Советы по безопасности WordPress для дилетанта: безопасность входа в WordPress и другие методы обеспечения безопасности

Статья написана:
  • WordPress
  • Обновлено: Ян 20, 2020

С тех пор как он был впервые представлен более двух десятилетий назад, WordPress стал (и вырос) теперь безопасно называться самой популярной в мире системой управления контентом. Сегодня, более четверти существующих сайтов, запускаются на WordPress.

Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначенный для этой конкретной операционной системы.

Версии 10 WordPress с наибольшими уязвимостями (источник). Исследования в 2017 определили 74 различные версии WordPress на сайтах Alexa Top 1 миллионов; 11 этих версий недопустимы - например, версия 6.6.6 (источник).

Почему ваш блог WordPress является ценной целью?

В случае, если вам интересно, почему на земле хакер хотел бы контролировать ваш блог WordPress, есть несколько причин, включая:

  • Используя его, чтобы тайно отправлять спам-сообщения
  • Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
  • Добавление вашего сайта в бот-сеть, которую они могут использовать позже

К счастью, WordPress - это платформа, которая предлагает вам множество возможностей защитить себя. Помогая самостоятельно настраивать и администрировать несколько веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить ваш сайт WordPress.

Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.

Work with a Secure WordPress Login Page

Защита вашей страницы входа не может быть достигнута каким-либо конкретным способом, но, безусловно, есть шаги и бесплатные плагины безопасности Вы можете предпринять любые атаки, которые с меньшей вероятностью будут успешными.

Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной.

1. Choose a good administrator username

Use unusual usernames. Previously with WordPress, you had to start out with a default admin username, but that is no longer so. Still, most new web admins use the default username and need to change their username. You can use Admin Renamer Extended для изменения имени администратора.

Brute forcing login pages is one of the common form of web attacks that your website is likely to face. If you have an easy to guess password or username, your website will almost certainly be not just a target but eventually a victim. From experience, most site hack attempts try to login with three main choices of usernames. The first two are always ‘admin’ or ‘administrator’, while the third is usually based on your domain name.

Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».

Не хорошая идея.

2. Обязательно используйте надежный пароль

К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.

Всплеск данных compiled a list of frequently used passwords in 2018. Password by rank in terms of usage.

  1. 123456
  2. пароль,
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. солнечный свет
  9. БУКВ
  10. ILOVEYOU

Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.

Сильный пароль будет включать в себя смесь:

  • Верхний и нижний заглавные символы
  • Быть буквенно-цифровым (AZ и az)
  • Включите специальный символ (!, @, #, $ И т. Д.).
  • По крайней мере, длина символов 8

Чем более случайным является ваш пароль, тем более безопасным он будет. Попробуйте этот генератор случайных паролей, если у вас возникнут проблемы с его выходом. https://passwordsgenerator.net/

3. Implement a reCaptcha

Настенные боты от вашего блога WP.

reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.

Есть несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.

4. Use Two-factor Authentication (2FA)

2FA - это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.

Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.

Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.

T

5. Rename your login URL

Most hackers will attempt to login through the default wordpress login page, which is usually something like

sample.com/wp-admin.

Чтобы добавить еще один уровень защиты, быстро и легко измените URL-адрес страницы входа с помощью WPS Hide Login.

6. Limit number of login attempts

Это один из невероятно простых способов остановить атаки грубой силы на странице входа в систему. Атака грубой силы работает, пытаясь получить ваше имя пользователя и пароль, повторив несколько комбинаций снова и снова.

Если определенный IP-адрес, который совершает атаку, отслеживается, вы можете заблокировать повторные попытки принудительного форматирования и обеспечить безопасность своего сайта. Это также связано с тем, что глобальные атаки DDOS происходят с несколькими IP-адресами с различным происхождением атаки, чтобы отбросить услуги хостинга и безопасность веб-сайта.

Войти LockDown и Решение Логин безопасности оба предлагают отличные решения для защиты страниц входа на ваш сайт. Они отслеживают IP-адреса и ограничивают количество попыток входа в систему для защиты вашего сайта.

Harden Your Site Security Wall

We've discussed various tactics in securing your WordPress login page – those mentioned steps above are the basics you can do. You should also be aware that some web hosts mandate some of these security practices on their users. There are a number of other security practices that you can implement on your sites.

7. Защитите свой каталог wp-admin

Добавьте дополнительный уровень безопасности в свой каталог хоста.

Каталог wp-admin - это основа вашей установки WordPress. В качестве дополнительной защиты пароль защищает этот каталог.

Для этого вам необходимо войти в панель управления учетной записью хостинга. Используете ли вы Cpanel or Plesk, вы можете выбрать вариант 'Папки с защитой паролем.

8. Использовать SSL для шифрования данных

HTTP и HTTPS-соединение (Источник: Sucuri)

Помимо самого сайта, вы также захотите защитить соединение между вами и сервером, и именно здесь SSL зашифрует ваши сообщения. Имея зашифрованное соединение, хакеры не смогут перехватывать данные (например, ваш пароль), когда вы общаетесь с вашим сервером.

Помимо этого, также хорошо применять SSL сейчас, поскольку поисковые системы все чаще наносят ущерб сайтам, которые они считают «незащищенными».

For individual bloggers and small business, a free, shared SSL – which you can usually get from your hosting provider, Let's Encrypt или CloudFlare – is usually more than good enough. For businesses that process customers' payment – it's best that you купить выделенный сертификат SSL от вашего веб-хостинга или центра сертификации (CA).

Подробнее о SSL в нашем всеобъемлющем AZ Руководство по SSL.

9. Make use of a Content Distribution Network (CDN)

While this might not save your site from being hacked it does help mitigate against malicious attacks against it. Some hackers aim to bring down websites, making them inaccessible to the public. A CDN will help cushion the blow of a Распределенный отказ в обслуживании attack on your site.

Помимо этого, это также помогает быстро ускорить работу вашего сайта, кэшируя некоторый контент. Чтобы изучить этот вариант, посмотрите на CloudFlare в качестве примера. CloudFlare предлагает услуги CDN на многоуровневых уровнях цен, поэтому вы можете использовать базовые функции бесплатно. https://www.cloudflare.com

10. Ensure ALL your software is up to date

Независимо от того, насколько хорошо или дорогостоящее программное обеспечение, в них всегда найдутся новые недостатки, которые могут оставить их открытыми для использования. WordPress не является исключением, и команда постоянно выпускает новые версии с исправлениями и обновлениями.

Хакеры почти всегда стремятся воспользоваться слабостью, и известный эксплойт, который остается незафиксированным, просто просит неприятностей. Это вдвое больше для плагинов, которые часто создаются гораздо меньшими компаниями с меньшим объемом ресурсов.

Если вы используете плагины, убедитесь, что обновления выпущены регулярно, или подумайте о том, чтобы найти один с похожими функциональными возможностями, которые обновляются.

Сказав это, я НЕ рекомендую вам использовать автоматическое обновление WordPress и плагинов, особенно если вы используете живой сайт. Некоторые обновления могут вызывать проблемы, будь то внутри или через конфликт с другими плагинами и настройками.

В идеале создайте тестовую среду, которая отображает ваш живой сайт и проверит там обновления. Как только вы убедитесь, что все работает нормально, вы можете применить обновление к текущему сайту.

Панели управления, такие как Plesk, дают вам возможность создать клон сайта для этой цели.

11. Backup, backup and backup!

Независимо от того, какие меры безопасности или насколько осторожны вы, происходят несчастные случаи. Спасите себя от сокрушительного горя и сто часов работы, просто убедившись, что у вас есть адекватные резервные услуги на месте.

Как правило, ваш веб-хост должен иметь некоторые базовые функции резервного копирования, но если вы параноик, как я, всегда убедитесь, что вы выполняете собственные независимые резервные копии. Резервное копирование не так просто, как просто копирование некоторых файлов, но также учитывать информацию в вашей базе данных.

Ищите резервное решение, которое проверено и проверено. Даже небольшие инвестиции стоят того, чтобы сэкономить на слезах в случае чрезвычайной ситуации. Что-то вроде BackupBuddy может помочь вам сохранить все, включая вашу базу данных за один раз.

12. Your web host counts!

Хотя традиционно веб-хостинговые компании просто предлагали нам место для размещения наших веб-сайтов, время изменилось. Устроители веб-хостинга, осознавая насущную необходимость повышения безопасности, активизировались, и многие предлагают услуги с добавленной стоимостью в дополнение к их веб-хостингу.

Возьмем, к примеру, HostGator, одно из более установленных имен в игре. Помимо базовых функций Cloudflare, HostGator (по цене $ 10 + / mo) также поставляется с защитой от спама, автоматическим удалением вредоносных программ, автоматическим резервным копированием, конфиденциальностью домена и т. Д.

Управляемый хостинг-провайдер WordPress, KinstaСоздавайте аппаратные брандмауэры и активно отслеживайте их серверы на наличие вредоносных программ и DDoS-атак с помощью собственной системы.

Если это еще не произошло, я настоятельно рекомендую вам посмотреть, какие функции безопасности предоставляет ваш хост, и сравнить их с имеющимися в настоящее время.

Для полного списка вы можете проверить WHSR's compilation of best web hosts here.

Что теперь?

Прежде чем вы начнете дико и начнете чистить Интернет в панике, ища миллион и одну систему безопасности - сделайте глубокий вдох. Как и во всем остальном, кто-то еще поможет вам в панике и ищет решение.

Даже если вы реализуете столько решений безопасности, сколько сможете найти, Убедитесь ты в безопасности?

Вот где-то вроде Безопасность Ninja заходите, что поможет вам исследовать ваш сайт за недостатки.

Быстрая демонстрация: как работает Security Ninja.

Есть несколько веских причин использовать что-то вроде Security Ninja, но позвольте мне сказать, что это инструмент, который я бы рекомендовал использовать на нескольких этапах вашего путешествия, чтобы защитить ваш сайт.

Сначала запустите его на своем веб-сайте «как есть» - перед внесением любых изменений. Позвольте плагину выталкивать и продвигать ваш сайт, прежде чем давать вам результаты.

Затем, основываясь на этих результатах, работайте над обеспечением безопасности вашего сайта. Security Ninja выполняет больше, чем тесты 50 для проверки вашей защиты. Даже после того, как вы внесли свои изменения, запустите его снова (и каждый раз, когда есть изменения сайта или обновления плагина), чтобы проверить ваш сайт.

Если это звучит для вас слишком много, Security Ninja также поставляется с множеством дополнительных модулей (pro версия, единственный сайт $ 29), которые помогут вам решить проблемы, которые он находит.

Некоторые другие ключевые функции в этих модулях включают:

  • Сканирование файлов ядра WP для выявления проблемных файлов
  • Восстановить измененные файлы одним щелчком мыши
  • Исправить поврежденные автоматические обновления WP
  • Запрет 600 миллионов неудачных IP-адресов, собранных из миллионов атакованных сайтов
  • Список автоматических обновлений, отсутствие необходимости в каком-либо техническом обслуживании или ручной работе
  • Защитить регистрационную форму от атак грубой силы

Заключительные мысли

Хотя все это может показаться немного чрезмерным для среднего пользователя WordPress, я заверяю вас, что все это (и многое другое) необходимы. Игнорируя глобальную статистику взлома и многое другое, позвольте мне поделиться с вами некоторой личной информацией об одном из самых неясных сайтов, которым я помогаю.

Первоначально начатый как простой сайт биографии, я создал www.timothyshim.com, Очевидно, это было то, что я настраивал, и большую часть времени оставляю в покое, просто как контрольную точку. В каждый месячный период этот сайт, который в основном ничего не делает и не собирает данных, сталкивается с атаками 30 - комбинацией грубой силы и сложной.

Все, что ему нужно, это для одного из них добиться успеха, и у меня будет на самом деле плохой день.

О Тимоти Шим

Тимоти Шим - писатель, редактор и технический специалист. Начиная свою карьеру в области информационных технологий, он быстро нашел свой путь в печать и с тех пор работал с международными, региональными и отечественными изданиями в средствах массовой информации, включая ComputerWorld, PC.com, Business Today и The Asian Banker. Его опыт заключается в области технологий как с точки зрения потребителя, так и с точки зрения предприятия.

Подключение: