных записей. Вы должны держать все под контролем и попытаться ограничить доступ любого типа для пользователей, которым он не обязательно нужен.

Если у вас много пользователей, вы можете ограничить их функции и разрешения. У них должен быть доступ только к тем функциям, которые необходимы им для выполнения своей работы.

Force Strong Passwords также может помочь вам в решении этой проблемы. По умолчанию WordPress рекомендует надежный пароль, но не заставит вас сменить его, если вы выберете слабый. Этот плагин не позволит вам продолжить, если ваш пароль не будет достаточно надежным. Это может быть хорошим решением для всех, кто входит в ваш админ. По сути, это ваш единственный способ убедиться, что они используют надежные пароли, как и вы.

7. Переименуйте URL-адрес для входа в

По умолчанию URL-адрес, который вы используете для входа в личную панель, — это wp-login.php или wp-admin , добавленный после основного URL вашего сайта. Например, YOURSITE.com/wp-login.php

И угадайте, эти два URL-адреса также являются наиболее доступными для хакеров, которые хотят проникнуть в вашу базу данных. Если вы измените этот URL-адрес, вы уменьшите вероятность возникновения проблем. Хакерам сложнее угадать пользовательский URL-адрес для входа.

Подключаемый модуль iThemes Security делает этот трюк. Например, ваш URL-адрес для входа может превратиться в что-то вроде ВАШ САЙТ.ru / I_love_my_site . Это один из тех советов по безопасности WordPress, который очень просто выполнить.

8. Включение сканирования безопасности

Сканирование безопасности — это то, что выполняется специализированным программным обеспечением / плагинами, которые просматривают весь ваш веб-сайт в поисках чего-либо подозрительного. Если что-то найдено, оно немедленно удаляется. Эти сканеры работают как антивирусы.

В качестве простого и доступного решения вы можете использовать вышеупомянутый плагин Jetpack. Помимо функций резервного копирования, он также имеет ежедневное сканирование на наличие вредоносных программ и угроз с ручным разрешением (этот план составляет 9 долларов в месяц).В качестве альтернативы вы также можете использовать CodeGuard или Sucuri SiteCheck.

9. Используйте SSL

SSL (Secure Socket Layer) — отличная стратегия, с помощью которой вы можете зашифровать свои данные администратора. SSL обеспечивает безопасность передачи данных между браузером пользователя и сервером. Есть два способа получить сертификат SSL:

• a) Купите его у сторонней компании, например RapidSSL.
• b) Спросите у своего хостинг-провайдера. Иногда это входит в состав некоторых планов хостинга.В зависимости от вашего хоста вы можете получить его без дополнительных затрат.

Например, хостинг Pagely поставляется с бесплатным SSL на всех планах.

Бонус: если вы используете шифрование SSL, вы не только защитите свой сайт, но и получите более высокий рейтинг в рейтинге Google. Google отдает предпочтение сайтам, использующим SSL. Итак, теперь у вас есть две причины применить этот конкретный из наших советов по безопасности WordPress.

10. Защитите файл

wp-config.php

Файл wp-config.php — один из самых важных и, следовательно, уязвимых файлов на вашем сайте. Он содержит важную информацию и данные обо всей вашей установке WordPress. Технически это ядро ​​вашего сайта WordPress. Если с этим случится что-то плохое, вы не сможете нормально пользоваться своим блогом.

Одна простая вещь, которую вы можете сделать, — это взять файл wp-config.php и просто переместить его на один шаг выше корневого каталога WordPress. Этот шаг никак не повлияет на ваш сайт WordPress, но хакеры больше не смогут его найти.

Хорошо, на этом список подводится! Достаточно ли защищен ваш сайт? Вам нужна помощь в отношении этих советов по безопасности WordPress?

Если вы хотите узнать больше о безопасности WordPress, эта электронная книга содержит простой контрольный список, который поможет вам сохранить свой сайт в безопасности.

Бесплатный гид

5 основных советов по ускорению работы вашего сайта на WordPress

Сократите время загрузки даже на 50-80%

, просто следуя простым советам.

Security — Поддержка — WordPress.com

Безопасность вашего сайта и ваших личных данных всегда является приоритетом. На этой странице описывается, что мы делаем, чтобы защитить ваш сайт и ваши личные данные, а также дополнительные шаги, которые мы рекомендуем вам предпринять, чтобы сделать то же самое.

Содержание

Как мы защищаем ваш сайт и ваши данные
Шифрование, по умолчанию
Межсетевые экраны
Мониторинг подозрительной активности
Тестирование безопасности
Резервное копирование и восстановление данных
Наша группа безопасности

Как вы можете защитить свой сайт и свои данные
Сохраните свои Секреты Секреты
Выберите надежный пароль
Выйдите из своей учетной записи
Управление доступом к сайту
Двухэтапная аутентификация

Выбор надежного пароля
Традиционные пароли больше не безопасны
Выберите современный метод
Лучший метод: Менеджер паролей
Хороший метод : Парольные фразы
Дополнительные советы для обоих методов паролей

---

Как мы защищаем ваш сайт и ваши данные

Шифрование, по умолчанию

Надежное шифрование критически важно для обеспечения вашей конфиденциальности и безопасности.Мы шифруем (обслуживаем через SSL) все сайты WordPress.com, включая пользовательские домены, размещенные на WordPress.com. Мы считаем надежное шифрование настолько важным, что не предлагаем возможность его отключения, которое может поставить под угрозу безопасность вашего сайта WordPress.com. Мы также 301 перенаправляем все небезопасные HTTP-запросы на безопасную версию HTTPS. Узнайте больше о HTTPS и SSL для вашего сайта.

Мы автоматически устанавливаем SSL-сертификат для вашего сайта. Очень редко конкретная конфигурация сайта препятствует правильной работе SSL-сертификата.Если возникла проблема с вашим сертификатом SSL, свяжитесь с нами.

↑ Содержание ↑

Межсетевые экраны

Мы используем брандмауэры и процессы, предупреждающие нас о попытках несанкционированного доступа к учетным записям WordPress.com.

↑ Содержание ↑

Мониторинг подозрительной активности

Мы постоянно отслеживаем веб-трафик и отслеживаем подозрительную активность. У нас также есть меры безопасности для защиты от распределенных атак типа «отказ в обслуживании» (DDoS).

↑ Содержание ↑

Тестирование безопасности

Мы регулярно проверяем безопасность наших сервисов и ищем потенциальные уязвимости. Мы также реализуем программу вознаграждения за ошибки через HackerOne, чтобы вознаграждать людей, обнаруживших ошибки, и помогать нам повышать безопасность наших услуг.

Имейте в виду, что если вы хотите попробовать наши меры безопасности на своем собственном сайте WordPress.com, мы не допускаем внесения в белый список. Вы можете протестировать все, что захотите, но поскольку наша система не может гарантировать, что вы не являетесь вредоносным по своей природе, ваш IP-адрес может быть временно заблокирован.

↑ Содержание ↑

Резервное копирование и восстановление данных

Наши системы регулярно выполняют резервное копирование данных вашего сайта WordPress.com, поэтому в случае события, которое приводит к потере данных (например, сбой источника питания или стихийное бедствие), мы можем восстановить их.

↑ Содержание ↑

Наша служба безопасности

У нас есть специальная группа безопасности, которая заботится о защите ваших данных. Они работают напрямую с нашими продуктовыми группами, чтобы устранить потенциальные риски безопасности и сохранить нашу твердую приверженность обеспечению безопасности ваших данных.

Ни один способ передачи данных через Интернет и ни один метод электронного хранения не является абсолютно безопасным. Мы не можем гарантировать абсолютную безопасность вашего сайта или аккаунта — никто не может. Но обеспечение надежной защиты вашего сайта и личных данных очень, очень, очень важно для нас.

---

Как защитить свой сайт и данные

Есть также несколько способов защитить свои данные (читайте дальше!).

↑ Содержание ↑

Храните свои секреты в секрете

Самым слабым звеном в безопасности всего, что вы делаете в сети, является ваш пароль.Это ключ к вашему блогу, электронной почте, учетным записям в социальных сетях или любой другой онлайн-службе, которую вы используете. Если ваш пароль легко угадать, ваша личность в сети уязвима.

Все, что нужно, — это один человек, чтобы угадать ваш пароль, и он сможет удалить каждое ваше сообщение. Они могут испортить ваш сайт. Они могут прочитать ваши электронные письма или украсть ваш адрес и выдать себя за вас. Они могут испортить то, на что вы потратили время.

↑ Содержание ↑

Выберите надежный пароль

Каждый пароль, который вы используете, должен быть легко запоминающимся и трудным для угадывания.Из-за случайного набора цифр и символов пароль трудно угадать, но его также сложно запомнить. С другой стороны, вы, вероятно, никогда не забудете дату своего рождения или имя своего первого питомца, но это делает пароли очень плохими, поскольку их все легче угадать или узнать.

На WordPress.com вы можете использовать очень длинный пароль с любой комбинацией букв, цифр и специальных символов, поэтому безопасность вашего пароля — и, соответственно, вашего блога — действительно зависит от вас.Мы собрали несколько советов по созданию надежных паролей.

↑ Содержание ↑

Выйти из своей учетной записи

Вы можете защитить свою учетную запись, выйдя из системы после завершения работы. Это особенно важно, когда вы работаете на общем или общедоступном компьютере. Если вы не выйдете из системы, кто-то сможет получить доступ к вашей учетной записи, просто просмотрев историю браузера и вернувшись на панель управления WordPress.com.

Вы можете защитить свою учетную запись, выйдя из системы после завершения работы.

Чтобы выйти из учетной записи WordPress.com, щелкните свой Gravatar в правом верхнем углу. Затем под Gravatar нажмите Log Out .

↑ Содержание ↑

Контроль доступа к сайту

WordPress.com предоставляет многофункциональную многопользовательскую платформу. Хотя у каждого сайта только один владелец, у вас может быть столько пользователей, сколько вы хотите — это идеально подходит для групповых блогов с несколькими авторами, для сайтов в стиле журналов с редакционным рабочим процессом или для любого другого большого сайта, на котором вы хотите поделиться некоторыми административной нагрузки.

Однако разделение нагрузки также означает разделение ответственности. Вот почему на WordPress.com вы можете установить разные роли для каждого пользователя, которого вы добавляете на свой сайт. Роли определяют уровень доступа пользователя.

• Участник: самая ограниченная роль, может писать только черновики сообщений, но не может их публиковать.
• Автор: может публиковать сообщения и загружать изображения, но не может касаться сообщений других пользователей.
• Редакторы: может не только редактировать или публиковать любые сообщения пользователей, но и модерировать комментарии и управлять категориями и тегами.
• Администраторы : имеют полный контроль над сайтом — они даже могут его удалить.

При добавлении пользователей постарайтесь найти роль, которая лучше всего описывает то, что вы хотите, чтобы они делали на своем сайте. Если вы настраиваете учетную запись для пользователя, который планирует опубликовать только несколько сообщений, сделайте его участником. Зарезервируйте роли автора и редактора для доверенных пользователей, которые имеют долгосрочные обязательства перед вашим сайтом.

Наконец, будьте особенно скупы с ролью администратора.Когда вы назначаете другого пользователя администратором своего сайта, вы буквально создаете отдельный набор ключей для своего сайта и передаете их кому-то другому. Они не только смогут взять ваш сайт на прогулку, но и наличие лишнего набора ключей значительно увеличивает риск взлома вашего сайта.

На самом деле, мы предлагаем вам полностью избегать роли администратора. Почти во всех случаях роль редактора была бы лучшим выбором.

Подробнее об этом читайте на страницах поддержки для добавления пользователей и ролей пользователей.

↑ Содержание ↑

Двухэтапная аутентификация

С двухэтапной аутентификацией вы можете использовать любое мобильное устройство с iOS, Android, Blackberry или SMS в качестве уникального ключа для своего блога. После того, как вы подпишетесь на сервис, вам нужно будет вводить специально сгенерированный одноразовый код всякий раз, когда вы пытаетесь войти в свой блог. Это означает, что даже если кто-то получит ваш пароль, он не сможет войти в систему, не завладев вашим мобильным устройством.

Вы можете узнать больше об этой услуге на странице поддержки двухэтапной аутентификации.

---

Выбор надежного пароля

Самым слабым местом в системе безопасности ваших учетных записей в Интернете обычно является ваш пароль. В WordPress.com мы делаем все возможное, чтобы ваш контент был безопасным, защищенным и не был доступен никому, кроме вас.

Но если кто-то еще может угадать или восстановить ваш пароль, он обойдет почти все меры безопасности, которые у нас есть, потому что WordPress.com будет видеть этого человека как вас. Затем они могут внести любые изменения в ваш WordPress.com в блоге или учетной записи, включая удаление вашего контента.

Чтобы избежать этого сценария, это руководство поможет вам создать надежные пароли, которые трудно угадать или взломать. Прочтите следующие советы и дважды проверьте свой пароль. Если вы считаете, что ваш пароль недостаточно безопасен, мы настоятельно рекомендуем вам изменить его.

↑ Содержание ↑

Традиционные пароли больше не безопасны

Техники взлома паролей быстро и значительно развились за последние несколько десятилетий, но то, как мы создаем пароли, отстает.В результате самый распространенный совет о создании надежного пароля, который вы услышите сегодня, очень устарел и непрактичен.

Пароль, созданный с помощью этого совета, например, jal43 # Koo% a , , очень легко взломать на компьютере и очень трудно запомнить и набрать человеку.

Последние и наиболее эффективные типы парольных атак могут пытаться до 350 миллиардов попыток угадывать в секунду , и это число, несомненно, значительно увеличится в течение следующих нескольких лет.

Создание надежного пароля сегодня требует современных методов, и мы покажем вам два из них в следующем разделе.

↑ Содержание ↑

Выберите современный метод

Существует множество различных подходов к созданию надежного пароля, но лучше всего подходят менеджеры паролей и парольные фразы. Выберите тот, который вам подходит, а затем прочтите соответствующий раздел в этой статье, чтобы узнать, как начать работу.

↑ Содержание ↑

Лучший способ: Менеджер паролей

Менеджер паролей — это программное приложение на вашем компьютере или мобильном устройстве, которое генерирует очень надежные пароли и сохраняет их в защищенной базе данных.Вы используете одну кодовую фразу для доступа к базе данных, а затем менеджер автоматически вводит ваше имя пользователя и пароль в форму входа на веб-сайт для вас. Если вам нужно запомнить только один пароль, вы можете сделать его произвольным и сложным для подбора.

Вам больше не придется беспокоиться о выборе надежного пароля, его запоминании или повторном вводе. Это самый простой и безопасный метод, доступный на сегодняшний день, и мы настоятельно рекомендуем вам его использовать.

Как использовать менеджер паролей

Существует множество различных приложений-менеджеров на выбор, поэтому вам нужно выбрать, какое из них вы хотите использовать, а затем установить его на свой компьютер.Это общие шаги, но вы можете проверить документацию для вашего конкретного приложения для получения более подробной информации.

1. Выберите менеджер паролей. Вот некоторые популярные:
   • 1Password (с закрытым исходным кодом, коммерческий)
   • LastPass (с закрытым исходным кодом, бесплатный / коммерческий)
   • Dashlane (с закрытым исходным кодом, бесплатно / коммерческий)
   • KeePass (открытый исходный код, бесплатно)
   • RoboForm (закрытый, коммерческий).
   • Вы можете найти еще больше вариантов, используя свою любимую поисковую систему.
2. Установите его на свой компьютер.
3. Установите любые расширения или плагины для используемых вами веб-браузеров.
4. Создайте надежный мастер-пароль, чтобы открыть базу данных паролей. См. Раздел Как создать парольную фразу этого документа, чтобы узнать, как это сделать.
5. (дополнительно) Запишите главный пароль и храните его в надежном месте, например, в сейфе или запертом сейфе. Важно иметь резервную копию на случай, если вы когда-нибудь забудете мастер-пароль.
6. (необязательно) Поделитесь своей базой паролей на нескольких устройствах с помощью встроенных инструментов приложения или через такую ​​службу, как SpiderOak. Если вы используете внешнюю службу, убедитесь, что у вас есть надежный пароль, и включите двухфакторную аутентификацию для учетной записи (если возможно).

Теперь, когда у вас настроен менеджер паролей, вы можете начать с его помощью создавать надежные пароли. Найдите встроенный у менеджера инструмент для создания паролей и настройте его так, чтобы он создавал 30–50 случайных символов со смесью прописных и строчных букв, цифр и символов.

Вы хотите получить что-то вроде этого: N9}> K! A8 $ 6a23jk% sdf23) 4Q [uRa ~ ds {234] sa + f423 @ .

Это может показаться устрашающим, но имейте в виду, что вам никогда не придется запоминать это или вводить; ваш менеджер паролей сделает это за вас автоматически.

↑ Содержание ↑

Хороший метод: парольные фразы

Парольная фраза похожа на пароль, за исключением того, что она основана на случайном наборе слов, а не на одном.Например, копий указывают на яркую ловушку .

Поскольку длина пароля является одним из основных факторов его надежности, парольные фразы намного безопаснее традиционных паролей. В то же время их намного легче запоминать и печатать.

Они не так надежны, как пароли, генерируемые менеджерами паролей, но они все же хороший вариант, если вы не хотите использовать менеджер паролей. Они также являются лучшим способом сгенерировать мастер-пароль для менеджера паролей или учетной записи вашей операционной системы, поскольку они не могут быть автоматически заполнены менеджером паролей.

Как создать парольную фразу

Создание ключевой фразы следует правилам, аналогичным правилам создания традиционного пароля, но это не обязательно должно быть таким сложным, потому что длина фразы обеспечит достаточную безопасность, чтобы перевесить простоту.

1. Выберите 4 случайных слова. Вы можете использовать генератор парольных фраз xkcd, если хотите, но лучше, если вы придумаете свой собственный.
2. Добавьте пробелы между словами, если хотите.

На этом этапе у вас должно получиться что-то вроде: копия указывает на яркую ловушку

Вы можете остановиться на этом, если хотите, или можете добавить немного силы, выполнив следующие действия:

1. Сделайте несколько букв заглавными.
2. Добавьте несколько цифр и символов.

После применения этих правил это будет выглядеть примерно так: Копия указывает 48 Ловушка (#) яркая

Чего следует избегать:

• Не размещайте слова в предсказуемом шаблоне или не составляйте правильное предложение; так было бы намного легче угадать.
• Не используйте текстов песен, цитаты или что-либо еще, что было опубликовано . У злоумышленников есть огромные базы данных опубликованных работ, из которых можно построить возможные пароли.
• Не используйте личную информацию . Даже в сочетании с буквами и цифрами кто-то, кто знает вас или может исследовать вас в Интернете, может легко угадать пароль с этой информацией.

↑ Содержание ↑

Дополнительные советы для обоих методов паролей

Помимо учетной записи на WordPress.com, при составлении паролей следует помнить и о других вещах, которые помогут защитить вашу информацию.

• Не используйте один и тот же пароль дважды. Многие популярные веб-сайты не могут должным образом защитить ваш пароль в своих системах, и хакеры регулярно взламывают их и получают доступ к сотням миллионов учетных записей. Если вы повторно используете пароли с сайта на сайт, то кто-то, взломавший один сайт, сможет войти в вашу учетную запись на других сайтах. По крайней мере, убедитесь, что у вас есть уникальные пароли для всех сайтов, на которых хранятся финансовые или другие конфиденциальные данные, или те, которые могут быть использованы для нанесения ущерба вашей репутации.
• Убедитесь, что ваш пароль электронной почты также надежен. Во многих онлайн-сервисах, таких как WordPress.com, ваш адрес электронной почты служит вашим идентификатором. Если злоумышленник получит доступ к вашей электронной почте, он может легко сбросить ваши пароли и войти в вашу учетную запись.
• Не сообщайте свои пароли. Даже если вы доверяете этому человеку, злоумышленник может перехватить или подслушать передачу или взломать компьютер этого человека. Если вы подозреваете, что кто-то знает ваш пароль, вам следует немедленно его изменить.
• Не отправляйте никому свой пароль по электронной почте. Электронные письма редко зашифровываются, поэтому злоумышленники относительно легко их читают. Сотрудники WordPress.com никогда не спросят ваш пароль. Если вам необходимо поделиться паролем, используйте безопасный метод передачи, например pwpush.com, и установите срок действия ссылки после первого просмотра.
• Не сохраняйте пароли в веб-браузере. Они часто не могут безопасно хранить пароли, поэтому используйте вместо этого менеджер паролей. См. Раздел о менеджерах паролей выше для получения дополнительной информации.
• Не сохраняйте пароли и не используйте функцию «Запомнить меня» на общедоступном компьютере . Если вы это сделаете, то следующий человек, который будет использовать компьютер, сможет получить доступ к вашей учетной записи. Также не забудьте выйти из системы или закрыть браузер, когда закончите.
• Не записывайте свой пароль. Если он где-то записан и кто-то может его найти, это небезопасно. Вместо этого храните пароли в диспетчере паролей, чтобы они были зашифрованы. См. Раздел о менеджерах паролей выше для получения дополнительной информации. Исключением из этого правила является безопасное хранение невосстановимых паролей (таких как главный пароль диспетчера паролей или ваша учетная запись операционной системы). Один из хороших способов обезопасить их — хранить их в сейфе или запереть в сейфе.
• Не меняйте пароли, если не подозреваете, что они были взломаны. Если у вас есть тип надежного пароля, рекомендованный в этой статье, частая его смена не приведет к снижению риска его взлома.Поскольку их изменение может быть обременительным, у людей часто возникает соблазн применить плохие методы, чтобы упростить процесс, что увеличивает их уязвимость для атак. Однако, если вы подозреваете, что кто-то получил доступ к вашей учетной записи, всегда полезно изменить пароль.

Полное руководство по безопасности WordPress в 2020 году

Это руководство по безопасности WordPress дает два преимущества:

• Узнайте, что именно вам нужно знать о безопасности WordPress в 2020 году.
  Понимание безопасности WordPress поможет вам выработать ориентированный на безопасность образ мышления, который поможет вам предотвращать и снижать риски при принятии повседневных решений.
• Получите действенные пошаговые инструкции по обеспечению безопасности вашего сайта WordPress.
  Действия, которые вам необходимо предпринять, не отнимают много времени и не требуют передовых технических знаний, а связанные руководства проверены на ясность и полноту.

Конечно, невозможно охватить все возможные уязвимости и сценарии.Вот почему мы также включаем всеобъемлющие «принципы безопасности WordPress». Если вы сможете следовать этим общим принципам, многие из мельчайших деталей, которые трудно описать в сообщениях такого типа, позаботятся сами о себе.

Почему безопасность WordPress критична?

Важно понимать, насколько серьезна проблема безопасности WordPress, чтобы уделять ей время и внимание, которых она заслуживает. Вот некоторые отрезвляющие статистические данные:

Хотя эта статистика рисует устрашающую картину того, с чем вы боретесь, важно, чтобы вы столкнулись с реалиями управления сайтом WordPress в 2020 году.

Если ваш бизнес полагается на WordPress, безопасность — это не то, что вы можете позволить себе игнорировать. Если вы не предприняли никаких действий для защиты своего сайта, вы уязвимы для атак. Взлом вашего сайта может быть лишь вопросом времени. Это та область, где «унция профилактики стоит фунта лечения».

Принципы безопасности WordPress

Защита WordPress — это больше, чем просто отметка из списка, она требует, чтобы вы приняли ориентированный на безопасность образ мышления, которым руководствуетесь при принятии решений.Эти принципы помогут вам предотвратить ошибки при принятии повседневных решений, таких как добавление новых пользователей, плагинов и тем WordPress:

Уязвимости часто вводятся пользователями WordPress.

Ванильный WordPress, который постоянно обновляется и использует надежные пароли, относительно безопасен. Часто решения, принимаемые пользователями WordPress, создают уязвимости, которыми пользуются хакеры. Вот почему такие статьи так важны. Вы должны быть осведомлены о лучших практиках безопасности WordPress, изложенных здесь, и постоянно следовать им.

Сверните плагины и темы.

Новые пользователи WordPress часто бывают в восторге от обширной экосистемы плагинов и тем, доступных для WordPress. Это может привести к неизбирательной установке плагинов. Но каждый новый плагин или тема добавляет на ваш сайт код, который потенциально добавляет новые уязвимости. Сводя к минимуму количество установленных плагинов и тем, вы также сводите к минимуму объем кода, который использует ваш сайт, и, соответственно, количество потенциальных уязвимостей безопасности. В общем, если вы можете решить проблему, не устанавливая плагин, это лучший вариант.

Установите обновления как можно скорее.

Обновления ядра WordPress и обновления плагинов и тем часто содержат критические обновления безопасности. Их следует установить как можно быстрее. Если у вас есть хорошая стратегия резервного копирования, вы можете вернуться к предыдущей версии, если обновление вызовет проблемы.

Следуйте принципу наименьших привилегий.

Это основной принцип кибербезопасности в целом, и он присущ не только WordPress. Это причудливый способ сказать: «Не давайте пользователю больше привилегий, чем ему нужно, потому что эти дополнительные привилегии дают хакерам больше возможностей и доступа, чем они были бы в противном случае, если бы они взломали эту учетную запись.

Атаки все еще возможны.

Вы можете изо всех сил стараться охватить все базы и все равно стать жертвой атаки. Вот почему так важно регулярное автоматическое резервное копирование. Не игнорируйте этот совет. Взломанный сайт может вызвать сбой, но, как правило, его можно исправить с минимальными затратами и нарушениями, взломанный сайт без резервной копии, на которую можно было бы выполнить откат, может серьезно подорвать работу.

С безопасностью никогда не покончить.

Создать 100% безопасный сайт WordPress — невыполнимая задача.Вы не можете полностью исключить риск, поэтому вместо этого стремитесь к постоянному снижению риска. Этот образ мышления «снижение риска» побуждает вас продолжать предпринимать шаги по повышению вашей безопасности в рамках постоянной, нескончаемой инициативы.

Наиболее распространенные векторы атак WordPress

Понимание наиболее распространенных методов, которые хакеры используют для использования WordPress, поможет вам понять, как с ними бороться и почему необходимы шаги, рекомендованные далее в этой статье:

Brute Force Attack

A киберпреступник использует метод проб и ошибок для определения пароля или PIN-кода.Они используют комбинации общих имен пользователей и паролей, пока не найдут правильный. Это все равно, что пробовать каждую клавишу на связке ключей, чтобы найти ту, которая работает. Все это делается с помощью компьютерного сценария, поэтому они могут запускать тысячи комбинаций с минимальными усилиями. По прошествии некоторого времени любую учетную запись можно взломать, но надежные пароли предотвращают такую ​​атаку.

Внедрение SQL

Вредоносный код SQL внедряется в базу данных, чтобы получить доступ к информации базы данных, которая никогда не предназначалась для отображения.В зависимости от целей хакеров это может привести к удалению вашей базы данных, краже информации о клиентах или доступу к конфиденциальной информации компании.

Вредоносное ПО

Вирус или шпионское ПО вставлено с помощью темы или подключаемого модуля с истекшим сроком действия. Злоумышленник может получить доступ к вашим данным, вставить страницы на ваш сайт для черного SEO и выполнить ряд других гнусных действий, используя ваш сайт.

Межсайтовый скриптинг

Вставляется код Javascript, который затем собирает данные, обычно используемые для использования плагинов WordPress.Это можно использовать для перенаправления посетителей вашего сайта на вредоносный контент. также известна как «XSS-атака».

DDoS-атака

Распределенная атака типа «отказ в обслуживании» (DDoS) наводняет веб-сайт трафиком, который перегружает ресурсы сервера, вызывая его сбой. Несколько машин отправляют частые запросы на сервер, используя для этой цели вредоносное ПО, установленное на этих машинах. Распределенный характер атаки может затруднить выявление и блокировку источников трафика.

Теперь, когда вы понимаете, как хакеры будут пытаться взломать ваш сайт, давайте посмотрим, как мы можем заблокировать и предотвратить эти атаки…

Шаги по защите вашего сайта WordPress

Несмотря на множество способов взлома вашего сайта, можно уменьшить эти риски и предотвратить множество атак.Вот список рекомендуемых шагов для защиты вашего сайта WordPress от атак безопасности:

1. Принудительное использование надежных паролей

«81% атак основаны на небезопасных или украденных паролях»

«Взлом строчной буквы занимает всего около 10 минут. пароль длиной 6 символов ».

Эти два факта, взятые вместе, говорят о том, что вы должны использовать надежные пароли для всех пользователей WordPress. Надежные пароли имеют длину и используют комбинацию букв верхнего и нижнего регистра, цифр и символов.Чем длиннее, тем лучше, но 20 символов, вероятно, вполне достаточно.

Надежные пароли сложно запомнить, особенно если вы используете уникальные пароли для каждого сайта (а должны быть!). Это означает, что менеджер паролей, такой как LastPass или Dashlane, является важным инструментом. Эти приложения позволяют легко создавать надежные пароли, хранить их в одном месте и упрощают вход на ваши веб-сайты за счет автозаполнения паролей.

Вот как убедиться, что все ваши пользователи WordPress используют надежные пароли.

2. Включите автоматические обновления ядра WordPress

Одним из преимуществ использования популярной CMS, такой как WordPress, является то, что многие люди заинтересованы в ее безопасности. Тысячи людей вносят свой вклад в безопасность WordPress, сообщая об уязвимостях команде WordPress. Такое широкое сотрудничество означает, что большинство дыр устраняются относительно быстро. Но если обновления, содержащие эти исправления, не применяются, вы оставляете свой сайт уязвимым для атак.

Лучший способ обеспечить быстрое обновление ядра WordPress — это включить автоматические обновления.Таким образом, ваш сайт WordPress будет обновляться без каких-либо дополнительных действий.

Вот как включить автоматические обновления ядра, изменив файл config.php.

3. Будьте в курсе обновлений плагинов и тем

Вы обязательно должны поддерживать свои плагины и темы в актуальном состоянии. Важность этого невозможно переоценить.

Также будьте осторожны при использовании плагинов и тем, которые часто обновляются. Если вы используете плагин или тему, которые не обновлялись в течение нескольких месяцев, рекомендуется связаться с разработчиком или найти более часто обновляемый плагин, который выполняет ту же задачу.

Когда вы ищете плагин в базе данных плагинов WordPress, эта информация отображается на боковой панели:

4. Использование двухфакторной аутентификации (2FA)

Двухфакторная аутентификация добавляет уровень защиты вашему WordPress site, сделав практически невозможным для хакеров войти на ваш сайт, даже если они знают ваше имя пользователя и пароль.

Вы должны настроить 2FA для всех пользователей WordPress. 2FA можно быстро настроить с помощью простых бесплатных плагинов.

Вот список доступных плагинов 2FA для WordPress.

5. Защита от грубой силы

Даже при использовании двухфакторной аутентификации и надежных паролей полезно настроить защиту от перебора, чтобы повысить общую производительность сервера за счет сокращения объема работы, которую должен выполнять PHP.

Вот как защитить ваш сайт от атак методом грубой силы.

6. Создание автоматических резервных копий по расписанию

В случае возникновения проблем всегда должны быть доступны последние резервные копии баз данных и файлов.Вы также должны создать резервную копию, прежде чем вносить какие-либо серьезные изменения на свой сайт, такие как установка обновлений плагинов и тем. Многие популярные решения для резервного копирования позаботятся об этом за вас.

Вот список решений для резервного копирования для вашего сайта WordPress

7. Измените страницы входа в систему

Страницы входа по умолчанию для всех сайтов WordPress: sitename.com/wp-login.php и sitename.com/wp-admin.php . Использование этих URL-адресов страниц входа по умолчанию позволяет хакерам начать атаку методом грубой силы, пробуя комбинации имен пользователей и паролей.Использование URL-адреса для входа в систему, который трудно угадать, усложняет хакерам попытку атаки методом перебора, поскольку они не знают, где находится форма входа.

Вот как изменить URL страницы входа.

8. Используйте SSL

Secure Sockets Layer (SSL) шифрует все данные, отправляемые с вашего веб-сайта в браузер посетителей, скрывая потенциально конфиденциальные данные. Использование SSL имеет много преимуществ помимо безопасности. Google может повысить рейтинг вашего сайта в результатах поиска, и многие браузеры указывают, защищен ли сайт с помощью SSL, который может убедить их в надежности вашего сайта.

Вот руководство по настройке SSL для вашего сайта WordPress

9. Не используйте префикс базы данных по умолчанию

Использование префикса базы данных по умолчанию «wp_» облегчает хакеру вставку кода в вашу базу данных (SQL-инъекция ).

Вот как изменить префикс базы данных по умолчанию для нового и существующего сайтов.

10. Проверьте права доступа к папкам и файлам.

Права доступа к файлам определяют, какие действия могут быть применены к файлам на вашем сервере.Вы никогда не должны устанавливать для какого-либо файла или каталога WordPress разрешение 777.

Вместо этого убедитесь, что ваша схема разрешений следующая:

Папки — 755
Файлы — 644

Вот руководство по проверке и исправлению разрешений для ваших файлов и папок WordPress.

11. Отключить пингбеки

Пингбэки WordPress включены по умолчанию. Но для большинства сайтов от них мало пользы. Но их можно использовать, чтобы превратить ваш сайт WordPress в нежелательного участника ботнета DDoS.

Чтобы отключить пингбеки, вы можете перейти в «Настройки -> Обсуждение» и снять флажок «Попытка уведомить любые блоги, на которые есть ссылка в статье». Также неплохо снять флажок «Разрешить уведомления о ссылках из других блогов (пингбэки и трекбэки) на новые статьи»:

Понравился этот контент? Познакомьтесь с Пейджем.

12. Скрыть номер своей версии WordPress

Один из способов, которыми злоумышленники получают доступ к сайту, — это использование известных уязвимостей в устаревших версиях WordPress.Хакеры могут просканировать ваш сайт и легко узнать, какую версию WordPress вы используете. Если в этой версии есть известная уязвимость, хакер знает, как действовать дальше.

Лучший способ предотвратить это — поддерживать WordPress в актуальном состоянии. Однако вы также можете запретить хакеру узнать, какую версию WordPress вы используете.

Вот как скрыть номер версии WordPress.

13. Не используйте имя администратора.

Хакеры могут с уверенностью предположить, что сайт WordPress использует имя пользователя по умолчанию «admin» и это имя пользователя даст им права администратора, поэтому все, что им нужно сделать, это придумать пароль.Это дает им прямой путь к получению административного доступа к вашему сайту с хорошей вероятностью успеха. Удаление имени пользователя с правами администратора значительно затрудняет такую ​​атаку на ваш сайт. Если вы уже используете имя администратора, ничего страшного, вы можете изменить его сейчас.

Вот как изменить имя пользователя с правами администратора.

14. Используйте безопасный управляемый хост WordPress

Хосту, который поддерживает все основные CMS, будет сложно оставаться на вершине безопасности WordPress.Специализируясь только на WordPress CMS, хостинг-провайдер WordPress может выделить ресурсы, необходимые для предотвращения многих атак.

У авторитетного управляемого хоста WordPress будет команда безопасности, которая будет защищать ваш сайт от угроз. Они решат многие из упомянутых выше проблем, таких как обновление WordPress, создание резервных копий и многое другое. Здесь, в Pagely, у нас есть полный набор функций безопасности под названием PressArmor, который обеспечивает безопасность приложений WordPress и безопасность серверов.

Вопросы безопасности, которые можно задать потенциальному управляемому хосту WordPress:

Является ли ваша среда хостинга хромированной?
Если у вашего хоста несколько доменов на одном сервере, узнайте у них, используют ли они chroot для изоляции каждого приложения WordPress. Если одно приложение будет взломано, это поможет предотвратить доступ к другим приложениям на сервере.

Включен ли SSL и легко ли его настроить?
Хороший провайдер хостинга WordPress бесплатно предоставит SSL с помощью такой службы, как Let’s Encrypt.

Вы активно отслеживаете мой сайт на предмет уязвимостей WordPress? Если вы обнаружите уязвимость на моем сайте, как вы сообщите мне об этом?
Хороший хостинг WordPress всегда будет в курсе последних угроз для сайтов WordPress и будет постоянно сканировать ваш сайт на предмет этих угроз. Если они обнаружат уязвимость, они будут работать с вами над ее устранением.

Используете ли вы брандмауэр веб-приложений (WAF) для защиты моего сайта?
WAF блокирует вредоносный трафик до того, как он достигнет вашего сайта, и может помочь предотвратить атаки XSS и SQL-инъекции.

Вот список важных моментов при выборе управляемого хоста WordPress.

Заключение

К безопасности WordPress нельзя относиться легкомысленно, и вы должны предпринять шаги для защиты своего сайта. Использование управляемого хостинг-провайдера WordPress, такого как Pagely, — один из лучших способов повысить вашу безопасность, потому что у вас будет опытная команда, которая будет защищать вас.

Независимо от того, решите ли вы заниматься безопасностью WordPress самостоятельно или используете хост, специализирующийся на WordPress, важно относиться к безопасности WordPress как к постоянным усилиям.Вы никогда не закончите с безопасностью, но, выполнив указанные выше действия, вы защитили себя от многих наиболее распространенных угроз.

WordPress Руководство по безопасности

В этом руководстве рассматриваются следующие темы:

WordPress — самая популярная система ведения блогов и CMS, что делает ее излюбленной целью хакеров. Наличие сайта WordPress означает, что вам нужно приложить дополнительные усилия, чтобы защитить себя и данные ваших посетителей. Вот краткое изложение лучших практик по обеспечению безопасности сайта WordPress, которые помогут вам в этом.Важно отметить, что эти меры не гарантируют 100% защиту от попыток взлома, в основном потому, что 100% безопасный веб-сайт не существует, но они защитят вас от большинства атак.

Регулярно обновляйте свой сайт и плагины WordPress

Очень важно обновлять основные файлы WordPress и все плагины до последних версий. Большинство новых версий WordPress и плагинов содержат исправления безопасности. Даже если в большинстве случаев эти уязвимости нелегко использовать, важно их исправить.

Для получения дополнительной информации по этому поводу ознакомьтесь с нашими руководствами о том, как обновить WordPress и как использовать автоматические обновления WordPress.

Скачивайте плагины и темы только из официальных репозиториев

Очень важно использовать плагины, загруженные из официальных источников. Файлы, загружаемые из неофициальных источников, часто редактируются, чтобы включить дополнительный код, который включает бэкдоры, которые злоумышленники могут использовать и заразить веб-сайт.

Защитите свою админку WordPress

Важно ограничить доступ к вашей админке WordPress только для людей, которым действительно нужен доступ к ней.Если ваш сайт не поддерживает регистрацию или создание внешнего контента, ваши посетители не должны иметь доступа к вашей папке / wp-admin / или файлу wp-login.php . Лучшее, что вы можете сделать, это получить свой домашний IP-адрес (для этого можно использовать сайт, например whatismyip.com) и добавить эти строки в файл .htaccess в папке администратора WordPress, заменив xx.xxx.xxx.xxx с вашим IP-адресом:

  <Файлы wp-login.php>
заказ отклонить, разрешить
Запретить всем
Разрешить от хх.xxx.xxx.xxx
  

Если вы хотите разрешить доступ к нескольким компьютерам (например, к вашему офису, домашнему ПК, ноутбуку и т. Д.), Добавьте еще одну инструкцию Allow from xx.xxx.xxx.xxx в новой строке.

Если вы хотите иметь доступ к своей административной области с любого IP-адреса (например, если вы часто используете бесплатные сети Wi-Fi), ограничение вашей административной области одним IP-адресом или несколькими IP-адресами может быть неудобным. В таких случаях мы рекомендуем вам ограничить количество попыток неправильного входа на ваш сайт.Таким образом вы защитите свой сайт WordPress от атак грубой силы и людей, пытающихся угадать ваш пароль. Для таких целей вы можете использовать плагин под названием WP Limit loginizations.

Не используйте имя пользователя «admin»

Большинство злоумышленников предполагают, что ваше имя пользователя admin — «admin». Вы можете легко заблокировать множество брутфорс и других атак, используя другое имя администратора. Если вы устанавливаете новый сайт WordPress, вам будет предложено ввести имя администратора в процессе установки WordPress.Если у вас уже есть сайт WordPress, вы можете следовать инструкциям в нашем руководстве о том, как изменить свое имя пользователя WordPress.

Используйте надежные пароли

Есть тысячи людей, которые используют такие фразы, как «пароль» или «123456» для своих учетных данных администратора. Излишне говорить, что такие пароли легко угадываются, и они находятся на вершине списка любой атаки по словарю. Хороший совет — использовать целое предложение, которое имеет для вас смысл и легко запоминается. Такие пароли намного лучше паролей, состоящих из одной фразы.

Убедитесь, что на вашем компьютере нет вирусов и вредоносных программ

Если ваш компьютер заражен вирусом или вредоносным ПО, потенциальный злоумышленник может получить доступ к вашим данным для входа и сделать действительный вход на ваш сайт, минуя все меры, которые вы принимали ранее. Вот почему очень важно иметь новейшую антивирусную программу и поддерживать общую безопасность всех компьютеров, которые вы используете для доступа к своему сайту WordPress, на высоком уровне.

.