Неприятно видеть взломанный веб-сайт. Взлом веб-сайта WordPress может нанести ущерб вашему бизнесу в краткосрочной и долгосрочной перспективе, особенно если это происходит повторно. Взлом веб-сайта может привести к удалению данных с сайта и снижению рейтинга в поисковых системах, либо из-за отсутствия страниц, либо из-за того, что Google обнаруживает вредоносный код на сайте. По оценкам, ежедневно взламывается около 30 000 веб-сайтов. Кроме того, примерно 43% атак на веб-сайты направлены на малые предприятия, и данные показывают, что только около 14% этих веб-сайтов адекватно защищены. Почему вы должны стать частью этой статистики?
Существует немало решений для защиты вашего сайта WordPress, и многие из них вы можете реализовать самостоятельно. Конечно, вы можете быстро восстановить сайт WordPress, если у вас есть актуальная резервная копия (и очень важно ее иметь), но лучше заранее предотвратить хлопоты, головную боль и потерю времени.
Как защитить сайт WordPress?
Надежные пароли
Многие атаки на сайты WordPress связаны с использованием инструментов для подбора паролей. Создавайте надежные пароли и убедитесь, что все пользователи сайта имеют надежные пароли. Такой пароль должен содержать не менее 12-16 различных символов, включая заглавные и строчные буквы, цифры и специальные символы. Вы также можете использовать сам WordPress, который имеет генератор паролей на странице создания пользователя.
Установите плагин безопасности
Существует несколько очень хороших плагинов безопасности для WordPress, и даже их бесплатные версии обеспечивают хорошую базовую защиту вашего сайта. Рекомендуемые плагины безопасности для WordPress:
Важно проверить производительность сайта после установки и активации плагина безопасности. Если плагин вызывает проблемы или замедляет работу сайта, стоит попробовать другой плагин. Не забудьте сделать резервную копию сайта перед установкой плагина безопасности.
Держите систему в актуальном состоянии
WordPress часто обновляется, и в большинстве случаев это обновления безопасности, которые исправляют различные уязвимости и проблемы в системе управления контентом. Некоторые обновления выполняются автоматически, но крупные обновления придется выполнять вручную, так как после этого важно проверить сайт, чтобы убедиться, что все работает.
Многие владельцы малого бизнеса пренебрегают своими сайтами и забывают их обновлять. Устаревшая система подвергает ваш сайт риску взлома, поэтому важно часто посещать интерфейс управления и выполнять соответствующие обновления.
Вы также можете включить автоматические обновления на своем сайте WordPress и просто позволить системе обновляться по мере необходимости.
Следите за плагинами и шаблонами
Плагины и шаблоны WordPress также необходимо обновлять. На самом деле, плагины и шаблоны являются слабым местом, которое хакеры любят использовать. Например, старые и устаревшие плагины могут представлять угрозу безопасности вашего сайта. Если разработчики плагина перестали его обновлять, вам следует подумать о его удалении или замене новым плагином.
С шаблонами ситуация может быть еще более сложной, поскольку их разработка часто прекращается, а изменение дизайна всего веб-сайта из соображений безопасности — не то, что обычно делают малые предприятия. Однако очень старый шаблон WordPress определенно представляет угрозу безопасности вашего сайта, и его стоит заменить или нанять профессионала для обновления кода шаблона.
Скрыть экран входа в WordPress
Очень распространенным вектором атак на сайты WordPress является экран входа в систему. При установке WordPress этот экран находится по определенному, заранее заданному URL-адресу, что делает его очень легкой мишенью для сканирования и атак. Вместо того, чтобы размещать экран входа в систему по адресу, заканчивающемуся на wp-admin, вы можете разместить его по другому адресу, например enterhere.php или любому другому расширению по вашему выбору.
Изменить адрес экрана входа можно путем редактирования кода WordPress или с помощью плагина, такого как WPS Hide Login.
Отключение запросов xmlrpc.php
WordPress поставляется с протоколом XML-RPC, который позволяет внешнему программному обеспечению публиковать сообщения, сохранять копии, использовать расширенные параметры редактирования и многое другое. Эти параметры представляют угрозу безопасности вашего сайта, поскольку открывают дверь для непрерывного получения внешней информации.
Начиная с версии WordPress 3.5, эта функция включена по умолчанию, и нет возможности отключить ее через интерфейс администратора WordPress. Однако вы можете отредактировать файлы через интерфейс администратора хостинга вашего веб-сайта, чтобы отключить ее. Мы подготовили для вас руководство: Отключение запросов xmlrpc.php через ваш хостинг-сервер.
Убедитесь, что ваш хостинг-сервис использует последнюю версию php
Как и работа с устаревшими версиями WordPress, работа с устаревшими версиями php также небезопасна. Версия php устанавливается на сервере хостинга вашего веб-сайта, и многие хостинг-сервисы позволяют вам самостоятельно устанавливать версию php с помощью cPanel. Обязательно работайте с последней версией php.
Выбирайте безопасный веб-хостинг
Прежде чем приобретать хостинг для вашего веб-сайта, проверьте, уделяет ли хостинг-провайдер достаточное внимание безопасности веб-сайтов и резервному копированию. Ищите конкретную информацию на веб-сайте хостинг-компании или спросите в службе поддержки, какие меры безопасности принимаются на серверах.
Безопасный веб-хостинг значительно снизит вероятность взлома вашего веб-сайта и сэкономит вам много времени и нервов.
Перенесите свой веб-сайт на виртуальный сервер
Виртуальный сервер — отличное решение для немедленного и значительного усиления безопасности вашего веб-сайта WordPress. На общем сервере вы делите пространство со многими соседями, некоторые из которых могут представлять угрозу безопасности, независимо от мер безопасности, которые вы принимаете сами.
Когда вы размещаете свой сайт WordPress на виртуальном сервере, вы обеспечиваете ему более качественную, стабильную, быструю и надежную инфраструктуру и, конечно же, значительно более высокий уровень безопасности. Часть сервера, которую вы занимаете, принадлежит исключительно вам (поэтому она и называется «частной»), поэтому вы не подвергаетесь риску из-за небрежного поведения или атак на сайты, которые вам не принадлежат.