Как защитить свой сайт на Wordpress. Топ-10 практических шагов.

В этой статье мы раскроем некоторые из лучших методов безопасности для вашего сайта на WordPress. Они не только простые для начинающих, но и являются очень доступными и бесплатными.
К концу этой статьи у вас будет план действий по защите вашего сайта от всех видов киберугроз.
Безопасен ли ваш сайт на Wordpress?

Не смотря на то, что сегодняшний день WordPress считается самой популярной CMS, эта репутация имеет некоторые последствия. Используемый более чем 34% веб-сайтов в Интернете, WordPress превращается в уязвимую цель для кибератак. Только в 2018 году Sucuri сообщил, что около 23 000 веб-сайтов WordPress стали жертвами нарушений безопасности.
Означает ли это, что в WordPress ужасная система безопасности?
Напротив, основной причиной нарушений безопасности веб-сайта является недостаточная осведомленность пользователей о безопасности.
Являясь авторитетной CMS, WordPress вносит свой вклад, регулярно публикуя обновления безопасности и обновления самого CMS. Несмотря на это, эти обновления не будут иметь большого значения, если вы не знаете, что с ними делать.

Короче говоря, вы играете важную роль в защите вашего сайта.
Теперь, когда вы знаете свою роль и ответственность как веб-мастер, пришло время изучить, что вы можете сделать, чтобы улучшить безопасность вашего сайта. Ознакомьтесь с приведенными ниже рекомендациями по обеспечению безопасности и попробуйте применить их на своем веб-сайте.
1. Используйте надежные имена пользователей и пароли

Создание надежных учетных данных для входа в систему может быть самой простой практикой безопасности, которую может выполнить каждый. Но многие пользователи все еще не могут это сделать. По статистике, 23,2 миллиона учетных записей все еще используют «123456» в качестве пароля. Та же проблема касается имен пользователей, где многие пользователи используют стандартные имена пользователей, такие как «admin» и «administrator».
2. Скрыть вход в WordPress
Этот простой трюк может защитить ваши Wordpress сайты от злоумышленников, нацеленных на атаки методом перебора. Используйте бесплатный плагин WPS Hide Login, чтобы изменить URL-адрес входа на что-то уникальное.
3. Включить двухфакторную аутентификацию

После того, как вы защитили свои учетные данные администратора, вы можете еще больше обезопасить процесс входа, включив двухфакторную аутентификацию. Внедрив его на своем веб-сайте, только пользователи с правильными учетными данными и кодом могут войти в свою учетную запись.
WordPress предлагает множество плагинов для двухфакторной аутентификации. Некоторые из лучших: Google Authenticator, Two Factor Authentication и Two-Factor.
4. Изменить префикс базы данных WordPress
База данных сайта - самая любимая цель для атак с использованием SQL-инъекций. Эти типы кибератак заставляют базу данных выполнять вредоносный код, позволяя хакерам свободно изменять или удалять данные в ней. Поскольку атаки с использованием SQL-инъекций составляют большую часть, не стоит несерьезно воспринимать эту угрозу.
Одним из факторов, делающих вашу базу данных подверженной атакам с использованием SQL-инъекций, является использование
префикса базы данных по умолчанию. Используя предсказуемую базу данных, префикс позволяет хакерам угадывать имена таблиц и наносить ущерб вашей базе данных. Поэтому мы настоятельно рекомендуем вам изменить его при первой же возможности.wp_
Для этого вы можете использовать плагин Change Table Prefix.
5. Отключить отчеты об ошибках PHP

Функция отчетов об ошибках PHP помогает вам быстрее находить ошибки в файлах. Однако это также позволяет другим людям видеть уязвимости вашего сайта. Поэтому мы рекомендуем вам вообще отключить эту функцию.
По умолчанию WordPress отключает функцию сообщения об ошибках. Если он по какой-либо причине включен, вы должны отключить его вручную .
6. Обновляйте WordPress
Чтобы не отставать от постоянно растущих типов кибератак, WordPress периодически выпускает обновления вместе с последними обновлениями безопасности. Это улучшение касается не только ядра WordPress, но и плагинов и тем. При этом использование устаревшего программного обеспечения - путь к кибератакам.
7. Выполнение регулярных резервных копий

Создание резервных копий так же важно, как и защита сайта. В худшем случае резервные копии могут избавить вас от необходимости перестраивать сайт с нуля.
Плагин - VaultPress.
8. Удалить номер версии WordPress
Старые версии Wordpress, как правило, подвержены большему количеству уязвимостей. Поэтому сделать вашу версию WordPress общедоступной - не самая лучшая идея для вашей системы безопасности.
9. Отключить встроенный редактор файлов
Встроенный в WordPress редактор файлов позволяет намного проще изменять плагин и скрипты тем. Несмотря на это, эта функция может поставить под угрозу ваш сайт, если он попадет в чужие руки. По этой причине лучше вообще отключить редактирование файлов. Вы можете сделать это, добавив следующее в файл
. wp-config.php
define('DISALLOW_FILE_EDIT', true);
10. Используйте WAF

Один из лучших вариантов, которые вы можете сделать для защиты своего сайта, - это использование WAF (брандмауэр веб-приложений). Он помогает защитить ваш сайт от 10 основных известных и неизвестных уязвимостей, вредоносного кода, DDoS-атак и многого другого.
Плагины - Wordfence Securit, All In One WP Security & Firewall.
Заключение
Поскольку в ближайшее время не планируется устранение киберугроз по всему миру, важно обезопасить свой веб-сайт WordPress от потенциальной опасности. К счастью, существует множество простых, но эффективных методов безопасности, которые вы можете использовать для улучшения общей безопасности вашего сайта.
Эта статья доказывает, что вам не нужен большой бюджет или дополнительные технические знания для выполнения некоторых из лучших практик безопасности. Вопрос в том, готовы ли вы принять вызов?