Безопасность сайта!
Уверен, справитесь если даже вы не очень разбираетесь в технологиях! Как бы это не было странно, но подавляющее большинство владельцев сайтов никогда не настраивают свой первый сайт а то и второй!
Потом удивляются что через некоторое время, возникают серьезные проблемы. Давайте, ка Друзья напомним о главных ошибках которые возникают без должного настроя wordpress.
О тонкостях настройки подробно читаем в статье. Но в этой статье поговорим о безопасности.
Безопасность сайта, как без этого!
Начну с азов, не используйте «admin» в качестве имени пользователя. Большинство «хакеров» и атак на WordPress, пытается зверски пробраться в вашу админку, угадав пароль.
Это гораздо проще, если им не нужно угадывать ваше имя администратора! Отказ от использования общих слов (например, admin) может сделать атаки методом переборов намного менее эффективными.
Если вы работаете со старым сайтом, на котором уже есть пользователь с правами администратора, возможно, пришло время удалить эту учетную запись. Разумно передать доступ к более безопасному имени пользователя!
Безопасность сайта, используйте сложный пароль.
Наличие сложного пароля может значительно усложнить угадывание. Уникальные пароли могут быть трудно запомнить, верно? Вот где в игру вступают такие инструменты, как 1Password и LastPass, поскольку у каждого из них есть генераторы паролей.
Вы вводите необходимую длину, и он генерирует пароль для вас. Вы сохраняете ссылку, сохраняете пароль и продолжаете свой беззаботный день.
В зависимости от того, насколько вы хотите, чтобы пароль был безопасным, имеет смысл установить длинный пароль. Скажу так, 20 символов! Это хорошо и совсем не много! Примите решение о таких вещах, как включение менее обычных символов, таких как # или *.
Добавьте двух факторную аутентификацию.
Даже если вы не используете «admin» и у вас есть надежный, случайно сгенерированный пароль, атаки методом «грубой силы» могут быть проблемой.
Не волнуйтесь, двух факторная аутентификация может помочь защитить ваш сайт. Принцип заключается в том, что вместо того, чтобы просто вводить данные для входа, вам также необходимо подтвердить, что вы являетесь хозяином сайта.
А это просто, введя одноразовый код с другого устройства, которым вы владеете. Обычно через приложение на вашем телефоне.
Злоумышленникам такое гораздо сложнее подделать! Два популярных плагина для обработки аутентификации в WordPress — это Google Authenticator и Rublon Plugin. Просто убедитесь, что вы не потеряете свои резервные коды, иначе вы можете оказаться заблокированными.
Используйте привилегированные принципы.
Команда WordPress.org собрала отличную статью в Кодексе WordPress о ролях и возможностях. Я рекомендую вам прочитать и ознакомиться с статьей, потому что это относится к следующему шагу.
Концепция Least Privileged проста. Дать разрешения ТОЛЬКО:
1. Те, кому это нужно.
2. Когда им это нужно.
3. Только на время когда им это нужно.
Если кому-то требуется временный доступ администратора для изменения конфигурации, предоставьте его, но затем удалите его по завершении задачи. Хорошая новость заключается в том, что вам не нужно много здесь делать, кроме как использовать лучшие практики.
Вопреки распространенному мнению, не каждый пользователь, имеющий доступ к вашему экземпляру WordPress, должен быть отнесен к категории роли администратора. Назначьте людей на соответствующие роли, и вы значительно снизите свой риск безопасности.
Безопасность сайта, скрыть wp-config.php и .htaccess
Ваши wp-config.php и .htaccessfile имеют решающее значение для вашей безопасности WordPress. Они часто содержат ваши системные учетные данные и предоставляют информацию о структуре и конфигурации вашего сайта.
Обеспечение того, чтобы злоумышленники не могли получить к ним доступ, жизненно важно. Сокрыть эти файлы относительно легко, но если вы сделаете это неправильно, это может сделать ваш сайт недоступным.
Сделайте резервную копию и действуйте с осторожностью. Для лучшей безопасности WordPress вам нужно добавить это в ваш файл .htaccess, для защиты wp-config.php:
Используйте ключи безопасности WordPress для аутентификации.
«Ключи аутентификации» — это набор случайных величин, уникальных для вашего сайта, которые повышают безопасность (шифрование) информации в файлах cookie. В вашем файле wp-config.php есть специальная область, где вы можете указать свои собственные переменные.
Безопасность сайта, отключить редактирование файлов.
Вы можете сделать это из файла wp-config.php, добавив следующую строку кода: define(‘DISALLOW_FILE_EDIT’, true);
Вы по-прежнему сможете редактировать свои шаблоны через ваше любимое приложение FTP. Вы просто не сможете сделать это через сам WordPress.
Скрыть ваш логин и ограничить попытки входа
Атаки грубой силой обычно нацелены на вашу форму входа. Поэтому изменение места их обитания может затруднить проникновение злоумышленников.
Плагин All in One WP Security & Firewall имеет возможность просто изменить URL-адрес по умолчанию (/ wp-admin /) на более безопасный.
Кроме того, вы также можете ограничить количество попыток входа с определенного IP-адреса. Есть несколько плагинов WordPress, которые помогут вам защитить форму входа в систему от IP-адресов, которые запускают множество попыток входа в ваш путь.
Безопасность сайта, будьте избирательны с XML-RPC.
XML-RPC — это интерфейс прикладных программ (API), который существует уже давно. Это используется многими плагинами и темами, поэтому я предупреждаю тех, кто менее технически подкован.
Существует ряд плагинов, которые помогут вам быть очень избирательным при реализации и отключении XML-RPC по умолчанию.
Хостинг и безопасность WordPress.
Даже если вы дотошны в том, что касается безопасности вашего веб-сайта, если он находится в ведении компании, которая не так дотошна, вы, возможно, вообще ничего не сделали.
Если злоумышленник может получить доступ к хостингу вашего сайта, он может получить полный контроль над всем. Это означает, что очень важно, чтобы вы выбрали хост, который серьезно относится к хостингу. Более дешевые варианты хостинга часто не обеспечивают хорошую безопасность.
Общий хостинг (который часто используется в дешевых пакетах) часто представляет особую опасность. Поскольку злоумышленники могут получить доступ к вашему сайту через другой взломанный сайт в той же системе.
Вот почему всегда рекомендуется тратить немного больше на приобретение место для хостинга
Будьте в курсе.
Быть в курсе дел — это легко сделать, но мы понимаем, насколько сложно это может быть для владельцев веб-сайтов в повседневной жизни. Ваши сайты являются сложными существами. У них много разных вещей, происходящих в любой момент времени.
Иногда сложно быстро применить важные изменения. Вот почему, нередко, веб-сайты живут с устаревшими кодами. Это относится к плагинам, и даже в программном обеспечении. К сожалению, это делает Ваш сайт особенно уязвимыми для хакеров.
Очень важно, чтобы обновление ваших тем, плагинов и других компонентов было частью постоянной рутины. В противном случае вы оставляете дверь открытой для злоумышленников.
Поместите.
Лучшие решения в области безопасности, предотвращают проникновение злоумышленников на ваш сайт. Вот почему я рекомендую, чтобы на Вашем сайте был установлен плагин для брандмауэра WordPress.
Эти плагины ищут известных злоумышленников и распространенные шаблоны атак и останавливают их, прежде чем они смогут хакнуть ваш сайт.
Стоит также учитывать, что многие системы доставки контента теперь включают функции брандмауэра. Cloudflare, в частности, отлично блокирует «плохой трафик» и даже имеет правила и проверки, специально разработанные для защиты сайтов WordPress.
Безопасность сайта, лучшие плагины и темы.
Большинство пользователей WordPress склонны применять темы и плагины к своим сайтам по желанию. Я рекомендую помнить о тестировании различных тем или плагинов, особенно если вы не используете тестовый сервер.
Большинство плагинов и множество тем являются бесплатными. Если у разработчика нет надежной бизнес-модели, для бесплатных раздач, то безопасность, возможно, не была наивысшим приоритетом при разработке.
Другими словами, если разработчик поддерживает плагин только потому, что это весело! Есть вероятность, что он или она не нашли время, чтобы сделать надлежащие проверки безопасности.
При добавлении плагина или темы, всегда проверяйте рейтинг этого плагина на WordPress.org. Имейте в виду, что один 5-звездочный рейтинг ничего вам не скажет, поэтому всегда проверяйте количество оценок.
В зависимости от ниши, плагин должен иметь возможность получить несколько отзывов. Если все больше людей думают, что плагин — это круто, вы можете чувствовать себя более уверенно в его использовании.
Безопасность сайта, совместимость плагина.
Есть еще одна вещь, которую вам надо проверить. Если плагин не обновлялся в течение двух лет, WordPress сообщит вам об этом. Однако, это не обязательно означает, что это плохой плагин. Это также может означать, что не было необходимости обновлять его просто потому, что плагин все еще работает.
ОДНАКО, настоятельно рекомендую не использовать плагины, которые не обновлялись так долго. Вы должны поверить мне на слово.
Основываясь на рейтингах и совместимости, вы можете вдумчиво выбирать плагины и в то же время помнить о своей безопасности WordPress.
Если вы зашли так далеко в этой статье, у вас больше не будет повода не улучшать безопасность WordPress. Помните, это для вашего сайта.
Подобно добавлению постов и страниц, проверка безопасности WordPress должна быть рутиной для каждого владельца сайта WordPress. Также имейте в виду, что это не полный список того, что вы можете сделать для защиты своего сайта.
Я знаю, что нужно! Например, создавать регулярные резервные копии, для обеспечения безопасности вашего сайта. Тем не менее, я верю, что эта статья о безопасности WordPress дает практический список того, что вы можете и должны сделать. Чтобы обеспечить хотя бы первый уровень защиты вашего сайта.
Помните, что безопасность WordPress не является абсолютной, и мы должны усложнить задачу хакерам!
Удачи Друзья!