WordPress Security – 24 подсказки, чтобы защитить ваш сайт от хакеров

Безопасность WordPress должна быть первым приоритетом при управлении сайтом. Вы разрабатываете свой веб-сайт, публикуете контент, продаете продукты в Интернете, но если вы не относитесь серьезно к безопасности WordPress, ваш сайт может быть взломан в любое время. 


Каждый день 30 000 сайтов взламываются и более 2000 сайтов попадают в черный список Google. Вы не исключение. Если правительственный сайт может быть взломан, то почему не ваш?

Однажды утром вы проснулись и увидели, что ваш сайт WordPress недоступен и видите случайные сообщения вроде,

«Ваш сайт взломан XYZ» – сайт взломан

«Сайт впереди содержит вредоносное ПО» – занесен в черный список Google

Это худшее, что вы можете встретить на своем сайте.

Но почему WordPress?

WordPress обеспечивает более 31% (80 миллионов) всех веб-сайтов в Интернете. В соответствии с W3Techs, WordPress занимает 60% рынка CMS больше, чем другие платформы, что является довольно веской причиной для привлечения хакеров.

Но не паникуйте. Усилить безопасность WordPress очень просто, и вы тоже можете это сделать.

В этой статье я поделюсь 24 лучшими советами по безопасности WordPress для защиты вашего сайта от хакеров и вредоносных программ..

«Почему бы не сделать так, чтобы ворота в ваш дворец исчезли, прежде чем они его обнаружат?» – WPMyWeb

Contents

Общие проблемы безопасности WordPress

Прежде чем мы углубимся в лучшие практики безопасности WordPress, давайте сначала разберемся с несколькими распространенными проблемами безопасности WordPress..

Многие пользователи считают, что WordPress не является безопасной платформой для бизнеса, что вовсе не так. Это связано с отсутствием знаний о безопасности WordPress, плохим системным администрированием, использованием устаревшего программного обеспечения WordPress, плагинов и т. Д..

Многие новички в WordPress предполагают, что создание веб-сайта – это конец, и он не требует никакого обеспечения безопасности. Вот как вы оставляете свой сайт уязвимым.

Как только хакеры обнаружат уязвимость на вашем сайте, они могут легко использовать ваш сайт.

Давайте рассмотрим некоторые распространенные проблемы безопасности WordPress.

1. Атаки грубой силы: 

В атаке методом перебора используется автоматический сценарий для создания различных комбинаций имен пользователей и паролей. Хакер использует страницу входа в WordPress для атаки методом перебора. 

Если вы используете простое имя пользователя и пароль, то вы можете стать следующей жертвой этой атаки.

2. Межсайтовый скриптинг (XSS):

Межсайтовый скриптинг – это тип атаки, при котором злоумышленники внедряют вредоносный код / ​​скрипт на доверенный веб-сайт. Этот метод взлома совершенно невидим для пользователей, которые просматривают веб-сайт..

Эти вредоносные скрипты загружают анонимно и крадут информацию из браузера пользователя. Даже если пользователь вводит какие-либо данные в любой форме, данные могут быть украдены.

3. SQL-инъекции:

WordPress использует базу данных MySQL для хранения информации блога.

SQL-инъекция происходит, когда хакеры получают доступ к базе данных WordPress. Взломав базу данных WordPress, хакеры могут создать новую учетную запись администратора с полным доступом к вашему сайту..

Они также могут вставлять данные в базу данных MySQL и добавлять ссылки на вредоносные или спам-сайты..

4. Бэкдоры:

Под названием «Back-door» вы можете понять, что это значит. 

Backdoor – это метод взлома, который позволяет хакерам зайти на сайт, минуя обычный процесс аутентификации и даже оставаясь незамеченным владельцем сайта..

После взлома веб-сайта, хакеры обычно оставляют свой след, чтобы они могли вернуться на сайт, даже если хак удален.

5. Pharma Hacks:

WordPress Pharma – это своего рода спам на веб-сайте, который заполняет результаты поисковых систем контентом для спама, который запрещен в Интернете, например, Виагра, Nexium, Cialis и т. Д..

В отличие от других хаков WordPress, результаты фарм хака видны только поисковым системам. Таким образом, вы не можете обнаружить взлом, просто просмотрев ваш сайт или исходный код.

Зайдите в Google и введите сайт: domain.com. Если в результатах поиска отображается содержимое вашего веб-сайта (а не содержимое аптеки), то на ваш сайт не влияют фарма-хаки..

Цель этого взлома – использовать ваши самые ценные страницы, заменив тег заголовка вредоносными ссылками. Не говоря уже о том, что, если вы не проверяете этот вопрос раньше, поисковые системы, такие как Google, Bing могут занести ваш веб-сайт в черный список за предоставление вредоносного контента..

6. Вредоносные перенаправления:

WordPress вредоносный редирект является своего рода хак, где ваши посетители сайта автоматически перенаправляются на спам сайты, как азартные игры, порно, сайты знакомств. Этот взлом происходит, когда вредоносный код внедряется в файл или базу данных вашего сайта.

Если ваш сайт перенаправляет посетителей на нелегальные или вредоносные сайты, ваш сайт может попасть в черный список Google.

Почему безопасность WordPress важна?

Ваш сайт представляет ваш бренд, ваш бизнес и, что самое важное, первый контакт с вашими клиентами.

Вероятно, вам потребовалось несколько лет, чтобы приложить немало усилий, чтобы поддержать свой бизнес и увеличить трафик. Ваша аудитория любит ваши статьи и доверяет вашим продуктам, поэтому они поддерживают с вами контакт.

Если ваш сайт WordPress не защищен, существует множество причин, по которым ваш сайт и ваши клиенты будут затронуты. Хакеры могут похитить личную информацию пользователя, пароли, данные кредитной карты, информацию о транзакциях и могут распространять вредоносные программы для ваших пользователей.

Если ваш сайт взломан, вы заметите, что ваш трафик резко падает. Кроме того, Google внесет в черный список ваш сайт.

Согласно Блог Google, количество взломанных сайтов в 2016 году увеличилось примерно на 20% по сравнению с 2015 годом.

В исследовании, Securi отчеты что Google помещает в черный список более 10000 сайтов каждый день.

Если вы серьезно относитесь к своему бизнесу, вам необходимо уделить дополнительное внимание безопасности WordPress..

WordPress Security

Лучшее руководство по безопасности WordPress

  1. Получите хороший хостинг WordPress
  2. Держите WordPress версию обновленной
  3. Не используйте Nulled / Cracked Theme или плагин
  4. Используйте надежные пароли
  5. Добавить (2FA) двухфакторную аутентификацию
  6. Изменить URL для входа в WordPress
  7. Ограничить попытки входа
  8. Резервное копирование вашего сайта регулярно
  9. Используйте плагин безопасности WordPress
  10. Автоматический выход из режима ожидания
  11. Добавить вопросы безопасности на страницу входа в WordPress
  12. Изменить имя пользователя по умолчанию «admin»
  13. Назначьте пользователей на самую низкую роль
  14. Отслеживать изменения файлов и действия пользователя
  15. Установить SSL-сертификат
  16. Удалить неиспользуемые темы и плагины
  17. Отключить редактирование файлов в панели управления WordPress
  18. Защита паролем страницы входа в WordPress
  19. Отключить просмотр каталогов
  20. Удалить ваш номер версии WordPress
  21. Изменить префикс таблицы базы данных WordPress
  22. Используйте только доверенные темы и плагины WordPress
  23. Отключить отчеты об ошибках PHP
  24. Добавить заголовки безопасного HTTP в WordPress

Готов? Давайте начнем.

1. Получить хороший хостинг WordPress

Хостинг WordPress играет важную роль в улучшении безопасности WordPress..

Вы платите за хостинг, и ваш сайт остается под их контролем. Поэтому вы должны быть осторожны, прежде чем выбрать хороший хостинг WordPress для своего сайта.

Общий хостинг, такой как A2Hosting, Bluehost и т. Д., Является лучшим вариантом хостинга для ведения блога с низким трафиком. Но на виртуальном хостинге всегда будет возможность заражения между сайтами..

Межсайтовое заражение происходит, когда хакер может получить доступ к веб-серверу через уязвимый веб-сайт, а затем использовать все другие веб-сайты на одном веб-сервере..

Мы рекомендуем использовать управляемый провайдер WordPress. Управляемые хостинги WordPress предоставляют многоуровневые варианты безопасности для веб-сайтов. Их хостинговые платформы имеют высокую степень защиты и предлагают ежедневное сканирование на наличие вредоносных программ и предотвращают любые внешние атаки. Если в любом случае они находят вредоносное ПО на своем сервере, они берут на себя ответственность и немедленно удаляют его.

Они также предлагают ежедневное резервное копирование, бесплатный сертификат SSL, экспертную поддержку 24 × 7.

Мы рекомендуем хостинг-компанию WordPress, управляемую WPEngine. Они предлагают несколько уровней безопасности для защиты вашего сайта WordPress. Благодаря их плану вы будете получать ежедневные резервные копии, бесплатный SSL, глобальный CDN и круглосуточную экспертную поддержку..

Посещение WPEngine. [Код скидки добавлен в эту ссылку]

Вернуться к началу

2. Держите обновленную версию WordPress

Поддержание вашего сайта WordPress в актуальном состоянии является хорошей практикой безопасности для усиления вашей безопасности WordPress. Это обновление включает в себя версию WordPress, плагины и темы.

В недавнем исследовании, Секури проанализировал что 56% от общего числа сайтов, зараженных WordPress, все еще были устаревшими. Если вы один из них, вы в опасности.

Каждый день обнаруживаются новые уязвимости, и их невозможно остановить. Устаревшее программное обеспечение и плагины могут содержать уязвимости, которые хакер может использовать для эксплуатации сайта..

С каждым обновлением разработчики включают новые функции, исправляют дыры в безопасности, исправляют ошибки и т. Д. Как и программное обеспечение WordPress, вам также необходимо обновлять темы и плагины WordPress..

Хорошо, что WordPress автоматически выкатывает свои обновления и уведомляет своих пользователей..

Обновление версии WordPress, плагинов и тем очень просто, и вы можете сделать это через панель администратора WordPress..

Как обновить WordPress, плагины и темы?

Сначала войдите в свою панель управления WordPress и перейдите на Приборная панель> Обновления. Там вы можете увидеть, если есть новое обновление доступно.

Замечания: Перед обновлением версии WordPress сделайте полную резервную копию ваших файлов и базы данных. В случае возникновения ошибки вы можете легко восстановить свой сайт до предыдущей версии. Вы можете легко сделать резервную копию и восстановить свой сайт с помощью BlogVault одним щелчком мыши.

На странице вы можете увидеть «Доступна обновленная версия WordPress». Нажмите на Обновить сейчас Чтобы обновить версию WordPress, этот процесс может занять несколько секунд..

Как только обновление будет завершено, прокрутите вниз ниже, чтобы обновить ваши плагины WordPress. Мы рекомендуем вам обновить плагины один за другим. Сначала выберите плагин и нажмите Обновление плагинов.

Аналогичным образом, обновите свои темы ниже.

Обновление WordPress с панели инструментов

Однако процесс обновления немного сложен для некоторых пользователей, особенно для тех, кто не разбирается в технологиях..

Некоторые провайдеры управляемого WordPress хостинга, такие как SiteGround, Kinsta, FlyWheel, предоставляют автоматическое обновление характерная черта. Так что, если вы заняты расписанием или ленивы, чтобы обновить, это может быть полезно.

Также прочитайте, Как вручную обновить версию WordPress, плагины и темы.

Вернуться к началу

3. Никогда не используйте Nulled / Cracked темы и плагины

Неудивительно, что премиальные плагины и темы включают больше функциональности и выглядят профессионально. Но ни один из продуктов премиум-класса не является бесплатным. Он поставляется с ценой, и после покупки любых продуктов премиум-класса пользователям необходимо ввести ключ продукта, чтобы активировать продукт..

Но есть много вредоносных сайтов, которые предоставляют бесплатные темы и плагины бесплатно. Эти взломанные темы и плагины не требуют серийного ключа для активации и никогда не обновляются.

Вот что я имею в виду:

Nulled WordPress Plugin Пример

Эти nulled темы и плагины очень опасны для вашего сайта. Хакеры специально внедряют в нее вредоносные коды и делают черный ход на ваш сайт. Таким образом, они могут легко получить доступ к вашему сайту и взломать ваш сайт, включая базу данных.

Поэтому никогда не используйте обнуленные или взломанные темы и плагины WordPress..

Мы настоятельно рекомендуем вам скачивать только бесплатные темы или плагины только с WordPress.org..

Мы понимаем, что бесплатная тема или плагин имеет очень ограниченные функции. Но эти бесплатные темы или плагины безопасны в использовании и регулярно обновляются.

Также прочитайте, 7 лучших премиум-блогов для WordPress

Вернуться к началу

4. Используйте надежные пароли

Пароль – это первичный ключ для доступа к вашему сайту WordPress. Если это просто и коротко, то хакеры могут легко взломать ваш пароль. Над 80% хакерских нарушений из-за слабого пароля или украденного пароля.

В недавнем исследовании, SplashData раскрыта 100 худших паролей 2017 года.

Вот несколько из них:

  1. 123456
  2. пароль
  3. 12345678
  4. БУКВ
  5. 12345
  6. 123456789
  7. Впусти меня
  8. 1234567
  9. футбол
  10. Я люблю вас
  11. админ
  12. добро пожаловать
  13. обезьяна (смеется)

Если ваш пароль простой, как указано выше, немедленно измените его. Надежный надежный пароль должен содержать не менее 10 цифр и содержать заглавные, строчные буквы, цифры и специальные символы.

Вы можете использовать онлайн генератор паролей мгновенно создавать тысячи защищенных паролей.

Также необходимо, чтобы вы сохранили пароль на свой компьютер.

Чтобы сделать это проще, вы можете использовать программное обеспечение менеджера паролей для управления всеми вашими паролями, такими как LastPass, Dashlane и т. Д..

Обеспечить надежный пароль для пользователей

По умолчанию WordPress не имеет функции, которая запрещает пользователям вводить слабые пароли. В большинстве случаев пользователи устанавливают слабый пароль для своей учетной записи и почти не меняют его..

Если вы ведете многопользовательский блог WordPress, вы должны заставить пользователей использовать надежный пароль.

Чтобы сделать этот процесс проще, вы можете использовать плагин. Установить и активировать Принудительно установить надежные пароли Плагин и все готово. Это не позволит пользователям и даже администраторам вводить слабый пароль.

Вернуться к началу

5. Добавьте двухфакторную аутентификацию (2FA) 

Еще один простой способ укрепить безопасность WordPress – добавить двухфакторную аутентификацию (2FA) на страницу входа в WordPress. По сути, двухфакторная проверка подлинности или двухэтапная проверка – это процесс безопасности, требующий два способа проверки вашей личности..

По умолчанию мы обычно вводим имя пользователя и пароль для входа на сайт. Добавление двухфакторной аутентификации потребует от вас дополнительного процесса проверки, такого как приложение для смартфона, для утверждения процесса аутентификации..

Итак, если кто-то знает ваше имя пользователя и пароль, ему нужен ваш смартфон, чтобы получить проверочный код для входа на ваш сайт..

Добавляя двухфакторную аутентификацию, вы не только защищаете свою страницу входа в WordPress, но и предотвращаете атаки методом перебора.

Вы можете легко включить двухфакторную аутентификацию с помощью плагина WordPress для двухфакторной аутентификации Google..

После активации перейдите к пользователей> Профиль пользователя и активировать плагин.

Настройки Google Authenticator

Затем загрузите приложение Google authenticator со своего телефона и отсканируйте Штрих-код или введите Секретный код (см. скриншот выше) с вашего сайта, чтобы добавить свой сайт.

После добавления выйдите из своего сайта. На странице входа в систему вы увидите дополнительное поле, в котором вам нужно ввести код подтверждения из мобильного приложения Google Authenticator..

Поле Google Authenticator

Для получения подробных инструкций см. Руководство по добавлению двухфакторной аутентификации Google на странице входа в WordPress..

Вернуться к началу

6. Изменить URL страницы входа в WordPress

По умолчанию любой может получить доступ к вашей странице входа в систему, просто добавив «wp-admin» или «wp-login.php» в конце имени вашего домена, например: «domain.com/wp-admin» или «domain.com/». сор-login.php».

Угадай, что! Хакеры могут проводить атаку грубой силой, используя вашу страницу входа. Если вы используете очень простой пароль, то хакеры могут легко взломать ваш пароль и войти на ваш сайт.

Но что, если они не знают, куда напасть? Да, ты угадал.

Если вы спрячете или переименуете URL своей страницы входа в систему, то хакеры не смогут провести атаку методом перебора.

В WordPress вы можете легко скрыть или переименовать свою страницу входа в систему с помощью плагина. Из галереи плагинов WordPress установите и активируйте WPS Скрыть логин плагин.

После активации перейдите к настройки> генеральный и внизу вы можете найти WP Hide Login опция.

WPS Скрыть настройки входа

Просто измените URL логина “авторизоваться” что-то еще, что трудно угадать и нажмите на Сохранить изменения.

Сделав это, добавьте в закладки новую страницу входа, и все готово.

Вернуться к началу

7. Ограничить попытки входа

По умолчанию WordPress не ограничивает количество попыток входа в систему через форму входа. Это означает, что любой, кто знает ваш URL-адрес для входа, может использовать функцию входа в систему столько раз, сколько пожелает. Таким образом, хакеры проводят атаку грубой силой, чтобы взломать ваше «имя пользователя» и «пароль» для доступа к вашему сайту..

Ограничивая попытки входа в систему, вы можете усилить безопасность WordPress и защитить свою страницу входа в систему от атак методом перебора..

Вы можете установить максимальное количество неправильных попыток входа в систему, которые пользователь может сделать с того же IP-адреса. Если пользователь превысит пределы, его IP-адрес будет заблокирован на определенное время.

Чтобы ограничить количество попыток входа в WordPress, установите Логин LockDown плагин. После активации перейдите к настройки> Логин LockDown настроить плагин.

Настройки блокировки входа в систему

Подробные инструкции см. В нашем руководстве о том, как ограничить количество попыток входа в WordPress.

Вернуться к началу

8. Регулярно делайте резервные копии вашего сайта

Резервные копии похожи на Time Machine. Если у вас есть, ваш сайт в безопасности.

Однако резервные копии веб-сайтов не защищают ваш сайт от хакеров, но помогают восстановить сайт..

Например, если что-то пойдет не так с вашим сайтом во время обновления или ваш сайт взломан, как вы будете исправлять свой сайт снова? Вы, вероятно, потеряете свой сайт.

Но если у вас есть резервные копии вашего сайта, вы можете легко восстановить сайт до того момента, как он был взломан или потерпел крах.

Вот почему мы настоятельно рекомендуем вам использовать надежный плагин для резервного копирования WordPress. Тем не менее, многие хостинговые компании предлагают бесплатное резервное копирование веб-сайтов, но они могут гарантировать доступность вашего сайта в случае катастрофического сбоя. Таким образом, вам нужно сохранить резервные копии в удаленном месте, таком как Google Drive, Amazon S3, Dropbox и т. Д..

К счастью, это можно сделать с помощью BlogVault или BackUpBuddy WordPress Backup Plugin. Они оба предлагают ежедневное резервное копирование и восстановление в один клик. Вы также можете создать промежуточный сайт без каких-либо дополнительных затрат..

Вернуться к началу

9. Используйте плагин безопасности WordPress

Следующее, что вам нужно для укрепления вашего Безопасность WordPress это плагин безопасности. Существует множество плагинов безопасности WordPress, которые блокируют ваш сайт от хакеров и вредоносных программ..

Плагины безопасности WordPress обнаружат и устранят вредоносное ПО, если оно присутствует на вашем сайте. Кроме того, они отслеживают активность пользователей в режиме реального времени, уведомляют вас, если что-то изменилось, если плагин содержит вредоносное ПО, блокирует спам-трафик и многое другое.

Мы рекомендуем Securi WordPress Security Plugin. Securi Security предлагает различные типы функций безопасности, такие как аудит безопасности, мониторинг веб-сайтов., межсетевой экран сайта,  и многое другое.

SECURI

Самое лучшее в Securi – это то, что если ваш сайт будет взломан или помещен в черный список Google при использовании их сервиса, они гарантируют, что исправят ваш сайт..

Большинство экспертов по безопасности WordPress взимают более 300 долларов за исправление взломанного сайта, тогда как все службы безопасности вы получите только за $ 199 в год. Это хорошая инвестиция для усиления вашей безопасности WordPress.

Вернуться к началу

10. Автоматический выход из режима ожидания

Если пользователь неактивен или неактивен на вашем сайте слишком долго, это может вызвать атаку методом “грубой силы”.

Когда пользователь остается неактивным слишком долго, хакеры могут использовать cookie или метод перехвата сеанса, чтобы получить несанкционированный доступ к вашему веб-сайту. Именно поэтому большинство сайтов, связанных с образованием и финансами, таких как сайты банков и платежных шлюзов, используют функцию тайм-аута сеанса пользователя. Таким образом, когда пользователь уходит со страницы и через некоторое время не взаимодействует, веб-сайт автоматически отключает неактивного пользователя..

Та же функция, которую вы можете добавить на свой сайт WordPress для повышения безопасности WordPress. Добавление автоматического выхода из режима простоя пользователей на WordPress предельно просто. Все что вам нужно для установки плагина.

Сначала скачайте и установите Неактивный выход Плагин WordPress. Затем активируйте его и перейдите к настройки> Неактивный выход настроить плагин.

Неактивные настройки плагина выхода

В настройках вы можете изменить время простоя. Таким образом, со временем все пользователи на вашем сайте будут автоматически отключены.

Вы также можете изменить время ожидания простоя и изменить другие настройки, если это необходимо.

После этого нажмите на Сохранить изменения сохранить настройки.

Для получения подробных инструкций см. Наше руководство о том, как автоматически выходить из режима ожидания в WordPress.

Вернуться к началу

11. Добавить вопросы безопасности на страницу входа в WordPress

Добавив вопросы безопасности на свою страницу входа в WordPress, вы не только защитите свою страницу входа в WordPress, но и укрепите безопасность WordPress..

Секретный вопрос добавляет дополнительный уровень безопасности для дальнейшей аутентификации вашей личности при входе в систему. Это очень полезно, если вы ведете блог с несколькими авторами WordPress..

Если кто-либо из ваших пользователей или ваш пароль был украден, то секретный вопрос может спасти жизнь.

Потому что имя пользователя и пароль могут быть легко взломаны, но выбрать правильный секретный вопрос и ответ практически невозможно. Таким образом, вы можете сохранить свою страницу входа в WordPress от хакеров и атак грубой силы.

Чтобы добавить секретный вопрос на страницу входа в WordPress, установите WP Security Question плагин.

Настройки вопросов безопасности WP

После активации перейдите к Вопросы безопасности WP > Настройки плагина настроить плагин.

По умолчанию в плагин добавлено много общих вопросов. Но вы можете добавить или удалить любые вопросы безопасности из списка.

Внизу вы можете включить секретный вопрос на странице входа в систему, регистрации и забытого пароля. После того, как плагин настроен, не забудьте нажать на Сохранить настройки.

Замечания: Только новые пользователи могут задавать свои секретные вопросы и ответы при регистрации. Таким образом, зарегистрированные пользователи должны вручную задать свой собственный контрольный вопрос и ответ. Вы также можете задать секретный вопрос и ответить на них. Это можно сделать из Профиль пользователя страница.

Многократно добавляйте вопросы безопасности WP

Подробные инструкции см. В нашем руководстве о том, как добавить вопросы безопасности на страницу входа в WordPress.

Вернуться к началу

12. Измените имя пользователя «Admin» по умолчанию

После установки WordPress вы можете менять свой пароль столько раз, сколько захотите. Но можете ли вы изменить свое имя пользователя после его установки? Без прав?

По умолчанию WordPress не позволяет пользователям изменять имя пользователя. Но почему вы должны изменить это?

Если вы используете очень распространенное имя пользователя, например «admin», то хакеры могут запустить brute force attach с помощью вашего имени пользователя..

Но не паникуйте. Есть несколько способов, которыми вы можете легко изменить свой WordPress..

Однако, чтобы сделать процесс проще, мы будем использовать плагин. Сначала скачайте и установите сменщик имени пользователя плагин. Затем перейдите к пользователей> Твой профиль и найдите опцию имени пользователя. Там вы найдете опцию «Изменить имя пользователя».

Изменить имя пользователя WordPress

Нажмите на Изменение имени пользователя и введите новое имя пользователя. После этого нажмите на Обновить профиль.

Если вы хотите изменить свое имя пользователя вручную (без плагина), ознакомьтесь со статьей 3 различных способа изменить имя пользователя WordPress.

Вернуться к началу

13. Назначьте пользователей на самую низкую роль

Если вы работаете на сайте WordPress с несколькими авторами, вам нужно быть осторожным, прежде чем назначать роль пользователю..

Много раз владельцы сайтов WordPress назначают новую роль более высокого пользователя новым пользователям. Таким образом, вы предоставляете пользователям все привилегии, и в результате любой пользователь может выполнять любую задачу, какую хочет..

Например, если вы не знаете, какую роль может выполнять пользовательская роль редактора, и вы назначаете эту роль обычному пользователю, пользователь может удалить все ваши сообщения, редактировать ссылки, создавать нежелательные сообщения, добавлять вредоносные ссылки в свой блог. сообщения. Вот как пользователь может легко испортить ваш сайт.

По умолчанию WordPress поставляется с 5 различными ролями пользователей..

  • администратор
  • редактор
  • автор
  • участник
  • подписчик
  1. Администратор: Администраторы – самая мощная роль пользователя на сайте WordPress. Они могут создавать, редактировать и удалять учетные записи пользователей, выполнять любые задачи через панель администратора WordPress, контролировать всю область содержимого, а также модерировать комментарии.. 
  2. Редактор: Пользователи с ролью редактора имеют полный контроль над всем содержимым. Они могут создавать, редактировать и удалять любые сообщения, включая сообщения, созданные другими пользователями. Они также могут модерировать комментарии и изменять ссылки..
  3. Автор: Авторы могут только публиковать, редактировать или удалять свои собственные сообщения. Они могут загружать медиа-файлы для использования в своих сообщениях. Они могут просматривать комментарии, но не могут утверждать или удалять любые комментарии..
  4. Автор: Пользователи с ролью «Участник» могут только писать, редактировать или удалять свои неопубликованные публикации, но не могут публиковать свои собственные..
  5. Абонент: Подписчики могут редактировать только данные своей учетной записи, включая пароль, но у них нет доступа к контенту или настройкам сайта. У них самые низкие возможности на сайте WordPress.

Понимая роли пользователей WordPress, вы можете легко управлять ими без какого-либо риска.

Мы также рекомендуем вам установить роль нового пользователя по умолчанию в качестве подписчика. Перейдите в настройки> Общие настройки и из их набора Роль нового пользователя по умолчанию подписчик и нажмите на Сохранить изменения.

WordPress Роль нового пользователя по умолчанию

Подробнее читайте в Руководстве для начинающих по ролям и возможностям пользователей WordPress.

Вернуться к началу

14. Отслеживайте изменения файлов и действия пользователя

Еще один разумный способ укрепить безопасность WordPress – отслеживать действия пользователей и изменения файлов.. 

Если вы работаете с многопользовательским сайтом WordPress, вы должны отслеживать поведение пользователей, чтобы лучше понять, каковы их действия на вашем сайте WordPress..

Кто знает, если пользователь делает какую-то подозрительную работу или пытается взломать ваш сайт? Как ты можешь знать, что?

Единственный способ отслеживать действия пользователей и изменения файлов – использовать плагин WordPress для действий пользователей. Используя плагин активности пользователя в WordPress, вы можете:

  • посмотреть, кто вошел в систему и что они делают в режиме реального времени
  • когда пользователь войти и выйти
  • сколько раз пользователь пытался войти в систему, но не смог

Кроме того, если редактор внес какие-либо изменения в сообщение или страницу без вашего разрешения, вы можете легко найти его и вернуть обратно. Преимущество плагина активности пользователя заключается в том, что он мгновенно отправляет вам уведомление по электронной почте, если что-то идет не так.

WP Security Audit Log – лучший плагин для мониторинга действий пользователей и изменений файлов в режиме реального времени. Вот скриншот ниже, как работает плагин.

WordPress Audit Log Viewer

Также читайте, 5 лучших плагинов для мониторинга активности пользователей в WordPress (альтернативные плагины)

Вернуться к началу

15. Внедрить SSL и HTTPS

Безопасность WordPress невозможно улучшить без сертификата SSL. SSL (Secure Socket Layer) является основой безопасности сайта.

SSL – это стандартная технология безопасности, которая создает зашифрованные связи между сервером и веб-браузером в онлайн-коммуникации, такой как онлайн-транзакция. Таким образом, все конфиденциальные данные, такие как пароли, данные кредитной карты и т. Д., Проходят через зашифрованные ссылки..

Если вы ведете онлайн-бизнес или ведете блог, где принимаете оплату, то SSL-сертификат является обязательным. Это защитит данные вашего клиента от хакеров. Для интернет-магазинов или сайтов WooCommerce стоимость SSL-сертификата составляет около $ 20-170..

Если вы ведете блог на WordPress, вам не нужен платный SSL-сертификат. Если вы используете хостинг cPanel, например SiteGround, WPEngine, вы можете бесплатно установить SSL-сертификат одним щелчком мыши..

Сначала войдите в свою учетную запись хостинга cPanel и перейдите к Безопасность.  (Вот скриншот ниже с SiteGround хостинга cPanel.)

SG SSL

Перейти к Менеджер SSL / TLS и нажмите на Установить SSL-сертификат. На странице выберите свой домен и нажмите Автозаполнение по домену. Процесс автоматический, поэтому вам не нужно ничего редактировать или изменять.

Site Ground Установить SSL-сертификат

Теперь нажмите на Установить сертификат кнопка для завершения процесса установки.

После этого войдите в свою панель администратора WordPress, чтобы изменить URL своего сайта. Перейти к настройки> генеральный и добавить заменить HTTP с HTTPS перед URL вашего сайта. Вот скриншот ниже.

WP HTTPS

После обновления нажмите на Сохранить изменения.

Как перенаправить HTTP на HTTPS в WordPress

Если вы правильно установили SSL-сертификат, то ваш сайт доступен по HTTPS.

Но если кто-то введет только имя вашего сайта (например, domain.com) в адресную строку браузера, то на сайте может появиться сообщение «Соединение не защищено». Это означает, что ваш сайт доступен по HTTP.

Чтобы решить эту проблему, вам нужно включить HTTPS в WordPress, чтобы ваш сайт загружался только с HTTPS. Вы можете легко заставить HTTPS в WordPress.

Сначала войдите в свой хостинг cPanel и перейдите в корневую папку вашего сайта и найдите .Htaccess файл. Отредактируйте файл .htaccess и в конце добавьте следующий код.

RewriteEngine On
RewriteCond% {HTTPS} off
RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [L, R = 301]

Сохраните файл, и все готово. Теперь ваш сайт доступен только с HTTPS.

Если ваш хостинг-провайдер не предоставляет бесплатный SSL-сертификат, вы можете установить SSL-сертификат вручную. Вот руководство по установке бесплатного SSL-сертификата..

Вернуться к началу

16. Удалить неиспользуемые темы и плагины

Когда речь идет об усилении безопасности WordPress, мы не должны игнорировать любой маленький шаг, который может сделать ваш сайт уязвимым. 

В большинстве случаев владельцы сайтов WordPress устанавливают различные темы и плагины, чтобы проверить, какая тема выглядит лучше на своем сайте или какой плагин обладает большей функциональностью. Это нормально. Но сохранение этих неиспользуемых тем и плагинов делает ваш сайт уязвимым.

Потому что для хранения многих тем и плагинов WordPress необходимо регулярно обновлять, как вы используете. Если вы не обновите их, они станут уязвимыми, и хакеры смогут легко использовать ваш сайт через уязвимые темы и плагины. Кроме того, сохранение большого количества тем и плагинов замедляет работу сайта WordPress..

Поэтому вы всегда должны удалять неиспользуемые темы и плагин для повышения производительности сайта и безопасности WordPress..

Чтобы удалить неиспользуемый плагин, перейдите на Плагины> Установленные плагины. Затем найдите плагин, который вам больше не нужен. Сначала отключите плагин и нажмите удалять.

Плагин WordPress удалить

Точно так же, чтобы удалить тему, перейдите к Внешность> Темы и нажмите на Детали темы. Затем в нижней части правой стороны, нажмите на удалять.

Удалить тему

Вернуться к началу

17. Отключить редактирование файлов в панели управления WordPress

По умолчанию WordPress позволяет пользователям редактировать тему и файл плагина непосредственно с панели инструментов WordPress. Это полезная опция для пользователей, которым часто нужно редактировать тему и файл плагина..

Редактор тем WordPress

Однако сохранение этой функции может быть серьезной проблемой безопасности. Если хакеры получают доступ к вашему сайту, они обычно оставляют свой след, внедряя вредоносный код в файлы сайта. Если ваша функция редактирования файлов WordPress включена, то хакеры могут легко внедрить вредоносный код в вашу тему или файл плагина, который будет вам неизвестен.

Чтобы повысить безопасность WordPress, вам необходимо отключить функцию редактирования файлов на панели инструментов WordPress. Отключение темы WordPress и редактора плагинов в WordPress – очень простой процесс.

Во-первых, вам необходимо войти в свою учетную запись хостинга cPanel и перейти в корневую папку вашего сайта WordPress. Оттуда найти WP-config.php. Нажмите на редактировать и добавьте следующий код в конце.

define (‘DISALLOW_FILE_EDIT’, true);

Теперь сохраните файл и обновите панель управления WordPress. Вы увидите, что опция редактора тем и плагинов исчезла. С помощью этого маленького трюка вы можете легко улучшить безопасность WordPress..

Прочитайте подробное руководство о том, как отключить редактор тем и плагинов в WordPress.

Вернуться к началу

18. Пароль защищает страницу входа в WordPress

Еще один отличный способ улучшить безопасность WordPress – защитить паролем страницу входа в WordPress..

С помощью пароля, защищающего вашу страницу входа в WordPress (/wp-login.php) или страницу администратора (https://cdn.wpmyweb.com/wp-admin), вы можете запретить хакерам доступ к вашей странице входа в систему, поскольку для доступа к страница авторизации. Аутентификация Требуется всплывающее окноПосле включения этой функции ваш сайт будет предлагать всем пользователям доступ к странице входа в систему с именем пользователя и окном пароля. Короче говоря, все пользователи должны войти в систему дважды с разными именем пользователя и паролем, прежде чем получить доступ к панели администратора WordPress..

Тем самым вы можете усилить свою безопасность WordPress и добавить дополнительный уровень безопасности на свою страницу входа..

Прочитайте наше подробное руководство о том, как защитить паролем страницу входа в WordPress..

Вернуться к началу

19. Отключите просмотр каталогов в WordPress

По умолчанию большинство веб-серверов, таких как Apache, NGINX и LiteSpeed, позволяют любому пользователю просматривать каталоги, содержащие файлы и папки WordPress. Они также могут увидеть, какую тему и плагины вы используете, и узнать больше о структуре вашего сайта..

Индексная страница сайта WordPress

Эта информация может сделать ваш сайт WordPress уязвимым и помочь хакеру при попытке взлома вашего сайта..

Для повышения безопасности WordPress мы рекомендуем отключить эту опцию. Чтобы отключить просмотр каталогов в WordPress, просто добавьте следующую строку в .htacces файл.

Опции Все Индексы

Для получения подробных инструкций прочитайте наше руководство о том, как отключить просмотр каталогов в WordPress.

Вернуться к началу

20. Удалите свою версию WordPress

По умолчанию WordPress автоматически добавляет метатеги в разных местах, которые отображают версию WordPress, которую вы используете..

Вот в чем дело: если хакеры знают, что вы используете устаревшую версию WordPress, они могут использовать ваш сайт через известные уязвимости, которые присутствуют в более старой версии WordPress..

Поэтому лучше удалить версию WordPress для повышения безопасности WordPress. Есть несколько мест, где WordPress добавляет метатеги, например, в панели управления WordPress, в заголовке, в стиле и в JavaScript, а также в RSS-канал..

Удаление версии WordPress из шапки и RSS

Чтобы удалить версию из заголовка и RSS, добавьте следующую строку в конце functions.php файл.

function remove_wordpress_version () {
возвращение ”;
}
add_filter (‘the_generator’, ‘remove_wordpress_version’);

Удаление номера версии WordPress из скриптов и CSS

Чтобы удалить версию WordPress из CSS и скриптов, добавьте следующую строку в конце functions.php файл.

// Выбрать номер версии из скриптов и стилей
function remove_version_from_style_js ($ src) {
if (strpos ($ src, ‘ver =’. get_bloginfo (‘version’)))
$ src = remove_query_arg (‘ver’, $ src);
вернуть $ src;
}
add_filter (‘style_loader_src’, ‘remove_version_from_style_js’);
add_filter (‘script_loader_src’, ‘remove_version_from_style_js’);

После этого сохраните файл functions.php.

Это оно. С помощью этого простого трюка вы, несомненно, сможете улучшить свою безопасность WordPress. Тем не менее, мы всегда рекомендуем вам регулярно обновлять версию WordPress, а также тему и плагины..

Для получения подробных инструкций прочитайте наше руководство о том, как скрыть или удалить версию WordPress.

Вернуться к началу

21. Изменить префикс таблицы базы данных WordPress

Во время установки WordPress он спрашивает, хотите ли вы использовать другой префикс базы данных. Обычно мы пропускаем этот шаг, поэтому WordPress автоматически использует (Wp_) в качестве префикса таблицы базы данных по умолчанию. Мы рекомендуем вам изменить это что-то сильное и уникальное.

Использование префикса по умолчанию (WP_) делает вашу базу данных WordPress восприимчивой к атакам SQL-инъекций. Такие атаки можно предотвратить, изменив префикс базы данных (WP_) на нечто уникальное.

После установки WordPress вы можете легко изменить префикс таблицы базы данных по умолчанию с помощью плагинов или вручную. Плагины, такие как BackupBuddy, Brozzme DB Prefix, позволяют менять префикс таблицы одним щелчком мыши..

Ради учебника я показываю, как его изменить, используя плагин Brozzme DB Prefix..

Замечания: Прежде чем что-то делать со своей базой данных, обязательно сделайте резервную копию своего сайта и базы данных. Если что-то пойдет не так, вы можете восстановить свой сайт.

Сначала установите и активируйте Brozzme DB Prefix плагин. С панели инструментов WordPress перейдите на инструменты> Префикс БД и введите новое уникальное имя для префикса базы данных.

Brozzme DB Prefix

После ввода нового префикса нажмите Изменить префикс БД.

Для ручного процесса, прочитайте о том, как изменить префикс таблицы базы данных с помощью phpMyAdmin

Вернуться к началу

22. Используйте только надежные плагины WordPress

WordPress поставляется с более чем 48 000 плагинов. Это не значит, что все плагины полезны и безопасны в использовании..

Потому что в галерее плагинов WordPress есть много плагинов, которые не обновляются долгое время, и обычно они становятся уязвимыми. Кроме того, вы не получите никакой поддержки, если плагин сломает ваш сайт.

Прежде чем использовать любой бесплатный плагин, необходимо проверить две важные вещи,

  • Проверьте, когда плагин последний раз обновлялся: Если плагин не обновляется часто или больше не поддерживается разработчиком плагина, тогда вам следует избегать плагин.

Устаревшая версия плагина WordPress

  • Проверьте, имеет ли плагин максимальные положительные оценки: Далее нужно проверить, имеет ли плагин максимальные положительные или отрицательные оценки. Если плагин имеет максимальный отрицательный рейтинг, вы не должны его использовать.

Плагин WordPress с низким рейтингом

Вы также можете проверить страницу и отзывы о плагине, чтобы узнать, что другие пользователи говорят о плагине..

Но не волнуйся. Есть много похожих плагинов, которые вы можете найти в галерее плагинов WordPress..

Если вы хотите использовать премиум плагин, вам не нужно беспокоиться об этом. Премиальные плагины регулярно обновляются, и вы получите круглосуточную поддержку от разработчика плагинов..

Вернуться к началу

23. Отключить отчеты об ошибках PHP

Еще один отличный способ укрепить безопасность WordPress – отключить отчет об ошибках PHP в WordPress. Часто, когда вы устанавливаете устаревший плагин или тему, вы можете увидеть предупреждение об ошибке PHP.

WordPress PHP Предупреждение об ошибкахТем не менее, он может сделать ваш сайт уязвимым, если хакеры получат его, поскольку он показывает код и местоположение файла. Чтобы минимизировать риск, вы можете отключить отчеты об ошибках PHP в WordPress.

Отключить предупреждение об ошибках PHP в WordPress очень просто. Сначала отредактируйте свой WP-config.php файл и найдите эту строку, которая имеет этот код:

define (‘WP_DEBUG’, false);

Вы можете увидеть «правда» вместо «ложь». Теперь замените строку следующим кодом.

ini_set ( «display_errors»,»Off»);
ini_set («error_reporting», E_ALL);
define (‘WP_DEBUG’, false);
define (‘WP_DEBUG_DISPLAY’, false);

Сохраните файл и все готово.

Мы также рекомендуем вам использовать современные и хорошо оцененные плагины, чтобы избежать такого рода проблем..

Вернуться к началу

24. Добавьте заголовки HTTP Secure в WordPress

Еще один отличный способ укрепить безопасность WordPress – добавить заголовки безопасности HTTP на ваш сайт WordPress..

Когда кто-то заходит на ваш сайт, браузер отправляет запрос на ваш веб-сервер. Затем веб-сервер отвечает запросами вместе с заголовками HTTP. Эти HTTP-заголовки передают такую ​​информацию, как кодирование содержимого, управление кэшем, тип содержимого, подключение и т. Д..

Добавляя безопасные заголовки HTTP-ответов, вы можете улучшить безопасность WordPress, а также предотвратить атаки и уязвимости в безопасности..

Вот заголовки HTTP ниже:

  • HTTP Strict Transport Security (HSTS): HTTP Strict Transport Security (HSTS) заставляет веб-браузер использовать только защищенные соединения (HTTPS) при взаимодействии с веб-сайтом. Это предотвращает взлом протоколов SSL, захват файлов cookie, разбор SSL и т. Д..
  • X-Frame-Options: X-Frame-Options – это своего рода HTTP-заголовок, который указывает, разрешено ли браузеру отображать веб-сайт во фрейме. Это предотвращает атаки с использованием кликджеков и гарантирует, что ваш сайт не будет встроен в другие сайты, использующие .
  • X-XSS-Protection: X-XSS-Protection – это встроенная функция браузеров Internet Explorer, Google Chrome, Firefox и Safari, которые блокируют загрузку страниц, если из пользовательского ввода был вставлен вредоносный скрипт..
  • X-Content-Type-Options: X-Content-Type-Options – это своего рода заголовок ответа HTTP со значением nosniff, который не позволяет веб-браузерам анализировать MIME-ответ от объявленного типа содержимого.
  • Referrer-политика: Политика реферера – это заголовок ответа HTTP, который предотвращает междоменную утечку реферера.

Чтобы добавить безопасные заголовки HTTP в WordPress, просто добавьте следующие строки кода в ваш .Htaccess файл.

Набор заголовков Strict-Transport-Security "макс возраста = 31536000" ENV = HTTPS
Заголовок всегда добавляет X-Frame-Options SAMEORIGIN
Набор заголовков X-XSS-Protection "1; Режим = Блок"
Набор заголовков X-Content-Type-Options nosniff
Политика реферера заголовка: no-referer-when-downgrade

Проверка заголовков безопасности

Теперь иди в securityheaders.com проверить, работают ли коды или нет. Мы не добавили «Политику безопасности контента», поскольку она может нарушить работу вашего сайта. Тем не менее, достаточно сделать ваш сайт WordPress безопасным.

Вернуться к началу

Вывод

Есть много способов, которыми вы можете укрепить Безопасность WordPress такие как: использование управляемого хостинга WordPress, использование надежных паролей для учетных записей, мониторинг действий пользователей, использование плагина безопасности WordPress, реализация SSL и HTTPS и многое другое.

Надежная безопасность WordPress – это не ракетостроение. Вы можете легко защитить свой сайт WordPress, применяя лучшие практики безопасности WordPress, которыми мы поделились в этой статье. Реализуя их, вы не только защитите свой сайт WordPress, но и предотвратите доступ хакеров к вашему сайту..

После этого вам не нужно беспокоиться о безопасности WordPress. Кроме того, вы можете быть более продуктивным и свободным от напряжения.

Теперь твоя очередь. Внимательно прочитайте статью и внедрите ее на свой сайт. Вы будете счастливы, что сделали это. ��

Мы пропустили какие-либо важные советы по безопасности WordPress, чтобы упомянуть здесь? не стесняйтесь, дайте нам знать в разделе комментариев.

WordPress Безопасность Инфографика

WordPress-Security-инфографика-Малогабаритный

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map