Как защитить сайт WordPress от хакеров

Руководство по безопасности WordPress для малого бизнеса & предприниматели. Узнайте, как защитить ваш сайт WordPress от хакеров с помощью этих активных шагов.


Советы по безопасности WordPress

Есть поговорка «Если вы построите это, они придут». А в онлайн-мире это означает, что хакеры. Но что вы делаете, чтобы остановить их? Безопасность важна, и проактивный подход – лучший способ защитить ваш сайт. Как и в случае с вашим домом или бизнесом, вы хотите сохранить свои активы в безопасности. Большинство веб-сайтов WordPress заражены из-за отсутствия обновлений файлов, взлома одного из имен входа или атаки методом перебора. Сложнее всего понять, что заражение вредоносным ПО может произойти на любом сайте. Я видел атаку грубой силой на тестовом сайте, который даже не был проиндексирован Google и не имел посетителей. Хотя ничто не является на 100% полным доказательством, есть способы избежать худшего. Вот простые шаги, которые может предпринять владелец малого бизнеса для обеспечения безопасности своего онлайн-бизнеса, которые не требуют разработки или написания кода с вашей стороны..

Важность паролей

Хороший пароль – это первая линия защиты от нежелательных людей на ваших сайтах. Когда бот пытается зайти на панель управления WordPress, первое, что он пытается использовать при входе в систему, – это «admin» и «password», поскольку эта комбинация является наиболее широко используемым именем входа. Изменение его на «Pa $$ w0rd» также не делает его более безопасным из-за того, что он все еще читает «пароль». Имена или что-либо, что будет по-прежнему читаться как разборчивое слово, являются простейшими взломанными паролями. Обычно любой пароль должен содержать не менее 12 неразборчивых символов, содержащих заглавные и строчные буквы, цифры и специальные символы. Чем больше символов в пароле, тем сложнее его взломать. Если вы хотите проверить, насколько безопасны ваши пароли, проверьте Насколько безопасен мой пароль? шашка. Это покажет вам, сколько времени потребуется компьютерному боту, чтобы взломать ваш пароль. Проверяющий сказал мне, что настольному ПК понадобится около 377 миллиардов лет, чтобы взломать мой пароль. Это когда вы знаете, у вас есть отличный пароль!

Плагины безопасности помогают

Существует много типов подключаемых модулей безопасности, которые выполняют ряд функций. Вы можете использовать несколько плагинов безопасности на своем сайте, если у вас нет настроенных на то же самое. Вот список некоторых замечательных плагинов безопасности WordPress, которые доступны. Но для этой статьи, вот как я настроил все свои сайты для максимальной безопасности.

Jetpack – Я использую вымышленный плагин Jetpack на всех своих сайтах. У них есть несколько функций, встроенных для мер безопасности, которые я включаю.

  • Монитор – Jetpack уведомит вас, когда ваш сайт выйдет из строя и когда он снова начнет работать. Всегда будьте в курсе, когда ваши клиенты не могут получить доступ к вашему сайту.
  • Protect – Protect раньше был отдельным плагином под названием BruteProtect. Это был один из самых популярных плагинов, чтобы блокировать атаки грубой силы. Automattic приобрела его в прошлом году, и теперь он встроен в Jetpack.
  • Управление – Jetpack’s Manage позволяет обновлять плагины, темы и ядро ​​всех ваших собственных веб-сайтов с одной панели мониторинга и дает вам возможность автоматически обновлять.

iThemes Security (ранее Better WP Security) – Хотя iThemes Security НЕ является брандмауэром безопасности, он дает большие преимущества для защиты веб-сайта без необходимости изменения кода самостоятельно. У них есть бесплатная и профессиональная версия. Вот функции, которые должны быть включены с этим плагином при использовании Jetpack.

  • Всегда разрешайте iThemes Security писать в wp-config.php и .htaccess. Вот как плагин сообщает веб-сайту, как усилить безопасность.
  • Включить Blacklist Repeat Offender
  • Включить обнаружение 404
  • Воспользуйтесь режимом «Вне дома», если вы знаете, что никто не должен входить в вашу панель управления. Оставьте, если вы работаете на своем сайте в любое время дня.
  • Включите запрет пользователей и функцию черного списка HackRepair.com. Это будет держать известные вредоносные IP-адреса от вашего сайта.
  • Включите обнаружение изменений файла и разбейте проверку файла на чаки. iThemes уведомит вас, если какой-либо из файлов изменился и не соответствует тому, что находится в исходных файлах репозитория..
  • Включите функцию скрытия на спине. Это изменит ваш логин с YourSite.com/wp-login.php на пользовательскую страницу по вашему выбору. Не помещайте это как текущую или будущую страницу или сообщение. Отличными примерами являются enter, main или secure.
  • iThemes Security теперь предлагает сканирование Sucuri SiteCheck для всех пользователей плагинов.
  • Включить надежные пароли для всех пользователей, включая подписчиков.
  • Установите все флажки в системных настройках.
  • В области настроек WordPress не отключайте полностью XML-RPC при использовании Jetpack, так как это может привести к тому, что Jetpack перестанет работать должным образом..
  • Pro версия дает вам возможность использовать двухфакторную аутентификацию для входа в систему среди других функций.

WordFence – Хотя мне очень нравится сканер WordFence, я обычно загружаю его на сайт только после двойной проверки, чтобы убедиться, что все вредоносные программы были удалены. Если вы чувствуете, что ваш сайт заражен, WordFence может обнаружить любой файл WordPress, который был изменен по сравнению с оригиналом. WordFence также предлагает инструмент для кэширования. Если вы решите использовать WordFence, вы можете включить все параметры, но не запускать их с iThemes Security, Jetpack Protect или Sucuri Security, поскольку они могут вызвать конфликт друг с другом..

Sucuri Security – у Sucuri есть и брандмауэр, и антивирус, которые могут помочь заблокировать плохих парней на вашем сайте. Sucuri имеет наиболее широко используемый брандмауэр WordPress в отрасли. Вы можете запустить межсетевой экран Sucuri CloudProxy с iThemes Security, но получить список IP-адресов CloudProxy от Sucuri, чтобы добавить свой белый список IP-адресов в настройках безопасности iThemes..

Двухфакторная аутентификация

Любой логин, на котором вы можете использовать двухстороннюю аутентификацию, всегда рекомендуется использовать. Это можно настроить разными способами. Это может быть капча, код авторизации Google или простой математический вопрос, доказывающий, что вы человек. Если вы решите использовать какой-либо из них, убедитесь, что у каждого, кто обращается к приборной панели, есть свой логин. Общие логины могут вызвать проблемы, особенно если вы используете код авторизации Google, отправленный на мобильный телефон..

  • iThemes Security Pro – имеет несколько двухфакторных опций, включая CAPTCHA. Авторизация Google и простая математика.
  • Ключ – Используя ваш мобильный телефон, Clef предлагает подход без пароля для входа в панель управления WordPress..
  • Google Authenticator – Использует двухфакторную аутентификацию с помощью приложения Google Authenticator для Android / iPhone / Blackberry.

Всегда обновлять

Основная причина, по которой вредоносный код попадает на веб-сайт, связана с найденной уязвимостью в коде для плагина, темы или веб-сайта. Это легко исправить, если ваш сайт обновляется. У некоторых владельцев будет установлен день недели для обновления своего веб-сайта, в то время как другие будут обновляться каждый раз при входе в систему. Есть плагины, которые могут помочь обновлять ваши сайты.

  • Jetpack – Управляйте всеми вашими сайтами, связанными с Jetpack, на одной панели WordPress.com.
  • iThemes Sync – Синхронизация до 10 сайтов бесплатно, поэтому есть одна панель для обновления, запуска BackupBuddy и разблокировки блокировок iThemes Security..

Иметь резервную систему

Очень мало что важнее для веб-сайта, чем для системы резервного копирования. Пока есть полная резервная копия сайта, включая базу данных, вы никогда не потеряете свой сайт. Существует множество способов сделать резервную копию сайта, некоторые автоматизированы, некоторые ручные. Всегда отправляйте свои резервные копии куда-нибудь, кроме вашего сервера.

  • Updraft Plus – У них есть бесплатная и премиум-версия для резервного копирования вашего сайта.
  • BackupBuddy – Премиум плагин резервного копирования, который интегрируется с iThemes Security и Sync.

Разные советы по безопасности

Хотя они не вписываются в большую категорию, их так же важно запомнить

  • Всегда используйте SFTP при использовании файлового менеджера.
  • Держите каталоги на 755, а файлы на 644. Никогда не делайте их на 777 или 666, так как это делает их исполняемыми для всех..
  • Убедитесь, что имя пользователя и пароль вашей базы данных сложны.
  • Не отправляйте пароли по электронной почте. Прикрепите их как заархивированный текстовый документ.
  • Используйте менеджер паролей, чтобы отслеживать ваши логины. LastPass и 1Password – отличные инструменты, которые можно использовать в любом браузере и на ваших мобильных устройствах..
  • Держите антивирус на вашем компьютере, чтобы остановить автоматическую загрузку с вредоносного веб-сайта.

Выполнение этих шагов поможет вам и вашему онлайн-бизнесу оставаться в безопасности. Помните, что проактивность – лучший подход к безопасности WordPress!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map