Посібник з безпеки WordPress

З ростом порушень у веб-безпеці важливо вживати профілактичних заходів для захисту вашого веб-сайту від зловмисників. Отже, якщо у вас є сайт WordPress, читайте далі. Ми надамо вам декілька порад та інструментів, якими ви можете скористатися, щоб зробити ваш веб-сайт WordPress безпечним та захищеним.


“Це не може статися з моїм сайтом!” Це загальна думка, яку має більшість із нас, коли ми чуємо, що хакер порушив безпеку сайту.

Можливо, людина, на якій зламаний веб-сайт, вважає, що він чи вона зробили щось жахливо неправильне для витікання життєво важливої ​​інформації. Можливо, людина допустила жахливу помилку, сприйнявши безпеку свого веб-сайту як належне.

Ви можете почувати себе в безпеці, використовуючи для свого сайту дуже популярну платформу CMS та блогів, як WordPress. Однак ви добре зауважите, що величезна глобальна популярність WordPress є однією з головних причин, чому хакери націлюють сайти на цій платформі..

WordPress – це дуже зручна платформа, і це робить її ще більш вразливою до атак хакерів та спамерів. З самого початку ви повинні зробити безпеку основним пріоритетом для вашого веб-сайту, а також хостинг та веб-дизайн.

Ось поглиблене вивчення різних заходів, які потрібно вжити для підвищення безпеки вашого WordPress сайту. Ми також розглянемо основні поради щодо захисту веб-сайту WordPress, головні плагіни безпеки WordPress та інструменти тестування..

Ви повинні усвідомити, що жоден веб-сайт ніколи не може бути на 100 відсотків захищеним, і навіть розміщена тут інформація не зробить ваш сайт абсолютно безпечним. Кінцева мета – допомогти вам у вживанні всіх необхідних запобіжних заходів для захисту вашого веб-сайту WordPress від більшості атак.

Основи веб-безпеки

Ви можете подумати, що це малоймовірно, що ваш сайт в майбутньому буде зламаний, оскільки він ніколи не стикався з жодними проблемами безпеки щодо зловмисного програмного забезпечення, шкідливого коду чи навіть спам-коментарів..

Але, одна з найосновніших речей, які слід пам’ятати про безпеку в Інтернеті, – це те, що вам потрібно залишатись активними та не реагувати. Це означає, що ви повинні зробити деякі заходи обережності з самого початку, а не вірити, що хтось не може зламати ваш сайт, і працювати над підвищенням його безпеки.

Крім того, перш ніж переходити до кроків для безпеки WordPress, вам потрібно усвідомити важливість наявності цієї безпеки.

Безліч людей відвідують ваш веб-сайт. Деякі з них можуть підписатися на розсилки ваших веб-сайтів, а деякі можуть зареєструватися як члени форумів вашого сайту. Дані, якими поділяються ваші відвідувачі, також вразливі до атак, якщо ваш сайт зламається. Отже, ви відповідальні за забезпечення безпеки даних вашого веб-сайту, що, в свою чергу, захищатиме дані ваших відвідувачів..

Якщо ваш веб-сайт WordPress притягує мало трафіку, ви можете стверджувати, що немає причини, щоб хакер атакував ваш сайт, коли в Інтернеті є тисячі інших більш популярних веб-сайтів. Якщо це так, то, ймовірно, вам настав час зрозуміти причини, через які хакер може спробувати порушити ваш веб-сайт.

Хакери не переживають, чи приверне ваш сайт лише декілька відвідувачів, оскільки, отримавши доступ до вашого сайту, вони можуть використовувати ваш сервер для надсилання спам-листів. Вони роблять це, щоб допомогти їм продати свої послуги, продукти чи сайти.
Зі збільшенням цього виду спам-активності з вашого зламаного сервера шанси на отримання вашої IP-адреси в чорний список сильно зростають. Крім того, хакери можуть вважати за краще використовувати ваш сервер для власної діяльності на веб-сайті, оскільки їхні IP-адреси вже в чорному списку.

Окрім усвідомлення причин хакерства, вам також потрібно зрозуміти різні способи хакера чи спамера, які можуть напасти на ваш веб-сайт. Це також допоможе вам спланувати діяльність свого сайту таким чином, щоб його стало менше вразливий до загроз безпеці.

Вони можуть атакувати через будь-який плагін WordPress або тему. Насправді, є випадки, коли проблеми з плагіном безпеки дозволяють хакерам атакувати веб-сайт, який використовував плагін. Крім того, хакери можуть скористатися будь-якою вразливістю безпеки на вашій хостинговій платформі та використовувати будь-який параметр URL для доступу до вашої бази даних.

Таким чином вони можуть змінювати ваші дані, змінювати ваш пароль або навіть видаляти дані. Дивно, що відомо, що багато атак навіть трапляються через слабкий пароль для доступу до адміністративної панелі WordPress або навіть для доступу до панелі управління хостингом.

Розробивши базове розуміння необхідності забезпечення вашого веб-сайту WordPress, тепер ви можете прочитати далі, щоб дізнатися про способи підвищення безпеки вашого веб-сайту..

9 Поради щодо безпеки для захисту вашого сайту WordPress від хакерів

Постійно оновлюйте свій сайт WordPress

Якщо ви продовжуєте відкладати оновлення свого сайту WordPress, бо боїтесь втратити дані через неправильне оновлення, вам негайно потрібно почати робити резервні копії. Як тільки ви зробите резервну копію свого сайту, ви можете легко продовжити та оновити свою версію WordPress до останньої. Вам потрібно зробити це, оскільки WP виправляє помилки безпеки попередньої версії з кожною новою версією, яка стає доступною.

Також інформація WordPress інформує населення про ці виправлення, що робить ваш застарілий сайт ще більш вразливим. Отже, заздалегідь регулярно використовуйте параметр “Оновлення доступно”, як тільки ви входите на інформаційну панель адміністратора WordPress.

Оновіть теми та додатки, якими користуєтесь, та видаліть невикористані

Вам потрібно зберегти своє WordPress плагіни і теми, оновлені з тих же причин, що вам потрібно оновити загальну версію WordPress. Хакер може легко маніпулювати застарілим плагіном або темою (через отвори безпеки), щоб отримати доступ до адміністратора вашого веб-сайту.

Отже, не хвилюйтеся про сумісність свого плагіна з вашою поточною темою, але ви повинні завжди використовувати останні версії обох.

У відповідних рядках переконайтесь, що розділ плагінів на інформаційній панелі адміністратора WordPress містить лише ті плагіни, якими ви користуєтесь. Видаліть ті, які ви не використовуєте, оскільки ви рідше оновлюєте такі плагіни, і це знову збільшує їх вразливість до атак безпеки..

Зауважте, що важливо “видалити” невикористані плагіни, а не просто “деактивувати” їх.

Уникайте завантаження тем або плагінів з невідомих джерел

Можливо, вам сподобається безкоштовно завантажити кілька плагінів або тем, навіть якщо вони з невідомих джерел.

Хоча ви можете бути в захваті від отримання розширених функцій без витрат, ви можете забути звернути увагу на загрозу безпеці, яку ці функції можуть спричинити. Плагін з невідомого джерела може ввести зловмисне програмне забезпечення або вставити шкідливий код на ваш сайт. Замість того, щоб ризикувати таким великим ризиком, завжди бажано завантажувати теми та плагіни лише з відомих джерел.

Ви можете використовувати плагін-перевірку або тему-перевірку, щоб перевірити код своїх плагінів та тем відповідно. Неправильно написаний код може полегшити хакерам доступ до вашого веб-сайту.

Якщо ви не впевнені в джерелі і не знаєте, як перевірити якість коду, ви можете просто вибрати безкоштовні дизайни WordPress на платформі WordPress.org.

Майте сильне ім’я та пароль адміністратора WordPress

Щоб створити свій сайт за допомогою платформи WordPress, ви отримуєте доступ до задньої панелі інформаційної панелі. За замовчуванням WP створює ім’я користувача (адміністратор) та надійний пароль для входу на цю інформаційну панель адміністратора під час встановлення WordPress. Але після встановлення ви повинні змінити своє ім’я користувача адміністратора WordPress на щось унікальне для вас.

Поряд із цим вам потрібно пам’ятати, щоб змінити пароль на те, що невідоме людям навколо вас або відвідувачам вашого веб-сайту. Наприклад, якщо на вашому веб-сайті вказується дата народження або ім’я вашого подружжя, переконайтеся, що ваш пароль не містить. Тому будь-якому хакеру важко вгадати ваш пароль. Ви також повинні зберігати захищений пароль для свого облікового запису на панелі керування.

Крім того, ви можете спробувати додати CAPTCHA на свою сторінку входу в WordPress, щоб додатково підвищити безпеку вашого сайту. Це забезпечить, що бот або скрипт не можуть отримати доступ до вашого веб-сайту за допомогою жорстокої атаки.

Додайте двоетапну перевірку безпеки WordPress

Скільки паролів я регулярно підтримуватиму та оновлюватимуть? У вас може виникнути це питання щодо підтримки надійних паролів для різних точок входу на вашу панель WordPress або панель управління.

Ну, ви можете насолоджуватися входом без пароля на панель WordPress, використовуючи щось подібне Двофакторний плагін аутентифікації Clef. За допомогою цього плагіна ви можете використовувати свій мобільний телефон для аутентифікації безпечного входу на інформаційну панель адміністратора WordPress разом із PIN-кодом або відбитками пальців. Тож навіть якщо телефон загублений, дані вашого облікового запису Clef залишаються в безпеці.

Або ви можете використовувати Google Authenticator щоб забезпечити двоетапну автентифікацію. З цим вам потрібно використовувати свій пароль, а також ввести унікально згенерований код для входу, який надходить як SMS на ваш телефон.

Шукайте безпечну хостингову компанію

Наявність останньої версії сайту WordPress не має значення, чи може хакер зламати стару PHP-версію платформи, на якій розміщується ваш сайт. Отже, вам потрібно скористатися хостинговими послугами надзвичайно надійного провайдера веб-хостингу.

Ваш хост повинен мати можливість розширити підтримку останніх версій MySQL та PHP. Він також повинен мати ефективну систему виявлення вторгнень, щоб вчасно виявити будь-які атаки, і повинен запропонувати вашому сайту брандмауер веб-додатків для посилення безпеки.

Обмежте кількість спроб входу

Хакери використовують жорстокі атаки, щоб зламати пароль, який ви використовуєте для входу на панель WordPress. Вони безперервно пробують випадкові спроби входу, поки не досягнуть успіху.

Навіть якщо ваш пароль надійний, це допомагає виявити такі необгрунтовані кількості спроб входу та обмежити IP-адреси, які роблять ці спроби. Потім ви можете заборонити такі IP-адреси протягом певного періоду. Ви можете зробити це, використовуючи додатки типу Блокування входу або Безпечне рішення для входу.

Сплануйте часті резервні копії вашого веб-сайту

Це важливий крок, оскільки він навіть допомагає вам, коли хтось зламає або компрометує ваш сайт. Коли хтось зламає ваш сайт, ви можете легко повернутися до попередньої версії веб-сайту, яка не була порушена. Ви також можете використовувати будь-яке з автоматизованих рішень для резервного копіювання, наприклад VaultPress або BackUpBuddy.

Зберігайте свій захищений простір WordPress Admin

Лише вибрана кількість людей має доступ до інформаційної панелі адміністратора. Також, де це можливо, спробуйте обмежити дозвіл на тих, хто має доступ до вашої інформаційної панелі. Це допоможе вам зменшити загрозу атак з невідомих джерел.
Вам також потрібно переконатися, що інші обмежені або не мають доступу до папки WordPress / wp-admin / або до файлу wp-login.php. Ви можете дозволити доступ до власної IP-адреси, додавши наступний фрагмент коду у файл .htaccess:

замовити відмовити, дозволити
Заперечувати від усіх
Дозволити з zz.zz.zz.zz

У наведеному вище коді просто потрібно замінити “zz.zz.zz.zz” на власний набір IP-адрес для різних місць або пристроїв.

Якщо ви не маєте справу зі статичними IP-адресами, то цей метод може не працювати для вас. У таких випадках ви можете використовувати додатки, обговорені вище для обмеження спроб входу.

Плагіни WordPress для виявлення шкідливого коду на вашому сайті

Якщо хакер нападе на ваш сайт, це допоможе обмежити шкоду або вчасно вжити заходів, якщо ви дізнаєтесь про нього негайно. Отже, давайте подивимося на кілька найпопулярніших плагінів безпеки WordPress, які можуть виявити шкідливий код, вставлений на ваш веб-сайт.

Захист сайту WP AntiVirus

Цей популярний плагін, запропонований SiteGuarding.com, допомагає виявити та видалити будь-які шкідливі віруси чи код, знайдені на вашому сайті WordPress. Він сканує елементи, такі як файли плагінів, файли тем та всі завантаження для швидкого виявлення загроз безпеці, включаючи бекдори, рекламне програмне забезпечення, шпигунське програмне забезпечення, руткіти, черв’яки, троянські коні та інструменти шахрайства.

Якщо ви продовжуєте завантажувати теми та плагіни з торент-сайтів (замість того, щоб купувати оригінальні копії у розробників), тоді вам потрібно мати цей тип плагіна для кращої безпеки.

Безпека Wordfence

Цей плагін пропонує безкоштовну безпеку корпоративного класу, захищаючи ваш сайт від зловмисного програмного забезпечення, а також від можливих злому. Він перевіряє, чи є на вашому веб-сайті зараження, і чи проводить глибоку перевірку вихідного коду на стороні сервера.
Він порівнює код з офіційним сховищем WordPress для плагінів, ядер та тем. Він не тільки захищає ваш веб-сайт від більшості загроз, але і робить ваш веб-сайт у 50 разів швидшим, ніж раніше.

Wordfence також дозволяє блокувати відомих нападників у режимі реального часу. Це означає, що якщо хакер атакує цей плагін на іншому сайті, він також блокується автоматично з вашого сайту.

Він може заблокувати всю мережу шкідливих IP-адрес, коли існує загроза внесення зловмисних кодів на ваш сайт. Це також допомагає блокувати загрози у вигляді скреперів, сканерів та ботів, виявлених під час сканування безпеки. Він також сканує трояни, підозрілий код, заднім числом, фішингові URL-адреси, зловмисне програмне забезпечення, вразливість HeartBleed тощо..

Якщо ви є першокласним користувачем, ви також можете блокувати країни, і ви можете часто планувати сканування на певні періоди.

Експлуатувати сканер

Scanit Exploit завжди шукає щось підозріле у файлах та базі даних вашого сайту WordPress, включаючи публікації та таблиці коментарів.

Він також сканує плагіни, які ви використовуєте, для будь-яких оманливих або незвичних імен файлів. Якщо він знайде якийсь шкідливий код або файл, цей плагін надає докладний звіт адміністратору сайту та залишає його йому чи їй, щоб видалити шкідливий код.

Sucuri Security

Це комплексний набір інструментів безпеки, який використовується для виявлення зловмисного програмного забезпечення, посилення безпеки та моніторингу цілісності безпеки. Це чудова підтримка функцій безпеки вашого наявного сайту.

Деякі ключові функції цього плагіна включають моніторинг цілісності файлів, моніторинг чорного списку, аудит діяльності безпеки, віддалене сканування зловмисного програмного забезпечення, посилення безпеки та заходи безпеки, вжиті після подій, повідомлення про безпеку та брандмауер веб-сайту..

Як сканувати ваш WordPress сайт на приховані зловмисні програми?

Оскільки WordPress – це платформа з відкритим кодом, вона легко сприймається зловмисними програмами або ін’єкціями з боку хакерів. Деякі з поширених способів, як хакери можуть вводити шкідливі програми на ваш сайт, включають наступне:

  • Pharma Hacks (введення спаму у вашу базу даних чи файли)
  • Фішинг (отримання конфіденційної інформації, такої як адреси електронної пошти, паролі та імена користувачів)
  • Шкідливі переадресації (перенаправлення відвідувачів вашого сайту на іншу сторінку сайту, де є завантажений заражений файл чи шкідливий код)
  • Ін’єкції файлів і баз даних (додавання зловмисного коду до бази даних або файлів вашого сайту)
  • На задньому плані (отримання доступу до вашої адміністраторської області або FTP-акаунта)
  • Усі хакери хочуть переконатися, що власник сайту не дізнається, що він зламав його або її сайт. Це дозволяє хакерам заражати відвідувачів сайту шляхом постійного спаму на довший період.

Отже, ваша мета – продовжувати пошук будь-якого прихованого зловмисного програмного забезпечення на своєму сайті, про який ви не знаєте, та позбавлення від заражених файлів чи папок.

Для цього можна скористатися популярними плагінами для сканування зловмисного програмного забезпечення WordPress, такими як перелічені нижче:

Використовувати Сканер Sucuri SiteCheck сканувати можливі шкідливі програми. Просто перейдіть на сайт тут і введіть URL-адресу вашого веб-сайту. Цей безкоштовний сканер здійснить всебічне сканування вашого сайту на наявність шкідливих програм, помилок веб-сайту, статусу чорного списку та застарілого програмного забезпечення.

Єдиним недоліком є ​​те, що вам потрібно виконати цю перевірку вручну за допомогою безкоштовної версії. Ви можете перейти до планів преміум-класу та отримувати сповіщення за допомогою Twitter, електронної пошти чи RSS, коли він виявить зловмисне програмне забезпечення.

Видаліть веб-сайт із чорних списків, якщо хакер довгий час використовував ваш сервер для спаму. Послуги преміум-класу також допомагають видалити зловмисне програмне забезпечення. Ви навіть можете спробувати раніше обговорюваний плагін безпеки Sucuri для посилення захисту від зловмисного програмного забезпечення.

Використовувати Сканер проти зловмисного програмного забезпечення шукати зловмисне програмне забезпечення, віруси, схожі місця та подібні відомі загрози, а також автоматично видаляти їх. Ключовою особливістю цього плагіна є виправлення вашої сторінки wp-login.php, щоб зупинити жорстокі атаки.

Крім того, ви можете використовувати будь-який з плагінів безпеки WordPress, обговорений вище для виявлення шкідливого коду.

Інструменти тестування безпеки веб-сайту

Щоб захистити ваш веб-сайт від атак, вам потрібно постійно перевіряти рівень безпеки вашого сайту, використовуючи певні інструменти тестування, такі як:

Вапіті виявляє вразливості (розкриття файлів, введення в базу даних, введення сценаріїв між сайтами, слабкі конфігурації .ctaccess тощо) на вашому веб-сайті. Цей інструмент використовує підхід сканування чорного поля.

Це означає, що він не вивчає вихідний код програми, але перевіряє веб-сторінки на форми та сценарії, куди він може вводити дані. Він вводить корисні навантаження для виявлення вразливих сценаріїв. Він надає звіти в різних форматах, таких як HTML, XML, Text та JSON.

Google Nogotofail тестує мережевий трафік сайту, щоб виявити та виправити слабкі TLS або SSL-з’єднання та чутливий трафік чіткого тексту на різних пристроях. Ви також можете налаштувати його як VPN-сервер або проксі-сервер або навіть маршрутизатор.

Ви можете спробувати сканер з відкритим кодом та тестер з назвою Вега. Ця платформа на основі GUI знаходиться в Java та працює з платформами OS X, Windows та Linux. Він складається з перехоплюючого проксі для виконання тактичного огляду та автоматизованого сканера для виконання швидких тестів.

Цей інструмент може бути використаний для виявлення міжсайтових сценаріїв (XSS), введення SQL та подібних уразливостей.
Ми сподіваємось, що ці поради та інформація про безпеку WordPress допоможуть вам значно підвищити безпеку вашого сайту.

Ви вже пробували деякі додатки або методи, що значно підвищують безпеку вашого веб-сайту WordPress? Поділіться своїм досвідом та продовжуйте поширювати інформацію про важливість безпеки веб-сайту серед вашої мережі.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map