Захист WordPress від атак - 8 способів
Чи це бізнес-сайт або простий блог, належна безпека WordPress в наші дні просто необхідна. Жоден сайт не є 100% безпечним, тому нам необхідно вживати певних заходів для захисту від атак з Інтернету. В даний час більшість сайтів побудовано на популярній системі керування контентом WordPress. Незважаючи на те, що WordPress намагається постійно латати дірки у своїй безпеці, багато сайтів все одно стають жертвами злому.
Чому ви повинні подбати про захист WordPress від атак?
Більше 25% всіх сайтів, що індексуються в популярних пошукових системах, засновані на системі WordPress.
Такий інтерес до цієї системи породжує проблему - загрозу атак хакерів.
Якщо щось таке популярне, як WordPress, завжди знайдуться охочі скористатися його слабкостями.
Якщо сайт стане жертвою такої атаки, може постраждати не лише весь сайт, а й ваш імідж серед клієнтів.
Тому надзвичайно важливо, щоб безпека WordPress була на найвищому рівні, щоб знизити ймовірність атак хакерів.
1. Вибір підбору та встановлення плагінів
Це найважливіший пункт у цьому списку, оскільки майже 95% атак на сайти пов'язані з невідповідними плагінами, які застаріли та не оновлюються.
Чому?
Репозиторій WordPress величезний і містить сотні тисяч більш менш просунутих плагінів.
Однак не всі з них заслуговують на нашу увагу через відсутність будь-яких функцій безпеки та застарілого коду.
Якщо ви встановите всі плагіни, які трапляться вам на очі, велика ймовірність, що в найближчому майбутньому результати пошуку вашого сайту будуть виглядати так:
Які плагіни безпечні, а які ні?
Шляхом встановлення плагіна:
- Ознайомтеся з його відгуками.
- Подивіться на оцінки користувачів.
- Перегляньте коментарі та розділ допомоги.
- Перевірте, коли він був доданий і коли він був оновлений востаннє.
Такий порядок дій є дуже гарною практикою - чи то плагін або навіть тема WordPress, його варто дотримуватися.
Перш ніж встановлювати нові плагіни, добре зробити захисну копію вашого сайту, щоб у вас було резервне колесо на випадок збою або інших проблем.
Пам'ятайте, що ваш хостер також робить резервні копії і зазвичай зберігає їх протягом тижня, тому у вас завжди є можливість відновити свій сайт.
2. Виберіть надійний пароль
Створіть надійний пароль для панелі адміністратора та регулярно змінюйте його.
Варто використовувати:
- великі та малі літери
- цифри та спеціальні символи
3. Змініть логін адміністратора
Ніколи не використовуйте логін 'admin' або 'administrator' для свого сайту WordPress.
Чому?
Тому що ви даєте руку допомоги хакерам, які спочатку подивляться на ім'я користувача 'admin' або 'administrator', і їм залишиться лише зламати пароль.
Як адміністратор багатьох сайтів WordPress, я переглядаю журнали щодня і завжди бачу, що хтось намагався увійти на сайт, використовуючи логін 'admin', щоб потрапити до кабіни.
Який логін мені обрати?
Ось кілька порад:
- Не використовуйте свою електронну пошту.
- Не використовуйте своє ім'я користувача.
- Не використовуйте на сайті жодної фрази, що кидається в очі.
- Не використовуйте те саме ім'я користувача, що й при відповіді на коментарі.
Всі інші назви дозволені та достатньо безпечні.
4. Змініть або захистіть паролем адресу wp-admin
Каталог wp-admin є основою всього сайту WordPress.
Якщо ця частина сайту буде якимось чином скомпрометована, весь сайт може перестати працювати.
Один із способів уникнути цього - змінити або захистити паролем адресу wp-admin.
Таким чином, перед тим як потрапити до wp-admin, необхідно буде ввести ще один пароль, що означає, що ми подвійно захищаємо наш WordPress.
Якщо ви вирішите змінити адресу wp-admin на щось інше, пам'ятайте, що не можна використовувати в адресі фразу 'admin' та похідні.
5. Блокування редагування файлів з панелі адміністратора
Якщо комусь вдасться отримати доступ до вашої панелі адміністратора, він може легко почати змінювати та редагувати файли вашої теми, що дозволить йому робити практично.
Ми можемо легко протистояти цьому, додавши директиву в wp-config.php:
define('DISALLOW_FILE_EDIT', true);
У який момент?
Саме перед коментарем:
/* Це все, припиніть редагування! Щасливий блогінг. */
Це унеможливлює редагування файлів з панелі адміністратора. Тепер єдиним способом редагування є вхід до FTP.
6. Видаліть інформацію про версію WordPress
Ваша поточна версія WordPress дуже легко читається з джерела сторінки в браузері.
Навіщо приховувати версію WordPress?
Справа ось у чому: якщо хакер знає, яку версію WordPress ви використовуєте, йому буде легше розробити відповідну атаку на ваш сайт.
Як ви це приховуєте?
Є два способи. Ви редагуєте файл functions.php і додаєте наступний код:
функція remove_wp_version() {
return '';
}
add_filter('the_generator', 'remove_wp_version');
Другий спосіб – використовувати плагін WP Hide & Security Enhancer. 7. Змініть префікс бази даних WordPress.
Використання стандартного префікса робить вашу базу даних вразливою до атак SQL-ін'єкцій.
Ви можете легко запобігти цьому, змінивши префікс таблиці на символи, відмінні від "wp_". Це можуть бути, наприклад, "wit_", "str_" або випадкові символи.
Якщо ваш сайт вже встановлений і працює деякий час, то ви можете використовувати спеціальний плагін під назвою WP-DBManager для зміни префіксу таблиці вже існуючої бази даних.
Перед цією операцією ми радимо вам створити захищену копію бази даних.
8. Поновлюйте плагіни і сам WordPress
Ви повинні знати, що кожен має доступ до коду WordPress завдяки політиці відкритого вихідного коду. Незважаючи на те, що WordPress досить добре захищений, це все ж таки не ідеальна система.
Як ви, можливо, вже помітили, різні оновлення WordPress виходять дуже часто. Більшість із них є виправленнями безпеки для підтримки захисту WordPress від атак.
Застарілі версії WordPress та відсутність оновлень плагінів можуть стати причиною серйозних проблем для сайту.
Багато людей просто не пам'ятають про це, не мають часу або технічних знань для підтримки останніх версій плагінів та WordPress, тому їх сайти можуть бути заражені або атаковані хакерами.
Обов'язково оновлюйте WordPress, плагіни та вашу тему.
Захист WordPress від атак - резюме
Захист WordPress від атак - це те, до чого потрібно ставитись дуже серйозно. Якщо ви не вживете правильних заходів безпеки, то ризик бути зламаним дуже високий.
Це може призвести до того, що ваш сайт стане небезпечним для користувачів і Google заблокує його з відповідним повідомленням. У найгіршому випадку ви втратите всі свої дані та репутацію серед своїх клієнтів.
Сподіваємося, що ця стаття допомогла вам засвоїти деякі передові методи захисту WordPress від хакерських атак. На жаль, ви повинні знати, що WordPress має свої слабкі місця, як багато інших CMS системи, і насправді ми не впевнені на 100%, що навіть заходи безпеки, згадані в нашому пості, дозволять вам спати спокійно.
В Інтернеті можна знайти величезну кількість тверджень про те, чому WordPress безпечний і чому ні. Насправді сайти малого бізнесу на WordPress досить безпечні, якщо вони дотримуються основних правил безпеки. Занепокоєння викликають великі та популярні сайти, які вирішили перейти на WordPress та не мають технічної бази досвідчених веб-майстрів.
Варто прочитати коментарі під статтею із сайту Spider's Web та зробити власні висновки. Крім очевидної "жахіття" з приводу фактичності цього повідомлення, тут є кілька цікавих матеріалів від людей, які мають великі знання в цій галузі.
Якщо у вас є питання, не соромтеся і задавайте їх у коментарях. У міру своїх можливостей ми відповімо всім.