Захист Wordpress від злому? Або все про безпеку Worpdress сайту
Як захистити сайт на Wordpress? Насправді, це дуже актуальне питання для власників сайтів на wordpress. Щодня зламуються тисячі сайтів, і щоб не стати жертвою хакерів, рекомендуємо дотримуватися порад, як захистити сайт від вірусів wordpress і не тільки.
Встановлення складного пароля
Як би не було це примітивним, але складний правильний пароль дуже добре впливає на безпеку сайту. На жаль, багато користувачів забувають про це та встановлюють прості паролі до адміністративної частини сайту, які легко ламають спеціальні програми з підбору паролів. Якщо ваш сайт вам дорогий, то обов'язково подбайте про створення складного пароля.
У цьому вам допоможе Генератор паролів. Такий пароль, щоб не втратити, слід зберегти окремо і, як би це банально не звучало, не передавати третім особам. Це базове правило захисту будь-якого сайту.
Зміна стандартного логіну
Стандартний логін до адмін частини сайту wordpress - Admin. Це, на жаль, знають усі, у тому числі хакери, яким у такому разі ще легше зламати ваш сайт. Цей логін можна змінити і ускладнити роботу хакерам.
У налаштуваннях системи Користувачі можна Додати нового, створити для нього творчий логін та встановити необхідні налаштування. Після додавання старий обліковий запис з логіном Admin необхідно видалити в панелі керування.
Резервне копіювання
Якщо ви вирішили захистити wordpress від злому, то слід бути готовим до того, що ваш сайт все-таки зламають. На такому разі у вас завжди має бути актуальна резервна копія сайту, яку ви зможете відновити.
Резервне копіювання має бути включене до послуги хостингу сайту, але також слід не забувати час від часу робити копії сайту на локальний пристрій. Також є спеціальні плагіни системи, які спрощують бекапірування, наприклад, UpdraftPlus WordPress Backup Plugin.
Регулярні оновлення
Робити резервне копіювання сайту дуже корисно при наступному оновленні системи Wordpress. Саме з оновленнями зменшується ризик злому, оскільки кожна нова версія закриває виявлені вразливості системи. Оновлення можна зробити за допомогою вбудованих інструментів WordPress. Як тільки з'являється нова версія, ви отримаєте сповіщення у своїй панелі.
Встановлення HTTPS
Безпечне з'єднання HTTPS на сайті не тільки захищає передачу даних користувачів, а й підвищує рівень довіри від пошукових систем. Тому для підвищення загального рівня безпеки потрібно встановити на свій WP сайт сертифікат SSL. Це може бути як безкоштовний сертифікат, так і платний, який забезпечує надійніший рівень захисту даних на сайті. Придбати SSL можна на сайті хостинг-провайдера.
Офіційні джерела плагінів та тем
Якщо вам не потрібні проблеми з безпекою сайту WP, встановлення тем і плагінів необхідно проводити виключно з офіційних джерел. На різних сайтах в інтернеті можна знайти багато корисних на перший погляд доповнень для WordPress, але не всі вони безпечні та перевірені. Тому, щоб уникнути злому сайту, не варто встановлювати такі доповнення на свій сайт.
Плагіни захисту
Для підвищення рівня безпеки сайту на WP розроблено спеціальні плагіни.
iThemes Security допоможе захистити сайт на wordpress від злому, а саме пропонує захист облікових записів, баз даних, файлової системи сайту та інший корисний функціонал. Встановлення цього плагіна доступне безпосередньо з панелі керування WP.
Wordfence Security - Firewall & Malware Scan - плагін з безкоштовною та платною версією. Для початку роботи безкоштовного функціоналу буде достатньо. Так плагін пропонує сканер на шкідливий код сайту. Також є можливість підключення двофакторної авторизації та зручні інструменти для зміни стандартних налаштувань системи та підвищення рівня безпеки. Платна версія набагато розширена, але безкоштовного функціоналу достатньо для вирішення базових завдань.
All In One WP Security & Firewall дозволяє користувачам WordPress з будь-яким рівнем знань захищати облікові записи користувачів, інформацію для входу в систему, базу даних, файли та багато іншого. Він використовує систему підрахунку очок безпеки, щоб одразу сказати, наскільки безпечний ваш сайт на основі кількості включених вами функцій безпеки. Він розбиває функції безпеки на базові, проміжні або розширені параметри залежно від того, як вони вплинуть на функціональність вашого сайту. Він також містить механізми брандмауера, функції чорного списку та включає пошук WHOIS для перевірки підозрілих IP-адрес та доменних імен.
All in One WP Security також включає прості функції резервного копіювання та відновлення файлів htaccess і wp-config.
Перелік усіх доступних плагінів безпеки є на офіційному сайті Wordpress за посиланням.
Захищені протоколи передачі даних
Як захистити адмінку Wordpress? Для роботи із сайтом використовуйте спеціальні захищені протоколи передачі даних – SSH або SFTP. Це протоколи, захищені шифруванням.
Канали передачі цими способами стійкі до злому проти звичайних FTP протоколів. Використовуйте також спеціальну утиліту SSHGuard, яка допоможе захистити ваш обліковий запис SSH від перебору пароля, який так часто використовують шахраї.
Обмеження спроб авторизації
Для того, щоб вас не зламали, також можна використовувати спеціальні плагіни, які обмежують кількість спроб авторизації. Це Cerber Limit Login Attempts або Login Lockdown.
Перший варіант плагіна дозволяє налаштувати тривалість блокування, а також білі та чорні IP-адреси, за якими може відбуватися підключення.
Двофакторна авторизація
Крім вибору складного та максимально надійного пароля, слід також включити двофакторну авторизацію. За допомогою двоетапного процесу входу в адмінку її дуже складно буде зламати, хіба що при отриманні доступу до вашого смартфону.
Для підключення цього типу захисту використовуються спеціальні плагіни, наприклад, 2FAS Light – Google Authenticator або інші. Додатковий метод аунтефікації чудово поєднується з іншими методами захисту сайту Wordpress і дуже ускладнює процес злому.
Надійний хостинг
Стабільний та безпечний хостинг – базова основа для роботи кожного сайту, не тільки на WordPress. Тому для сайту завжди слід обирати хостинг послугу, яка відповідає критеріям безпеки. Забудьте про безкоштовні хостинги, у них немає натяку на надійність, адже на безоплатній послузі ніхто нікому не зобов'язаний. Вибирайте виключно платні, перевірені роками хостинги, які мають багато хороших відгуків від користувачів. Наприклад, цей хостинг відмінно підійде під сайт Вордпрес.
Захист wp-config.php
Щоб захистити сайт від злому wordpress, необхідно, в першу чергу, подбати про захист файлу wp-config.php. Цей файл містить важливу інформацію для входу до бази даних, включаючи ключі безпеки для файлів cookie.
За замовчуванням файл зберігається в кореневій папці. Але його бажано перемістити вище за каталог www, для цього скопіюйте дані в новий файл і підключіть його для підвищення рівня безпеки.
Приховування версії CMS
Насамперед, фахівці рекомендують завжди оновлювати до актуальної версії Вордпрес. Але не слід виставляти на показ, яку саме версію програмного забезпечення використовує ваш сайт, особлив, якщо вона застаріла. Це з вигодою для себе можуть використовувати шахраї.
Щоб приховати версію від сторонніх очей, потрібно додати спеціальний код до файлу теми functions.php. Це може за запитом виконати ваш веб-розробник, якщо у вас недостатньо досвіду для роботи з кодом системи.
Ddos захист
Чим ще захистити сайт на Wordpress? Необхідно використовувати хоча б базовий DDOS захист для свого сайту, не лише на Wordpress. На відміну від злому сайту, Ddos атака не порушує файли сайту, а відключає доступ до сайту для користувачів з мережі.
Якщо такі атаки шкодять розвитку вашого бізнесу на wordpress-сайті, то найкраще придбати платний тариф захисту сайту від Ddos, адже подібні атаки можуть тривати тривалий час і значно нашкодити репутації сайту. Як захистити сайт на Wordpress від doss атак? Тільки за допомогою спеціально розроблених для цього сервісів захисту.
Автоматичний логаут
Спеціальний плагін Inactive Logout допоможе зробити налаштування для автоматичного виходу з адмінки для користувачів, що позитивно вплине на безпеку вашого wp сайту, оскільки не дозволить хакерам перехоплювати відкриті сесії.
Ви зможете налаштувати час для розподілу та попереджувальне повідомлення для користувача системи.
Вимкнення редактора файлів
Редактор файлів може використовуватися для зміни підключених плагінів та тем сайту. Уявіть, що зловмисник отримав доступ до редактора, тому, якщо ви його не використовуєте у повсякденній роботі із сайтом, його краще повністю відключити. Це можна зробити за допомогою додавання спеціального коду wp-config.php або через плагін Sucuri Security в Hardening автоматично.
Захист від ботів
Як захистити сайт від атаки ботів? Чи є плагін wordpress для цієї мети?
Блокуйте поганих роботів. Погані роботи можна заблокувати за допомогою файлу robots.txt. Цей файл складається з правил, яким повинні підпорядковуватися всі роботи, і одна річ, яку ви можете зробити, вказати роботам, які сторінки на вашому сайті WordPress виходять за рамки допустимого. Якщо робот не підпорядковується правилу і відвідує сторінку, виключену файлом robots.txt, буде ясно, що це робот з поганими намірами. Саме тоді його може заблокувати Blackhole for Bad Bots – плагін із конкретною метою. Плагін додасть приховані посилання на сторінки вашого сайту, які можуть бачити лише боти, а не люди. Як тільки ви додасте шаблон до файлу robots.txt, ботів буде легко виявити.
Перемістіть сторінку входу. Боти для атаки постійно намагаються пройти аутентифікацію через сторінку входу на сайт. Боти здатні здійснювати сотні спроб входу до системи. Це не лише поставить ваш сайт під загрозу, а й поглине багато ресурсів. Більшість цих ботів досить прості, і простого переміщення сторінки входу буде достатньо, щоб відволікти їх. Хоча є кілька плагінів, які можуть служити цій меті, наприклад, WP Cerber або Move Login. По суті, обидві ці плаuіна мають одну й ту саму мету — вони дозволяють вам змінити URL-адресу сторінки входу на будь-що.
Використовуйте WAF (брандмауер веб-програм). WAF відстежує та блокує HTTP-трафік до програми та від неї. На відміну від звичайного брандмауера, WAF може фільтрувати вміст певних веб-застосунків. Їх можна завантажити разом зі списком вже відомих поганих ботів, які автоматично блокуватимуть усі запити з цих IP-адрес. Деякі плагіни WordPress, наприклад Sucuri, включають WAF, який оновлюється в режимі реального часу. Цей метод не забезпечить 100% захист вашого сайту WordPress, але допоможе підвищити його безпеку.
Перевірка активності
Ви знатимете, як захистити в wordpress запис від злому або весь сайт в цілому, і коли саме це потрібно буде зробити, тільки в тому випадку, якщо ви будете проводити регулярний аудит активності. Таким чином ви точно знатимете, що відбувається на вашому сайті, а особливо відстежувати події, які безпосередньо пов'язані з безпекою сайту на WP. Для аудиту можна використовувати, перш за все, Журнал активності WP. Це спеціальний плагін для ведення журналу активності, у якого багато настроюваних параметрів та можливостей для відстеження дій користувачів сайту. Також ще можна використовувати інші плагіни для аудиту активності, як Simple Hostory або Activity Log.
Сподіваюся, наша добірка порад допоможе убезпечити ваш сайт на WP та зробити його роботу ще більш стабільною. Для замовлення надійного хостингу для Вордпрес, звертайтесь до компанії ГіперХост.