5 вещей, которые нужно рассказать своим клиентам о безопасности WordPress

Опубликовано: 2021-02-05

Создание и защита веб-сайта WordPress — это всегда сложная задача. Разработчики уделяют большое внимание написанию надежного кода и внедрению таких функций, как подключаемые модули безопасности, для смягчения неизбежных атак.

Тем не менее, мы не из леса. Перефразируя старую поговорку: веб-сайт настолько безопасен, насколько его самое слабое звено. Помимо потенциальных эксплойтов из-за кода, самым слабым звеном, как правило, является неосведомленный пользователь. Кто-то, кто не по своей вине делает плохой выбор, который делает их сайт уязвимым.

Используя другое клише: лучшая защита — это хорошее нападение. В данном случае это означает проявлять инициативу, когда речь идет об обучении клиентов передовым методам обеспечения безопасности. Некоторые вещи (например, надежные пароли) являются универсальными, в то время как другие более специфичны для самого WordPress. И это наша цель на сегодня.

Итак, давайте рассмотрим пять вещей, которые ваши клиенты должны знать о безопасности WordPress.

Не устанавливайте плагин WordPress, не посоветовавшись с профессионалом

Мы поняли: соблазн установить плагины реален. В конце концов, они находятся всего в нескольких кликах.

Но риск тоже реален. Плагины WordPress сильно различаются по качеству и, следовательно, по безопасности. Нередко в официальном репозитории можно найти плагин, который не обновлялся год и более. Может быть, это безвредно; может быть, это не так.

Из-за этого веб-дизайнеры должны поощрять клиентов проводить быструю консультацию перед установкой плагина. Предлагаю посмотреть и уточнить детали. Этот единственный шаг может предотвратить кошмарный сценарий в отношении безопасности и стабильности сайта.

Есть несколько преимуществ. Во-первых, это держит вас в курсе того, что происходит с сайтом. Кроме того, это позволяет вам направить клиентов в сторону хороших, зарекомендовавших себя плагинов. Не говоря уже о том, что это учит клиентов думать, прежде чем нажать кнопку. Это выгодно всем.

Экран плагинов WordPress.

Создавайте новые учетные записи пользователей, а не делитесь одной

Во многих организациях есть несколько человек, которым нужен доступ к панели управления WordPress. Слишком часто эти пользователи используют одну учетную запись.

На первый взгляд это может показаться простым вопросом доверия. И в этом, безусловно, есть элемент. Если член команды покидает организацию, есть вероятность, что у него все еще будет доступ, если пароль не был изменен. И злонамеренный человек может нанести некоторый ущерб.

Другая реальная проблема здесь связана с безопасностью устройства. Если у вас есть, скажем, пять человек с общей учетной записью администратора WordPress, все, что нужно, — это взломать одно из их устройств. Например, кейлоггер на ПК одного пользователя может скомпрометировать учетную запись.

Поэтому рекомендуется, чтобы у каждого пользователя была своя учетная запись. Это легко сделать в WordPress, и мы даже можем создавать собственные роли пользователей, которые ограничивают то, что кто-то может и не может делать.

Ассортимент ключей.

Постоянно обновляйте ядро ​​WordPress, плагины и темы

В идеале ваши клиенты будут заключать с вами контракт на обработку обновлений программного обеспечения. Но если они берут на себя ответственность, важно, чтобы они относились к этому вопросу очень серьезно.

Как разработчика, мало что раздражает больше, чем устранение неполадок со скомпрометированным веб-сайтом только для того, чтобы войти в WordPress и увидеть, что некоторые версии устарели. Это все равно, что оставить входную дверь своего дома открытой настежь 24/7. Вы не должны слишком удивляться, когда кто-то входит и забирает ваш модный новый телевизор.

Важность постоянного обновления ядра, плагинов и тем WordPress невозможно переоценить. Зная, что это все еще может быть за пределами комфорта некоторых клиентов. Все в порядке. Либо они могут нанять вас, чтобы справиться с этим, либо, по крайней мере, включить автоматические обновления, где это возможно.

Независимо от того, как внедряются обновления, о них нужно заботиться. Хотя это не гарантирует безопасность, это намного лучше, чем альтернатива.

Человек, печатающий на клавиатуре.

Двухфакторная аутентификация может иметь большое значение

Добавить двухфакторную аутентификацию в WordPress довольно просто. Но это имеет смысл только в том случае, если заинтересованные стороны действительно используют его.

Правда, это не очень удобно. Необходимость подтверждения электронной почты, текстового сообщения или проверки мобильного приложения для входа в систему может быть серьезной проблемой. Но этот дополнительный шаг жизненно важен. Это создает огромный барьер между злоумышленником и доступом к серверной части вашего сайта.

И пользовательский опыт на самом деле становится лучше. Некоторые реализации теперь сочетают распознавание устройств с 2FA. Это означает, что до тех пор, пока устройство пользователя распознано, нет необходимости подтверждать вход в систему в течение определенного периода времени.

Кроме того, 2FA стала стандартной во многих местах. Некоторые приложения онлайн-банкинга не позволят вам войти без него. Нет никаких причин, по которым ваш веб-сайт не должен также использовать преимущества этой технологии.

То, что безопасно сегодня, может перестать быть завтра

Независимо от платформы, на которой он работает, веб-сайт — это не одноразовое дело. Это требует частого (если не постоянного) внимания, при этом безопасность играет важную роль.

Сеть постоянно развивается. Новые технологии очень быстро устаревают. И то, что когда-то считалось лучшей практикой безопасности, иногда может быть доказано иначе.

Из-за этого безопасность веб-сайтов является проблемой, которая действительно не имеет конца. Это ежедневная битва как для малых, так и для крупных организаций.

В результате веб-сайты должны меняться вместе со временем. Когда дело доходит до WordPress, это может означать замену старых плагинов безопасности на что-то лучшее. Или покончить с заброшенными темами и плагинами, чтобы подтянуть ситуацию. Также может потребоваться изменение хостов или серверных сред.

Важно понимать, что то, что вы инвестировали в безопасность сегодня, не означает, что вам не придется делать это завтра.

Код на экране компьютера.

Обучите клиентов сегодня для более безопасного веб-сайта WordPress

Наши клиенты часто полагаются на нас, чтобы предоставить некоторые знания вместе с убийственным веб-сайтом. И безопасность может быть самым важным предметом, которому мы можем их обучить.

Попытки сделать это с самого начала могут принести долгосрочные дивиденды. Клиент, который понимает, как обеспечить безопасность своего веб-сайта WordPress, с меньшей вероятностью совершит одну из этих серьезных ошибок. Одно это может быть разницей между очисткой взломанного сайта и гладким плаванием.