Статьи

Глава WordPress Security с экспертом Крисом Берджессом

Эта статья была также отредактирована Джеффом Смитом. Спасибо за то, что сделали контент SitePoint лучшим!

Передача безопасности WordPress: резюме

Безопасность WordPress — это не термин, который волнует большинство людей. Это сложная тема, которая обычно идет рука об руку со страхом. Опасайтесь, если вы делаете достаточно для своего сайта, правильно ли он сделан, или даже вообще.

Пару недель назад мы провели вебинар с Крисом Берджессом на SitePoint, чтобы обсудить безопасность WordPress и то, как вы можете начать делать свой сайт безопасным. Мы смотрели на:

  • Распространенные мифы и заблуждения.
  • Что сделало WordPress легкой мишенью.
  • Чем мотивированы злоумышленники и как они атакуют сайты.

Самое главное, мы также смотрели на:

  • Что вы можете сделать, чтобы укрепить безопасность вашего сайта.
  • Как вы можете избежать распространенных угроз безопасности WordPress.

Одна вещь, которую мы все должны понимать и отрывать от нашего вебинара, это то, что безопасность важна , это не продукт — это процесс! Мы не просто позволили Крису говорить, вы тоже ввязались! Было приятно видеть, как много активности в чате. Зрители задавали вопросы Крису, зрители отвечали на вопросы друг друга. Она стала экосистемой WordPress, насыщенной бурными дискуссиями, поэтому давайте перейдем к некоторым из них.

Что ты спросил у Криса

В: Что вы подразумеваете под ручным отверждением?

Крис: То, что будут делать многие плагины безопасности, — это вносить изменения в конфигурацию среды размещения и конфигурации сервера. Это лишает людей возможности загружать файлы, просматривать файлы и ограничивать доступ — такие вещи. Знаете ли вы, что это можно сделать самостоятельно? Если вы знаете, какие файлы изменить. Если вы этого не сделаете, есть довольно много популярных блогов, репозиториев и рецептов, которые люди используют для укрепления сайтов WordPress. Хорошее место для начала — официальная документация, которая называется WordPress Codex. В частности, раздел, посвященный укреплению WordPress .

Я встречал несколько человек, которые говорили: «Смотри, я не доверяю плагинам безопасности, я предпочитаю делать это сам». Это замечательно, но вам нужно знать, что вы делаете, и быть готовым потратить время. , С моей точки зрения, плагины безопасности делают большую часть тяжелой работы за часть времени. Кроме того, они также дают вам другие дополнительные преимущества. Например, они могут предоставить вам аудит и отчетность, а если вы работаете в групповой среде, это помогает иметь эти функции. Вам также нужно учитывать, что плагины безопасности становятся все более сложными для защиты от растущего числа угроз, так что за кулисами существует множество функциональных возможностей. Тем не менее, если вам нравится делать работу самостоятельно, и если вы действительно хотите испачкать руки, вы можете сделать это! Просто будьте готовы потратить время.

В: Даже после того, как я скрыл мое wp-login.php или /wp-admin , мой сайт все еще подвергается атакам при попытке входа в систему. Это боты, и что я могу сделать, чтобы предотвратить их?

Крис: Это действительно блестящий вопрос! Это также, почему Кодекс WordPress имеет информацию о атаках методом перебора.

Есть несколько разных школ о том, как бороться с атаками грубой силы. Все общедоступные сайты постоянно проверяются, но по большей части они могут быть заблокированы с помощью популярных плагинов безопасности. Плагины безопасности могут быть настроены так, чтобы блокировать кого-либо после определенного количества неправильных попыток, вы можете увеличить чувствительность этого, например, вы можете заблокировать кого-то после нескольких попыток, если это неверно.

Есть также вещи, которые вы можете сделать на уровне сервера. Существуют также службы DNS, которые отфильтровывают большой объем плохого трафика, что также помогает блокировать сбор и спам-ботов. Некоторые из популярных провайдеров DNS будут фильтровать часть этого плохого трафика еще до того, как он попадет на ваш сервер. Эти услуги также часто могут помочь с производительностью.

Q: Какие первые шаги вы должны предпринять при наследовании сайта WordPress?

Крис: Первое, что я хотел бы сделать, это убедиться, что вы прочитали руководство по кодексу WordPress по укреплению WordPress, чтобы вы рассмотрели основы и все основные рекомендации.

Это означает:

  • Там нет имени пользователя «admin», используйте надежный пароль, ограничьте, кто имеет доступ администратора.
  • Там установлен плагин безопасности (и запустите полное сканирование).
  • WordPress (включая все темы и плагины) был обновлен.
  • Удалите все неиспользуемые плагины или темы.

Я бы рекомендовал провести аудит сайта и выяснить, какие плагины используются. Иногда это может быть немного субъективным и сводиться к предпочтениям. Я склонен быть настолько безжалостным, насколько это возможно, когда дело доходит до использования плагинов — их так много! Старайтесь использовать только плагины самых авторитетных разработчиков, которых вы только можете найти. Это не значит, что это компания. Есть разработчики, которые имеют хорошую репутацию в том, что они способны быстро исправить ситуацию или имеют отличную поддержку. Это то, что нужно искать.

Контрольный список того, что вы должны делать, когда наследуете сайт:

  • Вы создали резервную копию своего сайта, по крайней мере, до такой степени, что вы можете откатить его до того, что было, когда вы его получили. Это, наверное, важная вещь.
  • Следовать лучшим практикам было бы моим первым делом, документация сообщества очень полная.
  • Убедитесь, что вы установили плагин безопасности, что вы изучили параметры и используете его правильно.
  • Убедитесь, что все обновлено, включая темы и плагины. Убедитесь, что у вас есть лицензии на любые премиальные плагины.
  • Сообщите клиенту о рисках, спланируйте свои дальнейшие действия на основе стоимости сайтов, которыми вы управляете.

Я думаю, что если вы наследуете сайт, вы должны сказать: «Мы не создавали его, мы не написали много этого кода. Но мы собираемся сделать все, что в наших силах, чтобы убедиться, что вы в хороших руках ». Я знаю, это немного тепло и нечетко, но это действительно лучшее, что мы можем сделать, потому что есть много сайтов там, которые были построены и остались с владельцем сайта. Этакий подход — вот ключи, увидимся позже . Однако большинство из нас уже думают о веб-сайте как о работе в процессе. Это живая «вещь», поэтому клиенты действительно ценят это, когда кто-то хочет взять их за руку и помочь им через то, что они не обязательно понимают. Вы просто должны попытаться обучить их и убедиться, что они понимают, что всегда есть риски. Это не просто «сборка и свалка» ; Если вы хотите надежного присутствия в Интернете, оно не только новое и блестящее, но и обеспечивает его поддержание и безопасность.

В: Есть ли сайт, на котором перечислены хорошие и плохие плагины для WordPress Security?

Крис: Это будет субъективно. Так же, как если бы мы искали социальное подтверждение в Amazon или магазине приложений, вот те вещи, которые будут определять мое решение:

  • Это в официальном каталоге плагинов WordPress?
  • Есть ли у нее звездные рейтинги?
  • Сколько активных установок у него сейчас?
  • Когда он последний раз обновлялся?
  • Сколько запросов поддержки у него есть?

Просто помните, что ничто не сравнится с общением с другими разработчиками или владельцами сайтов. Кроме того, я бы также порекомендовал посетить форумы поддержки WordPress, там есть несколько очень опытных людей, готовых помочь тем, кто в этом нуждается, просто убедитесь, что вы прочитали страницу приветствия .

Если вы исследуете с нуля, просто посмотрите на статьи. Вы обнаружите, что есть много людей, которые пишут об этом материале и действительно углубятся в особенности.

Краткое примечание по плагинам. Если что-то не обновлялось в течение двух лет, оно будет помечено в официальном каталоге плагинов. Держитесь подальше от них, потому что они, вероятно, будут либо проблемными с точки зрения поддержки, либо потенциальным кошмаром с точки зрения безопасности.

Проще просто нажать кнопку и установить плагин. Помните, что в конечном итоге эти сайты появятся в течение длительного времени, поэтому убедитесь, что мы имеем дело с чем-то надежным.

И более

В этом резюме мы могли бы охватить лишь так много всего, но о многом мы еще не говорили. Посмотрите остальную часть вебинара ниже, чтобы увидеть остальную часть нашего обсуждения. Приятного просмотра!

Наш вебинар по работе с WordPress Security с Крисом можно найти в нашей подборке « Учись у экспертов» . Проверьте это, чтобы увидеть переговоры с другими экспертами отрасли, такими как Крис Койер и другие.