Безопасность сайта на WordPress 14.04.2021 (00:01)

https://webhost1.ru/upload/blog/WEBHOST%20wordpress%20out-02.png


В предыдущей статье мы разбирали основные шаги создания сайта на WordPress. Теперь же миссия заключается в том, чтобы его обезопасить.

Но для чего это делать, если мы создаем, к примеру, какой-то блог или иную страницу, которая вряд ли интересна хакерам? Причин может быть много, и не обязательно злоумышленники нацелены именно на какой-то определенный ресурс.

Мотивы взлома сайта
  • Получение ресурсов сервера для их использования;
  • Распространение вредоносного ПО;
  • Шалость или тренировка на проникновение и т.д.
  • Хакеры могут применять различные виды взломов: DDOS, SQL-инъекции, XSS-атаки, bruteforce, FPD (отображение полного пути к папке папке сайта), обход системы безопасности, внедрение вредоносного ПО на сайт в случае отсутствия проверки на формат и содержимое, переадресацию запросов к странице на постороннюю страницу.

    Способы повышения безопасности сайта на WordPress

    1. Пользуйтесь последней версией CMS WordPress и PHP.
    С каждым новым обновлением разработчики усиливают систему безопасности, находят новые ошибки и уязвимости, быстро устраняют их.
    Также не нужно забывать, что это относится и к последним версиям плагинов и тем.

    2. Тщательно подбирайте хостинг.
    Лучше всего выбирать VPS (виртуальный выделенный сервер). Тогда можно получить возможность делать индивидуальные настройки, выбирать ОС и ПО. Кроме того, сайт не будет находиться на одном сервере с множеством других сайтов, в отличии от shared-серверов. Нужно учесть, что в таком случае вся ответственность за настройку и безопасность ляжет на вас. Рекомендуется подобрать системного администратора.

    3. Подбирайте безопасные логин и пароль, 2FA.
    Чтобы злоумышленники не могли получить доступ к административной панели, следует изменить логин с admin и придумать пароль в соответствии со следующими правилами:

    • Пароль должен содержать в себе не менее 11 символов;
    • Пароль должен содержать в себе три типа символов: заглавные буквы, строчные буквы, знаки и цифры;
    • В пароле должны отсутствовать обычные слова, даты рождения, имена, номера телефонов и так далее;
    • Пароль не должен повторяться с вашими паролями на других ресурсах.
    • Не забываем и про двухфакторную аутентификацию при входе в панель. Это вид расширенной аутентификации, которая значительно усложняет процесс проникновения для злоумышленника.

    4. Обезопасьте административную панель.
    WordPress делает стандартный адрес для входа в панель администратора, знакомый всем, поэтому ее следует изменить. Также рекомендуется возможность ограничить количество попыток входа в качестве дополнительного элемента безопасности.

    5. Используйте HTTPS-соединение и SSL-сертификат.
    HTTPS — защищенный протокол передачи гипертекста. Обеспечивает зашифрованную передачу данных между сервером и пользователями.
    SSL (уровень зашифрованных сокетов) - криптографический протокол. Обеспечивает зашифрованное соединение между веб-сервером и браузером.

    6. Обновляйте ключи безопасности и соли.
    Ключи безопасности - набор случайных символов, использующиеся для шифрования информации в файлах Cookie.
    Соли - набор случайных символов, усиливающий безопасность ключей.
    При установке WordPress создает это все автоматически, но они не будут уникальными. Их также может и не быть.
    Создать или изменить ключи безопасности и соли можно на официальном сайте.

    7. Скрывайте конфигурации сайта.
    Еще один шаг к повышение безопасности. Следует скрывать от посторонних глаз используемую версию ПО, версии ядра.

    8. Обдуманно разграничивайте права модераторов и администраторов.
    Выдавайте всем пользователем правильные роли во избежание путанницы и действий, нарушающих безопасность сайта.

    9. Подключайте защиту от DDoS-атак.
    Не поленитесь и тщательно подберите себе сервис, который сможет обеспечить вам защиту от DDoS и, возможно, других атак. Конечно, это платно, поэтому тариф выбирать нужно, учитывая специфику вашего сайта.

    10. Делайте резервные копии.
    Это не менее важный этап. В случае каких-либо преднамеренных вредоносных действий или сбоев вы всегда сможете откатиться.

    11. Используйте плагины для повышения безопасности и выполнения некоторых пунктов выше.

    WebHOST1 предлагает надежный хостинг для WordPress с широким набором опций, включая защиту от DDoS-атак.

    ### Некоторые из полезных плагинов **WP Cerber** Поможет ограничить попытки входа, отслеживание входов, изменить адрес панели администратора, вести журнал пользователей, хакеров и подозрительной активности, проверять на безопасность и целостность файлы, плагины, темы, скрыть админ-консоль от неавторизованных пользователей, отключить XML-RPC и многое другое. **2FAS Prime** Внедрении двухфакторной аутентификации при входе в админ-панель. Acunetix WP Security Анализирует доступ к системным файлам, админ панели, проверяет защиту данных. ### Итог Если перечислять все виды угроз и способы защиты от них, получится целая книга. Технологии стремительно развиваются, а злоумышленники всегда на шаг впереди. Важно всегда помнить о безопасности и не думать, что пронесет. Советуем воспользоваться способами, описанными выше, не расслабляться и не останавливаться только лишь на этом. Будьте осторожны и бдительны — это всегда уместно.
    Мы используем файлы cookie. Продолжая использовать сайт, вы соглашаетесь с политикой использования cookie файлов. Принять