Как провести аудит безопасности сайта на WordPress?

Приветствую, любители WordPress!

Ох, что-то я долго не писал в свой блог и не раскрывал вам тайн, которые содержит WordPress.

Сегодня и далее я с удвоенной силой буду писать в блог — не пропустите.

А лучше подписывайтесь на обновления блога, чтобы точно ничего не пропустить.

Итак, поехали!

Сегодня я бы хотел раскрыть вам маленькую тайну о том как провести аудит безопасности сайта на WordPress.

Как я знаю (не спрашивайте откуда) — когда вы установили и настроили WordPress, добавили плагин безопасности и считаете что на этом ваша миссия выполнена.

Но это не так.

Во-первых — надо писать интересные и оригинальные статьи, которые будут полезны вашим читателям.

Во-вторых — никогда не забывайте, что чем ваш блог выше в поисковой выдаче тем больше внимания ему уделяют хакеры и разные не чистые на руку люди.

Вот я и хочу вам рассказать как обезопасить себя на всем пути ведения блога или сайта.

Обеспечение безопасности вашего сайта WordPress — непростая задача.

Независимо от того, насколько вы доверяете своему плагину безопасности или насколько тщательно вы подходили к усилению защиты веб-сайта, безопасный веб-сайт сегодня не означает, что он будет безопасным веб-сайтом завтра.

Чтобы держать хакеров в страхе, вы должны регулярно проводить аудит безопасности WordPress и заполнять обнаруженные вами дыры в безопасности.

Как провести аудит безопасности WordPress

Тактика взлома веб-сайтов постоянно совершенствуется, а вместе с ними — и профилактические меры по обеспечению безопасности вашего сайта.

Думайте об этом как о цикле.

Чем безопаснее веб-сайт, тем больше должно быть креативных хакеров, чтобы зайти на него, а это значит, что ваш веб-сайт должен стать еще безопаснее, и так далее.

Старайтесь проводить аудит безопасности WordPress не реже одного раза в три месяца.

Каждый месяц — очень хорошо, а лучше — каждую неделю (или даже ежедневно, в зависимости от того, насколько чувствителен ваш сайт).

И, конечно, если вы чувствуете, что с вашим сайтом что-то не так, немедленно проведите аудит безопасности.

Любой из следующих пунктов должен вызывать тревогу:

  • Ваш веб-сайт внезапно стал медленным и вялым;
  • Без видимой причины наблюдается сильное падение посещаемости веб-сайта;
  • Есть новые учетные записи, попытки входа в систему или запросы «забыл пароль»;
  • Новые ссылки, которые вы не добавляли, есть на вашем сайте.

Следующие шаги являются обязательными, чтобы поддерживать ваш сайт в отличной форме с точки зрения безопасности.

Имея под рукой контрольный список, вы упростите свои аудиты, а не обремените их.

Обзор аудита безопасности WordPress

В какой-то момент почти каждый веб-сайт WordPress столкнется с какой-либо проблемой безопасности.

Распространенным является плагин или тема, которые подвержены уязвимости, позволяя хакерам проникнуть прямо на ваш сайт.

После взлома вашего сайта может произойти любое количество вещей:

  • Кража личных данных клиентов;
  • Отображение незаконной рекламы и контента;
  • Трафик перенаправлен в другое место;
  • Данные WordPress зашифрованы, удалены или проданы.

Это намного больше, чем головная боль или поврежденный сайт на несколько часов.

Хакеры могут хранить ваши данные с целью выкупа.

Информация с вашего сайта может продаваться в Dark Web.

Google может занести ваш сайт в черный список за отображения спама на веб-страницах.

Клиенты могут подать на вас в суд, если данные их кредитной карты украдены.

Другие веб-сайты могут быть заражены после того, как хакеры получат доступ к вашему.

Аудиты безопасности WordPress выявляют эти уязвимости, поэтому вы можете исправить их сразу же — до того, как хакер проникнет внутрь.

Вы убедитесь, что меры безопасности, которые вы сейчас предпринимаете, по-прежнему работают, и вы также выясните, где вам нужна дополнительная защита.

Оцените плагин безопасности, который вы используете

Ваш плагин безопасности WordPress — один из самых важных инструментов для защиты вашего сайта.

Убедитесь, что ваш плагин безопасности по-прежнему работает следующими способами:

  • Журнал активности: он отслеживает пользователей вашего сайта, в том числе, кто и когда вошел в систему, неудачные попытки входа и изменения сайта.
  • Брандмауэр: блокирует ботов, хакеров и IP-адреса, которые пытаются проникнуть на ваш сайт.
  • Попытки входа в систему: подключаемые модули безопасности обеспечивают надежные пароли, требуют двухфакторной аутентификации и ограничивают попытки входа в систему.
  • Защита входа в систему: блокирует атаки методом перебора, когда хакеры пробуют разные комбинации имени пользователя и пароля для входа в систему.
  • Сканирование и очистка вредоносных программ: это должно выполняться ежедневно, глубокое сканирование базы данных, файлов и папок вашего сайта на наличие вредоносных программ и удаление всего, что найдет.
  • Оповещения в режиме реального времени: плагин должен немедленно уведомить вас, если с вашим сайтом происходит что-то подозрительное.

Или у вас еще нет плагина безопасности?

Подумайте о том, чтобы сделать его предварительным этапом аудита безопасности WordPress.

Прочтите мой обзор двух лучших плагинов безопасности WordPress на выбор для своего сайта.

Протестируйте решение для резервного копирования вашего веб-сайта

Если на вашем сайте что-то пойдет не так, что невозможно или слишком сложно исправить, наличие резервной копии WordPress означает, что вы можете восстановить свой сайт до его предыдущего состояния, которое было до возникновения проблемы.

Однако, если ваша резервная копия не удалась, вам нечего восстанавливать, что означает, что вы можете застрять на зараженном или неисправном сайте.

В идеале вы будете использовать решение для резервного копирования (предоставленное вашим хостом или плагин, который вы используете), которое позволяет вам тестировать резервные копии, например UpdraftPlus.

Вы также можете прочитать мое полное руководство по резервному копированию вашего веб-сайта WordPress.

Проверьте настройки администратора WordPress и FTP

С WordPress у вас может быть несколько человек, которые могут войти в систему для работы над различными проектами, но это не значит, что каждый человек с логином должен иметь полный доступ к вашему сайту.

А когда дело доходит до вашего FTP-клиента, разрешение доступа нескольким людям означает, что они могут вносить изменения в ваш сайт… ну, во все файлы или папки.

Когда вы добавляете нового пользователя в WordPress, вы назначаете ему роль (и вы также можете редактировать его профиль, чтобы изменить его роль):

WordPress аудит безопасности

У разных ролей разные возможности.

Например, администратор может получить доступ ко всем инструментам администрирования сайта (например, изменить тему или установить плагин), но участник может только писать и управлять своими собственными сообщениями.

Вот подробное описание 24 основных настроек после установки WordPress.

Для аудита безопасности WordPress сделайте следующее:

  • Посмотрите, какие пользователи WordPress имеют доступ на уровне администратора.
  • Решите, нужен ли всем этим пользователям такой уровень доступа (и должны ли другие пользователи с ограниченным доступом быть администраторами).
  • Снизьте разрешения и ограничьте доступ, обновив роли пользователей для этих лиц.
  • Если вы не узнаете пользователей в панели управления, удалите их — это могут быть учетные записи, созданные хакером.
  • Какие-либо имена пользователей просто «админ»? Это слишком распространенное имя пользователя, которое хакеры часто пытаются использовать для доступа к вашему сайту. Создайте новую учетную запись пользователя и удалите старую.
  • Удалите учетные записи FTP для пользователей, которым не нужен такой высокий уровень доступа.

Наконец, если ваш сайт допускает участников, вы хотите убедиться, что им действительно нужно создать учетную запись при регистрации и что их роль по умолчанию не разрешает доступ администратора.

Зайдите во вкладку «Настройки — Общие».

Снимите флажок рядом с надписью «Любой может зарегистрироваться».

Затем выберите соответствующий вариант в разделе «Роль нового пользователя».

Роль нового пользователя по умолчанию

Убедитесь, что WordPress обновлен

Вы можете запустить этот запуск автоматически, но все же стоит дважды проверить, обновлен ли WordPress до самой последней версии.

Обновления не только исправляют дыры в безопасности — они также повышают производительность и добавляют функции.

Перейдите в «Консоль — Обновления», чтобы проверить, готово ли оно.

Убедитесь, что WordPress обновлен

Очистите свои плагины и темы

Плагины могут расширить возможности вашего веб-сайта, но они также уязвимы для атак, особенно если они не обновляются слишком долго.

Надежные разработчики будут следить за уязвимостями своих плагинов и выпускать обновления с исправлениями.

Во время обновления безопасности WordPress перейдите к списку плагинов и выполните следующие действия:

  • Деактивируйте и удалите все плагины, которые вы больше не используете или не знаете;
  • Обновите все оставшиеся плагины, у которых есть готовые обновления;
  • Если вы используете плагин, который не получал обновлений от разработчика, подумайте об использовании другого плагина с такой же функциональностью — устаревший плагин слишком уязвим для проблем безопасности.

Даже если вы проводите аудит безопасности WordPress один раз в месяц или около того, рекомендуется проверять свои плагины более регулярно, чтобы обновлять их по мере необходимости.

Кроме того, удалите все темы, которые вы в настоящее время не используете или не ожидаете, что они понадобятся.

Как и в случае с плагинами, темы создают риск уязвимостей в системе безопасности, поэтому лучше, чтобы на вашем веб-сайте не было беспорядка, насколько это возможно.

Оставайтесь в безопасности там!

Вы не прекращаете работать над другими частями своего бизнеса — придумывать новые продукты или услуги, продвигать их, продавать и т. д.

Безопасность вашего веб-сайта не должна отличаться.

Небольшая проблема может быстро привести к опасному для бизнеса взлому, если вы не поймаете ее вовремя, но, не зная, где находятся проблемные области, вы не будете знать, какие исправления необходимо внедрить.

Обеспечение безопасности вашего веб-сайта — это непрерывный процесс, и наличие контрольного списка аудита безопасности WordPress избавляет вас от необходимости вспоминать, что делать каждый месяц.

Кроме того, чем больше вы сможете автоматизировать с помощью плагина безопасности, тем лучше.

Ваш контрольный список аудита безопасности WordPress может быть намного меньше, если большая часть того, что вам нужно сделать, это дважды проверить, что плагин по-прежнему работает правильно.

У меня есть подробный обзор одного из ведущих плагинов безопасности — Wordfence.

Вот такая получилась статья — маленькая, но очень полезная.

Надеюсь что вы поделитесь ею в социальных сетях, чтобы больше человек увидело и если у них есть сайты на WordPress, провели аудит безопасности у себя тоже.

А вы проводите аудиты безопасности на своем сайте WordPress?

Ответы вы можете написать в разделе комментариев немного ниже.

А я на этом буду заканчивать.

До скорых встреч, заходите чаще, подписывайтесь на обновления и берегите себя!

Статья была обновлена: 10 ноября 2021 года
Оцените статью:
Не понравилосьПонравилось (+2 баллов, 2 оценок)
Загрузка...
vikz
Занимаюсь созданием сайтов на WordPress более 7 лет. Работал в нескольких веб-студиях, да и сейчас работаю. Иногда подрабатываю на фрилансе - как на нашем, так и на зарубежном. Везде зарекомендовал себя очень хорошо. Если нужен сайт на WordPress, шаблон для сайта или лендинг - не стесняйтесь, пишите. Рад буду помочь!
2 комментария к статье:
"Как провести аудит безопасности сайта на WordPress?"
  1. Victor: 11.11.2021 в 07:20 Ответить

    Александр, спасибо!

  2. Александр: 11.11.2021 в 01:12 Ответить

    Огромное спасибо! Очень ценная статья для меня. Да и для других, таких как я. Спасибо!

Оставьте свой комментарий
Мы рады, что вы решили оставить комментарий. Пожалуйста, имейте в виду, что все комментарии модерируются в соответствии с нашей политикой конфиденциальности, и все ссылки являются "nofollow". Не используйте ключевые слова в поле "Имя". Давайте проведем личный и содержательный разговор, без спама и оскорблений.