Статьи

Что вы можете не знать о плагинах безопасности WordPress

Когда дело доходит до обеспечения безопасности установки WordPress с помощью плагина безопасности, может быть заманчиво включить каждую функцию плагина, чтобы укрепить ваш сайт. Если вы начнете включать функции вслепую, вы можете остановить свой сайт.

Это происходит потому, что плагины безопасности, такие как iThemes Security и Wordfence Security, автоматически изменяют основные элементы WordPress, такие как база данных, пути к файлам, разрешения и многое другое, чтобы защитить установку от атак.

В предыдущей статье об управляемых преимуществах и недостатках WordPress-хостинга я кратко рассмотрел распространенные плагины безопасности, которые используются для защиты WordPress, однако в нем не обсуждалось, сколько функций безопасности работает и как они влияют на ваш сайт.

Хотя плагины безопасности WordPress одним щелчком являются отличным способом упростить безопасность WordPress, они часто имеют непреднамеренные побочные эффекты, которые могут снизить производительность ваших сайтов. Вы можете избежать ужасного «белого экрана смерти» WordPress, обратив внимание на детали ниже.

Обнаружение изменения файла

В области цифровой безопасности системы обнаружения вторжений (IDS) и мониторинга целостности являются критически важными инструментами для администраторов серверов, поскольку они позволяют администраторам серверов обнаруживать злонамеренную деятельность, которая происходит из-за сбоя профилактических мер. В прошлом инструменты IDS были громоздкими и дорогими в обслуживании, однако многие плагины безопасности WordPress предоставляют аналогичные инструменты для отслеживания изменений на вашем веб-сайте с помощью нескольких щелчков мыши.

Теоретически, эта функция является отличной защитой от скрытых атак, которые происходят за кулисами, но если они не настроены должным образом, ваш почтовый ящик будет заполнен тысячами ложных положительных уведомлений о вашем сайте. Например, если на вашем веб-сайте установлен плагин кэширования, вы будете получать электронные письма, документирующие каждое изменение по мере его возникновения.

В общем, лучший способ обойти эту проблему — избегать обнаружения изменений, если вы не являетесь опытным разработчиком WordPress. Поскольку каждая конфигурация сервера и WordPress отличается, эта функция полезна только в том случае, если вы можете расшифровать предупреждения.

Блокировка страны

Может быть заманчиво использовать блокировку страны, чтобы предотвратить попадание постороннего трафика на ваш сайт, однако эта функция часто приносит больше вреда, чем пользы. Основная причина в том, что злоумышленникам довольно легко обойти эти блокировщики, просто подделав их IP-адрес или используя легкодоступные VPN-сервисы. Фактически, это то, что многие потребители делают сами, чтобы обойти ограничения авторского права на мультимедийный контент.

Пример безопасности WordPress - блокировка страны

Теоретически блокировка страны может помочь, если вы онлайн-продавец, который очень обеспокоен мошенническими транзакциями. Однако, если потребитель может подделать свой IP для просмотра видеоклипа за пределами своей страны, то мошенник, вероятно, использует ту же технологию для доступа к вашему сайту.

Ограничения на доставку обычно являются лучшим способом защитить вашу компанию от мошеннических транзакций. Кроме того, хотя блокирование страны может блокировать некоторые бот-сети, целая индустрия коттеджей породила вокруг злоумышленников, продающих доступ к скомпрометированным системам в развитых странах.

Короче говоря, блокировка страны, возможно, когда-то была действенным способом уменьшения угрозы для ваших сайтов, однако сегодня она хороша только для того, чтобы обеспечить ложное чувство безопасности.

Принудительный SSL для логинов

Принудительный SSL является одной из лучших функций, которые предоставляют многие плагины безопасности WordPress, потому что это относительно простое изменение, которое может иметь огромное значение для защиты себя и пользователей. Одна из главных причин, по которой многие веб-сайты использовали незашифрованные имена входа, заключается в том, что серверы не могут обрабатывать накладные расходы для частых транзакций. Поскольку вычислительная мощность стала дешевле, SSL стал более распространенным.

Сегодня шифрование стало настолько важным, что Google недавно заявил, что интегрирует его в свои критерии SEO. Рост беспроводного Интернета и недавние опасения по поводу защиты конфиденциальности означают, что операторы веб-сайтов должны защищать своих пользователей. Даже если вы не зашифровываете весь свой веб-сайт, обеспечение безопасного входа в систему является обязательным требованием в современном обществе.

Прежде чем включить принудительный SSL на своем сайте WordPress, убедитесь, что у вас установлен и настроен сертификат SSL. Большинство веб-хостов выполнят установку за вас, и вы можете проверить сертификат, просто добавив https:// Если вы получите ошибку сертификата, вы поймете, что не стоит продолжать эту опцию. С другой стороны, если ваш сайт проходит как обычно, не стесняйтесь идти вперед с ним.

Имейте в виду, что ваш SSL-сертификат должен быть оплачен, чтобы обеспечить функциональность вашего сайта. Если вы находитесь на сервере разработки, вы можете технически использовать самозаверяющие сертификаты, однако они часто будут вызывать предупреждения браузера, когда люди пытаются зайти на ваш сайт.

Важность здравого смысла

Так же, как вы не будете менять настройки вслепую на своей рабочей станции, вы не должны включать функции безопасности на своем сайте WordPress, не зная точно, что они делают.

Случайное включение функций безопасности не только увеличивает шансы встретить страшный «белый экран смерти», но также может привести к ложному ощущению безопасности.

Как и с любыми инструментами, они полезны только при правильном использовании. Если вы не до конца понимаете всю мощь распространенных плагинов безопасности, вы можете принести больше вреда, чем пользы.

Дальнейшее чтение

Стоит отметить, что многие опытные администраторы WordPress вообще не полагаются на какие-либо плагины безопасности, они предпочитают вручную укреплять WordPress и свои серверы. Если вы хотите узнать больше о безопасности WordPress, я бы рекомендовал начать с официальной документации WordPress:

Наконец, убедитесь, что проявляете здравый смысл при выборе и установке тем и плагинов. Я также написал несколько советов, которые вы можете найти ниже: