Рекомендации по безопасности вашего сайта на WordPress

Рекомендации по безопасности вашего сайта на WordPress

Всегда найдется кто-то, кому полезен взлом вашего сайта: недобросовестный конкурент или просто разработчик-любитель. Вот почему знание того, как улучшить безопасность WordPress, может в долгосрочной перспективе избавить вас от головной боли.

Прежде чем мы углубимся в реальные шаги по повышению безопасности, рассмотрим причины, по которым безопасность WordPress так важна.

ПОЧЕМУ БЕЗОПАСНОСТЬ WORDPRESS ТАК ВАЖНА?

Сайт WordPress похож на офис или магазин. Ваш бизнес полагается на него, чтобы получать доход. Если сайт взломан, это касается не только вас, но и данных клиентов. Потеря информации о клиентах — самая большая опасность для бизнеса, которая подрывает доверие покупателей и может привести к полному разрушению бизнеса.

С финансовой точки зрения вы можете оказаться в сложной ситуации, когда придется заплатить выкуп хакеру, чтобы снова получить доступ к сайту.

Есть и некоторые другие последствия нарушений безопасности: распространение вредоносного ПО среди пользователей, черный список Google, проблемы с входом в систему и утеря паролей.

Как видите, каждому владельцу сайта WordPress важно знать, как себя защитить. Расскажу, какие есть простые шаги для повышения безопасности WordPress.

Что важно сделать для безопасности WORDPRESS

1. Пароли и разрешения пользователя

Самый простой способ для хакеров атаковать сайт — это использовать ваш пароль. Защита паролем не сложная наука. Сделайте все пароли уникальными и придумывайте более надежные (сложные) варианты.

Большинство начинающих пользователей выбирают крайне слабые пароли, потому что их легче запомнить. Но на самом деле можете использовать менеджер паролей и перестать беспокоиться о том, чтобы забыть пароль. Менеджеры паролей надежно сохранят все используемые пароли и уведомят вас о попытке взлома.

Другая ошибка, которую совершают владельцы WordPress, заключается в том, что они устанавливают надежные пароли для учетной записи администратора, и полностью забывают о других паролях, таких как учетные записи FTP, учетная запись хостинга, база данных и адреса электронной почты.

Будьте осторожны, чтобы не дать доступ администратора любому человеку (и да, это самая распространенная ошибка — не только с точки зрения безопасности, но и сохранности от простой кражи). Даже если человек является членом команды, существует множество способов пригласить его в админку сайта, кроме раскрытия пароля администратора (владельца сайта).

2. Двухфакторная аутентификация

Хотя большинство пользователей привыкли к двухфакторной аутентификации Google, многие из них не знают о том же параметре, доступном в WordPress. Двухфакторная аутентификация — это в основном процесс проверки личности с использованием знаний о вас: что-то, что вы знаете, или то, что у вас есть.

В WordPress вы можете настроить двухфакторную аутентификацию, которая будет использовать ваше мобильное устройство в качестве дополнительной проверки безопасности. Вы можете легко настроить двухфакторную аутентификацию с помощью плагина iThemes Security Pro.

3. Регулярно меняйте пароли WORDPRESS

Роли и ключи WordPress — это дополнительные пароли для вашего сайта. Они хранятся в файле wp-config.php и используются для проверки каждого пользователя или комментатора.

Для лучшей защиты вы можете попробовать изменить роли и ключи WordPress, используя iThemes Security Pro или другой подобный плагин.

4. Обновление WORDPRESS

Обновления WordPress имеют решающее значение для безопасности вашего сайта. Существует два способа установки обновлений в WordPress: вручную и автоматически. Обычно незначительные обновления будут обрабатываться WordPress. Основные обновления запускаются вручную.

Поскольку WordPress является не только платформой для веб-сайта, но и хранилищем плагинов и тем, вам необходимо регулярно обновлять эти компоненты. Обновления обычно выпускаются разработчиками, и вас спросят, хотите ли вы их обновить.

5. Используйте безопасные разрешения для файлов

Если файлы вашего сайта доступны для общественности, значит, он не защищен должным образом. Как вы можете настроить права доступа к файлам и каталогам? Файлы должны быть между 400 и 444 и каталогами между 700 и 744.

Опять же, вы можете использовать плагины безопасности для внесения необходимых изменений. Но если вы продолжаете использовать режим разрешений 777, то в основном позволяете любому пользователю просматривать ваши файлы и папки.

6. Отключите индексирование и просмотр каталогов

Просмотр каталогов — это процесс отображения вашего каталога, включая информацию о плагинах и темах для широкой публики. Это происходит, когда сервер не находит файл index.php или index.html.

Вы можете проверить, включен ли просмотр каталогов. Просто создайте текстовый файл, а затем зайдите в каталог через веб-браузер. Если вы видите ссылку на текстовый файл, тогда просмотр каталога включен. Если вы видите сообщение «Страница не найдена», то просмотр каталога отключен.

Как же отключить просмотр каталогов? Вы можете добавить код «Options All -Indexes» в свой файл .htaccess, а также добавить пустые файлы index.php в папки wp-content / themes и wp-content / plugins .

7. Включить брандмауэр

Вы также можете попытаться повысить уровень безопасности своего сайта, включив брандмауэр. Брандмауэр поможет заблокировать вредоносный трафик, прежде чем он попадет на сайт. Брандмауэр веб-приложений управляет трафиком HTTP / S, поступающим в веб-приложение и из него, для защиты от злонамеренных попыток скомпрометировать систему или отфильтровать данные.

8. Регулярно делайте резервные копии

Как и все в жизни, профилактика — лучшее лекарство. Резервные копии позволяют быстро восстановить сайт, когда он взломан. Резервные копии просты в управлении и могут быть настроены на автоматическое выполнение, поэтому не нужно беспокоиться ни о чем. Сохраняйте все резервные копии в удаленном месте, а не на своем хостинге, чтобы при взломе хостинга у вас был доступ к резервной копии.

Вы можете легко сделать резервную копию своего сайта без обращения к программистам, используя бесплатные или платные плагины. Самые популярные из них включают VaultPress и BackupBuddy.

Заключение

Все вышеперечисленные методы помогают повысить уровень безопасности вашего сайта, но никто не может быть полностью уверен на 100%. Если по какой-то причине произошла попытка взлома, лучше проконсультироваться с профессионалами. Основная проблема взломанного сайта заключается в том, что он становится очень уязвимым для всех последующих атак, если вы не закроете все бэкдоры, установленные хакерами.

Кроме того, помните, что обеспечение безопасности вашего сайта — это бесконечный процесс. Вы всегда должны быть в курсе лучших практик и последних обновлений. Сделайте безопасность сайта приоритетом, и вам будет чуть спокойнее за свои данные и бизнес.