Популярная система управления контентом WordPress сейчас очень распространена. В этой статье мы хотели бы дать вам несколько советов по обеспечению безопасности вашей установки WordPress.
Из-за высокого распространения wordpress, к сожалению, также является популярной мишенью для хакеров, и есть, к сожалению, также автоматизированные атаки на WordPress установки, где он проверяется, содержат ли они известные дыры в безопасности.
Поэтому очень важно, чтобы Вы всегда поддерживали Ваш WordPress в актуальном состоянии. Для профессионального использования также разумно нанять агентство для поддержания WordPress в актуальном состоянии и выбрать веб-хостера, который также использует брандмауэр для защиты системы от известных атак.
Мы перечислили наиболее важные моменты, как защитить вашу установку WordPress.
[tie_list type="checklist"]- Держите WordPress всегда в курсе последних событий
WordPress - это не только программное обеспечение для блогов, но и может быть оснащено различными функциями через так называемые плагины, т.е. расширения. Многие пользователи используют специальные плагины и дизайны (темы) для отдельных веб-сайтов. Основной проблемой атак является отсутствие обновления установок.
Совет: Для установки WordPress выберите веб-хост с интерфейсом администрирования, который поможет вам обновить WordPress и плагины. Наша рекомендация заключается в использовании Плэск как программное обеспечение для управления.
Активируйте автоматическое обновление WordPress.
В этом случае программное обеспечение всегда поддерживается в актуальном состоянии. Это также возможно для многих Плюсинов.
Рекомендуется регулярно заходить в административный интерфейс wordpress и проверять текущее состояние программы. WordPress напрямую показывает, доступны ли обновления.
Более проблематичными являются темы, т.е. готовые проекты, которые обычно содержат платные плюсы. Эти темы обычно не устанавливаются автоматически, но должны обновляться вручную. Для этого необходимо скачать текущую версию темы у производителя и скопировать ее в каталог тем. После обновления, как правило, в администрациях тем необходимо выполнить лишь несколько настроек.
[tie_list type="checklist"]- Используйте зашифрованные соединения.
Данные для входа в WordPress очень востребованы и могут быть легко выведены из незащищенной сети, например, если Вы входите в открытый WLan в ресторане или гостинице.
Поэтому для домашней страницы всегда следует использовать сертификат. Лучше всего выбрать веб-хост, который может настроить сертификат для вас. Это стоит всего несколько евро в год для профессиональной защиты вашей установки.
Пожалуйста, всегда убедитесь, что у вас есть зашифрованный доступ к вашей установке WordPress через https://, а также безопасное извлечение электронной почты и, при необходимости, безопасный FTP-логин. После использования незашифрованного соединения мы рекомендуем немедленно изменить все пароли.
[tie_list type="checklist"]- Сохранить файл wp-login.php.
Также существует возможность переименовать каталог wp-admin, но это может привести к проблемам с функциональностью WordPress. Простой способ защиты от большинства атак грубой силы, где пароли просто угадываются, - это включить код в файл .htaccess. Это хорошо сочетается с защитой паролем.
[tie_list type="checklist"]- Защитите свой административный каталог паролем.
Кроме того, вы должны защитить этот каталог паролем. Ваш поставщик предлагает возможность настройки защиты каталогов для определенных каталогов. Защитите вашу административную директорию с помощью сложного имени пользователя и пароля, длиной не менее 12 символов и содержащего специальные символы. Никогда не выбирайте пароли длиной всего 8 символов. В настоящее время они обычно считаются небезопасными и обычно могут быть быстро взломаны, так как они были предварительно рассчитаны в зависимости от типа шифрования.
После защиты паролем откройте файл .htaccess и вставьте выше следующий код
Документ об ошибке 401 "Заперто".
Документ об ошибке 403 "Заперто".
# Позволяет плагинам получать доступ к admin-ajax.php, несмотря на защиту паролем.
Заказ разрешать, отказывать
Разрешить от всех
Удовлетворяйте любой
Это гарантирует, что плагины WordPress все еще могут вызывать файлы.
[tie_list type="checklist"]- Используйте плагины и темы, которые используются как можно шире.
Плагины, как правило, отвечают за безопасность дыр в WordPress. Плагины и темы - это небольшие пакеты программного обеспечения, которые предоставляются сторонними провайдерами. В принципе идея хорошая, но сейчас есть много сомнительных оферентов, а также оферентов, которые просто не знают и таким образом создают программное обеспечение, которое содержит дыры в безопасности. Для непрофессионала практически нет никакой защиты от этого. Поэтому мы рекомендуем использовать только те плагины, которые были установлены очень часто и имеют хороший рейтинг.
Не используйте бесплатные темы, которые можно скачать с любого сайта. Купите тему, например, в Themeforest или Templatemonster у так называемого элитного провайдера, т.е. профессиональных команд программистов, которые генерируют большой оборот.
Также обратите внимание на дату последней установки. Провайдерам, которые не обновляют свои плагины и темы или уже остановили разработку, не рекомендуется.
[tie_list type="checklist"]- Удаление неиспользуемых тем и плагинов
Если Ваш сайт готов и Вы хотите начать, мы всегда рекомендуем удалить все неиспользуемые плагины и темы. Это также относится к собственным темам WordPress, которые не могут быть легко удалены. Возможные злоумышленники любят прятать свои файлы в этих стандартных каталогах, поэтому желательно удалять неиспользуемые файлы полностью. Это можно сделать через интерфейс администрирования, а при необходимости и через FTP. Просто удалите каталоги из каталога тем, которые вы не используете.
[tie_list type="checklist"]Использовать брандмауэр приложений
[/tie_list]По возможности используйте брандмауэр приложений. Это программное обеспечение, которое проверяет каждое соединение и предлагает множество возможностей для предотвращения потенциальных атак.
У многих провайдеров есть бесплатные опции, такие как fail2ban (рекомендуется), мод_безопасность WAF для блокировки известных атак или сомнительных известных IP-адресов. В средах виртуального хостинга, т.е. небольших хостинговых аккаунтов, это, как правило, невозможно, так как существует слишком много специальных функций, которые не могут быть установлены глобально. Для профессионального использования мы рекомендуем в любом случае использовать управляемый V-сервер, то есть отдельную среду только для вашего сайта.
С некоторыми провайдерами премиум-класса вы также можете использовать внешний брандмауэр для вашего веб-сайта. В этом случае подходят системы, например, Barracuda, Sonicwall или Imperva. Эти системы фильтруют трафик до того, как он достигнет веб-сервера, и таким образом блокируют большинство атак. Такое решение относительно дорогостоящее - 50-250 евро в месяц и подходит только для профессионального использования.
Вывод: создать сайт самостоятельно очень просто с помощью WordPress. Также автоматическое обновление, которое предлагают многие веб-хостеры, полезно по сравнению с другими системами управления контентом. Если вы всегда будете следить за тем, чтобы расширения были актуальными (по крайней мере, раз в неделю), то с вами ничего особенного не случится.
То, что ничего не стоит, тоже плохо. К сожалению, это относится ко многим плагинам и темам. Обратите внимание, что многие мошенники заражают темы вредоносным кодом, а затем бесплатно распространяют их как свою собственную тему. Как только вы установите что-то подобное, ваш сайт будет использоваться в кратчайшие сроки для отправки Спам или жестоко обращается с нападениями на других.
