Безопасность WordPress — 24 совета по защите вашего сайта от хакеров

Безопасность WordPress должна быть главным приоритетом при управлении веб-сайтом. Вы разрабатываете свой веб-сайт, публикуете контент, продаете товары в Интернете, но если вы не серьезно относитесь к безопасности WordPress, ваш сайт может быть взломан в любое время.

Каждый день 30 000 веб-сайтов взламываются, и более 2000 веб-сайтов попадают в черный список Google. Вы не исключение. Если правительственный сайт можно взломать, то почему не ваш?

Однажды утром вы проснулись и видите, что ваш сайт WordPress недоступен, и видите случайные сообщения вроде:

« Ваш сайт взломан xyz » — сайт взломан

« сайт впереди содержит вредоносное ПО » — занесен в черный список Google

Это худшее, с чем вы могли столкнуться на своем сайте.

Но почему WordPress?

WordPress поддерживает более 31% (80 миллионов) всех веб-сайтов в Интернете. По данным W3Techs, доля WordPress на рынке CMS на 60% больше, чем у других платформ, что является довольно серьезной причиной для привлечения хакеров.

Но не паникуйте. Усилить безопасность WordPress очень просто, и вы тоже можете это сделать.

В этой статье я поделюсь 24 лучшими советами по безопасности WordPress, чтобы защитить ваш сайт от хакеров и вредоносных программ.

«Почему бы не сделать так, чтобы ворота в ваш дворец исчезли до того, как они их обнаружат?» – WPMyWeb

Распространенные проблемы безопасности WordPress

Прежде чем мы углубимся в лучшие практики безопасности WordPress, давайте сначала разберемся с несколькими распространенными проблемами безопасности WordPress.

Многие пользователи считают, что WordPress не является безопасной платформой для бизнеса, что совсем не так. Это связано с отсутствием знаний о безопасности WordPress, плохим системным администрированием, использованием устаревшего программного обеспечения и плагинов WordPress и т. д.

Многие новички в WordPress считают, что создание веб-сайта — это конец, и он не требует обслуживания безопасности. Вот как вы оставляете свой сайт уязвимым.

Как только хакеры обнаружат уязвимость на вашем сайте, они могут легко использовать ваш сайт.

Давайте рассмотрим некоторые распространенные проблемы безопасности WordPress.

1. Атаки грубой силы:

При атаке полным перебором используется автоматизированный сценарий для генерации различных комбинаций имен пользователей и паролей. Хакер использует страницу входа в WordPress для проведения атаки грубой силы.

Если вы используете простое имя пользователя и пароль, вы можете стать следующей жертвой этой атаки.

2. Межсайтовый скриптинг (XSS):

Межсайтовый скриптинг — это тип атаки, при котором злоумышленники внедряют вредоносный код/скрипт на доверенный веб-сайт. Этот метод взлома совершенно незаметен для пользователей, просматривающих веб-сайт.

Эти вредоносные сценарии загружаются анонимно и крадут информацию из браузера пользователей. Даже если пользователь вводит какие-либо данные в любую форму, данные могут быть украдены.

3. SQL-инъекции:

WordPress использует базу данных MySQL для хранения информации о блогах.

SQL-инъекция происходит, когда хакеры получают доступ к базе данных WordPress. Взломав базу данных WordPress, хакеры могут создать новую учетную запись администратора с полным доступом к вашему сайту.

Они также могут вставлять данные в вашу базу данных MySQL и добавлять ссылки на вредоносные или спам-сайты.

4. Бэкдоры:

По названию «Задняя дверь» можно понять, что оно означает.

Бэкдор — это метод взлома, который позволяет хакерам проникнуть на веб-сайт, минуя обычный процесс аутентификации и даже оставаясь незамеченным для владельца веб-сайта.

После взлома веб-сайта хакеры обычно оставляют свой след, поэтому они могут снова получить доступ к веб-сайту, даже если взлом будет удален.

5. Фармацевтические хаки:

Взломы WordPress Pharma — это своего рода спам на веб-сайтах, который заполняет результаты поисковых систем спам-контентом аптек, которые запрещены в Интернете, такие как Viagra, Nexium, Cialis и т. д.

В отличие от других взломов WordPress, результаты взломов pharma видны только поисковым системам. Таким образом, вы не сможете обнаружить взлом, просто просмотрев свой веб-сайт или исходный код.

Перейдите в Google и введите site:domain.com. Если в результатах поиска отображается содержимое вашего веб-сайта (а не содержимое аптеки), то ваш сайт не подвергается взлому фармацевтическими препаратами.

Цель этого хака — использовать ваши самые ценные страницы, перекрывая тег title вредоносными ссылками. Не говоря уже о том, что если вы не проверите этот вопрос заранее, поисковые системы, такие как Google, Bing, могут внести ваш сайт в черный список за предоставление вредоносного контента.

6. Вредоносные перенаправления:

Вредоносное перенаправление WordPress — это своего рода взлом, при котором посетители вашего сайта автоматически перенаправляются на спам-сайты, такие как азартные игры, порно, сайты знакомств. Этот взлом происходит, когда вредоносный код внедряется в файл или базу данных вашего веб-сайта.

Если ваш сайт перенаправляет посетителей на незаконные или вредоносные сайты, ваш сайт может попасть в черный список Google.

Почему важна безопасность WordPress?

Ваш веб-сайт представляет ваш бренд, ваш бизнес и, самое главное, первый контакт с вашими клиентами.

Вероятно, вам потребовалось несколько лет, приложив много усилий, чтобы удержать свой бизнес и увеличить трафик. Ваша аудитория любит ваши статьи и доверяет вашим продуктам, поэтому они поддерживают с вами контакт.

Если ваш сайт WordPress не является безопасным, это может повлиять как на ваш сайт, так и на ваших клиентов. Хакеры могут украсть личную информацию пользователя, пароли, данные кредитной карты, информацию о транзакциях и могут распространять вредоносное ПО среди ваших пользователей.

Если ваш сайт взломан, вы заметите, что ваш трафик резко упал. Кроме того, Google внесет ваш сайт в черный список.

Согласно блогу Google, количество взломанных веб-сайтов увеличилось примерно на 20% в 2016 году по сравнению с 2015 годом.

В исследовании Securi сообщается, что Google каждый день добавляет в черный список более 10 000 веб-сайтов.

Если вы серьезно относитесь к своему бизнесу, вам нужно уделить особое внимание безопасности вашего WordPress.

Лучшее руководство по безопасности WordPress

1. Получить хороший хостинг WordPress
2. Держите версию WordPress обновленной
3. Не используйте обнуленные/треснутые темы или плагины
4. Используйте надежные пароли
5. Добавить (2FA) двухфакторную аутентификацию
6. Изменить URL-адрес входа в WordPress
7. Ограничьте количество попыток входа
8. Регулярно делайте резервную копию вашего сайта
9. Используйте плагин безопасности WordPress
10. Автоматический выход бездействующих пользователей
11. Добавьте контрольные вопросы на страницу входа в WordPress
12. Измените имя пользователя по умолчанию «admin»
13. Назначьте пользователям самую низкую возможную роль
14. Мониторинг изменений файлов и действий пользователей
15. Установить SSL-сертификат
16. Удалить неиспользуемые темы и плагины
17. Отключить редактирование файлов в панели управления WordPress
18. Защита паролем страницы входа в WordPress
19. Отключить просмотр каталога
20. Удалите номер версии WordPress
21. Изменить префикс таблицы базы данных WordPress
22. Используйте только проверенные темы и плагины WordPress
23. Отключить отчеты об ошибках PHP
24. Добавьте безопасные заголовки HTTP в WordPress

Готовый? Давайте начнем.

1. Получите хороший хостинг WordPress

Хостинг WordPress играет важную роль, когда речь идет о повышении безопасности WordPress.

Вы платите за хостинг, а ваш сайт остается под их контролем. Поэтому вы должны быть осторожны, прежде чем выбирать хороший хостинг WordPress для своего сайта.

Общий хостинг, такой как A2Hosting, Bluehost и т. д., — лучший вариант хостинга для ведения блога с низким трафиком. Но в виртуальном хостинге всегда будет вероятность межсайтового заражения.

Межсайтовое заражение происходит, когда хакер может получить доступ к веб-серверу через уязвимый веб-сайт, а затем использовать все другие веб-сайты на том же веб-сервере.

Мы рекомендуем использовать управляемого хостинг-провайдера WordPress. Управляемые хостинговые компании WordPress предоставляют многоуровневые варианты безопасности для веб-сайтов. Их хостинговые платформы надежно защищены, они предлагают ежедневное сканирование на наличие вредоносных программ и предотвращают любые внешние атаки. Если так или иначе, они находят вредоносное ПО на своем сервере, они берут на себя ответственность и немедленно удаляют его.

Они также предлагают ежедневное резервное копирование, бесплатный SSL-сертификат и круглосуточную поддержку экспертов.

Мы рекомендуем хостинговую компанию WordPress, управляемую WPEngine. Они предлагают несколько уровней безопасности для защиты вашего сайта WordPress. С их планом вы получите ежедневное резервное копирование, бесплатный SSL, глобальную CDN и круглосуточную поддержку экспертов.

Посетите WPEngine . [Код скидки добавлен в эту ссылку]

Вернуться к вершине

2. Обновляйте версию WordPress

Поддержание вашего сайта WordPress в актуальном состоянии является хорошей практикой для повышения безопасности вашего WordPress. Это обновление включает в себя версию WordPress, плагины и темы.

В недавнем исследовании Securi проанализировала, что 56% от общего числа зараженных WordPress веб-сайтов все еще устарели. Если вы один из них, вы в опасности.

Каждый день обнаруживаются новые уязвимости, и остановить их невозможно. Устаревшее программное обеспечение и плагины могут содержать уязвимости, которые хакер может использовать для взлома сайта.

С каждым обновлением разработчики включают новые функции, латают дыры в безопасности, исправляют ошибки и т. д. Как и программное обеспечение WordPress, вам также необходимо обновлять свои темы и плагины WordPress.

Хорошо, что WordPress автоматически выпускает свои обновления и уведомляет об этом своих пользователей.

Обновить версию WordPress, плагины и темы очень просто, и вы можете сделать это через панель администратора WordPress.

Как обновить WordPress, плагины и темы?

Сначала войдите в свою панель управления WordPress и перейдите в Панель инструментов> Обновления . Там вы можете увидеть, есть ли новое обновление.

Примечание. Перед обновлением версии WordPress сделайте полную резервную копию файлов и базы данных. В случае возникновения ошибки вы можете легко восстановить свой сайт до предыдущей версии. Вы можете легко создать резервную копию и восстановить свой сайт с помощью BlogVault одним щелчком мыши.

На странице вы можете увидеть «Доступна обновленная версия WordPress» . Нажмите кнопку « Обновить сейчас» , чтобы обновить версию WordPress, этот процесс может занять несколько секунд.

После завершения обновления прокрутите вниз, чтобы обновить плагины WordPress. Мы рекомендуем вам обновлять плагины один за другим. Сначала выберите плагин и нажмите « Обновить плагины ».

Аналогичным образом обновите свои темы ниже.

Однако процесс обновления немного сложен для некоторых пользователей, особенно для тех, кто не разбирается в технологиях.

Некоторые управляемые хостинг-провайдеры WordPress, такие как SiteGround, Kinsta, FlyWheel, предоставляют функцию автоматического обновления . Так что, если у вас плотный график или лень обновлять, это может быть полезно.

Также читайте, Как вручную обновить версию WordPress, плагины и темы.

Вернуться к вершине

3. Никогда не используйте обнуленные/треснувшие темы и плагины

Неудивительно, что плагины и темы премиум-класса включают больше функций и выглядят профессионально. Но ни один из продуктов премиум-класса не является бесплатным. Он поставляется с ценой, и после покупки любых продуктов премиум-класса пользователям необходимо ввести ключ продукта, чтобы активировать продукт.

Но существует множество вредоносных веб-сайтов, которые бесплатно предоставляют премиальные темы и плагины. Эти взломанные темы и плагины не требуют серийного ключа для активации и никогда не обновляются.

Вот что я имею в виду:

Эти обнуленные темы и плагины очень опасны для вашего сайта. Хакеры специально внедряют в него вредоносные коды и делают бэкдор на ваш сайт. Таким образом, они могут легко получить доступ к вашему сайту и взломать ваш сайт, включая базу данных.

Поэтому никогда не используйте обнуленные или взломанные темы и плагины WordPress.

Мы настоятельно рекомендуем скачивать бесплатные темы или плагины только с WordPress.org.

Мы понимаем, что бесплатная тема или плагин имеют очень ограниченные функции. Но эти бесплатные темы или плагины безопасны в использовании и регулярно обновляются.

Также читайте, 7 лучших премиальных тем для блогов для WordPress

Вернуться к вершине

4. Используйте надежные пароли

Пароль — это первичный ключ для доступа к вашему сайту WordPress. Если он простой и короткий, то хакеры легко смогут взломать ваш пароль. Более 80% нарушений, связанных со взломом, происходят из-за слабого пароля или его кражи.

В недавнем исследовании SplashData выявил 100 худших паролей 2017 года.

Вот некоторые из них:

1. 123456
2. пароль
3. 12345678
4. qwerty
5. 12345
6. 123456789
7. Впусти меня
8. 1234567
9. футбол
10. Я люблю вас
11. администратор
12. добро пожаловать
13. обезьяна (лол)

Если ваш пароль простой, как указано выше, то немедленно измените его. Хороший надежный пароль должен состоять не менее чем из 10 цифр и содержать заглавные и строчные буквы, цифры и специальные символы.

Вы можете использовать онлайн-инструмент для создания паролей, чтобы мгновенно создавать тысячи защищенных паролей.

Также необходимо сохранить пароль на свой компьютер.

Чтобы упростить задачу, вы можете использовать программное обеспечение для управления паролями, такое как LastPass, Dashlane и т. д.

Применять надежный пароль для пользователей

По умолчанию в WordPress нет функции, которая не позволяет пользователям вводить слабые пароли. В большинстве случаев пользователи устанавливают слабый пароль для своей учетной записи и почти не меняют его.

Если вы ведете многопользовательский блог WordPress, вам следует заставить пользователей использовать надежный пароль.

Чтобы упростить этот процесс, вы можете использовать плагин. Установите и активируйте плагин Force Strong Passwords, и все готово. Это не позволит пользователям и даже администратору вводить слабый пароль.

Вернуться к вершине

5. Добавьте двухфакторную аутентификацию (2FA)

Еще один простой способ повысить безопасность WordPress — добавить двухфакторную аутентификацию (2FA) на страницу входа в WordPress. По сути, двухфакторная аутентификация или двухэтапная проверка — это процесс безопасности, который требует двух методов подтверждения вашей личности.

По умолчанию мы обычно вводим имя пользователя и пароль для входа на веб-сайт. При добавлении двухфакторной аутентификации вам потребуется дополнительный процесс проверки, такой как приложение для смартфона, чтобы утвердить процесс аутентификации.

Итак, если кто-то знает ваше имя пользователя и пароль, ему нужен ваш смартфон, чтобы получить код подтверждения для входа на ваш сайт.

Добавляя двухфакторную аутентификацию, вы не только защищаете свою страницу входа в WordPress, но и предотвращаете атаки грубой силы.

Вы можете легко включить двухфакторную аутентификацию с помощью плагина двухфакторной аутентификации Google для WordPress.

После активации перейдите в « Пользователи»> «Профиль пользователя» и активируйте плагин.

Затем загрузите приложение Google-аутентификатор со своего телефона и отсканируйте штрих -код или введите секретный код (см. скриншот выше) со своего сайта, чтобы добавить свой веб-сайт.

После добавления выйдите со своего сайта. На странице входа вы увидите дополнительное поле, в которое нужно ввести проверочный код из мобильного приложения Google Authenticator.

Подробные инструкции см. в руководстве о том, как добавить двухфакторную аутентификацию Google на страницу входа в WordPress.

Вернуться к вершине

6. Изменить URL-адрес страницы входа в WordPress

По умолчанию любой может получить доступ к вашей странице входа, просто добавив «wp-admin» или «wp-login.php» в конце вашего доменного имени, например: «domain.com/wp-admin» или «domain.com/» . wp-логин.php» .

Угадай, что! Хакеры могут провести атаку грубой силы, используя вашу страницу входа. Если вы используете очень простой пароль, хакеры могут легко взломать ваш пароль и войти на ваш сайт.

Но что, если они не знают, где атаковать? Да, вы правильно угадали.

Если вы скроете или переименуете URL-адрес своей страницы входа, хакеры не смогут провести атаку методом грубой силы.

В WordPress вы можете легко скрыть или переименовать свою страницу входа с помощью плагина. В галерее плагинов WordPress установите и активируйте плагин WPS Hide Login.

После активации перейдите в « Настройки»> «Основные» и внизу вы можете найти параметр « WP Hide Login» .

Просто измените URL-адрес входа «login» на что-то другое, что трудно угадать, и нажмите « Сохранить изменения ».

После этого добавьте в закладки новую страницу входа, и все готово.

Вернуться к вершине

7. Ограничьте количество попыток входа

По умолчанию WordPress не ограничивает количество попыток входа через форму входа. Это означает, что любой, кто знает ваш URL-адрес для входа, может использовать функцию входа столько раз, сколько захочет. Таким образом, хакеры проводят атаку грубой силы, чтобы взломать ваше «имя пользователя» и «пароль» для доступа к вашему веб-сайту.

Ограничив количество попыток входа в систему, вы можете усилить безопасность WordPress и защитить свою страницу входа от атак методом грубой силы.

Вы можете установить максимальное количество неправильных попыток входа, которые пользователь может сделать с одного и того же IP-адреса. Если пользователь превышает ограничения, IP-адрес пользователя будет заблокирован на определенное время.

Чтобы ограничить количество попыток входа в WordPress, установите плагин Login LockDown. После активации перейдите в « Настройки»> «Логин LockDown» , чтобы настроить плагин.

Подробные инструкции см. в нашем руководстве о том, как ограничить количество попыток входа в WordPress.

Вернуться к вершине

8. Регулярно делайте резервные копии вашего сайта

Бэкапы похожи на Time Machine. Если он у вас есть, ваш сайт в безопасности.

Однако резервные копии веб-сайтов не защищают ваш сайт от хакеров, но помогают восстановить ваш сайт.

Например, если что-то пойдет не так с вашим сайтом во время обновления или ваш сайт взломан, как вы снова почините свой сайт? Вероятно, вы потеряете свой сайт.

Но если у вас есть резервные копии вашего сайта, вы можете легко восстановить свой сайт до того, как он был взломан или рухнул.

Вот почему мы настоятельно рекомендуем вам использовать надежный плагин для резервного копирования WordPress. Тем не менее, многие хостинговые компании предлагают бесплатное резервное копирование веб-сайтов, но они могут гарантировать доступность вашего сайта в случае катастрофического сбоя. Поэтому вам нужно сохранять резервные копии в удаленном месте, таком как Google Drive, Amazon S3, Dropbox и т. д.

К счастью, это можно сделать с помощью плагина резервного копирования BlogVault или BackUpBuddy WordPress. Они оба предлагают ежедневное резервное копирование и восстановление одним щелчком мыши. Вы также можете создать промежуточный сайт без дополнительных затрат.

Вернуться к вершине

9. Используйте плагин безопасности WordPress

Следующее, что вам нужно для повышения безопасности WordPress , — это плагин безопасности. Доступно множество плагинов безопасности WordPress, которые защитят ваш сайт от хакеров и вредоносных программ.

Плагины безопасности WordPress обнаруживают и удаляют вредоносные программы, если они присутствуют на вашем сайте. Кроме того, они отслеживают действия пользователей в режиме реального времени, уведомляют вас, если что-то изменилось, если плагин содержит вредоносное ПО, блокируют спам-трафик и многое другое.

Мы рекомендуем плагин безопасности Securi WordPress. Securi Security предлагает различные типы функций безопасности, такие как аудит активности безопасности, мониторинг веб- сайтов, брандмауэр веб -сайта и многое другое.

Лучшее в Securi то, что если ваш сайт будет взломан или занесен в черный список Google при использовании их сервиса, они гарантируют, что исправят ваш сайт.

Большинство экспертов по безопасности WordPress берут более 300 долларов за исправление взломанного сайта, в то время как вы получите все услуги безопасности всего за 199 долларов в год. Это хорошая инвестиция в укрепление вашей безопасности WordPress.

Вернуться к вершине

10. Автоматический выход бездействующих пользователей

Если пользователь бездействует или неактивен на вашем сайте слишком долго, это может привести к атаке методом грубой силы.

Когда пользователь неактивен слишком долго, хакеры могут использовать файлы cookie или метод перехвата сеанса, чтобы получить несанкционированный доступ к вашему веб-сайту. Вот почему большинство образовательных и финансовых веб-сайтов, таких как веб-сайты банков и платежных шлюзов, используют функцию тайм-аута сеанса пользователя. Таким образом, когда пользователь уходит со страницы и не взаимодействует с ней в течение определенного периода времени, веб-сайт автоматически отключает неактивного пользователя.

Эту же функцию вы можете добавить на свой сайт WordPress для повышения безопасности WordPress. Добавить автоматически выходящих из системы бездействующих пользователей в WordPress очень просто. Все, что вам нужно, чтобы установить плагин.

Сначала загрузите и установите плагин Inactive Logout WordPress. Затем активируйте его и перейдите в « Настройки»> «Неактивный выход», чтобы настроить плагин.

В настройках вы можете изменить время простоя. Таким образом, по истечении времени все пользователи на вашем сайте автоматически выйдут из системы.

Вы также можете изменить сообщение о тайм-ауте простоя и изменить другие настройки, если это необходимо.

После этого нажмите « Сохранить изменения », чтобы сохранить настройки.

Подробные инструкции см. в нашем руководстве по автоматическому выходу бездействующих пользователей в WordPress.

Вернуться к вершине

11. Добавьте контрольные вопросы на страницу входа в WordPress

Добавляя контрольные вопросы на страницу входа в WordPress, вы не только защитите свою страницу входа в WordPress, но и укрепите безопасность WordPress.

Контрольный вопрос добавляет дополнительный уровень безопасности для дальнейшей аутентификации вашей личности при входе в систему. Это очень полезно, если вы ведете блог WordPress с несколькими авторами.

Если кто-то из ваших пользователей или ваш пароль был украден, секретный вопрос может спасти жизнь.

Потому что имя пользователя и пароль могут быть легко взломаны, но выбор правильного секретного вопроса и ответа практически невозможен. Таким образом, вы можете защитить свою страницу входа в WordPress от хакеров и атак грубой силы.

Чтобы добавить секретный вопрос на страницу входа в WordPress, установите плагин WP Security Question.

После активации перейдите в раздел Контрольные вопросы WP > Настройки плагина , чтобы настроить плагин.

По умолчанию в плагин добавлено много общих вопросов. Но вы можете добавить или удалить любые контрольные вопросы из списка.

Внизу вы можете включить секретный вопрос на странице входа, регистрации и странице забытого пароля. После настройки плагина не забудьте нажать Save Setting .

Примечание. Только новые пользователи могут задавать свой контрольный вопрос и отвечать на него во время регистрации. Поэтому зарегистрированным пользователям необходимо вручную задать свой секретный вопрос и ответ. Вы также можете установить контрольный вопрос и ответить на них. Это можно сделать на странице профиля пользователя .

Подробные инструкции см. в нашем руководстве о том, как добавить контрольные вопросы на страницу входа в WordPress.

Вернуться к вершине

12. Измените имя пользователя «Администратор» по умолчанию.

После установки WordPress вы можете менять свой пароль столько раз, сколько захотите. Но можете ли вы изменить свое имя пользователя после его установки? Без прав?

По умолчанию WordPress не позволяет пользователям изменять имя пользователя. Но зачем вам его менять?

Если вы используете очень распространенное имя пользователя, такое как «admin», то хакеры могут запустить грубую силу присоединения с помощью вашего имени пользователя.

Но не паникуйте. Есть несколько способов легко изменить свой WordPress.

Однако, чтобы упростить процесс, мы будем использовать плагин. Сначала загрузите и установите плагин смены имени пользователя. Затем перейдите в « Пользователи»> «Ваш профиль» и найдите параметр имени пользователя. Там вы найдете опцию « Изменить имя пользователя ».

Нажмите кнопку «Изменить имя пользователя» и введите новое имя пользователя. После этого нажмите «Обновить профиль ».

Если вы хотите изменить свое имя пользователя вручную (без плагина), ознакомьтесь со статьей 3 различных способа изменить имя пользователя WordPress.

Вернуться к вершине

13. Назначьте пользователям самую низкую возможную роль

Если вы используете сайт WordPress с несколькими авторами, вам нужно быть осторожным, прежде чем назначать роль пользователю.

Много раз владельцы сайтов WordPress назначают более высокую роль пользователя новым пользователям, таким образом, вы предоставляете все привилегии пользователям, и в результате любой пользователь может выполнять любую задачу, какую он хочет.

Например, если вы не знаете, что может выполнять роль пользователя «Редактор», и назначаете роль обычному пользователю, то пользователь может удалять все ваши сообщения, редактировать ссылки, создавать спам-сообщения, добавлять вредоносные ссылки в ваш блог. сообщения. Вот как пользователь может легко испортить ваш сайт.

По умолчанию WordPress поставляется с 5 различными ролями пользователей.

• Администратор
• редактор
• Автор
• Автор
• Подписчик

1. Администратор: Администраторы — самая мощная роль пользователя на сайте WordPress. Они могут создавать, редактировать и удалять учетную запись пользователя, могут выполнять любые задачи в панели администратора WordPress, контролировать всю область контента, а также модерировать комментарии.
2. Редактор: пользователи с ролью редактора имеют полный контроль над всем содержимым. Они могут создавать, редактировать и удалять любые сообщения, включая сообщения, созданные другими пользователями. Они также могут модерировать комментарии и изменять ссылки.
3. Автор: Авторы могут публиковать, редактировать или удалять только свои собственные сообщения. Они могут загружать медиафайлы для использования в своих сообщениях. Они могут просматривать комментарии, но не могут одобрять или удалять комментарии.
4. Соавтор: пользователи с ролью соавтора могут только писать, редактировать или удалять свои собственные неопубликованные сообщения, но они не могут публиковать свои собственные сообщения.
5. Подписчик: Подписчики могут только редактировать данные своей учетной записи, включая пароль, но у них нет доступа к содержимому или настройкам сайта. У них самые низкие возможности на сайте WordPress.

Понимая роли пользователей WordPress, вы можете легко управлять ими без какого-либо риска.

Мы также рекомендуем вам установить Роль нового пользователя по умолчанию как Подписчик. Перейдите в «Настройки»> «Общие настройки» и из их набора « Новая роль пользователя по умолчанию » — « Подписчик » нажмите « Сохранить изменения ».

Дополнительные сведения см. в Руководстве для начинающих по ролям и возможностям пользователей WordPress.

Вернуться к вершине

14. Отслеживайте изменения файлов и действия пользователей

Еще один разумный способ усилить безопасность WordPress — отслеживать действия пользователей и изменения файлов.

Если вы используете многопользовательский сайт WordPress, вам следует отслеживать поведение пользователей, чтобы лучше понять, каковы их действия на вашем сайте WordPress.

Кто знает, если пользователь выполняет какую-то подозрительную работу или пытается взломать ваш сайт? Откуда вы это знаете?

Единственный способ отслеживать действия пользователей и изменения файлов — использовать плагин WordPress для действий пользователей. Используя плагин пользовательской активности в WordPress, вы сможете:

• видеть, кто вошел в систему и что они делают в режиме реального времени
• когда пользователь входит в систему и выходит из нее
• сколько раз пользователь пытался войти в систему, но не смог

Кроме того, если редактор внес какие-либо изменения в запись или страницу без вашего разрешения, вы можете легко это обнаружить и вернуть обратно. Преимущество плагина активности пользователя заключается в том, что он мгновенно отправляет вам уведомление по электронной почте, если что-то пойдет не так.

WP Security Audit Log — лучший плагин для отслеживания действий пользователей и изменений файлов в режиме реального времени. Вот скриншот ниже, как работает плагин.

Также читайте, 5 лучших плагинов для мониторинга активности пользователей в WordPress (альтернативные плагины)

Вернуться к вершине

15. Внедрите SSL и HTTPS

Безопасность WordPress невозможно улучшить без SSL-сертификата. SSL (Secure Socket Layer) является основой безопасности веб-сайта.

SSL — это стандартная технология безопасности, которая создает зашифрованные соединения между сервером и веб-браузером в онлайн-коммуникациях, таких как онлайн-транзакция. Таким образом, все конфиденциальные данные, такие как пароли, данные кредитной карты и т. д., передаются по зашифрованным ссылкам.

Если вы ведете онлайн-бизнес или ведете блог, где принимаете платежи, SSL-сертификат обязателен. Это защитит данные ваших клиентов от хакеров. Для интернет-магазинов или сайтов WooCommerce стоимость сертификата SSL составляет от 20 до 170 долларов.

Если вы ведете блог WordPress, вам не нужен платный SSL-сертификат. Если вы используете хостинг cPanel, такой как SiteGround, WPEngine, вы можете бесплатно установить SSL-сертификат одним щелчком мыши.

Сначала войдите в свою учетную запись cPanel хостинга и перейдите в раздел « Безопасность ». (Вот скриншот ниже из SiteGround, на котором размещена cPanel.)

Перейдите в диспетчер SSL/TLS и нажмите « Установить SSL-сертификат ». На странице выберите свой домен и нажмите «Автозаполнение по домену» . Процесс автоматический, поэтому вам не нужно ничего редактировать или модифицировать.

Теперь нажмите кнопку « Установить сертификат », чтобы завершить процесс установки.

После этого войдите в панель администратора WordPress, чтобы изменить URL-адрес вашего сайта. Перейдите в « Настройки»> «Основные» и добавьте замену HTTP на HTTPS перед URL-адресом вашего сайта. Вот скриншот ниже.

После обновления нажмите Сохранить изменения .

Как перенаправить HTTP на HTTPS в WordPress

Если вы правильно установили SSL-сертификат, ваш сайт доступен по HTTPS.

Но если кто-то вводит только название вашего веб-сайта (например, domain.com) в адресной строке браузера, то на сайте может появиться сообщение « Соединение не защищено ». Это означает, что ваш сайт доступен по HTTP.

Чтобы решить эту проблему, вам нужно принудительно включить HTTPS в WordPress, чтобы ваш сайт загружался только с HTTPS. Вы можете легко принудительно использовать HTTPS в WordPress.

Сначала войдите в cPanel вашего хостинга, перейдите в корневую папку вашего сайта и найдите файл .htaccess . Отредактируйте файл .htaccess и в конце добавьте следующий код.

RewriteEngine включен
RewriteCond %{HTTPS} выкл.
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]

Сохраните файл, и все готово. Теперь ваш сайт доступен только по HTTPS.

Если ваш хостинг-провайдер не предоставляет бесплатный SSL-сертификат, вы можете установить SSL-сертификат вручную. Вот руководство по установке бесплатного SSL-сертификата.

Вернуться к вершине

16. Удалите неиспользуемые темы и плагины

Когда речь идет об усилении безопасности WordPress, мы не должны игнорировать любой маленький шаг, который может сделать ваш сайт уязвимым.

В большинстве случаев владельцы сайтов WordPress устанавливают различные темы и плагины, чтобы проверить, какая тема лучше выглядит на их сайте или какой плагин имеет больше функций. Все нормально. Но сохранение этих неиспользуемых тем и плагинов делает ваш сайт уязвимым.

Потому что многие темы и плагины WordPress нуждаются в регулярном обновлении, подобно тому, который вы используете. Если вы не обновите их, они станут уязвимыми, и хакеры могут легко использовать ваш сайт с помощью уязвимых тем и плагинов. Кроме того, сохранение такого количества тем и плагинов замедляет работу сайта WordPress.

Поэтому вы всегда должны удалять неиспользуемые темы и плагины для повышения производительности сайта и безопасности WordPress.

Чтобы удалить неиспользуемый плагин, перейдите в Плагины > Установленные плагины . Затем найдите плагин, который вам больше не нужен. Сначала деактивируйте плагин и нажмите « Удалить ».

Точно так же, чтобы удалить тему, перейдите в « Внешний вид»> «Темы» и нажмите «Сведения о теме» . Затем внизу справа нажмите Удалить .

Вернуться к вершине

17. Отключите редактирование файлов в панели инструментов WordPress.

По умолчанию WordPress позволяет пользователям редактировать тему и файл плагина непосредственно с панели управления WordPress. Это полезная опция для пользователей, которым часто нужно редактировать тему и файл плагина.

Однако сохранение этой функции включенной может быть серьезной проблемой безопасности. Если хакеры получают доступ к вашему веб-сайту, они обычно оставляют свой след, внедряя вредоносный код в файлы веб-сайта. Если у вас включена функция редактирования файла WordPress, хакеры могут легко внедрить вредоносный код в вашу тему или файл плагина, который будет вам неизвестен.

Чтобы повысить безопасность WordPress, вам необходимо отключить функцию редактирования файлов на панели управления WordPress. Отключить тему WordPress и редактор плагинов в WordPress очень просто.

Во-первых, вам нужно войти в свою учетную запись cPanel хостинга и перейти в корневую папку вашего сайта WordPress. Оттуда найдите файл wp-config.php. Нажмите «Изменить» и добавьте следующий код в конце.

определить('DISALLOW_FILE_EDIT', правда);

Теперь сохраните файл и обновите панель управления WordPress. Вы увидите, что опция редактора тем и плагинов исчезла. С помощью этого небольшого трюка вы можете легко улучшить безопасность WordPress.

Прочтите подробное руководство о том, как отключить редактор тем и плагинов в WordPress.

Вернуться к вершине

18. Защита страницы входа в WordPress паролем

Еще один отличный способ повысить безопасность WordPress — защитить паролем страницу входа в WordPress.

Защитив паролем вашу страницу входа в WordPress (/wp-login.php) или страницу администратора (/wp-admin), вы можете предотвратить доступ хакеров к вашей странице входа, поскольку для доступа к странице входа требуется пароль. После включения этой функции ваш сайт будет предлагать всем пользователям доступ к странице входа с окном имени пользователя и пароля. Короче говоря, всем пользователям необходимо дважды войти в систему с разными именем пользователя и паролем, прежде чем получить доступ к панели администратора WordPress.

Таким образом, вы можете усилить безопасность WordPress и добавить дополнительный уровень безопасности на страницу входа.

Прочтите наше подробное руководство о том, как защитить паролем страницу входа в WordPress.

Вернуться к вершине

19. Отключить просмотр каталогов в WordPress

По умолчанию большинство веб-серверов, таких как Apache, NGINX и LiteSpeed, позволяют любому пользователю просматривать каталоги, содержащие файлы и папки WordPress. Они также могут видеть, какую тему и плагины вы используете, и больше узнать о структуре вашего сайта.

Эта информация может сделать ваш сайт WordPress уязвимым и помочь хакеру взломать ваш сайт.

Чтобы повысить безопасность WordPress, мы рекомендуем вам отключить эту опцию. Чтобы отключить просмотр каталогов в WordPress, просто добавьте следующую строку в файл .htacces .

Опции Все -Индексы

Для получения подробных инструкций прочитайте наше руководство о том, как отключить просмотр каталогов в WordPress.

Вернуться к вершине

20. Удалите свою версию WordPress

По умолчанию WordPress автоматически добавляет метатеги в разные места, которые отображают используемую вами версию WordPress.

Вот в чем дело: если хакеры знают, что вы используете устаревшую версию WordPress, они могут использовать ваш сайт с помощью известных уязвимостей, которые присутствуют в старой версии WordPress.

Так что лучше удалить свою версию WordPress, чтобы улучшить безопасность WordPress. Есть несколько мест, где WordPress добавляет метатеги, например, в панель инструментов WordPress, в заголовок, в стиль и javascript, а также в RSS-канал.

Удаление версии WordPress из шапки и RSS

Чтобы удалить версию из шапки и RSS, добавьте следующую строку в конец вашего файла functions.php .

функция remove_wordpress_version () {
возвращаться '';
}
add_filter('the_generator', 'remove_wordpress_version');

Удаление номера версии WordPress из скриптов и CSS

Чтобы удалить версию WordPress из CSS и скриптов, добавьте следующую строку в конец файла functions.php .

// Выбираем номер версии из скриптов и стилей
функция remove_version_from_style_js($src) {
если (strpos($src, 'ver='. get_bloginfo('версия') ))
$src = remove_query_arg('ver', $src);
вернуть $ источник;
}
add_filter('style_loader_src', 'remove_version_from_style_js');
add_filter('script_loader_src', 'remove_version_from_style_js');

После этого сохраните файл functions.php .

Вот и все. С помощью этого простого трюка вы наверняка сможете повысить безопасность WordPress. Тем не менее, мы всегда рекомендуем вам регулярно обновлять версию WordPress, а также тему и плагины.

Для получения подробных инструкций прочитайте наше руководство о том, как скрыть или удалить версию WordPress.

Вернуться к вершине

21. Изменить префикс таблицы базы данных WordPress

Во время установки WordPress он спрашивает, хотите ли вы использовать другой префикс базы данных. Обычно мы пропускаем этот шаг, поэтому WordPress автоматически использует (WP_) в качестве префикса таблицы базы данных по умолчанию. Рекомендуем сменить его на что-то сильное и уникальное.

Использование префикса по умолчанию (WP_) делает вашу базу данных WordPress уязвимой для атак SQL-инъекций. Такие атаки можно предотвратить, изменив префикс базы данных (WP_) на что-то уникальное.

После установки WordPress вы можете легко изменить префикс таблицы базы данных по умолчанию с помощью плагинов или вручную. Такие плагины, как BackupBuddy, Brozzme DB Prefix, позволяют изменить префикс таблицы одним щелчком мыши.

Ради руководства я покажу, как изменить его с помощью плагина Brozzme DB Prefix.

Примечание. Прежде чем что-либо делать со своей базой данных, убедитесь, что вы сделали резервную копию своего сайта и базы данных. Если что-то пойдет не так, вы сможете восстановить свой сайт.

Сначала установите и активируйте плагин Brozzme DB Prefix. На панели инструментов WordPress перейдите в « Инструменты» > «Префикс БД» и введите новое уникальное имя для префикса базы данных.

После ввода нового префикса нажмите «Изменить префикс БД» .

Для ручного процесса прочитайте, как изменить префикс таблицы базы данных с помощью phpMyAdmin.

Вернуться к вершине

22. Используйте только доверенные плагины WordPress

WordPress поставляется с более чем 48 000 плагинов. Это не означает, что все плагины полезны и безопасны в использовании.

Потому что в галерее плагинов WordPress доступно множество плагинов, которые давно не обновляются и обычно становятся уязвимыми. Кроме того, вы не получите никакой поддержки, если плагин сломает ваш сайт.

Прежде чем использовать любой бесплатный плагин, вам нужно проверить две важные вещи:

• Проверьте, когда плагин обновлялся в последний раз: если плагин не обновляется часто или больше не поддерживается разработчиком плагина, вам следует избегать плагина.

• Проверьте, имеет ли плагин максимальные положительные оценки: Следующее, что вам нужно проверить, имеет ли плагин максимальные положительные или отрицательные оценки. Если у плагина максимальные отрицательные оценки, его не следует использовать.

Вы также можете проверить страницу отзывов и поддержки плагина, чтобы узнать, что другие пользователи говорят о плагине.

Но не волнуйтесь. Есть много похожих плагинов, которые вы можете найти в галерее плагинов WordPress.

Если вы хотите использовать плагин премиум-класса, вам не нужно об этом беспокоиться. Премиум-плагины регулярно обновляются, и вы получаете круглосуточную поддержку от разработчика плагина.

Вернуться к вершине

23. Отключить отчеты об ошибках PHP

Еще один отличный способ усилить безопасность WordPress — отключить отчет об ошибках PHP в WordPress. Часто при установке устаревшего плагина или темы вы можете увидеть предупреждение об ошибке PHP.

Однако это может сделать ваш сайт уязвимым, если хакеры получат его, поскольку он показывает код и местоположение файла. Чтобы минимизировать риск, вы можете отключить отчеты об ошибках PHP в WordPress.

Отключить предупреждение об ошибке PHP в WordPress очень просто. Сначала отредактируйте файл wp-config.php и найдите строку с таким кодом:

определить('WP_DEBUG', ложь);

Вы можете увидеть «верно» вместо «ложно». Теперь замените строку следующим кодом.

ini_set('display_errors','Выкл');
ini_set('error_reporting', E_ALL);
определить('WP_DEBUG', ложь);
определить('WP_DEBUG_DISPLAY', ложь);

Сохраните файл, и все готово.

Мы также рекомендуем вам использовать современные и хорошо зарекомендовавшие себя плагины, чтобы избежать подобных проблем.

Вернуться к вершине

24. Добавьте безопасные заголовки HTTP в WordPress

Еще один отличный способ усилить безопасность WordPress — добавить безопасные HTTP-заголовки на ваш сайт WordPress.

Когда кто-то обращается к вашему веб-сайту, браузер отправляет запрос на ваш веб-сервер. Затем веб-сервер отвечает запросами вместе с заголовками HTTP. Эти заголовки HTTP передают такую ​​информацию, как кодирование содержимого, управление кешем, тип содержимого, соединение и т. д.

Добавляя безопасные заголовки ответа HTTP, вы можете повысить безопасность WordPress, а также предотвратить атаки и уязвимости безопасности.

Вот заголовки HTTP ниже:

• HTTP Strict Transport Security (HSTS) : HTTP Strict Transport Security (HSTS) заставляет веб-браузер использовать только безопасные соединения (HTTPS) при обмене данными с веб-сайтом. Это предотвращает взлом протокола SSL, перехват файлов cookie, удаление SSL и т. д.
• X-Frame-Options : X-Frame-Options — это своего рода HTTP-заголовок, который указывает, разрешено ли браузеру отображать веб-сайт во фрейме. Это предотвращает атаки кликджекинга и гарантирует, что ваш веб-сайт не будет встроен в другие веб-сайты с помощью <frame>.
• X-XSS-Protection : X-XSS-Protection — это встроенная функция браузеров Internet Explorer, Google Chrome, Firefox и Safari, которая блокирует загрузку страниц, если вредоносный скрипт был вставлен с помощью пользовательского ввода.
• X-Content-Type-Options : X-Content-Type-Options — это своего рода заголовок ответа HTTP со значением nosniff, который не позволяет веб-браузерам анализировать MIME ответ от объявленного типа контента.
• Referrer-Policy: политика Referrer — это заголовок ответа HTTP, который предотвращает утечку ссылок между доменами.

Чтобы добавить безопасные заголовки HTTP в WordPress, просто добавьте следующие строки кода в ваш файл .htaccess .

Набор заголовков Strict-Transport-Security "max-age=31536000" env=HTTPS
Заголовок всегда добавляет X-Frame-Options SAMEORIGIN
Заголовок установил X-XSS-Protection "1; режим=блок"
Набор заголовков X-Content-Type-Options nosniff
Политика реферера заголовка: нет реферера при переходе на более раннюю версию

Теперь перейдите на securityheaders.com, чтобы проверить, работают коды или нет. Мы не добавили «Политику безопасности контента», потому что это может нарушить работу вашего сайта. Однако этого достаточно, чтобы сделать ваш сайт WordPress безопасным.

Вернуться к вершине

Вывод

Существует множество способов усилить безопасность WordPress , например: использование управляемого хостинга WordPress, использование надежных паролей для учетных записей, мониторинг действий пользователей, использование плагина безопасности WordPress, внедрение SSL и HTTPS и многое другое.

Жесткая безопасность WordPress — это не ракетостроение. Вы можете легко защитить свой сайт WordPress, внедрив передовые методы безопасности WordPress, которыми мы поделились в этой статье. Внедрив их, вы не только защитите свой сайт WordPress, но и предотвратите доступ хакеров к вашему сайту.

После этого вам не нужно будет беспокоиться о безопасности вашего WordPress. Кроме того, вы можете быть более продуктивным и свободным от напряжения.

ТЕПЕРЬ твоя очередь . Внимательно прочитайте статью и внедрите их на свой сайт. Вы будете счастливы, что сделали это.

Мы пропустили какие-либо важные советы по безопасности WordPress, которые стоит упомянуть здесь? не стесняйтесь, дайте нам знать в разделе комментариев.

Инфографика безопасности WordPress