На сегодняшний день на WordPress-е работают более миллиона сайтов. И есть тому веская причина. WordPress является одним из самых дружелюбных для разработчиков систем управления контентом. А также удобным для управления обычными пользователями.
Но, то что делает Wordpress (далее, ВП) популярным движком для сайтов делает его и уязвимым на разного рода кибератаки. Чем популярнее система тем больше на нее осуществляется атак.
Но что делать обычным пользователям для защиты, использующие ВП для личного блога, ведения бизнеса, портфолио работ и т.д.?
Этому будет посвящена наша сегодняшняя статья. Мы предлагаем 10 шагов повышения безопасности сайта на WordPress.
Шаг №1. Обновляйте WordPress и плагины
Очень важно держать обновленными как Вордпресс так и все плагины которые Вы используете на сайте. Ошибки допущенные программистами и улучшения всегда выкладываются в свежих версиях.
Обновить ВП Вы можете из «админки». Каждый раз как появляется свежая версия ВП в «админке» появляется извещение об этом. Вам же надо нажать на всплывающую ссылку и обновить ВП. Все очень просто.
Обновить плагины Вы можете так же легко. Вам надо перейти по ссылке «Плагины» и обновить те плагины, которые имеют извещения о наличии обновления.
Шаг №2. Не используйте «admin» в качестве логина по умолчанию
Перед осуществлением атак большинство взломщиков предполагают, что Ваш логин это «admin». Так как он стоит по умолчанию. Это позволяет легче осуществить атаки с перебором пароля. Поэтому придумайте другой логин и поменяйте на него.
Шаг №3. Используйте сложные пароли
Эта рекомендация наверное стара как мир. Пароли с использованием своего дня рождения, девичьей фамилии мамы, клички песика, номер телефона и др. надо заменить более сложный пароль, который нельзя так просто угадать. Используйте в пароле цифры, спецзнаки, большой и малый регистры. Одним словом сделайте пароль непредсказуемым для злоумышлинника.
Шаг №4. Оградите «админку»
Очень важно чтобы админкой Вашего сайта могли использовать только те люди, которые имеют доступ. Если Ваш сайт не использует регистрацию пользователей для формирования контента, то они не должны иметь доступ к папке /wp-admin/ или к файлу wp-login.php.
Но если Вы часто меняете подключения к интернету(например, в офисе, в кафе, дома) то этот способ может быть не удобным, так как Ваш IP-адрес будет меняться.
Шаг №5. Защитите сайт от спама
Спам это проблема современного электронного мира. И спам в ВП не исключение. Спам в ВП можно отсекать легко и просто, используя плагины:
— Akismet(стоит по умолчанию);
— ReCaptcha;
Шаг №6. Используйте специализированные плагины безопасности
Не стоит забывать, что по тематике безопасности в ВП есть десятки плагинов, которые помогут настроить безопасность сайта без лишних усилий. Вот самые популярные:
1) http://wordpress.org/plugins/better-wp-security/ – широчайший функционал по настройкам безопасности.
2) http://wordpress.org/plugins/bulletproof-security/ – защита сайта через .htaccess.
3) http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/ – файрвол для вашего сайта.
4) http://wordpress.org/plugins/sucuri-scanner/ – сканирование сайта на наличие вирусов и других зловредов.
5) http://wordpress.org/plugins/wordfence/ – максимально «нашпигованный» плагин безопасности.
6) http://wordpress.org/plugins/websitedefender-wordpress-security/ – полноценный инструмент безопасности.
7) http://wordpress.org/plugins/exploit-scanner/ – ищет в БД сайта наличие подозрительного кода.
Шаг №7. Делайте бэкапы сайта
Еще один совет, который стар как мир. Делайте бэкапы. Их надо делать часто. В случае, если с сайтом произойдет что-то не ладное, то его можно будет восстановить очень быстро из бэкапа.
Воспользуйтесь плагином BackupWordpress, который позволит легко и быстро настроить создание бэкапов.
Шаг №8. Ограничьте кол-во попыток подключения к сайту
По умолчанию ВП позволяет бесконечно производить попытки входа в «админку» сайта. Но эта настройка на руку злоумышленникам, которые используют ее для проведения атак с использованием перебора пароля. Ограничение количества попыток входа в «админку» сайта позволяет максимально уменьшить или свести к нулю вероятность проведения такой хакерской атаки.
Шаг №9. Выберите надежный и безопасный хостинг
Ваш сайт может идеально настроен и «нашпигован» всевозможными плагинами безопасности. Но это может быть бесполезным, если сайт находится на ненадежном хостинге. Не важно какая версия ВП или как настроена безопасность на сайте, если можно произвести атаку с использованием уязвимости в PHP или MySQL. Вот некоторые параметры по которым надо выбирать хостинг:
— Поддержка последних стабильных версий PHP и MySQL;
— Изолированность аккаунта;
— Файервол веб-приложений;
— Система обнаружения проникновений;
Шаг №10. Проверяйте свой компьютер на вирусы и трояны
Опять-таки банальный совет. Но все же важный. Безопасность сайта может сведена к «нулю» если на компьютере владельца сайта или на компьютере имеющего доступ к сайту есть зловредное программное обеспечение. Например, клавиатурные шпионы. Поэтому необходимо иметь на компьютере который взаимодействует с сайтом антивирус со свежей антивирусной базой.
Заключение
С каждым годом количество и уровень изощренности атак на сайты растет. Теперь, защита и обеспечение безопасности сайта — приоритетная задача.
Перечисленные выше шаги применимы не только для сайтов на ВП. Их можно использовать для большинства CMS. Разве что, для каждой CMS нужны свои плагины.
Оригинал статьи и консультации по безопасности Вашего сайта здесь. Спасибо внимание.