Як Захистити Свій Веб-Сайт WordPress

Якщо у вас є бізнес із фізичним місцезнаходженням, що б ви зазвичай робили для його захисту?

Охорона? Сигналізація? Може, там і там купа камер спостереження?

Те саме стосується вашого веб-сайту WordPress.

Незважаючи на те, що це власність в Інтернеті, ваш сайт настільки ж вразливий, як і будь-який магазин цегли та розчинів. Може навіть більше. Ось чому питання про те, як захистити свій веб-сайт WordPress, є однією з найгарячіших тем у спільноті WP.

Тенденція має свої причини для існування. Офіційна статистика безпеки та вразливостей за останні два роки виявляє деякі тривожні факти про платформу.

Реальність WordPress

Згідно з дослідженням WPWhiteSecurity серед найпопулярніших веб-сайтів WordPress, понад 73,2% з них сприйнятливі до взлому. Вразливості плагінів є головним винуватцем у таких випадках, на них припадає понад половини відомих порушень.

Інші відомі взломи націлені на ядро ​​WP ( 31,5% ), а решта зосереджується на темах ( 14,3% ).

Що стосується безпеки WordPress, то з кожним роком справи погіршуються, і бізнес, здається, це усвідомлює. У 2018 році великі підприємства зазнали приблизно на 53% більше атак, ніж роком раніше, і вони намагаються активно подолати цю тривожну тенденцію за рахунок збільшення інвестицій у кібербезпеку.

Незважаючи на загальну обізнаність та зусилля, сьогодні щохвилини відбувається понад 90 978 онлайн-атак.

Так, ви правильно прочитали – щохвилини!

І якщо ви думаєте, що в безпеці лише тому, що ваш сайт не заробляє багато грошей або не заробляє багато трафіку, краще подумайте ще раз. Кожен хакер керується різними причинами, тому ви ніколи не знаєте його кінцевої мети.

Тоді хорошою практикою уникнення більшості проблем безпеки WordPress є спочатку зрозуміти ворога.

Які найпоширеніші типи вразливості?

Міжсайтові сценарії

Міжсайтовий сценарій (або атаки XSS) – це тип ін’єкційної атаки. Хакер вставляє шкідливий шматок коду у ваш браузер, коли ви відвідуєте заражений веб-сайт. Хоча це вважається менш небезпечним, ніж інші типи нападів, наслідки все одно можуть бути. Порушник все ще може отримати доступ до особистих даних через ваші веб-файли cookie або внести довільні зміни на ваш веб-сайт.

Ін’єкції SQL

Ін’єкції SQL – це ще один тип порушення, який може спричинити справжній біль у серверній системі. Будь-який досвідчений хакер WordPress може замаскувати шматок шкідливого коду та надіслати його безпосередньо у вашу базу даних через стандартний розділ введення користувача (наприклад, користувач / пропуск). Потрапивши всередину, він може завдати непоправної шкоди вашій базі даних SQL, отримати доступ до даних користувачів або внести несанкціоновані зміни до рахунків.

Ін’єкції SQL дуже поширені і з ними досить складно боротися. Ось чому необхідно регулярно робити резервні копії бази даних.

Груба сила

Атаки грубої сили мають на меті отримати доступ до вашої системи, вгадуючи ваше ім’я користувача та пароль. WP не обмежує спроби входу за замовчуванням, і хакери люблять це. Вони використовують захищений логін WordPress для запуску алгоритму, який підключається до бази даних часто використовуваних даних входу та намагається передбачити правильні дані за допомогою спроб і помилок.

Це все одно, що зайти через вхідні двері.

Статистика безпеки веб-сайтів додатково підтверджує небезпеку слабких та незахищених даних для входу – викрадені або незахищені паролі становлять понад 81% атак WordPress.

У світлі цих фактів, залишати активним ім’я користувача за замовчуванням – admin – є серйозним порушенням безпеки. Атакам грубої сили потрібні ім’я користувача та пароль, щоб отримати доступ, а не змінюючи користувача за замовчуванням, ви вже втрачаєте половину успіху.

Досить страшної статистики.

Ви тут, щоб отримати дієві поради та рішення щодо захисту WordPress, тому перейдемо до цього.

Користуйтеся надійним веб-хостингом

Кожному онлайн-проекту потрібен віртуальний дім.

Ваш веб-хостинг (як не дивно) є першим і найважливішим бар’єром між веб-сайтом та хакерами. Отже, перш ніж поспішати з будь-якими рішеннями, переконайтесь, що постачальник послуг хостингу відповідає найновішим стандартам безпеки, а його сервери налаштовані на WP та його безпеку.

Керована платформа WordPress від надійного хоста повинна пропонувати більше, ніж стандартні тарифи. Автоматичні резервні копії та оновлення, власна конфігурація сервера та кваліфікована підтримка часто виявляються необхідними, коли ви шукаєте способи запобігти взлом WordPress.

Якісний хост WordPress чудово розуміє програму та її відомі вразливості. Це дозволяє йому забезпечити безпечне середовище для процвітання проектів WP. Такі постачальники завжди стежать за новими оновленнями та виправленнями безпеки, тому частіше за все ви можете уникнути певної загрози, ще не усвідомивши, що вона є.

Пам’ятаєте казку про трьох поросят ?

Якщо ви хочете зробити сайт WordPress захищеним від Великого поганого хакера, чи могли б ви його «замкнути» в будинку, побудованому з соломи, дерева чи бетону?

Резервні копії

Відповідальний власник бізнесу завжди повинен мати план на випадок непередбачених ситуацій.

Безпека веб-сайтів не є винятком. Розум, резервне копіювання баз даних та веб-сайтів, оскільки пошкоджена БД зробить ваші веб-сторінки марними.

Наскільки надійним може бути ваш господар, вам потрібно завжди до всього готуватися. Щоб уникнути незворотних змін, потрібно часто створювати резервні копії веб-сайтів. Я говорю як про резервні копії в Інтернеті, так і в режимі офлайн.

Не зрозумійте неправильно – як я вже згадував, автоматичне резервне копіювання хостів має важливе значення для безпеки вашого сайту на WordPress. Але жоден метод не є на 100% захищеним від злому; трапляються збої, крім того, більшість провайдерів мають обмежену потужність сервера і зберігають резервні копії лише кілька днів.

Багато експлойтів запускаються не відразу, тому, якщо ви не помітите проблему негайно, у вас можуть з’явитися лише заражені копії вашого веб-сайту.

Ніколи не недооцінюйте потужність автономних резервних копій.

Вони докладають мінімальних зусиль, але можуть врятувати багато безсонних ночей. Просто створіть резервну копію веб-сайту в Інтернеті, завантажте його через FTP і збережіть в автономному режимі або хмарній службі. Це все. Я не можу придумати нічого кращого, що ви можете зробити за п’ять хвилин, ніж забезпечення захисту вашого WordPress.

Багато веб-майстрів строго зберігають і створюють резервні копії веб-сайту після кожної нової модифікації. Хоча це хороша практика, якої я маю дотримуватися, я особисто рекомендую зробити ще один крок і створювати резервні копії даних щодня. Ви знаєте, що вони говорять (з причини):

Краще перестрахуватися, ніж потім шкодувати!

Регулярні оновлення

Видатні проекти з відкритим кодом – це все про прогрес та вдосконалення, тому вони рідко залишаються незмінними надовго. Багато оновлень програмного забезпечення включають виправлення та виправлення безпеки, а новіші версії мінімізують ризик старих бэкдорів, які можуть впустити зловмисників.

Це справедливий момент не лише для ядра WordPress, але й для всіх додаткових компонентів сайту.

Плагіни, теми, PHP – переконайтеся, що часто перевіряєте, чи всі вони оновлені.

Надто часто хакери отримують доступ до доповнень, які не оновлювались роками. Статистика злому WordPress з 2018 року виявляє сумний факт – лише 39% усіх установок WordPress оновлено до останнього стабільного випуску і приблизно на стільки ж відсотків працює найновіша версія PHP.

Виявляється, більше половини користувачів WP могли б також палити в бочці, повній вибухівки, сподіваючись, що вона не загориться.

Реквізит їм, але я вважаю за краще бути більш практичним, коли справа стосується мого бізнесу та засобів до існування.

Постійне оновлення всього виявляється вигідним, коли мова йде про діагностику веб-сайтів та проблеми сумісності. Якщо після оновлення виникає проблема, ви можете вимкнути кожен додатковий компонент із серверної бази WP і таким чином знайти той, який не працює належним чином у новому середовищі. Підсумок:

Ключ до того, як знати, як захистити свій веб-сайт WordPress, – це не відставати від регулярних оновлень програмного забезпечення, коли вони виходять. Вони автоматично виправляють уразливості.

Паролі та дозволи користувача

Використання паролів – це найпоширеніший спосіб хакерів отримати несанкціонований доступ до системи. Я знаю, що багато з вас можуть вважати за краще, щоб їхні дані для входу були легкими для запам’ятовування, але це 2019 рік, і ризиків для вашої безпеки в Інтернеті безліч.

Особливо, якщо ваші паролі однакові або подібні на різних платформах. Забудьте про улюблених людей, таких як:

  • qwerty
  • адміністратор
  • 12345
  • пароль
  • мавпа
  • ласкаво просимо
  • я тебе люблю
  • Здрастуйте
  • trustno1

Забудьте також про всі їх похідні.

Хакери добре знають ці паролі, і часто вони першими здогадуються.

Ви не можете в кінцевому рахунку захистити WordPress, якщо дасте порушникам ключ, чи не так?

Я знаю, що такий пароль, як Zx! AAr% eNy # 1b, здається, неможливо запам’ятати, але, на щастя, вам не потрібно. Надійні онлайн-менеджери паролів зберігають усі ваші сторонні облікові дані надійно заблокованими під головним паролем та в безпечному місці.

LastPass і Dashlane – це пара найкращих варіантів, які одразу ж приходять вам на думку.

Вибір довгого та складного проходу для входу цілком варто витратити зусилля – активи вашого сайту можуть дуже залежати від нього одного дня.

Повний підручник про те, як захистити WordPress, був би неможливим без згадки про роль дозволів користувача. Деякі проекти вимагають від кількох користувачів доступу до платформи WordPress. У таких випадках потрібно застосувати певні обмеження до того, до чого різні користувачі можуть отримати доступ.

Ось тут і з’являються дозволи користувачів.

Потрібно уважно стежити за процесом і забезпечувати, щоб кожен користувач мав достатньо доступу, щоб робити те, що їм потрібно.

Пам’ятаєте, коли ми вже говорили про атаки грубої сили?

Одним із простих способів захистити свою програму WordPress від них є обмеження спроб входу. Незважаючи на те, що це недоступно за замовчуванням, існує простий у встановленні, безпечний плагін WordPress, який чудово виконує цю трюк. Інструмент також забезпечує додатковий рівень захисту у вигляді перевірки капчі.

Розглядаючи питання надбудов безпеки, давайте оцінимо їх роль у нашому довгостроковому захисті WP.

Плагіни

Зараз ми вибрали надійного хостинг-провайдера та створили оптимізоване серверне середовище. Ми також переконались, що наші облікові дані для входу достатньо захищені від сторонніх очей.

Що далі?

Спеціальні плагіни безпеки для WP вирішують найпоширеніші вразливості та загрози для веб-сайтів – міжсайтові сценарії, ін’єкції SQL, зараження шкідливим програмним забезпеченням, фішинг-сторінки та інші популярні атаки. Визначення цих плагінів – це наступний крок до розуміння того, як захистити свій веб-сайт WordPress.

Майте на увазі, плагіни – це найбільш використовуваний дверний проріз серед хакерів у всьому світі. Таким чином, вам слід уважно стежити за тим, які з них ви обираєте.

Завантажте лише необхідні інструменти з відомих джерел, регулярно їх оновлюйте та відстежуйте, чи не постраждали вони від відомих вразливостей.

За останній рік WordPress зафіксував 30% збільшення повідомлених вразливостей , більше, ніж будь-яка інша система управління вмістом на ринку. Як ви думаєте, де відбулася більшість порушень?

Ви вже здогадалися – плагіни!

Ситуація настільки похмура, що навіть найпопулярніші плагіни безпеки WordPress не є цілком надійними. Wordfence та iThemes Security – це лише декілька відомих інструментів безпеки, які раніше мали власні вразливості.

Коли виявили загрози, розробники швидко повідомили спільноту. На їх честь, вони також негайно випустили виправлення безпеки. У таких випадках це найбільше, про що ви можете попросити.

І в цьому полягає проблема – 100% безпеки в Інтернеті досягти неможливо, тому швидкі реакції в неприємних ситуаціях так само важливі.

Ось кілька плагінів, які користуються постійним вдосконаленням та відданим підписуванням в Інтернеті.

Висновок

WordPress – улюблена ціль хакерів. Як власник веб-сайту, вам слід вирішити проблему. Доброю новиною є те, що часто використовуваних джерел атак не так вже й багато. Іншими словами, відбиватися від хакерів простіше, ніж здається.

Вам ледве потрібні будь-які технічні знання, щоб зрозуміти, як захистити свій веб-сайт WordPress – серія швидких налаштувань зробить цю роботу просто чудово:

  • Виберіть надійного веб-хоста
  • Резервне копіювання всього в Інтернеті та в офлайн
  • Регулярно оновлюйте
  • Зберігайте надійні та надійні паролі
  • Використовуйте надійні плагіни
  • Безпечні параметри входу в WP

Бачите, нічого особливого.

На даний момент ви вже відчуваєте себе майстром безпеки WordPress. Тепер продовжуйте робити свій веб-сайт безпечним.