В первой части этой серии мы рассмотрели, что делать, когда ваш сайт взломан. Во второй части мы узнаем о том, как оставаться в безопасности и быстро действовать, когда произойдет еще один неприятный инцидент.
Вековой вопрос: безопасен ли WordPress?
Очевидно, этот вопрос никогда не устареет, и люди всегда относятся к WordPress со скептицизмом, когда речь заходит о безопасности.
WordPress безопасен. Десятки, может быть, сотни тысяч разработчиков заботятся о благополучии WordPress, и они постоянно вносят исправления в систему, чтобы обеспечить ее безопасность. Для еще более безопасных веб-сайтов существуют бесплатные и коммерческие плагины для защиты от атак, с которыми обычные веб-сайты не должны сталкиваться.
Но WordPress не на 100% безопасен. Почему? По той же причине, по которой ученым постепенно удается читать и даже переписывать ваши мысли: ни одна система в мире не является на 100% безопасной . Конечно, эти злые хакеры найдут еще один недостаток безопасности в ядре WordPress, это не что иное, как естественный. В этом и заключается ценность сообщества разработчиков, как я уже говорил ранее. Но даже такое сообщество, как WordPress, не может предотвратить будущие уязвимости.
И даже если они это сделают, даже если WordPress станет первой системой, которая на 100% безопасна, это не обязательно означает, что ваш сайт безопасен. Ваша версия WordPress может быть актуальной, но ваш хостинг-провайдер может забыть обновить cPanel или даже PHP, или в MySQL или в дистрибутиве Linux вашего сервера появляется уязвимость нулевого дня.
Или, знаете, операционная система вашего собственного компьютера тоже не на 100% безопасна. (Да, я смотрю на вас, Йосемити!) Ваш компьютер (или телефон, или планшет) может заразиться трояном и передать ваши пароли хакерам на серебряном блюде. Вы не можете отключить свой сервер или компьютер, и вы не можете надеть шапку из фольги на голову, так что не надейтесь на то, насколько безопасен WordPress.
Но WordPress безопасен, и вам не стоит об этом беспокоиться. Но вам следует беспокоиться о том, что вы собираетесь делать, если вы полагаетесь на WordPress, хостинг-провайдера, компьютер или даже себя. Единственное, что нужно сделать, — это принять меры предосторожности, чтобы сделать ваш сайт более безопасным и иметь возможность действовать быстро, чтобы ваш веб-сайт встал на ноги, когда ваш сайт взломали.
Как обезопасить свой сайт WordPress
Как я уже сказал, ни одна система не может обеспечить 100% безопасность, включая WordPress. Но нет никаких причин, почему вы не должны увеличивать эти 99% до 99,5%, верно? Кроме того, отсутствие здравого смысла может резко снизить этот процент. Вот почему в этом разделе мы рассмотрим, как быть в безопасности при использовании WordPress.
Будьте в курсе
«Серьезно?», Слышу, как ты говоришь. Да, я согласен, что оставаться в курсе — это, пожалуй, самый очевидный совет по безопасности. Но есть причина, по которой каждая отдельная статья о безопасности WordPress содержит раздел о том, как оставаться в курсе: люди забывают обновить. Шутки в сторону.
Нет ничего постыдного в том, чтобы забывать о вещах, но вы должны знать, что несоответствие современным требованиям ведет к тому, что вы сидите против хакеров. Когда вы забываете обновлять WordPress или ваши темы и плагины, вы в основном отказываетесь от исправления уязвимостей и соглашаетесь стать добровольной мишенью для хакеров-новичков ( n00b ).
WordPress представил автоматические обновления для небольших версий (например, с 4.0.1 до 4.0.2, а не с 4.1 до 4.2), но исправления ядра не всегда достаточно. Обязательно обновляйте свои плагины и темы (и основные при основных обновлениях), как только они будут выпущены.
Использование безопасных плагинов и тем
Как я уже говорил в предыдущей части этой серии, дыра в безопасности одного из плагинов, которые я использовал, позволила хакеру запустить скрипт оболочки на моем сервере. Как и в этом примере, плохо закодированные плагины или даже темы могут создать дыры в безопасности на вашем сайте.
Итак, как вы выбираете «безопасные» плагины и темы? Подумайте об этом так: чем больше популярность программного обеспечения, тем больше у его разработчиков мотивации для его улучшения. Поэтому выбор популярных плагинов и тем для WordPress может быть логичным. Конечно, существует вероятность того, что популярный плагин будет иметь серьезную уязвимость безопасности, но его разработчики будут более отзывчивы к его исправлению, в отличие от менее популярных плагинов.
Если вы найдете плагин или тему, которая не очень популярна, и вы должны ее использовать, то вам следует хотя бы проверить предысторию его разработчиков. Если они кажутся вам профессиональными, доверять им более логично, чем слепо устанавливать любой плагин, который вы видите.
И если вы знаете, как читать код, всегда лучше проверить код самостоятельно.
Удаление ненужных плагинов и тем
На самом деле сказать особо нечего: поскольку любой плагин или тема может иметь уязвимость в системе безопасности (неважно, актуальна ли она или нет), это еще один логический вариант удаления неиспользуемых или ненужные плагины и темы для снижения рисков.
Проверьте список своих плагинов и посмотрите, какие из них абсолютно необходимы, а какие можно обойтись; затем удалите их все, включая те, которые отключены, но вы можете использовать один день. Аналогичным образом удалите темы и дочерние темы, которые не используются.
Использование WordPress плагина, связанного с безопасностью
Чтобы максимизировать совместимость с сервером, WordPress иногда воздерживается от добавления некоторых функций, и эти функции включают оптимизацию безопасности для определенных типов серверов. Вот где плагины безопасности пригодятся: они позволяют максимизировать безопасность вашего сайта благодаря множеству вариантов.
В экосистеме плагинов безопасности WordPress есть четыре «крупных» игрока: Wordfence , Bulletproof Security , iThemes Security (ранее известная как Better WP Security) и Sucuri Security . Все они действительно продукты высокого класса, и у них так много возможностей, что рассмотрение и сравнение этих плагинов друг с другом заставит нас отойти от темы «оставаться в безопасности в WordPress». Мой совет: внимательно прочитайте все их описания, сравните их друг с другом (все они имеют премиум-версии, поэтому сравните их, если хотите купить один) и определитесь с одним (или, может быть, двумя) из них.
И помните: эти плагины в основном предназначены для опытных пользователей, которые знают, как работают серверы, и в основном знают, что на самом деле делают опции плагинов. (Это еще одна мера безопасности: не играйте с вещами, которые вы до конца не понимаете.) Если вы знаете, что делать с этими плагинами, не стесняйтесь, по крайней мере, попробовать один или два из них.
Примечание: у Sucuri есть отличная статья об экосистеме плагинов безопасности WordPress , поэтому обязательно ознакомьтесь с ней.
Выбор хорошего хостинг-провайдера
Тут тоже нечего сказать: безопасный хост так же важен, как и безопасная установка WordPress. Обязательно найдите хороших хостинг-провайдеров, которые регулярно обновляют свои системы, предлагают дополнительные варианты защиты и имеют приличную группу технической поддержки.
Вывод
Безопасность — смертельно опасная проблема для всего (включая ваш дом, ваш смартфон, вашу страну и WordPress), и вы не можете спорить с этим. Вот почему вам нужно держать его в узде, чтобы ваш сайт WordPress оставался безопасным. В этой серии я поделился с вами двумя вещами: планом действий со взломанным сайтом и мерами предосторожности, которые необходимо предпринять после (и до) взлома вашего сайта. Надеюсь, вам понравилось читать так же, как и мне.
Что вы думаете по этой теме? Скажите нам, что вы думаете, комментируя ниже. И если вам понравилась эта серия, не забудьте поделиться статьями со своими друзьями!