Безопасность WordPress 101: полное руководство по безопасности WordPress

Безопасность WordPress 101: полное руководство по безопасности WordPress

Почему важна безопасность WordPress? Веб-сайт — это первая точка контакта для потенциальных клиентов, которые узнают вас и доверяют вашему бренду и бизнесу, поэтому важно всегда следить за здоровьем вашего сайта с точки зрения его безопасности. Поскольку WordPress приобрел популярность в последние несколько лет, он стал предметом увлечения хакеров, которые пытаются взломать его, повредить ваши файлы и, в конечном итоге, ваш бизнес. Помимо взлома, существуют и другие угрозы, например, ransomware.

Оглавление статьи:

Все о безопасности WordPress

Ransomware — это программное обеспечение, которое проникает в вашу систему и блокирует доступ к ней для посетителей сайта. Владелец ransomware требует определенную сумму денег/выкупа, чтобы освободить ваш сайт. Если Google обнаружит, что ваш сайт поражен вирусом или хакерской атакой, он может внести его в черный список и исключить из индекса, и каждый раз, когда посетитель захочет зайти на ваш сайт, он будет уведомлен браузером о проблеме безопасности на вашем сайте. Все это делает очень важным для вас обеспечить безопасность вашего сайта, следуя лучшим практикам безопасности wordpress и используя лучшие отраслевые инструменты. Помимо правильных инструментов и методов, очень важно понимать роль вашего хостинг-провайдера. Важно разместить свой сайт у надежного и проверенного хостинг-провайдера. В этой статье мы расскажем вам, как оптимизировать безопасность WordPress!

Насколько безопасен WordPress?

Под WordPress мы подразумеваем основные файлы WordPress. WordPress очень безопасен, если пользователи следят за всеми остальными параметрами безопасности и соблюдают все процедуры безопасности. Администратору WordPress важно поддерживать все основные файлы WordPress в последней версии, а также обновлять все темы и плагины.

Плагины безопасности WordPress

Рекомендуется использовать надежные плагины безопасности WP, такие как Wordfence, Sucuri или All in One WordPress Security and Firewall. Существуют как бесплатные, так и платные версии этих плагинов. Эти плагины безопасности бдительно следят за всеми подозрительными действиями и блокируют атаки. Вы можете легко настроить эти плагины с помощью соответствующих панелей управления. Серверы WPOven уже оснащены всеми этими функциями плагинов безопасности, и вы можете настраивать и контролировать их с панели управления WPOven.

Malcare

 

Вашу рекламу скликивают конкуренты?

Подключите защиту по ссылке и экономьте ваш рекламный бюджет!

malcare

Мы рекомендуем Malcare, поскольку он поставляется с функцией мгновенного сканирования и очистки от вредоносных программ. С помощью этого плагина вы можете автоматически очистить свой сайт за несколько простых шагов. Он также предлагает встроенную функцию staging и очень хорошую поддержку. Цена начинается всего с 99 долларов в год.

  • Количество установок: 240,000+
  • Рейтинг: 4.5
  • Цена: От 99$/год.

Sucuri Security

sucuri

Sucuri Security — это очень эффективный плагин безопасности WP с такими функциями, как аудит действий безопасности, мониторинг целостности файлов, удаленное сканирование вредоносных программ и мониторинг черного списка, с уведомлениями по электронной почте. Он имеет как бесплатную, так и платную версию с ежемесячной подпиской от $16/месяц.

  • Количество установок: 600,000+
  • Рейтинг: 4.4
  • Цена: От $16.66/месяц

iThemes Security

ithemes

Itheme Security — это очень универсальный плагин безопасности с такими опциями, как проверка на вредоносное ПО, ведение журнала действий пользователя и сравнение файлов в режиме онлайн. Также в плагин встроено множество других опций, таких как изменение URL для приборной панели WordPress, удаление информации заголовка RSD, изменение пути к wp-content и т.д. Вы также можете установить двухфакторную аутентификацию и истечение срока действия пароля с помощью этого плагина.

  • Количество установок: 900,000+
  • Рейтинг: 4.7
  • Цена: Всего от $48 в год.

WordFence Security

wordfence security

Wordfence имеет актуальные правила брандмауэра и список вредоносных IP-адресов, а также такие функции, как блокировка по странам и отключение или добавление 2FA в XML-RPC. У него есть специальная версия для многосайтовости, известная как Wordfence Central, как проверенный метод защиты нескольких сайтов в многосайтовой среде.

  • Количество установок: 3+ млн.
  • Рейтинг: 4.8
  • Цена: От $74 в год

SecuPress

secupress

SecuPress — это простой плагин безопасности WordPress со сканированием на вредоносное ПО; блокировкой ботов и подозрительных IP. Он прост, но эффективен при установке WordPress и предоставляет отчеты о безопасности в формате PDF. Он также позаботится об использовании защищенных имен пользователей и паролей с помощью таких функций, как установка времени жизни пароля и запрет на использование имен пользователей, которые могут быть легко угаданы.

  • Количество установок: 20,000+
  • Рейтинг: 4.2
  • Цена: 60 евро в год

Типы уязвимостей WordPress

Чтобы понять, как защитить свой сайт, важно понять, какие факторы угрожают безопасности вашего WordPress, вот список угроз:

  • Бэкдоры
  • Атаки типа «отказ в обслуживании» (DoS)
  • Межсайтовый скриптинг (XSS)
  • Вредоносные перенаправления
  • Попытки грубого входа в систему
  • Фарма Хаки
  • Фишинг

Бэкдоры

Это нетрадиционные уязвимые точки, которые всегда ищут хакеры. Это может быть один из уязвимых файлов в основном пакете WordPress, файлы темы или плагина, FTP-доступ с незащищенного компьютера, который вы сделали в прошлом, и т.д. Это один из основных источников хакерских атак. Вредоносные файлы похожи на один из легитимных файлов WordPress. Можно использовать файлы Backdoors для различных способов эксплуатации, включая создание Wp Users, незаконное использование WP для кражи пользовательских данных. Один из способов избежать этих атак — постоянно обновлять файлы и регулярно сканировать их с помощью таких плагинов, как WordFence, SiteCheck или Sucuri. Это очень важно для безопасности вашего WordPress.

Отказ в обслуживании

Важно использовать темы и плагины от проверенных разработчиков, чтобы в их коде не было уязвимых ошибок. В этом типе атак хакеры используют эти слабые места в коде для увеличения использования оперативной памяти сервера путем выполнения повторяющихся запросов, что заставляет сайт перестать отвечать на запросы других посетителей сайта. Мы используем несколько систем, чтобы занять один ресурс, что приводит к тому, что веб-сайт перестает отвечать. Это может привести к огромным потерям для бизнеса, так как сайт может оказаться недоступным для посетителей и потенциальных клиентов. Уязвимость WordPress можно легко уменьшить, если следовать советам.

Межсайтовый скриптинг (XSS)

С помощью этой техники хакеры проникают в браузеры посетителей сайта и крадут их данные, которые могут включать важные пароли. Это происходит путем внедрения уязвимых файлов в установку WordPress. В основном это происходит в плагинах, разработанных новыми или ненадежными разработчиками. XSS-атаки обычно осуществляются с помощью JavaScript и CSS. Используя XSS-атаки, хакеры могут нанести вред посетителям сайта, включая кражу cookie, установку троянов, прослушивание клавиатуры, фишинг и кражу личных данных, при этом посетители даже не осознают потери. Не волнуйтесь, мы позаботимся о вас! Прочитайте все об ошибках WordPress, чтобы решить их в мгновение ока.

Вредоносные перенаправления

Хакеры могут перенаправлять посетителей вашего сайта на другие сайты, внедряя код перенаправления в один из ваших файлов, чаще всего в файл .htaccess. Когда посетители пытаются зайти на ваш сайт или какую-либо конкретную страницу на вашем сайте, они будут перенаправлены на вредоносный сайт. Это приведет к потере доверия к вашему бизнесу.

Попытки грубого входа в систему

Хакеры используют автоматизированные скрипты для определения слабых паролей и входа в вашу приборную панель WordPress. Хакеры могут использовать атаку грубой силы для получения доступа к бэкенду сайта и кражи важных личных и бизнес-данных, могут удалить файлы сайта и вывести его из строя. Метод грубой силы занимает много времени у хакеров. Этого можно легко избежать путем усиления входа в систему WordPress с помощью таких методов, как ограничение количества попыток входа, использование капчи на экранах входа и двухфакторная аутентификация логинов.  Это важно для безопасности WordPress вашего сайта.

Pharma Hacks

Важно, чтобы файлы ядра WordPress, файлы тем и плагинов обновлялись до последних доступных версий. Хакеры могут определить устаревшие файлы и внедрить коды для показа посетителям фармацевтической рекламы, преимущественно о виагре и других незаконных препаратах. Когда посетители посещают ваш сайт или какую-либо конкретную страницу на вашем сайте, им будет показана реклама фармацевтических препаратов внутри страницы или в виде всплывающего окна. Это приведет к тому, что ваш сайт и бизнес потеряют доверие посетителей.

Фишинг

Это один из самых распространенных методов, используемых хакерами для кражи паролей ваших посетителей. Обычно это делается через электронное письмо, которое выглядит как письмо из надежного источника, но, конечно, таковым не является. В нем содержится ссылка, нажав на которую, пользователь попадает в руки хакеров. Хакеры могут использовать ваш сервер и WP Installation для рассылки вредоносных писем по списку электронной почты своей жертвы. Трудно определить, заражен ли ваш сайт фишинговыми скриптами. Хотя этого можно избежать с помощью регулярного сканирования.

Найти безопасный, надежный и проверенный хостинг WordPress

Как уже говорилось ранее, важно выбрать хостинг-провайдера, который очень трепетно относится к безопасности, соблюдает высокие стандарты мер безопасности и имеет хорошую систему поддержки. Хороший хостинг-провайдер будет всегда:

  • Следите за подозрительной активностью хакеров и установите контрольно-пропускные пункты для защиты от любого типа атак.
  • Использует самые современные инструменты для выявления как мелких, так и крупных атак путем непрерывного мониторинга сервера. Вы также можете бесплатно проверить мониторинг веб-сайта здесь.
  • Все используемые скрипты (включая последние версии PHP), программное и аппаратное обеспечение основаны на новейших технологиях и часто обновляются.
  • Пользовательские брандмауэры и системы обнаружения вторжений.
  • Регулярно создавайте резервные копии и предоставляйте простые и автоматические возможности резервного копирования и восстановления.
  • Проверьте все файлы и защитите их от вредоносных программ, программ-вымогателей и других вирусов.
  • Обеспечивает поддержку HTTPS.
  • Иметь отличный вспомогательный персонал, который может принять меры в случае каких-либо инцидентов.
  • Предлагаем планы управляемого WordPress хостинга, специально разработанные для нужд WordPress.

WPOven Управляемый WordPress хостинг «Все включено» предлагает все вышеперечисленное, чтобы помочь вам запустить свой WordPress сайт, не беспокоясь о безопасности. WPOven в рамках своего плана управляемого хостинга WordPress также предлагает:

  1. Ежедневное сканирование на наличие вредоносных программ
  2. Бесплатная очистка от вредоносных программ
  3. Усиленная настройка сервера с пользовательским брандмауэром
  4. Защита от DDOS
  5. Ежедневное резервное копирование вне помещения и восстановление одним щелчком мыши
  6. Оптимизирована безопасность и производительность сервера для WordPress и WooCommerce
  7. Настройки разрешения файлов одним щелчком мыши.
  8. Бесплатный HTTPS/SSL для каждого веб-сайта
  9. Обновление тем и файлов прямо с приборной панели WPOven
  10. Резервное копирование доступно до 14 дней.

Держите на сервере последнюю версию PHP

Все ваши файлы WordPress разработаны с использованием PHP-кодов, и это фундамент вашего сайта WordPress, поэтому очевидно, что фундамент должен быть прочным. Поэтому важно использовать только последнюю версию PHP. Версии PHP поддерживаются до 2 лет для защиты от проблем безопасности. В течение этого периода времени все необходимые исправления безопасности предоставляются разработчиками. После этого он становится устаревшим. Самая последняя версия PHP — 7.3, которая оптимизирована для лучшей скорости, а также гораздо более безопасна, чем ее предыдущие версии. Версии ниже PHP 7.0 являются небезопасными. Таким образом, вы можете использовать версии 7.0, 7.1, 7.2 или 7.3. WPOven отказался от старых версий PHP и использует только PHP версии 7.0 и выше. Вы можете легко выбрать версию PHP, которую хотите использовать, что снижает уязвимость WordPress.

Делайте частые резервные копии

Всегда рекомендуется часто делать резервные копии файлов сайта WordPress, а также базы данных. Вы можете создавать резервные копии вручную, а также с помощью некоторых плагинов WordPress, таких как UpdraftPlus, VaultPress, BackupBuddy или любых других плагинов резервного копирования. Вы можете использовать эти плагины для планирования автоматического резервного копирования. При выборе плагина убедитесь, что в нем есть возможность легкого восстановления. Хранение резервных копий вне сервера является лучшим подходом, так как файлы находятся в безопасности в случае любого нежелательного инцидента на сервере.

Услуги по резервному копированию WordPress. Существуют некоторые внесетевые службы резервного копирования WordPress, которые хранят резервные копии в облаке. Некоторые из платных услуг такие как:

  • VaultPress: Это основанная на подписке служба резервного копирования и комплексное решение по обеспечению безопасности, включающее регулярное сканирование, систему защиты от спама, мониторинг времени работы и другие функции безопасности.
  • WPOvenВ рамках своей услуги они создают резервные копии основных файлов и баз данных на Amazon S3 и имеют возможность восстановления в 1 клик. В зависимости от выбранного пакета вы можете выбрать частоту резервного копирования (даже 2 раза в день), а также выбрать сервер США или ЕС.
  • BlogVault: Это поставщик решений для резервного копирования, миграции, постановки, восстановления и управления WordPress со 100% скоростью восстановления.

Плагины резервного копирования WordPress

Вы также можете использовать некоторые бесплатные и очень надежные плагины. Некоторые плагины обеспечивают резервное копирование на сервере, а некоторые — внесерверное резервное копирование, при котором резервные файлы хранятся на внесерверных площадках, таких как AmazonS3, Google Cloud, Dropbox, MS Azure, Rackspace и т.д.

UpdraftPlus: Это самый популярный плагин для резервного копирования и восстановления, который используется миллионами сайтов WordPress. Существует как бесплатная, так и премиум-версия этого плагина. Он также совместим с многосайтовой средой, может хранить резервные копии объемом до 100 Гб и даже планировать почасовое резервное копирование.

BackupBuddy: Это один из старейших плагинов WordPress для резервного копирования. Он обеспечивает мгновенные уведомления по электронной почте и настраиваемое содержание резервных копий.

WP Time Capsule: Это интеллектуальный плагин резервного копирования, который создает резервные копии только при наличии изменений в файле или базе данных. Это экономит время, место и ресурсы. Он имеет различные планы для удовлетворения потребностей пользователей, начиная от владельцев одного сайта и заканчивая агентствами, управляющими несколькими сайтами WordPress.

BackWPup: Это универсальный плагин для резервного копирования, который шифрует резервные копии. WPOven имеет встроенную в приборную панель функцию резервного копирования и восстановления. В панели WPOven есть два типа резервного копирования: инкрементное и полное.  WPOven предоставляет бесплатное резервное копирование на срок до 14 дней и сохраняет резервные копии вне сервера.

BackWPup

Кроме того, можно загрузить полную резервную копию, а также резервные копии файлов или базы данных по отдельности, как показано на рисунке:

BackWPup by WPOven

Надежные имена пользователей и пароли

Конечно, вы наверняка слышали эту рекомендацию с тех пор, как начали пользоваться компьютерами в детстве: использовать надежные имена пользователей и пароли, которые трудно угадать и запомнить. Это было и всегда будет лучшей практикой безопасности WordPress для обеспечения безопасности вашего сайта WordPress. Также рекомендуется менять пароль каждые несколько месяцев или недель. Большинство хостинг-провайдеров предлагают установку WordPress в один клик, при этом пароль генерируется автоматически. Установка в один клик в WPOven генерирует чрезвычайно защищенные данные для входа в панель администратора WordPress. Кроме того, самое популярное имя пользователя, созданное по умолчанию для WordPress, — ‘admin’. Мы рекомендуем вам не использовать его в качестве имени пользователя, лучше использовать что-то, что нелегко угадать. Помимо логинов пользователей WordPress, рекомендуется хранить в безопасности и другие пароли, включая FTP, CPanel, электронные письма (связанные с учетными записями пользователей WordPress), пароли баз данных и т.д.

Защита от DDOS

Суровая реальность DDOS-атак заключается в том, что даже самые обновленные версии WordPress не могут предотвратить такие атаки. Их можно предотвратить только путем защиты серверов хостинга. Существуют некоторые сторонние инструменты, которые вы можете установить на свои сайты WordPress для предотвращения атак. Если вы пользуетесь услугами надежных и проверенных партнеров, таких как WPOver, вы можете использовать их инструменты для мониторинга аналитики сайта, производительности сервера и данных об использовании ресурсов. Важно определить аномальный всплеск использования ресурсов и уведомить об этом своего поставщика услуг. Ваш провайдер может проверить все необходимые журналы и принять необходимые меры, чтобы остановить атаку «Отказ в обслуживании».

SSL-сертификат HTTPS

Владельцы сайтов упускают из виду важность SSL, большинство из них считает, что это просто знак, который необходим только в том случае, если ваш сайт связан с финансовыми операциями. SSL-сертификат на сайте играет важную роль в создании безопасного соединения между вашим сайтом и браузером пользователя. Еще одним преимуществом использования HTTPS является повышение рейтинга в поисковых системах. WPOven предоставляет бесплатный сертификат HTTPS через LetsEncrypt в один клик, устанавливаемый с автообновлением для всех сайтов.

Отключить XML-RPC

XML-RPC в основном используется для выполнения нескольких процессов с помощью одной команды. Но это злонамеренно используется хакерами для взлома веб-сайта. Наиболее эффективным решением является полное отключение этой функции для вашего сайта WordPress. Вы можете использовать его с помощью некоторых из доступных плагинов. Вы можете использовать бесплатный плагин Disable XML-RPC plugin или платный плагин, например, от Perfmait. Но если вы используете WPOven, вам не нужно беспокоиться об этом, так как он уже отключен по умолчанию на его сервере для всех размещенных веб-сайтов.

Отключить выполнение файлов PHP

В среде установки WordPress есть определенные каталоги, в которых нет необходимости в любом типе выполнения PHP. Одним из примеров такой директории является поддиректория uploads в разделе wp-content. Для отключения директории создайте новый файл .htaccess под этой директорией и вставьте в него следующий код:

<Файлы *.php>отказать всем</Files>

Неактивные пользователи выходят из системы

Иногда пользователи могут закрыть браузер, не выйдя должным образом из системы. Хакеры могут воспользоваться этой возможностью, чтобы проникнуть в приборную панель WordPress и завладеть учетными данными пользователя. Вы можете использовать плагин для автоматического выхода неактивных пользователей по истечении заданного времени. Это очень важно для безопасности вашего wp.

Удалите неиспользуемые файлы тем и плагинов

Бывает, что мы устанавливаем тему или плагин и никогда ими не пользуемся. Рекомендуется определить ненужные плагины и удалить их из системы. WordPress поставляется с некоторыми темами по умолчанию, такими как Twenty Seventeen, Twenty Nineteen и т.д. Мы рекомендуем удалить эти и другие неиспользуемые темы из системы. Обратите внимание на то, что нужно удалить все темы, кроме одной из тем по умолчанию, чтобы в случае, если ваша основная тема в какой-то момент не сработает, у вас была другая тема, на которую можно будет опереться. Но не забывайте обновлять эту тему, даже если она не используется.

Используйте как можно меньше возможных плагинов

Давайте объясним это на примере. Многие современные темы и конструкторы страниц (Avia, Thrive, Elementor и т.д.). Если в вашей теме или конструкторе страниц, который вы используете, уже есть элемент контактной формы, вам не нужен отдельный плагин для простых форм. Рекомендуется избегать использования дополнительных плагинов, если нет особой необходимости. Следует уделять должное внимание безопасности WP.

Добавьте капчу или вопрос безопасности на экран входа в систему:

Еще одним популярным методом повышения безопасности WordPress является простой метод добавления капчи или вопроса безопасности на экране входа в систему. Для этого можно использовать доступные плагины.

Надежные разрешения файлов и папок

Это очень важный шаг, который необходимо предпринять для защиты вашего сайта от атак. В основном существует три типа разрешений на файлы (чтение, запись, выполнение). Для оптимальной и эффективной работы сайта важно понимать, какие файлы требуют определенного уровня разрешения. Вы можете установить эти разрешения для файлов и папок либо через диспетчер файлов, либо с помощью программного обеспечения FTP.

WordPress Security

Но WPOven — универсальная система безопасности для wp — предлагает возможность разрешать файлы одним щелчком мыши через свою приборную панель.

Ограничить количество попыток входа в систему

Хакеры постоянно пытаются войти в ваш WordPress, используя угадывание паролей. Вы можете контролировать это с помощью плагинов для ограничения попыток входа. Управляемый хостинг WordPress от WPOven уже покрывает это во всех своих тарифных планах.

Двухфакторная аутентификация

Для дополнительной безопасности входа в систему можно включить двухфакторную аутентификацию, при которой перед входом в систему требуется ввести дополнительный OTP-код, который вы получите на свой телефон через SMS или телефонный звонок. Вы можете использовать один из плагинов двухфакторной аутентификации, например Google Authenticator или Duo Two-Factor Authentication. Оба этих плагина также поставляются с соответствующими приложениями для Android и iPhone. После добавления двухфакторной аутентификации на экране входа в систему появятся дополнительные опции для отправки кода аутентификации. После того как вы правильно введете сгенерированный код, полученный на телефон, вы сможете войти в систему как обычно. Это отличный метод для предотвращения атак методом грубой силы.

Измените URL-адрес входа по умолчанию

Хакеры ищут URL-адрес входа по умолчанию для приборной панели WordPress, а именно websitename.com/wp-login.php или websitename.com/wp-admin/. Одно из очевидных решений — изменить URL входа на что-то другое. Вы можете сделать это с помощью одного из плагинов, например, плагина WPS Hide login или премиум-плагина Perfmatters.

Защитите URL-адрес входа в систему

Вы можете защитить URL-адрес входа в систему администратора WordPress с помощью HTTP-аутентификации. Когда кто-то попытается получить доступ к URL-адресу администратора, ему придется использовать дополнительные имя пользователя и пароль для доступа к этой ссылке. Вы можете прочитать больше об анкорных ссылках здесь Примечание: Не используйте эту функцию на сайтах электронной коммерции или любых других сайтах, где есть пользователи, которым необходимо войти в систему.

Обновить префикс базы данных

По умолчанию в установках WordPress используются префиксы таблиц типа wp_, что облегчает задачу хакерам. Очевидный способ избежать этого — изменить префикс таблицы на что-то другое, что не так легко угадать хакерам. Это можно сделать во время установки. Установка WordPress от WPOven генерирует случайный префикс таблицы для каждого из своих сайтов. Это уменьшит количество проблем с безопасностью WordPress.

Отключить редактирование файлов

Все администраторы сайта WordPress могут получить доступ к файлам темы через редактор в панели управления. Это делает файлы тем уязвимыми для непреднамеренных изменений, а также для преднамеренных атак. Это можно предотвратить, отключив редактирование файлов. Это можно сделать, определив его в файле wp-config.php с помощью следующей строки кода: define(‘DISALLOW_FILE_EDIT’, true); Пользователи WPOven могут использовать функцию блокировки сайта, чтобы сделать это одним щелчком мыши.

Защитите файл wp-config

Файл wp-config.php в вашей установке WordPress содержит данные для входа в базу данных и другие ключи аутентификации, а также другие сведения о вашей базе данных (например, префикс таблицы, URL хоста БД). Существуют различные способы его защиты, описанные ниже:

  1. Изменить расположение файла wp-config.php
  2. Изменение ключей безопасности WP по умолчанию в файле wp-config
  3. Запрет доступа к wp-config.php с помощью соответствующих FIle Permissions

Измените расположение wp-config: По умолчанию файл wp-config находится в корневом каталоге вашей установки WordPress. Вам просто нужно создать другой файл wp-config, который не находится в легкодоступном месте, и использовать его в качестве ссылки в оригинальном файле wp-config.

Изменение ключей безопасности WP по умолчанию: В каждом wp-конфиге есть 4 типа случайно сгенерированных буквенно-цифровых ключей: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY. Вы можете сгенерировать новый случайный ключ с помощью этого инструмента WP Security Key.

Измените права доступа к файлам: Рекомендуется изменить права доступа к файлам на 400, чтобы они не могли быть прочитаны внешними источниками. В качестве альтернативы вы можете установить значение 440, если 400 создает некоторые проблемы для правильной работы WP Installation.

Скрыть версию WP

Если злоумышленник знает, какую версию WordPress вы используете, он может использовать уязвимости, характерные для этой версии. Поэтому рекомендуется полностью скрыть ее. Это можно сделать, добавив небольшой код в файл functions.php. Это уменьшит уязвимость вашего WordPress

function wp_version_remove_version() {return »;}add_filter(‘the_generator’, ‘wp_version_remove_version’);

Помимо появления в заголовке, вы также можете определить версию WordPress через текстовый файл readme. Вы можете удалить этот файл (readme.html) из вашей установки.

Регулярное сканирование

Вы можете регулярно запускать сканирование с помощью плагинов безопасности и следить за тем, есть ли изменения в исходных файлах. Существуют также онлайн-инструменты, с помощью которых можно найти подозрительные файлы. Например, с помощью бесплатного инструмента WPSec можно узнать результаты онлайн-сканирования безопасности.

Обновляйте темы и плагины

WordPress, разработчики тем и плагинов часто выпускают новые версии. Мы рекомендуем обновлять все до последней версии на вашей установке WordPress. Новые версии всегда обновляются патчами безопасности для защиты от новых вирусов и вредоносных программ. Также устаревшие версии уязвимы для атак и не поддерживаются разработчиками. WPOven all in one wp security Dashboard предоставляет интерфейс для просмотра установленных плагинов и тем, и они могут быть обновлены непосредственно с приборной панели:

Update Plugins

Используйте проверенные темы и плагины

Перед установкой любой новой темы или плагина убедитесь, что она имеет хорошие и достаточные рейтинги и отзывы. Также посмотрите на его «Количество установок». Проверьте его Changelogs, чтобы узнать, как часто они обновляют версии. Перед установкой плагина проверьте, совместим ли он с вашей версией WordPress. Вы можете проверить историю разработчика и другие плагины или темы, которые он разработал, чтобы убедиться, что у него есть опыт и он создавал безопасные продукты. При регистрации на WPOven вы получаете бесплатные премиум-темы и плагины WordPress.

Защита медиафайлов WordPress

Защитите медиафайлы WordPress от индексации Google и прямого доступа к URL-адресу файла несколькими простыми щелчками мыши с помощью Prevent Direct Access (PDA) Gold. Фактически, плагин предлагает массовую защиту любых файлов, загружаемых в медиатеку WordPress, включая, но не ограничиваясь PDF, DOCX, PPTX, PNG, JPG, MP4 и MP3. PDA Gold позволяет ограничить прямой доступ к файлам только авторизованным пользователям. Это означает, что разрешение на доступ к файлам может быть установлено как для администраторов, так и для вошедших в систему пользователей или даже для определенных пользователей и пользовательских членств. Кроме того, вы можете создавать неограниченное количество ссылок на скачивание с истекающим сроком действия и затем делиться ими с группой пользователей и подписчиков. Эти ссылки на скачивание будут автоматически истекать через определенный период времени или после нажатия. И последнее, но не менее важное: PDA Gold предоставляет интуитивно понятный пользовательский интерфейс для обеспечения безопасности вашего сайта WordPress прямо сейчас:

  • Скрыть версию WordPress
  • Предотвращение «горячих ссылок» на изображения
  • Защита папки загрузок WordPress
  • Блокируйте прямой доступ к конфиденциальным файлам WordPress, например, readme.html и license.txt
  • Защитите любые файлы в загружаемых и/или корневом каталоге с помощью функции защиты папок
Changelog

Существуют и другие ресурсы, где можно найти подробную информацию о последних проблемах безопасности. Вот они:

  1. База данных уязвимостей WPScan:Это каталог всех выявленных уязвимостей в WordPress, темах, плагинах и API. Пользователи могут отправлять сюда свои собственные инциденты, чтобы другие пользователи знали об этих проблемах.
  2. ThreatPress: Это еще одна база данных уязвимостей, которая ежедневно обновляется командой разработчиков.

Заключение

Приведенная выше статья, должно быть, дала вам хорошее представление о том, как обеспечить безопасность вашего WordPress, но важно понимать и осознавать, что хороший хостинг-провайдер является вашим партнером в обеспечении безопасности вашего сайта. Ваш сайт — это синоним вашего бизнеса, а защищенный сайт вызывает доверие у ваших потенциальных клиентов, что очень важно для роста бизнеса.