Советы по безопасности WordPress для неспециалистов: безопасность входа в WordPress и другие методы безопасности

Статья написана: Тимоти Шим
  • WordPress
  • Обновлено: сентябрь 02, 2020

С тех пор как он был впервые представлен более двух десятилетий назад, WordPress стал (и вырос) теперь безопасно называться самой популярной в мире системой управления контентом. Сегодня, более четверти существующих сайтов, запускаются на WordPress.

Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначенный для этой конкретной операционной системы.

Версии 10 WordPress с наибольшими уязвимостями (источник). Исследование, проведенное в 2017 году, выявило 74 различных версии WordPress в 1 миллион лучших веб-сайтов Alexa; 11 из этих версий недействительны - например версия 6.6.6 (источник).

Почему ваш блог WordPress является ценной целью?

В случае, если вам интересно, почему на земле хакер хотел бы контролировать ваш блог WordPress, есть несколько причин, включая:

  • Используя его, чтобы тайно отправлять спам-сообщения
  • Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
  • Добавление вашего сайта в бот-сеть, которую они могут использовать позже

К счастью, WordPress - это платформа, которая предлагает вам множество возможностей защитить себя. Помогая самостоятельно настраивать и администрировать несколько веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить ваш сайт WordPress.

Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.

Защитите свою страницу входа в WordPress

Защита вашей страницы входа не может быть достигнута каким-либо конкретным способом, но, безусловно, есть шаги и бесплатные плагины безопасности Вы можете предпринять любые атаки, которые с меньшей вероятностью будут успешными.

Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной.

1. Выберите хорошее имя пользователя администратора

Используйте необычные имена пользователей. Ранее с WordPress вам приходилось начинать с имени пользователя-администратора по умолчанию, но это уже не так. Тем не менее, большинство новых веб-администраторов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Ты можешь использовать Admin Renamer Extended для изменения имени администратора.

Грубая форсировка страниц входа в систему - одна из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш веб-сайт почти наверняка станет не просто целью, а в конечном итоге жертвой. По опыту, большинство попыток взлома сайта пытаются войти в систему с тремя основными вариантами имени пользователя. Первые два всегда являются «admin» или «administrator», а третий обычно основан на вашем доменном имени.

Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».

Не хорошая идея.

2. Обязательно используйте надежный пароль

К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.

Всплеск данных составил список часто используемые пароли в 2018 году, Пароль по рангу с точки зрения использования.

  1. 123456
  2. пароль,
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. солнечный свет
  9. БУКВ
  10. ILOVEYOU

Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.

Сильный пароль будет включать в себя смесь:

  • Верхний и нижний заглавные символы
  • Быть буквенно-цифровым (AZ и az)
  • Включите специальный символ (!, @, #, $ И т. Д.).
  • По крайней мере, длина символов 8

Чем более случайным является ваш пароль, тем более безопасным он будет. Попробуйте этот генератор случайных паролей, если у вас возникнут проблемы с его выходом. https://passwordsgenerator.net/

3. Внедрить reCaptcha

Настенные боты от вашего блога WP.

reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.

Существуют несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.

4. Используйте двухфакторную аутентификацию (2FA)

2FA - это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.

Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.

Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.

T

5. Переименуйте ваш логин

Большинство хакеров пытаются войти через стандартную страницу входа в WordPress, которая обычно

sample.com/wp-admin.

Чтобы добавить еще один уровень защиты, быстро и легко измените URL-адрес страницы входа с помощью WPS Hide Login.

6. Ограничить количество попыток входа

Это один из невероятно простых способов остановить атаки грубой силы на странице входа в систему. Атака грубой силы работает, пытаясь получить ваше имя пользователя и пароль, повторив несколько комбинаций снова и снова.

Если определенный IP-адрес, который совершает атаку, отслеживается, вы можете заблокировать повторные попытки принудительного форматирования и обеспечить безопасность своего сайта. Это также связано с тем, что глобальные атаки DDOS происходят с несколькими IP-адресами с различным происхождением атаки, чтобы отбросить услуги хостинга и безопасность веб-сайта.

Войти LockDown и  Решение Логин безопасности оба предлагают отличные решения для защиты страниц входа на ваш сайт. Они отслеживают IP-адреса и ограничивают количество попыток входа в систему для защиты вашего сайта.

Защитная стена

Мы обсудили различные тактики защиты вашей страницы входа в WordPress - указанные выше шаги - это основы, которые вы можете сделать. Вы также должны знать, что некоторые веб-хосты предписывают некоторые из этих мер безопасности своим пользователям. Есть ряд других методов безопасности, которые вы можете реализовать на своих сайтах.

7. Защитите свой каталог wp-admin

Добавьте дополнительный уровень безопасности в свой каталог хоста.

Каталог wp-admin - это основа вашей установки WordPress. В качестве дополнительной защиты пароль защищает этот каталог.

Для этого вам необходимо войти в панель управления учетной записью хостинга. Используете ли вы Cpanel or Plesk, вы можете выбрать вариант 'Папки с защитой паролем.

Кроме того, вы можете защитить каталог паролем, настроив файлы .htaccess и .htpasswds. Подробное пошаговое руководство и генератор кода доступны бесплатно по адресу Динамический привод.

Обратите внимание, что защита паролем вашей папки wp-admin сломать публичный AJAX для WordPress - вам нужно будет разрешить права администратора ajax через .htaccess, чтобы избежать ошибок сайта.

8. Использовать SSL для шифрования данных

HTTP и HTTPS-соединение (Источник: Sucuri)

Помимо самого сайта, вы также захотите защитить соединение между вами и сервером, и именно здесь SSL зашифрует ваши сообщения. Имея зашифрованное соединение, хакеры не смогут перехватывать данные (например, ваш пароль), когда вы общаетесь с вашим сервером.

Помимо этого, также хорошо применять SSL сейчас, поскольку поисковые системы все чаще наносят ущерб сайтам, которые они считают «незащищенными».

Для отдельных блоггеров и малого бизнеса - бесплатный общий SSL-протокол, который вы обычно можете получить у своего хостинг-провайдера. Let's Encrypt или Cloudflare - обычно более чем достаточно. Для предприятий, которые обрабатывают платежи клиентов - лучше, если вы купить выделенный сертификат SSL от вашего веб-хостинга или центра сертификации (CA).

Подробнее о SSL в нашем всеобъемлющем AZ Руководство по SSL.

9. Используйте сеть распространения контента (CDN)

Хотя это не может спасти ваш сайт от взлома, оно помогает предотвратить вредоносные атаки на него. Некоторые хакеры стремятся взломать сайты, делая их недоступными для общественности. CDN поможет смягчить удар Распределенный отказ в обслуживании атака на ваш сайт.

Кроме того, это также помогает немного ускорить ваш сайт, кэшируя некоторый контент. Чтобы изучить эту опцию, посмотрите на Cloudflare в качестве примера. Cloudflare предлагает услуги CDN по многоуровневой цене, так что вы даже можете использовать основные функции бесплатно.

Узнать больше о как работает Cloudflare и преимущества использования сервиса.

10. Убедитесь, что все ваше программное обеспечение обновлено

Независимо от того, насколько хорошо или дорогостоящее программное обеспечение, в них всегда найдутся новые недостатки, которые могут оставить их открытыми для использования. WordPress не является исключением, и команда постоянно выпускает новые версии с исправлениями и обновлениями.

Хакеры почти всегда стремятся воспользоваться слабостью, и известный эксплойт, который остается незафиксированным, просто просит неприятностей. Это вдвое больше для плагинов, которые часто создаются гораздо меньшими компаниями с меньшим объемом ресурсов.

Если вы используете плагины, убедитесь, что обновления выпускаются регулярно, или попробуйте найти популярные плагины с аналогичной функциональностью, которая постоянно обновляется.

Сказав это, я НЕ рекомендую вам использовать автоматическое обновление WordPress и плагинов, особенно если вы используете живой сайт. Некоторые обновления могут вызывать проблемы, будь то внутри или через конфликт с другими плагинами и настройками.

В идеале создайте тестовую среду, которая отображает ваш живой сайт и проверит там обновления. Как только вы убедитесь, что все работает нормально, вы можете применить обновление к текущему сайту.

Панели управления, такие как Plesk, дают вам возможность создать клон сайта для этой цели.

11. Резервное копирование, резервное копирование и резервное копирование!

Независимо от того, какие меры безопасности или насколько осторожны вы, происходят несчастные случаи. Спасите себя от сокрушительного горя и сто часов работы, просто убедившись, что у вас есть адекватные резервные услуги на месте.

Как правило, ваш веб-хост должен иметь некоторые базовые функции резервного копирования, но если вы параноик, как я, всегда убедитесь, что вы выполняете собственные независимые резервные копии. Резервное копирование не так просто, как просто копирование некоторых файлов, но также учитывать информацию в вашей базе данных.

Ищите резервное решение, которое проверено и проверено. Даже небольшие инвестиции стоят того, чтобы сэкономить на слезах в случае чрезвычайной ситуации. Что-то вроде BackupBuddy может помочь вам сохранить все, включая вашу базу данных за один раз.

12. Ваш веб-хостинг имеет значение!

Хотя традиционно хостинговые компании просто предлагали нам место для размещения наших веб-сайтов, времена изменились. Провайдеры веб-хостинга, понимание уязвимостей, предприняли шаги по повышению безопасности, предлагая многие дополнительные услуги в дополнение к своему веб-хостингу.

Возьмем, к примеру, HostGator, одно из более установленных имен в игре. Помимо базовых функций Cloudflare, HostGator (по цене $ 10 + / mo) также поставляется с защитой от спама, автоматическим удалением вредоносных программ, автоматическим резервным копированием, конфиденциальностью домена и т. Д.

Управляемый хостинг-провайдер WordPress, KinstaСоздавайте аппаратные брандмауэры и активно отслеживайте их серверы на наличие вредоносных программ и DDoS-атак с помощью собственной системы.

Если это еще не произошло, я настоятельно рекомендую вам посмотреть, какие функции безопасности предоставляет ваш хост, и сравнить их с имеющимися в настоящее время.

Для полного списка вы можете проверить WHSR сборник лучших веб-хостов здесь.

Что теперь?

Прежде чем вы начнете дико и начнете чистить Интернет в панике, ища миллион и одну систему безопасности - сделайте глубокий вдох. Как и во всем остальном, кто-то еще поможет вам в панике и ищет решение.

Даже если вы реализуете столько решений безопасности, сколько сможете найти, Убедитесь ты в безопасности?

Вот где-то вроде Безопасность Ninja заходите, что поможет вам исследовать ваш сайт за недостатки.

Быстрая демонстрация: как работает Security Ninja.

Есть несколько веских причин использовать что-то вроде Security Ninja, но позвольте мне сказать, что это инструмент, который я бы рекомендовал использовать на нескольких этапах вашего путешествия, чтобы защитить ваш сайт.

Сначала запустите его на своем веб-сайте «как есть» - перед внесением любых изменений. Позвольте плагину выталкивать и продвигать ваш сайт, прежде чем давать вам результаты.

Затем, основываясь на этих результатах, работайте над обеспечением безопасности вашего сайта. Security Ninja выполняет больше, чем тесты 50 для проверки вашей защиты. Даже после того, как вы внесли свои изменения, запустите его снова (и каждый раз, когда есть изменения сайта или обновления плагина), чтобы проверить ваш сайт.

Если это звучит для вас слишком много, Security Ninja также поставляется с множеством дополнительных модулей (pro версия, единственный сайт $ 29), которые помогут вам решить проблемы, которые он находит.

Некоторые другие ключевые функции в этих модулях включают:

  • Сканируйте основные файлы WP, чтобы определить проблемные файлы
  • Восстанавливайте измененные файлы одним щелчком мыши
  • Исправить неработающие автообновления WP
  • Запретить 600 миллионов плохих IP-адресов, собранных с миллионов атакованных сайтов
  • Список автоматических обновлений, нет необходимости в обслуживании или ручной работе
  • Защитите форму входа в систему от атак методом перебора

Заключительные мысли

Хотя все это может показаться немного чрезмерным для среднего пользователя WordPress, я заверяю вас, что все это (и многое другое) необходимы. Игнорируя глобальную статистику взлома и многое другое, позвольте мне поделиться с вами некоторой личной информацией об одном из самых неясных сайтов, которым я помогаю.

Первоначально начатый как простой сайт биографии, я создал www.timothyshim.com, Очевидно, это было то, что я настраивал, и большую часть времени оставляю в покое, просто как контрольную точку. В каждый месячный период этот сайт, который в основном ничего не делает и не собирает данных, сталкивается с атаками 30 - комбинацией грубой силы и сложной.

Все, что ему нужно, это для одного из них добиться успеха, и у меня будет на самом деле плохой день.

О Тимоти Шим

Тимоти Шим - писатель, редактор и технический специалист. Начиная свою карьеру в области информационных технологий, он быстро нашел свой путь в печать и с тех пор работал с международными, региональными и отечественными изданиями в средствах массовой информации, включая ComputerWorld, PC.com, Business Today и The Asian Banker. Его опыт заключается в области технологий как с точки зрения потребителя, так и с точки зрения предприятия.

Подключение: