Как обезопасить сайт wordpress? – 10 эффективных методов

Как обезопасить сайт вордпресс? Вы потратили много времени и усилий на создание своего веб-сайта, и вы, вероятно, потратили еще больше времени и усилий, чтобы поддерживать его в актуальном состоянии. Ваш веб-сайт может быть даже необходим для вашего выживания — вам нужны эти милые доллары, доллары, доллары, доллары, доллары, доллары, доллары наличными, чтобы держать вашу компанию на плаву.

Итак, давайте приступим к делу, когда дело доходит до безопасности.

WordPress — отличная, безопасная платформа прямо из коробки, но вы можете (и должны!) сделать гораздо больше, чтобы обезопасить свой сайт от недобросовестных лиц. Многие из этих улучшений безопасности просты в развертывании и могут быть реализованы вручную за считанные минуты. Другие требуют только установки определенного плагина.

В этой статье я расскажу вам о десяти альтернативных способах укрепления защиты вашей крепости WordPress. Но сначала давайте углубимся в то, почему безопасность веб-сайта важна для вас.

Почему жизненно важно предпринимать шаги для защиты вашего сайта WordPress

Выбор WordPress в качестве платформы — отличное начало, если вы хотите разработать безопасный сайт (очевидное «нет»). Это не только универсальная и мощная платформа для создания веб-сайтов, но и чрезвычайно безопасная система.

Поскольку разработчики WordPress обеспокоены безопасностью, они стремятся максимально «укрепить» базовую платформу. Они также регулярно предоставляют связанные с безопасностью обновления и исправления, которые автоматически загружаются и развертываются на вашем сайте. В результате ваш веб-сайт будет хорошо подготовлен к любым новым возникающим опасностям.

На самом деле ни одна платформа не может гарантировать полную безопасность. Хакеры усердно работают, пытаясь проникнуть даже в самые безопасные веб-сайты (если бы они только могли использовать свои способности во благо, amirite?). WordPress достаточно популярен, чтобы быть постоянной целью, потому что он поддерживает более 30% Интернета.

Само собой разумеется, что если плохим парням удастся проникнуть на ваш сайт, они могут нанести большой ущерб.

Они могут, например, украсть или иным образом скомпрометировать конфиденциальную информацию, установить вредоносное ПО, изменить ваш сайт в соответствии со своими требованиями или даже полностью отключить его. Это плохо как для вас, так и для ваших пользователей, и если вы ведете бизнес, это может привести к потере доходов и клиентов.

Это совсем не хорошо.

Принятие дополнительных мер предосторожности для защиты вашего сайта WordPress имеет решающее значение. Вы захотите посвятить этому проекту столько же времени и внимания, сколько вы уделили созданию своего веб-сайта в первую очередь (если не больше). К счастью, дорогой читатель, существует множество простых и быстрых способов усилить безопасность вашего сайта, а также несколько более продвинутых стратегий, которые вы, возможно, захотите использовать.

Как обезопасить сайт вордпресс?

10 полезных идей, как сделать ваш сайт более безопасным и свести к минимуму вероятность его взлома в оставшейся части этой статьи. Кроме того, я пошлю вас в правильном направлении для каждой стратегии.

Вам не обязательно выполнять все в этом списке — хотя вы, безусловно, можете — чем больше действий вы предпримете для защиты своего сайта, тем меньше вероятность того, что вы столкнетесь с трагедией в будущем.

1. Используйте качественный хостинг

Ваш веб-хост можно рассматривать как «улицу» вашего веб-сайта в Интернете; это место, где «живет» ваш сайт.

Качество домашней базы вашего веб-сайта имеет большое значение, точно так же, как хороший школьный округ имеет значение для будущего вашего ребенка (так они говорят; я оказался в порядке).

Уважаемая хостинговая компания может повлиять на то, насколько хорошо работает ваш сайт, насколько он может расширяться и даже насколько хорошо он ранжируется в поисковых системах. Лучшие хосты предоставляют широкий спектр полезных функций, превосходное обслуживание клиентов и обслуживание для конкретной платформы.

Ваш веб-хостинг, как вы могли ожидать, может оказать значительное влияние на безопасность вашего сайта. Выбор надежного хостинга имеет различные преимущества в плане безопасности, в том числе:

• Хороший хост будет поддерживать свои услуги, программное обеспечение и инструменты в актуальном состоянии, чтобы реагировать на последние угрозы и предотвращать нарушения безопасности.
• Различные целевые функции безопасности, такие как сертификаты SSL/TLS и защита от DDoS, часто предлагаются веб-серверами. У вас также должен быть доступ к брандмауэру веб-приложений (WAF), который поможет вам отслеживать и блокировать основные угрозы для вашего веб-сайта.
• Если вас взломают, ваш веб-провайдер почти наверняка предоставит механизм для резервного копирования вашего сайта (а в некоторых случаях даже сделает это за вас), что позволит вам быстро восстановить стабильную более раннюю версию.
• Если ваш хостинг обеспечивает надежную круглосуточную поддержку, у вас всегда будет к кому обратиться, если у вас возникнут проблемы с безопасностью.

Этот список должен послужить хорошей отправной точкой для поиска хостинга для вашего нового веб-сайта или если вы планируете сменить провайдера. Вы захотите выбрать тот, который обладает всеми необходимыми функциями и возможностями, а также отличается надежностью и высокой производительностью.

DreamPress — это хостинг для WordPress, быстрый, надежный, масштабируемый и безопасный. DreamPress поставляется с предустановленным сертификатом SSL/TLS и выделенным WAF с правилами, специально разработанными для защиты сайтов WordPress и предотвращения попыток взлома. Без дополнительной оплаты вы также получите автоматическое резервное копирование, круглосуточную поддержку от профессионалов WordPress и Jetpack Premium, плагин, который может добавить множество дополнительных средств защиты на ваш сайт.

Вы сможете расслабиться, зная, что с DreamPress ваш сайт в безопасности. Несмотря на то, что наша служба хостинга позаботится о многих из следующих процедур повышения безопасности за вас, мы, тем не менее, рекомендуем вам прочитать дальше, чтобы узнать, какие дополнительные меры предосторожности вы можете предпринять.

Ведь, дети, безопасность превыше всего!

Предлагаемый веб-хост - Blue Host

2. Переключите свой сайт на HTTPS

Давайте обсудим сертификаты SSL/TLS более подробно. Это позволяет вам обновить свой сайт до HTTPS (защищенного протокола передачи гипертекста), более безопасной версии HTTP. Даже если вы никогда раньше не слышали об этих терминах, важно их понять.

HTTP — это протокол передачи данных между вашим веб-сайтом и любым браузером, который пытается получить к нему доступ. Когда посетитель нажимает на вашу домашнюю страницу, этот протокол отправляет весь ваш контент, мультимедиа и код веб-сайта в местоположение посетителя.

Хотя это, несомненно, необходимо, это вызывает некоторые опасения по поводу безопасности. Злоумышленники могут попытаться перехватить передаваемые данные и использовать их в своих гнусных целях.

Это проблема, которую решает HTTPS! Он выполняет то же самое, что и HTTP, но также шифрует данные вашего сайта по мере их перемещения из точки А в точку Б, что затрудняет доступ к ним.

Первоначально HTTPS в основном использовался для сайтов, которые обрабатывали конфиденциальные данные клиентов, такие как номера кредитных карт. Тем не менее, он становится все более распространенным для всех сайтов, и такие крупные имена, как WordPress и Google, настаивают на его широком внедрении.

Вам понадобится сертификат SSL/TLS, чтобы преобразовать ваш сайт в HTTPS. Это сообщает браузерам, что ваш сайт является законным и что содержащиеся на нем данные надежно защищены. Некоторые веб-сайты, такие как Let's Encrypt, также предоставят вам его бесплатно.

Как часть вашего хостинг-пакета, хороший хостинг обычно включает сертификат SSL/TLS. Фактически, все наши планы хостинга на DreamHost включают бесплатный сертификат Let's Encrypt!

Вам нужно будет внедрить HTTPS только после того, как вы разместите сертификат SSL/TLS на своем сайте. Ваш хост может позаботиться об этом за вас, но вы также можете справиться с этим самостоятельно. Ваш сайт будет построен с использованием HTTPS с самого начала, если вы выберете DreamPress, многофункциональный хостинг. Да начнется игра!

Чтобы купить SSL-сертификат, нажмите здесь

3. Создайте безопасные учетные данные для входа

Это затрудняет доступ жуткого незнакомца к вашему сайту. Вы, несомненно, выбрали надежные имена пользователей и пароли для других учетных записей в Интернете, поэтому не составит труда сделать то же самое для вашего веб-сайта WordPress.

Вам будет предоставлена ​​возможность установить имя пользователя и пароль для входа при создании сайта. Имя пользователя будет admin по умолчанию, но вы можете изменить его, если хотите (и, вероятно, должны). Однако, поскольку есть несколько способов узнать ваш логин WordPress, вы можете выбрать вариант по умолчанию, если хотите.

Ваш пароль, с другой стороны, имеет решающее значение, и вы должны выбрать надежный. Недавно произошел поворот в сторону того, как выбрать надежный пароль, с советом простой фразы из четырех слов, затмевающей традиционное сочетание случайных букв, цифр и символов. Это техника, которая существует уже некоторое время в некоторых кругах.

Если все эти разговоры о паролях вызывают у вас головокружение, мы рекомендуем использовать собственный генератор паролей WordPress, который генерирует (почти) непробиваемый пароль прямо в серверной части WordPress. Просто запишите свои учетные данные в надежном месте, например в зашифрованном менеджере паролей, чтобы не забыть их.

Вы по-прежнему можете обновить свои учетные данные для входа, если вы уже создали свой сайт и сначала использовали далеко не идеальные учетные данные. Вы можете изменить свое имя пользователя, создав новую учетную запись, присвоив ей статус администратора и назначив ей все свои данные перед удалением старой.

Чтобы изменить свой пароль, перейдите в « Пользователи» > «Все пользователи » в панели администратора WordPress, нажмите на свое имя пользователя, а затем измените его на экране «Редактировать пользователя».

4. Включите брандмауэр веб-приложений

Вы, вероятно, знаете о концепции брандмауэра, который представляет собой программу, помогающую защитить ваш компьютер от различных типов вредоносных атак. Почти наверняка на вашем компьютере установлен брандмауэр. Брандмауэр веб-приложений (WAF) — это тип брандмауэра, специально разработанный для защиты веб-сайтов. Серверы, определенные веб-сайты или большие группы веб-сайтов могут быть защищены.

Брандмауэр веб-приложений (WAF) на вашем сайте WordPress будет действовать как брандмауэр между вашим сайтом и остальной частью Интернета. Брандмауэр отслеживает подозрительное поведение, обнаруживает нападения, вирусы и другие нежелательные события и блокирует все, что считает опасным. #победа

Если вы выбрали наш пакет DreamPress, вам не нужно устанавливать дополнительный брандмауэр. DreamPress поставляется со встроенным брандмауэром веб-приложений (WAF), который сканирует ваш сайт на наличие рисков и предотвращает доступ к нему несанкционированных лиц и программ. Вам не нужно предпринимать никаких действий.

Наша внутренняя служба обнаружения вредоносных программ DreamShield также доступна через DreamHost. Мы будем еженедельно сканировать ваш сайт на наличие опасного кода, если вы активируете DreamShield в своей учетной записи хостинга. Если мы обнаружим что-либо сомнительное, мы сразу же отправим вам электронное письмо.

5. Внедрите двухфакторную аутентификацию

Прежде чем двигаться дальше, следует рассмотреть еще один подход: двухфакторную аутентификацию (которая также имеет двухэтапную аутентификацию и множество других подобных названий). Это слово относится к двухэтапному процессу, который вам нужно будет пройти, чтобы войти на свой веб-сайт. Это займет немного больше времени с вашей стороны, но поможет предотвратить проникновение хакеров в вашу систему.

Двухфакторная аутентификация предполагает подтверждение входа с помощью смартфона или другого устройства. Для начала перейдите на свой сайт WordPress и войдите под своим именем пользователя и паролем. На ваше мобильное устройство будет отправлен уникальный код, который необходимо ввести для завершения процесса входа. Это позволяет вам подтвердить свою личность, продемонстрировав, что у вас есть эксклюзивный доступ к чему-то, что у вас есть, например к телефону или планшету.

Двухфакторную аутентификацию, как и многие другие функции WordPress, легко настроить с помощью плагина. Двухфакторная аутентификация — хороший вариант, поскольку она была разработана авторитетными разработчиками, совместима с Google Authenticator и позволяет легко интегрировать эту функцию на ваш веб-сайт.

Другим вариантом является плагин Two-Factor, который хорошо известен своей надежностью и был разработан в основном разработчиками ядра WordPress. Кривая обучения немного крутая, но она выполнит свою работу и очень безопасна, как и любой плагин в этой категории. Вы также можете попробовать премиальное решение Jetpack, похожее на Clef, если вы готовы потратить немного денег.

Какой бы путь вы ни выбрали, обязательно заранее проконсультируйтесь со своей командой, если это необходимо, так как вам понадобятся их номера телефонов и другие данные, чтобы начать работу. Теперь ваша страница входа защищена и готова к использованию.

6. Аккуратно добавляйте новые плагины и темы (и часто их обновляйте)

Одним из лучших аспектов использования WordPress является доступность тем и плагинов. С помощью этих полезных инструментов вы можете настроить внешний вид своего сайта и добавить практически любую функцию или функцию, которую только можете себе представить.

Однако не все плагины и темы одинаковы.

Неосторожные разработчики или не обладающие необходимыми знаниями могут создавать ненадежные, небезопасные или просто плохие плагины. Они могут использовать некачественные методы кодирования, которые выявляют уязвимости в системе безопасности, которые могут легко использовать хакеры, или они могут непреднамеренно мешать критически важным функциям.

Все это означает, что вы должны быть крайне осторожны с темами и плагинами, которые вы устанавливаете на свой сайт. Каждый из них должен быть тщательно изучен, чтобы убедиться, что это надежная альтернатива, которая не нанесет вреда вашему сайту и не вызовет проблем. Существует множество соображений, однако следующие рекомендации могут помочь вам в выборе высококачественных инструментов:

• Посмотрите отзывы и рейтинги клиентов, чтобы узнать, есть ли у других положительный опыт работы с рассматриваемым плагином или темой.
• Проверьте, не обновлялись ли плагин или тема в последнее время. Если прошло более шести месяцев, есть большая вероятность, что это не так безопасно, как могло бы быть.
• Устанавливайте новые плагины и темы по одному, чтобы вы знали, что пошло не так, если что-то пойдет не так. Кроме того, сделайте резервную копию своего сайта, прежде чем вносить какие-либо изменения.
• Плагины и темы следует получать из авторитетных источников, таких как каталоги тем и плагинов WordPress.org, ThemeForest и CodeCanyon, а также с авторитетных веб-сайтов разработчиков.

Наконец, как только вы добавили нужные плагины и темы на свой сайт, ваша работа еще не завершена.

Вам также необходимо поддерживать их в актуальном состоянии, чтобы обеспечить их эффективную совместную работу и защиту от самых последних опасностей. К счастью, это просто: просто зайдите на панель инструментов WordPress, найдите красные уведомления, указывающие на наличие тем и/или плагинов с доступными обновлениями, и нажмите «Обновить сейчас» рядом с каждым из них.

Вы также можете обновить все свои плагины сразу, выбрав их все и нажав кнопку обновления, которую можно найти здесь или на панели WordPress. Это более быстрый вариант, но имейте в виду, что обновление всех сразу может усложнить диагностику любых проблем, возникающих в результате изменений. Это не должно быть проблемой, если вы используете только надежные плагины и темы.

Прежде чем мы пойдем дальше, важно отметить, что вы также должны поддерживать WordPress в актуальном состоянии. Небольшие исправления и обновления безопасности будут применяться автоматически, но крупные изменения, возможно, придется вносить вручную (опять же, это очень просто сделать). Это само собой разумеется, но DreamHost позаботится об этих обновлениях за вас, так что вам не придется этого делать.

Помните, что сохранение актуальности WordPress, любой из ваших тем или плагинов — это опасность, которой вам следует избегать.

7. Настройте права доступа к файлам

Набор папок и файлов содержит много информации, данных и контента на вашем сайте WordPress. Каждому из них дается уровень разрешений, и они структурированы в иерархическую структуру. Разрешения на файл или папку WordPress контролируют, кто может просматривать и изменять их, и их можно настроить так, чтобы разрешить кому угодно, только вам или почти что-то среднее между ними.

В WordPress права доступа к файлам представлены трехзначным числом, причем каждая цифра имеет свое значение. Первая цифра представляет отдельного пользователя (владельца сайта), вторая цифра представляет группу (например, участников вашего сайта), а третья цифра представляет всю планету. Само число указывает на то, что пользователь, группа или весь мир:

• 0: Нет разрешения на просмотр файла.
• 1: файл можно только запустить.
• 2: файл можно редактировать.
• 3: файл можно редактировать и выполнять.
• 4: файл можно прочитать.
• 5: файл можно прочитать и выполнить.
• 6: файл можно читать и редактировать.
• 7: файл можно читать, редактировать и запускать.

Таким образом, если файл имеет уровень разрешений 640, это означает, что основной пользователь может читать и редактировать его, группа может читать, но не изменять его, и все остальные не могут получить к нему доступ. Это может показаться слишком сложным, но очень важно гарантировать, что каждый человек имеет доступ только к тем файлам и папкам на вашем сайте, которые вы хотите, чтобы они имели.

WordPress предлагает предоставить права доступа 755 для каталогов и разрешения для файлов 644. Все будет в порядке, если вы будете придерживаться этих правил, хотя вы можете создать любую комбинацию по своему выбору. Просто имейте в виду, что никто не должен иметь больший доступ, чем им требуется, особенно к важным файлам.

Вы также должны иметь в виду, что наилучшие настройки разрешений будут различаться в зависимости от вашего хостинга, поэтому вам следует спросить своего хостинга, что они рекомендуют.

Примечание. Менять уровни разрешений следует с осторожностью; неправильные номера (такие как страшный 777) сделают ваш сайт недоступным.

8. Держите количество пользователей на вашем сайте низким

Вам не нужно беспокоиться об этом шаге, если вы управляете своим сайтом WordPress самостоятельно. Просто убедитесь, что никто другой не имеет доступа к вашему сайту, чтобы вы были единственным, кто может вносить обновления.

С другой стороны, многим людям нравится взаимодействовать с другими людьми, и в конечном итоге они добавят на свой веб-сайт более одного пользователя. Возможно, вы захотите разрешить другим авторам добавлять контент или вам может потребоваться помощь в редактировании и управлении вашим сайтом. Также возможно, что у вас будет целая команда пользователей, которые будут регулярно заходить на ваш сайт WordPress и вносить изменения самостоятельно.

Это может быть выгодно во многих отношениях, а иногда даже необходимо. Тем не менее, это возможная проблема безопасности.

Чем больше людей вы пригласите на свой сайт, тем больше вероятность того, что кто-то совершит грубую ошибку или создаст проблемы просто из-за того, что он тупица. В результате рекомендуется поддерживать как можно меньшее количество пользователей на вашем сайте, но при этом позволять ему расширяться. Старайтесь свести к минимуму количество администраторов и других ролей пользователей с высокими привилегиями.

Вот еще пара идей:

• Ограничьте разрешения каждого пользователя только теми, которые необходимы им для выполнения своей работы. Очевидно, что пользователей следует поощрять к выбору надежных паролей (помните № 3?).
• Если возможно, оставьте одного администратора и небольшое количество редакторов.
• Разрешить удаление пользователей, покинувших сайт или которым больше не требуется доступ.
• Рассмотрите возможность установки Members, плагина, который предоставляет пользовательский интерфейс для системы ролей и возможностей WordPress.

9. Отслеживайте свою активность в области администратора

Это хорошая идея, чтобы отслеживать, что ваши пользователи делают на сайте, если у вас их много. Отслеживание активности в вашей области администрирования WordPress может помочь вам определить, когда другие пользователи делают то, что им не следует, а также узнать, получили ли незаконные пользователи доступ.

Когда будет выполнено странное изменение или установлено что-то подозрительное, вы захотите выяснить, кто несет за это ответственность. Плагины позаботятся обо всем.

Вам нужно будет найти индивидуальное решение, поскольку большинство основных подключаемых модулей безопасности не включают эту функцию по умолчанию. Простая история, которая создает оптимизированный, простой для понимания журнал значительных изменений и событий на вашем сайте, если вы хотите принять подход невмешательства, оправдывает свое название, создавая оптимизированный, простой для понимания журнал существенные изменения и события на вашем сайте.

Журнал аудита безопасности WP, который отслеживает почти все, что происходит на вашем сайте, и предлагает множество удобных надстроек премиум-класса, является еще одним вариантом для более сложных функций отслеживания.

После установки соответствующего плагина рекомендуется проверить журнал на наличие чего-либо необычного. Просматривайте самые последние действия, если на вашем сайте происходит что-то неожиданное или неожиданно появляются ошибки.

10. Регулярно делайте резервные копии вашего сайта

Если бы я сказал, что существует универсальный подход для защиты вашего веб-сайта от всех угроз, я бы солгал. Даже если вы будете следовать всем рекомендациям из этого списка, все равно существует опасность того, что ваш сайт будет взломан.

Хакеры — мастера своего дела.

Все, что вам нужно сделать сейчас, это победить их в их собственной игре. Тщательный план обеспечения безопасности предполагает размышление о том, что вы будете делать, если случится самое худшее, даже если вы пытаетесь его избежать.

Самая простая и лучшая стратегия защиты вашего сайта в случае аварии — это регулярное резервное копирование. Вы можете восстановить свой сайт до состояния, в котором он был до того, как он был взломан или иным образом поврежден, если у вас есть недавняя резервная копия. Это поможет вам решить проблему и двигаться дальше как можно быстрее.

Естественно, вы должны проявлять осторожность при создании и использовании резервных копий. Следующие предложения являются отличным местом для начала:

• Держите много резервных копий под рукой. Поскольку в вашей самой последней резервной копии могут быть обнаружены ошибки, которых вы еще не видели, рекомендуется постоянно держать под рукой не менее трех последних резервных копий.
• Резервные копии следует хранить в самых разных местах, включая облачные хранилища и обычные жесткие диски.
• Создайте и соблюдайте регулярное расписание резервного копирования. Хотя есть много надежных советов, которым вы можете следовать, частота и время полностью зависят от вас.

Всегда полезно сделать дополнительную резервную копию вашего сайта, прежде чем вносить в него какие-либо изменения, в дополнение к вашему обычному плану резервного копирования. Поэтому (подтолкнуть, подтолкнуть) убедитесь, что у вас есть свежая резервная копия, прежде чем применять любой из этих подходов к повышению безопасности.

Безопасность WordPress: заключительные слова

Реальный факт: если ваш сайт взломан, вы потратите часы (если не дни!) на устранение повреждений. Вы можете безвозвратно потерять данные или скомпрометировать свою личную информацию или, что еще хуже, данные ваших клиентов.

Вот почему вы должны посвятить много времени и усилий тому, чтобы такое обстоятельство никогда не возникало. В противном случае, пытаясь возместить ущерб, вы, вероятно, потеряете значительный бизнес и деньги.

Эти десять советов по безопасности WordPress должны вам помочь. Некоторые изменения незначительны. Другие, такие как переключение на HTTPS или добавление SSL-сертификата, влияют на весь ваш сайт. Вы также должны убедиться, что ваш сайт размещен на безопасном сервере WordPress.