Руководство по безопасности последней версии WordPress 5.9x 2022 года

Если вы серьезно относитесь к своему сайту, то вам следует обратить внимание на Безопасность WordPressРекомендации. Мы предлагаем множество действенных мер по защите вашего сайта от уязвимостей. Ниже мы расскажем обо всех важных советах по безопасности WordPress, которые помогут вам защитить свой сайт от хакеров и вредоносных программ.

Мы считаем, что безопасность — это не только устранение рисков. Она также и их снижение. Как владелец сайта, вы можете многое сделать для повышения безопасности своего WordPress.

Хотя базовое программное обеспечение WordPress очень безопасно и регулярно проверяется сотнями разработчиков, предстоит еще много работы, чтобы обеспечить безопасность вашего сайта.

Для вашего удобства мы создали оглавление, которое поможет вам легко ориентироваться в нашем подробном руководстве по безопасности WordPress.

Руководство по безопасности WordPress

Почему безопасность веб-сайта важна?

Взлом сайта WordPress может нанести серьёзный ущерб доходам и репутации вашего бизнеса. Хакеры могут украсть данные и пароли пользователей, установить вредоносное ПО и даже распространить его среди ваших пользователей.

Хуже всего то, что вам придется платить хакерам-вымогателям только для того, чтобы восстановить доступ к своему веб-сайту.

В марте 2016 года Google сообщила, что более 50 миллионов пользователей веб-сайтов были предупреждены о том, что посещаемые ими сайты могут содержать вредоносное ПО или воровать информацию.

Кроме того, каждую неделю Google заносит в черный список около 20 000 вредоносных сайтов и около 50 000 фишинговых сайтов.

Если ваш сайт представляет собой коммерческую организацию, вам следует уделить особое внимание безопасности WordPress.

Подобно тому, как владельцы бизнеса обязаны защищать свое физическое здание, вы, как владелец интернет-бизнеса, обязаны защищать свой веб-сайт.

Обновляйте WordPress

WordPress — это программное обеспечение с открытым исходным кодом, которое регулярно поддерживается и обновляется. По умолчанию WordPress автоматически устанавливает минорные обновления. Для крупных релизов обновление необходимо инициировать вручную.

WordPress также предлагает тысячи плагинов и тем, которые вы можете установить на свой сайт. Эти плагины и темы поддерживаются сторонними разработчиками, которые регулярно выпускают обновления.

Эти обновления WordPress критически важны для безопасности и стабильности вашего сайта. Убедитесь, что ядро WordPress, плагины и темы обновлены до последних версий.

Надежные пароли и разрешения пользователей

Самая распространённая попытка взлома WordPress — использование украденных паролей. Вы можете обойти эту проблему, используя более надёжный пароль, уникальный для вашего сайта. Это относится не только к панели администратора WordPress, но и к FTP-аккаунтам, базам данных и т.д.WordPress Хостингучетные записи и использование домена вашего веб-сайтаПользовательский адрес электронной почты.

Многие новички не любят использовать надёжные пароли, потому что их трудно запомнить. Преимущество в том, что вам больше не нужно запоминать пароли. Вы можете использовать менеджер паролей. См. нашу статью оКак управлять паролями WordPressГид.

Другой способ снизить риск — не позволять никому получать доступ к вашей учетной записи администратора WordPress, если вы неОбязательно надо это сделатьЕсли у вас большая команда или приглашенные авторы, убедитесь, что вы понимаетеРоли и возможности пользователей, а затем добавьте новые учетные записи пользователей и авторов на свой сайт WordPress.

Роль хостинга WordPress

ТвойWordPress ХостингЭтот сервис играет важнейшую роль в обеспечении безопасности вашего сайта на WordPress. Хороший сервис, например, Bluehost или Siteground.Общий хостингПоставщики услуг принимают дополнительные меры для защиты своих серверов от распространенных угроз.

Вот как хорошая компания веб-хостинга работает за кулисами, чтобы защитить ваш сайт и данные.

• Они постоянно отслеживают свои сети на предмет подозрительной активности.
• У всех хороших хостинговых компаний есть инструменты для предотвращения масштабных DDOS-атак.
• Они поддерживают серверное программное обеспечение, версии PHP и аппаратное обеспечение в актуальном состоянии, чтобы не дать хакерам возможности воспользоваться известными уязвимостями безопасности в старых версиях.
• Они готовы развернуть планы аварийного восстановления и реагирования на инциденты, чтобы защитить ваши данные в случае серьезного инцидента.

На тарифном плане общего хостинга вы делите ресурсы сервера со многими другими клиентами. Это создаёт риск межсайтового заражения, когда хакеры могут использовать соседние сайты для атаки на ваш сайт.

использоватьУправляемый WordPress ХостингУслуги могут обеспечить более безопасную платформу для вашего сайта. Компании, предоставляющие услуги управляемого хостинга WordPress, предлагают автоматическое резервное копирование, автоматическое обновление WordPress и расширенные настройки безопасности для защиты вашего сайта.

Мы рекомендуемWPEngineЯвляясь нашим лучшим выбором для управляемого хостинга WordPress, они также являются одними из самых популярных в отрасли.

Безопасность WordPress за простые шаги (без кодирования)

Мы знаем, что для новичков мысль об улучшении безопасности WordPress может быть пугающей. Особенно если вы не разбираетесь в технике. Но знаете что? Вы не одиноки.

Мы помогли тысячам пользователей WordPress укрепить безопасность своего WordPress.

Мы покажем вам, как улучшить безопасность вашего WordPress всего за несколько кликов (кодирование не требуется).

Если вы можете нажать, вы можете это сделать!

Установка решения для резервного копирования WordPress

Резервные копии — ваша первая линия защиты от любой атаки на WordPress. Помните, ничто не защищено абсолютно точно. Если правительственный сайт можно взломать, то и ваш тоже.

Резервные копии позволяют быстро восстановить ваш сайт WordPress в случае возникновения неполадок.

Вы можете использовать множество бесплатных и платныхПлагин резервного копирования WordPressСамое важное, что вам нужно знать о резервном копировании, — это то, что вы должны регулярно сохранять полные резервные копии сайта в удаленном месте (не в вашем аккаунте хостинга).

Мы рекомендуем хранить его в облачном сервисе, таком как Amazon, Dropbox, или в частном облаке, таком как Stash.

В зависимости от того, как часто вы обновляете свой сайт, идеальной настройкой может быть ежедневное или резервное копирование в режиме реального времени.

К счастью, этого можно достичь с помощьюUpdraftPlusилиBlogVaultОни надежны и, что самое главное, просты в использовании (не требуют кодирования).

Лучшие плагины безопасности WordPress

После создания резервной копии нам необходимо настроить систему аудита и мониторинга, чтобы отслеживать все, что происходит на вашем сайте.

Сюда входит мониторинг целостности файлов, неудачные попытки входа в систему, сканирование на вредоносные программы и многое другое.

К счастью, все это возможно с лучшими бесплатными Плагины безопасности WordPressSucuri Scanner решает эту проблему.

Вам необходимо установить и активироватьБесплатный плагин Sucuri Security.

После активации вам необходимо перейти в меню Sucuri в панели администратора WordPress. Первым делом вам будет предложено сгенерировать бесплатный ключ API. Это позволит вести журнал аудита, проверять целостность, получать оповещения по электронной почте и выполнять другие важные функции.

Далее вам нужно открыть вкладку «Усиление» в меню настроек. Просмотрите все параметры и нажмите кнопку «Применить усиление».

Эти опции помогут вам атаковать ключевые области, которые хакеры часто используют для своих атак. Единственное платное обновление для усиления защиты — это брандмауэр веб-приложений, о котором мы расскажем в следующем шаге, поэтому пока пропустите его.

Далее в статье мы также рассмотрим многие из этих вариантов «укрепления» безопасности для тех, кто хочет сделать это без использования плагинов или дополнительных шагов (таких как «изменение префикса базы данных» или «изменение имен администраторов»).

После этапа усиления защиты настройки плагина по умолчанию подойдут большинству сайтов и не требуют никаких изменений. Единственное, что мы рекомендуем настроить, — это «Уведомления по электронной почте».

Настройки оповещений по умолчанию могут привести к переполнению вашего почтового ящика письмами. Мы рекомендуем получать оповещения о важных событиях, таких как изменение плагинов, регистрация новых пользователей и т. д. Настроить оповещения можно в разделе «Настройки Sucuri» » «Оповещения».

Этот плагин безопасности WordPress довольно мощный, поэтому изучите все вкладки и настройки, чтобы увидеть все, что он делает, например, сканирование на вредоносные программы, журналы аудита, отслеживание неудачных попыток входа в систему и многое другое.

Включить брандмауэр веб-приложений (WAF)

Самый простой способ защитить свой сайт и быть уверенным в безопасности WordPress — использовать брандмауэр веб-приложений (WAF).

Брандмауэр веб-сайта блокирует весь вредоносный трафик до того, как он попадет на ваш сайт.

Веб-браузер уровня DNS– Эти брандмауэры направляют трафик вашего сайта через свои облачные прокси-серверы. Это позволяет им отправлять на ваш веб-сервер только подлинный трафик.

Межсетевой экран уровня приложенийЭти плагины брандмауэра проверяют трафик после того, как он попадает на ваш сервер, но до загрузки большинства скриптов WordPress. Этот подход не так эффективен для снижения нагрузки на сервер, как брандмауэр на уровне DNS.

Чтобы узнать больше, посетите нашоптимальный Плагин брандмауэра WordPressСписок.

насИспользовать и рекомендовать СукуриЛучший брандмауэр для веб-приложений WordPress.

Самое приятное в Sucuri Firewall — это гарантия очистки от вредоносных программ и удаления из чёрного списка. По сути, если ваш сайт взломают, пока он находится под их надзором, они гарантируют его исправление (независимо от количества страниц).

Это очень надёжная гарантия, поскольку восстановление взломанного сайта стоит дорого. Эксперты по безопасности обычно берут 250 долларов в час. Вы можете получить полный пакет услуг безопасности Sucuri всего за 199 долларов в год.

Улучшите безопасность вашего WordPress с помощью брандмауэра Sucuri »

Sucuri — не единственный поставщик брандмауэров на уровне DNS. Другой популярный конкурент — Cloudflare.

Перенос вашего сайта WordPress на SSL/HTTPS

SSL (Secure Sockets Layer) — это протокол, шифрующий данные, передаваемые между вашим сайтом и браузером пользователя. Это шифрование затрудняет перехват и кражу информации.

После включения SSL ваш сайт будет использовать HTTPS вместо HTTP, а рядом с адресом сайта в браузере вы увидите символ замка.

SSL-сертификаты обычно выдаются удостоверяющим центром и могут стоить от 80 до нескольких сотен долларов в год. Из-за возросших расходов большинство владельцев веб-сайтов предпочитают продолжать использовать небезопасный протокол.

Чтобы решить эту проблему, некоммерческая организация Let's Encrypt решила предоставить владельцам веб-сайтовБесплатный SSL-сертификатИх проекты поддерживаются Google Chrome, Facebook, Mozilla и другими.

Теперь использовать SSL для всех ваших сайтов WordPress стало проще, чем когда-либо. Многие хостинг-компании теперь...Для вашего сайта WordPressБесплатный SSL-сертификат.

Если ваша хостинговая компания не предлагает этого, то вы можете получитьДомен .comКупите его. У них лучшее и самое надёжное предложение SSL на рынке. Сертификат поставляется с гарантией безопасности 10 000 долларов и печатью безопасности TrustLogo.

Безопасность WordPress для пользователей-самоучек

Если вы выполнили все, о чем мы говорили, вы в отличной форме.

Но, как всегда, вы можете сделать еще кое-что для укрепления безопасности своего WordPress.

Некоторые из этих шагов могут потребовать знаний в области кодирования.

Изменить имя пользователя «admin» по умолчанию

Раньше имя пользователя администратора WordPress по умолчанию было «admin». Поскольку имя пользователя составляло половину учётных данных, хакерам было проще проводить атаки методом подбора паролей.

К счастью, WordPress изменил это и теперь требует от васУстановить WordPressВыберите имя пользователя.

Однако некоторые установщики WordPress в один клик всё ещё устанавливают имя пользователя администратора по умолчанию — «admin». Если вы заметили это, то…Смените своего веб-хостингаЭто может быть хорошей идеей.

Поскольку WordPress по умолчанию не позволяет вам менять имя пользователя, есть три способа изменить свое имя пользователя.

1. Создайте новое имя пользователя-администратора и удалите старое.
2. Использование плагина Username Changer
3. Обновить имя пользователя из phpMyAdmin

Мы находимся вКак правильно изменить имя пользователя WordPress (пошаговое руководство)Все три аспекта рассматриваются в подробном руководстве.

Уведомление:Мы говорим о имени пользователя «admin», а не о роли администратора.

Отключить редактирование файлов

WordPress имеет встроенный редактор кода, позволяющий редактировать файлы темы и плагинов прямо из панели администратора. В ненадлежащих руках эта функция может представлять угрозу безопасности, поэтому мы рекомендуем её отключить.

Вы можете сделать это,wp-config.phpВы можете легко это сделать, добавив следующий код в свой файл.

Отключить выполнение PHP-файлов в определенных каталогах WordPress

Еще один способ усилить безопасность WordPress — отключить выполнение PHP-файлов в ненужных каталогах, таких как /wp-content/uploads/.

Это можно сделать, открыв текстовый редактор, например «Блокнот», и вставив следующий код:

Далее вам необходимо сохранить этот файл как.htaccess и использованиеFTP-клиентЗагрузите его в папку /wp-content/uploads/ на вашем сайте.

Более подробные инструкции смотрите в нашем руководстве.Узнайте, как отключить выполнение PHP в определенных каталогах WordPress.

В качестве альтернативы вы можете использовать бесплатный Sucuri, о котором мы упоминали выше.Расширенный функционал плагина позволяет сделать это в один клик.

Ограничить попытки входа

По умолчанию WordPress позволяет пользователям входить в систему несколько раз. Это делает ваш сайт WordPress уязвимым для атак методом подбора пароля. Хакеры пытаются взломать ваш пароль, перебирая различные комбинации попыток входа.

Эту проблему можно легко решить, ограничив количество неудачных попыток входа. Если вы используете брандмауэр веб-приложений, как упоминалось ранее, это будет автоматически устранено.

Однако если у вас не настроен брандмауэр, выполните следующие шаги.

Сначала вам нужно установить и активироватьБлокировка входаплагин.

После активации посетитеНастройки » Блокировка входастраница для настройки плагина.

Добавить двухэтапную аутентификацию

Технология двухфакторной аутентификации требует от пользователей использованияДвухэтапная аутентификацияСпособы входа в систему. Первый — имя пользователя и пароль, а второй шаг требует аутентификации с использованием отдельного устройства или приложения.

Большинство ведущих онлайн-платформ, таких как Google, Facebook и Twitter, позволяют включить эту функцию в своей учётной записи. Вы также можете добавить эту функцию на свой сайт WordPress.

Сначала вам нужно установить и активироватьДвухэтапная аутентификацияПлагин. После активации вам необходимо нажать на ссылку «Двухфакторная аутентификация» в боковой панели администратора WordPress.

Далее вам нужно установить и открыть приложение-аутентификатор на телефоне. Доступно несколько приложений, например, Google Authenticator, Authy и LastPass Authenticator.

Мы рекомендуем использоватьАутентификатор LastPassилиАутиПотому что оба приложения позволяют создавать резервные копии ваших учётных записей в облаке. Это очень полезно, если вы потеряете телефон, сбросите его настройки или купите новый. Все ваши логины и пароли будут легко восстановлены.

В этом руководстве мы будем использовать LastPass Authenticator. Однако инструкции для всех приложений аутентификации одинаковы. Откройте приложение аутентификации и нажмите кнопку «Добавить».

Вам будет предложено отсканировать сайт вручную или штрихкод. Выберите «Сканировать штрихкод» и наведите камеру телефона на QR-код, отображаемый на странице настроек плагина.

Всё, ваше приложение аутентификации теперь сохранит его. При следующем входе на сайт после ввода пароля вам будет предложено ввести код двухэтапной аутентификации.

Просто откройте приложение-аутентификатор на своем телефоне и введите код, который вы видите.

Изменение префикса базы данных WordPress

По умолчанию WordPress использует wp_ какБаза данных WordPressПрефикс для всех таблиц на вашем сайте WordPress. Если на вашем сайте WordPress используется префикс базы данных по умолчанию, хакерам будет легче угадать названия ваших таблиц. Поэтому мы рекомендуем изменить его.

Уведомление:Если сделать это неправильно, ваш сайт может выйти из строя. Продолжайте работу только в том случае, если вы уверенно владеете навыками программирования.

Защитите паролем страницы администрирования и входа в WordPress

Как правило, хакеры могут получить доступ к вашей папке wp-admin и странице входа без каких-либо ограничений. Это позволяет им отточить свои хакерские навыки или проводить DDoS-атаки.

Вы можете добавить дополнительную защиту паролем на уровне сервера, которая будет эффективно блокировать эти запросы.

Отключить индексацию и просмотр каталогов

Хакеры могут использовать просмотр каталогов, чтобы выяснить, есть ли у вас файлы с известными уязвимостями, чтобы воспользоваться ими и получить доступ.

Другие пользователи также могут использовать просмотр каталогов для просмотра ваших файлов, копирования изображений, поиска структуры каталогов и другой информации. Поэтому настоятельно рекомендуется отключить индексацию и просмотр каталогов.

Подключитесь к своему сайту по FTP или через файловый менеджер cPanel. Затем найдите файл .htaccess в корневом каталоге сайта.

После этого вам необходимо добавить следующую строку в конец вашего файла .htaccess:

Параметры - Индексы

Не забудьте сохранить и загрузить файл .htaccess обратно на свой сайт.

Отключение XML-RPC в WordPress

XML-RPC включен по умолчанию в WordPress 3.5, поскольку он помогает соединить ваш сайт WordPress с веб- и мобильными приложениями.

Благодаря своей мощной природе XML-RPC может значительно усилить атаки методом подбора паролей.

Например, традиционно, если хакер захочет попробовать 500 разных паролей на вашем сайте, ему придется сделать 500 отдельных попыток входа в систему, которые будут перехвачены и заблокированы плагином блокировки входа.

Но с помощью XML-RPC хакеры могут использоватьsystem.multicallФункция перебирает тысячи паролей, например 20 или 50 запросов.

Вот почему, если вы не используете XML-RPC, мы рекомендуем вам отключить его.

Совет: метод .htaccess является наилучшим, поскольку он потребляет меньше всего ресурсов.

Если вы используете брандмауэр веб-приложений, как упоминалось ранее, то эта проблема может быть решена брандмауэром.

Автоматически выходить из системы неактивных пользователей в WordPress

Авторизованные пользователи иногда отрывают свои экраны, что создаёт угрозу безопасности. Злоумышленник может перехватить их сеанс, сменить пароль или внести изменения в их учётную запись.

Именно поэтому многие банковские и финансовые сайты автоматически отключают неактивных пользователей. Вы также можете реализовать аналогичную функцию на своём сайте WordPress.

Вам необходимо установить и активироватьНеактивный выходПосле активации посетитеНастройки » Бездействие Выйтистраница для настройки параметров плагина.

Просто задайте длительность и добавьте сообщение при выходе из системы. Не забудьте нажать кнопку «Сохранить изменения», чтобы сохранить настройки.

Сканирование WordPress на наличие вредоносных программ и уязвимостей

Если у вас установлены плагины безопасности WordPress, то эти плагины будут регулярно проверять наличие вредоносных программ и уязвимостей безопасности.

Однако, если вы заметили, что трафик вашего сайта или рейтинг поискаЕсли ваш сайт WordPress внезапно перестал работать, вам может потребоваться запустить сканирование вручную. Вы можете использовать плагин безопасности WordPress или один из этих вариантов.Сканеры вредоносных программ и безопасности.

Запуск такого онлайн-сканирования очень прост: вам достаточно ввести URL-адрес вашего веб-сайта, и сканер просканирует ваш сайт на наличие известных вредоносных программ и вредоносного кода.

Помните, большинство сканеров безопасности WordPress могут только сканировать ваш сайт. Они не могут удалить вредоносное ПО или очистить взломанный WordPress-сайт.

Это подводит нас к следующему разделу — очистке вредоносных программ и взломанных сайтов WordPress.

Восстановление взломанного сайта WordPress

Многие пользователи WordPress не осознают важности резервного копирования и безопасности сайта, пока их сайт не будет взломан.

Очистка сайта на WordPress может быть сложной и отнимающей много времени задачей. Мы рекомендуем доверить это дело профессионалу.

Хакеры установили уязвимости на уязвимых сайтахчерный ходЕсли эти бэкдоры не будут устранены должным образом, ваш сайт, скорее всего, будет взломан снова.

Позволяет лайкнуть Сукури Ремонт вашего сайта профессиональной компанией, специализирующейся на безопасности, гарантирует, что им снова можно будет безопасно пользоваться. Кроме того, это защитит вас от будущих атак.

Дополнительные советы: кража личных данных и онлайн-защита

Владельцам малого бизнеса крайне важно защищать свои цифровые и финансовые данные, поскольку несоблюдение этих требований может привести к значительным потерям. Хакеры и преступники могут использовать ваши данные для кражи данных вашего веб-сайта.доменное имя, взломать ваши банковские счета или даже совершить преступления, за которые вы можете быть привлечены к ответственности.

В 2020 году Федеральная торговая комиссия (FTC) сообщила о 4,7 миллионах случаев кражи личных данных и мошенничества с кредитными картами.

Вот почему мы рекомендуем использовать что-то вроде Aura.Услуги по защите от кражи личных данных(Мы сами пользуемся Aura).

Они предлагают защиту устройств и сетей Wi-Fi с помощью бесплатного VPN (виртуальной частной сети), которая защищает ваше интернет-соединение шифрованием военного уровня, где бы вы ни находились. Это полезно, когда вы путешествуете или подключаетесь к панели администратора WordPress из публичного места, например, из Starbucks, чтобы вы могли работать онлайн безопасно и конфиденциально.

Их сервис мониторинга даркнета использует искусственный интеллект для постоянного мониторинга даркнета и оповещения вас в случае кражи ваших паролей, номеров социального страхования и банковских счетов.

Это позволяет вам действовать быстрее и лучше защищать свою цифровую личность.

Безопасность WordPress — очень важная тема для каждого владельца сайта. Google ежедневно добавляет в чёрный список более 10 000 сайтов из-за вредоносного ПО и около 50 000 сайтов еженедельно из-за фишинга.

Вот и все. Мы надеемся, что эта статья помогла вам узнать о лучших практиках обеспечения безопасности WordPress и найти лучшие плагины безопасности WordPress для вашего сайта.