В предыдущей части этого мини-сериала мы рассмотрели некоторые советы и хитрости, которые очень важны для усиления ваших проектов WordPress. В этой части мы рассмотрим некоторые из лучших плагинов безопасности WordPress и несколько важных советов по безопасности WordPress.
Давайте получим право на это!
Обеспечение безопасности WordPress с помощью плагинов и других важных советов
В следующих разделах я расскажу о вещах, которые за многие годы спасли мои сайты от множества атак. Я надеюсь, что вы тоже ими воспользуетесь.
Установка плагина безопасности
Советы и рекомендации по безопасности WordPress — это здорово, но иногда вам нужно нечто большее. Помимо небольших изменений в файлах .htaccess
и wp-config.php
, вам может потребоваться предотвращать попытки входа в систему методом грубой силы, регистрировать вредоносные запросы и тому подобное. Для таких задач вам понадобится плагин безопасности.
Я не собираюсь рассматривать их один за другим, но я хочу поговорить о некоторых из самых популярных плагинов безопасности для WordPress:
iThemes Security (ранее Better WP Security) : Это один из лучших бесплатных плагинов безопасности в экосистеме WordPress. (У него также есть версия Pro, но, честно говоря, мне не нужно было обновляться.) Он проверяет вашу установку WordPress и проверяет наличие уязвимых мест, а затем предлагает их исправить. Более того, у него есть несколько интересных функций, таких как запрет определенных пользовательских агентов, предотвращение атак методом перебора, мониторинг файлов на предмет несанкционированных изменений и регистрация ошибок 404. На самом деле, я написал статью об этом в октябре 2014 года, поэтому обязательно ознакомьтесь с ней, если вам интересно .
Wordfence Security : Wordfence Security — один из самых популярных бесплатных плагинов, с ошеломляющими 4,9 звездами (из 5), что делает его также самым высоко оцененным плагином безопасности в каталоге плагинов WordPress.org. Он имеет множество функций, от мониторинга и блокировки до сканирования и кэширования (да, кэширование). Pro версия предлагает еще больше функций, которые сделают ваш сайт невероятно безопасным.
All in One WP Security & Firewall : All in One WP Security & Firewall — еще один популярный плагин безопасности с оценкой 4,9 звезды, но с меньшим количеством загрузок. Он также имеет широкий спектр функций и настроек, которые может предложить плагин безопасности, например, безопасность входа в систему и регистрации, защита файловой системы и функции брандмауэра.
Sucuri Security : «Sucuri» является одним из самых известных брендов в области безопасности WordPress, особенно из-за их первоклассных отчетов о недостатках безопасности в ядре WordPress и популярных плагинов. Это помогло многим разработчикам исправить свои продукты, а также всем пользователям WordPress с плагином Sucuri Security. Обязательно ознакомьтесь с возможностями плагина на его странице WordPress.org и попробуйте его, прежде чем принять решение.
Я хотел сократить список, так как это только часть учебника. Если вы хотите узнать больше о каждом плагине, обязательно посетите их страницы плагинов и сделайте свое исследование, прежде чем принять решение о том, что вы будете использовать.
Другие советы по безопасности WordPress
Настройка файлов .htaccess
и wp-config.php
— это замечательно, а использование плагинов безопасности чрезвычайно полезно … но всегда есть возможности для улучшений, особенно с точки зрения безопасности. И, надеюсь, следующие советы помогут вам приблизиться к 99,999% безопасности. Давайте начнем!
Установить SSL на WordPress
Безопасное соединение HTTP помогает более чем одним способом добиться большей безопасности в WordPress. Соединение будет зашифровано, поэтому подключение к нему будет бесполезным (для большинства сторон) . Это также хороший способ проявить доверие, и он необходим для сайтов электронной коммерции. Вы не хотите сообщать своим клиентам, что их платежная информация проходит через незашифрованное соединение.
Если вы хотите узнать больше о SSL в WordPress, ознакомьтесь с этой статьей о создании WordPress . Чтобы узнать о том, как реализовать SSL в WordPress, прочитайте эту статью Envato Tuts +, написанную Джо Клифтоном .
Использовать двухфакторную аутентификацию в логинах
С годами пароли становятся все легче и проще взломать, поэтому вам не стоит больше доверять выбору надежного пароля. К счастью, методы, которые требуют более одного вида аутентификации, показывают некоторые обещания с точки зрения безопасности (в общем, не только WordPress).
В основном это работает так: система запрашивает ваш пароль, а затем запрашивает что-то еще — например, одноразовый код доступа, который приходит с помощью SMS, или нажав одноразовую ссылку по электронной почте. Таким образом, даже если хакер украл ваш пароль (или угадал его правильно), он все равно не сможет получить доступ к вашей учетной записи.
Два самых популярных способа включить двухфакторную аутентификацию в WordPress — использовать плагин Google Authenticator или плагин Clef Two-Factor Authentication . Если вы хотите использовать Google Authenticator, есть отличная статья Envato Tuts +, написанная Джеффом Рейфманом о плагине .
Выберите отличную среду размещения
К сожалению, если хакер закрывает веб-сайт WordPress на небезопасном сервере, люди все равно могут предположить, что это вина WordPress. Но в любом случае, выбор веб-хостинга, который уделяет внимание безопасности, всегда является хорошей идеей.
Я не буду рекомендовать ни одной компании в этом посте, но я могу рассказать вам, что искать: хорошая веб-хостинговая компания постоянно обновляет серверное программное обеспечение, отслеживает необычные действия с помощью брандмауэра и регулярно создает резервные копии вашей учетной записи без каких-либо Дополнительная плата. Сделайте свою домашнюю работу и найдите лучший веб-хостинг для ваших нужд.
Охватите мышление безопасности
Знаете ли вы, что FileZilla, один из самых популярных FTP-клиентов в мире, сохраняет сохраненные учетные данные сервера в незашифрованном XML-файле? Знаете ли вы, что кто-либо в вашей беспроводной сети может подключиться к вашим HTTP-соединениям? Знаете ли вы, что большинству провайдеров услуг VPN приходится передавать вашу информацию секретным службам, когда им нужна ваша информация?
Я думаю, немного паранойи не больно. Даже если вы установите лучшие плагины безопасности и настроите файлы .htaccess
и wp-config.php
идеально, если вы расскажете о своем последнем домашнем животном незнакомцу в кафе или установите какое-либо приложение для Android, которое вам понравится, вы можете потерять защиту интернет сайт. Вот эмпирическое правило: здравый смысл — лучший инструмент для безопасности.
Вывод
Надеюсь, вам понравились советы и рекомендации, которыми я поделился в этом мини-сериале из двух частей. Конечно, вы могли наткнуться на некоторые вещи, которые я писал ранее, но всегда неплохо собирать подобные сводки, чтобы держать всех в курсе о безопасности WordPress. Если вы видели это раньше, круто! Если нет, рад помочь!
Есть ли у вас более полезные хитрости в WordPress? Продолжите и поделитесь ими с нами в разделе комментариев ниже. И если вам понравился этот мини-сериал, не забудьте поделиться им с друзьями!