Полное руководство по безопасности WordPress 2020 года

Доброго здравия, друзья!

Сегодня я бы хотел поговорить о безопасности сайта или блога на WordPress.

WordPress с 2003 года обслуживает блогеров и веб-мастеров для создания практически любого типа веб-сайтов. Это система управления контентом с открытым исходным кодом.

Таким образом, каждый может использовать его, не платя ни копейки за его использование. Благодаря своей гибкости и простоте он быстро завоевал популярность и стал лидером на рынке.

Теперь он используется не только отдельными лицами, но и государственными учреждениями и крупными корпорациями, использующими его для своих веб-сайтов. Более 74 миллионов сайтов используют WordPress, включая бесплатные службы блогов WordPress (WordPress.com).

У выдающейся CMS есть бесчисленные плагины, позволяющие мгновенно выполнять задачи. Помимо многочисленных преимуществ, безопасность WordPress является распространенной проблемой, и вы должны предпринять необходимые шаги, чтобы защитить свои WP-сайты от любых неприятных условий.

Почему вы должны защищать сайт или блог WordPress?

Давайте теперь посмотрим на другую сторону медали. Благодаря огромной популярности и значительной доле на рынке WordPress становится привлекательным местом для хакеров и других преступников в киберпространстве.

Как только хакер сумеет проникнуть на любой сайт WordPress, он сможет вставить зараженные коды и уязвимости, чтобы превратить ваш сайт во вредоносный сайт. И благодаря этому они могут не только контролировать ваш сайт, но также могут получить доступ к вашим личным данным.

Когда хакер проникает на ваш сайт или в компьютер, это приводит к ужасным последствиям. Следовательно, очень важно знать возможные угрозы для вашего сайта WordPress, чтобы вы могли защитить свой сайт от вредоносных атак, выполняя свою основную работу.

Вы должны заполнить все потенциальные дыры в безопасности. В этой статье я опишу различные способы защиты сайта WordPress, чтобы избежать каких-либо сожалений в будущем.

Давайте обсудим все возможные шаги по усилению безопасности WordPress.

1. Используйте сложные пароли

При создании паролей необходимо соблюдать некоторые меры предосторожности.

• Никогда не используйте свое имя или имя веб-сайта в качестве пароля.
• Не используйте только числовые слова или только буквы.
• Никогда не используйте свой телефон, номер автомобиля или домашний адрес.
• Самое главное никогда не используйте словарные слова или комбинации словарных слов.

Что нужно помнить при выборе паролей.

• Используйте сочетание цифр и букв.
• Используйте буквы нижнего и верхнего регистра.
• Пароли должны включать такие символы, как $, @, %.
• Пароль должен содержать не менее 8 символов. Чем длиннее пароль, тем лучше для вас.

Совет по созданию эффективных паролей.

Да, пароль должен быть длинным и состоять из буквенно-цифровых слов. Лучший способ — составить предложение, а затем выбрать из него слова. Вот пример: «Я играл в бадминтон со своим другом в 19:00. Мы купили ракетки по 80 долларов».

Таким образом, пароли выглядят как «Ipbwmf7:p.Wbri$80». Как видите, пароль сложный, и его легко запомнить. Это просто, например, «sack», вы можете сделать более сложный пароль, но создание предложения может помочь вам запомнить длинный пароль.

2. Защитите свою админку

Построение прочной стены вокруг административной области — отличный способ добавить уровень безопасности. Вы можете выбрать определенный IP-адрес, с помощью которого вы можете получить доступ к панели.

Итак, если кто-то не может получить доступ к области администратора, как он/она может попытаться войти в панель управления вашего сайта WordPress? Таким образом вы добавляете указанный IP-адрес в файл .htaccess.

Предположим, вы добавляете IP-адрес своего домашнего интернет-соединения в файл .htaccess, тогда вы можете управлять своим сайтом только с помощью этого интернет-соединения. Таким образом, никто не может получить доступ к настройкам серверной части сайта из-за другого IP-адреса, который вы определили в файле .htaccess.

Вы можете узнать свой IP-адрес на сайте WhatIsMyIP. Обратите внимание, что вам нужен статический IP-адрес от вашего интернет-провайдера. Так что свяжитесь с ними и получите статический IP.

• Теперь войдите в панель управления хостингом и нажмите «Диспетчер файлов».
• Найдите файл .htaccess в каталоге установки WordPress и отредактируйте его.
• Добавьте приведенные ниже коды и вставьте свой IP-адрес вместо 00.000.000.000.

<Files wp-login.php>
    order deny, allow
    Deny from all
    Allow from 00.000.000.000
</Files>

Теперь, если вы хотите получить доступ со своего офисного ПК, вам нужно добавить IP-адрес этого подключения (офисный интернет). Просто добавьте строку «Allow from» с этим новым IP-адресом под старым.

Этот метод отлично работает при использовании определенного подключения к интернету. Если вы получаете доступ через общедоступное соединение Wi-Fi, этот метод бесполезен.

3. Двухфакторная аутентификация

Эта функция включает основной уровень безопасности. Google предоставляет это для своих услуг, таких как учетная запись Gmail. При активации двухфакторной аутентификации в учетной записи Gmail всякий раз, когда вы хотите войти в свою учетную запись, требуется подтверждение телефона.

Для включения такого рода сервиса в WordPress вам необходимо установить плагин. Two Factor Authentication (Google Authenticator), Clef и Google Authenticator — одни из лучших плагинов для двухфакторной аутентификации.

Давайте просто обсудим Google Authenticator — Two Factor Authentication, который разработан MiniOrange. После активации плагина нажмите MiniOrange на боковой панели WordPress и зарегистрируйте учетную запись.

Доступно множество опций, таких как проверка электронной почты, Google Authenticator, сканирование QR-кода, push-уведомление и т. д.

Плагин также включает функции проверки SMS и вызова. Но это премиум-функции, которые стоят 6 долларов в год, что вполне доступно.

4. Плагины безопасности WordPress

После установки WordPress вашим главным приоритетом должна стать установка лучшего плагина безопасности WordPress. Плагинов много, но я бы рекомендовал вам установить Sucuri, iThemes или Wordfence.

Эти три плагина имеют хорошую репутацию и включают множество полезных функций бесплатно. Sucuri обеспечивает сканирование вредоносных программ, предупреждения о входе в систему, статус секретных ключей и многие другие уровни безопасности.

С другой стороны, iThemes также является отличным плагином безопасности. Он обеспечит защиту от атак методом «Brute force attacks» (перебора паролей), определенных IP-адресов, обновления секретных ключей, резервного копирования базы данных и многого другого. Я всегда использую iThemes Security, так как с ним легко работать и понимать.

Более того, разработчики время от времени выпускают различные обновления для исправления ошибок и дыр в безопасности, чтобы улучшить безопасность WordPress.

5. Изменить URL-адрес для входа

Если вы не хотите использовать протокол, который позволяет входить в систему только с определенных IP-адресов, которые мы обсуждали под номером 2, то изменение URL-адреса входа в систему эффективно для защиты сайта WordPress.

Люди используют разные интернет-соединения, значит, разные IP-адреса. В такой ситуации добавление нескольких IP-адресов в .htaccess нецелесообразно.

Есть разные способы изменить URL-адрес для входа. Вы можете изменить URL-адрес входа, просто установив простой плагин. В подключаемом модуле безопасности iThemes есть опция «Hide Backend» (скрыть серверную часть) для изменения URL-адреса входа.

Есть и другие плагины, такие как «WPS Hide Login», которые также можно использовать для изменения адреса входа в бэкэнд.

6. Выберите плагины с хорошей репутацией

Плагины также могут стать причиной внедрения уязвимостей в ваш блог. Поэтому перед установкой плагина проверьте его рейтинг, а также количество загрузок. Чем больше количество загрузок, тем лучше плагин.

Например, если есть три плагина от разных разработчиков для изменения URL-адреса входа, вам следует предпочесть тот плагин, у которого есть много активных установок, частые обновления и отзывы пользователей.

Кроме того, когда вы нажимаете на заголовок плагина, открывается окно, в котором вы можете увидеть, сколько людей оценили этот плагин на 5 звезд или ниже. А если вы хотите быть чрезмерно защищенными, посмотрите отзывы других людей, чтобы узнать их опыт использования плагина.

7. Безопасные темы/плагины WordPress

Некоторые начинающие блогеры используют взломанные темы, поскольку у них ограниченный бюджет. Никогда не используйте взломанные темы или плагины.

WordPress предлагает множество бесплатных шаблонов для веб-сайтов и блогов. Да, эти бесплатные шаблоны нельзя полностью настроить, но я думаю, что этих настроек для нового блога будет достаточно.

Но помните, что эти бесплатные шаблоны намного лучше, чем взломанные версии платных шаблонов. Более того, они поддерживаются WordPress.org и получают последние обновления.

8. Никогда не используйте «admin» в качестве имени пользователя

Если вы используете «admin» в качестве имени пользователя, я думаю, что это самая большая ошибка. В кибератаках, таких как перебор паролей, приоритет хакеров использовать имя «admin» по умолчанию, поскольку это наиболее распространено.

Некоторые начинающие блогеры думают, что достаточно иметь надежный пароль, но это не очень хорошая практика. Ваша панель управления WordPress должна иметь не только надежный пароль, но и уникальное имя пользователя (т. е. отличное от общеупотребительных слов).

Вы можете изменить имя пользователя либо с панели управления, предоставленной хостинг-провайдером (cPanel), либо с помощью плагина, такого как «Username Changer». Здесь вы можете прочитать статью о том, как изменить имя пользователя с установкой и без установки плагина.

9. Назначьте соответствующие роли

Если вы единственный, кто управляет сайтом и контролирует его — это нормально. Но если у вас есть команда, и есть несколько пользователей, вы должны назначить каждому пользователю определенную роль.

Предоставление всем административных прав может поставить под угрозу безопасность вашего сайта WordPress.

Существуют разные роли, такие как подписчик, администратор, участник, автор и редактор и т. д. Каждая роль имеет определенные ограничения, кроме администратора.

На боковой панели панели инструментов WordPress выберите «Пользователи — Все пользователи». Здесь вы можете добавлять новых пользователей, а также назначать им роли. Вы должны тщательно распределять роли пользователей, особенно при аутсорсинге пользователей.

Если вам нужна дополнительная информация о назначении ролей, вы можете прочитать эту статью на WordPress.org.

10. Ключи безопасности WordPress

Этот уровень безопасности предназначен для защиты файлов cookie пользователя, чтобы хакерам было сложно взломать пароль. Так что же такое куки? Проще говоря, файлы cookie — это небольшие фрагменты данных/информации, которые хранятся через веб-браузер на компьютере пользователя.

Да, хакеры могут взломать файлы cookie. Таким образом, вы должны предпринять шаги и зашифровать эту информацию.

Для этого используйте Генератор секретных ключей WordPress.

Эти ключи меняются каждый раз, когда вы обновляете страницу. Поэтому убедитесь, что выбрали вашу уникальную свежую комбинацию и скопировали все ключи, то есть все строки. Теперь вам нужно добавить эти ключи в файл «wp-config.php».

Как использовать генератор секретных ключей WordPress для повышения безопасности.

• Войдите в панель управления хостингом (cPanel).
• Откройте файловый менеджер и войдите в каталог установки WordPress (точное место, где находятся такие папки, как wp-admin, wp-content и wp-includes.
• Найдите файл с именем «wp-config.php» и отредактируйте его.
• Прокрутите вниз, пока не найдете следующие термины.

• Теперь вставьте все ключи, которые вы копируете из генератора секретных ключей, вместо старых. Вот и все.

11. Ограничьте количество попыток входа в систему

Как видно из названия, этот метод накладывает ограничения на количество попыток входа в личный кабинет. После его активации предпринимаются определенные попытки входа в систему, и если кто-то введет неправильное имя пользователя или пароль, он заблокирует этот IP-адрес на определенный период.

Этот способ защиты веб-сайта WordPress очень эффективен от атак «Brute force attacks». В этом типе хакерской атаки боты или программа или что-то еще, они пробуют различные комбинации для входа на сайт.

Во время автоматической установки WordPress через мастер настройки он спросит вас, хотите ли вы включить ограничение попыток входа в систему. Если вы не включили эту опцию оттуда, не беспокойтесь, просто установите плагин «WP Limit Login Attempts».

На своих сайта я использую другой плагин — «Limit Login Attempts Reloaded».

12. Проверка безопасности

Сканируя свой сайт, вы можете узнать об угрозах безопасности. «Sucuri Security Scanner» — это бесплатный инструмент для обнаружения угроз безопасности.

Он проверит ваш сайт на наличие спама, вредоносного ПО, черного списка, брандмауэра и т. д. И предоставит рекомендации. Так что следите за этим и часто просматривайте свой сайт.

Наряду со сканером «Sucuri» также поместите адрес вашего сайта в «Google Safe Browsing», и он сгенерирует отчет о том, есть ли на вашем сайте вредоносное содержимое или нет.

Некоторые другие лучшие сканеры веб-сайтов:

• Virustotal
• Aw Snap
• IsitHacked
• WordPress Security Scan
• WpScans

13. CloudFlare и SSL

CloudFlare не только улучшает производительность вашего сайта, но и укрепляет безопасность WordPress. Они предлагают как бесплатные, так и премиальные планы.

На бесплатном тарифном плане вы можете включить защиту от DDOS и некоторые другие уровни безопасности.

Они также предлагают бесплатный сертификат SSL. SSL имплантирует дополнительный уровень безопасности на ваш сайт. SSL используется для защиты данных клиента, таких как номера кредитных карт и т. д.

Но теперь поисковые системы, особенно Google, считают более безопасными те сайты, которые используют SSL и дают небольшое повышение в поисковом рейтинге.

14. Создание стандартных резервных копий

Желательно часто создавать резервные копии. Многие лучшие провайдеры веб-хостинга включают в свои планы услуги резервного копирования без какой-либо дополнительной платы. Но в основных планах в основном компания накладывает какие-то ограничения на количество резервных копий и восстановления.

Я всегда предпочитаем делать резервную копию, используя более одного инструмента. Поэтому вам следует создать резервную копию с помощью инструмента, предоставляемого хостинг-провайдером, а также с помощью стороннего плагина.

VaultPress, BackupBuddy и Updraftplus — одни из лучших плагинов резервного копирования для создания резервной копии сайта WordPress. К сожалению, VaultPress и BackupBuddy не предлагали никаких бесплатных услуг.

Но Updraftplus предлагает бесплатные и премиальные услуги по созданию резервной копии всего сайта, так что это отлично подходит для людей, не имеющих бюджета или имеющих низкий бюджет.

С помощью этого плагина вы также можете назначить расписание, которое будет следить, когда создавать резервные копии и сколько копий каждой резервной копии сохранять? Вы можете прочитать руководство Updraftplus, чтобы узнать все подробности.

15. Безопасный веб-хостинг

Помимо всех вышеперечисленных факторов, выбор безопасного хостинга также очень важен для безопасности сайтов WordPress. Перед покупкой учетной записи хостинга проверьте протоколы безопасности компании на их сайтах.

Более того, в случае неуверенности пообщайтесь с ними через Live Chat. На виртуальном хостинге несколько пользователей используют одни и те же ресурсы сервера, и в случае взлома учетной записи есть вероятность, что другие пользователи также будут заражены.

В связи с этим я рекомендуем хостинг Beget и Шнайдер-хост. Оба в порядке и безопасны — пользуюсь обоими уже более 7 лет. И оба провайдера постоянно обновляют свои технологии. Вы также можете прочитать обзоры, чтобы найти надежных и проверенных хостинг-провайдеров WordPress.

Возможности безопасного хостинга:

• Приложение брандмауэра;
• Предустановленный RAID-массив;
• Обнаружение вредоносных программ;
• Используют новейшие программы, такие как PHP и т. д.;
• Система предотвращения спама;
• Ежедневные резервные копии.

Безопасность WordPress нарушена, что теперь делать — как исправить?

Вышеуказанные меры безопасности повышают безопасность вашего сайта WordPress. Но также имейте в виду план Б: если кто-то вломится, что делать?

Прежде всего, не паникуйте и сохраняйте спокойствие, потому что вы можете вернуть свой сайт в состояние, в котором он был до взлома. Опять же, упомянутых выше мер предосторожности достаточно, чтобы создать прочный слой вокруг вашего сайта WordPress.

Мой сайт взломали?

Вот основные индикаторы, позволяющие определить, что вас взломали.

• На странице результатов поиска Google отображается сообщение типа «Этот сайт может быть взломан».
• Google занесет ваш сайт в черный список. «Sucuri Security Scanner» показывает статус черного списка.
• Веб-браузер, такой как Google Chrome, показывает посетителям предупреждающее сообщение.
• Провайдер хостинга может отключить вашу учетную запись.
• Консоль поиска Google отправляет вам предупреждающее сообщение
• Сканер безопасности показывает предупреждающее сообщение, поэтому я рекомендую вам часто сканировать ваш сайт, чтобы оставаться в курсе состояния безопасности сайта.

Исправление взломанного сайта WordPress

Изменить пароли и имя пользователя

После взлома узнайте, есть ли у вас доступ к панели управления WordPress. Если да, то немедленно измените пароль и имя пользователя.

Также измените данные для входа в учетную запись веб-хостинга. Теперь выберите самый надежный и сложный пароль. Используйте только надежные пароли.

Изменить секретные ключи WordPress

Лучшее время для смены секретных ключей или солей WordPress. Я уже описывал выше, как изменить секретные ключи WordPress.

Всякий раз, когда вы меняете секретные ключи, все пользователи выходят из системы. Обратите внимание, что это не изменит их пароли, они просто выйдут из системы. Изменение этих ключей может привести к прерыванию взлома.

Свяжитесь с вашим хостинг-провайдером

Обратитесь за помощью в службу поддержки вашего хостинг-провайдера. Вот почему крайне важно проверить, насколько оперативна и дружелюбна их служба поддержки.

В компании есть специалисты для решения подобных ситуаций. Они не только избавляют вас от этого, но и помогают восстановить ваш сайт. Даже у некоторых компаний есть отдельная линия для связи с ними в случае любой кибератаки.

Хороший хостинг провайдер всегда будет реагировать, чтобы преодолеть эту сложную ситуацию.

Есть больше шансов, что затронутая учетная запись может повлиять на другие в общем хостинге WordPress. Поэтому компания не только помогает вам, но и дает рекомендации по поводу дыр в системе безопасности.

Восстановить сайт из резервной копии

Восстановление сайта из резервной копии, когда она еще не была взломана, также может вывести из строя ваш сайт. Если вы вносили изменения и публикуете сообщения ежедневно, вам также следует ежедневно делать резервную копию своего сайта.

Если вы делали резервную копию еженедельно или по истечении большего периода времени, восстановление резервной копии приводит к потере данных. Так что восстановите до той безопасной степени, при которой потери минимальны.

Более того, если возможно, то я думаю, вам стоит взять создание резервной копии в свои руки. В конце дня просканируйте свой сайт с помощью вышеупомянутых сканеров, а затем сделайте резервную копию вручную.

Я знаю, что над этим дополнением нужно больше работать, но эта привычка значительно сэкономит, когда вы подвергаетесь хакерской атаке или возможность использования службы ежедневного создания резервных копий, например UpdraftPlus.

Поиск плагинов и тем

Вы также можете удалить вредоносный материал, удалив ненужные темы и плагины. После этого сканируются все темы и плагины. Используйте «Sucuri» или «Exploit Scanner», чтобы найти подозрительные предметы. Эти плагины сканируют базу данных, комментарии, плагины и т. д., а затем позволяют вам предпринимать необходимые действия.

Кроме того, вы должны сканировать темы отдельно, так как есть больше шансов, что хакер взломал их. «Theme Authenticity Checker» — бесплатное приложение, которое лучше всего помогает обнаруживать уязвимые коды в темах. Он также предоставит статус и предупредит вас, чтобы исправить взлом.

Я предлагаю вам, если возможно, удалить плагины и темы, а затем установить новую копию. Да, это действие удалит все внесенные вами изменения, но также поможет вам убедиться, что все в порядке.

Следите за другими пользователями

Вы также должны принять во внимание всех пользователей, особенно если вы нанимаете некоторых онлайн.

Желательно держать в руках все административные права. Если вы обнаружите кого-то подозрительного, кто причастен к взлому, не теряйте время и удалите его/ее.

Вывод

Я рекомендую вам всегда использовать последнюю и наиболее стабильную версию, повышать безопасность входа, чтобы избежать угроз безопасности WordPress.

Надеюсь, эта статья поможет вам повысить безопасность ваших веб-сайтов и блогов WordPress. Оставайтесь на связи со мной, чтобы оставаться в курсе.

Удачного ведения блога и до скорых встреч!