WordPress безопасность: Защита WordPress – 12 Советов, чтобы защитить ваш сайт

Советы по безопасности WordPress для дилетанта: безопасность входа в WordPress и другие методы обеспечения безопасности

С тех пор как он был впервые представлен более двух десятилетий назад, WordPress стал (и вырос) теперь безопасно называться самой популярной в мире системой управления контентом. Сегодня, более четверти существующих сайтов, запускаются на WordPress.

Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначенный для этой конкретной операционной системы.

Версии 10 WordPress с наибольшими уязвимостями (источник). Исследование, проведенное в 2017 году, выявило 74 различных версии WordPress в 1 миллион лучших веб-сайтов Alexa; 11 из этих версий недействительны — например версия 6.6.6 (источник).

Почему ваш блог WordPress является ценной целью?

В случае, если вам интересно, почему на земле хакер хотел бы контролировать ваш блог WordPress, есть несколько причин, включая:

• Используя его, чтобы тайно отправлять спам-сообщения
• Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
• Добавление вашего сайта в бот-сеть, которую они могут использовать позже

К счастью, WordPress — это платформа, которая предлагает вам множество возможностей защитить себя. Помогая самостоятельно настраивать и администрировать несколько веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить ваш сайт WordPress.

Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.

Защитите свою страницу входа в WordPress

Защита вашей страницы входа не может быть достигнута каким-либо конкретным способом, но, безусловно, есть шаги и бесплатные плагины безопасности Вы можете предпринять любые атаки, которые с меньшей вероятностью будут успешными.

Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной.

1. Выберите хорошее имя пользователя администратора

Используйте необычные имена пользователей. Ранее с WordPress вам приходилось начинать с имени пользователя-администратора по умолчанию, но это уже не так. Тем не менее, большинство новых веб-администраторов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Ты можешь использовать Admin Renamer Extended для изменения имени администратора.

Грубая форсировка страниц входа в систему — одна из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш веб-сайт почти наверняка станет не просто целью, а в конечном итоге жертвой. По опыту, большинство попыток взлома сайта пытаются войти в систему с тремя основными вариантами имени пользователя. Первые два всегда являются «admin» или «administrator», а третий обычно основан на вашем доменном имени.

Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».

Не хорошая идея.

2. Обязательно используйте надежный пароль

К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.

Всплеск данных составил список часто используемые пароли в 2018 году, Пароль по рангу с точки зрения использования.

1. 123456
2. пароль,
3. 123456789
4. 12345678
5. 12345
6. 111111
7. 1234567
8. солнечный свет
9. БУКВ
10. ILOVEYOU

Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.

Сильный пароль будет включать в себя смесь:

• Верхний и нижний заглавные символы
• Быть буквенно-цифровым (AZ и az)
• Включите специальный символ (!, @, #, $ И т. Д.).
• По крайней мере, длина символов 8

Чем более случайным является ваш пароль, тем более безопасным он будет. Попробуйте этот генератор случайных паролей, если у вас возникнут проблемы с его выходом. https://passwordsgenerator.net/

3. Внедрить reCaptchaНастенные боты от вашего блога WP.

reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.

Существуют несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.

4. Используйте двухфакторную аутентификацию (2FA)

2FA — это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.

Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.

Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.

Подписаться на WPBeginner

Если вам не нравится видео или вам нужны дополнительные инструкции, продолжайте читать.

Препарат

Мы рекомендуем сделать резервную копию базы данных WordPress, прежде чем выполнять что-либо, предложенное в этом руководстве.Важно делать ежедневные резервные копии вашего сайта, для этого мы рекомендуем плагин BackupBuddy. Следующее, что мы рекомендуем, — это перенаправить посетителей на временную страницу обслуживания.

Изменить префикс таблицы в wp-config.php

Откройте файл wp-config.php, который находится в корневом каталоге WordPress. Измените строку префикса таблицы с wp_ на что-то вроде этого wp_a123456_

Итак, строка будет выглядеть так:

 $ table_prefix = 'wp_a123456_'; 

Примечание. Вы можете изменить его только на цифры, буквы и символы подчеркивания.

Изменить имя всех таблиц базы данных

Вам необходимо получить доступ к своей базе данных (скорее всего, через phpMyAdmin), а затем изменить имена таблиц на те, которые мы указали в файле wp-config.php. Если вы используете хостинг cPanel WordPress, вы можете найти ссылку phpMyAdmin в своей cPanel. Посмотрите на изображение ниже:

Всего существует 11 таблиц WordPress по умолчанию, поэтому изменение их вручную было бы сложной задачей.

Вот почему, чтобы ускорить работу, у нас есть SQL-запрос, который вы можете использовать.

ПЕРЕИМЕНОВАТЬ таблицу `wp_commentmeta` НА` wp_a123456_commentmeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_comments` НА` wp_a123456_comments`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_links` НА` wp_a123456_links`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_options` НА` wp_a123456_options`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_postmeta` НА` wp_a123456_postmeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_posts` НА` wp_a123456_posts`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_terms` НА` wp_a123456_terms`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_termmeta` НА` wp_a123456_termmeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_term_relationships` НА` wp_a123456_term_relationships`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_term_taxonomy` НА` wp_a123456_term_taxonomy`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_usermeta` НА` wp_a123456_usermeta`;
ПЕРЕИМЕНОВАТЬ таблицу `wp_users` НА` wp_a123456_users`;
 

Возможно, вам придется добавить строки для других плагинов, которые могут добавлять свои собственные таблицы в базу данных WordPress.Идея состоит в том, что вы меняете префикс всех таблиц на тот, который вам нужен.

Таблица опций

Нам нужно найти в таблице параметров любые другие поля, использующие wp_ в качестве префикса, чтобы мы могли их заменить. Чтобы упростить процесс, используйте этот запрос:

 ВЫБРАТЬ * ИЗ `wp_a123456_options` ГДЕ` option_name` LIKE '% wp_%' 

Это вернет много результатов, и вам нужно переходить по одной, чтобы изменить эти строки.

Таблица UserMeta

Затем нам нужно найти в мете пользователя все поля, которые используют wp_ в качестве префикса, чтобы мы могли его заменить.Используйте для этого этот SQL-запрос:

 ВЫБРАТЬ * ИЗ `wp_a123456_usermeta` ГДЕ` meta_key` LIKE '% wp_%' 

Количество записей может варьироваться в зависимости от того, сколько подключаемых модулей вы используете и т. Д. Просто замените все, что имеет wp_, на новый префикс.

Резервное копирование и готово

Теперь вы готовы протестировать сайт. Если вы выполнили вышеуказанные шаги, все должно работать нормально. Теперь вы должны сделать новую резервную копию своей базы данных на всякий случай.

Безопасность | WordPress.орг

Узнайте больше о безопасности основного программного обеспечения WordPress в этом бесплатном техническом документе. Вы также можете скачать его в формате PDF.

Обзор

Этот документ представляет собой анализ и объяснение разработки основного программного обеспечения WordPress и связанных с ним процессов безопасности, а также анализ внутренней безопасности, встроенной непосредственно в программное обеспечение. Лица, принимающие решения, оценивающие WordPress как систему управления контентом или структуру веб-приложений, должны использовать этот документ в своем анализе и принятии решений, а разработчикам — обращаться к нему, чтобы ознакомиться с компонентами безопасности и передовыми методами работы программного обеспечения.

Информация в этом документе актуальна для последней стабильной версии программного обеспечения, WordPress 4.7 на момент публикации, но ее следует рассматривать также как относящуюся к самым последним версиям программного обеспечения, поскольку обратная совместимость является важным направлением для команда разработчиков WordPress. Особые меры безопасности и изменения будут отмечены, поскольку они были добавлены к основному программному обеспечению в определенных выпусках. Настоятельно рекомендуется всегда использовать последнюю стабильную версию WordPress, чтобы обеспечить максимальную безопасность.

Краткое содержание

WordPress — это динамическая система управления контентом с открытым исходным кодом, которая используется для работы миллионов веб-сайтов, веб-приложений и блогов. В настоящее время он обслуживает более 41% из 10 миллионов веб-сайтов в Интернете. Удобство использования, расширяемость и развитое сообщество разработчиков делают WordPress популярным и безопасным выбором для веб-сайтов любого размера.

С момента своего создания в 2003 году WordPress постоянно подвергался усилению, поэтому его основное программное обеспечение может устранять и смягчать распространенные угрозы безопасности, включая список 10 лучших, определенных проектом Open Web Application Security Project (OWASP) как распространенные уязвимости безопасности, которые обсуждаются в этой статье. документ.

Команда безопасности WordPress в сотрудничестве с основной группой руководства WordPress и при поддержке глобального сообщества WordPress работает над выявлением и устранением проблем безопасности в основном программном обеспечении, доступном для распространения и установки на WordPress.org, а также над рекомендациями и документацией по безопасности. рекомендации для сторонних авторов плагинов и тем.

Разработчики и администраторы сайта должны уделять особое внимание правильному использованию основных API-интерфейсов и базовой конфигурации сервера, которые были источником распространенных уязвимостей, а также обеспечению того, чтобы все пользователи использовали надежные пароли для доступа к WordPress.

Обзор WordPress

WordPress — это бесплатная система управления контентом (CMS) с открытым исходным кодом. Это наиболее широко используемое программное обеспечение CMS в мире, и оно поддерживает более 41% из 10 миллионов веб-сайтов ¹ , что составляет 62% доли рынка всех сайтов, использующих CMS.

WordPress под лицензией General Public License (GPLv2 или новее), которая предоставляет четыре основных свободы и может рассматриваться как «Билль о правах» WordPress:

1. Свобода запуска программы для любых целей.
2. Свобода изучать, как работает программа, и изменять ее, чтобы заставить делать то, что вы хотите.
3. Свобода распространения.
4. Свобода распространять копии ваших измененных версий среди других.

Основная команда лидеров WordPress

Проект WordPress — это меритократия, управляемая основной командой руководителей и возглавляемая соавтором и ведущим разработчиком Мэттом Мулленвегом. Команда управляет всеми аспектами проекта, включая разработку ядра WordPress.org и инициативы сообщества.

Основная команда лидеров состоит из Мэтта Малленвега, пяти ведущих разработчиков и более десятка основных разработчиков с постоянным доступом к фиксации. Эти разработчики имеют окончательную власть над техническими решениями и руководят обсуждениями архитектуры и усилиями по реализации.

WordPress имеет ряд разработчиков. Некоторые из них являются бывшими или нынешними коммиттерами, а некоторые, вероятно, будущими коммиттерами. Эти разработчики являются надежными и опытными участниками WordPress, которые заслужили большое уважение среди своих коллег.При необходимости в WordPress также есть гостевые коммиттеры, лица, которым предоставляется доступ к фиксации, иногда для определенного компонента, на временной или пробной основе.

Основные и участвующие разработчики в первую очередь руководят разработкой WordPress. В каждой версии сотни разработчиков вносят свой код в WordPress. Эти основные участники — добровольцы, которые тем или иным образом вносят свой вклад в основную кодовую базу.

Цикл выпуска WordPress

Каждый цикл выпуска WordPress возглавляется одним или несколькими разработчиками ядра WordPress.Цикл выпуска обычно длится около 4 месяцев с момента первоначального обсуждения до запуска версии.

Цикл выпуска следует по следующей схеме: ² :

• Этап 1: Планирование и обеспечение руководителей групп. Это делается в чате #core на Slack. Руководитель выпуска обсуждает функции для следующего выпуска WordPress. Авторы WordPress принимают участие в этом обсуждении. Руководитель выпуска определит руководителей группы по каждой из функций.
• Этап 2: Начинаются опытно-конструкторские работы. Руководители групп собирают команды и работают над назначенными им функциями. Запланированы регулярные чаты, чтобы разработка продолжалась.
• Этап 3: Бета. Выпущены бета-версии, и бета-тестерам предлагается начать сообщать об ошибках. Начиная с этого этапа больше никаких коммитов для новых улучшений или запросов функций не выполняется. Сторонним авторам плагинов и тем предлагается протестировать свой код на предмет предстоящих изменений.
• Этап 4: Релиз-кандидат.С этого момента для переводимых строк происходит замораживание строк. Работа нацелена только на регрессии и блокираторы.
• Этап 5: Запуск. Версия WordPress запущена и доступна в админке WordPress для обновлений.

Нумерация версий и выпуски безопасности

Основная версия WordPress продиктована первыми двумя последовательностями. Например, 3.5 является основным выпуском, как и 3.6, 3.7 или 4.0. Не существует «WordPress 3» или «WordPress 4», и каждый основной выпуск обозначается своей нумерацией, например.g., «WordPress 3.9.»

Основные выпуски могут добавлять новые пользовательские функции и API для разработчиков. Хотя обычно в мире программного обеспечения «основная» версия означает, что вы можете нарушить обратную совместимость, WordPress стремится никогда не нарушать обратную совместимость. Обратная совместимость — одна из важнейших философий проекта, цель которой — упростить обновление как для пользователей, так и для разработчиков.

Младшая версия WordPress продиктована третьей последовательностью. Версия 3.5.1 является второстепенным выпуском, как и 3.4.2 ³ . Незначительный выпуск зарезервирован только для исправления уязвимостей безопасности и устранения критических ошибок. Поскольку новые версии WordPress выпускаются так часто — основная цель — каждые 4-5 месяцев, а второстепенные выпуски происходят по мере необходимости — нужны только основные и второстепенные выпуски.

Версия с обратной совместимостью

Проект WordPress твердо привержен обратной совместимости. Это обязательство означает, что темы, плагины и настраиваемый код продолжают работать после обновления основного программного обеспечения WordPress, что побуждает владельцев сайтов обновлять свою версию WordPress до последней безопасной версии.

WordPress и безопасность

Команда безопасности WordPress

Команда безопасности WordPress состоит из примерно 50 экспертов, включая ведущих разработчиков и исследователей в области безопасности — около половины из них — сотрудники Automattic (создатели WordPress.com, самой ранней и крупнейшей платформы хостинга WordPress в Интернете), а некоторые работают в Интернете. поле безопасности. Команда консультируется с известными и проверенными исследователями безопасности и хостинговыми компаниями ³ .

Команда безопасности WordPress часто сотрудничает с другими группами безопасности для решения проблем в общих зависимостях, таких как устранение уязвимости в синтаксическом анализаторе PHP XML, используемом XML-RPC API, который поставляется с WordPress, в WordPress 3.9.2 ⁴ . Это устранение уязвимости стало результатом совместных усилий групп безопасности WordPress и Drupal.

Риски, процессы и история безопасности WordPress

Команда безопасности WordPress верит в ответственное раскрытие информации, немедленно предупреждая команду безопасности о любых потенциальных уязвимостях.О потенциальных уязвимостях безопасности можно сообщить команде безопасности через WordPress HackerOne ⁵ . Группа безопасности общается между собой через частный канал Slack и работает над изолированным частным Trac для отслеживания, тестирования и исправления ошибок и проблем с безопасностью.

Каждый отчет о безопасности подтверждается при получении, и группа работает над проверкой уязвимости и определением ее серьезности. В случае подтверждения группа безопасности планирует выпуск патча для устранения проблемы, который может быть привязан к предстоящему выпуску программного обеспечения WordPress или может быть выдвинут как немедленный выпуск безопасности, в зависимости от серьезности проблемы.

Для немедленного выпуска безопасности группа безопасности публикует уведомление на сайте новостей WordPress.org ⁶ с объявлением о выпуске и подробным описанием изменений. Благодарность за ответственное раскрытие уязвимости дается в рекомендации, чтобы поощрять и укреплять непрерывную ответственную отчетность в будущем.

Администраторы программного обеспечения WordPress видят уведомление на панели управления своего сайта о необходимости обновления, когда доступна новая версия, и после обновления вручную пользователи перенаправляются на экран «О WordPress», где подробно описаны изменения.Если у администраторов включено автоматическое фоновое обновление, они получат электронное письмо после завершения обновления.

Автоматические фоновые обновления для выпусков безопасности

Начиная с версии 3.7, WordPress представил автоматические фоновые обновления для всех второстепенных выпусков ⁷ , таких как 3.7.1 и 3.7.2. Команда безопасности WordPress может выявлять, исправлять и внедрять автоматические улучшения безопасности для WordPress, при этом владельцу сайта не нужно делать что-либо с их стороны, и обновление безопасности будет установлено автоматически.

Когда обновление безопасности выдвигается для текущего стабильного выпуска WordPress, основная группа также будет выдвигать обновления безопасности для всех выпусков, которые поддерживают фоновые обновления (начиная с WordPress 3.7), поэтому эти более старые, но все еще последние версии WordPress будут получать улучшения безопасности.

Владельцы отдельных сайтов могут выбрать удаление автоматических фоновых обновлений путем простого изменения файла конфигурации, но основная группа настоятельно рекомендует сохранить эту функциональность, а также запустить последнюю стабильную версию WordPress.

2013 OWASP Top 10

Open Web Application Security Project (OWASP) — это онлайн-сообщество, посвященное безопасности веб-приложений. В списке «10 лучших» OWASP ⁸ основное внимание уделяется выявлению наиболее серьезных рисков безопасности приложений для широкого круга организаций. 10 основных элементов выбираются и устанавливаются приоритеты в сочетании с согласованными оценками возможности использования, обнаруживаемости и оценки воздействия.

В следующих разделах обсуждаются API, ресурсы и политики, которые WordPress использует для защиты основного программного обеспечения, а также сторонних плагинов и тем от этих потенциальных рисков.

A1 — Впрыск

В WordPress есть набор функций и API-интерфейсов, которые помогают разработчикам исключить возможность внедрения неавторизованного кода и помогают им проверять и дезинфицировать данные. Доступны передовые методы и документация ⁹ о том, как использовать эти API-интерфейсы для защиты, проверки или дезинфекции входных и выходных данных в HTML, URL-адресах, заголовках HTTP, а также при взаимодействии с базой данных и файловой системой. Администраторы также могут дополнительно ограничить типы файлов, которые могут быть загружены с помощью фильтров.

A2 — Нарушение аутентификации и управления сеансом

Основное программное обеспечение

WordPress управляет учетными записями пользователей и аутентификацией, а такие детали, как идентификатор пользователя, имя и пароль, управляются на стороне сервера, а также файлы cookie аутентификации. Пароли в базе данных защищены стандартными методами соления и растягивания. Существующие сеансы уничтожаются при выходе из системы для версий WordPress после 4.0.

A3 — межсайтовый скриптинг (XSS)

WordPress предоставляет ряд функций, которые могут помочь обеспечить безопасность данных, вводимых пользователем. ¹⁰ .Доверенные пользователи, то есть администраторы и редакторы в одной установке WordPress, и сетевые администраторы только в WordPress Multisite, могут публиковать неотфильтрованные HTML или JavaScript по мере необходимости, например, внутри сообщения или страницы. Недоверенные пользователи и отправленный пользователями контент фильтруются по умолчанию для удаления опасных объектов с использованием библиотеки KSES с помощью функции wp_kses .

Например, основная команда WordPress заметила перед выпуском WordPress 2.3 видно, что функция the_search_query () неправильно использовалась большинством авторов тем, которые не избегали вывода функции для использования в HTML. В очень редком случае, когда обратная совместимость немного нарушалась, в WordPress 2.3 вывод функции был изменен на экранирование.

A4 — Ссылка на незащищенный прямой объект

WordPress часто предоставляет прямую ссылку на объект, например, уникальные числовые идентификаторы учетных записей пользователей или контент, доступный в URL-адресе или полях формы.Хотя эти идентификаторы раскрывают прямую системную информацию, обширная система разрешений и контроля доступа WordPress предотвращает несанкционированные запросы.

A5 — Неверная конфигурация безопасности

Большинство операций по настройке безопасности WordPress ограничено одним авторизованным администратором. Настройки по умолчанию для WordPress постоянно оцениваются на уровне основной группы, а основная группа WordPress предоставляет документацию и лучшие практики для повышения безопасности конфигурации сервера для запуска сайта WordPress ¹¹ .

A6 — Раскрытие конфиденциальных данных

Пароли учетных записей пользователей WordPress обрабатываются и хешируются на основе Portable PHP Password Hashing Framework ¹² . Система разрешений WordPress используется для управления доступом к частной информации, такой как PII зарегистрированных пользователей, адреса электронной почты комментаторов, контент, опубликованный в частном порядке, и т. Д. В WordPress 3.7 в базовое программное обеспечение был включен измеритель надежности пароля, предоставляющий дополнительную информацию для настроек пользователей. их пароли и намеки на усиление силы.WordPress также имеет необязательную настройку конфигурации для требования HTTPS.

A7 — Отсутствие контроля доступа на уровне функций

WordPress проверяет правильность авторизации и разрешений для любых запросов доступа на уровне функций до выполнения действия. Доступ или визуализация административных URL-адресов, меню и страниц без надлежащей аутентификации тесно интегрирована с системой аутентификации для предотвращения доступа неавторизованных пользователей.

A8 — Подделка межсайтовых запросов (CSRF)

WordPress использует криптографические токены, называемые одноразовыми номерами ¹³ , для проверки намерения запросов действий от авторизованных пользователей для защиты от потенциальных угроз CSRF.WordPress предоставляет API для генерации этих токенов для создания и проверки уникальных и временных токенов, и токен ограничен конкретным пользователем, определенным действием, определенным объектом и определенным периодом времени, который может быть добавлен в формы и URL-адреса по мере необходимости. Кроме того, все одноразовые номера становятся недействительными при выходе из системы.

A9 — Использование компонентов с известными уязвимостями

Основная команда WordPress внимательно следит за несколькими включенными библиотеками и фреймворками, с которыми WordPress интегрируется для обеспечения основных функций.В прошлом основная группа внесла вклад в несколько сторонних компонентов, чтобы сделать их более безопасными, например, в обновление для исправления межсайтовой уязвимости в TinyMCE в WordPress 3.5.2 ¹⁴ .

При необходимости основная группа может принять решение о разветвлении или замене критически важных внешних компонентов, например, когда библиотека SWFUpload была официально заменена библиотекой Plupload в 3.5.2, а безопасная вилка SWFUpload была предоставлена ​​группой безопасности < ¹⁵ для тех плагинов, которые продолжали использовать SWFUpload в краткосрочной перспективе.

A10 — Непроверенные перенаправления и пересылки

Внутренняя система контроля доступа и аутентификации WordPress защитит от попыток направить пользователей к нежелательным адресатам или автоматических перенаправлений. Эта функция также доступна разработчикам подключаемых модулей через API wp_safe_redirect () ¹⁶ .

Дополнительные риски и проблемы безопасности

Атаки обработки XXE (XML eXternal Entity)

При обработке XML WordPress отключает загрузку пользовательских XML-сущностей, чтобы предотвратить атаки как External Entity, так и Entity Expansion.Помимо основных функций PHP, WordPress не предоставляет дополнительных безопасных API обработки XML для авторов плагинов.

SSRF (подделка запросов на стороне сервера) Атаки

HTTP-запросов, выдаваемых WordPress, фильтруются для предотвращения доступа к закрытым и частным IP-адресам. Кроме того, доступ разрешен только к определенным стандартным портам HTTP.

Плагин WordPress и безопасность тем

Тема по умолчанию

WordPress требует, чтобы тема была включена для отображения содержимого во внешнем интерфейсе.Тема по умолчанию, которая поставляется с ядром WordPress (в настоящее время «Twenty Twenty-One»), была тщательно проверена и протестирована по соображениям безопасности как командой разработчиков тем, так и основной командой разработчиков.

Тема по умолчанию может служить отправной точкой для разработки пользовательской темы, и разработчики сайтов могут создать дочернюю тему, которая включает некоторые настройки, но возвращается к теме по умолчанию для большей функциональности и безопасности. Тема по умолчанию может быть легко удалена администратором, если в ней нет необходимости.

WordPress.org Репозитории тем и плагинов

На сайте WordPress.org представлено около 50 000+ плагинов и 5 000+ тем. Эти темы и плагины отправляются на включение и проверяются добровольцами вручную перед тем, как сделать их доступными в репозитории.

Включение плагинов и тем в репозиторий не является гарантией отсутствия в них уязвимостей. Руководства предоставлены авторам плагинов для консультации перед отправкой для включения в репозиторий ¹⁷ , а обширная документация о том, как выполнять разработку тем WordPress ¹⁸ , предоставляется на WordPress.сайт org.

Каждый плагин и тема могут постоянно разрабатываться владельцем плагина или темы, а любые последующие исправления или разработка функций могут быть загружены в репозиторий и предоставлены пользователям с установленным плагином или темой с описанием этого изменения. Администраторы сайта получают уведомления о подключаемых модулях, которые необходимо обновить, через их административную панель.

Когда группа безопасности WordPress обнаруживает уязвимость в плагине, они связываются с автором плагина и вместе работают над исправлением и выпуском безопасной версии плагина.Если от автора плагина нет ответа или если уязвимость серьезная, плагин / тема извлекается из общедоступного каталога и в некоторых случаях исправляется и обновляется непосредственно группой безопасности.

Группа проверки темы

Группа проверки темы — это группа добровольцев, возглавляемая ключевыми и авторитетными членами сообщества WordPress, которые проверяют и одобряют темы, представленные для включения в официальный каталог тем WordPress. Группа проверки темы поддерживает официальные рекомендации по обзору темы ¹⁹ , данные модульного тестирования темы ²⁰ и плагины проверки темы ²¹ , а также пытается привлечь и обучить сообщество разработчиков тем WordPress относительно передовых методов разработки.Включение в группу модерируется основными коммиттерами команды разработчиков WordPress.

Роль хостинг-провайдера в безопасности WordPress

WordPress можно установить на множество платформ. Хотя основное программное обеспечение WordPress предоставляет множество положений для работы с безопасным веб-приложением, которые были рассмотрены в этом документе, конфигурация операционной системы и базового веб-сервера, на котором размещено программное обеспечение, одинаково важны для обеспечения безопасности приложений WordPress.

Примечание о WordPress.com и безопасности WordPress

WordPress.com — крупнейшая установка WordPress в мире, принадлежит и управляется Automattic, Inc., основанной Мэттом Мулленвегом, соавтором проекта WordPress. WordPress.com работает на основном программном обеспечении WordPress и имеет собственные процессы безопасности, риски и решения ²² . Этот документ относится к безопасности автономного загружаемого программного обеспечения WordPress с открытым исходным кодом, доступного на WordPress.org и устанавливается на любой сервер в мире.

Приложение

Основные API WordPress

Интерфейс программирования основных приложений (API) WordPress состоит из нескольких отдельных API-интерфейсов ²³ , каждый из которых охватывает функции, задействованные в заданном наборе функций и использующие их. Вместе они образуют интерфейс проекта, который позволяет плагинам и темам безопасно и надежно взаимодействовать, изменять и расширять основные функции WordPress.

Хотя каждый API WordPress предоставляет передовые методы и стандартизированные способы взаимодействия с основным программным обеспечением WordPress и расширения его возможностей, следующие API WordPress являются наиболее подходящими для обеспечения и усиления безопасности WordPress:

API базы данных

API базы данных ²⁴ , добавленный в WordPress 0.71, обеспечивает правильный метод доступа к данным в виде именованных значений, которые хранятся на уровне базы данных.

API файловой системы

API файловой системы ²⁵ , добавленный в WordPress 2.6 ²⁶ , изначально был создан для функции автоматического обновления WordPress. API файловой системы абстрагирует функциональные возможности, необходимые для чтения и записи локальных файлов в файловую систему, которые должны выполняться безопасно на различных типах хостов.

Он делает это с помощью класса WP_Filesystem_Base и нескольких подклассов, которые реализуют различные способы подключения к локальной файловой системе, в зависимости от поддержки отдельного хоста. Любая тема или плагин, которым необходимо записывать файлы локально, должны делать это с использованием семейства классов WP_Filesystem.

HTTP API

HTTP API ²⁷ , добавленный в WordPress 2.7 ²⁸ и расширенный в WordPress 2.8, стандартизирует HTTP-запросы для WordPress. API обрабатывает файлы cookie, кодирование и декодирование gzip, декодирование фрагментов (если HTTP 1.1) и различные другие реализации протокола HTTP. API стандартизирует запросы, проверяет каждый метод перед отправкой и, в зависимости от конфигурации вашего сервера, использует соответствующий метод для выполнения запроса.

Разрешения и текущий пользовательский API

Разрешения и API текущего пользователя ²⁹ — это набор функций, которые помогут проверить разрешения и полномочия текущего пользователя для выполнения любой запрашиваемой задачи или операции и могут дополнительно защитить от несанкционированного доступа пользователей или выполнения функций, выходящих за рамки их разрешенных возможностей.

Содержание официального документа Лицензия

Текст в этом документе (не включая логотип или товарный знак WordPress) находится под лицензией CC0 1.0 Universal (CC0 1.0) Public Domain Dedication. Вы можете копировать, изменять, распространять и выполнять работу даже в коммерческих целях, не спрашивая разрешения.

Особое спасибо за информационный документ по безопасности Drupal , который послужил источником вдохновения.

Дополнительная литература

---

Автор Сара Россо

Взносы от Барри Абрахамсон, Майкл Адамс, Джон Кейв, Хелен Хоу-Санди, Дион Халс, Мо Джангда, Пол Майорана

Версия 1.0 марта 2015

---

Сноски

WordPress Security: как обезопасить и защитить WordPress

Безопасность хостинга веб-сайтов в последние годы выросла, и это сложная тема.

Большинство хостов обеспечивают необходимую безопасность на различных уровнях стека, но не для самого веб-сайта. Есть ряд хостинг-провайдеров, которые предлагают безопасность за дополнительную плату, но если вы не приобрели у них продукт безопасности, маловероятно, что они решат за вас компромисс.

Существует четыре основных хостинг-среды, которые можно использовать для установки WordPress:

• Общие среды хостинга
• Среды виртуального частного сервера (VPS)
• Управляемые среды хостинга
• Выделенные серверы

Теоретически среды, которые устраняют наибольшую зависимость от пользователя, будут обеспечивать наибольшую безопасность. Если у вас есть время и навыки, чтобы обезопасить свою среду, у вас есть больше возможностей, но и больше ответственности.

В действительности, однако, тип среды хостинга, которую вы выбираете, должен диктоваться вашими потребностями и опытом:

• Если вы мало понимаете, как работают веб-сайты, то в ваших интересах использовать управляемую среду.
• Если у вас есть собственный центр управления сетью (NOC), центр управления информационной безопасностью (SOC) или выделенные системные администраторы, то VPS или выделенный сервер обеспечивает лучшую изоляцию вашей среды (при условии, что он правильно настроен).

Вы также можете начать разговор со своим хостинг-провайдером, чтобы узнать, как они относятся к безопасности. Следует обратить внимание на некоторые ключевые моменты:

• Какие меры безопасности они принимают для защиты вашего веб-сайта (а не только своего сервера)?
• Какие действия они предпримут, если обнаружат вредоносное ПО на одном из ваших веб-сайтов?
• Как часто они ищут вредоносное ПО?
• Предлагают ли они услуги по реагированию на инциденты?
• Потребуется ли вам обратиться к третьему лицу, если ваш сайт будет взломан?

Соединения SFTP / SSH

Безопасная передача файлов на ваш сервер и с вашего сервера — важный аспект безопасности веб-сайта в среде вашего хостинга.Шифрование гарантирует, что любые отправленные данные защищены от посторонних глаз, которые могут прослушивать ваш сетевой трафик.

Мы рекомендуем использовать один из следующих методов для подключения к вашему серверу и обеспечения безопасности вашего WordPress:

SSH: Secure Socket Shell — это безопасный сетевой протокол и наиболее распространенный способ безопасного администрирования удаленных серверов. С Secure Socket Shell любой вид аутентификации, включая аутентификацию по паролю и передачу файлов, полностью зашифрован.

SFTP: Протокол передачи файлов SSH является расширением SSH и позволяет выполнять аутентификацию по защищенному каналу. Если вы используете FileZilla или какой-либо другой FTP-клиент, вы часто можете вместо этого выбрать SFTP. Порт по умолчанию для SFTP в большинстве служб FTP — 22.

10 советов по безопасности WordPress для обеспечения безопасности вашего сайта

Почему тема советов по безопасности WordPress? Потому что все сайты уязвимы.

Независимо от того, сколько работы вы вложили в запуск своего сайта, он всегда может оказаться в опасности, даже если вы, возможно, не сделали ничего плохого.Так работает Интернет и проводятся случайные атаки.

Но большинство угроз можно предотвратить, если вы потратите немного времени на реализацию этих 10 простых советов по безопасности WordPress:

10 советов по безопасности WordPress для защиты вашего сайта

Есть несколько вещей, которые вы должны включить в список, когда дело доходит до выполнения плановой проверки. Чтобы обезопасить себя, достаточно просматривать эти шаги примерно раз в месяц.

Мы собираемся сосредоточиться на определенных ключевых областях сайта.В некоторой степени веб-сайт похож на человеческое тело. Если определенная часть повреждена, это влияет на всю систему.

Вот что делать:

1. Регулярно обновляйте WordPress

С каждым новым выпуском WordPress улучшается, и его безопасность тоже улучшается. Каждый раз при выходе новой версии исправляется множество ошибок и уязвимостей. Кроме того, если будет обнаружена какая-либо особенно вредоносная ошибка, разработчики ядра WordPress немедленно позаботятся о ней и незамедлительно установят новую безопасную версию.Если вы не обновите, то рискуете.

Чтобы обновить WordPress, вам сначала нужно зайти в личный кабинет. Вверху страницы вы будете видеть объявление каждый раз, когда выходит новая версия. Нажмите, чтобы обновить, а затем нажмите синюю кнопку «Обновить сейчас». Это займет всего несколько секунд.

2. Обновите темы и плагины

То же самое и с плагинами и темами. Вам следует обновить текущую тему и плагины, установленные на вашем сайте. Это поможет вам избежать уязвимостей, ошибок и потенциальных точек нарушения безопасности.

Как и в случае с большинством программных продуктов, время от времени определенные плагины могут быть взломаны или в них могут быть обнаружены дыры в безопасности. Например, в прошлом такие плагины, как Ninja Forms и WooCommerce, сталкивались с довольно неприятными проблемами.

Итак, как обновить темы и плагины?

Начнем с плагинов. Перейдите в Плагины / Установленные плагины ; появится список всех ваших плагинов. Если у определенного плагина не последняя версия, WordPress сообщит вам:

Например, у меня есть две старые версии плагинов, поэтому все, что мне нужно сделать, это щелкнуть «обновить сейчас» под каждой из них, и они будут готовы через несколько секунд.

Чтобы обновить тему, перейдите в раздел «Внешний вид / Темы », и вы увидите все установленные вами темы. Устаревшие будут отмечены так же, как и плагины. Просто нажмите «Обновить сейчас».

Помимо обновления каждого плагина и темы, не забудьте также удалить плагины и темы, которые вы в данный момент не используете . Это просто лишний вес. Считайте это бонусом среди советов по безопасности WordPress.

3.Регулярно создавайте резервные копии своего сайта

Резервное копирование вашего сайта — это создание копии всех данных сайта и их безопасное хранение. Таким образом, вы сможете восстановить сайт из этой резервной копии в случае, если что-то случится.

Для резервного копирования вашего сайта вам понадобится плагин. Здесь есть много хороших решений для резервного копирования. Например, Jetpack теперь имеет несколько встроенных функций резервного копирования по доступной цене 3,50 доллара в месяц. Для этого вы получаете ежедневные резервные копии, восстановление одним щелчком, фильтрацию спама и 30-дневный архив резервных копий.

Существует также бесплатная альтернатива UpdraftPlus.

Вот еще несколько советов и инструкций по резервному копированию вашего сайта WordPress.

4. Ограничьте количество попыток входа в систему и почаще меняйте пароль

Не позволяйте вашей форме входа в систему допускать неограниченное количество попыток ввода имени пользователя и пароля, потому что это именно то, что помогает хакеру добиться успеха. Если вы позволите им попробовать бесконечное количество раз, они в конечном итоге обнаружат ваши данные для входа. Ограничение доступных попыток — это первое, что вы должны сделать, чтобы этого избежать.

Вы можете использовать определенные специализированные плагины для ограничения возможных попыток входа в систему. Есть два очень популярных решения, например, оба бесплатные:

Кроме того, часто меняя пароли, еще больше снижает шансы любого хакера взломать ваш сайт. Хотя, говоря «часто», я не имею в виду каждый день… одного раза в 2-3 месяца будет достаточно. Разнообразие убивает удовольствие тех, кто пытается проникнуть внутрь.

Советы по безопасности WordPress Примечание: LastPass — это хороший инструмент, который безопасно хранит ваши пароли, а также генерирует надежные пароли, поэтому вам не нужно придумывать их самостоятельно.

5. Установите межсетевой экран

Еще один из наших советов по безопасности WordPress касается брандмауэров.

На вашем компьютере

Брандмауэры

обычно защищают ваш компьютер от различных сетевых угроз. Таким образом, каждая странная вещь, которая пытается установить с вами связь, будет подвергнута сомнению и будет удалена, если она окажется подозрительной.

По сути, это не имеет ничего общего с вашим сайтом WordPress, по крайней мере, у него нет прямого подключения, но установка брандмауэра на ваш компьютер все же стоит усилий по одной важной причине:

• Вы используете свой компьютер для подключения к админке вашего сайта.Таким образом, если ваш компьютер был скомпрометирован, ваше соединение с веб-сайтом также может оказаться под угрозой.

Пара инструментов для этой цели: Norton Internet Security, Comodo или ZoneAlarm. Последний бесплатный.

На вашем сайте WordPress

Помимо установки брандмауэра на компьютер, вы также можете установить инструменты безопасности прямо на свой веб-сайт WordPress. Этот тип межсетевого экрана защищает ваш сайт от вирусов, вредоносных программ, хакерских атак и т. Д.

Sucuri отлично справляется с этой задачей, и это одна из лучших служб безопасности для WordPress.Он делает все понемногу.

Существуют также бесплатные решения для межсетевых экранов, например:

6. Ограничьте доступ пользователей к вашему сайту

Если вы не единственный пользователь, имеющий доступ к вашему сайту, будьте осторожны и при создании новых учетных записей. Вы должны держать все под контролем и попытаться ограничить доступ любого типа для пользователей, которым он не обязательно нужен.

Если у вас много пользователей, вы можете ограничить их функции и разрешения. У них должен быть доступ только к тем функциям, которые необходимы им для выполнения своей работы.

Force Strong Passwords также может помочь вам в решении этой проблемы. По умолчанию WordPress рекомендует надежный пароль, но не заставит вас сменить его, если вы выберете слабый. Этот плагин не позволит вам продолжить, если ваш пароль не будет достаточно надежным. Это может быть хорошим решением для всех, кто входит в ваш админ. По сути, это ваш единственный способ убедиться, что они используют надежные пароли, как и вы.

7. Переименуйте URL-адрес для входа в

По умолчанию URL-адрес, который вы используете для входа в личную панель, — это wp-login.php или wp-admin , добавленный после основного URL вашего сайта. Например, YOURSITE.com/wp-login.php

И угадайте, эти два URL-адреса также являются наиболее доступными для хакеров, которые хотят проникнуть в вашу базу данных. Если вы измените этот URL-адрес, вы уменьшите вероятность возникновения проблем. Хакерам сложнее угадать пользовательский URL-адрес для входа.

Подключаемый модуль iThemes Security делает этот трюк. Например, ваш URL-адрес для входа может превратиться в что-то вроде ВАШ САЙТ.ru / I_love_my_site . Это один из тех советов по безопасности WordPress, который очень просто выполнить.

8. Включение сканирования безопасности

Сканирование безопасности — это то, что выполняется специализированным программным обеспечением / плагинами, которые просматривают весь ваш веб-сайт в поисках чего-либо подозрительного. Если что-то найдено, оно немедленно удаляется. Эти сканеры работают как антивирусы.

В качестве простого и доступного решения вы можете использовать вышеупомянутый плагин Jetpack. Помимо функций резервного копирования, он также имеет ежедневное сканирование на наличие вредоносных программ и угроз с ручным разрешением (этот план составляет 9 долларов в месяц).В качестве альтернативы вы также можете использовать CodeGuard или Sucuri SiteCheck.

9. Используйте SSL

SSL (Secure Socket Layer) — отличная стратегия, с помощью которой вы можете зашифровать свои данные администратора. SSL обеспечивает безопасность передачи данных между браузером пользователя и сервером. Есть два способа получить сертификат SSL:

• a) Купите его у сторонней компании, например RapidSSL.
• b) Спросите у своего хостинг-провайдера. Иногда это входит в состав некоторых планов хостинга.В зависимости от вашего хоста вы можете получить его без дополнительных затрат.

Например, хостинг Pagely поставляется с бесплатным SSL на всех планах.

Бонус: если вы используете шифрование SSL, вы не только защитите свой сайт, но и получите более высокий рейтинг в рейтинге Google. Google отдает предпочтение сайтам, использующим SSL. Итак, теперь у вас есть две причины применить этот конкретный из наших советов по безопасности WordPress.

10. Защитите файл

wp-config.php

Файл wp-config.php — один из самых важных и, следовательно, уязвимых файлов на вашем сайте. Он содержит важную информацию и данные обо всей вашей установке WordPress. Технически это ядро ​​вашего сайта WordPress. Если с этим случится что-то плохое, вы не сможете нормально пользоваться своим блогом.

Одна простая вещь, которую вы можете сделать, — это взять файл wp-config.php и просто переместить его на один шаг выше корневого каталога WordPress. Этот шаг никак не повлияет на ваш сайт WordPress, но хакеры больше не смогут его найти.

Хорошо, на этом список подводится! Достаточно ли защищен ваш сайт? Вам нужна помощь в отношении этих советов по безопасности WordPress?

Если вы хотите узнать больше о безопасности WordPress, эта электронная книга содержит простой контрольный список, который поможет вам сохранить свой сайт в безопасности.

Бесплатный гид

5 основных советов по ускорению работы вашего сайта на WordPress

Сократите время загрузки даже на 50-80%

, просто следуя простым советам.

Security — Поддержка — WordPress.com

Безопасность вашего сайта и ваших личных данных всегда является приоритетом. На этой странице описывается, что мы делаем, чтобы защитить ваш сайт и ваши личные данные, а также дополнительные шаги, которые мы рекомендуем вам предпринять, чтобы сделать то же самое.

Содержание

Как мы защищаем ваш сайт и ваши данные
Шифрование, по умолчанию
Межсетевые экраны
Мониторинг подозрительной активности
Тестирование безопасности
Резервное копирование и восстановление данных
Наша группа безопасности

Как вы можете защитить свой сайт и свои данные
Сохраните свои Секреты Секреты
Выберите надежный пароль
Выйдите из своей учетной записи
Управление доступом к сайту
Двухэтапная аутентификация

Выбор надежного пароля
Традиционные пароли больше не безопасны
Выберите современный метод
Лучший метод: Менеджер паролей
Хороший метод : Парольные фразы
Дополнительные советы для обоих методов паролей

---

Как мы защищаем ваш сайт и ваши данные

Шифрование, по умолчанию

Надежное шифрование критически важно для обеспечения вашей конфиденциальности и безопасности.Мы шифруем (обслуживаем через SSL) все сайты WordPress.com, включая пользовательские домены, размещенные на WordPress.com. Мы считаем надежное шифрование настолько важным, что не предлагаем возможность его отключения, которое может поставить под угрозу безопасность вашего сайта WordPress.com. Мы также 301 перенаправляем все небезопасные HTTP-запросы на безопасную версию HTTPS. Узнайте больше о HTTPS и SSL для вашего сайта.

Мы автоматически устанавливаем SSL-сертификат для вашего сайта. Очень редко конкретная конфигурация сайта препятствует правильной работе SSL-сертификата.Если возникла проблема с вашим сертификатом SSL, свяжитесь с нами.

↑ Содержание ↑

Межсетевые экраны

Мы используем брандмауэры и процессы, предупреждающие нас о попытках несанкционированного доступа к учетным записям WordPress.com.

↑ Содержание ↑

Мониторинг подозрительной активности

Мы постоянно отслеживаем веб-трафик и отслеживаем подозрительную активность. У нас также есть меры безопасности для защиты от распределенных атак типа «отказ в обслуживании» (DDoS).

↑ Содержание ↑

Тестирование безопасности

Мы регулярно проверяем безопасность наших сервисов и ищем потенциальные уязвимости. Мы также реализуем программу вознаграждения за ошибки через HackerOne, чтобы вознаграждать людей, обнаруживших ошибки, и помогать нам повышать безопасность наших услуг.

Имейте в виду, что если вы хотите попробовать наши меры безопасности на своем собственном сайте WordPress.com, мы не допускаем внесения в белый список. Вы можете протестировать все, что захотите, но поскольку наша система не может гарантировать, что вы не являетесь вредоносным по своей природе, ваш IP-адрес может быть временно заблокирован.

↑ Содержание ↑

Резервное копирование и восстановление данных

Наши системы регулярно выполняют резервное копирование данных вашего сайта WordPress.com, поэтому в случае события, которое приводит к потере данных (например, сбой источника питания или стихийное бедствие), мы можем восстановить их.

↑ Содержание ↑

Наша служба безопасности

У нас есть специальная группа безопасности, которая заботится о защите ваших данных. Они работают напрямую с нашими продуктовыми группами, чтобы устранить потенциальные риски безопасности и сохранить нашу твердую приверженность обеспечению безопасности ваших данных.

Ни один способ передачи данных через Интернет и ни один метод электронного хранения не является абсолютно безопасным. Мы не можем гарантировать абсолютную безопасность вашего сайта или аккаунта — никто не может. Но обеспечение надежной защиты вашего сайта и личных данных очень, очень, очень важно для нас.

---

Как защитить свой сайт и данные

Есть также несколько способов защитить свои данные (читайте дальше!).

↑ Содержание ↑

Храните свои секреты в секрете

Самым слабым звеном в безопасности всего, что вы делаете в сети, является ваш пароль.Это ключ к вашему блогу, электронной почте, учетным записям в социальных сетях или любой другой онлайн-службе, которую вы используете. Если ваш пароль легко угадать, ваша личность в сети уязвима.

Все, что нужно, — это один человек, чтобы угадать ваш пароль, и он сможет удалить каждое ваше сообщение. Они могут испортить ваш сайт. Они могут прочитать ваши электронные письма или украсть ваш адрес и выдать себя за вас. Они могут испортить то, на что вы потратили время.

↑ Содержание ↑

Выберите надежный пароль

Каждый пароль, который вы используете, должен быть легко запоминающимся и трудным для угадывания.Из-за случайного набора цифр и символов пароль трудно угадать, но его также сложно запомнить. С другой стороны, вы, вероятно, никогда не забудете дату своего рождения или имя своего первого питомца, но это делает пароли очень плохими, поскольку их все легче угадать или узнать.

На WordPress.com вы можете использовать очень длинный пароль с любой комбинацией букв, цифр и специальных символов, поэтому безопасность вашего пароля — и, соответственно, вашего блога — действительно зависит от вас.Мы собрали несколько советов по созданию надежных паролей.

↑ Содержание ↑

Выйти из своей учетной записи

Вы можете защитить свою учетную запись, выйдя из системы после завершения работы. Это особенно важно, когда вы работаете на общем или общедоступном компьютере. Если вы не выйдете из системы, кто-то сможет получить доступ к вашей учетной записи, просто просмотрев историю браузера и вернувшись на панель управления WordPress.com.

Вы можете защитить свою учетную запись, выйдя из системы после завершения работы.

Чтобы выйти из учетной записи WordPress.com, щелкните свой Gravatar в правом верхнем углу. Затем под Gravatar нажмите Log Out .

↑ Содержание ↑

Контроль доступа к сайту

WordPress.com предоставляет многофункциональную многопользовательскую платформу. Хотя у каждого сайта только один владелец, у вас может быть столько пользователей, сколько вы хотите — это идеально подходит для групповых блогов с несколькими авторами, для сайтов в стиле журналов с редакционным рабочим процессом или для любого другого большого сайта, на котором вы хотите поделиться некоторыми административной нагрузки.

Однако разделение нагрузки также означает разделение ответственности. Вот почему на WordPress.com вы можете установить разные роли для каждого пользователя, которого вы добавляете на свой сайт. Роли определяют уровень доступа пользователя.

• Участник: самая ограниченная роль, может писать только черновики сообщений, но не может их публиковать.
• Автор: может публиковать сообщения и загружать изображения, но не может касаться сообщений других пользователей.
• Редакторы: может не только редактировать или публиковать любые сообщения пользователей, но и модерировать комментарии и управлять категориями и тегами.
• Администраторы : имеют полный контроль над сайтом — они даже могут его удалить.

При добавлении пользователей постарайтесь найти роль, которая лучше всего описывает то, что вы хотите, чтобы они делали на своем сайте. Если вы настраиваете учетную запись для пользователя, который планирует опубликовать только несколько сообщений, сделайте его участником. Зарезервируйте роли автора и редактора для доверенных пользователей, которые имеют долгосрочные обязательства перед вашим сайтом.

Наконец, будьте особенно скупы с ролью администратора.Когда вы назначаете другого пользователя администратором своего сайта, вы буквально создаете отдельный набор ключей для своего сайта и передаете их кому-то другому. Они не только смогут взять ваш сайт на прогулку, но и наличие лишнего набора ключей значительно увеличивает риск взлома вашего сайта.

На самом деле, мы предлагаем вам полностью избегать роли администратора. Почти во всех случаях роль редактора была бы лучшим выбором.

Подробнее об этом читайте на страницах поддержки для добавления пользователей и ролей пользователей.

↑ Содержание ↑

Двухэтапная аутентификация

С двухэтапной аутентификацией вы можете использовать любое мобильное устройство с iOS, Android, Blackberry или SMS в качестве уникального ключа для своего блога. После того, как вы подпишетесь на сервис, вам нужно будет вводить специально сгенерированный одноразовый код всякий раз, когда вы пытаетесь войти в свой блог. Это означает, что даже если кто-то получит ваш пароль, он не сможет войти в систему, не завладев вашим мобильным устройством.

Вы можете узнать больше об этой услуге на странице поддержки двухэтапной аутентификации.

---

Выбор надежного пароля

Самым слабым местом в системе безопасности ваших учетных записей в Интернете обычно является ваш пароль. В WordPress.com мы делаем все возможное, чтобы ваш контент был безопасным, защищенным и не был доступен никому, кроме вас.

Но если кто-то еще может угадать или восстановить ваш пароль, он обойдет почти все меры безопасности, которые у нас есть, потому что WordPress.com будет видеть этого человека как вас. Затем они могут внести любые изменения в ваш WordPress.com в блоге или учетной записи, включая удаление вашего контента.

Чтобы избежать этого сценария, это руководство поможет вам создать надежные пароли, которые трудно угадать или взломать. Прочтите следующие советы и дважды проверьте свой пароль. Если вы считаете, что ваш пароль недостаточно безопасен, мы настоятельно рекомендуем вам изменить его.

↑ Содержание ↑

Традиционные пароли больше не безопасны

Техники взлома паролей быстро и значительно развились за последние несколько десятилетий, но то, как мы создаем пароли, отстает.В результате самый распространенный совет о создании надежного пароля, который вы услышите сегодня, очень устарел и непрактичен.

Пароль, созданный с помощью этого совета, например, jal43 # Koo% a , , очень легко взломать на компьютере и очень трудно запомнить и набрать человеку.

Последние и наиболее эффективные типы парольных атак могут пытаться до 350 миллиардов попыток угадывать в секунду , и это число, несомненно, значительно увеличится в течение следующих нескольких лет.

Создание надежного пароля сегодня требует современных методов, и мы покажем вам два из них в следующем разделе.

↑ Содержание ↑

Выберите современный метод

Существует множество различных подходов к созданию надежного пароля, но лучше всего подходят менеджеры паролей и парольные фразы. Выберите тот, который вам подходит, а затем прочтите соответствующий раздел в этой статье, чтобы узнать, как начать работу.

↑ Содержание ↑

Лучший способ: Менеджер паролей

Менеджер паролей — это программное приложение на вашем компьютере или мобильном устройстве, которое генерирует очень надежные пароли и сохраняет их в защищенной базе данных.Вы используете одну кодовую фразу для доступа к базе данных, а затем менеджер автоматически вводит ваше имя пользователя и пароль в форму входа на веб-сайт для вас. Если вам нужно запомнить только один пароль, вы можете сделать его произвольным и сложным для подбора.

Вам больше не придется беспокоиться о выборе надежного пароля, его запоминании или повторном вводе. Это самый простой и безопасный метод, доступный на сегодняшний день, и мы настоятельно рекомендуем вам его использовать.

Как использовать менеджер паролей

Существует множество различных приложений-менеджеров на выбор, поэтому вам нужно выбрать, какое из них вы хотите использовать, а затем установить его на свой компьютер.Это общие шаги, но вы можете проверить документацию для вашего конкретного приложения для получения более подробной информации.

1. Выберите менеджер паролей. Вот некоторые популярные:
   • 1Password (с закрытым исходным кодом, коммерческий)
   • LastPass (с закрытым исходным кодом, бесплатный / коммерческий)
   • Dashlane (с закрытым исходным кодом, бесплатно / коммерческий)
   • KeePass (открытый исходный код, бесплатно)
   • RoboForm (закрытый, коммерческий).
   • Вы можете найти еще больше вариантов, используя свою любимую поисковую систему.
2. Установите его на свой компьютер.
3. Установите любые расширения или плагины для используемых вами веб-браузеров.
4. Создайте надежный мастер-пароль, чтобы открыть базу данных паролей. См. Раздел Как создать парольную фразу этого документа, чтобы узнать, как это сделать.
5. (дополнительно) Запишите главный пароль и храните его в надежном месте, например, в сейфе или запертом сейфе. Важно иметь резервную копию на случай, если вы когда-нибудь забудете мастер-пароль.
6. (необязательно) Поделитесь своей базой паролей на нескольких устройствах с помощью встроенных инструментов приложения или через такую ​​службу, как SpiderOak. Если вы используете внешнюю службу, убедитесь, что у вас есть надежный пароль, и включите двухфакторную аутентификацию для учетной записи (если возможно).

Теперь, когда у вас настроен менеджер паролей, вы можете начать с его помощью создавать надежные пароли. Найдите встроенный у менеджера инструмент для создания паролей и настройте его так, чтобы он создавал 30–50 случайных символов со смесью прописных и строчных букв, цифр и символов.

Вы хотите получить что-то вроде этого: N9}> K! A8 $ 6a23jk% sdf23) 4Q [uRa ~ ds {234] sa + f423 @ .

Это может показаться устрашающим, но имейте в виду, что вам никогда не придется запоминать это или вводить; ваш менеджер паролей сделает это за вас автоматически.

↑ Содержание ↑

Хороший метод: парольные фразы

Парольная фраза похожа на пароль, за исключением того, что она основана на случайном наборе слов, а не на одном.Например, копий указывают на яркую ловушку .

Поскольку длина пароля является одним из основных факторов его надежности, парольные фразы намного безопаснее традиционных паролей. В то же время их намного легче запоминать и печатать.

Они не так надежны, как пароли, генерируемые менеджерами паролей, но они все же хороший вариант, если вы не хотите использовать менеджер паролей. Они также являются лучшим способом сгенерировать мастер-пароль для менеджера паролей или учетной записи вашей операционной системы, поскольку они не могут быть автоматически заполнены менеджером паролей.

Как создать парольную фразу

Создание ключевой фразы следует правилам, аналогичным правилам создания традиционного пароля, но это не обязательно должно быть таким сложным, потому что длина фразы обеспечит достаточную безопасность, чтобы перевесить простоту.

1. Выберите 4 случайных слова. Вы можете использовать генератор парольных фраз xkcd, если хотите, но лучше, если вы придумаете свой собственный.
2. Добавьте пробелы между словами, если хотите.

На этом этапе у вас должно получиться что-то вроде: копия указывает на яркую ловушку

Вы можете остановиться на этом, если хотите, или можете добавить немного силы, выполнив следующие действия:

1. Сделайте несколько букв заглавными.
2. Добавьте несколько цифр и символов.

После применения этих правил это будет выглядеть примерно так: Копия указывает 48 Ловушка (#) яркая

Чего следует избегать:

• Не размещайте слова в предсказуемом шаблоне или не составляйте правильное предложение; так было бы намного легче угадать.
• Не используйте текстов песен, цитаты или что-либо еще, что было опубликовано . У злоумышленников есть огромные базы данных опубликованных работ, из которых можно построить возможные пароли.
• Не используйте личную информацию . Даже в сочетании с буквами и цифрами кто-то, кто знает вас или может исследовать вас в Интернете, может легко угадать пароль с этой информацией.

↑ Содержание ↑

Дополнительные советы для обоих методов паролей

Помимо учетной записи на WordPress.com, при составлении паролей следует помнить и о других вещах, которые помогут защитить вашу информацию.

• Не используйте один и тот же пароль дважды. Многие популярные веб-сайты не могут должным образом защитить ваш пароль в своих системах, и хакеры регулярно взламывают их и получают доступ к сотням миллионов учетных записей. Если вы повторно используете пароли с сайта на сайт, то кто-то, взломавший один сайт, сможет войти в вашу учетную запись на других сайтах. По крайней мере, убедитесь, что у вас есть уникальные пароли для всех сайтов, на которых хранятся финансовые или другие конфиденциальные данные, или те, которые могут быть использованы для нанесения ущерба вашей репутации.
• Убедитесь, что ваш пароль электронной почты также надежен. Во многих онлайн-сервисах, таких как WordPress.com, ваш адрес электронной почты служит вашим идентификатором. Если злоумышленник получит доступ к вашей электронной почте, он может легко сбросить ваши пароли и войти в вашу учетную запись.
• Не сообщайте свои пароли. Даже если вы доверяете этому человеку, злоумышленник может перехватить или подслушать передачу или взломать компьютер этого человека. Если вы подозреваете, что кто-то знает ваш пароль, вам следует немедленно его изменить.
• Не отправляйте никому свой пароль по электронной почте. Электронные письма редко зашифровываются, поэтому злоумышленники относительно легко их читают. Сотрудники WordPress.com никогда не спросят ваш пароль. Если вам необходимо поделиться паролем, используйте безопасный метод передачи, например pwpush.com, и установите срок действия ссылки после первого просмотра.
• Не сохраняйте пароли в веб-браузере. Они часто не могут безопасно хранить пароли, поэтому используйте вместо этого менеджер паролей. См. Раздел о менеджерах паролей выше для получения дополнительной информации.
• Не сохраняйте пароли и не используйте функцию «Запомнить меня» на общедоступном компьютере . Если вы это сделаете, то следующий человек, который будет использовать компьютер, сможет получить доступ к вашей учетной записи. Также не забудьте выйти из системы или закрыть браузер, когда закончите.
• Не записывайте свой пароль. Если он где-то записан и кто-то может его найти, это небезопасно. Вместо этого храните пароли в диспетчере паролей, чтобы они были зашифрованы. См. Раздел о менеджерах паролей выше для получения дополнительной информации. Исключением из этого правила является безопасное хранение невосстановимых паролей (таких как главный пароль диспетчера паролей или ваша учетная запись операционной системы). Один из хороших способов обезопасить их — хранить их в сейфе или запереть в сейфе.
• Не меняйте пароли, если не подозреваете, что они были взломаны. Если у вас есть тип надежного пароля, рекомендованный в этой статье, частая его смена не приведет к снижению риска его взлома.Поскольку их изменение может быть обременительным, у людей часто возникает соблазн применить плохие методы, чтобы упростить процесс, что увеличивает их уязвимость для атак. Однако, если вы подозреваете, что кто-то получил доступ к вашей учетной записи, всегда полезно изменить пароль.

Полное руководство по безопасности WordPress в 2020 году

Это руководство по безопасности WordPress дает два преимущества:

• Узнайте, что именно вам нужно знать о безопасности WordPress в 2020 году.
  Понимание безопасности WordPress поможет вам выработать ориентированный на безопасность образ мышления, который поможет вам предотвращать и снижать риски при принятии повседневных решений.
• Получите действенные пошаговые инструкции по обеспечению безопасности вашего сайта WordPress.
  Действия, которые вам необходимо предпринять, не отнимают много времени и не требуют передовых технических знаний, а связанные руководства проверены на ясность и полноту.

Конечно, невозможно охватить все возможные уязвимости и сценарии.Вот почему мы также включаем всеобъемлющие «принципы безопасности WordPress». Если вы сможете следовать этим общим принципам, многие из мельчайших деталей, которые трудно описать в сообщениях такого типа, позаботятся сами о себе.

Почему безопасность WordPress критична?

Важно понимать, насколько серьезна проблема безопасности WordPress, чтобы уделять ей время и внимание, которых она заслуживает. Вот некоторые отрезвляющие статистические данные:

Хотя эта статистика рисует устрашающую картину того, с чем вы боретесь, важно, чтобы вы столкнулись с реалиями управления сайтом WordPress в 2020 году.

Если ваш бизнес полагается на WordPress, безопасность — это не то, что вы можете позволить себе игнорировать. Если вы не предприняли никаких действий для защиты своего сайта, вы уязвимы для атак. Взлом вашего сайта может быть лишь вопросом времени. Это та область, где «унция профилактики стоит фунта лечения».

Принципы безопасности WordPress

Защита WordPress — это больше, чем просто отметка из списка, она требует, чтобы вы приняли ориентированный на безопасность образ мышления, которым руководствуетесь при принятии решений.Эти принципы помогут вам предотвратить ошибки при принятии повседневных решений, таких как добавление новых пользователей, плагинов и тем WordPress:

Уязвимости часто вводятся пользователями WordPress.

Ванильный WordPress, который постоянно обновляется и использует надежные пароли, относительно безопасен. Часто решения, принимаемые пользователями WordPress, создают уязвимости, которыми пользуются хакеры. Вот почему такие статьи так важны. Вы должны быть осведомлены о лучших практиках безопасности WordPress, изложенных здесь, и постоянно следовать им.

Сверните плагины и темы.

Новые пользователи WordPress часто бывают в восторге от обширной экосистемы плагинов и тем, доступных для WordPress. Это может привести к неизбирательной установке плагинов. Но каждый новый плагин или тема добавляет на ваш сайт код, который потенциально добавляет новые уязвимости. Сводя к минимуму количество установленных плагинов и тем, вы также сводите к минимуму объем кода, который использует ваш сайт, и, соответственно, количество потенциальных уязвимостей безопасности. В общем, если вы можете решить проблему, не устанавливая плагин, это лучший вариант.

Установите обновления как можно скорее.

Обновления ядра WordPress и обновления плагинов и тем часто содержат критические обновления безопасности. Их следует установить как можно быстрее. Если у вас есть хорошая стратегия резервного копирования, вы можете вернуться к предыдущей версии, если обновление вызовет проблемы.

Следуйте принципу наименьших привилегий.

Это основной принцип кибербезопасности в целом, и он присущ не только WordPress. Это причудливый способ сказать: «Не давайте пользователю больше привилегий, чем ему нужно, потому что эти дополнительные привилегии дают хакерам больше возможностей и доступа, чем они были бы в противном случае, если бы они взломали эту учетную запись.

Атаки все еще возможны.

Вы можете изо всех сил стараться охватить все базы и все равно стать жертвой атаки. Вот почему так важно регулярное автоматическое резервное копирование. Не игнорируйте этот совет. Взломанный сайт может вызвать сбой, но, как правило, его можно исправить с минимальными затратами и нарушениями, взломанный сайт без резервной копии, на которую можно было бы выполнить откат, может серьезно подорвать работу.

С безопасностью никогда не покончить.

Создать 100% безопасный сайт WordPress — невыполнимая задача.Вы не можете полностью исключить риск, поэтому вместо этого стремитесь к постоянному снижению риска. Этот образ мышления «снижение риска» побуждает вас продолжать предпринимать шаги по повышению вашей безопасности в рамках постоянной, нескончаемой инициативы.

Наиболее распространенные векторы атак WordPress

Понимание наиболее распространенных методов, которые хакеры используют для использования WordPress, поможет вам понять, как с ними бороться и почему необходимы шаги, рекомендованные далее в этой статье:

Brute Force Attack

A киберпреступник использует метод проб и ошибок для определения пароля или PIN-кода.Они используют комбинации общих имен пользователей и паролей, пока не найдут правильный. Это все равно, что пробовать каждую клавишу на связке ключей, чтобы найти ту, которая работает. Все это делается с помощью компьютерного сценария, поэтому они могут запускать тысячи комбинаций с минимальными усилиями. По прошествии некоторого времени любую учетную запись можно взломать, но надежные пароли предотвращают такую ​​атаку.

Внедрение SQL

Вредоносный код SQL внедряется в базу данных, чтобы получить доступ к информации базы данных, которая никогда не предназначалась для отображения.В зависимости от целей хакеров это может привести к удалению вашей базы данных, краже информации о клиентах или доступу к конфиденциальной информации компании.

Вредоносное ПО

Вирус или шпионское ПО вставлено с помощью темы или подключаемого модуля с истекшим сроком действия. Злоумышленник может получить доступ к вашим данным, вставить страницы на ваш сайт для черного SEO и выполнить ряд других гнусных действий, используя ваш сайт.

Межсайтовый скриптинг

Вставляется код Javascript, который затем собирает данные, обычно используемые для использования плагинов WordPress.Это можно использовать для перенаправления посетителей вашего сайта на вредоносный контент. также известна как «XSS-атака».

DDoS-атака

Распределенная атака типа «отказ в обслуживании» (DDoS) наводняет веб-сайт трафиком, который перегружает ресурсы сервера, вызывая его сбой. Несколько машин отправляют частые запросы на сервер, используя для этой цели вредоносное ПО, установленное на этих машинах. Распределенный характер атаки может затруднить выявление и блокировку источников трафика.

Теперь, когда вы понимаете, как хакеры будут пытаться взломать ваш сайт, давайте посмотрим, как мы можем заблокировать и предотвратить эти атаки…

Шаги по защите вашего сайта WordPress

Несмотря на множество способов взлома вашего сайта, можно уменьшить эти риски и предотвратить множество атак.Вот список рекомендуемых шагов для защиты вашего сайта WordPress от атак безопасности:

1. Принудительное использование надежных паролей

«81% атак основаны на небезопасных или украденных паролях»

«Взлом строчной буквы занимает всего около 10 минут. пароль длиной 6 символов ».

Эти два факта, взятые вместе, говорят о том, что вы должны использовать надежные пароли для всех пользователей WordPress. Надежные пароли имеют длину и используют комбинацию букв верхнего и нижнего регистра, цифр и символов.Чем длиннее, тем лучше, но 20 символов, вероятно, вполне достаточно.

Надежные пароли сложно запомнить, особенно если вы используете уникальные пароли для каждого сайта (а должны быть!). Это означает, что менеджер паролей, такой как LastPass или Dashlane, является важным инструментом. Эти приложения позволяют легко создавать надежные пароли, хранить их в одном месте и упрощают вход на ваши веб-сайты за счет автозаполнения паролей.

Вот как убедиться, что все ваши пользователи WordPress используют надежные пароли.

2. Включите автоматические обновления ядра WordPress

Одним из преимуществ использования популярной CMS, такой как WordPress, является то, что многие люди заинтересованы в ее безопасности. Тысячи людей вносят свой вклад в безопасность WordPress, сообщая об уязвимостях команде WordPress. Такое широкое сотрудничество означает, что большинство дыр устраняются относительно быстро. Но если обновления, содержащие эти исправления, не применяются, вы оставляете свой сайт уязвимым для атак.

Лучший способ обеспечить быстрое обновление ядра WordPress — это включить автоматические обновления.Таким образом, ваш сайт WordPress будет обновляться без каких-либо дополнительных действий.

Вот как включить автоматические обновления ядра, изменив файл config.php.

3. Будьте в курсе обновлений плагинов и тем

Вы обязательно должны поддерживать свои плагины и темы в актуальном состоянии. Важность этого невозможно переоценить.

Также будьте осторожны при использовании плагинов и тем, которые часто обновляются. Если вы используете плагин или тему, которые не обновлялись в течение нескольких месяцев, рекомендуется связаться с разработчиком или найти более часто обновляемый плагин, который выполняет ту же задачу.

Когда вы ищете плагин в базе данных плагинов WordPress, эта информация отображается на боковой панели:

4. Использование двухфакторной аутентификации (2FA)

Двухфакторная аутентификация добавляет уровень защиты вашему WordPress site, сделав практически невозможным для хакеров войти на ваш сайт, даже если они знают ваше имя пользователя и пароль.

Вы должны настроить 2FA для всех пользователей WordPress. 2FA можно быстро настроить с помощью простых бесплатных плагинов.

Вот список доступных плагинов 2FA для WordPress.

5. Защита от грубой силы

Даже при использовании двухфакторной аутентификации и надежных паролей полезно настроить защиту от перебора, чтобы повысить общую производительность сервера за счет сокращения объема работы, которую должен выполнять PHP.

Вот как защитить ваш сайт от атак методом грубой силы.

6. Создание автоматических резервных копий по расписанию

В случае возникновения проблем всегда должны быть доступны последние резервные копии баз данных и файлов.Вы также должны создать резервную копию, прежде чем вносить какие-либо серьезные изменения на свой сайт, такие как установка обновлений плагинов и тем. Многие популярные решения для резервного копирования позаботятся об этом за вас.

Вот список решений для резервного копирования для вашего сайта WordPress

7. Измените страницы входа в систему

Страницы входа по умолчанию для всех сайтов WordPress: sitename.com/wp-login.php и sitename.com/wp-admin.php . Использование этих URL-адресов страниц входа по умолчанию позволяет хакерам начать атаку методом грубой силы, пробуя комбинации имен пользователей и паролей.Использование URL-адреса для входа в систему, который трудно угадать, усложняет хакерам попытку атаки методом перебора, поскольку они не знают, где находится форма входа.

Вот как изменить URL страницы входа.

8. Используйте SSL

Secure Sockets Layer (SSL) шифрует все данные, отправляемые с вашего веб-сайта в браузер посетителей, скрывая потенциально конфиденциальные данные. Использование SSL имеет много преимуществ помимо безопасности. Google может повысить рейтинг вашего сайта в результатах поиска, и многие браузеры указывают, защищен ли сайт с помощью SSL, который может убедить их в надежности вашего сайта.

Вот руководство по настройке SSL для вашего сайта WordPress

9. Не используйте префикс базы данных по умолчанию

Использование префикса базы данных по умолчанию «wp_» облегчает хакеру вставку кода в вашу базу данных (SQL-инъекция ).

Вот как изменить префикс базы данных по умолчанию для нового и существующего сайтов.

10. Проверьте права доступа к папкам и файлам.

Права доступа к файлам определяют, какие действия могут быть применены к файлам на вашем сервере.Вы никогда не должны устанавливать для какого-либо файла или каталога WordPress разрешение 777.

Вместо этого убедитесь, что ваша схема разрешений следующая:

Папки — 755
Файлы — 644

Вот руководство по проверке и исправлению разрешений для ваших файлов и папок WordPress.

11. Отключить пингбеки

Пингбэки WordPress включены по умолчанию. Но для большинства сайтов от них мало пользы. Но их можно использовать, чтобы превратить ваш сайт WordPress в нежелательного участника ботнета DDoS.

Чтобы отключить пингбеки, вы можете перейти в «Настройки -> Обсуждение» и снять флажок «Попытка уведомить любые блоги, на которые есть ссылка в статье». Также неплохо снять флажок «Разрешить уведомления о ссылках из других блогов (пингбэки и трекбэки) на новые статьи»:

Понравился этот контент? Познакомьтесь с Пейджем.

12. Скрыть номер своей версии WordPress

Один из способов, которыми злоумышленники получают доступ к сайту, — это использование известных уязвимостей в устаревших версиях WordPress.Хакеры могут просканировать ваш сайт и легко узнать, какую версию WordPress вы используете. Если в этой версии есть известная уязвимость, хакер знает, как действовать дальше.

Лучший способ предотвратить это — поддерживать WordPress в актуальном состоянии. Однако вы также можете запретить хакеру узнать, какую версию WordPress вы используете.

Вот как скрыть номер версии WordPress.

13. Не используйте имя администратора.

Хакеры могут с уверенностью предположить, что сайт WordPress использует имя пользователя по умолчанию «admin» и это имя пользователя даст им права администратора, поэтому все, что им нужно сделать, это придумать пароль.Это дает им прямой путь к получению административного доступа к вашему сайту с хорошей вероятностью успеха. Удаление имени пользователя с правами администратора значительно затрудняет такую ​​атаку на ваш сайт. Если вы уже используете имя администратора, ничего страшного, вы можете изменить его сейчас.

Вот как изменить имя пользователя с правами администратора.

14. Используйте безопасный управляемый хост WordPress

Хосту, который поддерживает все основные CMS, будет сложно оставаться на вершине безопасности WordPress.Специализируясь только на WordPress CMS, хостинг-провайдер WordPress может выделить ресурсы, необходимые для предотвращения многих атак.

У авторитетного управляемого хоста WordPress будет команда безопасности, которая будет защищать ваш сайт от угроз. Они решат многие из упомянутых выше проблем, таких как обновление WordPress, создание резервных копий и многое другое. Здесь, в Pagely, у нас есть полный набор функций безопасности под названием PressArmor, который обеспечивает безопасность приложений WordPress и безопасность серверов.

Вопросы безопасности, которые можно задать потенциальному управляемому хосту WordPress:

Является ли ваша среда хостинга хромированной?
Если у вашего хоста несколько доменов на одном сервере, узнайте у них, используют ли они chroot для изоляции каждого приложения WordPress. Если одно приложение будет взломано, это поможет предотвратить доступ к другим приложениям на сервере.

Включен ли SSL и легко ли его настроить?
Хороший провайдер хостинга WordPress бесплатно предоставит SSL с помощью такой службы, как Let’s Encrypt.

Вы активно отслеживаете мой сайт на предмет уязвимостей WordPress? Если вы обнаружите уязвимость на моем сайте, как вы сообщите мне об этом?
Хороший хостинг WordPress всегда будет в курсе последних угроз для сайтов WordPress и будет постоянно сканировать ваш сайт на предмет этих угроз. Если они обнаружат уязвимость, они будут работать с вами над ее устранением.

Используете ли вы брандмауэр веб-приложений (WAF) для защиты моего сайта?
WAF блокирует вредоносный трафик до того, как он достигнет вашего сайта, и может помочь предотвратить атаки XSS и SQL-инъекции.

Вот список важных моментов при выборе управляемого хоста WordPress.

Заключение

К безопасности WordPress нельзя относиться легкомысленно, и вы должны предпринять шаги для защиты своего сайта. Использование управляемого хостинг-провайдера WordPress, такого как Pagely, — один из лучших способов повысить вашу безопасность, потому что у вас будет опытная команда, которая будет защищать вас.

Независимо от того, решите ли вы заниматься безопасностью WordPress самостоятельно или используете хост, специализирующийся на WordPress, важно относиться к безопасности WordPress как к постоянным усилиям.Вы никогда не закончите с безопасностью, но, выполнив указанные выше действия, вы защитили себя от многих наиболее распространенных угроз.

WordPress Руководство по безопасности

В этом руководстве рассматриваются следующие темы:

WordPress — самая популярная система ведения блогов и CMS, что делает ее излюбленной целью хакеров. Наличие сайта WordPress означает, что вам нужно приложить дополнительные усилия, чтобы защитить себя и данные ваших посетителей. Вот краткое изложение лучших практик по обеспечению безопасности сайта WordPress, которые помогут вам в этом.Важно отметить, что эти меры не гарантируют 100% защиту от попыток взлома, в основном потому, что 100% безопасный веб-сайт не существует, но они защитят вас от большинства атак.

Регулярно обновляйте свой сайт и плагины WordPress

Очень важно обновлять основные файлы WordPress и все плагины до последних версий. Большинство новых версий WordPress и плагинов содержат исправления безопасности. Даже если в большинстве случаев эти уязвимости нелегко использовать, важно их исправить.

Для получения дополнительной информации по этому поводу ознакомьтесь с нашими руководствами о том, как обновить WordPress и как использовать автоматические обновления WordPress.

Скачивайте плагины и темы только из официальных репозиториев

Очень важно использовать плагины, загруженные из официальных источников. Файлы, загружаемые из неофициальных источников, часто редактируются, чтобы включить дополнительный код, который включает бэкдоры, которые злоумышленники могут использовать и заразить веб-сайт.

Защитите свою админку WordPress

Важно ограничить доступ к вашей админке WordPress только для людей, которым действительно нужен доступ к ней.Если ваш сайт не поддерживает регистрацию или создание внешнего контента, ваши посетители не должны иметь доступа к вашей папке / wp-admin / или файлу wp-login.php . Лучшее, что вы можете сделать, это получить свой домашний IP-адрес (для этого можно использовать сайт, например whatismyip.com) и добавить эти строки в файл .htaccess в папке администратора WordPress, заменив xx.xxx.xxx.xxx с вашим IP-адресом:

  <Файлы wp-login.php>
заказ отклонить, разрешить
Запретить всем
Разрешить от хх.xxx.xxx.xxx
  

Если вы хотите разрешить доступ к нескольким компьютерам (например, к вашему офису, домашнему ПК, ноутбуку и т. Д.), Добавьте еще одну инструкцию Allow from xx.xxx.xxx.xxx в новой строке.

Если вы хотите иметь доступ к своей административной области с любого IP-адреса (например, если вы часто используете бесплатные сети Wi-Fi), ограничение вашей административной области одним IP-адресом или несколькими IP-адресами может быть неудобным. В таких случаях мы рекомендуем вам ограничить количество попыток неправильного входа на ваш сайт.Таким образом вы защитите свой сайт WordPress от атак грубой силы и людей, пытающихся угадать ваш пароль. Для таких целей вы можете использовать плагин под названием WP Limit loginizations.

Не используйте имя пользователя «admin»

Большинство злоумышленников предполагают, что ваше имя пользователя admin — «admin». Вы можете легко заблокировать множество брутфорс и других атак, используя другое имя администратора. Если вы устанавливаете новый сайт WordPress, вам будет предложено ввести имя администратора в процессе установки WordPress.Если у вас уже есть сайт WordPress, вы можете следовать инструкциям в нашем руководстве о том, как изменить свое имя пользователя WordPress.

Используйте надежные пароли

Есть тысячи людей, которые используют такие фразы, как «пароль» или «123456» для своих учетных данных администратора. Излишне говорить, что такие пароли легко угадываются, и они находятся на вершине списка любой атаки по словарю. Хороший совет — использовать целое предложение, которое имеет для вас смысл и легко запоминается. Такие пароли намного лучше паролей, состоящих из одной фразы.

Убедитесь, что на вашем компьютере нет вирусов и вредоносных программ

Если ваш компьютер заражен вирусом или вредоносным ПО, потенциальный злоумышленник может получить доступ к вашим данным для входа и сделать действительный вход на ваш сайт, минуя все меры, которые вы принимали ранее. Вот почему очень важно иметь новейшую антивирусную программу и поддерживать общую безопасность всех компьютеров, которые вы используете для доступа к своему сайту WordPress, на высоком уровне.

.