Главная | Пиротехника

Наша совместная команда Banwar.org

Связаться с нами

  • (097) ?601-88-87
    (067) ?493-44-27
    (096) ?830-00-01

Статьи

Як захистити сайт на Wordpress?

  1. авторизація
  2. ім'я Адміністратора
  3. URL сторінки входу
  4. паролі
  5. оновлення
  6. користувачі
  7. Права доступу на файли і папки
  8. Резервне копіювання
  9. SSL сертифікат
  10. Хостинг
  11. На закінчення

Завдяки простоті використання, безкоштовності, різноманітності тем і плагінів, Wordpress на сьогодні найпопулярніша CMS в світі - працює на 18,9% від усіх інтернет-сайтів і встановлена ​​більш 76,5 мільйонів разів. Але у такої популярності є й інша сторона медалі. за даними компанії Securi , В 2016 році Wordpress займала перший рядок у списку CMS, які піддавалися атакам хакерів. Але не варто панікувати! Нижче ми розглянемо найпопулярніші і ефективні способи захисту вашого сайту на Wordpress.

авторизація

Cамий простий спосіб зменшити ризик злому - обмежити кількість спроб входу в систему. Є багато безкоштовних плагінів, які дозволяють це зробити. наприклад, Limit Login Attempts блокує будь-які IP-адреси, які перетинають поріг невдалих спроб входу в систему. Плагін дуже зручний і функціональний, після блокування вам приходить на email повідомлення, можна переглянути журнал блокувань, а також внести потрібні IP в білий або чорний лист:

Але цей спосіб не допоможе, якщо хакери використовують цілу мережу ботів з різними IP адресами. У такому випадку потрібно обязатательно включити на своєму сайті двухфакторную аутентифікацію (Two-factor Authentification - 2FA). Це один з найбільш ефективних способів на сьогодні захистити сайт від злому. Не має значення, чи вдалося комусь дізнатися ваші паролі для входу - без ваших кодів доступу 2FA, вони не зможуть увійти в систему. І сьогодні є незліченні плагіни і додатки для мобільних телефонів, які ви можете використовувати для включення 2FA, наприклад Google Authenticator .

Чесно кажучи, ви повинні використовувати цей метод не тільки для Wordpress сайту, але і для будь-яких інших CMS.

ім'я Адміністратора

Зараз багато хостинг провайдерів пропонують автоматичну установку Wordpress одним кліком, яка як і раніше використовує за замовчуванням ім'я облікового запису - admin. На жаль, це додаткова підказка для хакерів і це полегшить їм виконання своїх завдань, оскільки вони вже знають назву облікового запису.

Якщо це так, ви повинні створити новий обліковий запис в Wordpress з правами адміністратора залогінитися під нею, а стару видалити, зв'язавши все її вміст з новою обліковим записом. Не рекомендується використовувати такі імена як administrator або support. Придумайте унікальне ім'я для свого облікового запису.

URL сторінки входу

Іншим популярним аспектом злому багатьох сайтів на Wordpress, є сторінка входу в аккаунт, а саме її URL, який за замовчуванням виглядає: yoursite.com/wp-admin або yoursite.com/wp-login.php. Знову ж таки, це дає ще одну можливість для хакерів знати куди направляти свої автоматичні атаки. Ви можете зробити сайт більш безпечним, якщо зміните цей URL на щось менш передбачуваний, наприклад my_login.php. Цей простий крок зупинить більшість автоматичних атак по URL-адресою. найсильніший плагін iThemes Security допоможе вам в цьому - містить більше 30-ти методів захисту!

паролі

Генеруйте надійні паролі та зберігайте їх у безпеці. Унікальний і складний пароль - базовий захист сайту. Якщо ваш пароль буде таким же простим як abcd123, то це питання часу, перш ніж хтось зламає ваш сайт. Краща практика - переконатися, що ви використовуєте комбінацію малих, великих, спеціальних символів і цифр для свого пароля. Часи, коли ми зберігали всі свої паролі в паперовому блокноті теж давно пройшли. Зараз існує велика кількість різних онлайн-диспетчера паролів, які підтримують синхронізацію з мобільними пристроями і надійно бережуть ваші ключі від сайтів. Особисто я для себе вибрав LastPass , Так як з ним зручно і комфортно працювати, а також він популярний серед багатьох користувачів. Встановлюється як додаткове розширення для браузера. Дозволяє каталогізувати ваші облікові записи, містить генератор паролів, при вході на сайт додаток автоматично підставляє в форму дані для входу. Якщо зареєструвалися на новому сайті, LastPass запропонує додати логін і пароль до бази.

Є також багато інших менеджерів, які можна вибрати на свій смак і колір.

оновлення

Слідкуйте за системними оновленнями Wordpress. Команда Wordpress постійно працює над нейтралізацією будь-яких вразливостей і лазівок в безпеці движка. Тому, будьте в курсі останніх подій. Величезна кількість хакерів націлені зламати саме цю CMS, так як багато власників веб-сайтів забувають або ігнорують поновлення, завдання яких - не тільки нові функції, а й виправлення помилок безпеки.

Також це стосується тим і плагінів, які можуть мати різну кількість "дірок". Модулі, які давно не обслуговувалися і не оновлювалися, про яких немає достатньої інформації в інтернеті, немає оглядів на них, краще не використовувати. Встановлюйте тільки надійні і перевірені плагіни. Бували випадки, коли плагін або тема вже целенамеренно містили дірку і надалі хакер без проблем використовував її в своїй роботі так, що ви про це і не здогадуєтеся. Тому, переглядаючи розширення в репозиторії Wordpress, завжди звертайте увагу на такі фактори, як: кількість установок і останнє оновлення. Якщо у вас в системі накопичилося багато плагінів, які вам не потрібні і ви за ними не стежите - видаліть їх. Це не тільки в цілях безпеки, але і для полегшення завантаження вашої бази даних і забезпечення максимальної швидкодії сайту. Зауважу, щоб видалити плагін, потрібно перед цим його деактивувати.

Якщо ви хочете окремо перевірити достовірність уее встановленої теми, використовуйте плагін Theme Authenticity Checker (TAC) . Можете просканувати і весь Wordpress на наявність шкідливого коду і скриптів (malware) за допомогою ще одного чудового плагіна - Sucuri Security :

Читайте також: Що таке LSI ключі і як їх використовувати в SEO?

користувачі

Слідкуйте за користувачами, які отримують доступ до вашого сайту. Додавайте нових з обережністю. Якщо на сайті працює команда або у вас є гостьові автори - визначитеся з ролями і правами доступу. Тобто, чи є вони адміністратором, автором, передплатником, редактором і т. Д. Відмінності між ними добре описані в документації WordPress.org. Надавайте доступ адміністратора тільки тим, кого ви знаєте і довіряєте. Також дуже важливо, щоб всі користувачі використовували надійні паролі і двухфакторную аутентифікацію! Управляти всім цим можна за допомогою того ж iThemes Security:

Права доступу на файли і папки

Багато з файлів і папок вашого сайту Wordpress містять дуже важливу інформацію, але часом виявляється, що вони не захищені. На жаль, пересічні користувачі від таких нюансів далекі і часто можна почути "Так кому ми потрібні?". А досвідчені хакери тим часом можуть отримати доступ до вмісту вашого сайту і робити з ним все, що захочуть, наприклад прописати шкідливий скрипт, який буде розсилати спам від вашого імені або ж проставити необмежену кількість токсичних посилань на інші сайти, варіантів безліч. Тому, переконайтеся, що всі ваші папки і файли мають обмежений доступ - захищені від стороннього копіювання, редагування, збереження, переміщення і т.д.

Щоб захистити всю вашу файлову систему, встановіть наступні права:

  • Встановіть код доступу 755 для кореневого каталогу і
  • 644 для файлів.

Поставтеся до даної операції максимально відповідально, тому що якщо виставити неправильні права доступу, то система просто не зможе працювати, наприклад не зможе виконати якийсь скрипт або завантажити потрібні файли на сервер. Виставити права доступу до файлів і папок можна за допомогою будь-якого FTP-клієнта або ж в Панелі інструментів управління хостингом.

Швидко перевірити поточні права доступу можна за допомогою плагіна iThemes Security, в розділі File Permissions.

Для самих ледачих можна встановити плагін Acunetix WP Security - він сам просканує всі файли і папки, і потім виставить потрібні коди доступу.

Хоча, я особисто не раджу довіряти цей процес стороннім програмам, а детально вивчити логіку прав доступу і виставити їх самостійно.

Резервне копіювання

Не забувайте створювати резервні копії сайту. Особливо, якщо часто вносите якісь зміни на сайт. Резервні копії (Backups) необхідні, так як дозволяють в лічені секунди відновити сайт в разі хакерської атаки, краху або помилкового видалення даних. У разі, якщо у вас немає резервних копій - ви понесете величезні фінансові втрати. Створення резервних копій обов'язково і має відбуватися, по крайней мере, кілька разів на тиждень - як для вмісту сайту, так і бази даних. Швидше за все ваш хостинг буде пропонувати щоденні або щотижневі резервні копії, але я раджу знову ж покладатися тільки на себе і встановити спеціальні плагіни. Стежити за резервним копіювання бази даних допоможе iThemes Security, розділ "Резервні копії даних":

плагін UpdraftPlus WordPress Backup Plugin дозволяє комплексно підійти до цього питання і одним кліком запланувати резервні копії, а потім зберегти їх по FTP або перенести в Google Диск, Dropbox і інші місця зберігання даних.

SSL сертифікат

Дуже важливо, щоб ваш сайт працював по захищеному протоколу https. Що це даcт? По-перше, дані ваших відвідувачів і всі операції на сайті будуть шифруватися, хакери не зможуть стежити за діями. Якщо користувачі вводять якусь інформацію на сайті - вона буде захищена. Наприклад, дані платіжної карти, логіни, паролі і т.д.

Використання SSL-сертифіката допоможе перейти на https і зашифрувати дані сайту, запобігаючи хакерську атаку. По-друге, наявність у домену протоколу https свідчить про те, що сайт безпечний і є важливим сигналом для Google, який ранжує сайт. В останніх версіях інтернет-браузера Google Chrome сайти без https будуть позначатися, як ненадійні і небезпечні для користувачів.

Більшість провайдерів хостингу пропонують купити сертифікат SSL за невелику абонплату. Якщо у вас не комерційний сайт, ви можете використовувати безкоштовний SSL сертифікат від Let's Encrypt. Багато Панелі управління хостингом підтримують його автоматичну установку.

Хостинг

Від нього теж залежить ваша безпека. Підберіть хороший WordPress хостинг з вбудованою системою безпеки і захисту сайту, наприклад захист від DDos атак, фільтрація нелегітимного трафіку, HTTP-флуду і так далі. Це дуже важливо. У мене був випадок, коли сайт постійно падав від DDos атак, а дешевий хостинг не зміг нічим допомогти. Зайняло багато часу, щоб переїхати на новий хостинг і повернути сайт до старих позицій. Рекомендую підійти до вибору хостингу дуже ретельно, не потрібно недооцінювати цей пункт.

На закінчення

Хочу сказати, що це не всі способи захисту сайту на Wordpress. Я б міг продовжити, але описав тільки самі розповсюджені, зрозумілі методи, які в перую чергу зможуть впровадити ті користувачі, які раніше мало читали про це і не займалися поліпшенням безпеки свого сайту. Уявіть, що вхідні двері вашого будинку не вимагає ключа (слабкі паролі), або замок дуже слабкий або дешевий, і його можна відкрити за допомогою простої шпильки (не використовується 2FA аутентифікація). Або, може бути, у вас вже є дуже потужна парадні двері, але ви дали всім кого знаєте запасний ключ (надали всім користувачам роль адміністратора). Ви не зробили б цього для свого будинку, чи не так? Тому, поставтеся до свого сайту так само серйозно. Жоден сайт не захищений на 100%. Але ви можете істотно обмежити ризик злому. Так що почніть зараз!

Читайте також наші поради по SEO для Wordpress.

На жаль, пересічні користувачі від таких нюансів далекі і часто можна почути "Так кому ми потрібні?
Що це даcт?
Ви не зробили б цього для свого будинку, чи не так?

Новости

Banwar.org
Наша совместная команда Banwar.org. Сайт казино "Пари Матч" теперь доступен для всех желающих, жаждущих волнения и азартных приключений.