10 потужних ключів до захисту вашого сайту WordPress у 2023 році

Надто часто власники веб-сайтів WordPress виявляють, що їхні сайти зламані. Враховуючи його популярність як CMS, WordPress є найбільш націленою платформою з боку хакерів, і в результаті він отримує погану назву як небезпечний.

Але насправді це не так.

Природа WordPress з відкритим кодом означає, що будь-хто може використовувати його, і переважна більшість тих, хто його використовує, не дуже добре розбираються в основних практиках кібербезпеки. Саме це створює ілюзію того, що WordPress дещо менш безпечний, ніж інші варіанти створення веб-сайтів.

Ті люди, які використовують надійні методи безпеки, рідко мають проблеми зі зломом сайтів. Отже, що робить сайт WordPress безпечним?

 

Захист вашого сайту WordPress

Ось 10 речей, про які слід пам’ятати, коли справа доходить до захисту вашого веб-сайту WordPress.

 

Використовуйте захищений хост

Якщо з цього допису ви нічого не дізналися, принаймні зверніть увагу на цей. Ваш веб-сайт WordPress безпечний настільки, наскільки безпечний сервер, на якому він розміщений.

Більшість веб-сайтів WordPress створено на спільному хостингу, тобто ваш сайт знаходиться на тому ж сервері, що й веб-сайти інших клієнтів. Виберіть хостингову компанію, яка належним чином обмежує дозволи облікових записів на своїх серверах.

Перевірте це: Порівняно найкращі послуги хостингу WordPress

Нерідкі випадки, коли один скомпрометований веб-сайт заражає інші на тому самому сервері. Якщо ви обираєте хост, де дозволи належним чином розділені для кожного облікового запису, ризик міжсайтового зараження мінімізується.

Всупереч поширеній думці, VPS-хостинг також сприйнятливий до розповсюдження шкідливих програм. Атаки VMescape, коли зловмисне програмне забезпечення використовує вразливості в платформах віртуалізації, можуть дозволити зловмисному програмному забезпеченню уникнути одного VPS і перейти на інший VPS, який живе на тому ж фізичному обладнанні.

Захищені хости також матимуть інші засоби захисту. Вони включають використання мод-безпеки в конфігурації веб-сервера, пакети захисту від зловмисного програмного забезпечення, такі як Imunify360, і захист від DDoS-атак, щоб сайти не були перевантажені ботами.

 

Оновлюйте ядро, теми та плагіни

Більшість сайтів WordPress зламують через те, що на них закінчується актуальний код. Це не думка, це документально підтверджений факт.

Дослідники безпеки, які проводили криміналістичний аналіз тисяч зламаних веб-сайтів WordPress, безсумнівно, визначили, що понад 80% з них спричинені застарілими плагінами та темами.

Уявіть собі, просто оновлюючи свої теми та плагіни, ви можете на 80% усунути ймовірність того, що ваш сайт може бути зламано. Тепер це ключ до захисту WordPress, який варто взяти до уваги.

 

Увімкнути двофакторну автентифікацію

Хоча застарілі теми та плагіни спричиняють переважну більшість зламаних веб-сайтів WordPress, атаки грубою силою на імена користувачів і паролі є найпоширенішими методами спроби отримати неавторизований доступ до веб-сайтів.

Хоча рівень успіху зазвичай низький, все ж близько 8% зламаних веб-сайтів було зламано просто шляхом вгадування пароля користувача.

Один із способів захистити свій веб-сайт — увімкнути 2-факторну автентифікацію (2FA). Окрім вашого імені користувача та пароля, 2FA також вимагатиме від вас надіслати одноразовий пароль із вашого мобільного пристрою або з повідомлення електронної пошти.

Якщо хакер має ваше ім’я користувача та пароль для вашого веб-сайту, але у нього немає вашого телефону чи доступу до вашої електронної пошти, він не зможе увійти.

Є кілька плагінів, які додають 2-факторну автентифікацію на ваш веб-сайт, і багато комплексних плагінів безпеки, про які ми поговоримо в наступному розділі, також додають її як частину багатьох функцій, які вони включають.

 

Встановіть плагін безпеки

Є люди, які кажуть, що всю безпеку має здійснювати ваш хост, але у світі кібербезпеки ми вважаємо, що безпека відбувається пошарово. Наявність плагіна безпеки на вашому WordPress веб-сайт – це ще один із цих рівнів.

Що стосується плагінів безпеки, їх можна вибрати з різноманітності. Ось деякі з найпопулярніших плагінів безпеки. Ви повинні перевірити їх і визначити, який із них найкраще відповідає вашим потребам.

 

Wordfence

Хоча в цій публікації ми не розглядатимемо, який плагін безпеки найкращий, найпопулярнішим є Wordfence – і на це є вагомі причини.

По-перше, Wordfence — це компанія, яка займається безпекою, і все, що вони роблять, це безпека. Вони не якісь розробники плагінів WordPress, які випадково мають плагін безпеки у своєму портфоліо, вони живуть і дихають безпекою.

Плагін Wordfence поставляється з безкоштовним брандмауером веб-додатків, який перевіряє кожен запит на список відомих експлойтів і блокує їх, якщо знаходить відповідність. У них також є сканер шкідливих програм, який шукає ознаки зловмисної діяльності та файлів. Ще одна чудова функція — це здатність сканера перевіряти всі ваші файли тем і плагінів на відповідність файлів у репозиторії WordPress.org.

Wordfence за замовчуванням реєструє всі дії, пов’язані з безпекою, щоб ви могли переглянути їх і переконатися, що ваш сайт безпечний.

Ще одна приємна функція Wordfence полягає в тому, що вони мають модуль 2-факторної автентифікації, тому ви можете вибити рекомендацію №3 у цій публікації. У тому ж рядку захисту вони також мають захист від грубої сили, щоб блокувати IP-адреси, які намагаються ввійти кілька разів, ефективно зупиняючи ботів на їхніх слідах.

 

Sucuri

Sucuri це ще один чудовий плагін безпеки, який може допомогти захистити ваш веб-сайт WordPress. Він має багато тих самих чудових функцій, які пропонує Wordfence, за одним помітним винятком: немає безкоштовного брандмауера – він доступний лише в преміальному платному плані.

Одне важливе зауваження щодо Sucuri полягає в тому, що плагін нещодавно придбала компанія GoDaddy, тому їхня здатність підтримувати його належним чином ще не доведена. У колах веб-хостингу GoDaddy не сприймають прихильно, тому лише час покаже, чи пошириться ця репутація на Sucuri, чи вони зможуть прийняти виклик.

Sucuri також має журнал аудиту, щоб ви могли переглядати дії, пов’язані з безпекою на вашому веб-сайті, наприклад невдалі входи.

 

Все в одному WP Security & Firewall

Все в одному WP Security & Firewall це єдиний плагін, який навіть наближається до Wordfence за популярністю. Він пропонує багато тих самих переваг, включаючи безкоштовний брандмауер на основі правил .htaccess, захист від грубої сили та сканер безпеки.

Він не включає модуль двофакторної автентифікації, тому вам потрібно буде додати окремий плагін для цієї функції.

Можна стверджувати, що All in One WP Security & Firewall насправді забезпечує найнадійніший брандмауер з усіх плагінів безпеки. Оскільки брандмауер заснований на .htaccess, він обробляється перед виконанням будь-яких сценаріїв, що робить його дуже надійним.

All in One WP Security & Firewall також містить гарну функцію, яка допомагає захистити від автоматичного спаму в коментарях. Крім того, ви можете замінити систему коментарів WordPress за замовчуванням на Deeper Коментарі для додаткових функцій і захисту.

 

Використовуйте Cloudflare

Cloudflare завоював популярність серед користувачів WordPress завдяки чудовій (і безкоштовній) службі CDN, яка допомагає пришвидшити ваш веб-сайт. Але Cloudflare також пропонує безліч безкоштовних інструментів, які допоможуть захистити ваш сайт від атак.

По-перше, коли ви спрямовуєте свої сервери імен на Cloudflare, ви отримуєте одну з найшвидших і найбезпечніших доступних служб DNS і безкоштовні сертифікати SSL.

Сервери Cloudflare перевіряють увесь трафік перед тим, як він потрапить на ваш сервер на наявність DDoS-атак, а їх брандмауер можна налаштувати навіть у безкоштовній версії (з обмеженою кількістю правил), що дозволяє фільтрувати трафік на основі країни, ASN або навіть URL-адреса або рядок запиту.

Наприклад, якщо ви входите на свій веб-сайт лише з однієї IP-адреси або невеликої кількості фіксованих IP-адрес, ви можете створити правило в Cloudflare, яке блокує доступ до wp-admin або wp-login.php для всіх інших IP-адрес. . Це заблокує всіх ботів, які намагаються виконати ті атаки грубої сили, про які ми говорили в розділі 3. Ви також можете обмежити доступ до wp-admin за допомогою вашого файлу .htaccess замість Cloudflare. Ви можете застосувати обидва, якщо вам потрібні кілька рівнів захисту (настійно рекомендується).

 

Не використовуйте нульові теми чи плагіни

Вам потрібна преміальна тема, але ви не хочете за неї платити? Ну, якщо ви отримаєте його з одного з тих схематичних сайтів, які пропонують нульові теми та плагіни, ви можете отримати його безкоштовно. Але ще є ціна…

Коли ви використовуєте нульову тему або плагін, ви втрачаєте гарантію того, що продукт є таким самим, як той, який пропонує офіційний постачальник. Це означає, що ви втрачаєте цілісність коду.

Обнулені теми та плагіни є значним джерелом зловмисного програмного забезпечення, тому що іноді той, хто зробив плагін обнуленим, додає до нього власне зловмисне програмне забезпечення, щоб заволодіти вашим сайтом або виконати інші зловмисні дії, наприклад викрадення ваших ресурсів для майнінгу криптовалют.

Обнулені теми та плагіни — це зловмисне програмне забезпечення, яке ви охоче встановлюєте на свій веб-сайт, навіть не усвідомлюючи цього. Просто щоб заощадити кілька доларів? Це не варто. Якщо вам потрібна функція преміум-класу, заплатите за неї авторитетному розробнику.

 

Вимкнути редагування файлів

Інформаційна панель адміністратора WordPress має дуже зручний вбудований редактор, який дозволяє змінювати вміст ваших файлів теми та плагінів. На жаль, цей редактор також дозволяє хакерам зручніше змінювати код вашого веб-сайту, якщо вони зламали ваш обліковий запис.

Реальність така, що ви майже ніколи збирається використовувати цю функцію. Якщо ви коли-небудь редагуєте основний файл, ви, ймовірно, збираєтеся робити це безпосередньо через файловий менеджер вашого хосту або за допомогою клієнта FTP.

Ви можете вимкнути можливість редагувати файли з інформаційної панелі адміністратора, додавши цей один рядок до вашого файлу wp-config.php:

define('DISALLOW_FILE_EDIT', true);

Щойно ви додасте цей рядок, меню редагування більше не буде доступним для файлів плагінів і тем на інформаційній панелі адміністратора WordPress.

 

Перемістіть і перейменуйте файл wp-config.php

Поки ми говоримо про файл wp-config.php, багато людей уже знають, що ви можете перемістити файл wp-config.php на один каталог вище з інсталяції WordPress, і ваш сайт працюватиме нормально. Але давайте зробимо крок далі.

Чи знаєте ви, що ви можете перейменувати файл wp-config.php на будь-який, який забажаєте, і повністю перемістити його зі своєї інсталяції WordPress у закриту папку? Це вимагає трохи більше роботи, але воно того варте.

Хоча сам файл зазвичай повертає порожню сторінку під час виклику у веб-браузері, у рідкісних випадках, коли обробник PHP виходить з ладу, увесь вміст файлу може бути видимим як звичайний текст прямо у веб-браузері.

Файл wp-config.php містить конфіденційну інформацію про ваш веб-сайт, включаючи ім’я користувача бази даних і пароль. Ця інформація в чужих руках може мати катастрофічні наслідки. Перейменування файлу на щось випадкове допомагає приховати його від ботів і хакерів.

By переміщення wp-config.php до закритої папки, ви усуваєте можливість для когось отримати інформацію через браузер під час збою обробки PHP.

 

Аудит діяльності на вашому сайті

Якщо ви не стежите за тим, що відбувається на вашому веб-сайті, можливо, ви втрачаєте ключову інформацію, яка може попередити вас про спробу зловмисної діяльності або навіть виявити зловмисну ​​діяльність, якщо ваш сайт уже зламано.

Крім переваг у безпеці, якщо у вас є сайт із кількома користувачами, наявність хорошого плагіна аудиту також може допомогти вам відстежувати законні дії. Як агентство, це чудовий інструмент, щоб дізнатися, чи міг ваш клієнт щось наплутати, навіть якщо він каже, що не робив цього!

Існує кілька хороших плагінів для перевірки активності сайту. Деякі з раніше згаданих плагінів безпеки мають певний рівень можливостей журналювання аудиту, але наведені нижче виводять це на наступний рівень, перевіряючи всю діяльність користувача, а не лише події, пов’язані з безпекою. Ось 3 найкращі.

 

Проста історія – журнал активності користувача, інструмент аудиту

Проста історія це найпопулярніший плагін для аудиту, і з нього чудово почати тестування. Він реєструє все, чого ви очікуєте, як-от оновлення вмісту, встановлення та активація плагінів і майже будь-який інший тип активності користувача.

Плагін має 5-зірковий рейтинг, а команда розробників досить активно бере участь у форумах підтримки та регулярно відповідає на запитання підтримки в розумні терміни.

 

Журнал активності WP

Команда Журнал активності WP плагін — ще один чудовий варіант для використання на вашому сайті. Він має деякі параметри, які можна налаштувати, ніж попередній плагін, наприклад можливість увімкнути та вимкнути аудит певних подій і настроюваний період зберігання для журналювання. Він також має масу доповнень для поширення моніторингу на спеціальні плагіни, такі як WooCommerce і WPForms.

Плагін має рейтинг 4.5 зірки, а провідний розробник особисто відповідає майже на кожне запитання форуму підтримки.

Якщо ви керуєте агентством, WP Activity Log добре інтегрується з популярним інструментом керування MainWP, тож ви можете переглядати журнали аудиту всіх своїх клієнтських сайтів в єдиному інтерфейсі. Серед агентств WP Activity Log є вибором №1 для журналювання аудиту.

 

Журнал активності

Ще один популярний варіант із рейтингом 4.5 зірки. Журнал активності фіксує все, що ви очікуєте, і має велику кількість активних установок.

На жаль, розробник нечасто відповідає на запити підтримки на форумах, тому більшість питань підтримки залишаються без відповіді на невизначений час.

 

Використовуйте принцип найменших привілеїв

У світі кібербезпеки принцип найменших привілеїв — це концепція, згідно з якою користувач має лише дозволи, необхідні для виконання своєї роботи.

У світі WordPress нерідко можна побачити компанію з 10 користувачами, які мають права адміністратора. Можуть бути законні причини для такого рівня доступу, але рідко коли потрібно більше 1 або 2 облікових записів із таким високим рівнем дозволів.

Ви не можете контролювати те, що роблять ваші користувачі, коли вони не виконують активну роботу на вашому веб-сайті WordPress. Це означає, якщо вони не зможуть захистити власні дані від хакерів, існує велика ймовірність того, що неохайність перекинеться на ваш веб-сайт.

Обмеживши їхній доступ, ви зможете зменшити будь-яку шкоду, яку користувач може ненавмисно завдати, наприклад натиснути зловмисне посилання, не перебуваючи на вашому веб-сайті. Навіть якщо ви адміністратор сайту, вам слід використовувати окремий обліковий запис редактора з обмеженими дозволами, коли ви не виконуєте адміністративні завдання високого рівня.

Це нудно робити це? звичайно Але це набагато менш стомлююче, ніж очищення зараженого веб-сайту.

 

Бонус: часто створюйте резервні копії

У найгіршому випадку, коли ваш сайт було зламано, іноді єдиним виходом є його відновлення з чистої резервної копії; той, який був прийнятий до інфікування. Більшість порядних веб-хостингових компаній створюють резервну копію вашого сайту раз на день, але зазвичай вони зберігають ці резервні копії лише пару тижнів.

Це проблематично, якщо у вас є інфекція, яка деякий час залишалася непоміченою. Багато інфекцій ефективно приховують себе від увійшли в систему адміністраторів, щоб уникнути виявлення якомога довше.

Оскільки тепер ви знаєте, що безпека найкраща в рівнях, ви можете застосувати ту саму концепцію до своїх резервних копій, зробивши власні резервні копії на додаток до свого веб-хосту.

Є кілька чудових безкоштовних плагінів резервного копіювання, зокрема UpdraftPlus, BackWPup та All-in-One Migration WP. Кожен із них має свої сильні та слабкі сторони, але всі вони дуже надійні та дозволяють вам частіше створювати резервні копії вашого сайту. У деяких випадках можна навіть автоматично створювати резервні копії у віддалене хмарне сховище, наприклад Dropbox або OneDrive.

 

Заключні думки

Безпека WordPress є важливою частиною володіння веб-сайтом. Це також може бути трудомістким і ресурсомістким процесом, якщо виконуватись неправильно або нехтувати нею. Застосувавши ключі, наведені в цій публікації, ви зможете автоматизувати більшість своїх потреб у безпеці, щоб зосередитися на важливому: своєму бізнесі.