Безопасность WordPress важна для того, чтобы ваш сайт не был взломан. Время бесперебойной работы увеличено, ваши данные в безопасности, а ваш сайт работает максимально быстро и надежно.
Сегодня мы рассмотрим 10 способов помочь улучшить и поддерживать безопасность вашего сайта WordPress, начиная с самых простых и заканчивая некоторыми более продвинутыми советами, которые помогут вам защитить WordPress.
Безопасность пользователей
Ключевой областью, к которой злоумышленники будут пытаться получить доступ, является интерфейс администрирования WordPress. Если злонамеренный пользователь сможет войти в систему как администратор, он сможет свободно делать все, что ему угодно, на вашем сайте.
Некоторые будут пытаться войти в систему, используя атаку методом грубой силы, настроив ботнет (многие компьютеры, которые контролирует злоумышленник) на повторные попытки входа на ваш сайт, используя различные комбинации имени пользователя и пароля.
Вот некоторые изменения, которые вы можете внести, чтобы защитить интерфейс администратора WordPress:
1. Используйте уникальный, безопасный логин и пароль
Избегайте использования имени пользователя администратора по умолчанию. Хотя вы можете выбрать собственное имя пользователя при настройке нового сайта WordPress, если вы используете более старую установку (которую вы действительно должны обновить — мы расскажем об этом позже), или вы уже установили свое имя пользователя на Администратор , вы можете использовать плагин WordPress, такой как Username Changer, чтобы изменить свое имя пользователя на что-то более безопасное. Вы также можете создать нового пользователя с правами администратора и удалить старое имя администратора.
Старайтесь избегать общих имен пользователей, таких как администратор , имя вашего сайта или ваше имя.
Для паролей важно выбрать сложный пароль, состоящий из букв, цифр и символов. Не выбирайте пароль, который похож на ваше имя пользователя, имя веб-сайта или простое слово с несколькими изменениями. Избегайте словарных слов и предпочтительно используйте случайную строку символов. Хороший инструмент управления паролями поможет вам безопасно создавать, хранить и использовать эти сложные пароли.
В качестве альтернативы, простой способ запомнить пароль при сохранении достаточной сложности — использовать генератор фонетических паролей (например, этот ).
2. Используйте двухфакторную аутентификацию
Двухфакторная аутентификация (известная как 2FA, или иногда двухэтапная проверка) требует, чтобы пользователь входил в систему не только с помощью своего имени пользователя и пароля, но и с помощью уникального кода, который генерируется для одноразового использования и отправляется на устройство (обычно смартфон) через SMS или приложение для iOS / Android.
Мы рассмотрели, как настроить 2FA в нашем учебнике по Google Authenticator .
3. Убедитесь, что пользователь является человеком
Формы reCAPTCHA, которые просят пользователя ввести то, что он видит на изображении в виде текста, — это полезный способ предотвратить попытки ботнетов взломать принудительный вход на ваш сайт WordPress. Ботнеты обычно не могут автоматизировать эту часть процесса входа в систему, поэтому это помогает предотвратить доступ к вашему сайту.
Мы рассмотрели, как реализовать «Нет CAPTCHA reCAPTCHA» как часть вашего процесса входа в WordPress здесь .
4. Защита паролем wp-login.php
Если вы более продвинутый пользователь или разработчик WordPress и вас устраивают некоторые изменения на стороне сервера, вам может потребоваться регистрация на стороне сервера перед отображением экрана входа в WordPress.
Это обеспечивает еще один уровень безопасности, и мы рассмотрели, как вы можете это сделать, в нашей статье « Предотвращение грубых атак на сайты WordPress» .
Код безопасности
Независимо от того, разрабатываете ли вы собственную тему или плагин для своего сайта, или используете что-то от стороннего разработчика, важно, чтобы используемый код был безопасным и не открывал дверь для потенциальных атак.
Небезопасный код и несоблюдение рекомендаций может привести к тому, что злоумышленники смогут получить контроль над некоторыми или всеми вашими сайтами WordPress.
Есть несколько способов обеспечить целостность и безопасность кода:
5. Держите WordPress обновленным
Начиная с WordPress 3.7, второстепенные выпуски, которые охватывают безопасность и обслуживание, применяются автоматически. Однако вы также можете расширить это для автоматической установки основных выпусков WordPress, добавив следующее в файл wp-config.php вашего сайта:
define( 'WP_AUTO_UPDATE_CORE', true );
Хотя это может показаться хорошей идеей, это может привести к несовместимости между недавно установленной версией WordPress и вашими существующими темами и / или плагинами. Всегда полезно поддерживать среду тестирования для такого рода вещей.
Существуют сторонние инструменты, которые могут подключаться к вашему веб-сайту WordPress и позволяют управлять всеми вашими установками WordPress из единого унифицированного интерфейса. Лучше всего, вы можете выполнить установку WordPress, темы и плагинов одним щелчком:
- iThemes Sync (бесплатно до 10 сайтов)
- ManageWP (бесплатно до 5 сайтов)
Для дальнейшего чтения мы опубликовали статьи о том, как поддерживать ваш сайт WordPress в актуальном состоянии:
6. Мудро выбирайте тему и плагины
Важно выбирать темы и плагины, которые активно поддерживаются и регулярно обновляются. Хотя это не является гарантией безопасности, это должно означать, что если в теме или плагине обнаружены уязвимости, они будут быстро устранены и обновлены.
Также проверьте подробные описания плагинов, так как некоторые из них будут проверены третьими лицами (например, Sucuri) для обеспечения безопасности, что поможет вам обрести душевное спокойствие.
7. Разработка тем и плагинов
Независимо от того, являетесь ли вы новичком в разработке WordPress или работали с WordPress некоторое время, разрабатывая темы и / или плагины, важно следовать ключевым рекомендациям по безопасности WordPress.
Начиная с очистки данных, использования одноразовых номеров и соблюдения ролей и возможностей WordPress, важно всегда быть в курсе лучших практик разработки WordPress:
- Санитарная обработка, удаление и проверка данных в WordPress
- Защитите себя от мошеннических плагинов WordPress
Хостинг Безопасность
Поскольку ваша установка WordPress более безопасна благодаря улучшенной аутентификации пользователей и качеству нашего кода, важно также обеспечить надежную поддержку и безопасность хостинга.
8. Используйте управляемый хостинг
В настоящее время существует несколько компаний, предлагающих управляемый хостинг WordPress, таких как WP Engine, SiteGround и Media Temple. В то время как вы обычно платите премию за более традиционный общий или неуправляемый хостинг, управляемый хост поможет обеспечить безопасность вашего сайта.
Например, WP Engine автоматически обновит WordPress и ключевые плагины, если есть известные уязвимости безопасности, а также отключит плагины, которые, как известно, вызывают проблемы с производительностью и безопасностью. Как и большинство управляемых хостов WordPress, они предоставляют аппаратные брандмауэры и конфигурацию, чтобы атаки DDoS-атак не приводили к сбою сайта.
Некоторым пользователям может показаться, что этот подход навязчив, он обеспечивает душевное спокойствие и опыт, чтобы обеспечить работу вашего веб-сайта WordPress.
9. Убедитесь, что права доступа к файлам и папкам верны
Если вы не используете управляемый веб-хостинг, важно убедиться, что файлы и папки WordPress имеют правильное владение и разрешения. Это не только позволяет WordPress постоянно обновляться, но и не позволяет злоумышленникам использовать плохую защиту файлов и захватить контроль над вашим сайтом.
В качестве основного руководства папки WordPress всегда должны иметь разрешения 0755 , а файлы WordPress всегда должны иметь разрешения 0644 — хотя это может варьироваться от хоста к хосту.
Если вы получаете ошибки при попытке установить плагины или загрузить новый носитель, не поддавайтесь искушению установить какие-либо разрешения для 0777 на 0777 . Вместо этого, поработайте с вашим веб-хостом, чтобы убедиться, что PHP работает с правильным пользователем и что папки принадлежат одному и тому же пользователю.
Если у вас есть доступ к оболочке, вы можете запустить несколько команд, чтобы обеспечить безопасность WordPress:
find /path/to/your/wordpress/install/ -type d -exec chmod 755 {} \; find /path/to/your/wordpress/install/ -type f -exec chmod 644 {} \;
Если вы знаете пользователя и группу, которые должны владеть файлами и папками WordPress, используйте:
sudo chown -R username:group /path/to/your/wordpress/install
10. Укрепление на стороне сервера
Для опытных пользователей, управляющих собственным веб-хостингом, вы также можете:
- Убедитесь, что у пользователя вашей базы данных есть доступ только к привилегиям SELECT, INSERT, UPDATE и DELETE
- Используйте надежные имена пользователей базы данных и пароли
- Запретить редактирование файлов на стороне сервера в WordPress, добавив
define('DISALLOW_FILE_EDIT', true);в ваш файлwp-config.php
Некоторые веб-хостинги смогут выполнить некоторые из этих действий за вас — это всегда стоит спросить.
Для получения дополнительной информации о WordPress и усилении защиты сервера, ознакомьтесь с документацией WordPress Codex по усилению защиты WordPress .
Вывод
В этой статье мы рассмотрели 10 советов по обеспечению безопасности вашего веб-сайта WordPress, от базовой аутентификации пользователя до практики кодирования и настройки хостинга. Для более продвинутых пользователей мы затронули некоторые из передовых методов повышения безопасности, которые можно использовать для обеспечения максимальной безопасности WordPress.
Другим вариантом, который стоит рассмотреть, является использование плагина безопасности, такого как WordFence или BulletProof Security. Есть из чего выбирать, и все они имеют свои преимущества и недостатки, поэтому лучше провести небольшое исследование, чтобы найти то, которое наилучшим образом соответствует вашим требованиям. Мы рассмотрели некоторые из более сложных вариантов плагинов безопасности здесь .
И всегда стоит помнить, что хотя профилактика лучше лечения, достаточно одной маленькой ошибки, которая приведет к потере данных в результате взломанной установки WordPress. Поэтому очень важно установить службу резервного копирования WordPress, такую как VaultPress и BackupBuddy, чтобы ваш сайт можно было легко восстановить в случае атаки или ошибки. Мы рассмотрим тему резервного копирования, а также многое другое, в нашем полном руководстве по обслуживанию WordPress .