Захист WordPress від злому: 10 способів підвищити безпеку свого сайту

Поширити

Привіт!

Захист WordPress від злому або вірусів завжди полягає у обережності, постійного оновлення свого програмного забезпечення, ігноруванні різних шахрайських сайтів і схем і т. д. У цій статті я постараюся розповісти вам про те, як захистити свій ресурс, який працює під управлінням WordPress.

У першій частині матеріалу я розповім про загальні правила безпеки, в кінці ж ми розберемо кілька плагінів, які допоможуть підвищити рівень захисту вашого проекту. Отже, починаймо!

Зміст

  • 10 рад по захисту
    • Регулярно оновлюйте свою операційну систему
    • Використовуйте антивірусне ПЗ
    • Не відвідуйте ліві сайти і не вводьте там дані
    • Встановіть складний пароль на WordPress
    • Виберіть інший логін
    • Регулярно оновлюйте свою версію WordPress
    • Робіть резервні копії
    • Встановлюйте шаблони та плагіни тільки з достовірних джерел
    • Використовуйте зашифроване з’єднання
    • Використовуйте плагіни, які підвищують захист
  • Висновок

10 рад по захисту

Я вирішив оформити цю статтю у вигляді своєрідного чек-листа, куди ви при необхідності зможете зазирнути. Тут я поясню деякі принципи підвищення безпеки, які полягають в конкретних діях.

Регулярно оновлюйте свою операційну систему

Ваш сайт можуть зламати з-за величезної кількості вірусів на вашому ПК. Якщо ви використовуєте Windows в якості операційної системи, то просте оновлення компонентів до актуальної версії допоможе вам уникнути багатьох проблем.

Те ж стосується й інших операційних систем. MacOS або навіть GNU/Linux можуть містити уразливості, про яких знає лише обмежена кількість людей.

Якщо ви користуєтеся сайтом зі свого смартфона, потрібно підтримувати в актуальному стані і його.

Використовуйте антивірусне ПЗ

На жаль, багато хто недооцінюють важливість антивірусного програмного забезпечення. Вони просто пускають все на самоплив, до них потрапляють різні віруси, троянські програми і т. д. Після цього всі їх дані зливаються в спеціальні бази.

А ось ці бази може купити або завантажити будь-який бажаючий. Навіть зловмисник, який задумав напакостити або просто розважитися з вашим сайтом або електронними гаманцями.

Саме тому я рекомендую вам встановити собі на комп’ютер і мобільний телефон антивірусні програми. Навіть хоча б безкоштовні. Так ризик того, що хтось вас зламає, істотно знизиться.

Не відвідуйте ліві сайти і не вводьте там дані

Банальний рада, який багато випускають з уваги. Люди просто лазять де хочуть, вводять там паролі, які підходять майже до всіх їх акаунтів. Потім ці паролі знову ж таки потрапляють у зливні бази, а там їх може дістати хто завгодно.

Не треба відвідувати підозрілі сайти і вже тим більше там щось вводити.

Встановіть складний пароль на WordPress

Ще один досить банальний рада, який може допомогти вам захистити власний сайт від злих хакерів або шахраїв. Якщо ви в якості пароля використовуєте своє прізвище і рік народження, все це дуже сумно і погано. Будь-який дурень навіть з допомогою простої здогадки зможе виявити цей пароль і зламати ваш ресурс.

Можна скористатися генератором, який вбудований в сам WP. Для цього перейдіть в меню “Користувачі” – “Ваш профіль”. Далі прокрутіть вниз і натисніть на кнопку “Створити пароль” у пункті “Управління обліковим записом.

WordPress згенерує складний пароль, який буде складатися з літер, цифр і спеціальних символів. Не забудьте зберегти куди-небудь цей пароль. Записати у свій блокнот або розмістити в спеціальну захищену програму-парольщик.

Виберіть інший логін

За замовчуванням у багатьох версіях WordPress використовується стандартний логін “Admin”. Хакери знають це і їм набагато легше підбирати паролі через автоматичні програми-переборщики. Щоб обламати їх наміри, ви можете змінити стандартний логін на якийсь інший.

Для цього необхідно перейти в меню “Користувачі” – “Додати нового”. В відкритих полях необхідно заповнити всі дані облікового запису, змінивши тільки сам логін. Тут ви можете дати волю фантазії і ввести щось неоднозначне, що складається з великої кількості символів і т. д.

Але не забувайте, що вам самим доведеться вводити цей логін при вході в панель управління. Тому сильно не захоплюйтеся.

Після цього ви повинні видалити старий аккаунт адміністратора. Не зайдіть через новий акаунт, знову зайдіть в меню “Користувачі”, наведіть курсор на запис з іменем “Admin”, після чого натисніть на напис “Видалити”. Далі потрібно підтвердити свої наміри. Все, тепер у вас буде аккаунт з новим ім’ям, який буде складніше дізнатися.

Регулярно оновлюйте свою версію WordPress

Як і у випадку з операційною системою, ви повинні підтримувати свою платформу в актуальному стані. Кожне оновлення може виправляти потенційні відомі уразливості. Якщо ви не будете своєчасно оновлювати WordPress, то велика ймовірність, що цими самими уразливими хтось скористається.

В цьому випадку вам не допоможе ні складний пароль, ні змінений логін. Зловмисник просто зламає ваш сайт, і якщо ви не зробили резервні копії, то витратите багато часу і нервів на відновлення.

Оновлювати цю CMS можна через вбудовані інструменти. Коли виходить нова версія, користувачів WordPress завжди повідомляють про це, пропонуючи натиснути на кілька кнопок і відразу ж оновитися.

Перед оновленням не забудьте виконати наступний пункт.

Робіть резервні копії

Навіть якщо вас хтось зламає і вирішить “познущатися” над вашим ресурсом, то при наявності свіжої резервної копії ви зможете швидко відновити, змінити паролі від акаунтів і т. д.

Бекапи можна робити як за допомогою вбудованих в хостинг інструментів, так і з допомогою різних плагінів. У статті про найбільш необхідні плагіни для WordPress я розглядав плагін для створення резервних копій.

Цей модуль носить назву “UpdraftPlus WordPress Backup Plugin”, його можна встановити прямо з каталогу WordPress. Частина інтерфейсу цього плагіна переведена на російську мову, тому проблем з використанням бути не повинно.

Також ви можете пошукати інші плагіни для створення бекапів. Їх дуже багато в стандартному каталозі.

Встановлюйте шаблони та плагіни тільки з достовірних джерел

Дуже часто віруси проникають на сайти через палені версії плагінів і шаблонів. Люди, щоб заощадити, скачують зламані nulled-версії з різних другосортних форумів або складчин. Після цього їх чудесним чином зламують або зашивають код, який шкодить користувачам.

Щоб уникнути таких наслідків, ви повинні чітко розділяти надійні джерела від ненадійних. Nulled-версія може бути надійною у виняткових випадках, в основному автори таких збірок переслідують власні інтереси.

Тому плагіни і різні шаблони краще скачувати з стандартного каталогу WordPress або ж купувати їх у відомих магазинах на кшталт того ж ThemeForest або WP Shop. Також ви можете завантажувати все це з офіційного сайту WordPress – ru.wordpress.org там є все те, що і в каталогах.

Використовуйте зашифроване з’єднання

Якщо вся інформація на вашому сайті буде передаватися через захищене HTTPS-з’єднання, то ви можете уникнути багатьох ризиків, проблем і наслідків. Сайти без SSL зараз навіть пошуковики не шанують.

Вони вважають, що такі ресурси можуть бути небезпечні для простих користувачів. Саме тому браузери і пошукові системи позначають сайти без захищеного з’єднання як підозрілі або небезпечні.

Відсутність захищеного протоколу може бути небезпечно не тільки для користувачів, але і для самого сайту, тому що є дуже багато недоліків, які працюють виключно через HTTP-протокол. Якщо на вашому сайті буде коректний SSL-сертифікат, то всі ці уразливості просто не будуть працювати.

Більш докладно про те, як встановити SSL-сертифікат на сайт я розповідав в окремій статті. Рекомендую перейти туди і ознайомитися з цим матеріалом.

Використовуйте плагіни, які підвищують захист

Найбільш радикальним і водночас дієвим способом буде установка спеціальних плагінів, які додатково захистять вашу платформу від злому, вірусів і різних атак хакерів.

Принцип роботи цих плагінів полягає в зміні і додаванні стандартного функціоналу WP. Наприклад, якщо ввести правильний логін і неправильний пароль, то WordPress видасть помилку, яка безпосередньо буде вказувати на те, що тут неправильний саме пароль, а вірний логін. Таким способом зловмисники можуть дізнатися ваш логін, навіть якщо ви його поміняли. Їм залишиться просто підібрати вірний пароль і все.

За допомогою плагінів можна змінювати подібні нюанси, наприклад, у випадку з формою входу буде змінено інформаційне повідомлення. Тобто не зрозуміло, що конкретно було введено неправильно: логін, пароль або, взагалі, всі разом.

Також багато плагіни можуть змінювати стандартні назви файлів, папок і таблиць в базах даних. Тоді у зломщиків не залишається шансів, вони просто не будуть знати, в яку сторону треба копати.

Загалом, функцій у таких плагінів достатньо. Я підготував для вас невелику підбірку. У ній я розповім про найбільш популярних розширень.

  • Wordfence Security – Firewall & Scan Malware

Відмінний плагін, який можна встановити прямо з панелі управління WordPress. Його можна скачати з офіційних репозиторіїв.

Це комплексне рішення, яке дозволяє повністю захистити вашу платформу від різноманітних загроз. Тут є інструменти, які можуть змінювати стандартний функціонал WordPress, роблячи його більш безпечним. Це й зміна назв у файлах, папках, і додатковий захист у вигляді поліпшеної форми входу.

Також ви можете додати двофакторну авторизацію, і користувач буде змушений щоразу вводити код, який буде приходити на мобільний телефон.

Крім усього іншого, в цьому плагіні є вбудований сканер. Використовуючи його, ви зможете сканувати всі файли вашого сайту на наявність шкідливого коду. Однак якщо ви не встановлюєте плагіни і теми з неперевірених джерел, то цього шкідливого коду там і не буде.

У цього плагіна є дві версії: безкоштовно (її ви встановлюєте з каталогу або ж завантажуєте з репозиторіїв WP) і платна (коштує 99 доларів).

Платна версія має додаткові переваги і розширений функціонал. Але для більшої частини вебмайстрів вистачить і базової версії, там повно крутих інструментів, які повністю захищають WordPress від усіляких напастей.

  • iThemes Security

Ще один комплексний модуль для WP, який може забезпечити підвищений рівень безпеки. Тут є дуже багато функцій, включаючи зміну логіна адміністратора, зміну префіксів в таблицях БД, зміна назв папок, сканер і т. д. Це прямий конкурент попереднього плагіну. В якихось моментах він його перевершує, будь-то навпаки.

  • All In One WP Security & Firewall

Непогане розширення, яке має багато різних функцій. Тут є інструменти щодо захисту облікових записів, баз даних, файлів сайту і т. д. Цей плагін також можна встановити прямо з каталогу WordPress. Досить просто перейти в потрібний розділ панелі управління і ввести його назву.

Непоганий особливістю цього модуля можна вважати підтримку російської мови. У двох інших теж можуть бути перекладені фрагменти, але цей плагін переведений повністю.

Висновок

Щоб захистити свій проект на базі WordPress, доведеться серйозно підходити до справи і не допускати якихось помилок чи прорахунків. Важливо розуміти, що якщо ви хочете захистити сайт, то потрібно в першу чергу подбати про безпеку свого робочого комп’ютера або пристрою, з якого ви працюєте.

Також не можна забувати і про хостинг. Якщо зловмисник дізнається дані від хостингу сайту, він зможе зробити з ним усе, що захоче.

Саме тому до безпеки потрібно підходити комплексно. У цьому випадку ви знижуєте ризик отримання вірусів або злому. До речі кажучи, питання безпеки розглядається у курсі для вебмайстрів від Василя Блінова. Також там говориться про методи боротьби з хакерами і крадіями.

Якщо вам цікава тема заробітку на інформаційних ресурсах, то я рекомендую перейти по посиланню вище і ознайомитися з курсом. У ньому докладно розказано про те, як створити власний блог або сайт-статейник під монетизацію. Весь курс розділений на інформаційні блоки, а самі блоки на уроки. Учні покроково проходять уроки та виконують домашні завдання. Також вони можуть розраховувати на допомогу і консультацію від експертів або інших учнів.

А на цьому все. Слідкуйте за безпекою свого сайту і своєчасно робіть резервне копіювання.

Залишити відповідь

Цей сайт використовує Akismet для зменшення спаму. Дізнайтеся, як обробляються ваші дані коментарів.