Безпека WordPress: як захистити веб-сайт
Багато власників сайтів думають про безпеку WordPress. У WordPress є сценарій з відкритим вихідним кодом, тому, природно, усі хвилюються, що він вразливий до атак усіх видів. Однак WordPress за своєю суттю не є вразливим, і ви можете зробити багато кроків, щоб захистити WordPress.
Зрештою, власник сайту часто несе більше відповідальності за зломи, ніж платформа. Виявляється, ви можете багато сказати про те, як зробити свій сайт WordPress безпечним. Ось кілька порад і підказок, які допоможуть вам зрозуміти, як захистити свій веб-сайт на WordPress.
Створіть блокування сайту та забороніть користувачів
Створення функції блокування для повторних невдалих спроб входу допоможе запобігти потенційним хакерам від безперервних спроб грубої сили, які зрештою вдаються. Будь-яка спроба злому з повторюваними довгими паролями блокує сайт, і ви будете сповіщені про несанкціоновану діяльність. Це відразу заблокує багато хакерів.
Одним із способів підвищити захист WordPress від такого роду спроб злому є плагін iThemes Security. Це було чудово протягом тривалого часу без жодних ознак сповільнення. Він пропонує вам можливість вказати кількість невдалих спроб входу у користувача, перш ніж плагін заборонить його IP-адресу та попередить вас.
Використовуйте методи 2-факторної автентифікації
Двофакторна автентифікація (SFA) є одним із багатьох найкращих методів безпеки WordPress. Він просить користувача надати дані для входу для двох компонентів потоку. Як власник сайту, ви можете вирішити, що це за два компоненти. Це може бути звичайний пароль, за яким іде секретний код, секретне запитання, набір символів, CAPTCHA тощо.
Багато власників сайтів віддають перевагу методу 2FA для захисту свого сайту. Google Authenticator — хороший плагін для включення 2FA на ваш сайт. Він, як і багато інших плагінів від Google, надійний і часто оновлюється.
Використовуйте електронну адресу як ім’я користувача для входу
За замовчуванням на більшості сайтів для входу потрібно ввести ім’я користувача. Щоб підвищити безпеку WordPress, використовуйте ідентифікатор електронної пошти замість імені користувача. Це більш безпечний підхід. Імена користувачів легко передбачити хакерам. Електронні листи не так легко передбачити. Крім того, облікові записи користувачів WordPress потрібно створювати за допомогою унікальної електронної адреси, що робить їх більш дійсним ідентифікатором.
Хорошим плагіном для підвищення безпеки WordPress таким чином є WP Email Login. Він працює відразу після встановлення. Просто активуйте його та йдіть. Конфігурація не потрібна. Якщо ви хочете випробувати це, просто вийдіть зі свого сайту, а потім увійдіть знову, використовуючи адресу електронної пошти, з якою ви створили обліковий запис.
Змінити URL-адресу для входу дуже легко. Логін WordPress за замовчуванням легко отримати за допомогою wp-login.php або wp-admin, доданих до основної URL-адреси вашого сайту. Коли хакери знають пряму URL-адресу сторінки входу, вони часто намагаються грубою силою проникнути на ваш сайт. Потім вони спробують увійти за допомогою своєї бази даних Guess Work Database (GWDb), бази даних вгаданих імен користувачів і паролів, яка містить мільйони комбінацій символів. Хакерам легко це зробити. Це грубо, просто, але надто часто ефективно.
Якщо ви виконали всі кроки, описані вище, ви вже обмежили кількість спроб входу користувачів і замінили імена користувачів на ідентифікацію електронної пошти. Змінивши URL-адресу на додаток до цих двох заходів безпеки WordPress, ви позбудетеся 99% прямих атак грубої сили. Це значною мірою допоможе уникнути найпоширеніших хакерів WordPress.
Усе, що вам потрібно зробити, щоб обмежити доступ неавторизованих осіб до сторінки входу, це використати плагін iThemes Security, щоб зробити це:
- Змініть wp-login.php на щось унікальне; наприклад my_new_login
- Змініть /wp-admin/ на щось унікальне; наприклад my_new_admin
- Змініть /wp-login.php?action=register на щось унікальне
Використовуйте якісного хоста
Ваш хост схожий на вулицю вашого сайту в Інтернеті. Як і адреси вулиць у реальному житті, якість вулиці може впливати на тип трафіку.
Хороший хост вплине на те, наскільки надійним є ваш сайт, як він працює, наскільки великим він може стати і навіть наскільки високий рейтинг у пошукових системах. Дійсно чудові хостинги пропонують власникам сайтів багато корисних функцій, включаючи хорошу підтримку та послуги, адаптовані до вибраної власником платформи.
Шукайте хостів, які часто оновлюють свої служби, програмне забезпечення та інструменти на регулярній, майже постійній основі. Він також має реагувати на останні загрози та швидко усувати можливі порушення безпеки. Веб-хост повинен пропонувати цільові функції безпеки, такі як сертифікати SSL/TLS і захист від DDoS. Ви повинні отримати доступ до брандмауера веб-застосунків (WAF), щоб допомогти контролювати та блокувати серйозні загрози сайту WordPress.
Хороший веб-хост також, швидше за все, надасть вам спосіб резервного копіювання вашого сайту. У деяких випадках вони навіть зроблять резервну копію за вас. Це дозволить вам повернутися до попередньої стабільної версії, якщо ваш сайт коли-небудь буде зламано. Вони мають запропонувати надійну підтримку 24/7, щоб ви завжди могли зв’язатися з експертом, щоб допомогти з проблемами безпеки.
Переведіть свій сайт на HTTPS
За допомогою сертифіката SSL/TLS ви можете переключити свій сайт WordPress на захищений протокол передачі гіпертексту (HTTPS), який є більш безпечною версією HTTP. Це чудовий спосіб підвищити безпеку WordPress.
HTTP — це протокол, який передає дані між веб-сайтом і браузером, який намагається отримати до нього доступ. Щоразу, коли відвідувач переходить на вашу сторінку, усі константи, медіа та код надсилаються через цей протокол до місця відвідувача. Це необхідно, але це також створює проблеми з безпекою.
З HTTPS ця проблема вирішується. Він робить те саме, що й HTTP, але також шифрує дані сайту під час їх переміщення з одного місця в інше. Спочатку він використовувався для захисту конфіденційної інформації клієнтів, як-от даних кредитної картки, але стає все більш поширеним для сайтів усіх типів.
Коли ви перейдете на HTTPS, клієнти отримають високу впевненість у роботі з вашим сайтом. Рекомендується мати SSL від автентифікованих брендів, таких як Comodo, Thawte, GlobalSign тощо. Якщо у вас сайт з одним доменом, то ми рекомендуємо мати сертифікат Comodo PositiveSSL від Comodo або будь-який інший однодоменний SSL від обговорюваних брендів. Це захистить онлайн-транзакції між сервером і браузером.
Завершення роздумів про безпеку WordPress
Ці поради щодо безпеки WordPress допоможуть вам переконатися, що вся робота, яку ви вклали у свій сайт, не буде втрачена під час злому. Це заохотить людей відвідати та побачити, що ви пропонуєте.
Якщо вам сподобалося читати цю статтю про безпеку WordPress, ви повинні переглянути цю про плагін WordPress SSL.
Ми також писали про кілька пов’язаних тем, як -от плагіни сканера зловмисного програмного забезпечення та солі WordPress.