Защита WordPress от атак - 8 способов
Будь то бизнес-сайт или простой блог, надлежащая безопасность WordPress в наши дни просто необходима. Ни один сайт не является на 100% безопасным, поэтому нам необходимо принимать определенные меры для защиты от атак из Интернета. В настоящее время большинство сайтов построено на популярной системе управления контентом WordPress. Несмотря на то, что WordPress старается постоянно латать дыры в своей безопасности, многие сайты все равно становятся жертвами взлома.
Почему вы должны позаботиться о защите WordPress от атак?
Более 25% всех сайтов, индексируемых в популярных поисковых системах, основаны на системе WordPress.
Такой интерес к этой системе порождает проблему - угрозу хакерских атак.
Если что-то так популярно, как WordPress, всегда найдутся желающие воспользоваться его слабостями.
Если сайт станет жертвой такой атаки, может пострадать не только весь сайт, но и ваш имидж среди клиентов.
Поэтому чрезвычайно важно, чтобы безопасность WordPress была на самом высоком уровне, чтобы снизить вероятность хакерских атак.
1. Выбор при подборе и установке плагинов
Это самый важный пункт в данном списке, так как почти 95% атак на сайты связаны с неподходящими плагинами, которые устарели и не обновляются.
Почему?
Репозиторий WordPress огромен и содержит сотни тысяч более или менее продвинутых плагинов.
Однако не все из них заслуживают нашего внимания из-за отсутствия каких-либо функций безопасности и устаревшего кода.
Если вы установите все плагины, которые попадутся вам на глаза, велика вероятность, что в ближайшем будущем результаты поиска вашего сайта будут выглядеть следующим образом:
Какие плагины безопасны, а какие нет?
Путем установки плагина:
- Ознакомьтесь с его отзывами.
- Посмотрите на оценки пользователей.
- Просмотрите комментарии и раздел помощи.
- Проверьте, когда он был добавлен и когда он был обновлен в последний раз.
Такой порядок действий является очень хорошей практикой - будь то плагин или даже тема WordPress, его стоит соблюдать.
Прежде чем устанавливать новые плагины, хорошо бы сделать защитную копию вашего сайта, чтобы у вас было резервное колесо на случай сбоя или других проблем.
Помните, что ваш хостер также делает резервные копии и обычно хранит их в течение недели, поэтому у вас всегда есть возможность восстановить свой сайт.
2. Выберите надежный пароль
Создайте надежный пароль для панели администратора и регулярно меняйте его.
Стоит использовать:
- прописные и строчные буквы
- цифры и специальные символы
Если вам трудно придумать такой пароль, веб-сайт Secure Password Generator поможет вам выбрать и запомнить новый надежный пароль.
3. Измените логин администратора
Никогда не используйте логин 'admin' или 'administrator' для своего сайта WordPress.
Почему?
Потому что вы даете руку помощи хакерам, которые сначала посмотрят на имя пользователя 'admin' или 'administrator', и им останется только взломать пароль.
Как администратор многих сайтов WordPress, я просматриваю журналы каждый день и всегда вижу, что кто-то пытался войти на сайт, используя логин 'admin', чтобы попасть в кабину.
Какой логин мне выбрать?
Вот несколько советов:
- Не используйте свою электронную почту.
- Не используйте свое имя пользователя.
- Не используйте на сайте ни одной бросающейся в глаза фразы.
- Не используйте то же имя пользователя, что и при ответе на комментарии.
Все другие названия разрешены и достаточно безопасны.
4. Измените или защитите паролем адрес wp-admin
Каталог wp-admin является основой всего сайта WordPress.
Если эта часть сайта будет каким-то образом скомпрометирована, весь сайт может перестать работать.
Один из способов избежать этого - изменить или защитить паролем адрес wp-admin.
Таким образом, перед тем как попасть в wp-admin, необходимо будет ввести еще один пароль, что означает, что мы вдвойне защищаем наш WordPress.
Если вы решите изменить адрес wp-admin на что-то другое, помните, что нельзя использовать в адресе фразу 'admin' и производные.
5. Блокировка редактирования файлов из панели администратора
Если кому-то удастся получить доступ к вашей панели администратора, он может легко начать изменять и редактировать файлы вашей темы, что позволит ему делать практически все, что угодно.
Мы можем легко противостоять этому, добавив директиву в wp-config.php:
define('DISALLOW_FILE_EDIT', true);
В какой момент?
Именно перед комментарием:
/* Это все, прекратите редактирование! Счастливого блоггинга. */
Это делает невозможным редактирование файлов из панели администратора. Теперь единственным способом редактирования является вход на FTP.
6. Удалите информацию о версии WordPress
Ваша текущая версия WordPress очень легко читается из источника страницы в браузере.
Зачем скрывать версию WordPress?
Дело вот в чем: если хакер знает, какую версию WordPress вы используете, ему будет легче разработать подходящую атаку на ваш сайт.
Как вы это скрываете?
Есть два способа. Вы редактируете файл functions.php и добавляете следующий код:
функция remove_wp_version() {
return '';
}
add_filter('the_generator', 'remove_wp_version');
Второй способ - использовать плагин WP Hide & Security Enhancer.
7. Измените префикс базы данных WordPress
Если вы когда-либо устанавливали сайт с использованием WordPress, вам наверняка бросилось в глаза, что каждая таблица в базе данных имеет префикс "wp_".
Использование префикса по умолчанию делает вашу базу данных уязвимой к атакам SQL-инъекций.
Вы можете легко предотвратить это, изменив префикс таблицы на символы, отличные от "wp_". Это могут быть, например, "wit_", "str_" или совершенно случайные символы.
Если ваш сайт уже установлен и работает некоторое время, то вы можете использовать специальный плагин под названием WP-DBManager для изменения префикса таблицы уже существующей базы данных.
Перед этой операцией мы советуем вам создать защищенную копию базы данных.
8. Обновляйте плагины и сам WordPress
Вы должны знать, что каждый имеет доступ к коду WordPress благодаря политике открытого исходного кода. Несмотря на то, что WordPress достаточно хорошо защищен, это все же не идеальная система.
Как вы, возможно, уже заметили, различные обновления WordPress выходят очень часто. Большинство из них являются исправлениями безопасности для поддержки защиты WordPress от атак.
Устаревшие версии WordPress и отсутствие обновлений плагинов могут стать причиной серьезных проблем для сайта.
Многие люди просто не помнят об этом, не имеют времени или технических знаний для поддержания последних версий плагинов и WordPress, поэтому их сайты могут быть заражены или атакованы хакерами.
Обязательно обновляйте WordPress, плагины и вашу тему.
Защита WordPress от атак - резюме
Защита WordPress от атак - это то, к чему нужно относиться очень серьезно. Если вы не примете правильных мер безопасности, то риск быть взломанным очень высок.
Это может привести к тому, что ваш сайт станет небезопасным для пользователей и Google заблокирует его с соответствующим сообщением. В худшем случае вы потеряете все свои данные и репутацию среди своих клиентов.
Надеемся, что эта статья помогла вам усвоить некоторые передовые методы защиты WordPress от атак хакеров. К сожалению, вы должны знать, что WordPress имеет свои слабые места, как и многие другие CMS системы, и на самом деле мы не уверены на 100%, что даже меры безопасности, упомянутые в нашем посте, позволят вам спать спокойно.
В Интернете можно найти огромное количество утверждений о том, почему WordPress безопасен и почему нет. На самом деле, сайты малого бизнеса на WordPress достаточно безопасны, если они придерживаются основных правил безопасности. Беспокойство вызывают крупные и популярные сайты, которые решили перейти на WordPress и не имеют технической базы опытных веб-мастеров.
Стоит прочитать комментарии под статьей с сайта Spider's Web и сделать собственные выводы. Помимо очевидной "жути" по поводу фактичности этого сообщения, здесь есть несколько интересных материалов от людей, обладающих обширными знаниями в этой области.
Если у вас есть вопросы, не стесняйтесь и задавайте их в комментариях. В меру своих возможностей мы ответим всем.
