7 проверенных методов защиты веб-сайта WordPress — Советы по безопасности

Опубликовано: 2017-06-15

WordPress всегда под атакой! Да, вы не ослышались, и как блоггер и разработчик вы обязаны защитить WordPress. Более 25% всех веб-сайтов работают на WordPress. На этом этапе важно узнать, доверяют ли люди достойной CMS или нет.

Многие разработчики веб-сайтов уже признали, что у WordPress есть проблемы с безопасностью, но какие? Как вы можете усилить безопасность WordPress? Мы покажем вам 7 основных шагов для защиты веб-сайтов WordPress.

Безопасен ли WordPress?

Инциденты с нарушением безопасности WordPress уже в эфире. За последние годы уже сообщалось о двух серьезных нарушениях безопасности WordPress.

Тем не менее, WordPress может стать таким же безопасным, как и другие CMS, а именно Drupal или Magento, и ответственность в основном ложится на владельцев веб-сайтов, разработчиков и поставщиков услуг по обслуживанию WordPress.

Если вы не выполняете свои обязанности, никто не сможет обеспечить безопасность вашего сайта WordPress.

Кто атакует сайт WordPress?

Когда вы пытаетесь предотвратить взлом WordPress, вам нужно получить представление о хакерах веб-сайтов. Кто проявляет интерес к вашему сайту? Кто возможные злоумышленники сайта? Как правило, существует три типа объектов, которые атакуют сайты WordPress.

Единый бот: бот — это единая программа, разработанная хакерами. Он ищет известные уязвимости на веб-сайтах WordPress. Метод бота — это тип несложной атаки, которая может атаковать небольшое количество сайтов.

Ботнет: Ботнет — это несколько версий программы, работающей на огромном количестве машин для одновременного взлома большого количества веб-сайтов. Большинство взломов WordPress происходит из-за ботнета.

Человек: Злоумышленники или хакеры-люди проявляют интерес только к тем веб-сайтам, которые содержат конфиденциальные личные данные, или сайтам, которые являются финансово прибыльными. В отличие от ботов, злоумышленники очень изощренны и опасны.

7 шагов для защиты сайтов WordPress

Итак, вот список из 7 основных шагов для защиты вашего сайта WordPress.

1. Активация процесса двухэтапной аутентификации

Двухэтапный процесс аутентификации применяется практически на всех типах веб-сайтов, где безопасность является приоритетом.

Мы давно используем плагин WordPress Google Authenticator от Henrik Schack, и он работает очень хорошо. Вам нужно установить этот плагин на свои веб-сайты WordPress, а затем установить приложение Google Authenticator на свой смартфон, это бесплатно, и вы можете загрузить его из игрового магазина.

двухэтапная проверка WordPress с помощью Google Authenticator
двухэтапная проверка WordPress с помощью Google Authenticator

Тогда почему это не для WordPress? В процессе двухэтапной проверки или двухфакторной аутентификации пользователю предлагается ввести OTP, отличный от пароля учетной записи.

Пользователь может получить этот OTP через личный номер мобильного телефона, который зарегистрирован в WordPress. Это дополнительный уровень безопасности для защиты сайта от хакеров.

Существует множество бесплатных плагинов для двухфакторной аутентификации WordPress, позволяющих добавить двухфакторную аутентификацию в WordPress.

2. Обновление WordPress

Эксперты CMS всегда рекомендуют регулярно обновлять WordPress. Почему? Как и любые другие CMS, WordPress также развивается и добавляет новые функции, а также исправляет возможные лазейки хакеров.

Обновите, чтобы защитить WordPress
Обновите, чтобы защитить WordPress

Следовательно, если вы не обновляете WordPress, вы становитесь уязвимыми для хакеров. Кроме того, WordPress предлагает обновления только два раза в год, а обновление WordPress занимает всего несколько минут.

3. Создайте надежный пароль

Чтобы защитить свой сайт WordPress, вам всегда нужно выбирать надежные пароли. Пароли в WordPress чувствительны к регистру, что хорошо для безопасности.

Чтобы изменить пароль, перейдите на Пользователи > Ваш профиль и в разделе управления учетной записью нажмите кнопку «Создать пароль». Скопируйте и сохраните этот надежный пароль, который WordPress сгенерирует для вас.

используйте надежный пароль для защиты WordPress
используйте надежный пароль для защиты WordPress

Чтобы создать надежный пароль с учетом регистра, вы должны включить алфавиты (случайные) как в верхнем, так и в нижнем регистре. Кроме того, вам также необходимо включить специальные символы и числа.

Пароль должен содержать не менее 12-14 символов. Вы не должны сообщать пароль кому-либо или записывать его где-либо, что легкодоступно для других.

Вот этот Гвл#73FLp4@B2J пример идеального пароля.

4. Измените имя пользователя «Администратор»

Admin — это имя пользователя по умолчанию для учетной записи WordPress, что упрощает задачу для хакеров. Сохраняя имя пользователя по умолчанию, хакеры имеют право не угадывать имя пользователя и напрямую переходить к паролю.

Вы можете изменить имя пользователя вручную в настройках WordPress или использовать плагин для изменения имени пользователя. Это простой шаг (мера предосторожности), чтобы помешать хакерам.

  1. Если ваше текущее имя пользователя «admin», перейдите в «Пользователи»> «Добавить новый» и создайте новую учетную запись пользователя с новым именем пользователя и надежным паролем и назначьте этому новому пользователю роль «Администратор».
  2. Выйдите из учетной записи WordPress и войдите в систему с новой учетной записью пользователя и удалите старого пользователя с именем пользователя «admin» или измените его роль пользователя на «Подписчик».

5. Плагины безопасности WordPress

Использование плагинов безопасности, таких как комплексная защита WP, является эффективным шагом для защиты веб-сайта от хакеров.

Установите плагины безопасности WordPress
Установите плагины безопасности WordPress

Вы можете легко избежать нескольких серьезных угроз безопасности, а также проблемы с вредоносными программами, установив соответствующий плагин безопасности.

Если вы не знаете, какой плагин безопасности лучше всего подходит для вашего сайта, мы можем предложить вам его. Sucuri — один из лучших плагинов безопасности, которым пользуется большое количество пользователей WordPress по всему миру.

6. Ограничьте количество попыток входа

По умолчанию WordPress разрешает неограниченную очередь для входа в систему. Однако это не очень хорошая функция с точки зрения безопасности.

Вы можете использовать различные плагины, чтобы ограничить количество попыток входа в систему. Такой плагин, как LockDown, зарекомендовал себя как исключительно хороший. Кроме того, если вы также можете использовать брандмауэр веб-приложений (WAF).

Cerber Security — это бесплатный и актуальный плагин для ограничения попыток входа в систему.

7. Добавление контрольного вопроса в логин WordPress

Если вы используете плагин JetPack, перейдите к Jetpack > Настройка > Безопасность вкладку и включите защиту от грубой силы. Вы также можете активировать вход на WordPress.com, чтобы сделать вход в WordPress более безопасным и простым.

Защита от грубой силы Jetpack WordPress
Защита от грубой силы Jetpack WordPress

Добавление контрольного вопроса — достаточно эффективная процедура. С помощью некоторых плагинов, таких как WP Security Questions Plugin, вы можете добавить контрольный вопрос, на который нужно ответить при входе на сайт.

Тем не менее, постарайтесь выбрать более личный вопрос, который будет нелегко угадать посторонним или людям, которые имеют ограниченное взаимодействие с вами. Этот трюк эффективен только тогда, когда вы можете разумно выбрать личный вопрос.

Резюме мыслей

Если у вас есть веб-сайт WordPress, вам нужно серьезно подумать о проблемах его безопасности. Многие функции WordPress делают его уязвимым для хакеров.

Однако, приняв некоторые меры предосторожности и используя соответствующие плагины, уязвимости можно уменьшить. Попробуйте предложения, которые мы перечислили для вас. Если вам нравятся наши советы, следите за обновлениями!