Що може бути кращим за якісно створений веб-сайт? Добре побудований веб-сайт із надійною безпекою.
Залишайтеся зі мною, оскільки я розкрию деякі з найкращих методів безпеки для вашого веб-сайту WordPress. Вони не тільки зручні для початківців, але й дуже доступні, якщо не зовсім безкоштовні.
До кінця цієї статті ви матимете план дій, щоб захистити свій сайт від усіх видів кіберзагроз. Отже, пристебніться та почнемо!
Чи безпечний ваш сайт WordPress?
Хоча WordPress вважається найпопулярнішою CMS на сьогодні, ця репутація має певні наслідки. Використовується понад 35% сайтів в Інтернеті WordPress перетворюється на улюблену мішень для атак шкідливих програм. Тільки в 2018 році Sucuri повідомила, що близько 23 000 веб-сайтів WordPress стали жертвами порушень безпеки.
Чи означає це, що WordPress має жахливу систему безпеки?
Зовсім ні! Навпаки, основною причиною порушення безпеки веб-сайту є недостатня обізнаність користувачів щодо безпеки.
Як авторитетна CMS, WordPress виконує свою роль, регулярно публікуючи виправлення безпеки та оновлення програмного забезпечення. Незважаючи на це, ці оновлення мало що змінять, якщо ви не знаєте, що з ними робити.
Коротше кажучи, ви відіграєте значну роль у захисті свого веб-сайту.
Тепер, коли ви знаєте свою роль і відповідальність як веб-майстра, настав час дослідити, що ви можете зробити, щоб покращити безпеку свого веб-сайту. Перегляньте наведені нижче найкращі методи безпеки та спробуйте застосувати їх на своєму веб-сайті.
Використовуйте надійні імена користувачів і паролі
Створення надійних облікових даних для входу може бути найпростішою практикою безпеки, яку може застосувати будь-хто, але багато користувачів все ще не роблять цього. Хочеш – вір, хочеш – ні, 23,2 мільйона акаунтів продовжують використовувати «123456» як свій пароль. Ця ж проблема стосується імен користувачів, де багато користувачів використовують стандартні імена користувачів, як-от «адміністратор» і «адміністратор».
Якщо вам потрібна допомога із створенням надійних паролів, їх багато генератори паролів там ви можете використовувати безкоштовно. Що стосується імен користувачів, ви можете додати в ключові слова цифри та спеціальні символи, щоб зробити їх більш унікальними.
Використання слабких облікових даних для входу зробить ваш веб-сайт вразливим до атак грубої сили. Цей тип кібератак використовує метод проб і помилок, щоб вгадати ваші облікові дані для входу. Тому краще уникати використання звичайних ключових слів для реєстраційної інформації.
Якщо у вас є звичка забувати пароль, ви можете розглянути можливість використання LastPass щоб запам’ятати та використовувати його одним клацанням миші. Що стосується імен користувачів, ви можете додати в ключові слова цифри та спеціальні символи, щоб зробити їх більш унікальними.
Приховати логін WordPress
Цей простий трюк може захистити ваші сайти WP від зловмисників, спрямованих на атаки грубої сили. використання WPS Приховати логін безкоштовний плагін для зміни URL-адреси входу на щось унікальне.
Увімкніть двофакторну автентифікацію
Після того, як ви захистили свої облікові дані адміністратора, ви можете ще більше покращити процес входу, увімкнувши двофакторну автентифікацію. Цей процес безпеки створює додатковий рівень захисту, який вимагає від користувачів отримати унікальний код із програми автентифікації. Запровадивши його на своєму веб-сайті, лише користувачі з правильними обліковими даними та кодом зможуть увійти до свого облікового запису.
У WordPress є багато плагінів двофакторної автентифікації на вибір. Деякі з найкращих включають Google Authenticator, Двофакторна автентифікаціяі Двофакторний.
Змініть префікс бази даних WordPress
База даних веб-сайту є найулюбленішою ціллю для атак SQL-ін’єкцій. Ці типи кібератак змушують базу даних виконувати шкідливий код, що дозволяє хакерам вільно змінювати або видаляти дані в ній. Оскільки атаки SQL-ін’єкції включають навколо 80% спроб злому запускається на місяць, не варто легковажно сприймати цю загрозу.
Одним із факторів, які роблять вашу базу даних схильною до атак SQL-ін’єкцій, є використання префікса бази даних wp_ за замовчуванням. Використовуючи передбачувану базу даних, префікс дозволяє хакерам вгадувати назви ваших таблиць і сіяти хаос у вашій базі даних. Тому я настійно рекомендую вам змінити його якнайшвидше.
Ось докладно керівництво про те, як змінити префікс бази даних WordPress. Ви також можете спробувати Плагін Change Table Prefix.
Вимкнути повідомлення про помилки PHP
Функція звітування про помилки PHP допомагає набагато швидше знаходити помилки у файлах PHP. Однак це також дозволяє іншим людям бачити вразливі місця вашого сайту. Тому я рекомендую вам взагалі вимкнути цю функцію.
WordPress за замовчуванням вимикає функцію звітування про помилки. Якщо з якоїсь причини його ввімкнуто, вимкніть його вручну зміна файлу wp-config.php. Залежно від вашої послуги веб-хостингу, кілька хостинг-провайдерів також дозволяють керувати цими параметрами зі своєї панелі керування.
Підтримуйте WordPress в актуальному стані
Щоб не відставати від типів кібератак, які постійно зростають, WordPress періодично випускає оновлення разом із останніми виправленнями безпеки. Це вдосконалення стосується не лише ядра WordPress, а й плагінів і тем. Зважаючи на це, використання застарілого програмного забезпечення є рецептом катастрофи.
Незважаючи на те, що WordPress автоматично впроваджує незначні оновлення програмного забезпечення, вам все одно потрібно виконувати основні оновлення вручну. Тому обов’язково регулярно шукайте нові оновлення в розділі «Оновлення» панелі адміністратора WordPress, щоб уникнути вразливості безпеки на вашому сайті.
Також є безкоштовний плагін Простий менеджер оновленьза допомогою якого ви можете контролювати, як ви хочете оновлювати ядро, теми та плагіни WordPress.
Вимкнути перегляд каталогу
Перегляд каталогу може надати вам швидкий доступ до структури сайту та окремих каталогів. Однак він може перетворитися на палку з двома кінцями, якщо інші люди також матимуть до нього доступ. Хакери часто використовують його для пошуку вразливих файлів, плагінів і тем, а потім використовують їх для отримання доступу до вашого веб-сайту.
Якщо ви розміщуєте свій сайт WP на платформі преміум-класу, можливо, вам не потрібно хвилюватися, оскільки вони подбають про цю оптимізацію. Однак, якщо ви розміщуєте хостинг самостійно або вам потрібно вимкнути його вручну, перевірте це стаття щоб знати, як вимкнути перегляд каталогів у WordPress.
Видаліть номер версії WordPress
WordPress постійно випускає оновлення, щоб виправити вразливі місця попередньої версії. Старіші версії зазвичай мають більше вразливостей. Тому робити вашу версію WordPress загальнодоступною – не найкраща ідея для вашої системи веб-безпеки.
За замовчуванням ваша версія WordPress відображається в нижньому правому куті панелі адміністратора та джерела сторінки. Він також з’являється в менш очевидних місцях, як-от RSS сайту, CSS і сценарії. Там чудово стаття який містить покрокові інструкції щодо видалення версії WordPress із цих місць.
Вимкнути редагування файлів
Вбудований редактор файлів WordPress дозволяє набагато легше змінювати плагін і сценарії теми. Незважаючи на це, ця функція може поставити під загрозу ваш веб-сайт, якщо він потрапить у чужі руки. З цієї причини найкраще взагалі вимкнути редагування файлів. Ви можете зробити це, додавши нижче у файл wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Виконуйте регулярне резервне копіювання
Створення резервних копій так само важливо, як і захист веб-сайту. У гіршому випадку резервні копії можуть позбавити вас від необхідності перебудовувати сайт з нуля.
Процес може здатися виснажливим, але існує багато таких плагінів для резервного копіювання VaultPress і BlogVault що може зробити це без проблем. Порада, використовуйте плагін із функцією автоматичного резервного копіювання, щоб заощадити час і уникнути засмічення системи застарілими резервними копіями.
Якщо вам не подобається використовувати занадто багато плагінів, ви можете розглянути можливість використання iThemes Security Pro, який піклується про все, і навіть більше.
Зупиніть спам і негативне SEO
Спам повсюди, і ніхто його не любить.
Якщо ви керуєте популярним сайтом і не маєте належної системи запобігання спаму, можливо, ви щодня залучаєте тисячі спамерів. Занадто багато спаму шкідливо для SEO та взаємодії з користувачем. Уявіть собі, у вас є сотні нерелевантних коментарів до публікації в блозі.
Скажіть «ні» спаму, використовуючи Антиспам CleanTalk рішення.
Використовуйте WAF
Одним із найкращих інвестицій, які ви можете зробити для захисту свого сайту, є використання WAF (брандмауера веб-додатків). Це допомагає захистити ваш сайт від 10 основних уразливостей OWASP, відомих і невідомих недоліків безпеки, шкідливого коду, DDoS-атак і багато іншого.
Є кілька варіантів – SUCURI, Недогляд, Cloudflare.
Керуйте темами та плагінами
Однією з найбільших переваг використання WordPress є його величезна колекція плагінів і тем. За іронією долі, плагіни та теми WordPress представляють себе як найбільше джерело вразливості які можуть поставити ваш сайт під загрозу. Отже, ви повинні робити свій вибір з розумом і ретельно поводитися з тими, які ви встановили.
Найпростіший спосіб запобігти доступу хакерів до вашого веб-сайту через несправне програмне забезпечення — використовувати плагіни та теми з чудовими відгуками та рейтингами. Це чудові індикатори, які покажуть вам, що вони добре обслуговуються та функціонують належним чином. Крім того, обов’язково періодично перевіряйте наявність оновлень, щоб покращити їх продуктивність.
Підведенню
Оскільки кіберзагрози в усьому світі не планують зникати дуже скоро, важливо захистити свій веб-сайт WordPress від потенційної небезпеки. На щастя, є багато простих, але ефективних методів безпеки, які можна застосувати, щоб покращити загальну безпеку свого сайту.
Ця стаття доводить, що вам не потрібен великий бюджет або передові технічні знання, щоб застосувати деякі з найкращих методів безпеки. Питання в тому, чи готові ви прийняти виклик?
Хочете приймати платежі через свій веб-сайт? Ось найкращі плагіни для прийому платежів на сайтах WordPress.
пов’язані:
Як використовувати Google Cloud SQL з WordPress.