Автор: Рубрики: Полезности Просмотрено: 113
7 шагов к более безопасному сайту на Wordress. Что нужно сделать?
06Сен2019

Рано или поздно большинство веб-сайтов сталкиваются с проблемами безопасности. Ситуации бывают разные – пользователь оставил информацию о своей учетной записи там, где не нужно, злоумышленник решил взломать ваш сайт, или плагин нашел уязвимости в системе безопасности. Независимо от конкретной проблемы, аудит безопасности веб-сайта – это лучший способ определить такого рода недостатки, прежде чем они смогут нанести существенный ущерб.

Полный аудит безопасности может занять некоторое время, так как обычно он состоит из нескольких шагов. Например, вы хотите убедиться, что WordPress и все его компоненты обновлены, а система резервного копирования работает должным образом. Тем не менее, это время может значительно окупиться в долгосрочной перспективе, защищая как вас, так и посетителей вашего сайта.

В этой статье мы рассмотрим семь важных шагов для проведения комплексного аудита безопасности вашего сайта. У нас есть много возможностей, так давайте используем их!

Почему важно проводить регулярные проверки безопасности на вашем сайте?

Многие люди не обращают много внимания на безопасность веб-сайтов, пока не сталкиваются с проблемами. Иными словами, если на вашем сайте есть уязвимость в системе безопасности, то вы знаете, что в какой-то момент может возникнуть проблема.

Смысл полного аудита безопасности веб-сайта заключается в том, что он позволяет вам пересматривать и усиливать используемые методы, чтобы снизить вероятность возникновения проблем в будущем. Периодически выполняя эти проверки, вы вряд ли пропустите какие-либо явные проблемы с безопасностью. А это прежде всего поможет обеспечить надежную защиту данных ваших пользователей.

Рекомендуется проводить аудит не реже одного раза в год, хотя вы можете увеличить частоту, если ваш сайт большой или содержит особо конфиденциальную информацию (например, данные об оплате).

Тщательный аудит безопасности должен состоять из нескольких шагов, так как вы будете оценивать свой сайт сверху поэтапно. Давайте пройдемся по самым важным задачам.

  1. Проверьте наличие обновлений ядра, плагина, темы или PHP для WordPress.

Устаревшее программное обеспечение является одной из основных причин проблем безопасности веб-сайтов. Чем более устаревшим становится программное обеспечение, тем больше вероятность того, что злоумышленники смогут найти уязвимости для дальнейшего использования, например, чтобы проникнуть на ваш сайт и нанести серьезный ущерб.

Вот почему WordPress настаивает на использовании последней версии и обновлениях плагинов и тем, установленных на вашем сайте. Чем дольше вы затягиваете обновления компонентов своего сайта, тем больше рискуете.

Это также относится к PHP-версии вашего сервера, на которой стоит WordPress. Последние версии PHP более безопасные и быстрые, поэтому по возможности стоит обновиться до последних сборок.

  1. Управляйте своими резервными копиями и инструментами резервного копирования.

Помимо обновления компонентов вашего веб-сайта, наиболее важной вещью, которую вы можете сделать для обеспечения его безопасности, является частое резервное копирование данных. Это означает создание полных резервных копий всех ваших файлов и баз данных вашего сайта, хранение копий в нескольких местах.

Для оптимальной настройки мы рекомендуем использовать хостинг-провайдера, который часто выполняет резервное копирование сайтов. Кроме того, вы также должны создать собственное решение для независимого резервного копирования. Если вы ищете отличный плагин для резервного копирования, можно использовать UpdraftPlus.

UpdraftPlus позволяет создавать резервные копии вручную по желанию и автоматизировать процесс. 

  1. Оцените имена ваших пользователей, пароли и имя базы данных

Большинство людей выбирают небезопасные учетные данные. В худшем случае используется одно и то же имя пользователя и пароль для нескольких учетных записей. Это означает, что в случае взлома одного аккаунта, последует взлом и остальных с такими же учетными данными. 

Во-первых, если вы используете имя пользователя по умолчанию, например, admin, для своей учетной записи WordPress, меняйте это сразу. Также убедитесь, что вы установили длинный безопасный пароль:

safe-password

В идеале вы должны использовать менеджер паролей, такой как Keeper или Dashlane, чтобы легче создавать уникальные, безопасные пароли и отслеживать их. Вы также должны настаивать на том, чтобы ваши сотрудники делали то же самое, и, по возможности, использовать безопасные пароли для ваших обычных пользователей.

Аналогично, использование префикса по умолчанию для вашей базы данных WordPress. Это может упростить пользователям идентификацию и попытку получить к ней доступ. Так что переходите от wp_ к чему-то, что не так легко угадать.

  1. Удалите неиспользуемые плагины, темы и файлы с вашего сервера.

Большинство из нас устанавливают большое количество плагинов и тем, которые в конечном итоге не используют. Аналогично, когда мы закончили работу с плагином, мы часто забываем удалить его. Проблема в том, что иногда эти старые файлы плагинов и тем могут открывать уязвимости безопасности на вашем сайте, даже если они деактивированы.

Этот шаг довольно прост – взгляните на свои вкладки Темы и плагины и подумайте, какие из них вам действительно нужны. Если есть что-то, что вы деактивировали, избавьтесь от него:

plugins-list-dashboard

После удаления этих тем и плагинов убедитесь, что они не осталось никаких файлов.

  1. Оцените свои методы предотвращения атак. 

Ваша страница входа в WordPress – это первая линия защиты от атак, поэтому важно убедиться, что она защищена от попыток подбора пароля. Есть несколько способов сделать это, в том числе:

  • Реализация двухфакторной аутентификации (2FA)
  • Ограничение количества попыток входа с одного IP в течение установленного периода времени
  • Белый список, какие IP-адреса имеют доступ к панели инструментов
  • Изменение стандартного URL для входа в WordPress

Для обеспечения этих пунктов придется много поработать. Однако вам нужно реализовать каждую из этих мер безопасности только один раз, и тогда вы сможете забыть о них до следующего аудита безопасности.

  1. Выйдите или удалите неактивных пользователей.

Множество пользователей не выходят с учетных записей сайтов, чтобы потом повторно не вводить учетные данные при следующем посещении. Необходимо гарантировать, что в случае потери доступа к вашему устройству, никто другой не сможет использовать вашу информацию.

Самый простой способ предотвратить возникновение такой ситуации – настроить WordPress на автоматический выход из режима ожидания неактивных пользователей через определенное время. Таким образом, никто не сможет использовать учетные записи для доступа к вашему сайту. Вы можете установить это с помощью бесплатного плагина Inactive Logout.

  1. Найдите и устраните уязвимости.

Наконец, что очень важно, есть много полезных инструментов, которые вы можете использовать для сканирования вашего сайта и поиска (и даже исправления) уязвимостей. Разумеется, речь идет о плагинах безопасности WordPress.

Использование плагина безопасности WordPress может помочь вам защитить ваш сайт, позволяя регулярно выполнять сканирование на наличие уязвимостей и зараженных файлов.

Есть много вариантов на выбор, но если вам нужна быстрая рекомендация, тогда выбирайте Sucuri или удобный плагин Wordfence.

Помимо инструментов безопасности, также можно установить плагин журнала активности WordPress. Например, журнал аудита безопасности WP помогает отслеживать все мелочи, происходящие на вашем сайте. Это включает в себя логины пользователей, изменения на ваших страницах, изменения файлов и многое другое.

Объедините плагины безопасности и журнал аудита со всеми методами, которые мы рассмотрели выше, и ваш сайт станет максимально безопасным.

 

Вывод. 

Умные методы обеспечения безопасности веб-сайтов, как правило, направлены на предотвращение. Убедившись, что вы справляетесь с ключевыми задачами, вы можете предотвратить большинство проблем безопасности с вашим сайтом в будущем.

Например, просто убедившись, что ваша система резервного копирования работает, вы можете избавить себя от множества головных болей, если вы когда-нибудь столкнетесь с уязвимостью в системе безопасности или сбоем вашего сайта.

Существует много этапов тщательного аудита безопасности. Однако некоторые из важных процессов включают обновление всех компонентов вашего сайта, обеспечение надежной защиты вашей страницы входа в систему и использование сложных паролей. За несколько часов усилий вы сможете эффективно защитить свой сайт и его пользователей.

Желаем успехов в этом нелегком труде!

Перевод с блога themeisle.com.

114 раз(а) 9 Сегодня просмотрено раз(а)
  • Семён Семёныч

    Со всем согласен, кроме пункта №1 про обновление. После обновления, как правило, начинаются глюки. Вордпресс часто выкатывает новые версии, но походу он их вообще не тестирует в рабочих условиях.

    • Марина Семёнова

      Есть такое, у меня после обновления отвалился редактор статей. Никак не хотел сохранять форматирование текста и картинки в нужном размере. Благо быстро поправили.

  • Марина Семёнова

    Решила прислушаться к совету об удалении неактивных пользователей – как вы считаете, сколько должен отсутствовать человек, чтобы его смело можно было удалять?