10 Действующие советы по безопасности WordPress для Layman

Статья написана:
  • WordPress
  • Обновлено: Jun 06, 2018

С тех пор как он был впервые представлен более двух десятилетий назад, WordPress стал (и вырос) теперь безопасно называться самой популярной в мире системой управления контентом. Сегодня, более четверти существующих сайтов, запускаются на WordPress.

Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначенный для этой конкретной операционной системы.

Версии 10 WordPress с наибольшими уязвимостями (источник). Исследования в 2017 определили 74 различные версии WordPress на сайтах Alexa Top 1 миллионов; 11 этих версий недопустимы - например, версия 6.6.6 (источник).

Почему ваш блог WordPress является ценной целью?

В случае, если вам интересно, почему на земле хакер хотел бы контролировать ваш блог WordPress, есть несколько причин, включая:

  • Используя его, чтобы тайно отправлять спам-сообщения
  • Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
  • Добавление вашего сайта в бот-сеть, которую они могут использовать позже

К счастью, WordPress - это платформа, которая предлагает вам множество возможностей защитить себя. Помогая самостоятельно настраивать и администрировать несколько веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить ваш сайт WordPress.

Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.

Совет #1. Выберите подходящее имя администратора

По опыту большинство попыток взлома сайтов пытаются войти в систему с тремя основными вариантами имен пользователей. Первые два всегда являются «администраторами» или «администраторами», а третья - на основе вашего доменного имени.

Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».

Не хорошая идея.

Совет #2. Обязательно используйте надежный пароль

К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.

Сильный пароль будет включать в себя смесь:

  • Верхний и нижний заглавные символы
  • Быть буквенно-цифровым (AZ и az)
  • Включите специальный символ (!, @, #, $ И т. Д.).
  • По крайней мере, длина символов 8

Чем более случайным является ваш пароль, тем более безопасным он будет. Попробуйте этот генератор случайных паролей, если у вас возникнут проблемы с его выходом. https://passwordsgenerator.net/

Совет #3. Внедрение reCaptcha

Настенные боты от вашего блога WP.

reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.

Есть несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.

Совет #4. Использовать двухфакторную аутентификацию (2FA)

2FA - это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.

Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.

Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.

T

Совет #5. Переименуйте свой логин

Большинство хакеров попытаются войти через страницу входа WordPress по умолчанию, которая обычно похожа на sample.com/wp-admin.

Чтобы добавить еще один уровень защиты, быстро и легко измените URL-адрес страницы входа с помощью WPS Hide Login.

#6 Тип. Защитите свой каталог wp-admin

Добавьте дополнительный уровень безопасности в свой каталог хоста.

Каталог wp-admin - это основа вашей установки WordPress. В качестве дополнительной защиты пароль защищает этот каталог.

Для этого вам необходимо войти в панель управления учетной записью хостинга. Используете ли вы Cpanel or Plesk, вы можете выбрать вариант 'Папки с защитой паролем.

Совет #7. Использовать SSL для шифрования данных

HTTP и HTTPS-соединение (Источник: Sucuri)

Помимо самого сайта, вы также захотите защитить соединение между вами и сервером, и именно здесь SSL зашифрует ваши сообщения. Имея зашифрованное соединение, хакеры не смогут перехватывать данные (например, ваш пароль), когда вы общаетесь с вашим сервером.

Помимо этого, также хорошо применять SSL сейчас, поскольку поисковые системы все чаще наносят ущерб сайтам, которые они считают «незащищенными».

Подробнее о SSL в нашем всеобъемлющем AZ Руководство по SSL.

Совет #8. Убедитесь, что все ваше программное обеспечение обновлено

Независимо от того, насколько хорошо или дорогостоящее программное обеспечение, в них всегда найдутся новые недостатки, которые могут оставить их открытыми для использования. WordPress не является исключением, и команда постоянно выпускает новые версии с исправлениями и обновлениями.

Хакеры почти всегда стремятся воспользоваться слабостью, и известный эксплойт, который остается незафиксированным, просто просит неприятностей. Это вдвое больше для плагинов, которые часто создаются гораздо меньшими компаниями с меньшим объемом ресурсов.

Если вы используете плагины, убедитесь, что обновления выпущены регулярно, или подумайте о том, чтобы найти один с похожими функциональными возможностями, которые обновляются.

Сказав это, я НЕ рекомендую вам использовать автоматическое обновление WordPress и плагинов, особенно если вы используете живой сайт. Некоторые обновления могут вызывать проблемы, будь то внутри или через конфликт с другими плагинами и настройками.

В идеале создайте тестовую среду, которая отображает ваш живой сайт и проверит там обновления. Как только вы убедитесь, что все работает нормально, вы можете применить обновление к текущему сайту.

Панели управления, такие как Plesk, дают вам возможность создать клон сайта для этой цели.

Совет #9. Используйте сеть распространения контента (CDN)

Хотя это может не спасти ваш сайт от взлома, он помогает смягчить вредоносные атаки против него. Некоторые хакеры стремятся сбить веб-сайты, делая их недоступными для публики. CDN поможет смягчить удар атаки распределенного отказа в обслуживании на вашем сайте.

Помимо этого, это также помогает быстро ускорить работу вашего сайта, кэшируя некоторый контент. Чтобы изучить этот вариант, посмотрите на CloudFlare в качестве примера. CloudFlare предлагает услуги CDN на многоуровневых уровнях цен, поэтому вы можете использовать базовые функции бесплатно. https://www.cloudflare.com

Совет #10. Архивирование, резервное копирование и резервное копирование

Независимо от того, какие меры безопасности или насколько осторожны вы, происходят несчастные случаи. Спасите себя от сокрушительного горя и сто часов работы, просто убедившись, что у вас есть адекватные резервные услуги на месте.

Как правило, ваш веб-хост должен иметь некоторые базовые функции резервного копирования, но если вы параноик, как я, всегда убедитесь, что вы выполняете собственные независимые резервные копии. Резервное копирование не так просто, как просто копирование некоторых файлов, но также учитывать информацию в вашей базе данных.

Ищите резервное решение, которое проверено и проверено. Даже небольшие инвестиции стоят того, чтобы сэкономить на слезах в случае чрезвычайной ситуации. Что-то вроде BackupBuddy может помочь вам сохранить все, включая вашу базу данных за один раз.

Бонусный совет: ваш веб-хост считается!

Хотя традиционно веб-хостинговые компании просто предлагали нам место для размещения наших веб-сайтов, время изменилось. Устроители веб-хостинга, осознавая насущную необходимость повышения безопасности, активизировались, и многие предлагают услуги с добавленной стоимостью в дополнение к их веб-хостингу.

Возьмем, к примеру, HostGator, одно из более установленных имен в игре. Помимо базовых функций Cloudflare, HostGator (по цене $ 10 + / mo) также поставляется с защитой от спама, автоматическим удалением вредоносных программ, автоматическим резервным копированием, конфиденциальностью домена и т. Д.

Управляемый хостинг-провайдер WordPress, KinstaСоздавайте аппаратные брандмауэры и активно отслеживайте их серверы на наличие вредоносных программ и DDoS-атак с помощью собственной системы.

Если это еще не произошло, я настоятельно рекомендую вам посмотреть, какие функции безопасности предоставляет ваш хост, и сравнить их с имеющимися в настоящее время.

Для полного списка вы можете проверить WHSR компиляция веб-хостов здесь.

Что теперь?

Прежде чем вы начнете дико и начнете чистить Интернет в панике, ища миллион и одну систему безопасности - сделайте глубокий вдох. Как и во всем остальном, кто-то еще поможет вам в панике и ищет решение.

Даже если вы реализуете столько решений безопасности, сколько сможете найти, Убедитесь ты в безопасности?

Вот где-то вроде Безопасность Ninja заходите, что поможет вам исследовать ваш сайт за недостатки.

Быстрая демонстрация: как работает Security Ninja.

Есть несколько веских причин использовать что-то вроде Security Ninja, но позвольте мне сказать, что это инструмент, который я бы рекомендовал использовать на нескольких этапах вашего путешествия, чтобы защитить ваш сайт.

Сначала запустите его на своем веб-сайте «как есть» - перед внесением любых изменений. Позвольте плагину выталкивать и продвигать ваш сайт, прежде чем давать вам результаты.

Затем, основываясь на этих результатах, работайте над обеспечением безопасности вашего сайта. Security Ninja выполняет больше, чем тесты 50 для проверки вашей защиты. Даже после того, как вы внесли свои изменения, запустите его снова (и каждый раз, когда есть изменения сайта или обновления плагина), чтобы проверить ваш сайт.

Если это звучит для вас слишком много, Security Ninja также поставляется с множеством дополнительных модулей (pro версия, единственный сайт $ 29), которые помогут вам решить проблемы, которые он находит.

Некоторые другие ключевые функции в этих модулях включают:

  • Сканирование файлов ядра WP для выявления проблемных файлов
  • Восстановить измененные файлы одним щелчком мыши
  • Исправить поврежденные автоматические обновления WP
  • Запрет 600 миллионов неудачных IP-адресов, собранных из миллионов атакованных сайтов
  • Список автоматических обновлений, отсутствие необходимости в каком-либо техническом обслуживании или ручной работе
  • Защитить регистрационную форму от атак грубой силы

Заключительные мысли

Хотя все это может показаться немного чрезмерным для среднего пользователя WordPress, я заверяю вас, что все это (и многое другое) необходимы. Игнорируя глобальную статистику взлома и многое другое, позвольте мне поделиться с вами некоторой личной информацией об одном из самых неясных сайтов, которым я помогаю.

Первоначально начатый как простой сайт биографии, я создал www.timothyshim.com, Очевидно, это было то, что я настраивал, и большую часть времени оставляю в покое, просто как контрольную точку. В каждый месячный период этот сайт, который в основном ничего не делает и не собирает данных, сталкивается с атаками 30 - комбинацией грубой силы и сложной.

Все, что ему нужно, это для одного из них добиться успеха, и у меня будет на самом деле плохой день.

О Тимоти Шим

Тимоти Шим - писатель, редактор и технический специалист. Начиная свою карьеру в области информационных технологий, он быстро нашел свой путь в печать и с тех пор работал с международными, региональными и отечественными изданиями в средствах массовой информации, включая ComputerWorld, PC.com, Business Today и The Asian Banker. Его опыт заключается в области технологий как с точки зрения потребителя, так и с точки зрения предприятия.

Подключение: