15 способов сделать ваш сайт WordPress более безопасным
Опубликовано: 2020-10-08WordPress — популярная CMS (система управления контентом). Это одна из самых удобных систем управления контентом с множеством разнообразных тем и полезных плагинов. Вы можете создать любой нишевый веб-сайт с помощью WordPress. Вот почему WordPress поддерживает около 36 процентов веб-сайтов в Интернете. Однако популярность может иметь свою цену. Поскольку WordPress занимает такое выгодное положение на рынке, он часто подвергается атакам хакеров. WordPress остается популярным выбором для быстрой подготовки любого веб-сайта, а также имеет множество функций. Следовательно, вам будет разумно сделать свой веб-сайт WordPress более безопасным, чтобы пользоваться платформой, не беспокоясь о киберугрозах. Кроме того, большинство людей ошибочно полагают, что если у них есть полноценный бизнес-сайт, то только тогда они должны тратить дополнительные деньги на обеспечение мер безопасности. Однако, даже если вы используете его для страницы портфолио, магазина электронной коммерции или любого другого веб-сайта, вам лучше использовать защитные меры. Давайте рассмотрим 15 простых способов сделать ваш сайт WordPress более безопасным и не дать хакерам разрушить ваш бизнес.
1. Всегда выбирайте отличную хостинговую компанию:
Это должен быть ваш первый и самый важный шаг к обеспечению безопасности веб-сайта. Обязательно используйте хорошую хостинговую компанию, которая доказала свою полезность в плане безопасности. Пара функций, на которые стоит обратить внимание: PHP (последняя версия), брандмауэр, MySQL, круглосуточный мониторинг безопасности и Apache. Вам также следует попробовать хостинговые услуги, которые регулярно проверяют наличие вредоносных программ и ежедневно делают резервные копии. Отличные услуги хостинга также будут иметь меры для предотвращения DDOS. Если вы думаете о своей безопасности WordPress как об уровнях, хостинг, который вы выбираете, является первым уровнем, иначе хакеры стены попытаются проникнуть на ваш сайт. Следовательно, даже если хорошие услуги хостинга стоят немного дороже, примите это во внимание, чтобы убедиться, что вы выбираете надежную и уважаемую услугу хостинга.
2. Измените имя пользователя администратора:
Если вы использовали WordPress ранее или являетесь новым пользователем, вы бы поняли, что WordPress использовал «Администратор» в качестве имени пользователя по умолчанию. Большинство пользователей никогда не утруждают себя изменением этого имени пользователя. Проблема в том, что у хакеров есть все шансы правильно указать ваше имя пользователя при попытке атаковать ваш сайт с помощью грубой силы. Вы не должны использовать «Администратор» в качестве имени пользователя WordPress. В наши дни WordPress по-прежнему позволяет пользователям устанавливать свое имя пользователя с самого начала вместо того, чтобы давать им имя пользователя «Администратор». Однако, если у вас есть ранее установленный веб-сайт WordPress, обязательно проверьте свое имя пользователя и измените его, если оно все еще установлено на «Администратор». Если это так, вы можете сделать другое имя пользователя администратора для своего веб-сайта, перейдя в «Пользователи», а затем «Добавить новое». Там вы можете ввести свое уникальное имя пользователя и пароль. Обязательно установите права администратора, а затем нажмите кнопку «Добавить нового пользователя».
3. Всегда используйте надежные пароли:
Пароль для вашего веб-сайта WordPress и вашего хостинга должен быть надежным и безопасным. Всегда используйте сочетание прописных и разнообразных строчных символов, таких как алфавиты, цифры, символы и т. д., чтобы разработать надежный пароль. Он также идеально подходит для использования программного обеспечения для управления паролями, такого как LastPass или Dashlane, для создания и хранения безопасных паролей.
4. Используйте учетную запись редактора или автора, чтобы опубликовать на своем веб-сайте:
Это отличный способ повысить безопасность вашего сайта WordPress. WordPress позволяет вам создавать учетные записи авторов и редакторов, если вам нужен доступ к другим пользователям для написания блогов или публикации на вашем веб-сайте, но вы не предоставляете им права администратора. Вы можете создать один такой аккаунт для себя и публиковать на сайте с его помощью. Это затруднит хакерам повреждение вашего сайта. Даже если им удастся взломать ваши профили авторов или редакторов, у них не будет административного контроля или привилегий.
5. Усильте свою административную область:
Вы должны сосредоточиться на максимально возможной защите административной области. Для этого вам следует изменить URL-адрес по умолчанию, который используется для входа в систему с правами администратора на вашем веб-сайте, и установить ограничение на количество неудачных попыток входа в систему. Это заблокирует пользователя, если он превысит этот лимит. Любой URL-адрес администратора WordPress выглядит как «yourdomain.com/wp-admin». Точно так же, как пользователи склонны менять свое имя пользователя «Администратор», они часто не утруждают себя изменением своих URL-адресов администратора. Это даст хакерам прямой доступ к странице входа в вашу админку, где они смогут попытаться взломать ваш сайт. Чтобы изменить URL-адрес администратора, вы можете использовать плагины, такие как WPS Hide Login. А чтобы ограничить количество неуспешных попыток, вы также можете использовать плагин Login Lockdown.
6. Всегда обновляйте файлы:
Устаревшие файлы часто игнорируются, и они представляют серьезную угрозу безопасности вашего веб-сайта. Ваш сайт становится открытым для различных взломов и эксплойтов. Следовательно, вы должны установить обновления, как только они будут выпущены. Возьмите за привычку периодически просматривать плагины, которые вы используете. Удалите плагины, которые вам больше не нужны. Сохранение дополнительных бесполезных плагинов увеличивает объем веб-сайта и дает хакерам больше точек входа.
7. Используйте плагин для резервного копирования:
Вы должны взять за привычку делать резервные копии своего сайта, если вы этого еще не сделали. Система резервного копирования поможет вам восстановить ваш веб-сайт, если в худшем случае ваш веб-сайт будет взломан. Существует множество надежных и полезных плагинов для резервного копирования, таких как UpdraftPlus, которые можно использовать для создания регулярного расписания резервного копирования для вашего веб-сайта. Не забудьте хранить файл резервной копии вне офиса, чтобы файлы не были заражены.
8. Используйте 2FA:
Используйте плагин Google Authenticator для настройки 2FA (двухфакторной аутентификации) для защиты вашего сайта. Это означает, что помимо использования ваших учетных данных для входа в систему, вам также потребуется ввести сгенерированный код мобильным приложением для входа на ваш сайт. Это, по крайней мере, остановит пробные и ошибочные атаки на ваш сайт. Следовательно, это может быть полезной тактикой. Двухфакторная аутентификация доступна как бесплатная функция в одном из лучших плагинов безопасности для WordPress, Wordfence (мы сами используем его в Web Design Dev).
9. Используйте SSL и HTTPS:
Если вы просматриваете Интернет или даже окружены интернет-подкованными людьми, вы наверняка слышали о людях, подчеркивающих необходимость наличия протокола HTTPS и сертификатов безопасности SSL на вашем сайте. HTTPS расшифровывается как безопасный протокол передачи гипертекста. SSL расшифровывается как Secure Socket Layers.
HTTPS позволяет браузеру посетителя установить защищенное соединение с вашим сервером хостинга, что обеспечивает безопасное соединение с вашим сайтом. Этот протокол HTTPS защищен с помощью SSL. Следовательно, SSL и HTTP помогают гарантировать, что вся информация, которой обмениваются браузер посетителя и ваш веб-сайт, зашифрована. Использование обеих этих функций на вашем сайте не только поможет повысить безопасность, но и значительно улучшит ваш рейтинг в поисковых системах. Это укрепит доверие ваших посетителей и улучшит коэффициент конверсии.
10. Используйте заголовки безопасности:
Еще один эффективный способ повысить безопасность вашего веб-сайта WordPress — реализовать заголовки безопасности. Эти заголовки безопасности устанавливаются на уровне сервера для предотвращения хакерских атак и уменьшения количества эксплойтов уязвимостей безопасности. Вы можете либо установить эти плагины безопасности вручную, добавив коды, либо использовать плагин, такой как Security Headers, чтобы добавить его автоматически.
11. Выйдите из неактивных пользователей:
Если у вас много входов на сайт, которые вы не используете часто, но не выходите из них, измените эту привычку. Если какой-либо идентификатор пользователя, который у вас есть, большую часть времени бездействует, обязательно выйдите из этих учетных записей после определенного периода бездействия. Вы также можете использовать плагин для этого, например Inactive Logout, для легкого завершения всех неактивных сеансов. Это важно, так как если вы войдете на свой веб-сайт, чтобы добавить новую запись в блоге, и отвлечетесь на какую-то другую побочную задачу, ваш сеанс может быть легко перехвачен, и хакеры могут использовать это окно для заражения вашего сайта.
12. Блокируйте хотлинкинг:
Хотлинкинг — это кража чьей-либо пропускной способности путем прямой ссылки на активы их веб-сайта, такие как видео или изображения. Предположим, вы нашли изображение в Интернете и хотите поделиться им на своем сайте. Для этого вы должны сначала получить разрешение или заплатить премию за это изображение. В противном случае есть большая вероятность, что это будет незаконно. Однако, если вам удастся получить разрешение, вы можете использовать URL-адрес изображения и использовать его для размещения фотографии в своем сообщении. Это проблематично, так как это изображение будет отображаться на вашем сайте, но будет размещено на сервере другого сайта.
Это проблематично, так как вы не будете контролировать, останется ли изображение на сервере или нет. И люди могут делать это и на вашем сайте. Если вы действительно хотите защитить свой веб-сайт WordPress, хотлинкинг приведет к снижению скорости загрузки и, возможно, увеличению стоимости сервера. Вы можете использовать встроенные инструменты плагина All in One WP Security and Firewall для блокировки и хотлинкинга.
13. Добавьте контрольный вопрос для входа:
Иногда очень помогает придерживаться основ. Наличие двухфакторной аутентификации и дополнительного секретного вопроса, на который пользователь должен ответить перед входом на ваш веб-сайт, сделает доступ хакеров более трудным и раздражающим. Вопросы безопасности могут быть связаны с финансовыми учреждениями, платформами электронной почты или сайтами участников. Секретный вопрос, по сути, работает как второй пароль для вашего сайта. Идеальный секретный вопрос — это вопрос, на который знаете ответ только вы. Усложнение задач имеет смысл, если ответ даже не связан с вопросом. Конечно, вы должны быть достаточно умны, чтобы помнить ответ самостоятельно. Этот фундаментальный прием может помочь защитить ваш сайт WordPress во много раз.
14. Убедитесь, что вы используете последнюю версию PHP:
Когда речь идет о веб-безопасности, несложно следить за последними версиями PHP. Тем не менее, вы будете поражены статистикой. Только 3,6% пользователей WordPress используют на своем веб-сайте последнюю версию PHP — 7.2. Более 12 процентов веб-сайтов WordPress все еще работают на версии 5.4, которая даже не поддерживается.
Неиспользование последней версии PHP означает, что в новой версии были обнаружены и исправлены некоторые пробелы в безопасности. Однако они не будут доступны для вашего сайта. А поскольку ошибки и исправления открыто упоминаются в списке изменений каждой версии PHP, хакеры легко узнают лазейки, чтобы попасть на ваш сайт.
15. Деактивировать просмотр каталога:
Люди, которые атакуют веб-сайты WordPress, могут использовать просмотр каталогов для поиска плагинов или тем, которые имеют уязвимости на вашем сайте. Эти недостатки могут быть использованы для взлома вашего сайта. Они могут получить доступ к вашему веб-сайту и внедрить в него вредоносные скрипты, рекламу и нежелательные ссылки. Они также могут просматривать ваши файлы, узнавать структуру каталогов, копировать изображения и получать доступ к другой информации. Следовательно, лучше всего отключить индексирование и просмотр каталогов. Для этого вам необходимо получить доступ к вашему веб-сайту WordPress через FTP-клиент, отредактировать файл «.htaccess» в корневом каталоге вашего сайта и добавить следующую строку внизу — «Параметры» — «Индексы».
Это были 15 способов сделать ваш сайт WordPress более безопасным. Обязательно следуйте всем этим инструкциям и рекомендациям и включите их на своем веб-сайте, чтобы обеспечить максимальную защиту и безопасность. Все вышеперечисленные методы добавляют уровень защиты вашему веб-сайту WordPress, из-за чего хакерам становится сложнее получить то, что они хотят. Эти рекомендации — отличное место, чтобы начать защищать содержимое вашего веб-сайта и конфиденциальную информацию. Это также поможет укрепить ваше присутствие в Интернете, потому что чем надежнее веб-сайт, тем безопаснее он и для посетителей. Это ценят и посетители, и поисковые системы, и это придает вам авторитет на рынке.