План действий по укреплению безопасности WordPress [Checklist]

Ежегодно взламываются сотни тысяч сайтов WordPress. Большинство этих взломов можно было бы предотвратить с помощью базовой безопасности WordPress. Атаки, которые были более изощренными, могли быть остановлены с помощью расширенной системы безопасности WordPress. И, скажем прямо, некоторые из них не могли быть остановлены.

Люди взломали Пентагон, ЦРУ, НАСА и бесчисленное множество других «секретных» и «безопасных» правительственных учреждений по всему миру. Если хакер ДЕЙСТВИТЕЛЬНО хочет проникнуть на ваш сайт, он, вероятно, найдет способ. К счастью, такие ситуации случаются редко, пока вы не станете крупным авторитетом в мире.

Когда дело доходит до WordPress, правда в том, что ваш сайт просто должен быть более безопасным, чем в среднем. Существует так много небезопасных сайтов WordPress, что, если хакер столкнется с какими-либо трудностями при доступе к вашему сайту, он просто перейдет к следующему, а не взламывает ваш.

Как хакеры могут проникнуть на ваш сайт WordPress?

Факты о безопасности WordPress и советы по блокировке wordpress.png

Для непрофессионала «спам» и «вредоносное ПО» могут быть самыми простыми способами описать нарушение безопасности WordPress.

Как разработчик, вы понимаете, что хакеры проявляют гораздо больший творческий потенциал.
Из-за разнообразия способов, которыми они атакуют или заражают веб-сайт, а также места, через которое они могут проникнуть внутрь, существует более дюжины типов угроз WordPress, о которых вам следует знать.

• SQL-инъекция
• Межсайтовый скриптинг — WordPress XSS
• Подделка
• Фишинг
• Удаленное включение файлов
• Файл загружен
• Обход пути
• Перенаправление вредоносных программ WordPress
• Атака грубой силы
• Распределенный отказ в обслуживании — атака DDOS на WordPress

Опять же, вам не нужно делать свой сайт неуязвимым для взлома, вам просто нужно сделать его сложнее для взлома, чем другие. Помните посылку старого анекдота: «Мне не нужно убегать от медведя, мне нужно убежать от тебя». То же самое и с хакерами. Вам просто нужно быть немного лучше подготовленным, чем другие сайты.

На этой ноте давайте начнем с некоторых основных советов по безопасности WordPress для вашего сайта, чтобы вы могли быть спокойны. Вы также можете скачать PDF здесь.

1. Следите за производительностью вашего сайта

Вы должны проверять скорость загрузки вашего сайта не реже одного раза в неделю. Внезапное замедление работы вашего веб-сайта может указывать на то, что он заражен вредоносным ПО или был взломан.

Большинство владельцев обычного бизнеса редко проверяют свои веб-сайты, а это означает, что они могут быть недоступны в течение длительного периода времени, даже не подозревая об этом. Таким образом, служба мониторинга времени безотказной работы может быть важна, если вы находитесь в этой лодке.

Pingdom — отличный инструмент, который может помочь вам, начиная с 15 долларов или меньше в месяц.
Установите плагины безопасности
Установка плагинов безопасности, которые контролируют файлы вашего сайта, — разумный шаг. Мы используем и рекомендуем два основных: WordFence и Sucuri.

WordFence выполняет такие действия, как сканирование файлов сайта на наличие изменений по регулярному расписанию, ограничивает попытки входа в систему с неправильными именами пользователей или паролями, отслеживает IP-адреса, которые используют ваш веб-сайт подозрительным образом. Некоторым хостам не нравится, что вы используете WordFence, потому что этот плагин может потреблять ресурсы сервера. Существует бесплатная и премиум-версия этого плагина.

Sucuri — это плагин безопасности primo, который сканирует ваши веб-сайты непосредственно на наличие вредоносных программ. У них также есть брандмауэр, который отфильтрует подозрительный трафик еще до того, как он попадет на ваш сайт. Если вы заражены вредоносным ПО, они также очистят его за вас. У них есть бесплатная и премиум-версия, но все самое интересное идет с платной версией.

Регулярно сканируйте свой сайт WordPress.

Проверяйте и сканируйте WordPress на наличие вредоносных программ, используя лучшие профессиональные инструменты. Используйте несколько средств проверки на наличие вредоносных программ: онлайн-инструменты для проверки сайтов, а также локальные сканеры вредоносных программ. Тщательно просканируйте свой сайт, сначала выявив вредоносные взломы на сайте, такие как перенаправление вредоносных программ WordPress. Это сканирование помогает обнаружить и идентифицировать зараженные файлы.

Вы также можете просканировать тему WordPress на наличие вредоносных программ и выявить вредоносные файлы. Просмотрите интерфейс WordPress, серверную часть, исходный код, файловую систему, темы, плагины, обновления, конфигурации и настройки, чтобы обнаружить источник атаки. Вы можете использовать этот расширенный сканер WordPress с помощью WP Hacked Help.

Их сканер вредоносных программ Deep Scanning WordPress обнаруживает вирусы и трояны, скрытые глубоко внутри сервера, а их эксперты WordPress очищают его. Вам важно знать бреши в безопасности и что именно нужно сделать, чтобы очистить свой сайт.

Не храните резервные копии ZIP на своем сервере

Важно регулярно создавать резервные копии своего веб-сайта и базы данных, если вы регулярно добавляете новый контент на свой сайт. Некоторые плагины резервного копирования сохраняют резервные копии в каталоге WordPress. Плохой ход.

Скрипты взлома могут легко получить доступ к этим ZIP-файлам и вставить в них вредоносное ПО. Затем, если по какой-либо причине вам нужно восстановить свой сайт, вы будете восстанавливать взломанную версию своего сайта.

Вот почему лучше всего отправлять резервные копии по электронной почте или хранить в облаке с помощью Dropbox, Google Drive, Amazon S3 или другого поставщика облачных услуг.

Удалите файлы install.php и upgrade.php.

Эти два файла обеспечивают специальный доступ к ресурсам сервера и требуются только для установки или обновления вашего сайта WordPress. Таким образом, вы можете удалить их после установки или обновления вашего сайта.

Эти файлы могут снова появиться после обновления основных файлов WordPress, поэтому вам придется удалять их после каждого обновления.

Заблокированный доступ к каталогу

В вашей иерархии папок WordPress есть два каталога, к которым никогда не требуется доступ общественности: wp-admin и wp-includes. Всегда полезно ограничить доступ к этим каталогам с помощью файла .htaccess.

Защитите свой файл wp-config.php

Файл wp-config.php — один из самых важных файлов в вашей установке WordPress. Если он не защищен, хакеру относительно легко получить доступ и просмотреть учетные данные вашей базы данных. Они могут использовать эти учетные данные базы данных и сам файл, чтобы нанести всевозможный ущерб вашему веб-сайту.

Есть два основных способа защитить его. Тот, который вы выберете, будет зависеть от вашей учетной записи хостинга. Если ваш сайт находится на сервере Apache, вы можете использовать
.htaccess для защиты вашего файла wp-config.php.

Второй вариант полезен только в том случае, если вы используете выделенный хост и у вас есть доступ к папкам над корнем вашего сайта. Если вы это сделаете, вы можете переместить файл wp-config.php из общих папок в папку над корнем.

Блокировать слишком много неудачных попыток входа

Слишком много неудачных попыток входа за короткий промежуток времени свидетельствует о том, что кто-то пытается угадать комбинацию имени пользователя и пароля, которая даст ему доступ к вашему сайту. Это называется атакой грубой силы WordPress.

Вы можете заблокировать людей, которые не смогли войти в систему определенное количество раз, используя плагин Wordfence и плагин Limit Login Attempts.

Атаки грубой силы часто выполняются с использованием автоматизированных инструментов. Эти инструменты ищут страницу входа в WordPress в обычных местах: YourDomain .com/wp-login.php или YourDomain .com/wp-admin. Если там нет страницы входа, у них нет другого выбора, кроме как двигаться дальше. Вот почему так удобно перемещать страницу входа по другому URL-адресу.

Есть удобный плагин под названием Move Login (который поможет вам сделать это. Вы можете выбрать слаг для страницы входа, какой хотите. Теперь, когда автоматизированные инструменты сканируют сайты WordPress на предмет страниц входа, ваш сайт будет невидимый.

Скрыть версию WordPress

Каждое обновление ядра WordPress включает исправления безопасности. Когда выходит обновление, информация об исправлениях и уязвимостях, которые они устраняют, публикуется в Интернете. Хакеры знают, что большинство людей неправильно обновляют свои сайты.

И хакеры теперь знают точные уязвимости, которые существуют в предыдущих версиях WordPress. Это то, что мы называем «низко висящими» плодами.

Что еще хуже, каждый сайт WordPress публикует номер версии основных файлов WordPress в исходном коде. Используя автоматизированные инструменты, хакеры могут сканировать

вашего сайта, найдите номер версии и попытайтесь взломать его, используя известные уязвимости безопасности WordPress.

Вот почему так важно обновлять основные файлы WordPress, как только обновления становятся доступными. Это также хороший повод удалить номер версии WordPress из исходного кода.

Когда вы вводите неправильную комбинацию имени пользователя и пароля на странице входа в WordPress, сообщения об ошибках дают вам подсказки о том, что вы сделали неправильно.

Например, если вы введете неверное имя пользователя и неверный пароль, появится сообщение об ошибке: «Ошибка: введено неверное имя пользователя или пароль».

Однако, если вы введете правильное имя пользователя, но неправильный пароль, в сообщениях об ошибках будет написано «Ошибка: введен неверный пароль».

Это плохо для бизнеса. Если вы хакер, теперь вы знаете, что у вас есть действительное имя пользователя, и вам просто нужно взломать пароль. По этой причине гораздо лучше всегда сохранять первое сообщение об ошибке: «Ошибка: введено неверное имя пользователя или пароль».

Вывод

WordPress поддерживает почти 22% всех веб-сайтов в Интернете, что огромно, и это означает, что сообщество WordPress, вероятно, будет существовать еще долгое время. Это также означает, что WordPress является большой целью для хакеров.

К сожалению, большинство веб-мастеров не заботятся или не знают, что они должны защищать свои веб-сайты. Рано или поздно их взломают, и это повредит их бизнесу. Даже просто просматривая этот документ, вы делаете больше, чем подавляющее большинство веб-мастеров, так что молодцы!

Теперь пришло время перейти на следующий уровень. Я создал пошаговый учебный план действий, чтобы укрепить ваш веб-сайт значительно больше, чем это делает большинство людей.

Оригинальный источник:

Как хакеры могут проникнуть на ваш сайт WordPress?

1. Следите за производительностью вашего сайта

Регулярно сканируйте свой сайт WordPress.

Не храните резервные копии ZIP на своем сервере

Удалите файлы install.php и upgrade.php.

Заблокированный доступ к каталогу

Защитите свой файл wp-config.php

Блокировать слишком много неудачных попыток входа

Скрыть версию WordPress

Вывод

Как GitOps может продвигать безопасность с открытым исходным кодом

Конструкторы страниц могут быть плохой идеей

ASP.NET MVC — мини-сериал по безопасности: XSS

Конфиденциальность и этичная веб-аналитика

OAuth против JWT (веб-токены JSON): подробное сравнение

Соответствие требованиям и безопасность в облаке: зачем нужен автоматизированный подход?

Добавить комментарий Отменить ответ

Как хакеры могут проникнуть на ваш сайт WordPress?

1. Следите за производительностью вашего сайта

Регулярно сканируйте свой сайт WordPress.

Не храните резервные копии ZIP на своем сервере

Удалите файлы install.php и upgrade.php.

Заблокированный доступ к каталогу

Защитите свой файл wp-config.php

Блокировать слишком много неудачных попыток входа

Переместите страницу входа на другой URL-адрес

Скрыть версию WordPress

Удалить/скрыть сообщения об ошибках входа

Вывод

Похожие записи

Добавить комментарий Отменить ответ