Великолепно выглядящий, высокопроизводительный сайт может стать ключом к успеху в Интернете, и WordPress отвечает всем этим требованиям. Он почти бесконечно масштабируем и способен на практически бесконечную функциональность. Однако, как и любой другой сайт, WordPress требует мер безопасности, чтобы поддерживать его онлайн и работать наилучшим образом. Это руководство по безопасности WordPress поможет вам противостоять недоброжелателям, стремящимся использовать сайт, который вы с такой любовью создали. Применяйте приведенные здесь стратегии, и вы, скорее всего, заставите хакеров и злоумышленников подвывать в свои печальные тромбоны в поисках более легкой мишени.
Является ли WordPress безопасной платформой? Уязвимы ли сайты WordPress для атак?
Когда речь заходит об общей безопасности WordPress, полезно представить его в виде старомодного сейфа. Если вы поддерживаете этот сейф в рабочем состоянии и работаете с ним по назначению, то да, он убережет вас от плохих парней. Но если вы позволите своему сейфу заржаветь или, что еще хуже, оставите его незапертым, то он не будет очень надежным. Хотя сайт WordPress может стать мишенью для злоумышленников – как и любое приложение для сайта – инциденты с безопасностью чаще всего происходят из-за небрежности. Также следует учитывать, что WordPress поддерживается целым сообществом, стремящимся обеспечить его безопасность. Группа отраслевых экспертов следит за ядром платформы; циклы выпуска стабильны и регулярны, а лучшие практики безопасности твердо установлены для разработчиков как тем, так и плагинов. WordPress становится все более закрытой платформой. Стандартные процедуры для обеспечения безопасности владельца сайта WordPress также теперь широко известны. Тем не менее, вам стоит регулярно следить за проблемами безопасности и разработками как ядра платформы, так и более широкой экосистемы тем и плагинов.
Почему вам необходимо защитить свой сайт WordPress
Даже если вы только начинаете работать с WordPress, ваш сайт все равно может стать мишенью для взлома и атак. Представьте себе, что вы отправляете друзей и родственников на сайт WordPress, созданием которого вы так гордитесь, а на его страницах появляются странные сообщения о продаже рецептурных лекарств или азартных игр онлайн. Это называется SEO-спам, и это один из самых распространенных видов заражения. Неважно, что вы занимаетесь мелким бизнесом – хакеров волнует только получение доступа к сайту для реализации своих планов. Звучит неловко, верно? А теперь представьте, что вы занимаетесь бизнесом и храните на своем сайте WordPress конфиденциальные данные, например, платежную информацию клиентов или другие личные данные. Если хакер получит к ним доступ, вы можете столкнуться с серьезными юридическими последствиями, не говоря уже об ущербе для вашей деловой репутации. К счастью, сделать свой сайт WordPress более защищенным от взломов и атак не составляет большого труда. Просто прочитав это руководство, вы выделите себя среди менее ответственных владельцев сайтов, которые направляются в Хактаун.
Как защитить WordPress
Обеспечить безопасность сайта WordPress можно с помощью комбинации программных приложений и собственных передовых методов. Но имейте в виду, что даже самый продвинутый плагин WordPress не спасет вас, если ваша система безопасности слаба. Аналогичным образом, даже самое сильное мышление, ориентированное на безопасность, может получить небольшое подкрепление от технологий. В этом разделе мы рассмотрим некоторые из лучших плагинов безопасности WordPress, а также лучшие практики, которые следует использовать для обеспечения безопасности вашего сайта.
Плагины безопасности
Новый пользователь WordPress, вероятно, задается вопросом: “Нужен ли мне плагин безопасности WordPress?”. Ответ на этот вопрос – однозначно “ДА”, особенно если вы недостаточно подкованы в коде, чтобы разобраться с разделом Hardening WordPress в WordPress Codex. Безопасность – это очень важно. Плагины безопасности WordPress помогают защитить ваши инвестиции времени и денег в создание сайта. Не защитив свои инвестиции, вы рискуете потерять часть своего сайта или весь сайт. Будь то сайт, предназначенный для продажи товаров через Интернет, или информационный сайт, призванный привлечь людей к вашему кирпичному и торговому центру, он должен быть защищен, чтобы помочь вам добиться успеха в вашем онлайн начинании.
Особенности, на которые следует обратить внимание в плагинах безопасности WordPress
Прежде чем перечислить некоторые из лучших плагинов безопасности WordPress, необходимо понять, на какие функции следует обратить внимание при выборе подходящего плагина безопасности для блокировки вашего сайта WordPress.
- Включает сильный сканер вредоносных программ – Существует так много способов быть взломанным, и если сканер вашего плагина безопасности WordPress не сканирует на несколько типов взломов, то он бесполезен для обнаружения всего, что не должно быть на вашем сайте.
- Включает Web Application Firewall или какой-либо надежный брандмауэр – или, по крайней мере, возможность приобрести эту услугу. Некоторые плагины могут не предлагать эту функцию бесплатно, но брандмауэр действительно помогает блокировать доступ вредоносных ботов на ваш сайт. Он предотвращает возникновение таких проблем, как одновременная атака множества ботов, что истощает ресурсы сайта и может привести к его поломке.
- Акцент на надежные пароли и логины – Ваш плагин безопасности должен помочь немного обучить вас тому, что вам нужно, особенно таким базовым вещам, как надежное имя пользователя, пароль и возможность более безопасного входа в систему. Плагин безопасности с двухфакторной аутентификацией может помочь вам реализовать более безопасный способ входа на ваш сайт.
- Может помочь восстановить файлы, которые могут быть скомпрометированы – У вас, вероятно, нет времени на редактирование вредоносных программ из файлов на вашем сайте. Если ваш плагин безопасности может сравнить некоторые файлы ядра WordPress, а также бесплатные плагины WordPress.org с их оригиналами и даже предоставить способ восстановления этих файлов, это может сэкономить вам много времени.
- Проверяет ваш сайт по списку безопасного просмотра Google – Google является поисковой системой номер один в мире, и если на вашем сайте есть вредоносное ПО или содержимое может быть помечено как взломанное, то вы можете потерять трафик. Google действительно помечает веб-сайты, на которых были обнаружены вредоносные взломы или подозрительный контент.
- Плагин действительно работает! – Да, некоторые люди выбирают старые плагины, которые уже не совместимы с текущей версией WordPress. Если ваш плагин безопасности WordPress не работает, то вы сидите с табличкой, которая приветствует возможную атаку ботов или взлом.
Рекомендуемые плагины безопасности WordPress
Ниже приведены пять лучших плагинов безопасности WordPress. Некоторые из них можно использовать вместе, а другие следует использовать по отдельности. Важно прочитать описание каждого плагина и ознакомиться с его функциями, чтобы выбрать тот, с которым вам будет удобно работать.
- Sucuri Security
- Wordfence
- iThemes Security
- Shield Security
- All In One WP Security Firewall
Следует отметить, что все перечисленные ниже плагины имеют сотни тысяч пользователей, которые подтвердили их надежность.
Sucuri Security. Sucuri Security – это очень популярный плагин безопасности WordPress со следующими функциями:
- Контролирует активность пользователей
- Контролирует файлы и проверяет, не были ли они изменены
- Имеет настройки усиления, блокирующие добавление ботами вредоносных файлов на ваш сайт
- Предлагает брандмауэр веб-сайта для премиум-пользователей (платное обновление)
- Имеет мониторинг блок-листов на случай, если вы были занесены в блок-листы таких организаций, как Google, McAfee, Norton и др.
Wordfence. Wordfence имеет более 2 миллионов активных установок по всему миру. Этот плагин позволяет приобрести их мощный брандмауэр веб-приложений премиум-класса с такими функциями, как:
- Блокирует плохих ботов и поддельные Googlebots
- Блокировка IP-адресов или стран (платная функция)
- Мониторинг в реальном времени или блокировка в реальном времени
- Опции для дросселирования или блокирования пользователей или ботов, которые могут быть подозрительными или представлять потенциальный риск для вашего сайта
- Двухфакторная аутентификация
- Принуждение пользователей к созданию надежных паролей
- Безопасность входа в систему методом грубой силы
- Сканирует файлы основных файлов WordPress, тем WordPress и плагинов WordPress.
- Находится на сайте WordPress.org
- Сканирование на наличие вредоносного кода, такого как трояны, бэкдоры и т.д.
- Имеет поддержку многосайтовости WordPress
iThemes Security. iThemes Security, ранее известный как Better WordPress Security, был создан путем добавления множества функций из различных плагинов безопасности WordPress в один огромный плагин. Цель заключалась в том, чтобы избежать необходимости устанавливать множество плагинов WordPress и в то же время предоставить пользователю WordPress возможность пройти через контрольный список безопасности. Этот плагин предлагает множество различных опций, чтобы помочь пользователям в обеспечении безопасности их сайта WordPress.
Shield Security. Shield Security имеет множество различных опций для защиты и укрепления веб-сайтов. Вот некоторые из них:
- Двухфакторная аутентификация
- Переименование URL-адреса входа в систему WordPress
- Защита от грубой силы
- Проверка целостности файлов
- Мониторинг пользователей
- Отчетность по электронной почте
- Брандмауэр
- Управление пользователями
- Помощь в борьбе со спамом в комментариях
- Защита от взлома
- Опция автоматического восстановления скомпрометированных файлов для ядра WordPress, плагинов или тем с WordPress.org
- IP-менеджер
- Блокировка таких областей, как скрытие версии WordPress, блокировка XML-RPC, предотвращение редактирования файлов и т.д.
All in One WP Security Firewall. All in One WP Security Firewall разработан со многими из тех же функций, что и iThemes security. Почему All In One вместо iThemes Security? Некоторые хостинги и плагины не могут работать с iThemes, но могут работать с All In One. Я предлагаю установить и протестировать каждый плагин, чтобы увидеть, что лучше всего подходит для вас.
Это лишь небольшая часть замечательных плагинов безопасности WordPress, которые помогут защитить ваш сайт. Проведите свое исследование, выберите один или несколько плагинов безопасности и начните применять более активный подход к безопасности сайта WordPress.
Лучшие практики
Хотя перечисленные выше плагины могут значительно повысить безопасность вашего сайта WordPress, это далеко не единственные меры, которые необходимо принять. Ваше поведение и привычки не менее (если не более) важны для обеспечения безопасности сайта, поэтому давайте рассмотрим лучшие методы защиты сайта WordPress от злоумышленников.
Обновление основных файлов, плагинов и тем
Обновления WordPress почти всегда связаны с исправлениями безопасности. Это всегда должно быть первым шагом в обеспечении безопасности сайта – и эти шаги не могут быть проще. Все, что вам нужно сделать, это войти в панель управления wp-admin, навести курсор на кнопку dashboard на боковой панели, а затем в выпадающем меню выбрать Updates.
Выберите элементы, которые вы хотите обновить – это должны быть все перечисленные элементы. Вы можете сделать этот процесс еще проще, включив автоматическое обновление основных файлов, плагинов и тем. Если вы используете управляемое решение WordPress, оно, скорее всего, включает эту функцию. Вы также можете включить автоматическое обновление плагинов в разделе Plugins в wp-admin. А если вы не против залезть под капот, вы можете настроить автоматические обновления, добавив эту строку кода в файл wp-config.php:
// Enable automatic updates for all
define( ‘WP_AUTO_UPDATE_CORE’, true );
add_filter( ‘auto_update_plugin’, ‘__return_true’ );
add_filter( ‘auto_update_theme’, ‘__return_true’ );
Автоматические обновления могут кардинально изменить работу темы или плагина. Иногда это может привести к поломке, но это выгоднее, чем оставлять уязвимости на сайте.
Удалите неиспользуемые плагины и темы
Одна из самых замечательных особенностей WordPress – это возможность загружать и запускать плагины, потенциально улучшающие функциональность вашего сайта. Однако, несмотря на это, можно получить слишком много хорошего. Качество кода плагинов и тем может быть разным, поскольку одни создаются компаниями, а другие – любителями, и ни те, ни другие не являются идеальными. С каждым плагином, установленным на вашем сайте WordPress, вероятность взлома сайта возрастает, поскольку с каждой установкой открываются новые векторы. Недостаточно просто деактивировать плагины, которые вы не используете. Для того чтобы удалить уязвимый код с сервера, их необходимо удалить. Удаление неиспользуемых элементов также важно для производительности и должно быть частью любой проверки безопасности WordPress. Чем меньше активных плагинов, тем безопаснее и быстрее будет работать сайт.
Установите SSL-сертификат
Сейчас уже должно быть до боли очевидно, что каждый сайт должен иметь SSL-сертификат. Проще говоря, SSL обеспечивает безопасность трафика, защищает пользователей от фишинга и может повысить рейтинг Google. После установки сертификата вы можете изменить адрес WordPress и адрес сайта в WordPress, перейдя в Общие настройки и изменив протокол с HTTP на HTTPS. Нажмите кнопку Сохранить изменения, и установка будет завершена.
Применяйте надежные пароли
Наиболее часто используемые пароли обычно варьируются от 123456 до password – они до боли очевидны, небезопасны и практически гарантируют, что доступ к учетной записи получит неавторизованный пользователь. Надежный пароль состоит как минимум из восьми цифр, знаков препинания, а также символов верхнего и нижнего регистра. Вы никогда не должны использовать один и тот же пароль дважды. Также важно, чтобы ваш пароль не содержал слов, которые можно найти в словаре, или существительных, поскольку они особенно подвержены атаке по словарю.
Используйте капчу в формах
Хакеру не нужно нарушать доступ к логину, чтобы уродовать сайты и распространять вредоносное ПО. Если на вашем сайте WordPress есть контактная форма без Captcha, вы можете быть уверены, что со временем она будет использована для отправки такого количества спама и вредоносных писем, которое сможет обработать ваш сервер. Кроме того, инструменты Captcha также предотвращают атаки грубой силой на учетные записи администраторов.
Ограничить количество попыток входа в систему
Плагин Limit Login Attempts обеспечит защиту вашей страницы администратора с помощью настраиваемого ограничения на количество неудачных попыток входа, которые допускаются до того, как пользователь будет заблокирован при отправке формы входа. Вы также можете добавить список разрешений на случай, если пользователь забудет свой пароль. Некоторые хостинг-провайдеры уже предлагают эту функцию в качестве встроенной, поэтому перед установкой стоит провести исследование.
Отключите редактирование файлов
Вы могли заметить, что WordPress позволяет редактировать файлы тем и плагинов прямо из панели администратора. Это открывает жизненно важную уязвимость, которая может иметь непредвиденные последствия. Лучше всего отключить эту возможность, чтобы хакеры или другие пользователи не смогли испортить сайт намеренно или иным образом. К счастью, для этого нужно внести еще одно изменение в файл wp-config.php. Просто добавьте это в файл в отдельной строке:
// Disable file editing
define(‘DISALLOW_FILE_EDIT’, true);
Изменение ключей безопасности
Ключ безопасности, хранящийся в вашем файле wp-config.php, шифрует сеансы входа в систему, хранящиеся в ваших cookies. При изменении этих ключей все сессии будут аннулированы, все пользователи выйдут из панели управления, но при этом хакеры не смогут перехватить открытые сессии. Изменить эти ключи так же просто, как скопировать и вставить. Сначала воспользуйтесь API генератора ключей безопасности WordPress, чтобы получить новые секретные ключи, а затем скопируйте их. Вы найдете похожий блок кода, который вы можете заменить на новый блок, который вы скопировали. Это будет выглядеть следующим образом:
define(‘AUTH_KEY’, ‘HeW#zltmGurr@u{B97hDiOr;3@<1>-^bbtua-:bC&K4`]*r 6V<-s-GtTq?lLL|h’);
define(‘SECURE_AUTH_KEY’, ‘B >t.QYHTKXRv/)ewR 5$iswZrLM}kAE#15?:2lu]zPd!KuB78?4fopw3QsHtx#4’);
define(‘LOGGED_IN_KEY’, ‘gI:T2,v7|E[.Q&[yGK|$a+s1;&$8-[?|6dE+FX|9|Ex|N[EPiQ0YzoXas=.7`4;&’);
define(‘NONCE_KEY’, ‘Z_-$xVrv0+VqtoVl#8|s/zeOlm^h# zHh(3me1X/S(l[(h;-+KI&cyDuLbm<!DR.’);
define(‘AUTH_SALT’, ‘-~i[ahut&xhfTLlnk+u^[GC2?:324X/Lo*<i{|K75j)6HI<y1<Vc$|(,-xZ+{ O]’);
define(‘SECURE_AUTH_SALT’, ‘B|M9s9a*iwp44|ldOHJlG9.#-Hb$t?kY|st;D9 )]FALOWt[/fYrtanxrjoxfD(z’);
define(‘LOGGED_IN_SALT’, ‘z_ Drd6Rip3upj:P*|2UsToIkVtaG|Nk3JKO yNq=xQZpVy7u!d@.TO8P:b5#s*H’);
define(‘NONCE_SALT’, ‘5/af{*Wq82Gzq56&$b)<]X=-3#NW3x++~ D|PD-oCs=(#_y-~Z=w[]W9#jBfgJ *’);
Защита основных файлов с помощью .htaccess
Использование файла .htaccess, вероятно, является одним из самых мощных инструментов безопасности WordPress. Мы начнем с защиты основных файлов от доступа из браузера, поскольку они ничего не делают для легитимного зрителя и обычно доступны из браузера только для поиска и использования уязвимостей. В качестве быстрого решения вы можете добавить этот блок кода от команды WordPress до или после тегов BEGIN/END wordpress:
# Block the include-only files.
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
Отключить XML-RPC
Большинство пользователей не используют функциональность XML-RPC, которая позволяет создавать записи в блоге и взаимодействовать с некоторыми плагинами. Этот тип функциональности хорош, если у вас есть автоматический канал, который публикует новый контент на сайте, но он очень сложен и редко используется.
В большинстве случаев его достаточно отключить, чтобы лишить хакеров возможности перебора паролей пользователей. Чтобы отключить его, вам нужно просто добавить еще один блок кода в ваш файл .htaccess:
#disable xmlrpc
order allow,deny
deny from all
Аудит прав доступа к файлам
Согласно WordPress, разработчики и администраторы должны любой ценой избегать разрешения файлов 777. Владение файлами с таким типом разрешения позволяет любому человеку на машине читать, писать и выполнять любой файл с разрешениями 777. Вместо этого WordPress предлагает использовать разрешения 755 для папок и 644 для файлов. Поскольку файлы WordPress постоянно обновляются, изменяются и вносятся новые дополнения, для поддержания безопасной среды регулярно проводите аудит файлов сайта в поисках неправильных разрешений. Если вы хотите быстро провести аудит, вы можете выполнить эту команду из SSH, чтобы просмотреть все файлы в текущем рабочем каталоге, которые не соответствуют рекомендациям WordPress по разрешениям файлов:
find . -type f ! -perm 0644; find . -type d ! -perm 0755
Отключить отчет об ошибках PHP
Отключение сообщения об ошибках PHP не позволяет хакерам получить жизненно важную информацию о вашем сайте и среде, в которой он находится. Распространенной техникой взлома является просмотр файла, выдающего ошибку, с целью определить операционную систему, путь к сайту на сервере и даже то, какие приложения запущены. В качестве примера предположим, что вы обращаетесь к файлу на сайте, который возвращает эту ошибку:
Warning: Cannot modify header information – headers already sent by (output started at /home/jchilcher/public_html/wp-content/plugins/twitter-profile-field/twitter-profile-field.php:28) in /home/jchilcher/public_html/wp-includes/option.php on line 571.
Эта ошибка уже говорит мне, что сервер использует Linux с cPanel, и это основной домен для этой учетной записи cPanel, а на сайте используется плагин twitter-profile-field. Теперь я знаю, с чего начать поиск уязвимостей и где их использовать. Решение этой проблемы такое же простое, как и все остальные. Создайте или измените php.ini для сайта и убедитесь, что директива display_errors отключена. Это можно сделать, добавив строку:
display_errors = Off
После того, как ваши настройки вступят в силу, все ошибки, которые обычно отображаются на странице, исчезнут.
Имейте запасной план
И, наконец, самая важная, но игнорируемая задача, связанная с безопасностью WordPress: план резервного копирования. Если худший сценарий станет реальностью и ваш сайт станет хозяином для вредоносного ПО, у вас уже должен быть план, как вы вернете сайт. В большинстве случаев те, кто отказывается регулярно создавать резервные копии своих сайтов, в конечном итоге жалеют об этом. Без чистого резервного копирования ваш взломанный сайт может никогда больше не стать чистым, и вам не придется начинать все сначала.
Как выявить уязвимости, как их предотвратить
WordPress часто выпускает обновления для своих основных файлов, и они обычно включают исправления для последних проблем безопасности. Установленные вами темы и плагины также нуждаются в обновлениях, и вы будете получать уведомления о доступных новых версиях через панель управления WordPress: Есть несколько важных причин, по которым необходимо следить за обновлениями безопасности WordPress:
- Вы будете защищены от любых последних угроз, представляющих опасность для вашего сайта или посетителей.
- Любые несовместимости между плагинами, темами и ядром WordPress, скорее всего, будут исправлены, создавая более стабильную систему.
Короче говоря, просто имеет смысл поддерживать в актуальном состоянии основные файлы, темы и плагины WordPress. Однако защита вашего сайта включает в себя гораздо больше, чем простое применение обновлений. Сейчас вы узнаете, как проверить и обновить свой сайт WordPress в два этапа. Прежде чем начать, необходимо создать резервную копию сайта на случай, если что-то пойдет не так, и вам понадобится его восстановить.
Шаг 1: Найдите страницу обновлений WordPress
Сначала войдите в бэкэнд WordPress. Перейдите в раздел Dashboard, а затем нажмите Updates. Здесь вы увидите удобное руководство по обновлению тем, плагинов и основных файлов. Здесь вы увидите напоминание о том, когда вы в последний раз проверяли наличие обновлений, а также предложение проверить их еще раз. Вы также можете найти текущую версию установленного WordPress и обзор всех тем и плагинов, которые имеют доступные обновления. Здесь вы можете переустановить последнюю версию WordPress, если это необходимо, например, если вам пришлось перенести сайт или установить резервную копию. Если вы используете переведенную версию WordPress, у вас также будет возможность установить либо американскую версию, либо версию на вашем родном языке. После того как вы ознакомились с этим экраном, следующим шагом будет собственно выполнение обновлений.
Шаг 2: Обновление ядра WordPress, тем и плагинов (по мере необходимости)
Прежде чем приступить к обновлению WordPress, важно помнить о нескольких важных вещах. Благодаря им весь процесс обновления пройдет гораздо более гладко. Вот что вам следует помнить: Перед обновлением сайта создайте полную резервную копию на случай, если что-то пойдет не так. Если есть возможность, сначала обновите WordPress с помощью промежуточного или локального сайта, а затем перенесите его, когда убедитесь, что изменения прошли успешно. Сначала обновите ядро WordPress, затем темы и, наконец, плагины. Так будет легче определить причину любых ошибок. Чтобы выполнить обновление, перейдите в Dashboard, а затем нажмите Updates. Посмотрите, что там отображается. В зависимости от того, что вы обнаружите в процессе обновления безопасности WordPress, вам может понадобиться установить последнюю версию:
- WordPress – Просто нажмите кнопку Обновить сейчас. Если вы не видите этого, скорее всего, у вас установлена последняя версия.
- Темы – Если обновления доступны, вы увидите информацию, отображаемую в разделе Темы. Установите соответствующие флажки, а затем нажмите Обновить темы. Вы получите уведомление о завершении обновления, а затем вам будет предложено вернуться на страницы Темы или Обновления.
- Плагины – Установите флажки для плагинов, которые вы хотите обновить, а затем нажмите кнопку Обновить плагины. Это займет всего несколько мгновений.
Помните, что вы можете обновить либо все сразу, либо отдельные элементы по мере необходимости. Первый вариант более эффективен, хотя в последнем случае будет легче выяснить причину внезапно возникших проблем. Неплохо выполнять обновление по одному разу, тестируя сайт в промежутках и ища ошибки или проблемы совместимости.
Как запустить сканирование системы безопасности
Вредоносное ПО не является новинкой для WordPress, но оно по-прежнему ежедневно проникает на сайты пользователей. Это программное обеспечение специально разработано для вторжения на ваш сайт и получения несанкционированного доступа к вашим файлам. Обычно оно случайно устанавливается через поврежденный файл, хотя некоторые рекламные объявления также могут содержать вредоносное ПО. Последствия вредоносного ПО весьма обширны. Оно может скомпрометировать ваши регистрационные данные, украсть личную информацию, создать спам или угнать ваш компьютер. Некоторые хакеры даже используют вредоносное ПО для организации прямых атак типа “отказ в обслуживании” (DDoS), поэтому обеспечение чистоты вашего сайта должно быть первоочередной задачей. Первым шагом должно стать сканирование сайта на наличие уже существующих вредоносных программ. Хотя некоторые плагины, такие как Wordfence Security, включают сканер вредоносных программ, существуют также специальные службы, к которым вы можете обратиться, например, GoDaddy’s Website Security, powered by Sucuri. Далее необходимо удалить само вредоносное ПО. К счастью, большинство упомянутых нами служб сделают это за вас. И наконец, вам также необходимо сменить пароли, чтобы избежать повторной атаки.
Важность надежного пароля двухфакторной аутентификации
Процесс входа в WordPress может представлять собой один из самых привлекательных векторов для взлома и атак. Однако надежный пароль в сочетании с двухфакторной аутентификацией (2FA) может снизить потенциальный риск.
Надежные пароли
Самая простая мера безопасности веб-сайта – это использование надежных, уникальных паролей. Это означает отказ от клички вашей собаки, имени ребенка, дня рождения и общепринятых слов, включая слово “пароль”. При создании паролей убедитесь, что они включают в себя:
- Более восьми символов
- Сочетание прописных и строчных букв
- По крайней мере, одно число
- Как минимум один специальный символ
Вы также должны убедиться, что каждый создаваемый вами пароль уникален. Не используйте один и тот же пароль для нескольких веб-сайтов или онлайн-профилей, а также не используйте пароль WordPress для чего-либо еще – особенно для профиля в социальных сетях. Я знаю, что управлять всеми различными паролями может быть непросто, особенно когда вы избегаете любых общих слов и добавляете цифры и специальные символы, но есть простое решение. Используйте менеджер паролей, такой как LastPass или 1Password, чтобы управлять всеми вашими уникальными паролями и предоставить вам один главный пароль.
Двухфакторная аутентификация
Двухфакторная аутентификация – это мера безопасности, которая в последнее время приобрела особую актуальность. Многие крупные интернет-компании, такие как Google и Facebook, используют эту технологию для защиты ваших учетных записей. По сути, 2FA – это дополнительный уровень безопасности. Когда вы входите в свой аккаунт, вам будет предложено подтвердить свою личность с помощью второго устройства, например, мобильного телефона или оборудования 2FA. Без такой авторизации вы будете заблокированы. Это жизненно важная технология для всех, кто ценит безопасность своего сайта, и ее легко внедрить для пользователей WordPress. Одна из рекомендаций для начала работы с 2FA – плагин Two Factor Authentication. Этот инструмент использует приложение Google Authenticator для генерации паролей на вашем устройстве и прост в настройке. Некоторые крупные плагины безопасности также включают 2FA в качестве премиум-функции, например, Wordfence Security, а Jetpack от Automattic предлагает безопасный бесплатный вариант аутентификации.
Важность ограничения количества пользователей и администраторов WordPress
Когда речь заходит о принципе наименьших привилегий (подробнее об этом чуть позже), Мишель Хейманс, бывший сотрудник компании Yoast, хорошо сказал об этом: “Вопреки распространенному мнению, не каждый пользователь, имеющий доступ к вашему экземпляру WordPress, должен быть отнесен к роли администратора. Назначьте людей на соответствующие роли, и вы значительно снизите риск безопасности”.
Типы ролей пользователей WordPress
Первый шаг – понять различные роли и возможности пользователей, а также то, как они связаны с бизнес-функциями. Здесь вступает в силу принцип наименьших привилегий: предоставлять пользователям только те разрешения, которые необходимы для выполнения их бизнес-функций. Давайте рассмотрим роли, доступные в WordPress. Хотя роли пользователей WordPress можно настраивать с помощью корректировок кода или плагинов, это пять ролей пользователей по умолчанию для одного сайта WordPress.
Администратор. Администратор WordPress имеет полный доступ и контроль над приборной панелью WordPress. Администратор может устанавливать плагины, настраивать темы, добавлять пользователей, управлять виджетами, публиковать посты и страницы. Администратор может делать все, что связано с созданием, управлением и удалением сайта WordPress. В случаях, когда существует несколько сайтов WordPress, есть роль Супер администратора, который контролирует всю сеть. В идеале, администратор WordPress – это веб-разработчик, знающий плагины WordPress и возможные конфликты плагинов. Они также знают, что нужно отделу маркетинга и редакции в плане меню и боковых панелей сайта, поскольку управление меню и боковыми панелями по умолчанию относится к административным функциям.
Редактор. Редактор WordPress – это менеджер содержимого сайта. Он может настраивать категории, назначать авторов, публиковать посты и страницы. Они также могут удалять содержимое.
Автор. Авторы WordPress могут писать и публиковать свой собственный контент, включая файлы и изображения, но не могут публиковать чужой контент. Авторы также могут удалять сообщения, но только свои собственные.
Участник. Участники WordPress могут писать свои собственные материалы, но не могут публиковать их на сайте. Участники не могут загружать файлы или изображения. Участники не могут удалять или редактировать внесенные ими материалы.
Подписчик. Подписчики являются самыми ограниченными из всех ролей пользователей. Кроме возможности управлять своим профилем пользователя, остальной доступ к сайту предоставляется только для чтения.
Готовы ли вы повысить уровень безопасности WordPress?
Отличная работа по изучению нашего руководства по безопасности WordPress. Надеюсь, вы узнали много нового и готовы действовать в соответствии с этими уроками. Как уже упоминалось ранее, раздел “Безопасность веб-сайтов” компании GoDaddy охватывает многое из того, что мы только что узнали. А если вы управляете несколькими веб-сайтами для клиентов, обратите внимание на The Hub by GoDaddy Pro. Он экономит часы работы занятых профессионалов каждый месяц, позволяя им выполнять массовые задачи, связанные с безопасностью, такие как сканирование и резервное копирование. Еще раз повторю, что вы отлично справились с задачей повышения уровня безопасности. Ваше усердие и усилия способствуют повышению безопасности Интернета для всех.
