Ръководство за безопасност на WordPress

С нарастването на нарушенията на сигурността в мрежата е от първостепенно значение да се предприемат превантивни мерки, за да се защити уебсайтът ви от натрапници. Така че, ако имате сайт на WordPress, прочетете нататък. Ще ви предоставим няколко съвета и инструменти, които можете да използвате, за да направите уебсайта си WordPress безопасен и защитен.


„Не може да се случи с моя сайт!“ Това е общата мисъл, която повечето от нас имат, когато чуем, че хакер нарушава сигурността на сайта.

Може би човекът с хаквания уебсайт вярва, че трябва да е направил нещо ужасно грешно, за да изтече жизненоважна информация. Може би човекът е направил ужасната грешка, като е приел сигурността на своя уебсайт за даденост.

Може да се почувствате в безопасност, използвайки изключително популярна CMS и блог платформа като WordPress за вашия сайт. Въпреки това, ще направите добре да отбележите, че огромната глобална популярност на WordPress е една от основните причини хакерите да се насочват към сайтове, базирани на тази платформа.

WordPress е изключително удобна за потребителя платформа и това я прави още по-уязвима от атаки от хакери и спамери. От самото начало трябва да направите сигурността основен приоритет за вашия уеб сайт, заедно с хостинга и уеб дизайна.

Ето задълбочено проучване на различните мерки, които трябва да предприемете, за да подобрите сигурността на вашия WordPress сайт. Ще разгледаме и най-добрите съвети за защита на сайта на WordPress, най-добрите приставки за сигурност на WordPress и инструментите за тестване.

Трябва да осъзнаете, че никой уебсайт никога не може да бъде 100 процента сигурен и дори споделената тук информация няма да направи вашия сайт напълно безопасен. Крайната цел е да ви помогне да вземете всички необходими предпазни мерки, за да защитите вашия уебсайт WordPress от по-голямата част от атаките.

Основи на уеб сигурността

Може да мислите, че е много малко вероятно сайтът ви да бъде хакнат в бъдеще, защото никога не е срещал проблеми със сигурността в миналото по отношение на злонамерен софтуер, злонамерен код или дори спам коментари.

Но едно от най-основните неща, които трябва да запомните за сигурността в мрежата, е, че трябва да останете активни и да не реагирате. Това означава, че трябва да предприемете някои предпазни мерки от самото начало, вместо да вярвате, че някой не може да хакне вашия сайт, и да работите за повишаване на неговата сигурност.

Освен това, преди да преминете към стъпките за сигурността на WordPress, трябва да осъзнаете колко е важно тази защита да бъде въведена.

Много хора посещават вашия уебсайт. Някои от тях могат да се абонират за бюлетините на вашия сайт, а други могат да се регистрират като членове на форумите на вашия сайт. Данните, споделяни от вашите посетители, също са уязвими за атаки, ако сайтът ви се хакне. Така че, ваша отговорност е да осигурите сигурността на данните на уебсайта си, което от своя страна ще защити данните на посетителите ви.

Ако вашият сайт на WordPress привлича малко трафик, може да спорите, че няма причина хакер да атакува вашия сайт, когато има хиляди други по-популярни уебсайтове, достъпни онлайн. Ако това е така, вероятно е време да разберете причините, поради които хакер може да се опита да наруши вашия уебсайт.

Хакерите не се притесняват дали вашият сайт привлича само няколко посетители, защото след като получат достъп до вашия сайт, те могат да използват вашия сървър за изпращане на спам имейли. Те правят това, за да им помогнат да продават своите услуги, продукти или сайтове.
С увеличаване на този вид спам активност от вашия хакер сървър, шансовете вашият IP адрес да получи черен списък се увеличават неимоверно. Алтернативно хакерите може да предпочетат да използват вашия сървър за собствени дейности в уебсайта, защото техните IP адреси вече са в черен списък.

Освен да осъзнавате причините за хакерството, трябва да разберете и различните начини хакер или спамър да атакуват вашия уебсайт. Това допълнително ще ви помогне да планирате дейностите си по такъв начин, че да стане по-малко уязвими за заплахи за сигурността.

Те могат да атакуват чрез всеки WordPress плъгин или тема. Всъщност има случаи, при които проблеми с приставката за сигурност са позволили на хакерите да атакуват уебсайт, който е използвал плъгина. Също така хакерите могат да се възползват от всяка уязвимост на сигурността на вашата хостинг платформа и да използват всеки параметър URL за достъп до вашата база данни.

По този начин те могат да променят вашите данни, да променят вашата парола или дори да изтрият данни. Учудващо е да знаете, че много атаки дори се случват поради слаба парола за достъп до администраторския панел на WordPress или дори за достъп до хостинг контролния панел.

Разработено основно разбиране за необходимостта от осигуряване на вашия WordPress сайт, сега можете да прочетете допълнително, за да научите за начините, по които можете да увеличите сигурността на уебсайта си..

9 съвета за сигурност, за да защитите вашия WordPress сайт от хакери

Поддържайте актуализиран вашия WordPress сайт

Ако продължавате да отлагате актуализацията на вашия WordPress сайт, защото се страхувате да не загубите данни поради неправилна актуализация, веднага трябва да започнете да правите резервни копия. След като направите резервно копие на вашия сайт, можете лесно да продължите напред и да актуализирате вашата версия на WordPress до най-новата. Трябва да направите това, защото WP коригира грешките в защитата на предишната версия с всяка нова версия, която стане достъпна.

Също така, информацията WordPress информира обществеността за тези корекции, което прави остарялият ви сайт още по-уязвим. Така че, направете навик да използвате опцията „Актуализиране на наличните“ редовно, след като влезете в своето табло за управление на WordPress администратор.

Актуализирайте темите и добавките, които използвате и изтрийте неизползваните

Трябва да запазите своето WordPress плъгини и теми, актуализирани по същите причини, които трябва да актуализирате цялостната версия на WordPress. Хакерът може лесно да манипулира остарял плъгин или тема (през дупки за сигурност), за да получи достъп до администратора на уебсайта си.

Така че, не се притеснявайте за съвместимостта на вашия плъгин с текущата ви тема, но трябва да сте сигурни, че винаги използвате най-новите версии и на двете.

По същия начин, уверете се, че разделът ви с плъгини в административното табло на WordPress администрира съдържа само онези, които използвате. Изтрийте тези, които не използвате, тъй като е по-малко вероятно да актуализирате такива приставки и това отново увеличава тяхната уязвимост към атаки за сигурност.

Моля, обърнете внимание, че е важно да „изтриете“ неизползваните си приставки, а не просто да ги „деактивирате“.

Избягвайте да изтегляте теми или приставки от неизвестни източници

Може да се изкушите да изтеглите няколко премиум приставки или теми безплатно, дори ако са от неизвестни източници.

Въпреки че може да се почувствате развълнувани от получаването на разширени функции без разходи, можете да забравите да обърнете внимание на заплахата за сигурността, която тези функции могат да донесат. Плъгин от неизвестен източник може да въведе злонамерен софтуер или да вмъкне злонамерен код във вашия сайт. Вместо да поемете такъв голям риск, винаги е препоръчително да изтегляте само теми и плъгини от добре известни източници.

Можете да използвате Plugin-Check или Theme-Check, за да проверите съответно кода на своите плъгини и теми. Лошо написан код може да улесни хакерите да получат достъп до вашия уебсайт.

Ако не сте напълно сигурни в източника и не знаете как да проверите качеството на кода, можете просто да изберете безплатните дизайни на WordPress от платформата WordPress.org.

Имайте силно WordPress администраторско име и парола

За да създадете вашия сайт с помощта на платформата WordPress, получавате достъп до задния панел на таблото. По подразбиране WP генерира потребителско име (администратор) и силна парола, за да влезете в това табло за администриране по време на инсталирането на WordPress. След инсталирането обаче трябва да промените потребителското си име за WordPress администратор на нещо, което е уникално за вас.

Заедно с това трябва да запомните да промените паролата на нещо, което не е известно от хората около вас или от посетителите на вашия уебсайт. Например, ако вашият сайт разкрива датата ви на раждане или името на вашия съпруг, уверете се, че паролата ви не съдържа нито една от тях. Това затруднява всеки хакер да гадае паролата си. Трябва също да запазите защитена парола за вашия акаунт на контролния панел.

Освен това можете да опитате да добавите CAPTCHA към страницата си за вход в WordPress, за да увеличите допълнително сигурността на вашия сайт. Това ще гарантира, че бот или скрипт не могат да получат достъп до вашия уеб сайт чрез груба атака.

Добавете двуетапна автентификация на WordPress за сигурност

Колко пароли ще поддържам и непрекъснато актуализирам? Може да имате този въпрос относно поддържането на силни пароли за различни входни точки към вашия WordPress панел или контролен панел.

Е, можете да се насладите на вход без парола на вашия WordPress панел, като използвате нещо като Ключ за двуфакторно удостоверяване на Clef. С този плъгин можете да използвате мобилния си телефон, за да удостоверите сигурното си влизане на таблото за управление на WordPress администратор заедно с ПИН или пръстов отпечатък. Така че, дори ако телефонът ви е загубен, данните на вашия акаунт в Clef остават в безопасност.

Или можете да използвате Google Удостоверител за да се гарантира удостоверяване в две стъпки. С това трябва да използвате паролата си, както и да въведете уникално генериран код за вход, който идва като SMS на вашия телефон.

Потърсете сигурна хостинг компания

Наличието на най-новата версия на WordPress на сайта няма значение дали хакерът може да пробие старата версия на PHP на платформата, хостваща вашия сайт. Така че, трябва да използвате хостинг услугите на изключително надежден уеб хостинг доставчик.

Вашият хост трябва да има възможност да разшири поддръжката за най-новите версии на MySQL и PHP. Тя трябва също да има ефективна система за откриване на проникване, за да идентифицира навреме всякакви атаки и трябва да предлага на вашия сайт защитна стена на уеб приложение за подобрена сигурност.

Ограничете броя на опитите за влизане

Хакерите използват груби атаки, за да пробият паролата, която използвате, за да влезете във вашия WordPress панел. Те непрекъснато опитват произволни опити за влизане, докато не успеят.

Дори ако вашата парола е силна, това помага да се идентифицират такива необосновани количества опити за влизане и да се ограничат IP адресите, които правят тези опити. След това можете да забраните такива IP адреси за определен период. Можете да направите, като използвате плъгини като Заключване на вход или Решение за сигурност при влизане.

График на честото архивиране на вашия уебсайт

Това е важна стъпка, тъй като дори ви помага, когато някой хакне или компрометира вашия сайт. Когато някой хакне вашия сайт, можете лесно да се върнете към предишната версия на уебсайта си, която не е била компрометирана. Можете също да използвате всяко от автоматизираните решения за архивиране, като например VaultPress или BackUpBuddy.

Пазете вашето WordPress администраторско пространство добре защитено

Само избран брой хора трябва да имат достъп до таблото ви за администриране. Също така, когато е възможно, опитайте се да ограничите разрешението на тези, които имат достъп до таблото ви за управление. Това ще ви помогне да намалите заплахата от атаки от неизвестни източници.
Трябва също така да се уверите, че другите имат ограничен или никакъв достъп до папката WordPress / wp-admin / или до файла wp-login.php. Можете да разрешите достъп до собствения си IP адрес, като добавите следния фрагмент код във файла .htaccess:

поръчка отричам, разрешавам
Отказ от всички
Разрешаване от zz.zz.zz.zz

В горния код просто трябва да замените „zz.zz.zz.zz“ със собствен набор от IP адреси за различни места или устройства.

Ако не се занимавате със статични IP адреси, този метод може да не работи за вас. В такива случаи можете да използвате разгледаните по-горе плъгини за ограничаване на опитите за влизане.

WordPress Плъгини за сигурност за откриване на злонамерен код на вашия сайт

Ако хакер атакува вашия сайт, това ще ви помогне да ограничите щетите или да предприемете навременни действия, ако научите за него незабавно. Така че, нека разгледаме някои от най-добрите приставки за сигурност на WordPress, които могат да открият злонамерен код, поставен във вашия уебсайт.

Защита на сайта на WP AntiVirus

Този популярен плъгин, предлаган от SiteGuarding.com, помага за откриване и премахване на всички злонамерени вируси или код, открити на вашия сайт WordPress. Той сканира чрез елементи като плъгин файлове, файлове с теми и всички качвания за бързо откриване на заплахи за сигурността, включително заден план, рекламен софтуер, шпионски софтуер, rootkits, червеи, троянски коне и инструменти за измама.

Ако продължавате да изтегляте теми и плъгини от торент сайтове (вместо да купувате оригиналните копия от разработчиците), тогава трябва да имате този тип плъгин за по-добра сигурност.

Wordfence Security

Този плъгин предлага безплатна, корпоративна класа защита, като защитава сайта ви от зловреден софтуер, както и от потенциални хакове. Той проверява дали вашият сайт вече има инфекция и извършва дълбоко сканиране от страна на сървъра на изходния код на вашия сайт.
Той сравнява кода с официалното хранилище на WordPress за плъгини, ядра и теми. Той не само защитава уебсайта ви от повечето заплахи, но и прави вашия уебсайт 50 пъти по-бърз от преди.

Wordfence също позволява блокиране в реално време на известни нападатели. Това означава, че ако хакер атакува този плъгин в друг сайт, той също се блокира автоматично от вашия сайт.

Той може да блокира цяла мрежа от злонамерени IP адреси, когато има опасност от въвеждане на зловредни кодове във вашия сайт. Освен това помага да се блокират заплахите под формата на скрепери, обхождащи устройства и ботове, идентифицирани по време на сканирането на сигурността. Той също така сканира за троянски коне, подозрителен код, заден план, фишинг URL адреси, зловреден софтуер, уязвимост на HeartBleed и т.н..

Ако сте първокласен потребител, можете също да блокирате държави и често можете да планирате сканиране за определени периоди.

Exploit Scanner

Exploit Scanner винаги търси нещо подозрително във файловете и базата данни на вашия сайт WordPress, включително публикации и таблици за коментари.

Той също така сканира плъгините, които използвате за всякакви подвеждащи или необичайни имена на файлове. Ако открие злонамерен код или файл, тази приставка предоставя подробен отчет на администратора на сайта и го оставя на него или нея, за да премахне злонамерения код.

Sucuri Security

Това е цялостен набор от инструменти за защита, който се използва за откриване на злонамерен софтуер, втвърдяване на сигурността и мониторинг на целостта на сигурността. Това е чудесна поддръжка за функциите за сигурност на съществуващия Ви сайт.

Някои ключови функции на този плъгин включват мониторинг на целостта на файловете, мониторинг на черни списъци, одит на защитната дейност, сканиране на отдалечен зловреден софтуер, втвърдяване на сигурността и действия за защита, предприети след хакове, известия за сигурност и защитна стена на уебсайта.

Как да сканирате вашия WordPress сайт за скрит злонамерен софтуер?

Тъй като WordPress е платформа с отворен код, той е лесно податлив на злонамерени програми или инжекции от хакери. Някои от често срещаните начини хакерите да инжектират злонамерен софтуер във вашия сайт включват следното:

  • Pharma Hacks (инжекции със спам във вашата база данни или файлове)
  • Фишинг (придобиване на чувствителна информация, като имейл адреси, пароли и потребителски имена)
  • Зловредни пренасочвания (пренасочване на посетителите на вашия сайт към друга страница на сайта, където има изтеглен заразен файл или злонамерен код)
  • Инжекции на файлове и бази данни (добавяне на злонамерен код в базата данни или файлове на вашия сайт)
  • На заден план (получаване на достъп до вашата администраторска област или FTP акаунт)
  • Всички хакери искат да гарантират, че собственикът на сайта не научи, че са хакнали неговия сайт. Това позволява на хакерите да заразят посетителите на сайта чрез непрекъснато спам за по-дълъг период.

Така че, целта ви е да продължите да търсите скрит злонамерен софтуер на вашия сайт, за който не знаете, и да се отървете от заразените файлове или папки.

Можете да направите това, като използвате популярни приставки за сканиране на WordPress, като изброените по-долу:

Използвай Sucuri SiteCheck скенер за сканиране за потенциален зловреден софтуер. Просто отидете на сайта тук и въведете URL адреса на вашия уебсайт. Този безплатен скенер ще извърши цялостно сканиране на вашия сайт за злонамерен софтуер, грешки в уебсайта, състояние в черен списък и остарял софтуер.

Единственият недостатък е, че трябва да извършите това сканиране ръчно с безплатната версия. Можете да надстроите до премиум плановете и да получавате сигнали чрез Twitter, имейл или RSS, когато открие злонамерен софтуер.

Махнете уебсайта си от всички черни списъци, ако хакер е използвал вашия сървър за спам за дълго време. Премиум услугите също помагат за премахване на злонамерен софтуер. Можете дори да опитате разгледания по-рано плъгин за защита Sucuri за подобрена защита от злонамерен софтуер.

Използвай Анти-зловреден скенер да търсите злонамерен софтуер, вируси, заден план и подобни известни заплахи, както и да ги премахнете автоматично. Основна отличителна характеристика на този плъгин е да закърпи страницата си wp-login.php, за да спре атаките с груба сила.

Освен това можете да използвате всеки от разгледаните по-горе приставки за сигурност на WordPress за идентифициране на злонамерен код.

Инструменти за тестване на уебсайтове за сигурност

За да защитите уебсайта си от атаки, трябва постоянно да тествате нивото на сигурност на вашия сайт, като използвате определени инструменти за тестване, като например:

канадски елен забележи уязвимости (разкриване на файлове, инжектиране на база данни, инжектиране на скриптове в различни сайтове, слаба .htaccess конфигурация и други) на вашия уебсайт. Този инструмент използва подхода за сканиране в черна кутия.

Това означава, че той не изучава изходния код на приложението, а проверява уеб страниците за форми и скриптове, където може да инжектира данни. Той инжектира полезни натоварвания, за да идентифицира уязвимите скриптове. Той предоставя отчети в различни формати, като HTML, XML, Text и JSON.

Google Nogotofail тества мрежовия трафик на сайта, за да открие и фиксира слаби TLS или SSL връзки и чувствителен трафик на ясен текст на различни устройства. Можете също да го настроите като VPN сървър или прокси сървър или дори рутер.

Можете да опитате скенер и тестер с отворен код с име Vega. Тази платформа, базирана на GUI, е в Java и работи с OS X, Windows и Linux платформи. Състои се от прихващащ прокси за извършване на тактическа проверка и автоматизиран скенер за извършване на бързи тестове.

Този инструмент може да се използва за идентифициране на скриптове на различни сайтове (XSS), инжектиране на SQL и подобни уязвимости.
Надяваме се, че тези съвети и информация за сигурността на WordPress ще ви помогнат в голяма степен за повишаване на сигурността на вашия сайт.

Опитали ли сте вече някои плъгини или методи, които значително повишават сигурността на вашия уебсайт WordPress? Моля, споделете своя опит и продължете да разпространявате информираността за важността на сигурността на уебсайта сред вашата мрежа.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map