Благодаря простоте использования, бесплатности, разнообразию тем и плагинов, Wordpress на сегодня самая популярная CMS в мире - работает на 18,9% от всех интернет-сайтов и установлена более 76,5 миллионов раз. Но у такой популярности есть и другая сторона медали. По данным компании Securi, в 2016 году Wordpress занимала первую строчку в списке CMS, которые подвергались хакерским атакам. Но не стоит паниковать! Ниже мы рассмотрим самые популярные и эффективные способы защиты вашего сайта на Wordpress.
Авторизация
Cамый простой способ уменьшить риск взлома - ограничить количество попыток входа в систему. Есть много бесплатных плагинов, которые позволяют это сделать. Например, Limit Login Attempts блокирует любые IP-адреса, которые пересекают порог неудачных попыток входа в систему. Плагин очень удобный и функциональный, после блокировки вам приходит на email уведомление, можно просмотреть журнал блокировок, а также внести нужные IP в белый или черный лист:
Но данный способ не поможет, если хакеры используют целую сеть ботов с разными IP адресами. В таком случае нужно обязатательно включить на своем сайте двухфакторную аутентификацию (Two-factor Authentification - 2FA). Это один из наиболее эффективных способов на сегодня защитить сайт от взлома. Не имеет значения, удалось ли кому-то узнать ваши пароли для входа - без ваших кодов доступа 2FA, они не смогут войти в систему. И сегодня есть бесчисленные плагины и приложения для мобильных телефонов, которые вы можете использовать для включения 2FA, например Google Authenticator.
Честно говоря, вы должны использовать этот метод не только для Wordpress сайта, но и для любых других CMS.
Имя Администратора
Сейчас много хостинг провайдеров предлагают автоматическую установку Wordpress одним кликом, которая по-прежнему использует по умолчанию имя учетной записи - admin. К сожалению, это дополнительная подсказка для хакеров и это облегчит им выполнение своих задач, поскольку они уже знают название учетной записи.
Если это так, вы должны создать новую учетную запись в Wordpress с правами Администратора, залогиниться под ней, а старую удалить, связав все ее содержимое с новой учетной записью. Не рекомендуется использовать такие имена как administrator или support. Придумайте уникальное имя для своей учетной записи.
URL страницы входа
Другим популярным аспектом взлома многих сайтов на Wordpress, является страница входа в аккаунт, а именно ее URL, который по умолчанию выглядит: yoursite.com/wp-admin или yoursite.com/wp-login.php. Опять же, это дает еще одну возможность для хакеров знать куда направлять свои автоматические атаки. Вы можете сделать сайт более безопасным, если измените этот URL на нечто менее предсказуемое, например my_login.php. Этот простой шаг остановит большинство автоматических атак по URL-адресу. Сильнейший плагин iThemes Security поможет вам в этом - содержит более 30-ти методов защиты!
Пароли
Генерируйте надежные пароли и храните их в безопасности. Уникальный и сложный пароль - базовая защита сайта. Если ваш пароль будет таким же простым как abcd123, то это вопрос времени, прежде чем кто-то взломает ваш сайт. Лучшая практика - убедиться, что вы используете комбинацию строчных, прописных, специальных символов и цифр для своего пароля. Времена, когда мы хранили все свои пароли в бумажном блокноте тоже давно прошли. Сейчас существует большое количество разных онлайн-диспечеров паролей, которые поддерживают синхронизацию с мобильными устройствами и надежно берегут ваши ключи от сайтов. Лично я для себя выбрал LastPass, так как с ним удобно и комфортно работать, а также он популярен среди многих пользователей. Устанавливается как дополнительное расширение для браузера. Позволяет каталогизировать ваши учетные записи, содержит генератор паролей, при входе на сайт приложение автоматически подставляет в форму данные для входа. Если зарегистрировались на новом сайте, LastPass предложит добавить логин и пароль в базу.
Есть также много других менеджеров, которые можно выбрать на свой вкус и цвет.
Обновления
Следите за системными обновлениями Wordpress. Команда Wordpress постоянно работает над нейтрализацией любых уязвимостей и лазеек в безопасности движка. Поэтому, будьте в курсе последних событий. Огромное количество хакеров нацелены взломать именно эту CMS, так как многие владельцы веб-сайтов забывают или игнорируют обновления, задача которых - не только новые функции, но и исправление ошибок безопасности.
Также это касается тем и плагинов, которые могут иметь различное количество "дыр". Плагины, которые давно не обслуживались и не обновлялись, о которых нет достаточной информации в интернете, нет обзоров на них, лучше не использовать. Устанавливайте только надежные и проверенные плагины. Бывали случаи, когда плагин или тема уже целенамеренно содержали дыру и в дальнейшем хакер без проблем использовал ее в своей работе так, что вы об этом и не догадываетесь. Поэтому, просматривая расширения в репозитории Wordpress, всегда обращайте внимание на такие факторы, как: количество установок и последнее обновление. Если у вас в системе накопилось много плагинов, которые вам не нужны и вы за ними не следите - удалите их. Это не только в целях безопасности, но и для облегчения загрузки вашей базы данных и обеспечения максимального быстродействия сайта. Замечу, чтобы удалить плагин, нужно перед этим его деактивировать.
Если вы хотите отдельно проверить достоверность уэе установленной темы, используйте плагин Theme Authenticity Checker (TAC). Можете просканировать и весь Wordpress на наличие вредоносного кода и скриптов (malware) с помощью еще одного отличного плагина - Sucuri Security:
Читайте также: Что такое LSI ключи и как их использовать в SEO?
Пользователи
Следите за пользователями, которые получают доступ к вашему сайту. Добавляйте новых с осторожностью. Если на сайте работает команда или у вас есть гостевые авторы - определитесь с ролями и правами доступа. То есть, являются ли они администратором, автором, подписчиком, редактором и т. д. Различия между ними хорошо описаны в документации WordPress.org. Предоставляйте доступ администратора только тем, кого вы знаете и доверяете. Также очень важно, чтобы все пользователи использовали надежные пароли и двухфакторную аутентификацию! Управлять всем этим можно с помощью того же iThemes Security:
Права доступа на файлы и папки
Многие из файлов и папок вашего сайта Wordpress содержат очень важную информацию, но порою оказывается, что они не защищены. К сожалению, рядовые пользователи от таких нюансов далеки и часто можно услышать "Да кому мы нужны?". А опытные хакеры тем временем могут получить доступ к содержимому вашего сайта и делать с ним все, что захотят, например прописать вредоносный скрипт, который будет рассылать спам от вашего имени или же проставить неограниченное количество токсических ссылок на другие сайты, вариантов множество. Поэтому, убедитесь, что все ваши папки и файлы имеют ограниченный доступ - защищены от стороннего копирования, редактирования, сохранения, перемещения и т.д.
Читать статью полностью: Как защитить сайт на Wordpress?