Безопасность WordPress: как защитить сайт
Безопасность WordPress волнует многих владельцев сайтов. WordPress имеет скрипт с открытым исходным кодом, поэтому, естественно, все обеспокоены тем, что он уязвим для всех видов атак. Тем не менее, WordPress по своей природе не уязвим, и есть много шагов, которые вы можете предпринять для защиты WordPress.
В конце концов, владелец сайта часто несет большую ответственность за взломы, чем платформа. Оказывается, вы можете многое сказать о том, как сделать ваш сайт WordPress безопасным. Вот несколько советов и приемов, которые помогут вам понять, как защитить свой сайт на WordPress.
Создайте блокировку сайта и заблокируйте пользователей
Создание функции блокировки для повторных неудачных попыток входа поможет предотвратить непрерывные попытки взлома потенциальными хакерами, которые в конечном итоге увенчаются успехом. Любая попытка взлома, которая неоднократно использует повторяющиеся длинные пароли, блокирует сайт, и вы будете уведомлены о несанкционированной активности. Это сразу заблокирует множество хакеров.
Одним из способов повысить безопасность WordPress от подобных попыток взлома является плагин iThemes Security. Это было здорово в течение долгого времени без признаков замедления. Он предлагает вам возможность указать, сколько неудачных попыток входа в систему будет у пользователя, прежде чем плагин заблокирует его IP-адрес и предупредит вас.
Используйте методы двухфакторной аутентификации
Двухфакторная аутентификация (SFA) — одна из многих лучших практик безопасности WordPress. Он просит пользователя предоставить данные для входа в систему для двух компонентов spate. Как владелец сайта, вы можете решить, что это за два компонента. Это может быть обычный пароль, за которым следует секретный код, секретный вопрос, набор символов, капча и так далее.
Многие владельцы сайтов предпочитают метод 2FA для защиты своего сайта. Google Authenticator — хороший плагин для включения 2FA на вашем сайте. Он, как и многие плагины от Google, надежен и часто обновляется.
Использовать электронную почту в качестве имени пользователя для входа
По умолчанию для большинства сайтов требуется имя пользователя для входа в систему. Чтобы повысить безопасность WordPress, используйте идентификатор электронной почты вместо имени пользователя. Это более безопасный подход. Имена пользователей легко предсказать хакерам. Электронные письма не так легко предсказать. Кроме того, учетные записи пользователей WordPress должны создаваться с использованием уникального адреса электронной почты, что делает их более надежным идентификатором.
Хорошим плагином для повышения безопасности WordPress является WP Email Login. Работает сразу после установки. Просто активируйте его и вперед. Нет необходимости в настройке. Если вы хотите проверить это, просто выйдите из своего сайта, а затем снова войдите, используя адрес электронной почты, с которым вы создали учетную запись.
Изменить URL-адрес для входа очень просто. Доступ к логину WordPress по умолчанию легко получить через wp-login.php или wp-admin, добавленных к основному URL-адресу вашего сайта. Когда хакеры знают прямой URL-адрес страницы входа, они часто пытаются проникнуть на ваш сайт методом грубой силы. Затем они попытаются войти в свою базу данных Guess Work Database (GWDb), базу данных угаданных имен пользователей и паролей, содержащую миллионы комбинаций символов. Хакеры легко делают это. Это грубо, это просто, но слишком часто бывает эффективно.
Если вы выполнили все шаги, описанные выше, то вы уже ограничили количество попыток входа пользователей и заменили имена пользователей для идентификации по электронной почте. Изменив URL-адрес в дополнение к этим двум мерам безопасности WordPress, вы избавитесь от 99% прямых атак методом перебора. Это во многом убережет вас от наиболее распространенных взломщиков WordPress.
Все, что вам нужно сделать, чтобы ограничить доступ неавторизованных лиц к странице входа, — это использовать плагин безопасности iThemes для этого:
- Измените wp-login.php на что-то уникальное; например, мой_новый_логин
- Измените /wp-admin/ на что-то уникальное; например мой_новый_админ
- Измените /wp-login.php?action=register на что-то уникальное
Используйте хост хорошего качества
Ваш хост очень похож на улицу вашего сайта в Интернете. Как и уличные адреса в реальной жизни, качество улицы может влиять на то, какой трафик она видит.
Хороший хостинг повлияет на то, насколько надежен ваш сайт, как он работает, насколько он может стать большим и даже как высоко он занимает место в поисковых системах. Действительно хорошие хостинги предлагают владельцам сайтов множество полезных функций, в том числе хорошую поддержку и услуги, адаптированные к выбранной владельцем платформы.
Ищите хосты, которые часто обновляют свои услуги, программное обеспечение и инструменты на регулярной, почти постоянной основе. Он также должен реагировать на последние угрозы и быстро устранять возможные нарушения безопасности. Веб-хостинг должен предлагать целевые функции безопасности, такие как сертификаты SSL/TLS и защиту от DDoS. Вы должны получить доступ к брандмауэру веб-приложений (WAF), чтобы отслеживать и блокировать серьезные угрозы для сайта WordPress.
Хороший веб-хостинг также, вероятно, предоставит вам способ сделать резервную копию вашего сайта. В некоторых случаях они даже сделают резервную копию для вас. Это позволит вам вернуться к предыдущей стабильной версии, если ваш сайт когда-либо будет взломан. Они должны предлагать надежную поддержку 24/7, чтобы вы всегда могли связаться с экспертом, чтобы помочь с вопросами безопасности.
Переключите свой сайт на HTTPS
С сертификатом SSL/TLS вы можете переключить свой сайт WordPress на защищенный протокол передачи гипертекста (HTTPS), который является более безопасной версией HTTP. Это отличный способ повысить безопасность WordPress.
HTTP — это протокол, который передает данные между веб-сайтом и браузером, пытающимся получить к нему доступ. Всякий раз, когда посетитель заходит на вашу страницу, все константы, мультимедиа и код отправляются через этот протокол в местоположение посетителя. Это необходимо, но также создает проблемы с безопасностью.
С HTTPS эта проблема решена. Он делает то же самое, что и HTTP, но также шифрует данные сайта, когда они перемещаются из одного места в другое. Это началось как что-то, что использовалось для защиты конфиденциальной информации о клиентах, такой как данные кредитной карты, но становится все более и более распространенным явлением для всех видов сайтов.
Когда вы перейдете на HTTPS, клиенты будут более уверенно работать с вашим сайтом. Рекомендуется иметь SSL от проверенных брендов, таких как Comodo, Thawte, GlobalSign и т. д. Если у вас есть сайт с одним доменом, мы рекомендуем иметь сертификат Comodo PositiveSSL от Comodo или любой другой однодоменный SSL от обсуждаемых брендов. Это обеспечит безопасность онлайн-транзакций между сервером и браузером.
Заканчивая мысли о безопасности WordPress
Эти советы по безопасности WordPress помогут вам убедиться, что вся работа, которую вы вложили в свой сайт, не будет потеряна при взломе. Это побудит людей посетить вас и посмотреть, что вы предлагаете.
Если вам понравилось читать эту статью о безопасности WordPress, вы должны прочитать эту о плагине WordPress SSL.
Мы также писали о нескольких связанных темах, таких как плагины для сканирования вредоносных программ и соли WordPress.