WordPress – одна из самых известных систем управления контентом в мире благодаря удобству в использовании и универсальности. Однако за такую популярность приходится платить – она привлекает нежелательное внимание преступников.
Тема безопасности WordPress имеет решающее значение для администраторов веб-сайтов, которые используют WordPress. А это около 35% веб-сайтов [/link в Интернете]. Веб-администраторам необходимо принять ряд мер предосторожности, чтобы обеспечить защиту своего веб-сайта и посетителей. Следуйте этому чек-листу по безопасности WordPress, чтобы получить базовые знания.
Безопасность WordPress – это бесконечная работа
Невозможно полностью устранить угрозы. Безопасность веб-сайтов – и кибербезопасность в целом – сводится к максимально возможному снижению риска. Что означает использовать нескольких методов безопасности и мер предосторожности для предотвращения угроз.
Угрозы продолжают развиваться по мере того, как преступники становятся все более изощренными. Поэтому администраторам веб-сайтов нужно следить за тем, чтобы их методы защиты оставались актуальными.
Чек-лист для защиты сайта WordPress
1. Используйте плагины безопасности
Плагины – программные продукты, которые делают WordPress таким универсальным. Для WordPress существуют тысячи плагинов безопасности, каждый из которых имеет свой набор функций. На их сортировку уйдет слишком много времени, поэтому проведите небольшое исследование, чтобы найти лучшие.
Существуют разные типы подключаемых модулей безопасности, и большинству веб-сайтов требуется несколько плагинов, чтобы оставаться должным образом защищенным. Но тщательно проверьте каждый из них перед установкой, потому что, как и в случае с приложениями на мобильных телефонах, они могут быть поддельными или взломанными. Перед установкой темы или плагина изучите отзывы пользователей, базовый размер и условия обслуживания поставщика.
Смотрите также:
Лучшие плагины WordPress для защиты вашего сайта
2. Регулярно просматривайте темы и плагины WordPress
Плагины и темы могут представлять угрозу для веб-сайтов из-за ошибок, открывая тем самым доступ к данным сайта. Разработчики регулярно отказываются от обновления плагинов, тем самым делая их устаревшими и опасными.
Пару раз в год проверяйте темы и плагины, по-прежнему ли они поддерживаются, и регулярно получайте обновления.
3. Управление входами в учетную запись WordPress и разрешениями пользователей
Многие атаки сосредоточены на учетных записях администраторов с использованием стандартных методов, таких как атаки методом перебора, заполнение учетных данных и атаки с помощью кейлоггеров паролей. Всегда заменяйте учетную запись администратора по умолчанию и используйте уникальные имена пользователей и пароли для каждой учетной записи. Кроме того, убедитесь, что для всех учетных записей включена двухфакторная аутентификация.
Если есть несколько учетных записей с доступом к веб-сайту, используйте принцип наименьших привилегий. Предоставляйте права доступа учетным записям только на основе действий, которые они должны выполнить, и ничего более. Это ограничивает количество вещей, к которым хакеры имеют доступ, если они получат доступ через любую учетную запись.
4. Ограничьте попытки пользователей войти в систему
WordPress автоматически разрешает неограниченное количество входов пользователей в систему, но это можно изменить. Либо используйте плагин, либо брандмауэр веб-приложений (WAF), чтобы ограничить количество входов в систему для каждого пользователя. Это запрещает хакерам получать доступ к учетным записям с помощью грубой силы или методом распыления паролей.
5. Используйте VPN при входе на сайт
Хотя администраторы могут принять все меры предосторожности для защиты своего веб-сайта, все это спорный вопрос, если их устройства и сеть не защищены. Хакеры будут использовать любую точку входа для проникновения в систему, то есть через зараженное устройство или незащищенную сеть.
Существует множество способов добавить дополнительные уровни безопасности к устройствам. Обязательно проконсультируйтесь по вопросам кибербезопасности ваших устройств и настройте политику безопасности устройств.
Что касается сетевой безопасности, то лучше всего подходят VPN. Это инструмент, который создает безопасное и зашифрованное соединение между вашим устройством и местом назначения в Интернете. Он защищает от атак типа "человек посередине" и SSL, а также от хакеров, идентифицирующих администраторов по их IP-адресам.
6. Обновляйте WordPress, темы и плагины
Администраторы сайта получают уведомления (если используются плагины безопасности), когда появляются новые обновления WordPress, и важно применить их как можно скорее. Обновления обычно содержат важные исправления безопасности для недавно выявленных слабых мест или ошибок.
Обновления WordPress можно настроить на автоматическую загрузку по мере их выпуска. Идеально подходят автоматические обновления, так как их можно установить мгновенно. То же самое касается плагинов и тем, хотя их, возможно, придется проверять и обновлять вручную в зависимости от плагинов и настроек.
7. Создавайте резервные копии WordPress
Регулярно выполняйте резервное копирование веб-сайта. Это гарантирует, что стабильная версия будет готова к работе, если что-то пойдет не так. Резервное копирование пригодится не только в случае возникновения чрезвычайной ситуации в области кибербезопасности, но и в целом является хорошей практикой.
Хотя этот чек-лист охватывает все основы, это не полное руководство по безопасности WordPress. Администраторам WordPress следует регулярно обращаться к ресурсам безопасности WordPress, чтобы убедиться, что их настройки безопасности всегда актуальны. К этому чек-листу можно время от времени обращаться, чтобы убедиться, что все пункты по-прежнему охвачены.
Смотрите также:
Изучает сайтостроение с 2008 года. Практикующий вебмастер, специализирующий на создание сайтов на WordPress. Задать вопрос Алексею можно на https://profiles.wordpress.org/wpthemeus/