10 основных проблем безопасности WordPress и способы их решения

Опубликовано: 2020-09-16
проблемы безопасности wordpress
Следуйте @Cloudways

WordPress на сегодняшний день является одной из наиболее широко используемых CMS с открытым исходным кодом в мире. Он поддерживает миллионы веб-сайтов и занимает 35% рынка. Это делает WordPress альфа-CMS среди блоггеров, дизайнеров, владельцев магазинов WooCommerce и других владельцев бизнеса.

Несмотря на такую ​​популярность, многие пользователи WordPress не знают основ защиты своих сайтов WordPress. Что еще хуже, многие пользователи верят в (очень опасное) заблуждение, что установки SSL-сертификата достаточно для защиты их сайта. Поэтому важно обсудить различные эффективные методы защиты сайта WordPress.

Соучредитель Sucuri Dre Armeda считает, что:

«Люди являются и будут оставаться самой большой проблемой безопасности в WordPress», - Дре Армеда обсуждает безопасность WordPress

Я также считаю, что половина уязвимостей безопасности WordPress возникает из-за халатности. Это важная причина, по которой веб-сайты WordPress являются легкой мишенью для киберпреступников. Многие начинающие пользователи просто устанавливают WordPress, а затем доверяют безопасности веб-сайта WordPress по умолчанию.

В этом посте я представлю несколько основных и несколько не очень распространенных советов по решению проблем безопасности WordPress.

Давай начнем!

Оглавление
  1. Инвестируйте в правильный веб-хостинг
  2. Получение резервных копий по расписанию
  3. Сделайте надежный пароль
  4. Ограничить попытки входа в систему
  5. Измените URL-адрес входа в WordPress и имя пользователя по умолчанию
  6. Держите пользователей WordPress в курсе
  7. Удалите неиспользуемые плагины или темы
  8. Предотвращение внедрения SQL-кода и взлома URL-адресов
  9. Запретить доступ к конфиденциальным файлам в WordPress
  10. Скрыть версию WordPress и изменить префикс по умолчанию для базы данных
  11. Бонусный совет: как Cloudways помогает защитить сайт WordPress

Основы

Безопасность WordPress - это в основном простые исправления и здравый смысл. Идея состоит в том, чтобы применить исправления, которые минимизируют широко известные проблемы безопасности WordPress и повышают безопасность веб-сайта.

СОВЕТ №1: инвестируйте в правильный веб-хостинг

Безопасность веб-сайтов начинается с безопасного управляемого хостинг-провайдера WordPress. Это стало важным аспектом создания вашего присутствия в Интернете. Защищенный веб-хостинг не только будет иметь проверенные в отрасли процессы безопасности, но и будет защищать вас на случай, если с вашим сайтом что-то пойдет не так. Почти у каждого такого провайдера есть эффективная стратегия аварийного восстановления, которая срабатывает в случае, если на вашем веб-сайте произойдет инцидент.

Чтобы дать вам представление о вариантах веб-хостинга, существует пять типов решений для веб-хостинга, на которых вы можете размещать свои веб-сайты WordPress:

Общий хостинг: один серверный компьютер используется несколькими учетными записями пользователей. Если одна учетная запись будет взломана, весь сервер будет скомпрометирован. Во многих случаях сервер действительно не защищен, потому что слишком много лазеек.

Выделенный хостинг: вы фактически владеете сервером, и на нем размещается только ваш веб-сайт. Поскольку вы являетесь владельцем сервера, безопасность сервера ограничена вашим опытом в области кибербезопасности.

Хостинг VPS: при хостинге VPS вы получаете выделенную часть физического компьютера. Как и в случае с выделенным хостингом, вы несете ответственность за безопасность. Если вы плохо разбираетесь в кибербезопасности, вам нужно либо быстро учиться, либо тратить много денег на аутсорсинг безопасности вашего сервера.

Облачный хостинг: в решении облачного хостинга вы владеете частью сети подключенных физических серверных машин. Решения для облачного хостинга безопасны по определению, но, будучи выделенным сервером, вы должны уделять безопасности много усилий и времени.

Управляемый облачный хостинг: как следует из названия, управляемое облачное хостинговое решение управляет всеми аспектами вашего облачного сервера, включая безопасность на стороне сервера, производительность и обновления. Это то, что делает Cloudways - он обеспечивает несколько уровней безопасности (один из них - межсетевые экраны на уровне платформы), в результате чего создается безопасная среда хостинга, так что вам не нужно беспокоиться о безопасности вашего сервера.

Усталость от безопасности. Чувствуете себя подавленным?

Попробуйте Cloudways, чтобы повысить безопасность своего веб-сайта WordPress.

Улучшение сейчас!

СОВЕТ № 2: используйте резервное копирование по расписанию

На первый взгляд запланированное резервное копирование может не выглядеть как мера безопасности WordPress. Однако этот решающий шаг может оказаться спасением в случае бедствия. В таких случаях резервные копии веб-сайтов - отличный способ вернуть сайт в оперативный режим в течение нескольких часов после аварии.

Резервное копирование WordPress может быть выполнено на двух уровнях: резервное копирование вне офиса и / или резервное копирование через хостинг-провайдера.

1- Внешнее резервное копирование WordPress

Резервное копирование сайта WordPress довольно просто благодаря плагину UpdraftPlus, который выполняет резервное копирование сайта WordPress в решения для хранения вне сайта, такие как Dropbox, Google Drive и Amazon S3.

Если вы хотите подробно изучить идею, вот подробное руководство по резервному копированию сайта WordPress.

Примечание. 2- Локальное резервное копирование WordPress

Резервное копирование сайта WordPress на сервере хостинг-провайдера создает локальную резервную копию. Многие провайдеры облачного хостинга WordPress предоставляют процесс локального резервного копирования, в котором для всего сервера можно автоматически или вручную создать резервную копию на том же сервере.

Если вы являетесь клиентом Cloudways, вы в надежных руках. У вас может быть локальная резервная копия (тот же сервер), И весь сервер также может быть скопирован на Amazon S3 . Ознакомьтесь с руководством по резервному копированию сервера WordPress.

СОВЕТ № 3: имейте надежный пароль

Надежный пароль - это очень простой, но часто упускаемый из виду обязательный элемент безопасности WordPress, который защищает от многих уязвимостей WordPress.

В идеале пароли должны быть трудными для угадывания людьми и должны содержать алфавиты, знаки препинания и цифры с учетом регистра ( например, # [email protected] $).

Эксперты также предлагают использовать разные пароли для разных веб-сайтов, таких как учетные записи в социальных сетях и учетные записи электронной почты.

Чтобы заставить свой сайт использовать надежные пароли, вам следует использовать плагин для обеспечения соблюдения строгих политик паролей WordPress. Это гарантирует, что все ваши пользователи будут использовать надежные пароли.

Атаки грубой силы: надежный пароль - это ваша первая защита от атак грубой силы, которые пробуют различные комбинации имен пользователей и паролей, пока ваш сайт не будет взломан. Слабый пароль никогда не устоит против атаки методом грубой силы.

CAPTCHA считается одной из лучших защит от атак методом перебора. Ранее Google запустил проект «Google Invisible reCAPTCHA», в котором посетителям не нужно проходить проверку вручную. По умолчанию он невидим и срабатывает только тогда, когда Google подозревает, что посетитель не человек.

Подробнее о добавлении невидимой reCAPTCHA Google в WordPress

СОВЕТ №4: Ограничьте количество попыток входа в систему

По умолчанию WordPress не накладывает никаких ограничений на то, сколько раз посетитель может несколько раз опробовать имена пользователей и пароли при входе в систему. Это причина многих непреднамеренных проблем безопасности WordPress, вызванных пользователями.

Чтобы предотвратить это и добавить дополнительный уровень безопасности на веб-сайты WordPress, администраторы сайтов должны установить плагин ограничения попыток входа в систему, который не позволяет хакерам использовать эту проблему и провести атаку грубой силы на вашем сайте.

Этот умный инструмент блокирует IP-адрес любого возможного хакера, который попытается выполнить эту атаку на панели администратора вашего сайта WordPress. Плагин делает это, ограничивая количество неудачных попыток для каждого пользователя.

Использование двухфакторной аутентификации : Двухфакторная аутентификация (2FA) - это стандартная практика безопасности, при которой используются двухуровневые учетные данные для минимизации шансов несанкционированного входа на сайт. Если вы хотите добавить двухфакторную аутентификацию на свой сайт WordPress, вот как вы можете добавить двухфакторную аутентификацию на сайт WordPress.

СОВЕТ № 5: измените URL-адрес входа в WordPress и имя пользователя по умолчанию

После запуска WordPress вы можете перейти в панель администратора и изменить свой сайт в соответствии с вашими требованиями. Это невозможно, если у вас не было доступа к панели администратора WordPress.

Изменение URL-адреса входа в WordPress : изменение URL-адреса входа в WP-admin по умолчанию затрудняет хакерам запуск атаки методом грубой силы на ваш сайт. Этот простой шаг значительно укрепит безопасность вашего сайта WordPress.

Хотя доступно множество плагинов, я рекомендую плагин WPS Hide Login, чтобы изменить URL-адрес администратора WordPress по умолчанию. Плагин имеет более 700 000 активных установленных и имеет 5-звездочные обзоры.

Измените имя пользователя WordPress по умолчанию : самая основная лазейка в безопасности, которая может быть на вашем веб-сайте, - это имя пользователя admin «admin». Об этом слишком легко догадаться. Хотя вы можете использовать плагин для изменения этого имени пользователя, есть более простой способ для этого: перейдите на панель управления, создайте нового пользователя и назначьте ему роль «Администратор».

Различные роли пользователей WordPress : WordPress позволяет нескольким пользователям вносить свой вклад в сайт WordPress, используя предварительно определенные роли. Как администратор веб-сайта вы можете изменить или даже создать отдельную роль пользователя, следуя руководству по настраиваемым ролям пользователей WordPress.

СОВЕТ № 6: Обновляйте WordPress

Команда WordPress регулярно выпускает обновления для основных файлов. Эти исправления доступны в виде автономных установочных файлов, которые исправляют известные проблемы и в целом повышают безопасность веб-сайтов WordPress.

Поддержание CMS веб-сайта является важным аспектом работы веб-сайта. В идеале владелец сайта должен применить исправление в течение нескольких часов после выпуска, потому что всегда есть вероятность, что злоумышленники будут рыскать в поисках уязвимых веб-сайтов.

Это также относится к установленным плагинам и темам. Разработчики плагинов следят за циклом выпуска основных файлов WordPress, чтобы убедиться, что плагин идет в ногу с новыми версиями WordPress.

Примечание. Всегда проверяйте исправления в промежуточной среде WordPress, чтобы убедиться, что все работает должным образом . Если на вашем хостинге нет промежуточной среды, я бы посоветовал сначала сделать резервную копию и начать обновление.

С другой стороны, если вы используете управляемый хостинг WordPress, инженеры позаботятся об исправлении основных файлов WordPress и убедитесь, что безопасность не будет нарушена. Самая большая угроза безопасности для себя.

СОВЕТ № 7: удалите неиспользуемые плагины или темы

Тестирование новых тем и плагинов - хороший способ лично познакомиться с последними выпусками. Однако после завершения тестирования пользователи WordPress обычно деактивируют плагины вместо надлежащего удаления.

Обратите внимание, что неиспользуемые или неактивные темы и плагины представляют серьезную угрозу для веб-сайта WordPress. Следовательно, крайне важно, чтобы все плагины и темы, которые не используются, были немедленно удалены, чтобы убедиться, что в базе данных WordPress не осталось данных. Вот правильное руководство о том, как правильно удалить плагины WordPress.

В качестве общей меры предосторожности всегда загружайте самую последнюю версию тем и подключаемых модулей с надежного ресурса, чтобы убедиться, что подключаемый модуль или тема не открывают новую лазейку в безопасности на вашем сайте.

Не очень основы

Теперь, когда вы понимаете основы безопасности WordPress, пришло время ознакомиться со следующими расширенными советами по повышению безопасности ваших веб-сайтов.

СОВЕТ № 8: предотвращение SQL-инъекций и взлома URL-адресов

SQL-инъекции - это атаки, при которых злоумышленники встраивают SQL-команды в различные области веб-сайтов (в частности, в поле для комментариев и текстовые области). Эти команды могут поставить под угрозу базу данных SQL и раскрыть конфиденциальную информацию, хранящуюся в базе данных.

Изменение URL-адреса путем добавления операторов PHP - еще одна потенциальная угроза безопасности WordPress, при которой злоумышленники могут инициировать атаки на базу данных и другие компоненты веб-сайта.

Большинство веб-сайтов WordPress размещены на сервере Apache, у которого есть хитроумный трюк для противодействия этим атакам. На всех серверах Apache есть файл .htaccess, который определяет правила доступа к веб-сайту.

Чтобы уменьшить количество SQL-инъекций и взлома URL-адресов, добавьте следующий код в файл .htaccess, чтобы установить строгий набор правил.

 <IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteCond% {REQUEST_METHOD} ^ (HEAD | TRACE | DELETE | TRACK) [NC]
RewriteRule ^ (. *) $ - [F, L]
RewriteCond% {QUERY_STRING} \. \. \ / [NC, OR]
RewriteCond% {QUERY_STRING} boot \ .ini [NC, OR]
Тег RewriteCond% {QUERY_STRING} \ = [NC, OR]
RewriteCond% {QUERY_STRING} ftp \: [NC, OR]
RewriteCond% {QUERY_STRING} http \: [NC, OR]
RewriteCond% {QUERY_STRING} https \: [NC, OR]
RewriteCond% {QUERY_STRING} (\ <|% 3C). * Скрипт. * (\> |% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} mosConfig_ [a-zA-Z _] {1,21} (= |% 3D) [NC, OR]
RewriteCond% {QUERY_STRING} base64_encode. * \ (. * \) [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (\ [| \] | \ (| \) | <|> | E | "|; | \? | \ * | = $). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (& # X22; | & # x27; | & # x3C; | & # x3E; | & # x5C; | & # x7B; | & # x7C;). * [NC, OR ]
RewriteCond% {QUERY_STRING} ^. * (% 24 & x). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (% 0 |% A |% B |% C |% D |% E |% F | 127 \ .0). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Globals | encode | localhost | loopback). * [NC, OR]
RewriteCond% {QUERY_STRING} ^. * (Запрос | выбор | вставить | объединение | объявление). * [NC]
RewriteCond% {HTTP_COOKIE}! ^. * WordPress_logged_in _. * $
RewriteRule ^ (. *) $ - [F, L]
</IfModule>

Как видите, код «дезинфицирует» данные, которые попадают в поля ввода. Кроме того, весь такой ввод обрабатывается как строка, а не как запрос SQL.

СОВЕТ № 9: запретите доступ к конфиденциальным файлам в WordPress

Установка WordPress содержит несколько конфиденциальных файлов, таких как файлы wp-config.php , install.php и readme.html . Эти файлы должны быть скрыты от постороннего доступа.

Опять же, .htaccess - ваш лучший друг. Вы можете добавить в файл следующие строки, чтобы предотвратить повреждение важных файлов. Следующий фрагмент кода также предотвращает доступ к спискам каталогов пользователей и скрывает важные файлы сервера и WordPress от несанкционированного доступа.

 Параметры Все -Индексы

<файлы .htaccess>
Заказать разрешить, запретить
Запретить всем
</files>

<файлы readme.html>
Заказать разрешить, запретить
Запретить всем
</files>

<файлы license.txt>
Заказать разрешить, запретить
Запретить всем
</files>

<файлы install.php>
Заказать разрешить, запретить
Запретить всем
</files>

<файлы wp-config.php>
Заказать разрешить, запретить
Запретить всем
</files>

<файл error_log>
Заказать разрешить, запретить
Запретить всем
</files>

<файлыantastico_fileslist.txt>
Заказать разрешить, запретить
Запретить всем
</files>

<файлы fantversion.php>
Заказать разрешить, запретить
Запретить всем
</files>

Если вы хотите глубже изучить использование файла .htaccess для оптимизации вашего WordPress, вот подробное описание файла .htaccess WordPress.

СОВЕТ № 10: измените префикс по умолчанию для базы данных

Скрыть версию WordPress : по умолчанию WordPress автоматически добавляет номер текущей версии в раздел заголовка тем. Отличный совет по безопасности - НИКОГДА не показывать версию WordPress публично просто потому, что злоумышленники могут запускать атаки против всех известных уязвимостей версии, упомянутой в заголовке.

Следующая простая строка кода должна быть включена в файл functions.php вашей темы, чтобы скрыть версии WordPress.

 remove_action ('wp_head', 'wp_generator');

Изменить префикс WordPress по умолчанию для базы данных : все таблицы в базе данных WordPress имеют имена, начинающиеся с префикса Хотя это кажется отличной функцией, для хакеров WordPress это значительно упрощает работу, устраняя некоторые догадки.

Пользователь может ограничить эту предсказуемость, изменив префикс WordPress по умолчанию для таблиц пользовательской базы данных при установке WordPress. Это также можно сделать для уже активных веб-сайтов, манипулируя пользовательскими базами данных в нескольких местах. Я рекомендую использовать один из лучших плагинов безопасности WordPress, который реализует ряд средств защиты для веб-сайта WordPress.

Cloudways помогает защитить сайты WordPress

После этого подробного руководства по защите веб-сайтов WordPress стоит упомянуть, что WordPress нельзя защитить изолированно. Пользователи WordPress также должны выбрать безопасную среду хостинга, которая предлагает безопасную среду для веб-сайта.

Вот как Cloudways обеспечивает безопасную среду хостинга WordPress.

  • Первоклассные облачная инфраструктура: Cloudways имеет партнерские отношения с первоклассными поставщиками облачных инфраструктуры , которые имеют безопасность как их номер один. Размещение сайта WordPress в облаке обеспечивает высокий уровень безопасности.
  • Брандмауэры : все серверы, запускаемые через Cloudways, поставляются с предустановленным брандмауэром, который действует как первая линия защиты веб-сайта.
  • Мониторинг сервера . Мониторинг сервера помогает выявлять неожиданные всплески трафика, которые могут вывести веб-сайт из строя.
  • Защита от ботов: Защита ботов направлена ​​на выявление и блокирование вредоносного трафика, защиту от атак, таких как атаки по словарю, веб-парсинг и атаки грубой силы. Это также помогает снизить использование ресурсов сервера для приложений WordPress. Эти атаки нацелены на получение несанкционированного доступа к вашему веб-сайту или его подавление, но Bot Protection отслеживает все эти действия и упреждающе блокирует их при обнаружении.
  • Доступ по SSH и SFTP : многие хостинг-провайдеры по-прежнему используют FTP для доступа к файлам. Однако с Cloudways SFTP (протокол безопасной передачи файлов) ваше соединение зашифровано и безопасно. Если несколько команд работают над проектом, размещенным на сервере, им может быть назначен доступ к определенному приложению, а не ко всему серверу.
  • Обновленная ОС и приложения : эксперты Cloudways следят за последними выпусками и обеспечивают их доступность после тестов стабильности и совместимости.
  • Случайно сгенерированные учетные данные: все приложения, запускаемые через Cloudways, имеют случайно сгенерированные учетные данные по умолчанию, которые трудно угадать.
  • Резервное копирование : в случае аварии резервное копирование сайта - лучший выбор для более быстрого аварийного восстановления. Вы можете установить частоту резервного копирования не более часа.
  • Бесплатный сертификат SSL : Cloudways обеспечивает установку сертификата SSL одним щелчком мыши с функцией автоматического продления.
  • Бесплатная промежуточная среда: Cloudways предлагает бесплатную промежуточную среду WordPress, чтобы все работало должным образом.
  • Круглосуточная поддержка в чате без выходных : все еще беспокоитесь о безопасности и производительности сервера? Служба поддержки Cloudways работает круглосуточно.
  • Поддержка по телефону: это дополнительный модуль поддержки премиум-класса, если вам нужна помощь, вы также можете связаться с нашим старшим инженером и напрямую ответить в любое время.

Часто задаваемые вопросы

В: Как исправить небезопасный WordPress?

О: Следуйте этому руководству и просмотрите все моменты, которые я упомянул, я надеюсь, что это вам очень поможет.

В: Должен ли я использовать сертификат SSL для защиты моего веб-сайта WordPress?

О: Да, стоит, большинство хостинговых компаний предлагают бесплатный SSL-сертификат в один клик.

В: Есть ли у WordPress проблемы с безопасностью?

О: WordPress - самая популярная система управления контентом (CMS), используемая сегодня. С помощью множества тем и плагинов можно легко настроить свой веб-сайт в соответствии со своими вкусами и предпочтениями. Однако безопасность WordPress - одна из основных проблем, которая беспокоит многих.

Нижняя линия

Советы по безопасности WordPress обеспечивают эффективный и безопасный веб-сайт. Однако многие люди забывают, что защита веб-сайта WordPress - это непрерывный процесс, который требует постоянного внимания перед лицом новых инструментов и уловок, появляющихся в киберпространстве.

Я настоятельно рекомендую пользователям WordPress вести журнал того, что произошло на WordPress, с помощью плагина аудита безопасности и использовать предпочтительный плагин безопасности WordPress, который укрепляет среду WordPress от угроз безопасности.

Не стесняйтесь добавлять, если думаете, что я что-то упустил. Я добавлю его в список как можно скорее. Если у вас есть вопросы, пишите в комментариях ниже.

Часто задаваемые вопросы

В. Есть ли у WordPress проблемы с безопасностью?

Как и у любой платформы, у WordPress есть свои проблемы с безопасностью. Однако проблем с безопасностью WordPress можно легко избежать, если следовать рекомендациям по обеспечению безопасности WordPress.

В. Почему WordPress небезопасен?

Многие проблемы безопасности WordPress возникают из-за того, что администраторы сайта предпочитают игнорировать стандартные методы работы с плагинами и темами. Во многих случаях этого можно избежать, проведя аудит безопасности и позаботившись о лазейках, чтобы веб-сайт оставался безопасным.

В. Легко ли взломать WordPress?

Нет. Последние версии WordPress вполне безопасны. Эту базовую безопасность можно дополнительно улучшить, установив плагины безопасности WordPress, выбрав темы и плагины только уважаемых разработчиков и следуя лучшим практикам безопасности WordPress.

В. Как я могу улучшить безопасность WordPress?

Безопасность WordPress можно улучшить, выполнив несколько основных советов:
1. Выберите безопасный хостинг.
2. Установите сертификат SSL (важное требование для бизнес-сайтов).
3. Установите надежный плагин безопасности WordPress.
4. Установите ограничение скорости входа в систему через плагин.
5. Убедитесь, что TFA активен.