🌍 13 лучших практик безопасности для защиты вашего сайта WordPress — Information Security Squad
🌍 13 лучших практик безопасности для защиты вашего сайта WordPress

Тут я раскрою некоторые из лучших методов безопасности для вашего сайта WordPress.

Они не только удобны для начинающих, но и являются очень доступными, если не бесплатными.

К концу этой статьи у вас будет план действий по защите вашего сайта от всех видов киберугроз.

Итак, пристегнитесь и начнем!

Вы уверены, что Ваш сайт WordPress безопасен?

Хотя WordPress считается самой популярной CMS на сегодняшний день, эта репутация имеет некоторые последствия. Используемый более чем 34% веб-сайтов в Интернете, WordPress превращается в любимую цель для атак вредоносных программ. Только в 2018 году Sucuri сообщил, что около 23 000 веб-сайтов WordPress стали жертвами нарушений безопасности.

Означает ли это, что в WordPress ужасная система безопасности?

Не за что! Напротив, основной причиной нарушений безопасности веб-сайта является недостаточная осведомленность пользователей о безопасности.

Являясь авторитетной CMS, WordPress вносит свой вклад, регулярно публикуя обновления безопасности и обновления программного обеспечения.

Несмотря на это, эти обновления не будут иметь большого значения, если вы не знаете, что с ними делать.

Короче говоря, вы играете важную роль в защите вашего сайта.

Теперь, когда вы знаете свою роль и ответственность как веб-мастера, пришло время изучить, что вы можете сделать для повышения безопасности вашего веб-сайта.

Ознакомьтесь с приведенными ниже рекомендациями по обеспечению безопасности и попробуйте применить их на своем веб-сайте.

1. Используйте сильные имена пользователей и пароли

Создание надежных учетных данных для входа в систему может быть самой простой практикой безопасности, которую может выполнить каждый, но многие пользователи все еще не могут это сделать.

Верьте или нет, 23,2 миллиона учетных записей все еще используют «123456» в качестве пароля.

Та же проблема касается имен пользователей, где многие пользователи используют стандартные имена пользователей, такие как «admin» и «administrator».

Использование слабых учетных данных сделает ваш сайт уязвимым для атак методом перебора. Этот тип кибератак использует метод проб и ошибок, чтобы угадать ваши учетные данные для входа.

Поэтому лучше избегать использования общих ключевых слов в вашей информации для входа.

Если у вас есть привычка забывать пароль, вы можете использовать LastPass для запоминания и использовать его одним щелчком мыши.

Что касается имен пользователей, вы можете включать цифры и специальные символы в ключевые слова, чтобы сделать их более уникальными.

2. Скройте страничку входа в WordPress

Этот простой трюк может защитить ваш сайт WP от злоумышленников, нацеленных на атаки методом перебора паролей.
Используйте бесплатный плагин WPS Hide Login, чтобы изменить URL-адрес входа на что-то уникальное.

3. Включите двухфакторную аутентификацию

После того как вы защитили свои учетные данные администратора, вы можете еще больше улучшить процесс входа, включив двухфакторную аутентификацию.

Этот процесс безопасности создает дополнительный уровень защиты, который требует, чтобы пользователи получали уникальный код из приложения аутентификации.

Внедрив его на своем веб-сайте, только пользователи с правильными учетными данными и кодом могут войти в свою учетную запись.

WordPress предлагает множество плагинов для двухфакторной аутентификации. Некоторые из лучших включают Google Authenticator, двухфакторную аутентификацию и двухфакторную.

4. Измените префикс базы данных WordPress

База данных сайта — самая любимая цель для атак с использованием SQL-инъекций.

Эти типы кибератак заставляют базу данных выполнять вредоносный код, позволяя хакерам свободно изменять или удалять данные в базе.

Поскольку атаки с использованием SQL-инъекций составляют около 80% попыток взломов в месяц, вы не должны воспринимать эту угрозу легкомысленно.

Одним из факторов, делающих вашу базу данных подверженной атакам SQL-инъекций, является использование префикса базы данных wp_ по умолчанию.

Используя предсказуемую базу данных, префикс позволяет хакерам угадывать имена таблиц и наносить ущерб вашей базе данных.

Поэтому я настоятельно рекомендую вам изменить его при первой же возможности.

Вот подробное руководство о том, как изменить префикс базы данных WordPress.

Вы также можете попробовать плагин Change Table Prefix.

5. Отключить отчеты об ошибках PHP

Функция отчетов об ошибках PHP помогает вам быстрее находить ошибки в файлах PHP.

Однако это также позволяет другим людям видеть уязвимости вашего сайта.

Поэтому я рекомендую вам вообще отключить эту функцию.

WordPress по умолчанию отключает функцию сообщения об ошибках.

Если по какой-то причине он включен, вам следует отключить его вручную, изменив файл wp-config.php.

В зависимости от вашего веб-хостинга, несколько хостинг-провайдеров также позволяют вам управлять этим параметром через их панель управления.

6. Поддерживайте актуальность WordPress

Чтобы не отставать от постоянно растущих типов кибератак, WordPress периодически выпускает обновления вместе с обновлениями безопасности.

Это улучшение касается не только ядра WordPress, но и плагинов и тем.

При этом использование устаревшего программного обеспечения — путь к катастрофе.

В то время как WordPress автоматически реализует незначительные обновления программного обеспечения, вам все равно необходимо выполнять основные обновления вручную.

Поэтому не забывайте регулярно искать новые обновления в разделе «Обновления» на панели администратора WordPress, чтобы избежать уязвимостей в безопасности вашего сайта.

Существует также бесплатный плагин Easy Updates Manager, который вы можете использовать для управления тем, как вы хотите обновить ядро, темы и плагины WordPress.

7. Отключить просмотр каталогов

Просмотр каталогов может дать вам быстрый доступ к структуре сайта и отдельным каталогам.

Тем не менее, он может превратиться в обоюдоострый меч, если другие люди также могут получить к нему доступ.

Хакеры часто используют его для поиска уязвимых файлов, плагинов и тем, а затем используют их для получения доступа к вашему веб-сайту.

Если вы размещаете свой сайт WP на платформе премиум-класса, вам не нужно беспокоиться, так как они позаботятся об этой оптимизации.

Однако, если вы самостоятельно размещаете хостинг или вам нужно отключить его вручную, ознакомьтесь с этой статьей, чтобы узнать, как отключить просмотр каталогов в WordPress.

8. Удалите номер версии WordPress

WordPress постоянно выпускает обновления для исправления уязвимостей в предыдущей версии.

Старые версии, как правило, подвержены большему количеству уязвимостей.

Поэтому сделать вашу версию WordPress общедоступной — не самая лучшая идея для вашей системы веб-безопасности.

По умолчанию ваша версия WordPress отображается в правом нижнем углу вашей панели администратора.

Версия также появляется в менее очевидных местах, таких как RSS сайта, CSS и скрипты.

Есть отличная статья, в которой представлено пошаговое руководство по удалению версии WordPress из этих мест.

9. Отключите редактирование файлов

Встроенный в WordPress редактор файлов позволяет намного проще изменять плагины и скрипты тем.

Несмотря на это, эта функция может поставить под угрозу ваш сайт, если он попадет в чужие руки.

По этой причине лучше всего отключить редактирование файлов.

Вы можете сделать это, добавив код, показанный ниже в файл wp-config.php.

define('DISALLOW_FILE_EDIT', true);

10. Выполнение регулярного резервного копирования

Создание резервных копий так же важно, как и защита сайта в целом.

В худшем случае резервные копии могут избавить вас от необходимости перестраивать сайт с нуля.

Процесс может показаться утомительным, но есть много плагинов для резервного копирования, таких как VaultPress и BlogVault, которые могут сделать бэкап беспроблемным.

Используйте плагин, который имеет функцию автоматического резервного копирования, чтобы сэкономить ваше время и избежать устаревших резервных копий вашей системы.

11. Остановите спам и отрицательный SEO

Спам есть везде, и это никому не нравится.

Если вы пользуетесь популярным сайтом и не имеете надлежащей системы предотвращения спама, то вы можете привлекать тысячи спамеров ежедневно.

Наличие слишком большого количества спама вредно для SEO и пользовательского опыта.

Представьте, что у вас есть сотни неуместных комментариев к статье в блоге.

Скажите «нет» спаму с помощью антиспамового решения CleanTalk.

12. Используйте WAF

Одно из лучших вложений, которые вы можете сделать для защиты своего сайта, — это использование WAF (брандмауэр веб-приложений).
Он помогает защитить ваш сайт от 10 основных уязвимостей OWASP, известных и неизвестных уязвимостей, вредоносного кода, DDoS-атак и многого другого.

13. Управление темами и плагинами

Одним из самых больших преимуществ использования WordPress является его обширная коллекция плагинов и тем.
По иронии судьбы плагины и темы WordPress представляют собой самый большой источник уязвимости, который может подвергнуть ваш сайт риску.
Таким образом, вы должны мудро сделать свой выбор по оформлению и тщательно управлять теми компонентами, которые вы установили.

Самый простой способ предотвратить доступ хакеров к вашему веб-сайту через неисправное программное обеспечение — использовать плагины и темы с отличными отзывами и оценками.

Это те показатели, которые скажут вам, что инструменты в хорошем состоянии и функционируют должным образом.

Кроме того, не забывайте периодически проверять наличие обновлений, чтобы улучшить производительность.

Заключение

Поскольку киберугрозы по всему миру не планируют угасать в ближайшее время, важно обезопасить свой веб-сайт WordPress от потенциальной опасности.

К счастью, существует множество простых, но эффективных методов безопасности, которые вы можете использовать для повышения общей безопасности вашего сайта.

Эта статья доказывает, что вам не нужен большой бюджет или дополнительные технические знания для выполнения некоторых из лучших практик безопасности.

 

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40