Советы по безопасности WordPress для дилетанта: безопасность входа в WordPress и другие методы обеспечения безопасности

С тех пор как WordPress был впервые представлен более двух десятилетий назад, он вырос (и вырос) и теперь смело считается самой популярной в мире системой управления контентом. Сегодня более четверти существующих сайтов работают на WordPress..


Тем не менее, с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать это для гнусных средств. Достаточно взглянуть на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов, предназначенных только для этой конкретной операционной системы..

10 версий WordPress с большинством уязвимостей (источник). Исследования, проведенные в 2017 году, позволили выявить 74 различных версии WordPress на миллионах сайтов Alexa. 11 из этих версий недействительны – например, версия 6.6.6 (источник).

Почему ваш блог WordPress является ценной целью?

Если вам интересно, почему хакер захочет контролировать ваш блог WordPress, есть несколько причин, в том числе;

  • Используя его, чтобы тайно отправлять электронные письма со спамом
  • Украдите ваши данные, такие как список рассылки или данные кредитной карты
  • Добавление вашего сайта в ботнет, который они могут использовать позже

К счастью, WordPress – это платформа, которая предлагает вам множество возможностей защитить себя. Помогая в настройке и администрировании нескольких веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из самых простых вещей, которые вы можете сделать, чтобы защитить свой сайт WordPress..

Вот 10 действенных советов по безопасности, которые вы можете использовать.

Защитите свою страницу входа в WordPress

Защита вашей страницы входа в систему не может быть достигнута каким-либо конкретным способом, но, безусловно, есть шаги и бесплатные плагины безопасности, которые вы можете предпринять, чтобы сделать любую атаку гораздо менее вероятной, чтобы быть успешной..

Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной..

1. Выберите хорошее имя пользователя администратора

Используйте необычные имена пользователей. Ранее с WordPress вам приходилось начинать с имени пользователя по умолчанию для администратора, но это уже не так. Тем не менее, большинство новых веб-администраторов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Вы можете использовать Admin Renamer Extended, чтобы изменить имя пользователя администратора.

Грубое принуждение к входу в систему является одной из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш сайт почти наверняка станет не просто целью, но и в конечном итоге жертвой. По опыту, большинство попыток взлома сайтов пытаются войти в систему с тремя основными вариантами имен пользователей. Первые два всегда “администратор” или “администратор”, а третий обычно основан на вашем доменном имени.

Например, если ваш сайт – crazymonkey33.com, хакер может попытаться войти с помощью «crazymonkey33».

Не хорошая идея.

2. Убедитесь, что вы используете надежный пароль

К настоящему времени вы, вероятно, думаете, что люди будут знать, как использовать надежные, сложные пароли для защиты своей учетной записи, но все еще многие считают, что «пароль» – это отличный.

Splash Data составили список часто используемых паролей в 2018 году. Пароль по рангу с точки зрения использования.

  1. 123456
  2. пароль
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. Солнечный свет
  9. БУКВ
  10. Я люблю вас

Если вы используете один из этих паролей и ваш сайт вообще получает какой-либо трафик, ваш сайт почти наверняка рано или поздно будет отключен.

Надежный пароль будет включать в себя смесь:

  • Верхняя и нижняя заглавные буквы
  • Быть буквенно-цифровым (A-Z и a-z)
  • Включите специальный символ (!, @, #, $ И т. Д.)
  • Не менее 8 символов в длину

Чем более случайный ваш пароль, тем более безопасным он будет. Попробуйте этот генератор случайных паролей, если у вас возникли проблемы с его созданием. https://passwordsgenerator.net/

3. Внедрить reCaptcha

Стена ботов от вашего блога WP.

reCaptcha был разработан, чтобы мешать автоматизированным инструментам работать на сайте. Конечно, учитывая сложность хакерских инструментов сегодня, их можно легко обойти, но по крайней мере есть дополнительный уровень безопасности.

Есть несколько плагинов reCaptcha, которые вы можете использовать с вашей установкой, которые будут работать практически из коробки.

4. Используйте двухфакторную аутентификацию (2FA)

2FA – это метод аутентификации, который требует проверки вашего логина. Например, после входа в систему с использованием имени пользователя и пароля система может отправить SMS на ваш мобильный телефон или отправить вам электронное письмо с кодом, который необходимо ввести для подтверждения вашей личности.

Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми учреждениями. Опять же, эта потребность может быть легко удовлетворена с помощью плагина 2FA.

Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.

T

5. Переименуйте ваш логин

Большинство хакеров пытаются войти через стандартную страницу входа в WordPress, которая обычно

sample.com/wp-admin.

Чтобы добавить еще один уровень защиты, быстро и без особых усилий измените URL страницы входа в систему с помощью такого инструмента, как WPS Hide Login..

6. Ограничить количество попыток входа

Это одна из невероятно простых техник, позволяющая остановить атаки методом “грубой силы” на вашей странице входа прямо в треки. Атака грубой силы работает, пытаясь получить правильное имя пользователя и пароль, пробуя несколько комбинаций снова и снова.

Если отслеживается конкретный IP-адрес, который совершает атаку, вы можете заблокировать повторные попытки перебора и обеспечить безопасность своего сайта. По этой же причине глобальные DDOS-атаки происходят с нескольких IP-адресов с различными источниками атаки, что ставит под угрозу безопасность услуг хостинга и веб-сайта.

Login LockDown и Login Security Solution предлагают отличные решения для защиты страниц входа на ваш сайт. Они отслеживают IP-адреса и ограничивают количество попыток входа в систему для защиты вашего сайта..

Защитная стена

Мы обсудили различные тактики защиты вашей страницы входа в WordPress – упомянутые выше шаги – это основы, которые вы можете сделать. Вы также должны знать, что некоторые веб-хосты предписывают некоторые из этих методов безопасности своим пользователям. Существует ряд других методов обеспечения безопасности, которые вы можете применять на своих сайтах..

7. Защитите свой каталог wp-admin

Добавьте дополнительный уровень безопасности в каталог вашего хоста.

Каталог wp-admin – это сердце вашей установки WordPress. В качестве дополнительной защиты, пароль защищает этот каталог.

Для этого вам необходимо войти в панель управления учетной записью хостинга. Независимо от того, используете ли вы cPanel или Plesk, вам нужен вариант «Каталоги, защищенные паролем»..

Кроме того, вы можете защитить каталог паролем, настроив файлы .htaccess и .htpasswds. Подробное пошаговое руководство и генератор кода доступны бесплатно на Dynamic Drive.

Обратите внимание, что защита паролем вашей папки wp-admin взломает общедоступный AJAX для WordPress – вам нужно разрешить права администратора на ajax через .htaccess, чтобы избежать ошибок сайта.

8. Используйте SSL для шифрования данных

HTTP против HTTPS-соединения (Источник: Sucuri)

Помимо самого сайта, вы также захотите защитить соединение между вами и сервером, и именно здесь SSL шифрует ваши сообщения. Имея зашифрованное соединение, хакеры не смогут перехватить данные (например, ваш пароль), когда вы общаетесь с вашим сервером.

Помимо этого, сейчас также полезно внедрять SSL, поскольку поисковые системы все чаще наказывают сайты, которые они считают «небезопасными»..

Для отдельных блоггеров и малого бизнеса бесплатный общий SSL – который вы обычно можете получить у своего хостинг-провайдера, Let’s Encrypt или CloudFlare – обычно более чем достаточно. Для предприятий, которые обрабатывают платежи клиентов, лучше всего покупать специальный сертификат SSL у своего веб-хоста или в центре сертификации (CA)..

Узнайте больше о SSL в нашем полном руководстве A-Z по SSL.

9. Используйте сеть распространения контента (CDN)

Хотя это может не спасти ваш сайт от взлома, оно помогает предотвратить вредоносные атаки на него. Некоторые хакеры стремятся взломать сайты, делая их недоступными для общественности. CDN поможет смягчить удар атаки распределенного отказа в обслуживании на ваш сайт.

Кроме того, это также помогает немного ускорить ваш сайт, кэшируя некоторый контент. Чтобы изучить эту опцию, посмотрите на CloudFlare в качестве примера. CloudFlare предлагает услуги CDN по многоуровневой цене, так что вы даже можете использовать основные функции бесплатно. https://www.cloudflare.com

10. Убедитесь, что все ваше программное обеспечение обновлено

Независимо от того, насколько хорошее или дорогое программное обеспечение, в них всегда найдутся новые слабости, которые могут оставить их открытыми для использования. WordPress не является исключением, и команда постоянно выпускает новые версии с исправлениями и обновлениями..

Хакеры почти всегда стремятся воспользоваться слабостью, а известный эксплойт, оставленный незафиксированным, просто напрашивается на неприятности. Это в два раза больше для плагинов, которые часто создаются гораздо меньшими компаниями с меньшими ресурсами.

Если вы используете плагины, убедитесь, что обновления выпускаются регулярно, или попробуйте найти популярные плагины с аналогичными функциями, которые постоянно обновляются..

Сказав это, я НЕ рекомендую вам использовать автоматические обновления WordPress и плагинов, особенно если вы работаете с живым сайтом. Некоторые обновления могут вызывать проблемы, как внутри, так и из-за конфликта с другими плагинами и настройками..

В идеале, создайте тестовую среду, которая отражает ваш живой сайт, и тестируйте обновления на нем. Убедившись, что все работает нормально, вы можете применить обновление к действующему сайту..

Панели управления, такие как Plesk, дают вам возможность создать клон сайта для этой цели..

11. Резервное копирование, резервное копирование и резервное копирование!

Независимо от того, какие меры безопасности или насколько вы осторожны, случаются несчастные случаи. Спасите себя от душераздирающего горя и сотен часов работы, просто убедившись, что у вас есть адекватные услуги резервного копирования на месте.

Обычно ваш веб-хостинг поставляется по крайней мере с некоторыми базовыми функциями резервного копирования, но если вы параноик, как я, всегда убедитесь, что вы делаете свои собственные независимые резервные копии. Резервное копирование не так просто, как просто копирование некоторых файлов, но также учитывает информацию в вашей базе данных.

Ищите решение для резервного копирования, которое проверено и доказано. Даже небольшая инвестиция стоит того, чтобы сэкономить на слезах в случае крайней необходимости. Что-то вроде BackupBuddy может помочь вам сохранить все, включая вашу базу данных за один раз.

12. Ваш веб-хостинг имеет значение!

Хотя традиционно хостинговые компании просто предлагали нам место для размещения наших сайтов, времена изменились. Поставщики веб-хостинга, осознавая острую необходимость в повышении безопасности, активизировались, и многие предлагают дополнительные услуги, дополняющие их веб-хостинг..

Возьмем, к примеру, HostGator, одно из наиболее известных имен в игре. Помимо основных функций Cloudflare, HostGator (по цене $ 10 + / мес) также поставляется с бесплатной защитой от спама, автоматическим удалением вредоносных программ, автоматическим резервным копированием, конфиденциальностью домена и многим другим..

Управляемый хостинг-провайдер WordPress, Kinsta, создает аппаратные брандмауэры и активно отслеживает свои серверы на наличие вредоносных программ и DDoS-атак с помощью собственной системы.

Если это то, что вам еще не приходило в голову, я настоятельно рекомендую вам посмотреть, какие функции безопасности предоставляет ваш хост, и сравнить его с тем, что доступно в настоящее время..

С полным списком вы можете ознакомиться с подборкой лучших веб-хостеров WHSR здесь..

Что теперь?

Прежде чем вы начнете нервничать и начнете рыться в интернете в панике в поисках миллиона и одного решения безопасности – сделайте глубокий вдох. Как и во всем остальном, кто-то уже помог бы вам паниковать и искал решение.

Даже если вы внедрите столько решений для безопасности, сколько сможете найти, вы уверены, что вы в безопасности??

Здесь появляется что-то вроде Security Ninja, которое помогает вам исследовать ваш сайт на наличие слабых мест..

Быстрая демонстрация: как работает Security Ninja.

Есть несколько веских причин использовать что-то вроде Security Ninja, но позвольте мне сказать, что это инструмент, который я бы порекомендовал использовать на нескольких этапах вашего путешествия для защиты вашего сайта..

Сначала запустите его на своем веб-сайте «как есть», прежде чем вносить какие-либо изменения. Позвольте плагину тыкать и подталкивать ваш сайт, прежде чем дать вам результаты.

Затем, основываясь на этих результатах, работайте над защитой своего сайта. Security Ninja выполняет более 50 тестов для проверки вашей защиты. Даже после внесения изменений, запустите его снова (и каждый раз, когда происходят изменения сайта или обновления плагинов) просто для проверки вашего сайта.

Если для вас это кажется слишком сложной работой, Security Ninja также поставляется с множеством дополнительных модулей (профессиональная версия, один сайт, 29 долларов США), которые могут помочь вам решить найденные проблемы..

Некоторые другие ключевые функции в этих модулях включают в себя:

  • Сканирование файлов ядра WP для выявления проблемных файлов
  • Восстановите измененные файлы одним щелчком мыши
  • Исправить неработающие автообновления WP
  • Запретить 600 миллионов плохих IP-адресов, собранных с миллионов атакованных сайтов
  • Список автообновлений, нет необходимости в обслуживании или ручной работе
  • Защита формы входа в систему от атак методом перебора

Последние мысли

Хотя все это может показаться немного чрезмерным для обычного пользователя WordPress, я уверяю вас, что все это (и даже больше) необходимо. Не обращая внимания на международную статистику хакерских атак и тому подобное, позвольте мне поделиться с вами некоторыми личными сведениями на одном из самых малоизвестных сайтов, которыми я помогаю управлять.

Первоначально начатый как простой сайт биографии, я создал www.timothyshim.com. Очевидно, это было просто то, что я настроил, и большую часть времени оставляю в покое, просто как ориентир. На каждом месячном периоде этот сайт, который практически ничего не делает и не собирает никаких данных, сталкивается с более чем 30 атаками – комбинация грубой силы и сложных атак.

Все, что нужно для успеха одного из них, и у меня будет действительно плохой день.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map