Улучшить безопасность wordpress

Популярность WordPress — это и благословение, и проклятие. С одной стороны, его пользователи имеют доступ к гигантской библиотеке инструментов, помогающей улучшить их веб-сайты. С другой стороны, это очень привлекательная цель для злонамеренных атак. Вот почему изучение того, как улучшить безопасность WordPress, существенно. Совсем недавно мне лично пришлось с этим столкнуться, поэтому я решил сделать несколько обзоров на данную тему.

Согласитесь, весьма неприятно и болезненно столкнуться с этим. При этом полагая, что ваш ресурс не так интересен для хакеров. (К примеру личный блог). В некоторых случаях Бэкап не всегда может помочь, именно по этой причине не стоит игнорировать безопасностью сайта

Процент атак на сайты

Улучшить безопасность wordpress
Это звучит как сложный вопрос, особенно если у вас нет опыта в веб-разработке, но на самом деле это относительно просто. Несколько простых настроек здесь и там достаточно, чтобы значительно улучшить безопасность WordPress.

В этой статье мы представим четыре способа, чтобы улучшить безопасность WordPress вашего сайта, включая пошаговые инструкции и что делает каждый из них настолько важным для безопасности вашего сайта. Давайте начнем!

Почему вам необходимо улучшить защиту WordPress

Как мы уже упоминали, популярность WordPress имеет собственную защиту, когда дело касается безопасности. Это не значит, что, если вы используете его, вы будете сталкиваться с нарушениями безопасности, но это всегда возможность.

Некоторые из наиболее распространенных источников уязвимостей WordPress:

  1. Не архивирование файлов. Резервные копии имеют жизненно важное значение с точки зрения безопасности. Если вы столкнулись с серьезной проблемой безопасности, недавняя резервная копия вашего сайта может сэкономить массу головных болей.
  2. Уязвимые страницы входа. Необеспеченные страницы входа являются наиболее распространенной целью для злоумышленников WordPress. Хорошим началом здесь является поддержание высоких стандартов, когда дело доходит до сложности имени пользователя и пароля. Повторное использование паролей или установка простых — это плохая идея в целом, но вдвойне, когда дело доходит до WordPress.
  3. Использование префиксов базы данных по умолчанию. Это еще один распространенный вектор атаки для WordPress, и нет никаких оснований придерживаться префиксов базы данных по умолчанию при новых установках.
  4. Устаревшие основные файлы, темы и плагины. Это довольно просто решить. Не устанавливайте ненужные темы или плагины и отбрасывайте те, которые не обновлялись долгое время.

Как вы можете видеть, с большинством элементов в этом списке довольно просто справиться.

4 простых шага для улучшения безопасности WordPress

Мы хотим, чтобы все было просто, поэтому мы познакомим вас с несколькими инструментами, которые вы можете использовать для защиты вашего сайта от каждой уязвимости. Когда это возможно, мы также обратимся к более продвинутыми ресурсами для вашего спокойствия. Начнем!

1. Настройте резервное решение

Настройка хорошего резервного решения всегда должна быть одним из первых шагов после установки WordPress на новом сайте. В некоторых случаях ваш хостинг может предоставить вам внутреннее решение — если вы не уверены в том, что вы делаете, посмотрите на cPanel вашего сайта или обратитесь в службу поддержки.

В любом случае, мы по-прежнему рекомендуем вам создать собственное резервное решение, поскольку это обеспечит вам большую степень контроля. В прошлом мы говорили о резервных плагинах, но если вы хотите быстро найти решение, вы можете обратиться к UpdraftPlus:

Улучшить безопасность wordpress

 

После установки плагина в разделе «Настройки» на панели инструментов WordPress появится новая опция. Здесь у вас будет доступ к трем функциям, лежащим в основе UpdraftPlus —  Backup Now, Restore и Clone / Migrate:

Улучшить безопасность wordpress

 

При выборе опции «Резервное копирование» вам будет предложено указать, включать ли вашу базу данных и файлы мультимедиа:

Резервное копирование

 

После того, как вы щелкнули «Резервное копирование» и несколько минут подождали, он появится в вашем основном списке резервных копий, и при необходимости вы сможете использовать функцию «Восстановить». Легко, правда? Всего за несколько минут вы сделали первый важный шаг в обеспечении безопасности вашего сайта.

2. Защитите свои страницы входа

Прежде чем погрузиться в эту тему, мы хотим повторить, что безопасные имена пользователей и пароли являются самой основной мерой, которую вы можете предпринять для улучшения безопасности WordPress. 

Вы можете использовать определенные специализированные плагины для ограничения возможных попыток входа в систему. Есть два очень популярных решения, например, как бесплатные:

LockDown

LockDown

Предельные попытки входа в WP

Предельные попытки входа в WP

Кроме того, часто изменяя свои пароли, вы также уменьшаете шансы хакера взломать ваш сайт. Хотя, «часто» я не имею в виду каждый день … раз в 2-3 месяца было бы достаточно. Разнообразие убивает удовольствие для тех, кто пытается проникнуть.

Замечания по безопасности WordPress: LastPass — это хороший инструмент, который безопасно хранит ваши данные паролей, а также генерирует надежные пароли, поэтому вам не нужно их самостоятельно изобретать.

 

Не используйте admin как свое имя пользователя и подумайте о том, чтобы использовать диспетчер паролей, если вы не хотите запоминать сложный пароль.

Двигаясь дальше, когда речь идет о более продвинутых мерах, вы должны предпринять три шага:

  1. Ограничьте количество возможных попыток входа в систему, что усложняет для злоумышленников принудительный вход.
  2. Включите CAPTCHA для борьбы с ботами.
  3. Используйте двухфакторное решение для проверки подлинности.

Плагин безопасности Wordfence помогает с первого шага, применяя хорошие методы безопасности входа в систему:

Плагин безопасности Wordfence

Он также включает в себя ряд других функций, которые требуют дополнительного внимания. Хотя это не единственный вариант, но это один из лучших плагинов безопасности, доступных в настоящее время.

3. Измените префикс базы данных по умолчанию

При установке WordPress у вас есть возможность установить префикс пользовательской базы данных. Это надежная практика безопасности, но ее легко упустить из виду, если вы не знаете о недостатках безопасности:

префикс базы данных

Модификация префикса существующей установки немного сложнее, поскольку она включает в себя использование вашего wp-config.php файла, но это можно сделать. DigWP процесс — он длительный, но им легко следовать. Конечно, если вы последовали за первым шагом, у вас будет хорошая чистая резервная копия, если вам нужно откат.

4. Управление настройками обновления

Мы уже коснулись того, что ваши основные файлы, темы и плагины WordPress обновлены. Плагины являются самыми сложными из группы — многие сайты, как правило, работают с ними, что может сделать управление обновлениями хлопотным делом.

Вместо постоянного мониторинга ваших плагинов для доступных обновлений мы рекомендуем использовать инструмент для этого. Наш любимый менеджер Easy Updates Manager, который позволяет включать автоматические обновления для всего сайта:

Easy Updates Manager

Лучше всего, этот плагин включает опции управления микроменеджментами, позволяющие вам выбирать, какие части вашего сайта должны обновляться автоматически. Плагин предоставляет вам простой экран управления, который позволяет включать или отключать эти параметры одним щелчком мыши:

простой экран управления

Вывод

WordPress — это замечательное решение, но его популярность делает его целью для злонамеренных атак. При использовании WordPress не обязательно означает, что ваш сайт будет под огнем, но всегда хорошо следовать рекомендациям безопасности.

В этом посте мы представили четыре хитрости, которые могут помочь упрочить ваш сайт до такой степени, что безопасность (почти) уходит в прошлое. Давайте рассмотрим шаги в последний раз:

  1. Используйте резервное решение.
  2. Защитите свои страницы входа.
  3. Измените префикс базы данных по умолчанию.
  4. Управляйте настройками обновления.

У вас есть вопросы по улучшению безопасности WordPress? Безопасен ли ваш сайт? Не стесняйтесь говорить в разделе комментариев ниже!