Полное руководство по безопасности WordPress — шаг за шагом

Полное руководство по безопасности WordPress - шаг за шагом

Безопасность WordPress — это тема, имеющая огромное значение для каждого владельца сайта. Google ежедневно вносит в черный список около 10 000+ сайтов за вредоносное ПО и около 50 000 за фишинг каждую неделю. Если вы серьезно относитесь к своему сайту, то вам необходимо обратить внимание на лучшие практики безопасности WordPress. В этом руководстве мы поделимся всеми лучшими советами по безопасности WordPress, которые помогут вам защитить свой сайт от хакеров и вредоносных программ. Хотя основное программное обеспечение WordPress очень безопасно, и его регулярно проверяют сотни разработчиков, можно многое сделать для обеспечения безопасности вашего сайта. В WPBeginner мы считаем, что безопасность — это не только устранение рисков. Речь также идет о снижении рисков. Как владелец сайта, вы можете многое сделать для повышения безопасности WordPress (даже если вы не разбираетесь в технике). У нас есть ряд действенных шагов, которые вы можете предпринять, чтобы защитить свой сайт от уязвимостей безопасности. Чтобы упростить задачу, мы создали таблицу содержания, которая поможет вам легко ориентироваться в нашем окончательном руководстве по безопасности WordPress.

Оглавление статьи:

Почему безопасность веб-сайта важна?

Взломанный сайт WordPress может нанести серьезный ущерб доходам и репутации вашего бизнеса. Хакеры могут украсть информацию о пользователях, пароли, установить вредоносное программное обеспечение и даже распространить вредоносное ПО среди ваших пользователей. В худшем случае вы можете обнаружить, что платите выкуп хакерам только для того, чтобы восстановить доступ к своему сайту. В марте 2016 года компания Google сообщила, что более 50 миллионов пользователей веб-сайтов получили предупреждение о том, что посещаемый ими сайт может содержать вредоносное ПО или похищать информацию. Кроме того, каждую неделю Google вносит в черный список около 20 000 сайтов за вредоносное ПО и около 50 000 за фишинг. Если ваш сайт — это бизнес, то вам необходимо уделять повышенное внимание безопасности WordPress. Подобно тому, как владельцы бизнеса несут ответственность за защиту здания своего физического магазина, вы, как владелец онлайн-бизнеса, несете ответственность за защиту своего бизнес-сайта.

Обновление WordPress

 

Вашу рекламу скликивают конкуренты?

Подключите защиту по ссылке и экономьте ваш рекламный бюджет!

Keeping WordPress updated

WordPress — это программное обеспечение с открытым исходным кодом, которое регулярно поддерживается и обновляется. По умолчанию WordPress автоматически устанавливает незначительные обновления. Для крупных релизов необходимо вручную инициировать обновление. WordPress также поставляется с тысячами плагинов и тем, которые вы можете установить на свой сайт. Эти плагины и темы поддерживаются сторонними разработчиками, которые регулярно выпускают обновления. Эти обновления WordPress имеют решающее значение для безопасности и стабильности вашего сайта WordPress. Вам необходимо убедиться, что ядро WordPress, плагины и тема находятся в актуальном состоянии.

Надежные пароли и разрешения пользователей

Наиболее распространенные попытки взлома WordPress используют украденные пароли. Вы можете усложнить эту задачу, используя более надежные пароли, уникальные для вашего сайта. Не только для административной области WordPress, но и для FTP-аккаунтов, базы данных, хостинг-аккаунта WordPress и ваших пользовательских адресов электронной почты, которые используют доменное имя вашего сайта. Многие начинающие пользователи не любят использовать сложные пароли, потому что их трудно запомнить. Хорошо то, что вам больше не нужно запоминать пароли. Вы можете использовать менеджер паролей. Смотрите наше руководство о том, как управлять паролями WordPress. Еще один способ снизить риск — не предоставлять никому доступ к учетной записи администратора WordPress без крайней необходимости. Если у вас большая команда или приглашенные авторы, то убедитесь, что вы понимаете роли и возможности пользователей в WordPress, прежде чем добавлять новые учетные записи пользователей и авторов на свой сайт WordPress.

Роль хостинга WordPress

Ваш хостинг WordPress играет самую важную роль в безопасности вашего сайта WordPress. Хороший провайдер виртуального хостинга, такой как Bluehost или Siteground, принимает дополнительные меры для защиты своих серверов от распространенных угроз. Вот как хорошая хостинговая компания работает в фоновом режиме, чтобы защитить ваши сайты и данные.

  • Они постоянно отслеживают свою сеть на предмет подозрительной активности.
  • Все хорошие хостинговые компании имеют инструменты для предотвращения крупномасштабных DDOS-атак
  • Они постоянно обновляют программное обеспечение своих серверов, версии php и аппаратное обеспечение, чтобы хакеры не смогли воспользоваться известной уязвимостью в старой версии.
  • У них есть готовые к развертыванию планы аварийного восстановления и аварий, что позволяет им защитить ваши данные в случае серьезной аварии.

При использовании плана виртуального хостинга вы делите ресурсы сервера со многими другими клиентами. Это открывает риск межсайтового заражения, когда хакер может использовать соседний сайт для атаки на ваш сайт. Использование управляемого хостинга WordPress обеспечивает более безопасную платформу для вашего сайта. Управляемые хостинг-компании WordPress предлагают автоматическое резервное копирование, автоматическое обновление WordPress и более продвинутые конфигурации безопасности для защиты вашего сайта. Мы рекомендуем WPEngine в качестве нашего предпочтительного поставщика управляемого хостинга WordPress. Они также являются самыми популярными в отрасли. (См. наш специальный купон WPEngine).

Безопасность WordPress в простых шагах (без кодирования)

Мы знаем, что повышение безопасности WordPress может быть пугающей мыслью для новичков. Особенно если вы не разбираетесь в технике. Знаете что — вы не одиноки. Мы помогли тысячам пользователей WordPress в укреплении безопасности WordPress. Мы покажем вам, как можно повысить безопасность WordPress с помощью всего нескольких щелчков мыши (кодирование не требуется). Если вы умеете наводить и нажимать, вы сможете сделать это!

Установите решение для резервного копирования WordPress

Install a WordPress backup solution

Резервные копии — это ваша первая защита от любой атаки на WordPress. Помните, ничто не защищено на 100%. Если правительственные сайты могут быть взломаны, то и ваши тоже. Резервные копии позволяют быстро восстановить сайт WordPress, если вдруг случится что-то плохое. Существует множество бесплатных и платных плагинов для резервного копирования WordPress, которые вы можете использовать. Самое главное, что вам нужно знать, когда речь идет о резервном копировании, это то, что вы должны регулярно сохранять резервные копии всего сайта в удаленном месте (не на вашем хостинге). Мы рекомендуем хранить его в облачных сервисах, таких как Amazon, Dropbox, или в частных облаках, таких как Stash. В зависимости от того, как часто вы обновляете свой сайт, идеальным вариантом может быть резервное копирование раз в день или в режиме реального времени. К счастью, это можно легко сделать с помощью таких плагинов, как UpdraftPlus или BlogVault. Они надежны и, главное, просты в использовании (не требуют кодирования).

Лучший плагин безопасности WordPress

После резервного копирования, следующее, что нам нужно сделать, это настроить систему аудита и мониторинга, которая будет отслеживать все, что происходит на вашем сайте. Сюда входит контроль целостности файлов, неудачные попытки входа в систему, сканирование на наличие вредоносных программ и т.д. К счастью, обо всем этом может позаботиться лучший бесплатный плагин безопасности WordPress — Sucuri Scanner. Вам необходимо установить и активировать бесплатный плагин Sucuri Security. Для получения более подробной информации, пожалуйста, ознакомьтесь с нашим пошаговым руководством по установке плагина WordPress. После активации вам нужно перейти в меню Sucuri в админке вашего WordPress. Первое, что вам будет предложено сделать, это сгенерировать бесплатный API-ключ. Это позволит вести журнал аудита, проверять целостность, отправлять оповещения по электронной почте и другие важные функции.

Generate Sucuri API Key

Далее необходимо перейти на вкладку «Закаливание» в меню настроек. Просмотрите все опции и нажмите на кнопку «Apply Hardening».

Sucuri security hardening

Эти опции помогают заблокировать ключевые области, которые хакеры часто используют в своих атаках. Единственная опция усиления, которая является платным обновлением, — это брандмауэр веб-приложений, о котором мы расскажем в следующем шаге, поэтому пока пропустите его. Мы также рассмотрели многие из этих вариантов «усиления» далее в этой статье для тех, кто хочет сделать это без использования плагина или тех, которые требуют дополнительных действий, таких как «Изменение префикса базы данных» или «Изменение имени пользователя администратора». После установки настроек плагина по умолчанию, они достаточно хороши для большинства сайтов и не требуют изменений. Единственное, что мы рекомендуем настроить, это «Оповещения по электронной почте». Настройки оповещений по умолчанию могут загромождать ваш почтовый ящик письмами. Мы рекомендуем получать оповещения о ключевых действиях, таких как изменения в плагинах, регистрация нового пользователя и т.д. Вы можете настроить оповещения, перейдя в Настройки Sucuri » Оповещения.

Set up security email alerts

Этот плагин безопасности WordPress очень мощный, поэтому просмотрите все вкладки и настройки, чтобы увидеть все, что он делает, например, сканирование вредоносных программ, журналы аудита, отслеживание неудачных попыток входа и т.д.

Включите брандмауэр веб-приложений (WAF)

Самый простой способ защитить свой сайт и быть уверенным в безопасности WordPress — это использование брандмауэра веб-приложений (WAF). Брандмауэр сайта блокирует весь вредоносный трафик еще до того, как он достигнет вашего сайта. Брандмауэр веб-сайта на уровне DNS — эти брандмауэры направляют трафик вашего веб-сайта через свои облачные прокси-серверы. Это позволяет им отправлять только подлинный трафик на ваш веб-сервер. Брандмауэр на уровне приложений — эти плагины брандмауэра проверяют трафик, когда он достигает вашего сервера, но до загрузки большинства скриптов WordPress. Этот метод не так эффективен в снижении нагрузки на сервер, как брандмауэр уровня DNS.

Sucuri WAF

Самое лучшее в брандмауэре Sucuri то, что он также поставляется с гарантией очистки от вредоносного ПО и удаления из черного списка. В принципе, если вас взломают под их наблюдением, они гарантируют, что починят ваш сайт (независимо от того, сколько у вас страниц).

Attacks blocked by Sucuri

Это довольно сильная гарантия, потому что ремонт взломанных сайтов стоит дорого. Эксперты по безопасности обычно берут $250 в час. В то время как вы можете получить весь стек безопасности Sucuri за 199 долларов в год. Sucuri — не единственный поставщик брандмауэров на уровне DNS. Другим популярным конкурентом является Cloudflare. Смотрите наше сравнение Sucuri и Cloudflare (плюсы и минусы).

Переведите свой сайт WordPress на SSL/HTTPS

How SSL works

SSL (Secure Sockets Layer) — это протокол, который шифрует передачу данных между вашим сайтом и браузером пользователя. Благодаря этому шифрованию кому-то сложнее пронюхать и украсть информацию. Как только вы включите SSL, ваш сайт будет использовать HTTPS вместо HTTP, вы также увидите знак висячего замка рядом с адресом вашего сайта в браузере. SSL-сертификаты обычно выдавались центрами сертификации, и их стоимость начиналась от 80 до сотен долларов в год. Из-за дополнительных расходов большинство владельцев сайтов предпочитали продолжать использовать небезопасный протокол. Чтобы исправить ситуацию, некоммерческая организация Let’s Encrypt решила предложить владельцам сайтов бесплатные SSL-сертификаты. Их проект поддерживают Google Chrome, Facebook, Mozilla и многие другие компании. Теперь начать использовать SSL для всех своих сайтов WordPress стало проще, чем когда-либо. Многие хостинговые компании теперь предлагают бесплатный SSL-сертификат для вашего сайта WordPress. Если ваша хостинговая компания не предлагает SSL, вы можете приобрести его у Domain.com. У них самая лучшая и надежная SSL-сделка на рынке. Он поставляется с гарантией безопасности на 10 000 долларов и знаком безопасности TrustLogo.

Безопасность WordPress для пользователей DIY

Если вы делаете все то, о чем мы уже говорили, то у вас все в порядке. Но, как всегда, вы можете сделать еще больше для усиления безопасности WordPress. Некоторые из этих шагов могут потребовать знания кодирования.

Изменить имя пользователя «admin» по умолчанию

В старые времена имя пользователя администратора WordPress по умолчанию было «admin». Поскольку имена пользователей составляют половину учетных данных для входа в систему, это облегчало хакерам проведение атак методом перебора. К счастью, WordPress с тех пор изменил это и теперь требует, чтобы вы выбрали пользовательское имя пользователя во время установки WordPress. Однако некоторые программы установки WordPress в один клик все еще устанавливают имя пользователя администратора по умолчанию «admin». Если вы заметили, что это так, то, вероятно, стоит сменить хостинг. Поскольку WordPress не позволяет изменять имена пользователей по умолчанию, есть три метода, которые вы можете использовать для изменения имени пользователя.

  • Создайте новое имя пользователя admin и удалите старое.
  • Используйте плагин Username Changer
  • Обновление имени пользователя из phpMyAdmin

Примечание: Мы говорим об имени пользователя «admin», а не о роли администратора.

Отключить редактирование файлов

Disable file editing in WordPress

WordPress поставляется со встроенным редактором кода, который позволяет редактировать файлы тем и плагинов прямо из области администрирования WordPress. В чужих руках эта функция может представлять угрозу безопасности, поэтому мы рекомендуем отключить ее. Вы можете легко сделать это, добавив следующий код в файл wp-config.php.

12define( 'DISALLOW_FILE_EDIT', true );

Кроме того, вы можете сделать это в один клик, используя функцию Hardening в бесплатном плагине Sucuri, о котором мы упоминали выше.

Отключить выполнение файлов PHP в определенных каталогах WordPress

Еще один способ усилить безопасность WordPress — отключить выполнение файлов PHP в каталогах, где они не нужны, например, /wp-content/uploads/. Это можно сделать, открыв текстовый редактор, например «Блокнот», и вставив этот код:

123<Файлы *.php>отказать всем</Files>

Далее необходимо сохранить этот файл как .htaccess и загрузить его в папку /wp-content/uploads/ на вашем сайте с помощью FTP-клиента. Кроме того, вы можете сделать это в один клик, используя функцию Hardening в бесплатном плагине Sucuri, о котором мы упоминали выше.

Ограничение попыток входа в систему

По умолчанию WordPress позволяет пользователям пытаться войти в систему столько раз, сколько они захотят. Это делает ваш сайт WordPress уязвимым для атак методом перебора. Хакеры пытаются взломать пароли, пытаясь войти в систему с помощью различных комбинаций. Это можно легко исправить, ограничив количество неудачных попыток входа, которые может предпринять пользователь. Если вы используете брандмауэр веб-приложений, упомянутый ранее, то эта проблема решается автоматически. Однако если у вас не настроен брандмауэр, выполните следующие действия.

Login Lockdown options

Сначала необходимо установить и активировать плагин Login LockDown. Для более подробной информации смотрите наше пошаговое руководство о том, как установить плагин WordPress. После активации посетите страницу Настройки » Login LockDown, чтобы настроить плагин.

Добавить двухфакторную аутентификацию

Техника двухфакторной аутентификации требует, чтобы пользователи входили в систему, используя двухэтапный метод аутентификации. Первый — это имя пользователя и пароль, а на втором этапе требуется аутентификация с помощью отдельного устройства или приложения. Большинство ведущих интернет-сайтов, таких как Google, Facebook, Twitter, позволяют включить эту функцию для своих аккаунтов. Вы также можете добавить такую же функциональность на свой сайт WordPress. Сначала необходимо установить и активировать плагин двухфакторной аутентификации. После активации необходимо нажать на ссылку ‘Two Factor Auth’ в боковой панели администратора WordPress.

Two Factor Authenticator settings

Далее необходимо установить и открыть на телефоне приложение аутентификатора. Существует несколько таких приложений, например Google Authenticator, Authy и LastPass Authenticator. Мы рекомендуем использовать LastPass Authenticator или Authy, поскольку они позволяют создавать резервные копии учетных записей в облаке. Это очень полезно в случае потери, перезагрузки или покупки нового телефона. Все логины ваших учетных записей можно будет легко восстановить. В этом учебнике мы будем использовать аутентификатор LastPass. Однако инструкции аналогичны для всех приложений аутентификации. Откройте приложение аутентификатора, а затем нажмите кнопку Добавить.

Add website

Вас спросят, хотите ли вы сканировать сайт вручную или отсканировать штрих-код. Выберите опцию сканирования штрих-кода, а затем наведите камеру телефона на QR-код, показанный на странице настроек плагина. Вот и все, теперь ваше приложение аутентификации сохранит его. В следующий раз, когда вы войдете на свой сайт, после ввода пароля вас попросят ввести код двухфакторной аутентификации.

Enter your two-factor auth code

Просто откройте приложение аутентификатора на своем телефоне и введите код, который вы увидите на нем.

Изменение префикса базы данных WordPress

По умолчанию WordPress использует wp_ в качестве префикса для всех таблиц в вашей базе данных WordPress. Если ваш сайт WordPress использует префикс базы данных по умолчанию, то хакерам будет проще угадать имя вашей таблицы. Поэтому мы рекомендуем изменить его. Примечание: Это может сломать ваш сайт, если это сделано неправильно. Приступайте, только если вы уверены в своих навыках кодирования.

Защита паролем страницы администратора и входа в систему WordPress

Password protect WordPress admin area

Обычно хакеры могут запросить вашу папку wp-admin и страницу входа без каких-либо ограничений. Это позволяет им попробовать свои хакерские трюки или провести DDoS-атаки. Вы можете добавить дополнительную защиту паролем на уровне сервера, которая будет эффективно блокировать эти запросы.

Отключить индексирование и просмотр каталогов

Disable directory browsing

Просмотр каталогов может быть использован хакерами, чтобы выяснить, есть ли у вас файлы с известными уязвимостями, чтобы они могли воспользоваться этими файлами для получения доступа. Просмотр каталогов также может использоваться другими людьми для просмотра ваших файлов, копирования изображений, выяснения структуры каталогов и другой информации. Поэтому настоятельно рекомендуется отключить индексирование и просмотр каталогов. Вам нужно подключиться к вашему сайту с помощью FTP или файлового менеджера cPanel. Затем найдите файл .htaccess в корневом каталоге вашего сайта. Если вы не видите его там, то обратитесь к нашему руководству о том, почему вы не видите файл .htaccess в WordPress. Не забудьте сохранить и загрузить файл .htaccess обратно на свой сайт. Подробнее об этом читайте в нашей статье о том, как отключить просмотр каталогов в WordPress.

Отключение XML-RPC в WordPress

XML-RPC был включен по умолчанию в WordPress 3.5, поскольку он помогает соединить ваш сайт WordPress с веб- и мобильными приложениями. Благодаря своей мощной природе, XML-RPC может значительно усилить атаки методом перебора. Например, традиционно, если хакер захочет попробовать 500 различных паролей на вашем сайте, ему придется сделать 500 отдельных попыток входа, которые будут пойманы и заблокированы плагином блокировки входа. Но в XML-RPC хакер может использовать функцию system.multicall, чтобы попробовать тысячи паролей с помощью, скажем, 20 или 50 запросов. Поэтому, если вы не используете XML-RPC, мы рекомендуем вам отключить его. Существует 3 способа отключить XML-RPC в WordPress, и мы рассмотрели все из них в нашем пошаговом руководстве о том, как отключить XML-RPC в WordPress. Совет: Метод .htaccess является наилучшим, поскольку он наименее ресурсоемкий. Если вы используете брандмауэр веб-приложений, упомянутый ранее, то об этом может позаботиться брандмауэр.

Автоматический выход из системы неработающих пользователей в WordPress

Вошедшие в систему пользователи могут иногда отходить от экрана, и это создает угрозу безопасности. Кто-то может перехватить их сеанс, сменить пароль или внести изменения в их учетную запись. Именно поэтому многие банковские и финансовые сайты автоматически выводят неактивного пользователя из системы. Вы можете реализовать подобную функцию и на своем сайте WordPress. Вам необходимо установить и активировать плагин Inactive Logout. После активации перейдите на страницу Settings » Inactive Logout для настройки параметров плагина.

Logout idle users

Просто установите продолжительность времени и добавьте сообщение о выходе из системы. Не забудьте нажать на кнопку сохранения изменений, чтобы сохранить настройки.

Добавьте вопросы безопасности на экран входа в систему WordPress

Add security question on login screen

Добавление секретного вопроса на экран входа в систему WordPress еще больше усложняет получение несанкционированного доступа. Вы можете добавить вопросы безопасности, установив плагин WP Security Questions. После активации вам необходимо посетить страницу Settings » Security Questions для настройки параметров плагина. Для более подробных инструкций смотрите наше руководство о том, как добавить вопросы безопасности на экран входа в WordPress.

Сканирование WordPress на наличие вредоносных программ и уязвимостей

Если у вас установлен плагин безопасности WordPress, то этот плагин будет регулярно проверять его на наличие вредоносных программ и признаков нарушения безопасности. Однако если вы видите внезапное падение посещаемости сайта или рейтинга в поисковой выдаче, то, возможно, вам стоит запустить сканирование вручную. Вы можете использовать плагин безопасности WordPress или воспользоваться одним из этих сканеров вредоносных программ и безопасности. Запуск этих онлайн-сканеров довольно прост: вы просто вводите URL вашего сайта, а их ползунки просматривают ваш сайт в поисках известных вредоносных программ и вредоносного кода. Помните, что большинство сканеров безопасности WordPress могут только сканировать ваш сайт. Они не могут удалить вредоносное ПО или очистить взломанный сайт WordPress. Это подводит нас к следующему разделу — очистке от вредоносных программ и взломанных сайтов WordPress.

Исправление взломанного сайта WordPress

Многие пользователи WordPress не осознают важности резервного копирования и безопасности сайта до тех пор, пока их сайт не будет взломан. Очистка сайта WordPress может быть очень сложной и трудоемкой задачей. Наш первый совет — поручить это дело профессионалу. Хакеры устанавливают бэкдоры на пострадавшие сайты, и если эти бэкдоры не будут исправлены должным образом, то ваш сайт, скорее всего, снова подвергнется взлому. Предоставление услуг профессиональной компании по обеспечению безопасности, такой как Sucuri, для исправления вашего сайта гарантирует, что ваш сайт снова будет безопасен для использования. Это также защитит вас от любых будущих атак. Для смелых и самостоятельных пользователей мы составили пошаговое руководство по исправлению взломанного сайта WordPress.

Бонусный совет: кража личных данных и защита сети

Как владельцам малого бизнеса, нам крайне важно защищать свою цифровую и финансовую личность, поскольку неспособность сделать это может привести к значительным потерям. Хакеры и преступники могут использовать вашу личность, чтобы украсть доменное имя вашего сайта, взломать ваши банковские счета и даже совершить преступление, за которое вы можете понести ответственность. В 2020 году в Федеральную торговую комиссию (ФТК) поступило 4,7 миллиона сообщений о случаях кражи личных данных и мошенничества с кредитными картами. Именно поэтому мы рекомендуем пользоваться услугами по защите от кражи личных данных, такими как Aura (мы сами пользуемся Aura). Они предлагают защиту устройств и сетей Wi-Fi с помощью бесплатной VPN (виртуальной частной сети), которая защищает ваше интернет-соединение с помощью шифрования военного класса, где бы вы ни находились. Это отлично подходит для путешествий или подключения к админке WordPress в общественном месте, например, в Starbucks, чтобы вы могли работать в Интернете безопасно и конфиденциально. Их служба мониторинга темной паутины постоянно следит за темной паутиной с помощью искусственного интеллекта и предупреждает вас, если ваши пароли, номер социального страхования и банковские счета были скомпрометированы. Это позволит вам действовать быстрее и лучше защитить свою цифровую личность. На этом все, мы надеемся, что эта статья помогла вам узнать о лучших практиках безопасности WordPress, а также открыть для себя лучшие плагины безопасности WordPress для вашего сайта. Вы также можете ознакомиться с нашим руководством по WordPress SEO для улучшения SEO-рейтинга и советами экспертов по ускорению работы WordPress.