Захист WordPress від злому: 10 способів підвищити безпеку свого сайту
Вітаю!
Захист WordPress від злому або вірусів завжди полягає в обережності, постійного оновлення свого програмного забезпечення, ігноруванні різних шахрайських сайтів і схем і т. Д. У цій статті я постараюся розповісти вам про те, як захистити свій ресурс, який працює під управлінням WordPress.
У першій частині матеріалу я розповім про загальні правила безпеки, в кінці ж ми розберемо кілька плагінів, які допоможуть підвищити рівень захисту вашого проекту. Отже, давайте починати!
10 порад щодо захисту
Я вирішив оформити цю статтю у вигляді своєрідного чек-листа, куди ви при необхідності зможете зазирнути. Тут я поясню деякі принципи підвищення безпеки, які полягають в конкретних діях.
Регулярно оновлюйте свою операційну систему
Ваш сайт можуть зламати через величезної кількості вірусів на вашому ПК. Якщо ви використовуєте Windows в якості операційної системи, то просте оновлення компонентів до актуальної версії допоможе вам уникнути багатьох проблем.
Те ж стосується і інших операційних систем. MacOS або навіть GNU / Linux можуть містити уразливості, про які знає лише обмежена кількість людей.
Якщо ви користуєтеся сайтом зі свого смартфона, потрібно підтримувати в актуальному стані і його.
Використовуйте антивірусне ПЗ
На жаль, багато хто недооцінює важливість антивірусного програмного забезпечення. Вони просто пускають все на самоплив, до них потрапляють різні віруси, троянські програми і т. Д. Після цього всі їхні дані зливаються в спеціальні бази.
А ось ці бази може купити або завантажити будь-який бажаючий. Навіть зловмисник, який задумав нашкодити або просто розважитися з вашим сайтом або електронними гаманцями.
Саме тому я рекомендую вам встановити собі на комп’ютер і мобільний телефон антивірусні програми. Навіть хоча б безкоштовні. Так ризик того, що хтось вас зламає, істотно знизиться.
Не відвідуйте ліві сайти і не вводьте там дані
Банальна порада, яку багато не беруть до уваги. Люди просто лазять де хочуть, вводять там паролі, які підходять майже до всіх їх акаунтів. Потім ці паролі знову ж потрапляють в зливні бази, а там їх може дістати хто завгодно.
Не треба відвідувати підозрілі сайти і вже тим більше там щось вводити.
Встановіть складний пароль на WordPress
Ще один досить банальний рада, який може допомогти вам захистити власний сайт від злих хакерів або шахраїв. Якщо ви в якості пароля використовуєте своє прізвище і рік народження, все це дуже сумно і погано. Будь-який дурень навіть за допомогою простої здогади зможе виявити цей пароль і зламати ваш ресурс.
Можна скористатися генератором, який вбудований в сам WP. Для цього перейдіть в меню “Користувачі” – “Ваш профіль”. Далі перейдіть вниз і натисніть на кнопку “Створити пароль” в пункті “Керування обліковим записом”.
WordPress згенерує складний пароль, який буде складатися з букв різного регістру, цифр і спеціальних символів. Не забудьте зберегти кудись цей пароль. Записати в свій блокнот або розмістити в спеціальну захищену програму-парольщик.
Встановіть інший логін
За замовчуванням в багатьох версіях WordPress використовується стандартний логін “Admin”. Хакери знають це і їм набагато легше підбирати паролі через автоматичні програми-перебиральників. Щоб обламати їх наміри, ви можете змінити стандартний логін на якийсь інший.
Для цього необхідно перейти в меню “Користувачі” – “Додати нового”. В відкрилися полях необхідно заповнити всі дані облікового запису, змінивши тільки сам логін. Тут ви можете дати волю фантазії і ввести щось неоднозначне, що складається з великої кількості символів і т. Д.
Але не забувайте, що вам самим доведеться вводити цей логін при вході в панель управління. Тому сильно не захоплюйтеся.
Після цього ви повинні видалити старий акаунт адміністратора. Залогініться через новий акаунт, знову зайдіть в меню “Користувачі”, наведіть курсор на аккаунт з логіном “Admin”, після чого клікніть на напис “Видалити”. Далі потрібно підтвердити свої наміри. Все, тепер у вас буде аккаунт з новим логіном, який буде складніше впізнати.
Регулярно оновлюйте свою версію WordPress
Як і у випадку з операційною системою, ви повинні підтримувати свою платформу в актуальному стані. Кожне оновлення може виправляти потенційні відомі уразливості. Якщо ви не будете своєчасно оновлювати WordPress, то велика ймовірність, що цими самими уразливими хтось скористається.
В цьому випадку вам не допоможе ні складний пароль, ні змінений логін. Зловмисник просто зламає ваш сайт, і якщо ви не зробили резервні копії, то витратите багато часу і нервів на відновлення.
Оновлювати цю CMS можна через вбудовані інструменти. Коли виходить нова версія, користувачів WordPress завжди повідомляють про це, пропонуючи клікнути на кілька кнопок і відразу ж оновитися.
Перед оновленням не забудьте виконати наступний пункт.
Робіть резервні копії
Якщо навіть вас хтось зламає і вирішить “познущатися” над вашим ресурсом, то при наявності свіжої резервної копії ви зможете швидко все відновити, змінити паролі від облікових записів і т. Д.
Бекапи можна робити як за допомогою вбудованих в хостинг інструментів, так і за допомогою різних плагінів. У статті про найнеобхідніші плагіни для WordPress я розглядав плагін для створення резервних копій.
Цей модуль носить назву “UpdraftPlus WordPress Backup Plugin”, його можна встановити прямо з каталогу WordPress. Частина інтерфейсу цього плагіна переведена на російську мову, тому проблем з використанням бути не повинно.
Також ви можете пошукати інші плагіни для створення резервних копій. Їх дуже багато в стандартному каталозі.
Встановлюйте шаблони і плагіни тільки з достовірних джерел
Дуже часто віруси проникають на сайти через палені версії плагінів і шаблонів. Люди, щоб заощадити, скачують зламані nulled-версії з різних другосортних форумів або складчину. Після цього їх чудесним чином зламують або зашивають код, який шкодить користувачам.
Щоб уникнути таких наслідків, ви повинні чітко розділяти надійні джерела від ненадійних. Nulled-версія може бути надійною в виняткових випадках, в основному автори таких збірок переслідують власні інтереси.
Тому плагіни і різні шаблони краще скачувати з стандартного каталогу WordPress або ж купувати їх у відомих магазинах на кшталт того ж WP Shop. Також ви можете завантажувати все це з офіційного сайту WordPress – ru.wordpress.org, там є все те, що і в каталогах.
Використовуйте зашифроване з’єднання
Якщо вся інформація на вашому сайті буде передаватися через захищене HTTPS-з’єднання, то ви можете уникнути багатьох ризиків, проблем і наслідків. Сайти без SSL зараз навіть пошукачі не шанують.
Вони вважають, що такі ресурси можуть бути небезпечні для простих користувачів. Саме тому браузери і пошукові системи позначають сайти без захищеного з’єднання як підозрілі або небезпечні.
Відсутність захищеного протоколу може бути небезпечно не тільки для користувачів, але і для самого сайту, тому що є дуже багато вразливостей, які працюють виключно через HTTP-протокол. Якщо на вашому сайті буде коректний SSL-сертифікат, то всі ці уразливості просто не будуть працювати.
Більш докладно про те, як встановити SSL-сертифікат на сайт я розповідав в окремій статті. Рекомендую перейти туди і ознайомитися з цим матеріалом.
Використовуйте плагіни, які підвищують захист
Найрадикальнішим і одночасно дієвим способом буде установка спеціальних плагінів, які додатково захистять вашу платформу від злому, вірусів і різних атак хакерів.
Принцип роботи цих полігонів полягає в зміні і додаванні стандартного функціоналу WP. Наприклад, якщо ввести правильний логін і неправильний пароль, то WordPress видасть помилку, яка безпосередньо буде вказувати на те, що тут неправильний саме пароль, а логін вірний. Таким способом зловмисники можуть дізнатися ваш логін, навіть якщо ви його поміняли. Їм залишиться просто підібрати правильний пароль і все.
За допомогою плагінів можна змінювати подібні нюанси, наприклад, у випадку з формою входу буде змінено інформаційне повідомлення. Тобто не буде зрозуміло, що конкретно було введено неправильно: логін, пароль або, взагалі, все разом.
Також багато плагіни можуть змінювати стандартні назви файлів, папок і таблиць в базах даних. Тоді у зломщиків не залишається шансів, вони просто не знатимуть, в який бік треба копати.
Загалом, функцій у таких плагінів досить. Я підготував для вас невелику добірку. У ній я розповім про найбільш популярних розширеннях.
- Wordfence Security – Firewall & Malware Scan
Відмінний плагін, який можна встановити прямо з панелі управління WordPress. Його ж можна скачати з офіційних репозиторіїв.
Це комплексне рішення, яке дозволяє повністю захистити вашу платформу від усіляких загроз. Тут є інструменти, які можуть змінювати стандартний функціонал WordPress, роблячи його більш безпечним. Це і зміна назв в файлах, папках, і додатковий захист у вигляді поліпшеної форми входу.
Також ви можете додати двухфакторную авторизацію, і користувач буде змушений щоразу вводити код, який буде приходити на мобільний телефон.
Крім усього іншого, в цьому плагіні є вбудований сканер. Використовуючи його, ви зможете сканувати всі файли вашого сайту на наявність шкідливого коду. Однак якщо ви не встановлюєте плагіни і теми з неперевірених джерел, то цього шкідливого коду там і не буде.
У цього плагіна є дві версії: безкоштовна (її ви встановлюєте з каталогу або ж завантажуєте з репозиторіїв WP) і платна (коштує 99 доларів).
Платна версія має додаткові переваги і розширений функціонал. Але для більшої частини вебмайстрів вистачить і базової версії, там повно крутих інструментів, які повністю захищають WordPress від всякого роду напастей.
- iThemes Security
Ще один комплексний модуль для WP, який може забезпечити підвищений рівень безпеки. Тут є дуже багато функцій, включаючи зміну логіна адміністратора, зміну префіксів в таблицях БД, зміна назв папок, сканер і т. Д. Це прямий конкурент попереднього плагіну. В якихось моментах він його перевершує, в якихось навпаки.
- All In One WP Security & Firewall
Непогане розширення, яке має багато різних функцій. Тут є інструменти щодо захисту акаунтів, баз даних, файлів сайту і т. Д. Цей плагін також можна встановити прямо з каталогу WordPress. Досить просто перейти в потрібний розділ панелі управління і ввести його назву.
Непоганою особливістю цього модуля можна вважати підтримку російської мови. У двох інших теж можуть бути перекладені фрагменти, але цей плагін переведений повністю.
Висновок
Щоб захистити свій проект на базі WordPress, доведеться серйозно підходити до справи і не допускати якихось помилок або прорахунків. Важливо розуміти, що якщо ви хочете захистити сайт, то потрібно в першу чергу подбати про безпеку свого робочого комп’ютера або пристрою, з якого ви працюєте.
Також не можна забувати і про хостинг. Якщо зловмисник дізнається дані від хостингу сайту, він зможе зробити з ним все, що захоче.
Саме тому до безпеки потрібно підходити комплексно. В цьому випадку ви знижуєте ризик отримання вірусів або злому. До речі кажучи, питання безпеки розглядається в курсі для вебмайстрів від Василя Блінова . Також там говориться про методи боротьби з хакерами і хакерами.
Якщо вам цікава тема заробітку на інформаційних ресурсах, то я рекомендую перейти по посиланню вище і ознайомитися з курсом. У ньому докладно розказано про те, як створити власний блог або сайт-статейнік під монетизацію. Весь курс розділений на інформаційні блоки, а самі блоки на уроки. Учні покроково проходять уроки і виконують домашні завдання. Також вони можуть розраховувати на допомогу і консультацію від експертів або інших учнів.
А на цьому все. Слідкуйте за безпекою свого сайту і своєчасно робіть резервне копіювання.