Захист WordPress від злому: 10 способів підвищити безпеку свого сайту
Привіт!
Захист WordPress від злому або вірусів завжди полягає у обережності, постійного оновлення свого програмного забезпечення, ігноруванні різних шахрайських сайтів і схем і т. д. У цій статті я постараюся розповісти вам про те, як захистити свій ресурс, який працює під управлінням WordPress.
У першій частині матеріалу я розповім про загальні правила безпеки, в кінці ж ми розберемо кілька плагінів, які допоможуть підвищити рівень захисту вашого проекту. Отже, починаймо!
Зміст
- 10 рад по захисту
- Регулярно оновлюйте свою операційну систему
- Використовуйте антивірусне ПЗ
- Не відвідуйте ліві сайти і не вводьте там дані
- Встановіть складний пароль на WordPress
- Виберіть інший логін
- Регулярно оновлюйте свою версію WordPress
- Робіть резервні копії
- Встановлюйте шаблони та плагіни тільки з достовірних джерел
- Використовуйте зашифроване з’єднання
- Використовуйте плагіни, які підвищують захист
- Висновок
10 рад по захисту
Я вирішив оформити цю статтю у вигляді своєрідного чек-листа, куди ви при необхідності зможете зазирнути. Тут я поясню деякі принципи підвищення безпеки, які полягають в конкретних діях.
Регулярно оновлюйте свою операційну систему
Ваш сайт можуть зламати з-за величезної кількості вірусів на вашому ПК. Якщо ви використовуєте Windows в якості операційної системи, то просте оновлення компонентів до актуальної версії допоможе вам уникнути багатьох проблем.
Те ж стосується й інших операційних систем. MacOS або навіть GNU/Linux можуть містити уразливості, про яких знає лише обмежена кількість людей.
Якщо ви користуєтеся сайтом зі свого смартфона, потрібно підтримувати в актуальному стані і його.
Використовуйте антивірусне ПЗ
На жаль, багато хто недооцінюють важливість антивірусного програмного забезпечення. Вони просто пускають все на самоплив, до них потрапляють різні віруси, троянські програми і т. д. Після цього всі їх дані зливаються в спеціальні бази.
А ось ці бази може купити або завантажити будь-який бажаючий. Навіть зловмисник, який задумав напакостити або просто розважитися з вашим сайтом або електронними гаманцями.
Саме тому я рекомендую вам встановити собі на комп’ютер і мобільний телефон антивірусні програми. Навіть хоча б безкоштовні. Так ризик того, що хтось вас зламає, істотно знизиться.
Не відвідуйте ліві сайти і не вводьте там дані
Банальний рада, який багато випускають з уваги. Люди просто лазять де хочуть, вводять там паролі, які підходять майже до всіх їх акаунтів. Потім ці паролі знову ж таки потрапляють у зливні бази, а там їх може дістати хто завгодно.
Не треба відвідувати підозрілі сайти і вже тим більше там щось вводити.
Встановіть складний пароль на WordPress
Ще один досить банальний рада, який може допомогти вам захистити власний сайт від злих хакерів або шахраїв. Якщо ви в якості пароля використовуєте своє прізвище і рік народження, все це дуже сумно і погано. Будь-який дурень навіть з допомогою простої здогадки зможе виявити цей пароль і зламати ваш ресурс.
Можна скористатися генератором, який вбудований в сам WP. Для цього перейдіть в меню “Користувачі” – “Ваш профіль”. Далі прокрутіть вниз і натисніть на кнопку “Створити пароль” у пункті “Управління обліковим записом.
WordPress згенерує складний пароль, який буде складатися з літер, цифр і спеціальних символів. Не забудьте зберегти куди-небудь цей пароль. Записати у свій блокнот або розмістити в спеціальну захищену програму-парольщик.
Виберіть інший логін
За замовчуванням у багатьох версіях WordPress використовується стандартний логін “Admin”. Хакери знають це і їм набагато легше підбирати паролі через автоматичні програми-переборщики. Щоб обламати їх наміри, ви можете змінити стандартний логін на якийсь інший.
Для цього необхідно перейти в меню “Користувачі” – “Додати нового”. В відкритих полях необхідно заповнити всі дані облікового запису, змінивши тільки сам логін. Тут ви можете дати волю фантазії і ввести щось неоднозначне, що складається з великої кількості символів і т. д.
Але не забувайте, що вам самим доведеться вводити цей логін при вході в панель управління. Тому сильно не захоплюйтеся.
Після цього ви повинні видалити старий аккаунт адміністратора. Не зайдіть через новий акаунт, знову зайдіть в меню “Користувачі”, наведіть курсор на запис з іменем “Admin”, після чого натисніть на напис “Видалити”. Далі потрібно підтвердити свої наміри. Все, тепер у вас буде аккаунт з новим ім’ям, який буде складніше дізнатися.
Регулярно оновлюйте свою версію WordPress
Як і у випадку з операційною системою, ви повинні підтримувати свою платформу в актуальному стані. Кожне оновлення може виправляти потенційні відомі уразливості. Якщо ви не будете своєчасно оновлювати WordPress, то велика ймовірність, що цими самими уразливими хтось скористається.
В цьому випадку вам не допоможе ні складний пароль, ні змінений логін. Зловмисник просто зламає ваш сайт, і якщо ви не зробили резервні копії, то витратите багато часу і нервів на відновлення.
Оновлювати цю CMS можна через вбудовані інструменти. Коли виходить нова версія, користувачів WordPress завжди повідомляють про це, пропонуючи натиснути на кілька кнопок і відразу ж оновитися.
Перед оновленням не забудьте виконати наступний пункт.
Робіть резервні копії
Навіть якщо вас хтось зламає і вирішить “познущатися” над вашим ресурсом, то при наявності свіжої резервної копії ви зможете швидко відновити, змінити паролі від акаунтів і т. д.
Бекапи можна робити як за допомогою вбудованих в хостинг інструментів, так і з допомогою різних плагінів. У статті про найбільш необхідні плагіни для WordPress я розглядав плагін для створення резервних копій.
Цей модуль носить назву “UpdraftPlus WordPress Backup Plugin”, його можна встановити прямо з каталогу WordPress. Частина інтерфейсу цього плагіна переведена на російську мову, тому проблем з використанням бути не повинно.
Також ви можете пошукати інші плагіни для створення бекапів. Їх дуже багато в стандартному каталозі.
Встановлюйте шаблони та плагіни тільки з достовірних джерел
Дуже часто віруси проникають на сайти через палені версії плагінів і шаблонів. Люди, щоб заощадити, скачують зламані nulled-версії з різних другосортних форумів або складчин. Після цього їх чудесним чином зламують або зашивають код, який шкодить користувачам.
Щоб уникнути таких наслідків, ви повинні чітко розділяти надійні джерела від ненадійних. Nulled-версія може бути надійною у виняткових випадках, в основному автори таких збірок переслідують власні інтереси.
Тому плагіни і різні шаблони краще скачувати з стандартного каталогу WordPress або ж купувати їх у відомих магазинах на кшталт того ж ThemeForest або WP Shop. Також ви можете завантажувати все це з офіційного сайту WordPress – ru.wordpress.org там є все те, що і в каталогах.
Використовуйте зашифроване з’єднання
Якщо вся інформація на вашому сайті буде передаватися через захищене HTTPS-з’єднання, то ви можете уникнути багатьох ризиків, проблем і наслідків. Сайти без SSL зараз навіть пошуковики не шанують.
Вони вважають, що такі ресурси можуть бути небезпечні для простих користувачів. Саме тому браузери і пошукові системи позначають сайти без захищеного з’єднання як підозрілі або небезпечні.
Відсутність захищеного протоколу може бути небезпечно не тільки для користувачів, але і для самого сайту, тому що є дуже багато недоліків, які працюють виключно через HTTP-протокол. Якщо на вашому сайті буде коректний SSL-сертифікат, то всі ці уразливості просто не будуть працювати.
Більш докладно про те, як встановити SSL-сертифікат на сайт я розповідав в окремій статті. Рекомендую перейти туди і ознайомитися з цим матеріалом.
Використовуйте плагіни, які підвищують захист
Найбільш радикальним і водночас дієвим способом буде установка спеціальних плагінів, які додатково захистять вашу платформу від злому, вірусів і різних атак хакерів.
Принцип роботи цих плагінів полягає в зміні і додаванні стандартного функціоналу WP. Наприклад, якщо ввести правильний логін і неправильний пароль, то WordPress видасть помилку, яка безпосередньо буде вказувати на те, що тут неправильний саме пароль, а вірний логін. Таким способом зловмисники можуть дізнатися ваш логін, навіть якщо ви його поміняли. Їм залишиться просто підібрати вірний пароль і все.
За допомогою плагінів можна змінювати подібні нюанси, наприклад, у випадку з формою входу буде змінено інформаційне повідомлення. Тобто не зрозуміло, що конкретно було введено неправильно: логін, пароль або, взагалі, всі разом.
Також багато плагіни можуть змінювати стандартні назви файлів, папок і таблиць в базах даних. Тоді у зломщиків не залишається шансів, вони просто не будуть знати, в яку сторону треба копати.
Загалом, функцій у таких плагінів достатньо. Я підготував для вас невелику підбірку. У ній я розповім про найбільш популярних розширень.
- Wordfence Security – Firewall & Scan Malware
Відмінний плагін, який можна встановити прямо з панелі управління WordPress. Його можна скачати з офіційних репозиторіїв.
Це комплексне рішення, яке дозволяє повністю захистити вашу платформу від різноманітних загроз. Тут є інструменти, які можуть змінювати стандартний функціонал WordPress, роблячи його більш безпечним. Це й зміна назв у файлах, папках, і додатковий захист у вигляді поліпшеної форми входу.
Також ви можете додати двофакторну авторизацію, і користувач буде змушений щоразу вводити код, який буде приходити на мобільний телефон.
Крім усього іншого, в цьому плагіні є вбудований сканер. Використовуючи його, ви зможете сканувати всі файли вашого сайту на наявність шкідливого коду. Однак якщо ви не встановлюєте плагіни і теми з неперевірених джерел, то цього шкідливого коду там і не буде.
У цього плагіна є дві версії: безкоштовно (її ви встановлюєте з каталогу або ж завантажуєте з репозиторіїв WP) і платна (коштує 99 доларів).
Платна версія має додаткові переваги і розширений функціонал. Але для більшої частини вебмайстрів вистачить і базової версії, там повно крутих інструментів, які повністю захищають WordPress від усіляких напастей.
- iThemes Security
Ще один комплексний модуль для WP, який може забезпечити підвищений рівень безпеки. Тут є дуже багато функцій, включаючи зміну логіна адміністратора, зміну префіксів в таблицях БД, зміна назв папок, сканер і т. д. Це прямий конкурент попереднього плагіну. В якихось моментах він його перевершує, будь-то навпаки.
- All In One WP Security & Firewall
Непогане розширення, яке має багато різних функцій. Тут є інструменти щодо захисту облікових записів, баз даних, файлів сайту і т. д. Цей плагін також можна встановити прямо з каталогу WordPress. Досить просто перейти в потрібний розділ панелі управління і ввести його назву.
Непоганий особливістю цього модуля можна вважати підтримку російської мови. У двох інших теж можуть бути перекладені фрагменти, але цей плагін переведений повністю.
Висновок
Щоб захистити свій проект на базі WordPress, доведеться серйозно підходити до справи і не допускати якихось помилок чи прорахунків. Важливо розуміти, що якщо ви хочете захистити сайт, то потрібно в першу чергу подбати про безпеку свого робочого комп’ютера або пристрою, з якого ви працюєте.
Також не можна забувати і про хостинг. Якщо зловмисник дізнається дані від хостингу сайту, він зможе зробити з ним усе, що захоче.
Саме тому до безпеки потрібно підходити комплексно. У цьому випадку ви знижуєте ризик отримання вірусів або злому. До речі кажучи, питання безпеки розглядається у курсі для вебмайстрів від Василя Блінова. Також там говориться про методи боротьби з хакерами і крадіями.
Якщо вам цікава тема заробітку на інформаційних ресурсах, то я рекомендую перейти по посиланню вище і ознайомитися з курсом. У ньому докладно розказано про те, як створити власний блог або сайт-статейник під монетизацію. Весь курс розділений на інформаційні блоки, а самі блоки на уроки. Учні покроково проходять уроки та виконують домашні завдання. Також вони можуть розраховувати на допомогу і консультацію від експертів або інших учнів.
А на цьому все. Слідкуйте за безпекою свого сайту і своєчасно робіть резервне копіювання.