Поскольку он был впервые представлен более двух десятилетий назад, WordPress вырос (и вырос) и теперь смело может называться самым популярным в мире систему управления контентом.. Сегодня более четверти существующих веб-сайтов работают на WordPress.
Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначен для таргетинга только на этот конкретный operaтинг системы.
Почему ваш WordPress блог является ценной целью?
Если вам интересно, с какой стати хакер захочет контролировать ваш Wordpress блог, есть несколько причин, в том числе;
- Используя его, чтобы тайно отправлять спам-сообщения
- Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
- Добавление вашего сайта в бот-сеть, которую они могут использовать позже
К счастью, WordPress это платформа, которая предлагает вам множество возможностей для самозащиты.
Помогая настроить и администрировать несколько веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить свой WordPress сайт.
Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.
Защитите свой WordPress Страница входа
Защита вашей страницы входа не может быть достигнута с помощью какого-либо одного конкретного метода, но, безусловно, есть шаги и бесплатные плагины безопасности, которые вы можете предпринять, чтобы снизить вероятность успеха любых атак.
Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц на вашем сайте, поэтому давайте приступим к созданию вашей WordPress страница входа на сайт немного более безопасна.
1. Выберите хорошее имя пользователя администратора
Используйте необычные имена пользователей. Ранее с WordPress, вы должны были начать с имени пользователя администратора по умолчанию, но это уже не так. Тем не менее, большинство новых веб-администраторов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Вы можете использовать Admin Renamer Extended для изменения имени администратора.
Перебор страниц входа в систему — одна из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш веб-сайт почти наверняка станет не только целью, но и жертвой. По опыту, большинство попыток взлома сайта пытаются войти в систему с тремя основными вариантами имени пользователя. Первые два всегда «администратор» или «администратор», а третий обычно основан на вашем доменное имя.
Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».
2. Обязательно используйте надежный пароль
К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.
Splash Data составил список часто используемые пароли в 2018 году, Пароль по рангу с точки зрения использования.
- 123456
- password
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- солнечный свет
- БУКВ
- ILOVEYOU
Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.
Сильный пароль будет включать в себя смесь:
- Верхний и нижний заглавные символы
- Быть буквенно-цифровым (AZ и az)
- Включите специальный символ (!, @, #, $ И т. Д.).
- По крайней мере, длина символов 8
Чем более случайным будет ваш пароль, тем надежнее он будет. Попробуйте использовать менеджер паролей для создания надежного случайного пароля, если у вас возникли проблемы с его придумыванием.
3. Внедрить reCaptcha
reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.
Существуют несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.
4. Используйте двухфакторную аутентификацию (2FA)
2FA - это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.
Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.
Посмотрите, как miniOrange (плагин 2FA) работает с WordPress войти в следующем видео.
T5. Переименуйте ваш логин
Большинство хакеров попытаются войти через стандартный wordpress страница входа, которая обычно выглядит примерно так
sample.com/wp-admin.
Чтобы добавить еще один уровень защиты, быстро и без усилий измените URL-адрес страницы входа.ssly с таким инструментом, как WPS Hide Login.
6. Ограничить количество попыток входа
Это один из невероятно простых способов остановить атаки грубой силы на странице входа в систему. Атака грубой силы работает, пытаясь получить ваше имя пользователя и пароль, повторив несколько комбинаций снова и снова.
Если конкретный IP-адрес, который совершает атаку, отслеживается, вы можете заблокировать повторные попытки грубой силы и обеспечить безопасность своего сайта. По этой же причине глобальные DDOS-атаки происходят с несколькими IP-адреса с разным происхождением атаки, бросать услуги хостинга и безопасности веб-сайтов врасплох.
Войти LockDown и Решение Логин безопасности оба предлагают отличные решения для защиты страниц входа на ваш сайт. Они отслеживают IP-адреса и ограничивают количество попыток входа в систему для защиты вашего сайта.
Защитная стена
Мы обсудили различные тактики обеспечения безопасности вашего WordPress страница входа — упомянутые выше шаги являются основными, которые вы можете сделать. Вы также должны знать, что некоторые веб-хосты предписывают своим пользователям некоторые из этих методов безопасности. Есть ряд другие методы безопасности которые вы можете реализовать на своих сайтах.
7. Защитите свой каталог wp-admin
Каталог wp-admin — это сердце вашего WordPress монтаж. В качестве дополнительной защиты защитите этот каталог паролем.
Для этого вам необходимо войти в панель управления учетной записью хостинга. Независимо от того, используете ли вы cPanel или Plesk, вариант, который вам нужен, это 'Папки с защитой паролем.
Кроме того, вы можете защитить каталог паролем, настроив свой .htaccess и файлы .htpasswds. Подробное пошаговое руководство и генератор кода доступны бесплатно на сайте Динамический привод.
Обратите внимание, что защита паролем вашей папки wp-admin сломать публичный AJAX для WordPress — вам нужно будет разрешить администрирование ajax через .htaccess во избежание ошибок сайта.
8. Использовать SSL для шифрования данных
Помимо самого сайта, вы также захотите защитить соединение между вами и сервером, и именно здесь SSL приходит, чтобы зашифровать ваши сообщения. Имея зашифрованное соединение, хакеры не смогут перехватить данные (например, ваш пароль), когда вы общаетесь с вашим сервером.
Помимо этого, также рекомендуется реализовать SSL теперь, когда поисковые системы все чаще наказывают сайты, которые они считают «небезопасными».
Для отдельных блоггеров и малого бизнеса бесплатный общий SSL – который вы обычно можете получить у своего хостинг-провайдера, Let's Encrypt или Cloudflare - обычно более чем достаточно. Для предприятий, которые обрабатывают платежи клиентов - лучше, если вы купить выделенный SSL сертификат от вашего веб-хостинга или центра сертификации (CA).
Узнать больше о SSL в нашем всеобъемлющем Руководство по AZ SSL.
9. Используйте сеть распространения контента (CDN)
Хотя это не может спасти ваш сайт от взлома, оно помогает предотвратить вредоносные атаки на него. Некоторые хакеры стремятся взломать сайты, делая их недоступными для общественности. CDN поможет смягчить удар Распределенный отказ в обслуживании атака на ваш сайт.
Кроме того, это также помогает вашему ускорить ваш сайт немного, кэшируя некоторый контент. Чтобы изучить этот вариант, посмотрите на Cloudflare В качестве примера. Cloudflare предлагает услуги CDN по многоуровневой цене, так что вы даже можете использовать основные функции бесплатно.
Узнать больше о КАК Cloudflare работы и преимущества использования сервиса.
10. Убедитесь, что все ваше программное обеспечение обновлено
Каким бы хорошим или дорогим ни было программное обеспечение, в нем всегда будут обнаруживаться новые слабые места, которые могут сделать его открытым для использования. WordPress не является исключением, и команда постоянно выпускает новые версии с исправлениями и обновлениями.
Хакеры почти всегда стремятся воспользоваться слабостью, и известный эксплойт, который остается незафиксированным, просто просит неприятностей. Это вдвое больше для плагинов, которые часто создаются гораздо меньшими компаниями с меньшим объемом ресурсов.
Если вы используете плагины, убедитесь, что обновления выпускаются регулярно, или попробуйте найти популярные плагины с аналогичной функциональностью, которая постоянно обновляется.
Сказав это, я НЕ рекомендую вам использовать автоматически WordPress и обновления плагинов, особенно если вы используете живой сайт. Некоторые обновления могут вызывать проблемы, будь то внутри или через конфликт с другими плагинами и настройками.
В идеале создайте тестовую среду, которая отображает ваш живой сайт и проверит там обновления. Как только вы убедитесь, что все работает нормально, вы можете применить обновление к текущему сайту.
Панели управления, такие как Plesk, дают вам возможность создать сайт clone для этой цели.
11. Резервное копирование, резервное копирование и резервное копирование!
Независимо от того, какие меры безопасности или насколько осторожны вы, происходят несчастные случаи. Спасите себя от сокрушительного горя и сто часов работы, просто убедившись, что у вас есть адекватные резервные услуги на месте.
Как правило, ваш веб-хост должен иметь некоторые базовые функции резервного копирования, но если вы параноик, как я, всегда убедитесь, что вы выполняете собственные независимые резервные копии. Резервное копирование не так просто, как просто копирование некоторых файлов, но также учитывать информацию в вашей базе данных.
Ищите резервное решение, которое проверено и проверено. Даже небольшие инвестиции стоят того, чтобы сэкономить на слезах в случае чрезвычайной ситуации. Что-то вроде BackupBuddy может помочь вам сохранить все, включая вашу базу данных за один раз.
12. Ваш веб-хостинг имеет значение!
Хотя традиционно, веб-хостингa компании просто предложили нам место для размещения наших веб-сайтов, времена изменились. Хостинг-провайдеры, понимание уязвимостей, предприняли шаги по повышению безопасности, предлагая многие дополнительные услуги в дополнение к своему веб-хостингу.
Возьмем, к примеру, HostGator, одно из самых известных имен в игре. Помимо основных Cloudflare функции, HostGator (по цене от 10 долларов США в месяц) также поставляется с защитой от спама, автоматическим удалением вредоносных программ, автоматическим резервным копированием, конфиденциальностью домена и многим другим.
Управляемые WordPress хостинг поставщик, KinstaСоздавайте аппаратные брандмауэры и активно отслеживайте их серверы на наличие вредоносных программ и DDoS-атак с помощью собственной системы.
Если это еще не произошло, я настоятельно рекомендую вам посмотреть, какие функции безопасности предоставляет ваш хост, и сравнить их с имеющимися в настоящее время.
Для полного списка вы можете проверить WHSR сборник лучших веб-хостов здесь.
Что теперь?
Прежде чем вы начнете дико и начнете чистить Интернет в панике, ища миллион и одну систему безопасности - сделайте глубокий вдох. Как и во всем остальном, кто-то еще поможет вам в панике и ищет решение.
Даже если вы реализуете столько решений безопасности, сколько сможете найти, Убедитесь ты в безопасности?
Вот где-то вроде Безопасность Ninja заходите, что поможет вам исследовать ваш сайт за недостатки.
Есть несколько веских причин использовать что-то вроде Security Ninja, но позвольте мне сказать, что это инструмент, который я бы рекомендовал использовать на нескольких этапах вашего путешествия, чтобы защитить ваш сайт.
Сначала запустите его на своем веб-сайте «как есть» - перед внесением любых изменений. Позвольте плагину выталкивать и продвигать ваш сайт, прежде чем давать вам результаты.
Затем, основываясь на этих результатах, работайте над обеспечением безопасности вашего сайта. Security Ninja выполняет больше, чем тесты 50 для проверки вашей защиты. Даже после того, как вы внесли свои изменения, запустите его снова (и каждый раз, когда есть изменения сайта или обновления плагина), чтобы проверить ваш сайт.
Если это звучит для вас слишком много, Security Ninja также поставляется с множеством дополнительных модулей (pro версия, единственный сайт $ 29), которые помогут вам решить проблемы, которые он находит.
Некоторые другие ключевые функции в этих модулях включают:
- Сканируйте основные файлы WP, чтобы определить проблемные файлы
- Восстанавливайте измененные файлы одним щелчком мыши
- Исправить неработающие автообновления WP
- Запретить 600 миллионов плохих IP-адресов, собранных с миллионов атакованных сайтов
- Список автоматических обновлений, нет необходимости в обслуживании или ручной работе
- Защитите форму входа в систему от атак методом перебора
Заключение
Хотя все это может показаться немного чрезмерным для среднего WordPress пользователь, уверяю вас, что все это (и многое другое) необходимо. Не обращая внимания на всемирную статистику взлома и тому подобное, позвольте мне поделиться с вами некоторой личной информацией об одном из самых малоизвестных сайтов, которым я помогаю управлять.
Первоначально начатый как простой сайт биографии, я создал www.timothyshim.com, Очевидно, это было то, что я настраивал, и большую часть времени оставляю в покое, просто как контрольную точку. В каждый месячный период этот сайт, который в основном ничего не делает и не собирает данных, сталкивается с атаками 30 - комбинацией грубой силы и сложной.
Все, что ему нужно, это для одного из них добиться успеха, и у меня будет на самом деле плохой день.
