10 мощных ключей к обеспечению безопасности вашего сайта WordPress в 2023 году

Слишком часто владельцы веб-сайтов WordPress обнаруживают, что их сайты были взломаны. Учитывая свою популярность в качестве CMS, WordPress является наиболее целевой платформой для хакеров, и в результате она получает плохую репутацию как небезопасная.

Но это не совсем так.

Природа WordPress с открытым исходным кодом означает, что любой может использовать его, и подавляющее большинство тех, кто его использует, не очень хорошо разбираются в основных методах кибербезопасности. Именно это создает иллюзию того, что WordPress менее безопасен, чем другие варианты создания веб-сайтов.

Те люди, которые используют надежные методы обеспечения безопасности, редко имеют проблемы со взломом сайтов. Так что же делает сайт WordPress безопасным?

 

Защита вашего сайта WordPress

Вот 10 вещей, о которых нужно помнить, когда дело доходит до защиты вашего сайта WordPress.

 

Используйте безопасный хост

Если у вас ничего не выйдет из этого поста, по крайней мере, обратите внимание на этот. Ваш веб-сайт WordPress настолько безопасен, насколько безопасен сервер, на котором он находится..

Большинство веб-сайтов WordPress построены на виртуальном хостинге, что означает, что ваш сайт находится на том же сервере, что и веб-сайты других клиентов. Выберите хостинговую компанию, которая правильно ограничивает права доступа к своим учетным записям на своих серверах.

Обратите внимание: Лучшие услуги хостинга WordPress по сравнению

Нередко один скомпрометированный веб-сайт заражает другие на том же сервере. Если вы выберете хост, на котором разрешения должным образом разделены для каждой учетной записи, риск межсайтового заражения сводится к минимуму.

Вопреки распространенному мнению, VPS-хостинг также подвержен распространению вредоносных программ. Атаки VMescape, когда вредоносное ПО использует уязвимости в платформах виртуализации, могут позволить вредоносным программам покинуть один VPS и перейти на другой VPS, который находится на том же физическом оборудовании.

Защищенные хосты также будут иметь другие средства защиты. К ним относятся использование мод-безопасности в конфигурации их веб-сервера, пакеты защиты от вредоносных программ, такие как Imunify360, и защита от DDoS, чтобы сайты не были перегружены ботами.

 

Обновляйте ядро, темы и плагины

Большинство сайтов WordPress взламывают из-за того, что у них заканчивается устаревший код. Это не мнение, это документально подтвержденный факт.

Исследователи безопасности, проводящие криминалистический анализ тысяч взломанных веб-сайтов WordPress, без сомнения определили, что устаревшие плагины и темы ответственны за более чем 80% из них.

Представьте себе, просто обновляя свои темы и плагины, вы можете исключить 80% вероятности того, что ваш сайт может быть скомпрометирован. Это ключ к обеспечению безопасности WordPress, на который стоит обратить внимание.

 

Включить двухфакторную аутентификацию

В то время как устаревшие темы и плагины несут ответственность за подавляющее большинство взломанных веб-сайтов WordPress, атаки методом грубой силы на имена пользователей и пароли являются наиболее распространенными методами, пытающимися получить несанкционированный доступ к веб-сайтам.

Хотя вероятность успеха обычно невелика, тем не менее около 8% взломанных веб-сайтов были взломаны просто путем подбора пароля пользователя.

Один из способов защитить свой сайт — включить двухфакторную аутентификацию (2FA). В дополнение к вашему имени пользователя и паролю, 2FA потребует от вас также предоставить одноразовый код доступа с вашего мобильного устройства или из сообщения электронной почты.

Если у хакера есть ваше имя пользователя и пароль для вашего веб-сайта, но у него нет вашего телефона или доступа к вашей электронной почте, он не сможет войти в систему.

Существует несколько подключаемых модулей, которые добавляют двухфакторную аутентификацию на ваш веб-сайт, и многие комплексные подключаемые модули безопасности, о которых мы поговорим в следующем разделе, также добавляют ее как часть многих функций, которые они включают.

 

Установите плагин безопасности

Есть люди, которые говорят, что вся безопасность должна обеспечиваться вашим хостом, но в мире кибербезопасности мы считаем, что безопасность обеспечивается слоями. Наличие плагина безопасности на вашем WordPress веб-сайт является еще одним из этих слоев.

Когда дело доходит до плагинов безопасности, есть из чего выбрать. Вот некоторые из самых популярных плагинов безопасности. Вы должны протестировать их и посмотреть, какой из них лучше всего соответствует вашим потребностям.

 

Wordfence

Хотя в этом посте не рассматривается, какой плагин безопасности является лучшим, самым популярным является Wordfence – и тому есть веские причины.

Во-первых, Wordfence — это компания, занимающаяся безопасностью, и безопасность — это все, что они делают. Они не какой-то разработчик плагинов WordPress, у которого в портфолио есть плагин безопасности, они живут и дышат безопасностью.

Плагин Wordfence поставляется с бесплатным брандмауэром веб-приложений, который проверяет каждый запрос по списку известных эксплойтов и блокирует их, если находит совпадение. У них также есть сканер вредоносных программ, который ищет явные признаки вредоносной активности и файлов. Еще одна замечательная функция — это возможность сканера сверять все файлы вашей темы и плагинов с файлами в репозитории WordPress.org, чтобы убедиться, что они совпадают.

Wordfence по умолчанию регистрирует все действия, связанные с безопасностью, чтобы вы могли просмотреть их и убедиться, что ваш сайт в безопасности.

Еще одна приятная особенность Wordfence — у них есть модуль двухфакторной аутентификации, поэтому вы можете выбить рекомендацию № 2 в этом посте. В той же линии защиты они также имеют защиту от грубой силы для блокировки IP-адресов, которые пытаются войти в систему несколько раз, эффективно останавливая ботов на их пути.

 

Sucuri

Sucuri — еще один отличный плагин безопасности, который может помочь защитить ваш веб-сайт WordPress. Он имеет многие из тех же замечательных функций, которые предлагает Wordfence, за одним заметным исключением: здесь нет бесплатного брандмауэра — он доступен только в платном плане премиум-класса.

Одно важное замечание о Sucuri заключается в том, что плагин был недавно приобретен GoDaddy, поэтому их способность поддерживать его должным образом еще предстоит доказать. В кругах веб-хостинга на GoDaddy не смотрят благосклонно, поэтому только время покажет, распространится ли эта репутация на Sucuri и смогут ли они принять вызов.

Sucuri также имеет журнал аудита, чтобы вы могли просматривать действия, связанные с безопасностью на вашем веб-сайте, такие как неудачные попытки входа в систему.

 

Все в одном WP Безопасность и брандмауэр

Все в одном WP Безопасность и брандмауэр — единственный плагин, который даже приближается по популярности к Wordfence. Он предлагает многие из тех же преимуществ, включая бесплатный брандмауэр на основе правил .htaccess, защиту от грубой силы и сканер безопасности.

Одна вещь, которую он не включает, — это модуль двухфакторной аутентификации, поэтому вам нужно будет добавить отдельный плагин для этой функции.

Можно утверждать, что All in One WP Security & Firewall на самом деле обеспечивает самый надежный брандмауэр из всех плагинов безопасности. Поскольку брандмауэр основан на .htaccess, он обрабатывается до запуска каких-либо сценариев, что делает его очень надежным.

All in One WP Security & Firewall также включает в себя удобную функцию для защиты от автоматического спама в комментариях. Кроме того, вы можете заменить систему комментариев WordPress по умолчанию на Deeper Комментарии для дополнительных функций и защиты.

 

Используйте Cloudflare

Cloudflare приобрел популярность среди пользователей WordPress благодаря отличному (и бесплатному) сервису CDN, который помогает ускорить работу вашего сайта. Но Cloudflare также предлагает множество бесплатных инструментов, которые помогут защитить ваш сайт от атак.

Во-первых, когда вы указываете свои серверы имен на Cloudflare, вы получаете преимущество одной из самых быстрых и безопасных доступных служб DNS и бесплатных сертификатов SSL.

Серверы Cloudflare проверяют весь трафик, прежде чем он попадет на ваш сервер, на наличие DDoS-атак, а их брандмауэр легко настраивается даже в бесплатной версии (с ограниченным количеством правил), что позволяет фильтровать трафик по стране, ASN или даже URL-адрес или строка запроса.

Например, если вы когда-либо заходите на свой веб-сайт только с одного IP-адреса или небольшого количества фиксированных IP-адресов, вы можете создать правило в Cloudflare, которое блокирует доступ всех других IP-адресов даже к wp-admin или wp-login.php. . Это заблокирует всех ботов, пытающихся выполнить атаки методом грубой силы, о которых мы говорили в разделе 3. Вы также можете ограничить доступ к wp-admin, используя ваш файл .htaccess вместо Cloudflare. Вы можете реализовать оба варианта, если хотите иметь несколько уровней защиты (настоятельно рекомендуется).

 

Не используйте пустые темы или плагины

Вы хотите премиальную тему, но не хотите платить за нее? Что ж, если вы получите его на одном из тех отрывочных сайтов, которые предлагают пустые темы и плагины, вы можете получить его бесплатно. Но есть еще цена…

Когда вы используете тему или плагин с нулевым значением, вы теряете гарантию того, что продукт такой же, как и у официального поставщика. Это означает, что вы теряете целостность кода.

Обнуленные темы и плагины являются значительным источником вредоносных программ, потому что иногда тот, кто обнулил плагин, добавил в него свое собственное вредоносное ПО, чтобы захватить ваш сайт или выполнить другие вредоносные действия, такие как кража ваших ресурсов для крипто-майнинга.

Нулевые темы и плагины — это вредоносное ПО, которое вы добровольно устанавливаете на свой сайт, даже не подозревая об этом. Просто чтобы сэкономить пару баксов? Это того не стоит. Если вам нужна премиум-функция, заплатите за нее уважаемому разработчику.

 

Отключить редактирование файлов

Панель администратора WordPress имеет очень удобный встроенный редактор, который позволяет изменять содержимое вашей темы и файлов плагинов. К сожалению, этот редактор также позволяет хакерам изменять код вашего веб-сайта, если они взломают вашу учетную запись.

Реальность такова, что ты почти никогда собирается использовать эту функцию. Если вы когда-нибудь редактируете основной файл, вы, вероятно, будете делать это непосредственно через файловый менеджер вашего хоста или с помощью FTP-клиента.

Вы можете отключить возможность редактирования файлов из панели администратора, добавив эту строку в ваш файл wp-config.php:

определить ('DISALLOW_FILE_EDIT', истина);

После того, как вы добавите эту строку, меню редактирования больше не будет доступно для файлов плагинов и тем в панели администратора WordPress.

 

Переместите и переименуйте файл wp-config.php

Пока мы говорим о файле wp-config.php, многие люди уже знают, что вы можете переместить файл wp-config.php на одну директорию из вашей установки WordPress, и ваш сайт будет работать нормально. Но давайте сделаем еще один шаг.

Знаете ли вы, что вы можете переименовать файл wp-config.php во что угодно и полностью переместить его из установки WordPress в закрытую папку? Это требует немного больше работы, но оно того стоит.

Хотя сам файл обычно возвращает пустую страницу при вызове в веб-браузере, в редких случаях, когда обработчик PHP дает сбой, все содержимое файла может отображаться в виде простого текста прямо в веб-браузере.

Файл wp-config.php содержит конфиденциальную информацию о вашем веб-сайте, включая имя пользователя и пароль базы данных. Эта информация в чужих руках может иметь катастрофические последствия. Случайное переименование файла помогает скрыть его от ботов и хакеров.

By перемещение wp-config.php в закрытую папку, вы лишаете кого-либо возможности получить информацию через браузер во время сбоя обработчика PHP.

 

Аудит активности на вашем сайте

Если вы не отслеживаете, что происходит на вашем веб-сайте, вы можете упустить ключевую информацию, которая может предупредить вас о попытке вредоносного действия или даже обнаружить вредоносную активность, если ваш сайт уже был скомпрометирован.

Помимо преимуществ безопасности, если у вас есть сайт с несколькими пользователями, наличие хорошего плагина аудита также может помочь вам отслеживать законные действия. Как агентство, это отличный инструмент, чтобы узнать, мог ли ваш клиент что-то напутать, даже если он говорит, что не делал этого!

Есть несколько хороших плагинов для аудита активности сайта. Некоторые из ранее упомянутых подключаемых модулей безопасности имеют некоторый уровень возможности ведения журнала аудита, но приведенные ниже выводят его на следующий уровень, проверяя все действия пользователя, а не только события, связанные с безопасностью. Вот топ-3.

 

Простая история — журнал активности пользователей, инструмент аудита

Простая история — самый популярный плагин для аудита, с которого стоит начать тестирование. Он регистрирует все, что вы ожидаете, например, обновления контента, установку и активацию плагинов и практически любой другой тип активности пользователя.

Плагин имеет 5-звездочный рейтинг, а команда разработчиков довольно активна на форумах поддержки и регулярно отвечает там на вопросы поддержки в разумные сроки.

 

Журнал активности WP

Ассоциация Журнал активности WP плагин — еще один отличный вариант для вашего сайта. У него больше настраиваемых параметров, чем у предыдущего плагина, например, возможность включать и отключать аудит определенных событий и настраиваемый период хранения для ведения журнала. Он также имеет множество надстроек для расширения мониторинга на специальные плагины, такие как WooCommerce и WPForms.

Плагин имеет рейтинг 4.5 звезды, и ведущий разработчик лично отвечает практически на каждый вопрос форума поддержки.

Если вы управляете агентством, WP Activity Log хорошо интегрируется с популярным инструментом управления MainWP, поэтому вы можете просматривать журналы аудита всех ваших клиентских сайтов в едином интерфейсе. Среди агентств WP Activity Log — лучший выбор для ведения журнала аудита.

 

Activity Log

Еще один популярный вариант с рейтингом 4.5 звезды. Activity Log захватывает все, что вы ожидаете, и имеет большое количество активных установок.

К сожалению, разработчик не часто отвечает на запросы поддержки на форумах, и большинство вопросов поддержки остаются без ответа на неопределенный срок.

 

Используйте принцип наименьших привилегий

В мире кибербезопасности принцип наименьших привилегий — это концепция, согласно которой у пользователя есть только те разрешения, которые ему необходимы для выполнения своей работы.

В мире WordPress нередко можно увидеть компанию с 10 пользователями, у которых все права администратора. Для такого уровня доступа могут быть законные причины, но редко требуется более 1 или 2 учетных записей с таким высоким уровнем разрешений.

Одна вещь, которую вы не можете контролировать, — это то, что делают ваши пользователи, когда они не выполняют активную работу на вашем веб-сайте WordPress. Это означает, что если они не смогут защитить свои данные от хакеров, велика вероятность того, что неряшливость прольется на ваш сайт.

Ограничив их доступ, вы сможете смягчить любой ущерб, который пользователь может непреднамеренно нанести, например, щелкнув вредоносную ссылку, еще находясь на вашем веб-сайте. Даже если вы являетесь администратором сайта, вам следует использовать отдельную учетную запись редактора с ограниченными разрешениями, когда вы не выполняете административные задачи высокого уровня.

Утомительно ли это делать? Конечно. Но это гораздо менее утомительно, чем очистка зараженного веб-сайта.

 

Бонус: делайте частые резервные копии

В худшем случае, когда ваш сайт был скомпрометирован, иногда единственным вариантом является его восстановление из чистой резервной копии; тот, который был принят до заражения. Большинство приличных хостинговых компаний делают резервную копию вашего сайта один раз в день, но обычно они хранят эти резервные копии только в течение нескольких недель.

Это проблематично, если у вас есть инфекция, которая какое-то время оставалась незамеченной. Многие инфекции эффективно скрываются от администраторов, вошедших в систему, чтобы избежать обнаружения как можно дольше.

Поскольку теперь вы знаете, что безопасность лучше всего обеспечивается уровнями, вы можете применить ту же концепцию к своим резервным копиям, создав собственные резервные копии в дополнение к веб-хостингу.

Есть несколько отличных бесплатных плагинов для резервного копирования, в том числе UpdraftPlus, BackWPupи Миграция «все-в-одном» WP. У каждого из них есть свои сильные и слабые стороны, но все они очень надежны и позволяют более регулярно создавать резервные копии вашего сайта. В некоторых случаях вы даже можете автоматически создавать резервные копии в удаленном облачном хранилище, таком как Dropbox или OneDrive.

 

Заключение

Безопасность WordPress является важной частью владения веб-сайтом. Это также может быть трудоемким и ресурсоемким процессом, если он выполняется неправильно или игнорируется. Внедрив ключи, описанные в этом посте, вы можете автоматизировать большую часть своих потребностей в безопасности, чтобы вы могли сосредоточиться на том, что важно: на вашем бизнесе.