По рейтингу компании iTrack за 2021 год 43,81% сайтов, построенных на CMS, используют WordPress. Это бесплатная система управления контентом, для которой разработали много плагинов: от настройки перенаправления на HTTPS до подключения платежей на сайте.
Обратная сторона популярности WordPress — её привлекательность для хакеров. Чем больше людей пользуются системой, тем больше потенциальной выгоды принесет взлом.
В этой статье обсудим, из каких блоков строится защита WordPress 🔒
Сложное имя пользователя
Первый юзернейм, который использует хакер для попытки входа в профиль — admin. Это имя задается по умолчанию во время установки WordPress. Его обязательно нужно изменить. При этом важно не использовать своё имя, которое любой желающий найдет на странице в социальной сети. Чем меньше имя пользователя напоминает нечто реальное, тем меньше вероятность, что злоумышленник с легкостью подберет его.
Надежный пароль
Относительно безопасным считается пароль, в котором есть буквы верхнего и нижнего регистра, цифры и специальные символы. Шаблонные пароли вроде «12345» и «qwerty» подбираются за доли секунды.
В идеале, пароли ещё и не должны повторяться. То есть пароль для входа в WordPress используется только для входа в WordPress. Он, как и юзернейм, должен быть случайным — не ассоциироваться ни с чем общеизвестным.
Проблему запоминания множества случайных последовательностей символов решают менеджеры паролей: вы запоминаете один сложный мастер-пароль и используете его для входа в базу, где хранятся все остальные. Для хранения паролей и их автозаполнения прямо внутри браузера подойдет LastPass.
👉Читайте также наши статьи:
- Лучшие менеджеры паролей
Ограничение попыток логина
По умолчанию пользователь не ограничен в попытках входа в админ панель. Это позволяет злоумышленникам предпринимать «brute force» атаки — вариант за вариантом подбирать юзернейм и пароль.
Чтобы у хакера было меньше шансов подобрать логин-детали, можно установить лимит на количество входов в аккаунт. Так у атакующего будет всего несколько попыток, после чего наступит временная блокировка входа с текущего IP адреса.
В этом поможет плагин WP Limit Login Attempts.
Двухфакторная аутентификация
Двухфакторная аутентификация подразумевает, что для входа в аккаунт нужно то, что вы знаете — пароль, и то, чем владеете — например, смартфон. При каждом входе в учетную запись кроме логина и пароля нужно вводить одноразовый код, сгенерированный специальным приложением.
Чтобы WordPress поддерживал вход с использованием второго фактора, нужно установить плагин Two Factor Authentication.
Дальше установите приложение для генерации случайных кодов на свой девайс, например Google Autenticator для Android и 2FA Authenticator для iOS.
После этого нужно отсканировать QR код из плагина в WordPress приложением на телефоне и открывать это приложение при каждом входе в аккаунт.
👉Читайте также наши статьи:
- Как проверить сайт на мошенничество
Плагины
Плагины — это приложения, расширяющие функционал работы CMS. Выше мы говорили, что для установки лимитов на вход в учетную запись и для включения 2FA не обойтись без плагинов. Но они бывают разные и некоторые могут не только не принести пользу, но и стать причиной взлома сайта. Злоумышленники могут специально распространять плагин-троян, после установки которого не подозревающая жертва будет передавать например, все вводимые с клавиатуры данные на удаленный сервер атакующего.
Поэтому защита сайта на WordPress состоит ещё и в бдительном обращении с плагинами. Скачивайте их только с официальных сайтов WordPress, смотрите на отзывы и оповещения после установки.
Смена ссылки для входа
Как злоумышленник узнаёт, что вы используете WordPress? Самый распространенный способ — сформировать ссылку для логина в админ-панель, по умолчанию она одинакова для всех сайтов на этой CMS: https://domain.com/wp-admin/. «domain.com» — имя сайта, а «wp-admin» — стандартная директория для администрирования. Так, если после ввода этой ссылки происходит перенаправление на логин-страницу администратора — понятно, какую систему управления контентом использует сайт.
Чтобы ввести хакеров в заблуждение и обезопасить ссылку логина от сторонних лиц, можно заменить стандартный URL на свой. В этом поможет плагин Change WP Admin Login. Вы задаете псевдоним для URL, например, https://domain.com/admin-area, и стандартная ссылка перестает быть доступна.
Обновление
Безопасность WordPress, установленных тем и плагинов, зависит от того, насколько часто вы обновляете их версии. Так как сама CMS и её расширения находятся в открытом доступе, хакерам легко изучить их работу и найти уязвимости для дальнейшей эксплуатации. Обновления часто связаны именно с исправлением проблем безопасности плагинов или самой версии WP.
Обновить версию WordPress, плагинов и тем можно в админ-панели.
SSL-сертификат
В статье «Нужен ли SSL-сертификат моему сайту» мы рассказали, зачем устанавливать сертификат, и, спойлер, безопасность — не единственная причина.
SSL-сертификат защищает от «атаки посредника» — перехвата информации между браузером и сайтом третьей стороной. Нужно понимать, что сертификат не защитит от самого перехвата данных. Злоумышленник сможет их получить, но благодаря сертификату они будут зашифрованы.
SSL-сертификат поможет с защитой WordPress в том плане, что логин-детали администратора будут передаваться сайту зашифрованными. Даже если хакер их перехватит, он не сможет разгадать исходные данные, а следовательно, и зайти в админ-панель от лица владельца.
👉Читайте также наши статьи:
- Что такое SSL-сертификат
- Как работает SSL-сертификат
- Руководство по миграции с HTTP на HTTPS для WordPress
Резервные копии
В видеоиграх, чтобы каждый раз из-за неприятностей не начинать игру заново, мы сохраняемся. То же самое касается и резервных копий сайта. Даже выполнение пунктов, о которых писали выше, не гарантирует 100% защиты, и всё равно остается вероятность, что сайт однажды взломают. И тогда, чтобы быстро оправиться с минимальными потерями времени и продаж на сайте, очень поможет резервная копия или бэкап. Хорошая новость в том, что большинство хостинг-провайдеров делают такое копирование по умолчанию. Если же вы не пользуетесь услугами провайдеров или ваш текущий не предлагает бэкап WordPress сайтов, на помощь, как всегда, придут плагины, например Duplicator.
Для сайтов на WordPress защита от взлома складывается из бдительности, правильных действий и использования официальных плагинов. Теперь вы знаете базовые вещи, с которых легко начать новичку.
Статья была полезной? Пишите в комментариях — мы ценим обратную связь 🙃
Если вам понравилась статья, ставьте лайки и подписывайтесь на канал 😉
