Как улучшить безопасность вашего сайта WordPress за 12 простых шагов

С более чем 75 миллионами онлайн-пользователей нет сомнений в том, что WordPress является предпочтительной платформой, когда речь идет о разработке веб-сайтов для любого бизнеса. Популярные веб-сайты, такие как New York Times, eBay, Best Buy и Jay-Z, работают на WordPress, который также поддерживает более 34% онлайн-мира в 2019 году.

Из-за своей популярности WordPress, к сожалению, также является целью киберпреступников по всему миру. Отраслевая статистика показывает, что каждую минуту на веб-сайт WordPress совершается около 90 000 атак! Неудивительно, что владельцы веб-сайтов WordPress всегда заботятся о том, чтобы их веб-сайты были в безопасности. В этой статье давайте оценим, почему важна безопасность WordPress, а также 12 простых шагов, которые определенно могут улучшить безопасность вашего сайта.

Почему обеспечение безопасности вашего сайта WordPress так важно

Что взлом делает с вашим сайтом? В зависимости от типа атаки хакеры могут украсть бизнес-данные или информацию о клиентах, перенаправить трафик веб-сайта на другие нежелательные или фишинговые веб-сайты или использовать бэкдоры для неоднократного повреждения одного и того же веб-сайта. Кроме того, хакеры используют любую уязвимость в системе безопасности, обнаруженную в любой версии WordPress, для нападения на другие веб-сайты, использующие ту же версию.

Успешный взлом может серьезно повредить с трудом заработанной онлайн-репутации любого бизнеса, поскольку он может оттолкнуть входящий трафик и потенциальных клиентов, повлиять на скорость и производительность веб-сайта и даже повлиять на доходы бизнеса в долгосрочной перспективе. Вот некоторые из причин, по которым любой владелец веб-сайта WordPress или компания просто не могут позволить себе легкомысленно относиться к безопасности веб-сайта.

Итак, как вы собираетесь повысить безопасность WordPress? Вот составленный список из 12 мер безопасности, которые легко реализовать любому пользователю WordPress. Хотя эти меры не могут полностью устранить опасность атаки, они, безусловно, могут повысить вашу общую безопасность и затруднить повреждение вашего сайта хакерами.

Итак, приступим.

Шаг 1: Регулярное резервное копирование вашего сайта WordPress

Будь то компания электронной коммерции или платформа социальной сети, ни одна компания не может позволить себе потерять свои бизнес-данные, будь то данные клиентов, онлайн-комментарии, запросы клиентов или финансовые операции. Потеря данных может произойти по разным причинам, включая успешную утечку данных в результате кибератаки, человеческую ошибку или сбой аппаратной системы.

Регулярное резервное копирование или копирование всех данных вашего веб-сайта — лучшая мера защиты от потери данных. Резервные копии гарантируют, что в случае неудачного сбоя веб-сайта ваши данные могут быть восстановлены путем восстановления сохраненных резервных копий.

Какие существуют способы создания резервных копий и какой из них предпочтительнее?

Ручное резервное копирование, которое вы можете выполнять самостоятельно, если у вас есть необходимые технические знания и опыт.

Резервное копирование, выполненное вашим провайдером веб-хостинга WordPress.

Использование автоматических плагинов резервного копирования, которые удобны и просты в использовании для любого пользователя WordPress. Популярные плагины, такие как Updraftplus, BlogVault и Backupbuddy, можно установить и активировать на вашем веб-сайте WordPress всего за несколько минут.

Шаг 2: Запуск вашего сайта в последней версии WordPress

Вот поразительная статистика, которую большинство пользователей веб-сайтов WordPress игнорируют: было обнаружено, что около 60% скомпрометированных веб-сайтов WordPress работают на более старой или устаревшей версии.

Как инструмент с открытым исходным кодом, WordPress регулярно выпускает основные версии вместе с небольшими обновлениями (которые обычно содержат исправления ошибок или безопасности). Хотя вы можете настроить свой инструмент WordPress для автоматического обновления до незначительных исправлений обновлений (например, версии 5.2.1), основные версии WordPress можно установить только вручную.

Поэтому в качестве меры безопасности всегда проверяйте, какая версия WordPress в настоящее время работает на вашем веб-сайте, и обновляйте ее до последней выпущенной версии (версия 5.2, выпущенная в мае 2019 года). Для этого вам необходимо загрузить последнюю версию WordPress из официального репозитория WordPress, а затем установить ее после входа в свою учетную запись WordPress (как показано ниже).

Шаг 3: Используйте обновленные версии плагинов/тем WordPress

Хотя устаревшая версия WordPress может привести к проблемам с безопасностью, то же самое может быть вызвано устаревшими плагинами/темами WordPress, установленными на вашем веб-сайте. Недавнее исследование показало, что из известных 4000 связанных с безопасностью уязвимостей на сайтах WordPress 54% вызваны устаревшими плагинами, а 14,5% — устаревшими темами.

Использование устаревших плагинов/тем на веб-сайтах WordPress дает хакерам возможность использовать проблемы безопасности и повредить целые веб-сайты. Устаревшие плагины/темы также могут привести к проблемам несовместимости на вашем сайте.

Итак, в дополнение к использованию последней версии WordPress, не забудьте обновить все ваши текущие плагины/темы до их последней версии. Кроме того, в целях безопасности загружайте свои плагины/темы только из надежного источника, такого как официальный репозиторий плагинов/тем WordPress или от известных разработчиков плагинов/тем.

Шаг 4. Удалите все заброшенные плагины/темы

Управление установленными плагинами и темами сводится не только к их обновлению до последней доступной версии, но и к инвентаризации всех заброшенных плагинов/тем на вашем веб-сайте WordPress. Что такое заброшенные плагины/темы? Те, которые больше не поддерживаются или не разрабатываются сторонними разработчиками. Хакеры могут легко получить контроль над вашим сайтом, если он содержит большое количество заброшенных плагинов/тем.

Просмотрите все установленные плагины/темы, для которых нет последних доступных обновлений, и удалите их из установки WordPress. Кроме того, вы можете заменить их другими плагинами/темами, над которыми активно работают соответствующие компании.

Шаг 5: Ограничьте количество установленных плагинов/тем

Вы установили сотни плагинов/тем на свой сайт WordPress? Если да, возможно, вы больше не используете многие из этих плагинов и тем. Большое количество установленных плагинов/тем может замедлить скорость вашего сайта и привести к проблемам с безопасностью. Кроме того, было бы обременительно постоянно обновлять плагины/темы, которые больше не используются.

Отсейте ненужные плагины на вашем сайте и оставьте только те, которые значительно улучшают функциональность и дизайн вашего сайта. Вы можете либо заменить неиспользуемые плагины/темы лучшими альтернативами, либо полностью удалить их из установки.

Простые в выполнении, каждый из последних трех шагов может привести к эффективному управлению плагинами/темами WordPress и повысить вашу безопасность WordPress.

Шаг 6. Усильте пароли и учетные данные администратора

Будь то ваша учетная запись администратора WordPress или учетная запись веб-хостинга, слабые учетные данные пользователя, включая имена пользователей и пароли, могут быть причиной успешных взломов учетных записей и кражи данных. Большинство онлайн-пользователей, включая пользователей WordPress, любят использовать простые учетные данные для входа, которые им легко запомнить. В результате слабые имена пользователей, такие как «admin» или «admin123», а также пароли, такие как «password» или «123456», облегчают хакерам угадывание ваших учетных данных и получение несанкционированного доступа к вашей учетной записи.

Чтобы повысить безопасность своего веб-сайта, укрепите свои учетные данные администратора с помощью следующих мер:

Измените имя пользователя по умолчанию вашего администратора WordPress с «admin» на уникальное и надежное имя пользователя, которое трудно угадать.

Используйте более надежные пароли, содержащие от 8 до 10 символов, включая строчные и прописные буквы, цифры и выбранные специальные символы. Сделайте это обязательным для всех ваших пользователей, включая пользователя «admin».

Убедитесь, что установленные пароли регулярно меняются или обновляются.

Шаг 7: Ограничение доступа пользователей к панели инструментов WordPress

Известно, что веб-сайты WordPress имеют большое количество пользователей с правами «администратора», что делает управление веб-сайтом более удобным, но также может увеличить проблемы, связанные с безопасностью. Это связано с тем, что хакеры могут получить незаконный доступ к любой из этих многочисленных учетных записей «администраторов» и повредить внутренние файлы.

В качестве меры безопасности вы должны сначала ограничить количество пользователей с правами «администратора», а также правами доступа к вашей важной панели управления WordPress.

Для этого назначьте самые высокие привилегии панели управления доверенным пользователям или тем, кто может выполнять задачи, связанные с администрированием. Кроме того, вы можете выполнить белый список IP-адресов, который ограничивает доступ внешних пользователей к вашей панели управления. Для этой задачи добавьте следующий код после создания нового файла «htaccess» в папке wp-admin вашей установки WordPress:

order deny,

allow

allow from YOUR IP ADDRESS

deny from all

Шаг 8: Используйте инструмент CAPTCHA

Вы развернули инструмент CAPTCHA, чтобы ограничить количество неудачных попыток входа в свою учетную запись WordPress? Инструмент CAPTCHA — лучшая защита от атак методом грубой силы со стороны хакеров, которые предназначены для угадывания ваших учетных данных на странице входа и получения несанкционированного доступа к вашей учетной записи.

Этот инструмент можно использовать для ограничения количества неудачных входов в систему до 3, а также он может определить, пытается ли получить доступ к учетной записи настоящий пользователь-человек или автоматизированный бот.

Шаг 9: Двухфакторная аутентификация

Наряду с использованием инструмента CAPTCHA двухфакторная аутентификация (или 2FA) является эффективным решением для предотвращения несанкционированного доступа к любой онлайн-учетной записи. 2FA гарантирует, что пользователь должен пройти двухэтапный процесс, чтобы успешно войти в свою учетную запись. Во-первых, им нужно ввести свои правильные учетные данные пользователя, а во-вторых, ввести секретный код проверки, который доступен только для зарегистрированного номера телефона пользователя.

Инструменты WordPress, такие как Google Authenticator, можно легко использовать для реализации двухфакторной аутентификации.

Шаг 10: Использование сертификата SSL и протокола HTTPS

Есть ли у вашего веб-сайта WordPress сертификация Secure Socket Layer или SSL, которая может эффективно защитить ваш веб-сайт? Как работает SSL? Сертификат SSL защищает ваш веб-сайт с помощью протокола HTTPS (или безопасного HTTP), который используется для передачи всех данных между браузером пользователя и сервером вашего веб-сайта. Короче говоря, HTTPS гарантирует, что хакеры не смогут взломать или получить доступ к передаваемым данным.

Как получить сертификат SSL? Вы можете либо получить сертификат у поставщика веб-хостинга, либо использовать сторонние инструменты, такие как Let’s Encrypt, с любого внешнего веб-сайта.

Шаг 11. Скройте версию WordPress

Хакеры могут более эффективно планировать свои онлайн-атаки, зная, какая версия WordPress работает на вашем сайте. Они могут легко найти эту информацию в исходном коде вашего веб-сайта или в RSS-каналах.

Лучшая защита от этого — скрыть вашу версию WordPress от вашей установки, включая установленные плагины/темы. Например, вы можете скрыть версию WordPress из любой установленной темы, добавив следующие строки кода в файл «functions.php» вашей установленной темы.

function remove_wp_version () {

return '';

}

add_filter ('the_generator’, 'remove_wp_version’) ;

Шаг 12: Используйте правильный плагин безопасности WordPress

И последнее, но не менее важное: мы настоятельно рекомендуем вам инвестировать в плагин безопасности WordPress, который может защитить ваш сайт от различных онлайн-угроз, таких как вредоносное ПО, атаки методом грубой силы и утечки данных.

Автоматизированные плагины безопасности, такие как Sucuri и MalCare, предназначены для обнаружения любого вредоносного кода на вашем веб-сайте и удаления вредоносных программ. Простые в установке плагины обычно предлагают множество функций, таких как защита брандмауэра и меры по повышению безопасности веб-сайта.

В заключение

Хотя этот 12-шаговый процесс не может гарантировать 100% защиту от кибератак для веб-сайтов WordPress, они могут повысить уровень безопасности веб-сайта и затруднить хакерам успешный взлом. Безопасный и хорошо защищенный веб-сайт WordPress может иметь большое значение для создания вашей деловой репутации и привлечения большего трафика в ваш бизнес.