Как повысить безопасность вашего сайта на WordPress

Оставить свой веб-сайт уязвимым - это все равно, что оставить дверь вашего бизнеса открытой для злоумышленников и воров. Итак, давайте поговорим об улучшении безопасности вашего сайта WordPress.

Забота о вашем веб-сайте - это как забота о вашем магазине
Забота о вашем веб-сайте - это как забота о вашем магазине

Представьте себе магазин, в котором владелец оставляет двери открытыми каждую ночь и идет домой, только если ему повезет, он приедет на следующий день и все будет там, чтобы он мог спокойно работать еще один день. Сколько шансов, что это действительно произойдет? Оставить свой сайт без необходимой защиты - почти то же самое. Вы можете приехать на следующий день, и ваш сайт будет там нормально, или вы все потеряли.

Безопасность WordPress - тема очень важная для всех владельцев веб-сайтов. Ежедневно Google помещает в черный список около 10.000 50.000 сайтов на предмет вредоносного ПО и около XNUMX XNUMX - на фишинг. И присоединение к такому списку означает потерю всей вашей работы, возможностей роста и продаж, поэтому важно обратить внимание на лучшие практики безопасности WordPress.

Хотя основное программное обеспечение WordPress очень безопасно и регулярно проверяется сотнями разработчиков, есть много способов сделать ваш сайт безопасным. И безопасность - это не только устранение риска, но и снижение риска. Как владелец веб-сайта вы можете многое сделать для повышения безопасности WordPress (даже если вы не разбираетесь в технологиях).

В этом руководстве мы поделимся всеми главными советами по безопасности WordPress, которые помогут вам защитить свой сайт от хакеров и вредоносных программ. У нас есть ряд шагов, которые вы можете предпринять, чтобы защитить свой сайт от уязвимостей. Давайте поговорим немного о каждом из них и дадим несколько советов по плагинам, которые помогут вам в этой задаче

-- Реклама --

Почему безопасность веб-сайта WordPress важна?

Взломанный сайт WordPress может серьезно повредить доходам и репутации вашей компании. Хакеры могут украсть информацию о пользователях, пароли, установить вредоносное ПО и даже распространить вредоносное ПО среди ваших посетителей.

Хуже того, вы можете подцепить программу-вымогатель и заплатить хакерам только за то, чтобы восстановить доступ к вашему сайту. И почему безопасность WordPress важна? В марте 2016 года Google сообщил, что более 50 миллионов пользователей веб-сайтов были предупреждены о том, что веб-сайт, который они посещают, может содержать вредоносное ПО или красть информацию.

Кроме того, каждую неделю Google помещает в черный список около 20.000 50.000 сайтов на предмет вредоносного ПО и около XNUMX XNUMX - на фишинг. Если ваш сайт - это бизнес, вам нужно уделять особое внимание безопасности WordPress. Так же, как владелец бизнеса несет ответственность за защиту здания магазина, как владелец онлайн-бизнеса, вы несете ответственность за защиту бизнес-сайта.

Поддержание WordPress в актуальном состоянии

WordPress - это программное обеспечение с открытым исходным кодом, которое регулярно поддерживается и обновляется. По умолчанию WordPress автоматически устанавливает незначительные обновления. Для основных версий вам необходимо вручную запустить обновление. WordPress также поставляется с тысячами плагинов и тем, которые вы можете установить на свой сайт.

обновить wordpress
Обновите WordPress

Эти плагины и темы поддерживаются сторонними разработчиками, которые также регулярно выпускают обновления. Эти обновления WordPress имеют решающее значение для безопасности и стабильности вашего веб-сайта WordPress. Вам необходимо убедиться, что ваше программное обеспечение, плагины и тема WordPress обновлены.

-- Реклама --

Надежные пароли и разрешения пользователей

Наиболее распространенные попытки взлома WordPress используют украденные пароли. Вы можете усложнить эту задачу, используя более надежные пароли, уникальные для вашего сайта. Не только для административной области WordPress, но и для учетных записей FTP, базы данных, учетной записи хостинга WordPress и ваших пользовательских адресов электронной почты, которые используют доменное имя вашего веб-сайта.

Многие новички не любят использовать надежные пароли, потому что их трудно запомнить. Хорошо то, что вам больше не нужно запоминать пароли. Вы можете использовать менеджер паролей. Еще один способ снизить риск - не предоставлять никому доступ к вашей учетной записи администратора WordPress без крайней необходимости. Если у вас большая команда или приглашенные авторы, убедитесь, что вы понимаете роли и функции пользователей в WordPress, прежде чем добавлять новые учетные записи пользователей и авторов на свой сайт WordPress и давать им только необходимые разрешения.

Роль хостинга WordPress

Ваша служба хостинга WordPress играет важнейшую роль в безопасности вашего веб-сайта WordPress. Хороший провайдер виртуального хостинга, такой как Bluehost или Siteground, предпринимает дополнительные шаги для защиты своих серверов от распространенных угроз.

Посмотрите, как в фоновом режиме работает хорошая хостинговая компания, чтобы защитить ваши веб-сайты и данные.

  • Они постоянно контролируют вашу сеть на предмет подозрительной активности;
  • У всех хороших хостинговых компаний есть инструменты для предотвращения крупномасштабных DDOS-атак;
  • Они постоянно обновляют свое серверное программное обеспечение, версии php и оборудование, чтобы хакеры не могли воспользоваться известной уязвимостью безопасности в более старой версии;
  • Они готовы реализовать планы восстановления после сбоев и аварий, которые позволят им защитить ваши данные в случае серьезной аварии;
  • В плане общего хостинга вы разделяете ресурсы сервера со многими другими клиентами. Это создает риск межсайтового заражения, когда хакер может использовать соседний сайт для атаки на ваш сайт;

Использование управляемого хостинга WordPress обеспечивает более безопасную платформу для вашего сайта. Хостинговые компании, управляемые WordPress, предлагают автоматическое резервное копирование, автоматические обновления WordPress и более продвинутые настройки безопасности для защиты вашего сайта, что упрощает вашу работу.

-- Реклама --

Безопасность WordPress в простых шагах и без программирования

Мы знаем, что улучшение безопасности WordPress может быть устрашающей идеей для новичков. Особенно, если вы не технический. Угадайте, что - вы не одиноки. Давайте немного поговорим о том, как повысить безопасность WordPress всего за несколько кликов (кодирование не требуется). Если вы можете указать и щелкнуть, вы можете это сделать!

Установите решение для резервного копирования WordPress

Резервные копии - это ваша первая защита от любой атаки на ваш сайт WordPress. Помните, что нет ничего безопасного на 100%. Если правительственные сайты можно взломать, то и ваш тоже. Резервные копии позволяют быстро восстановить ваш сайт WordPress в случае, если что-то случится.

Есть много бесплатных и платных плагинов для резервного копирования WordPress, которые вы можете использовать. А если вы его ищете, то у нас есть руководство по использованию плагина резервного копирования WordPress. Самое важное, что вам нужно знать, когда дело доходит до резервного копирования, - это то, что вы должны регулярно сохранять полные резервные копии сайта в удаленном месте (а не в своей учетной записи хостинга).

Мы рекомендуем хранить его в облачном сервисе, таком как Google Диск, Dropbox или в частных облаках, например Stash. В зависимости от того, как часто вы обновляете свой сайт, идеальной настройкой может быть ежедневное резервное копирование или резервное копирование в реальном времени.

Лучший плагин безопасности для WordPress

Следующее, что нам нужно сделать после резервного копирования, - это настроить систему аудита и мониторинга, которая отслеживает все, что происходит на вашем сайте. Это включает в себя мониторинг целостности файлов, неудачные попытки входа в систему, сканирование вредоносных программ и т. Д.

-- Реклама --

Для этой службы мы собираемся порекомендовать бесплатный плагин безопасности WordPress, Sucuri Scanner. Вам необходимо установить и активировать плагин Sucuri Security, чтобы начать мониторинг вашего сайта.

Как использовать Sucuri Security

После активации вам нужно перейти в меню Sucuri в админке WordPress. Первое, что вам нужно сделать, это сгенерировать бесплатный ключ API. Это позволяет вести журнал аудита, проверку целостности, оповещения по электронной почте и другие важные функции. Следующее, что вам нужно сделать, это щелкнуть вкладку «Hardning» в меню настроек. Прокрутите все параметры и нажмите кнопку «Применить».

плагин сканера анаконды
Плагин Sucuri Scanner

Эти параметры помогают заблокировать ключевые области, которые хакеры часто используют в своих атаках. Единственный платный вариант защиты - это брандмауэр веб-приложений, который мы объясним на следующем шаге, поэтому пока не обращайте на него внимания. Часть защиты, настройки плагина по умолчанию достаточно хороши для большинства сайтов и не нуждаются в каких-либо изменениях или дополнительных настройках. Единственное, что мы рекомендуем настроить, - это «Уведомления по электронной почте».

Настройки предупреждений по умолчанию могут загромождать ваш почтовый ящик электронными письмами. Мы рекомендуем получать оповещения о важных действиях, таких как изменения плагинов, регистрация нового пользователя и т. Д. Вы можете настроить оповещения, перейдя в Sucuri Settings »Alerts.

После активации настроек по умолчанию мы рекомендуем внимательно изучить плагин безопасности WordPress. Просмотрите все вкладки и настройки, чтобы увидеть все, что он делает, например, сканирование вредоносных программ, журналы аудита, отслеживание неудачных попыток входа в систему и т. Д. Безопасность никогда не помешает.

-- Реклама --

Включить брандмауэр веб-приложений (WAF)

Самый простой способ защитить свой сайт и быть уверенным в безопасности WordPress - это использовать брандмауэр веб-приложений (WAF). Брандмауэр веб-сайта блокирует весь вредоносный трафик еще до того, как он попадет на ваш сайт. Посмотрите, что он делает:

Брандмауэр веб-сайта на уровне DNS - Этот брандмауэр направляет трафик вашего веб-сайта через свои облачные прокси-серверы. Это позволяет им отправлять на ваш веб-сервер только подлинный трафик.

Межсетевой экран на уровне приложений - эти плагины брандмауэра проверяют трафик, как только он попадает на ваш сервер, но перед загрузкой большинства скриптов WordPress. Этот метод не так эффективен, как брандмауэр на уровне DNS, в снижении нагрузки на сервер. Еще раз мы рекомендуем Sucuri Security в качестве брандмауэра веб-приложений для WordPress. Помните, что это платный вариант.

Преимущество брандмауэра Sucuri заключается в том, что он также имеет гарантию очистки от вредоносных программ и удаления из черного списка. По сути, если вас взломают под их контролем, они гарантируют, что исправят ваш сайт (независимо от того, сколько у вас страниц).

Это очень важная гарантия, потому что исправление взломанных сайтов стоит дорого. Эксперты по безопасности обычно взимают за это почасовую оплату, и в зависимости от атаки вы не можете сказать, сколько это будет вам стоить. Sucuri Security - не единственный поставщик межсетевых экранов уровня DNS. Другой популярный конкурент - это Cloudflare. Посмотрите, что лучше всего подходит вам и вашему сайту, и выберите вариант, который кажется наиболее подходящим для вас.

-- Реклама --

Переместите свой сайт WordPress на SSL / HTTPS

SSL (Secure Sockets Layer или Secure Sockets Layer) - это протокол, который шифрует передачу данных между вашим веб-сайтом и браузером пользователя. Это шифрование затрудняет отслеживание и кражу информации.

Как работает SSL

После включения SSL ваш веб-сайт будет использовать HTTPS вместо HTTP, вы также увидите замок рядом с адресом вашего веб-сайта в своем браузере. Сертификаты SSL обычно выдаются центрами сертификации, и их цена варьируется от 300 до более тысячи реалов в год. Из-за дополнительных затрат большинство владельцев веб-сайтов предпочитают продолжать использовать небезопасный протокол.

Чтобы исправить это, некоммерческая организация позвонила Давайте зашифровать решили предложить владельцам сайтов бесплатные SSL-сертификаты. Его проект поддерживают Google Chrome, Facebook, Mozilla и многие другие компании, благодаря чему всем стало проще, чем когда-либо, начать использовать SSL для всех своих сайтов WordPress. Многие хостинговые компании предлагают бесплатный сертификат SSL для вашего сайта WordPress. Если ваш хостинг не предоставляет этот тип сертификата, вы сможете выбрать один из ваших предпочтений и в соответствии с имеющейся у вас суммой. См. Некоторые цены на простые сертификаты:

Безопасность вашего сайта на wordpress
источник: HSI

Если вы сделаете все, что мы упомянули до сих пор, вы находитесь на довольно хорошем уровне безопасности. Есть и другие способы обезопасить ваш сайт, помимо других плагинов. Используете ли вы что-нибудь дополнительное для защиты своего сайта? Оставьте это в комментариях и получайте удовольствие, узнавая больше о технология e WordPress на нашем сайте.

-- Реклама --
Аватар паоло фабриса

Пауло Фабрис - журналист, писатель, игрок в ролевые игры, геймер, косплеер, ботаник и фанат аниме со времен TV Manchete.