Как защитить свой сайт на Wordpress. Топ-10 практических шагов.

В этой статье мы раскроем некоторые из лучших методов безопасности для вашего сайта на WordPress. Они не только простые для начинающих, но и являются очень доступными и бесплатными.

К концу этой статьи у вас будет план действий по защите вашего сайта от всех видов киберугроз.

Безопасен ли ваш сайт на Wordpress?

Wordpress

Не смотря на то, что сегодняшний день WordPress считается самой популярной CMS, эта репутация имеет некоторые последствия. Используемый более чем 34% веб-сайтов в Интернете, WordPress превращается в уязвимую цель для кибератак. Только в 2018 году Sucuri сообщил, что около 23 000 веб-сайтов WordPress стали жертвами нарушений безопасности.

Означает ли это, что в WordPress ужасная система безопасности?

Напротив, основной причиной нарушений безопасности веб-сайта является недостаточная осведомленность пользователей о безопасности.

Являясь авторитетной CMS, WordPress вносит свой вклад, регулярно публикуя обновления безопасности и обновления самого CMS. Несмотря на это, эти обновления не будут иметь большого значения, если вы не знаете, что с ними делать.

Wordpress

Короче говоря, вы играете важную роль в защите вашего сайта.

Теперь, когда вы знаете свою роль и ответственность как веб-мастер, пришло время изучить, что вы можете сделать, чтобы улучшить безопасность вашего сайта. Ознакомьтесь с приведенными ниже рекомендациями по обеспечению безопасности и попробуйте применить их на своем веб-сайте.

1. Используйте надежные имена пользователей и пароли

Wordpress login security

Создание надежных учетных данных для входа в систему может быть самой простой практикой безопасности, которую может выполнить каждый. Но многие пользователи все еще не могут это сделать. По статистике, 23,2 миллиона учетных записей все еще используют «123456» в качестве пароля. Та же проблема касается имен пользователей, где многие пользователи используют стандартные имена пользователей, такие как «admin» и «administrator».  

2. Скрыть вход в WordPress

Этот простой трюк может защитить ваши Wordpress сайты от злоумышленников, нацеленных на атаки методом перебора. Используйте бесплатный плагин WPS Hide Login, чтобы изменить URL-адрес входа на что-то уникальное.

3. Включить двухфакторную аутентификацию

Двухфакторная аутентификация

После того, как вы защитили свои учетные данные администратора, вы можете еще больше обезопасить процесс входа, включив двухфакторную аутентификацию. Внедрив его на своем веб-сайте, только пользователи с правильными учетными данными и кодом могут войти в свою учетную запись.

WordPress предлагает множество плагинов для двухфакторной аутентификации. Некоторые из лучших: Google AuthenticatorTwo Factor Authentication и Two-Factor.

4. Изменить префикс базы данных WordPress

База данных сайта - самая любимая цель для атак с использованием SQL-инъекций. Эти типы кибератак заставляют базу данных выполнять вредоносный код, позволяя хакерам свободно изменять или удалять данные в ней. Поскольку атаки с использованием SQL-инъекций составляют большую часть, не стоит несерьезно воспринимать эту угрозу.

Одним из факторов, делающих вашу базу данных подверженной атакам с использованием SQL-инъекций, является использование wp_ префикса базы данных по умолчанию. Используя предсказуемую базу данных, префикс позволяет хакерам угадывать имена таблиц и наносить ущерб вашей базе данных. Поэтому мы настоятельно рекомендуем вам изменить его при первой же возможности.

Для этого вы можете использовать плагин Change Table Prefix.  

5. Отключить отчеты об ошибках PHP

PHP Error

Функция отчетов об ошибках PHP помогает вам быстрее находить ошибки в файлах. Однако это также позволяет другим людям видеть уязвимости вашего сайта. Поэтому мы рекомендуем вам вообще отключить эту функцию.

По умолчанию WordPress отключает функцию сообщения об ошибках. Если он по какой-либо причине включен, вы должны отключить его вручную .

6. Обновляйте WordPress

Чтобы не отставать от постоянно растущих типов кибератак, WordPress периодически выпускает обновления вместе с последними обновлениями безопасности. Это улучшение касается не только ядра WordPress, но и плагинов и тем. При этом использование устаревшего программного обеспечения - путь к кибератакам.

7. Выполнение регулярных резервных копий

Backups

Создание резервных копий так же важно, как и защита сайта. В худшем случае резервные копии могут избавить вас от необходимости перестраивать сайт с нуля.

Плагин - VaultPress.

8. Удалить номер версии WordPress

Старые версии Wordpress, как правило, подвержены большему количеству уязвимостей. Поэтому сделать вашу версию WordPress общедоступной - не самая лучшая идея для вашей системы безопасности.

9. Отключить встроенный редактор файлов

Встроенный в WordPress редактор файлов позволяет намного проще изменять плагин и скрипты тем. Несмотря на это, эта функция может поставить под угрозу ваш сайт, если он попадет в чужие руки. По этой причине лучше вообще отключить редактирование файлов. Вы можете сделать это, добавив следующее в файл wp-config.php.  

define('DISALLOW_FILE_EDIT', true);

10. Используйте WAF

Wordpress firewall

Один из лучших вариантов, которые вы можете сделать для защиты своего сайта, - это использование WAF (брандмауэр веб-приложений). Он помогает защитить ваш сайт от 10 основных известных и неизвестных уязвимостей, вредоносного кода, DDoS-атак и многого другого.

Плагины - Wordfence SecuritAll In One WP Security & Firewall.

Заключение

Поскольку в ближайшее время не планируется устранение киберугроз по всему миру, важно обезопасить свой веб-сайт WordPress от потенциальной опасности. К счастью, существует множество простых, но эффективных методов безопасности, которые вы можете использовать для улучшения общей безопасности вашего сайта.

Эта статья доказывает, что вам не нужен большой бюджет или дополнительные технические знания для выполнения некоторых из лучших практик безопасности. Вопрос в том, готовы ли вы принять вызов?