Руководство безопасности WordPress

Заканчиваем тематику безопасность wordpress и чтобы максимально раскрыть данную тему решили написать руководство безопасности по данному вопросу.

Сайты WordPress являются одной из наиболее распространенных целей для атаки в Интернете. Они взломаны больше, чем любой другой тип сайта. Если вы, ваши друзья или кто-то, кого вы знаете, никогда не сталкивались с тем, что сайт WordPress получил статус «взломанный», вам либо очень повезло, либо вы заранее позаботились о мерах безопасности своего сайта.

WordPress обеспечивает около 27% интернета. Это здорово, но это также означает, что, если кто-то найдет фундаментальный недостаток безопасности, который распространен на всех сайтах WordPress или даже большой процент, они могут легко собрать тысячи серверов в течение нескольких часов. Вот почему мы должны серьезно относиться к безопасности WordPress. Это важный материал.

О руководстве

Если буквально это не полное руководство по безопасности WordPress, поскольку безопасность — это постоянно развивающаяся практика, а не определенный и узкий набор правил. Это просто не тот случай, когда вы можете устанавливать один плагин, следовать трем простым правилам или делать что-либо еще, что сильно ограничено во времени, и знать, что что-то есть в Интернете (например, на вашем сайте WordPress), полностью безопасно.

Вещи в коробках 100 метров под землей посреди пустыни, где никто о них не знает — они безопасны. Но они также очень бесполезны. Вещи в Интернете, такие как сайты WordPress, имеют сложную и постоянно меняющуюся среду риска, от которой они должны быть защищены. 

«Я слышал, что это небезопасно …» Защищен ли WordPress?

Одна из самых распространенных причин, по которым люди начинают изучать безопасность WordPress и лучшие практики безопасности WordPress, заключается в том, что они либо сомневаются, что WordPress безопасен, либо столкнусь с этим на своем ресурсе и в панике начинают искать решение, чтобы подобного не повторилось. 

Руководство безопасности WordPress

Основа ответа на этот вопрос сводится к определению ваших условий. WordPress — обширная экосистема с огромным разнообразием привычек практики и различной конфигурации. Сегодня есть абсолютно те сайты WordPress, которые небезопасны и которые могут быть взломаны в течение следующих 24 или 48 часов.

Но если мы подразумеваем «WordPress» в качестве основного программного обеспечения, содержащегося в zip-файле, который вы загрузили с WordPress.org, я думаю, что он довольно полностью безопасен.

Теперь WordPress поставляется со встроенным автоматическим обновлением, и большинство хостов имеют возможность убедиться, что ваш сайт заражен. Это важно, потому что WordPress 4.9.1, имел проблему безопасности, но WordPress реагирует на этих недавно обнаруженных проблемах и выпускает следующие поправки в 4.9.2 которые решают эти проблемы.

Настоящая угроза WordPress: Ботнеты!

Руководство безопасности WordPressСайты WordPress, как правило, не подвержены риску, из человеческого фактора. То есть не сидит где-то злобный дядька и ищет как бы взломать ваш сайт. Разве что вы обозлили какого-нибудь гения программирования, и он решил вам отмстить.

Реальная вещь, которая регулярно угрожает и вредит сайтам WordPress, — это автоматические атаки людей, пытающихся завладеть вашим сайтом. Люди контролируют эти атаки, но они комплектуются компьютерами. Никто не пытается самостоятельно войти на ваш сайт с различными именами пользователей и паролями.

Вместо этого они пишут программы для сканирования Интернета на сайтах WordPress и пытаются войти во все найденные. Или пытаются использовать известные уязвимости плагина для всех из них. Как вы понимаете, что модель угроз в основном состоит из автоматических атак на сайты.

Почему сайты WordPress взламывают

Поэтому нам в основном нужно беспокоиться о ботнетах, а не о одиноких людях. Почему ботнеты пытаются захватить ваш маленький сайт WordPress. В конце концов, это просто ваш сайт …

  • делиться фотографиями с друзьями
  • продаете свои курсы онлайн
  • пишите для удовольствия
  • и т.д.

Ботнеты на самом деле не волнует, что ваш сайт для…. Если у вас есть небезопасный сайт WordPress, они возьмут его. И их мотив отличается. Из наиболее часто встречающиеся причины, по которым на сайте WordPress применяются такие вещи, как:

  • Перенаправление трафика на свои собственные сайты
  • Принимая ваши рейтинги SEO, чтобы проанализировать и отправить на свои страницы
  • Drive-by-downloads — создание посетителей на вашем сайте для загрузки вредоносных программ и т.д.
  • Чтобы вернуться к вашему сайту для последующего использования
  • Чтобы получить доступ к данным вашего сайта — спискам пользователей, истории покупок и т.д.
  • Отправка спама — если ваш сайт WordPress может отправлять электронную почту, они могут использовать эту отправку для своих писем тоже
  • Чтобы использовать ресурсы вашего сервера (главным образом, процессор), чтобы делать полезные вычисления, скорее всего, такие криптовалюты, как биткоин.

Это те, которые я вспомнил на вскидку. Вполне возможно, что у умного хакера причин гораздо больше, что они добавили бы в список.

Я надеюсь, что в этом списке ясно, что относительная частность вашего сайта не является защитой. Конечно, у вас может не быть интересного списка пользователей, но у вас есть сервер, который можно использовать для создания Dogecoins или для отправки спама. Потому что каждый сервер имеет центральный процессор, и подавляющее большинство из них могут отправлять электронную почту.

Безопасность WordPress зависит от целого ряда причин, а не от одной вещи

Еще одна важная вещь для понимания сайтов WordPress заключается в том, что WordPress действительно сидит на множестве технологий, а другие части файлов также могут иметь уязвимости. Например, WordPress работает поверх PHP. Как и в WordPress, иногда версии PHP содержат уязвимости безопасности. Если вы регулярно обновляетесь, они не имеют большого значения. Если вы этого не сделаете, эти проблемы с PHP могут скомпрометировать ваш сайт WordPress.

Не важные(общие) методы

Руководство безопасности WordPress

Скройте версию wordpress

Мы начинаем с самой бесполезной общей рекомендации по безопасности — вам следует скрыть номер версии WordPress или использовать WordPress. Второе очень трудно сделать серьезным образом, и первое в принципе бесполезно.

Скрытие того, что вы используете WordPress, сложно, и большинство людей пытается это сделать, просто изменив или уничтожив <meta> тег на своем сайте. Ни один разумный интеллектуальный ботнет-строитель не будет полагаться на это, и многие веб-мастера сайтов, не принадлежащих к WordPress, сообщают, что они видят людей, исследующих их сайт, как будто они были пользователи Вордпресс.

Скрытие вашей версии менее чувствительно. Идея также заключается в том, что ботнет проверяет, находится ли ваш сайт на известной уязвимой версии WordPress и не нападает на вас, если номер версии не указан в списке. 

Отключить api xml-rpc и api-интерфейс json rest

Для людей, которые используют только сайт WordPress как веб-интерфейс и хотят только этого, нет никакого реального вреда при отключении API-интерфейса XML-RPC от WordPress. XML-RPC используется такими вещами, как MarsEdit, мобильное приложение WordPress и другие подобные инструменты для подключения к вашему сайту WordPress. 

API JSON REST является новым дополнением к WordPress, но может служить очень похожим образом. Кроме того, WordPress внутренне работает над тем, чтобы лучше использовать API JSON REST для функций, которые обеспечивают более богатую интерактивность.

Оба этих API — это способы, которыми злоумышленник может использовать ресурсы вашего сайта. Причина, по которой я включаю их в список, которые не важные, заключается в том, что оба типа атак не слишком распространены. И оба API также очень полезны, и вы, вероятно, обнаружите, что что-то ломается, потому что вы полностью заблокировали эти API.

Лучшее решение — получить веб-брандмауэр. В идеале ваш хост WordPress уже включает в себя один для вас. Если этого недостаточно, вы можете купить их у сервисов, таких как Sucuri или CloudFlare. Они должны прекратить возможность плохого трафика для конечных точек API. Это не гарантируется, но, как правило, это лучшее решение, чем просто отключить его.

Переименуйте свой url-адрес для входа в wordpress

Последний совет, который, на мой взгляд, не стоит делать, — это переместить URL-адрес вашего входа example.com/wp-login.php в нечто подобное example.com/my-secret-url-for-puppy-login. Это облегчается некоторыми плагинами безопасности, и это не совсем бесполезно. Я не могу не согласиться с тем, что, если злоумышленник не может найти вашу страницу входа в систему, они даже не могут попытаться совершить грубую атаку на ваши пароли. (Об этом позже).

Проблема с этим советом заключается в том, что, если злоумышленнику сложно найти страницу входа для вашего сайта, вы (или коллега и т.д.) тоже можете забыть. Если у вас есть безопасный и надежный способ закладки страниц, которые вам удобны в использовании, обязательно сделайте это. У этого способа есть некоторое скромное преимущество безопасности.

Но опять же, преимущество не настолько велико, если вы не делаете несколько других пунктов. Если у вас есть хорошие пароли, очень маловероятно, что атака с угадыванием пароля будет успешной. Более того, если у вас есть способ ограничить количество попыток входа в систему, которые могут быть сделаны в течение небольшого периода времени, вы также уменьшаете вероятность успешной попытки входа в систему. И эти два факта вместе — хорошие пароли и ограничения на неудачные логины — гораздо более ценны, чем неясный URL-адрес для входа на ваш сайт без этих защит.

Общие рекомендации по безопасности WordPress

Руководство безопасности WordPress

Есть несколько общих вещей, которые вы должны сделать, если хотите, чтобы WordPress был безопасным. Поскольку я думаю об этом, есть ряд возможностей, но это то, что вы всегда должны делать. 

Я также добавлю, что, если вы просто сделаете первые несколько из них, вы опередите 50% веб-сайтов WordPress онлайн. Если вы сделаете первые пять, вряд ли у вас когда-нибудь будет проблема безопасности на сайте.

Иметь хорошие пароли для wordpress

Основной способ, с помощью которого можно атаковать каждый сайт WordPress в Интернете, довольно просто: боты угадывают пароли учетных записей регулярно, почти на каждом сайте WordPress онлайн. У вас плохой пароль, скорее всего, вы потеряете свою учетную запись и, следовательно, ваш сайт. Некоторые явно плохие пароли:

  • пароль
  • p455w0Rd
  • [Название сайта]
  • charlieiscute

Все это плохо, потому что для уловщика паролей довольно легко взломать их. «Пароль», и это варианты — даже те классные, умные, замены символов — всегда высоки в списке сценариев угадывания пароля, чтобы попробовать. Имена сайтов также замечательны. И «[sitename]», я имею в виду что-то вроде «НаЗВанИе» или «названиеЕ» как пароль Fred.

«Charlieiscute» имеет некоторые большие преимущества перед другими. Это не словарное слово. Это еще больше. И в конце концов, большинство людей думает, что длинная фраза обезопасит. Но это не очень сложно. Это чисто строчные буквы. Нет прописных букв, цифр, специальных символов.

Шаги для повышения уровня безопасности WordPress

 

Есть несколько вещей, чтобы улучшить безопасность паролей в WordPress. Но вот большая тройка:

  • У вас есть труднодоступный пароль. Хорошие пароли выглядят трудно читаемыми и сложными. Что-то вроде «RP @ yu3ohd & LtpwzM» rWhgp6 # AtY6HAzjvxKnz9zh». Этот пароль длинный, случайный и уникальный. Вероятность того, что любой скрипт атаки может угадать, низка. 
  • Замедляйте атаки, угадывающие пароль. По умолчанию бот может угадывать 1000 паролей в минуту (примерно). Это много. Если вы заблокируете людей от продолжения попыток входа в систему после определенного количества неудачных попыток — 3, 5, 10.
  • Используйте диспетчер паролей. Если вы сделали первое, что выше, вы скоро устанете вводить этот пароль, или вы забудете его. Здесь на помощь приходит менеджер паролей. Слишком много типов менеджеров паролей, чтобы рассказать вам, что использовать и почему. Я лично использую LastPass.

Обновлять wordpress, плагины и темы

Другой способ, на который каждый сайт WordPress почти гарантированно подвергается атаке со стороны бот-сетей, — это атаки из-за известных ошибок в программном обеспечении, которое он может запускать. 

Вот почему вы должны постоянно обновлять WordPress. И не только основной WordPress, но и все плагины и темы, которые вы используете. Чаще всего для плагинов сегодня есть уязвимости безопасности, чем ядро ​​или темы WordPress. И когда сторонний разработчик понимает, что в каком-то коде есть проблема с безопасностью, их действия заключается в создании новой версии, которая не обладает этой уязвимостью.

Вот почему вы должны сделать это важной частью. Когда они предлагают обновления с исправлениями или исправлениями безопасности, вы должны установить их своевременно. Вы можете установить и использовать удаленный плагин управления WordPress, например, ManageWP. «Управляемые» хосты WordPress позаботятся о таких вещах для вас.

Убедитесь, что вы создаете регулярные автоматические резервные копии wordpress.

Одна из лучших вещей, которые вы можете сделать, чтобы защитить свой сайт, — это убедиться, что у вас есть безопасность данных, когда происходит что-то плохое. Это означает, что у вас должна быть хотя бы одна недавняя резервная копия вашего сайта, которую вы можете использовать для восстановления, если пойдет что-то не так.

Единственный способ, я полагаю, это сделать это автоматически. Поскольку мы являемся людьми и, следовательно, ошибочны, весьма вероятно, что, если вам нужно, чтобы вы набрали 1-10 кликов на своем сайте, чтобы иметь последнюю резервную копию, вы иногда можете забыть это сделать.

Именно по этой причине вам следует попытаться использовать резервный плагин. В идеале это также идеально подходит для резервного копирования обоих файлов (фотографий, PDF-файлов и т.д.) И базы данных. 

Регулярно проверяйте свой сайт

Фактически, причина, по которой важно оставаться в курсе состояния вашего сайта, заключается, в основном, в том, чтобы остановить некоторые неприятные события. Когда вы видите странные вещи, происходящие на вашем сайте, их легче исправить. 

Если вы не регулярно находитесь на своих сайтах для их обновления, вы должны хотя бы убеждаться, что их публичная сторона выглядит неплохо на регулярной основе. И если вы не можете этого сделать, вы должны, по крайней мере, убедиться с помощью внешних служб (например, Pingdom).

Дальнейшее повышение безопасности входа в wordpress (https, 2fa)

Одним из наиболее распространенных советов по безопасности WordPress является получение SSL-сертификата. И это определенно хороший шаг. Но важно, что слишком мало людей понимают, что HTTPS / SSL действительно не защищает ваш сайт WordPress, а скорее связь между вашим сайтом и вами и другими пользователями.Так что это очень ценно, но не все.

На самом деле HTTPS следует рассматривать как безопасный туннель между вашим сайтом и любым его просмотром в веб-браузере. HTTP-соединения можно отслеживать любым из различных устройств, находящихся между посетителем и сервером. С HTTPS это (почти) невозможно.

Таким образом, самое непосредственное преимущество HTTPS заключается в том, что ваши учетные данные входа (или учетные данные кредитной карты и т.д.) Являются более безопасными. Менее вероятно, что кто-то, например, заглянет в кафе Wi-Fi, увидит ваш пароль. Поэтому вы должны обязательно получить сертификат HTTPS. Но не думайте, что это защищает вашу настоящую установку WordPress на сервере, так как это не так.

Другим шагом, который является хорошим, но немного неудобным, является использование двухфакторной аутентификации на вашем сайте. Когда вы это сделаете, вам нужно три входа в систему, а не два. Обычно мы заходим на сайт с именем пользователя (или адресом электронной почты) и паролем. С 2FA вам также нужно код, который может быть отправлен текстовыми сообщениями или генерировать код временного входа. В обоих случаях вы наиболее безопасны, потому что компрометация вашего пароля недостаточна для захвата вашей учетной записи; им также понадобится этот 4 или 6-значный код. Постоянно меняются наборы плагинов, которые предоставляют эту функцию в WordPress. В настоящее время Jetpack предлагает это или вы можете использовать автономный плагин. Но данный способ подойдет как правило не для всех проектов.

Роли и права, которые вы предоставляете на свой сайт.

Еще одна действительно полезная практика безопасности — просто подумайте о том, когда вы предоставляете доступ к вашему сайту. Это скорее комбинация разных шагов, чем одна. Но вещи, которые, как мне кажется, подходят под этим названием, такие вещи, как:

  • Предоставьте каждому пользователю индивидуальные учетные записи. Не следует, чтобы Иван и Наталия заходили на ваш сайт с учетной записью с именем пользователя, например, admin или редактор. Используя роли и возможности пользователя WordPress, дайте Ивану писателю учетную запись «Редактор», но Наталии — вашему разработчику полный доступ «Администратор». Это основано на том, что называется принципом наименьшего доступа.
  • Не позволяйте людям иметь слабые пароли. Если вы будете следовать приведенному выше совету, вы также захотите убедиться, что участники не используют пароли, о которым мы писали выше.
  • Не предоставляйте слишком большой доступ. Если вы разработчик, установите некоторые константы WordPress. Такие вещи, как запрет на редактирование файлов в области администрирования WordPress и обеспечение того, чтобы вы не предоставляли пользователям веб-хостинг или доступ к FTP, кому он не нужен.

Установить плагин безопасности wordpress

Существует ряд хороших плагинов WordPress. Но хороший плагин безопасности, вероятно, поможет вам с рядом общих требований безопасности, которые мы перечислили выше.

Имена, которые сразу приходят на ум, SucuriWordfenceJetpack Protect и iThemes Security. Плагины многое сделают за вас. Они сделают для вас журналы доступа, заблокируют известных плохих входов, могут ограничить попытки входа в систему и могут помочь вам исправить более эзотерические вещи, такие как проблемы с правами доступа к файлам на вашем сайте. Wordfence и Sucuri (по-разному) также обеспечивают полезный механизм блокировки трафика для избавления от бот-сетей, называемых «брандмауэром веб-приложений».

Выводы

Надеюсь, вы примете наш хороший совет. Безопасность WordPress начинается с обновления и использования надежных паролей. Оттуда большинство остальных полезно, но не обязательно, потому что сам WordPress довольно безопасен. Но резервные копии требуются для реальной уверенности.

Сделать ваш сайт WordPress полностью и навсегда безопасным невозможно с помощью одного процесса. Это постоянно меняющаяся и изменяющаяся задача. Следите за новостями в WordPress и думайте о том, что это означает для безопасности вашего сайта, и вы узнаете гораздо больше об этом.

 

Оставить комментарий

error: Содержимое защищено !!