Как повысить безопасность WordPress: руководство из 18 шагов с основными инструментами

Опубликовано: 2024-08-01

Веб-сайты WordPress могут стать уязвимыми, если их не поддерживать в хорошем состоянии. Несколько пропущенных обновлений или плохой плагин — и ваш сайт окажется под угрозой. Злоумышленники также могут проникнуть через страницу входа в систему, если она не защищена должным образом, или остановить работу вашего сайта с помощью распределенных атак типа «отказ в обслуживании» (DDoS).

Слишком много мрака и гибели?

Что ж, к счастью, эти атаки можно легко предотвратить, если вы предпримете необходимые шаги для усиления защиты WordPress. Система управления контентом (CMS) дает вам полный контроль над настройками вашего сайта, а это значит, что вы можете реализовать стратегии для его защиты от различных типов атак.

В этой статье мы дадим вам полный курс по безопасности WordPress. Мы обсудим, какие инструменты вам следует использовать, рассмотрим 18 шагов по усилению безопасности WordPress и покажем вам, как Jetpack Security может помочь вам обеспечить безопасность вашего сайта с помощью одного плагина. Давайте займемся этим!

Важность усиления безопасности вашего сайта WordPress

Киберзлоумышленники, как правило, прочесывают Интернет в поисках сайтов с уязвимостями, которыми они могут воспользоваться. Даже если ваш сайт относительно новый, злоумышленники все равно могут использовать его для распространения вредоносного ПО или кражи данных.

Это делает безопасность WordPress решающей для всех веб-сайтов. На момент написания этой статьи было зарегистрировано более 50 000 уязвимостей WordPress. Сюда входят более 7800 известных уязвимых плагинов и около 670 тем.

Число уязвимостей продолжает увеличиваться из года в год из-за растущей популярности WordPress и большого количества новых плагинов и тем на рынке.

Если ваш сайт станет мишенью, вы можете потерять к нему доступ, а ваши данные могут быть скомпрометированы. В зависимости от серьезности нарушения восстановление вашего веб-сайта может занять некоторое время, что может привести к потере многих конверсий. Более того, если вы ведете более крупный онлайн-бизнес, стать жертвой киберпреступления может привести к серьезным финансовым потерям.

Хорошей новостью является то, что вы можете многое сделать, чтобы защитить свой сайт WordPress. Но чтобы обеспечить его безопасность, вам нужно проявлять инициативу.

Основные инструменты для укрепления вашего сайта WordPress

В этом руководстве мы будем ссылаться на несколько инструментов безопасности, которые вы можете использовать. Это поможет вам принять меры по усилению безопасности вашего сайта WordPress. Давайте посмотрим, что они из себя представляют.

1. Сканер уязвимостей

Сканер уязвимостей — это программное обеспечение, которое проверяет ваш веб-сайт на предмет проблем безопасности. В случае с WordPress сканер просматривает файлы, плагины и темы вашего сайта в поисках потенциальных брешей в защите, которыми могут воспользоваться злоумышленники.

Сканер сравнивает найденные данные с базой данных уязвимостей, такой как WPScan. Это крупнейшая база данных известных уязвимостей безопасности WordPress, которая постоянно обновляется.

Jetpack Protect — лучший вариант для сканирования вашего веб-сайта на наличие уязвимостей.

Jetpack Protect — лучший вариант для сканирования вашего веб-сайта на наличие уязвимостей. Плагин позволяет вам использовать базу данных WPScan, запуская автоматическое сканирование вашего веб-сайта.

Если Jetpack обнаружит уязвимость, он уведомит вас и покажет, как решить проблему. В большинстве случаев это потребует удаления или обновления уязвимых плагинов или тем.

2. Сканер вредоносных программ

Сканер вредоносных программ работает аналогично сканеру уязвимостей. В этом случае программное обеспечение фокусируется на поиске зараженных файлов и помогает либо поместить их в карантин, либо удалить, чтобы вы могли избавить свой веб-сайт от вредоносного ПО.

В большинстве случаев сканеры уязвимостей и вредоносных программ работают рука об руку. WPScan, например, может помочь вам выявить как уязвимости, так и вредоносное ПО на вашем веб-сайте WordPress.

Если вы используете Jetpack и у вас есть доступ к плану безопасности (или обновите Protect до премиум-класса), плагин просканирует ваш сайт на наличие вредоносных программ и уязвимостей. Если он обнаружит что-то не так с вашим сайтом, плагин предложит вам варианты решения этих проблем, часто всего одним или двумя щелчками мыши.

3. Брандмауэр веб-приложений (WAF)

Вы, вероятно, знакомы с понятием брандмауэра. Это программа, которая блокирует входящий или исходящий трафик с сервера или компьютера.

Брандмауэр веб-приложений (WAF) работает аналогично. Он создан, чтобы помочь вам заблокировать входящий вредоносный трафик или предотвратить отправку информации вредоносным ПО на вашем сайте.

Большинство WAF предварительно настроены с правилами, определяющими, какие соединения следует блокировать. Они могут даже идентифицировать известные вредоносные IP-адреса в зависимости от своих настроек.

Jetpack Protect включает WAF с простыми настройками конфигурации. Вы можете настроить WAF на использование автоматических правил, которые регулярно предоставляются и обновляются экспертами по безопасности Jetpack. Эти автоматические правила созданы для блокировки эксплойтов высокой степени серьезности, поэтому даже если у вас есть уязвимость в расширении, правило WAF сможет защитить ваш сайт.

Плагин также позволяет помещать определенные IP-адреса в список разрешенных или заблокированных. Это может быть полезно, если вы хотите ограничить доступ к панели мониторинга.

Плагин также позволяет помещать определенные IP-адреса в список разрешенных или заблокированных. Это может быть полезно, если вы хотите ограничить доступ к панели мониторинга.

4. Решение для удаленного резервного копирования

Инструменты резервного копирования создают копии вашего веб-сайта и восстанавливают их при необходимости. Идея резервного копирования заключается в том, что у вас всегда будет последняя копия вашего сайта на случай, если он выйдет из строя или вы столкнетесь с проблемой безопасности, которую вы не сможете легко исправить.

Для дополнительной безопасности рекомендуется хранить резервные копии как на сайте, так и за его пределами на случай, если одна из них выйдет из строя. Таким образом, данные вашего сайта никогда не будут потеряны.

Хотя вы можете создать резервную копию своего сайта вручную, использование специального плагина, такого как Jetpack VaultPress Backup, может дать вам душевное спокойствие и автоматизировать весь процесс.

Этот плагин создает резервные копии вашего сайта в реальном времени и хранит их вне сайта до 30 дней.

Этот плагин создает резервные копии вашего сайта в реальном времени и хранит их вне сайта до 30 дней. Все это происходит автоматически, хотя при желании вы также можете создавать свои собственные резервные копии вручную.

Jetpack сохраняет любые изменения, которые вы вносите на свой сайт, по мере их возникновения. Это исключает риск частичной потери данных при необходимости восстановить недавнюю резервную копию. Просто зайдите в журнал активности и выберите дату и время, на которое вы хотите восстановить, и Jetpack сразу же начнет восстанавливать ваш сайт (даже если он полностью отключен от сети).

Кстати о журнале активности…

5. Журнал активности для отслеживания изменений сайта.

Журнал активности — это инструмент, который дает вам представление о том, что происходит на вашем веб-сайте. Вы можете использовать эти журналы для мониторинга различных видов активности, включая входы в систему, установку плагинов, загрузку сообщений и даже изменения в конфигурации вашего сайта.

Важность журнала активности невозможно переоценить. Если вы сотрудничаете с другими людьми для запуска веб-сайта, этот инструмент даст вам представление о том, что делают все остальные.

Вы также можете использовать журнал активности для устранения проблем. Например, если ваш сканер уязвимостей внезапно обнаружит проблему с плагином, вы можете проверить журналы, чтобы узнать, когда и кем был установлен плагин.

Jetpack включает в себя журнал активности с бесплатной учетной записью WordPress.com, где вы можете увидеть последние 20 событий на вашем сайте. С премиальной лицензией вы получите доступ к событиям как минимум за последние 30 дней.

Как усилить безопасность вашего сайта WordPress за 18 шагов

Помимо инструментов, которые мы рассмотрели в предыдущем разделе, вам также необходимо предпринять шаги по усилению безопасности WordPress. Вот наиболее важные меры безопасности для вашего сайта.

1. Создайте резервную копию вашего сайта

Резервные копии, пожалуй, самая важная часть комплексной стратегии безопасности. Постоянное наличие последних резервных копий означает, что если ваш веб-сайт подвергся атаке или заражен вредоносным ПО, вы всегда сможете восстановить свой контент.

В идеале вы будете использовать плагин, который автоматизирует резервное копирование. Это исключает риск забыть выполнить резервное копирование после внесения существенных изменений на ваш сайт.

Как мы уже упоминали, Jetpack VaultPress Backup — это мощное решение для резервного копирования, которое включено отдельно или в соответствующий план, такой как Jetpack Security. Он использует систему резервного копирования в реальном времени. Это означает, что он сохраняется каждый раз, когда вы вносите изменения на свой сайт, поэтому каждое новое изменение сразу же защищается.

Эта система предпочтительнее запланированного резервного копирования. В последнем случае вы рискуете потерять данные, если последняя точка восстановления окажется слишком далеко назад. Это не проблема, если вы используете VaultPress Backup.

2. Установите универсальный плагин безопасности.

Существует множество плагинов безопасности WordPress на выбор. Некоторые инструменты предназначены для конкретных целей, например, для включения WAF или двухфакторной аутентификации (2FA). Другие используют более целостный подход и объединяют несколько функций для защиты вашего сайта.

Идея универсальных плагинов безопасности заключается в том, чтобы свести к минимуму количество сторонних инструментов, которые вам необходимо настроить на своем веб-сайте, при этом получив доступ к как можно большему количеству функций.

Jetpack предлагает широкий спектр функций безопасности. Если вы выберете бесплатный плагин, вы получите доступ к журналу активности, функциям WAF, опции безопасной аутентификации и многому другому.

Вы можете расширить спектр функций безопасности, предлагаемых плагином, подписавшись на план Jetpack Security.

Вы можете расширить спектр функций безопасности, предлагаемых плагином, подписавшись на план Jetpack Security. Этот план дает вам доступ к решению для резервного копирования, автоматическому сканированию вредоносных программ с возможностью исправления одним щелчком мыши, защите от спама и многому другому.

С точки зрения ценности Jetpack Security предлагает одно из наиболее комплексных решений безопасности для пользователей WordPress. И если вы хотите, вы всегда можете начать использовать бесплатный плагин и обновить его до премиум-версии, как только почувствуете себя комфортно.

3. Обновите ядро ​​WordPress.

Обновление WordPress до последней версии — одна из самых важных вещей, которые вы можете сделать для повышения безопасности вашего сайта. Это связано с тем, что новые версии, как правило, включают исправления и улучшения безопасности. Более того, разработчики программного обеспечения часто выпускают патчи для устранения срочных уязвимостей.

Использование устаревших версий WordPress также может привести к проблемам совместимости с плагинами и темами. Это может привести к тому, что ключевые элементы вашего сайта перестанут работать.

Поддерживать обновление WordPress очень просто. Когда вы зайдете на панель управления, WordPress сообщит вам, есть ли доступные обновления. Вы можете обновить WordPress, нажав «Панель управления» → «Обновления» .

Обратите внимание, что обновление WordPress может привести к проблемам совместимости, если ваши плагины или темы не поддерживают более новую версию.

Обратите внимание, что обновление WordPress может привести к проблемам совместимости, если ваши плагины или темы не поддерживают новую версию. Чтобы восстановиться после этого, вам нужно создать резервную копию вашего сайта перед крупными обновлениями.

Если вы используете VaultPress Backup, в этом нет необходимости. Плагин создаст резервную копию вашего сайта в режиме реального времени, поэтому перед обновлением у вас будет доступная точка восстановления на случай, если вам понадобится восстановить сайт.

4. Удалите неиспользуемые плагины и темы.

По мере роста вашего сайта вам могут понадобиться новые плагины и вы даже можете переключиться на другую тему. Это может привести к появлению дополнительных уязвимостей на вашем сайте. Как правило, разумно удалить любые плагины или темы, которые вам больше не нужны.

Процесс прост.

Перейдите на страницу своих плагинов или тем на панели управления. Затем деактивируйте и удалите все, что вы больше не используете.

Перейдите на страницу своих плагинов или тем на панели управления. Затем деактивируйте и удалите все, что вы больше не используете.

Если вы решите переустановить некоторые из этих плагинов позже, ничего страшного. Их установка и активация займут всего несколько минут, однако вам может потребоваться заново настроить их параметры.

5. Обновите все оставшиеся плагины и темы.

После того, как вы очистите свой список плагинов и тем, вам нужно проверить, не требуют ли обновления какие-либо из оставшихся элементов на вашем сайте. Обновления плагинов и тем могут быть так же важны, как и обновления ядра WordPress, с точки зрения безопасности, поскольку они являются одними из наиболее распространенных векторов атак.

WordPress будет уведомлять вас о любых доступных обновлениях плагинов и тем при доступе к панели управления. В идеале вы будете обновлять компоненты своего сайта, как только станут доступны новые версии.

Вы можете сделать это на страницах плагина и темы на панели управления.

Если вы слишком заняты, чтобы проверять свой сайт каждый день, вы можете включить автоматические обновления для каждого плагина. Это простая мера.

Если вы слишком заняты, чтобы проверять свой сайт каждый день, вы можете включить автоматическое обновление для каждого плагина. Это простая мера, но она может значительно минимизировать риск появления уязвимостей на вашем сайте.

6. Обеспечьте соблюдение политики надежных паролей

Довольно часто взломы веб-сайтов вызваны не уязвимостями WordPress, а человеческой ошибкой. Многие люди используют слабые учетные данные для входа на свои веб-сайты, что упрощает хакерам доступ к панели управления.

Лучший способ избежать этого — применять политику надежных паролей. Когда вы регистрируете учетную запись на своем веб-сайте WordPress, для вас генерируется безопасный пароль.

Лучший способ избежать этого — применять политику надежных паролей.

Если вы используете Jetpack, у вас также будет доступ к функции двухфакторной аутентификации (2FA), которую вы можете использовать для дополнительной защиты страницы входа.

Если вы используете Jetpack, у вас также будет доступ к функции двухфакторной аутентификации (2FA), которую вы можете использовать для дополнительной защиты страницы входа.

Это может быть очень полезно, если на вашем сайте несколько пользователей (например, авторы и менеджеры магазинов). Даже если ваши пользователи используют слабые пароли, у вас будет запасной вариант 2FA для защиты вашего веб-сайта от злоумышленников, имеющих доступ к этим учетным данным (подробнее об этом позже).

7. Ограничьте попытки входа в систему.

Вообще говоря, если кто-то не может вспомнить свои данные для входа, он обычно пробует несколько разных учетных данных, а затем запрашивает сброс пароля.

Если вы заметили (через журналы активности), что человек пытается использовать большое количество комбинаций имени пользователя и пароля, вы, вероятно, имеете дело с атакой. Вот почему рекомендуется ограничить количество попыток входа в систему, которые пользователь может сделать в течение определенного периода времени.

Эта функция доступна в Jetpack. Плагин предлагает защиту от перебора, которая может распознавать известные вредоносные IP-адреса и блокировать их попытки входа в систему.

Плагин предлагает защиту от перебора, которая может распознавать известные вредоносные IP-адреса и блокировать их попытки входа в систему.

Защита от грубой силы в Jetpack включена по умолчанию. Вы можете просмотреть его конфигурацию, перейдя в Jetpack → Настройки. Здесь вы также можете добавить разрешенные IP-адреса, чтобы Jetpack по ошибке не мешал вам получить доступ к странице входа.

8. Усильте безопасность входа в систему с помощью 2FA.

Недавний опрос показывает, что более 40 процентов разработчиков считают внедрение 2FA своим главным приоритетом. Эта мера сводит к минимуму риск получения злоумышленниками доступа к вашему сайту с украденными учетными данными.

Двухфакторная аутентификация является критически важной функцией безопасности, поскольку многие пользователи имеют слабые пароли или повторно используют свои учетные данные на различных сайтах. При использовании 2FA вы требуете от этих пользователей предоставления другой формы аутентификации.

Как мы уже обсуждали, Jetpack позволяет вам использовать 2FA для вашего веб-сайта WordPress. Для этого пользователям необходимо настроить учетную запись WordPress.com. Затем они смогут использовать эту учетную запись для входа на другие веб-сайты WordPress, даже те, которые используют версию WordPress с открытым исходным кодом.

2FA доступен в бесплатной версии Jetpack. Эту функцию можно включать и выключать, и вам не нужно возиться с расширенными настройками для ее настройки, поскольку она зависит от WordPress.com.

9. Удалите неиспользуемые учетные записи пользователей.

Неактивные учетные записи пользователей могут представлять угрозу безопасности вашего веб-сайта, особенно если у них есть разрешения высокого уровня (подробнее об этом мы поговорим в следующем разделе). Эти учетные записи предоставляют дополнительные возможности для нарушений безопасности, поскольку их учетные данные могут быть скомпрометированы и опубликованы в Интернете.

Вот почему многие веб-сайты автоматически удаляют вашу учетную запись, если она неактивна в течение длительного периода времени (конечно, предварительно предупредив вас). WordPress дает вам полный контроль над списком пользователей, что означает, что вы можете добавлять или удалять пользователей по своему желанию.

Удаление пользователей — простой процесс. Перейдите в «Пользователи» → «Все пользователи», найдите учетную запись и выберите опцию «Удалить».

Удаление пользователей — простой процесс. Перейдите в «Пользователи» → «Все пользователи» , найдите учетную запись и выберите опцию «Удалить» . WordPress запросит у вас подтверждение, но самому пользователю не нужно одобрять удаление учетной записи.

Возможно, вам захочется связаться с пользователями, прежде чем удалять их учетные записи. Но если учетная запись неактивна в течение многих лет, ее, вероятно, следует удалить.

10. Назначьте правильные роли остальным пользователям.

После очистки списка пользователей следующим шагом будет проверка разрешений для оставшихся пользователей. WordPress использует простую систему ролей, где каждая роль имеет заранее определенный набор разрешений.

Единственная роль пользователя с полным доступом ко всем настройкам WordPress — это администратор. В целях безопасности администратор должен быть только один. Другие роли WordPress включают авторов, редакторов, участников и подписчиков.

Некоторые плагины также добавляют новые роли пользователей с обновленными разрешениями.

Каждая роль имеет разрешения, которые позволяют пользователям выполнять определенные задачи. Авторы, например, могут публиковать и редактировать свои собственные сообщения, но не те, которые созданы другими пользователями.

Каждая роль имеет разрешения, которые позволяют пользователям выполнять определенные задачи. Авторы, например, могут публиковать и редактировать свои собственные сообщения, но не те, которые созданы другими пользователями.

В идеале ни один пользователь не должен иметь роль, которая дает ему больше разрешений, чем ему необходимо. Назначение неправильных ролей может привести к проблемам с безопасностью, поскольку пользователи могут изменить настройки WordPress, которые им не следует трогать.

Важно периодически просматривать список пользователей, чтобы убедиться, что каждому назначены правильные роли. Эта простая практика поможет вам свести к минимуму проблемы безопасности, вызванные членами команды с неправильными разрешениями.

11. Переименуйте учетную запись «admin» по умолчанию.

Учетная запись администратора WordPress — настоящая жемчужина для злоумышленников. Если они получат к нему доступ, они смогут делать на вашем веб-сайте все, что захотят, включая кражу данных и установку вредоносного ПО.

По умолчанию WordPress использует имя пользователя администратора для учетной записи администратора. Вы можете изменить это при создании учетной записи, но не позже.

Если вы используете имя пользователя администратора , большинству злоумышленников это легко догадаться, а это значит, что им нужно только получить ваш пароль. WordPress не позволяет вам изменять существующие имена пользователей, даже будучи администратором.

Если вы используете имя пользователя администратора, большинству злоумышленников это легко догадаться, а это означает, что им нужно только получить ваш пароль.

Чтобы обойти это, вы можете создать новую учетную запись администратора с более надежным именем пользователя, а затем удалить первую. Обратите внимание, что вы можете сделать это только в том случае, если вы являетесь администратором.

12. Измените префикс базы данных по умолчанию.

По умолчанию WordPress использует префикс wp_ для баз данных сайта. Это позволяет относительно легко угадать имя базы данных, что, в свою очередь, может помочь злоумышленникам подключиться к ней.

Вы можете снизить риск того, что инструменты автоматического внедрения SQL-кода идентифицируют базу данных, изменив этот префикс. В идеале это нужно сделать в процессе установки. Перед настройкой вашего веб-сайта мастер установки WordPress спросит вас, какой префикс базы данных использовать.

Если ваш сайт уже работает, вам необходимо изменить файл wp-config.php , чтобы изменить префикс базы данных. Подключитесь к веб-сайту, используя протокол передачи файлов (FTP), и найдите файл wp-config.php в корневом каталоге WordPress.

Отредактируйте файл и найдите строку с надписью $table_prefix = 'wp_';. Замените значение wp_ префиксом, который вы хотите использовать. Ваш FTP-клиент должен загрузить изменения при сохранении и закрытии файла.

Теперь получите доступ к базе данных с помощью phpMyAdmin. Выберите свою базу данных и используйте SQL вкладка в верхней части экрана, чтобы выполнить следующий запрос для каждой таблицы в базе данных:

ПЕРЕИМЕНОВАТЬ таблицу wp_xxxx TOotherprefix_xxxx;

Вот как этот запрос должен выглядеть в реальной жизни:

Выберите свою базу данных и используйте вкладку SQL в верхней части экрана, чтобы выполнить следующий запрос для каждой таблицы в базе данных: RENAME table wp_xxxx TOotherprefix_xxxx;

Это очень деликатный процесс, поэтому перед попыткой изменения префиксов необходимо убедиться в наличии полной резервной копии сайта (включая базу данных).

После завершения процесса убедитесь, что ваш сайт работает нормально. Если вы столкнулись с какими-либо ошибками, возможно, вы забыли переименовать одну из таблиц базы данных или выполнили неправильный запрос.

Мы охраняем ваш сайт. Вы ведете свой бизнес.

Jetpack Security обеспечивает простую в использовании комплексную безопасность сайта WordPress, включая резервное копирование в реальном времени, брандмауэр веб-приложений, сканирование на наличие вредоносных программ и защиту от спама.

Защитите свой сайт

13. Скройте /wp-admin и /wp-login.php.

Вы, вероятно, узнаете оба этих суффикса URL-адреса. Они используются для входа в WordPress и доступа к панели управления. Их легко запомнить, но это может облегчить хакерам доступ к вашему сайту.

С точки зрения безопасности разумнее использовать разные суффиксы для обоих URL-адресов. Для начала вы можете ознакомиться с этим руководством о том, как изменить URL-адрес входа в WordPress. Сюда входят инструкции по изменению wp-login и wp-admin.php как вручную, так и с помощью плагинов.

14. Установите SSL-сертификат для шифрования данных.

В настоящее время у веб-сайтов нет причин не использовать сертификаты уровня защищенных сокетов (SSL). Эти сертификаты подтверждают легитимность вашего сайта и позволяют использовать протокол HTTPS для отправки и получения зашифрованных данных.

Некоторые браузеры предупреждают пользователей, если их соединение с сайтом небезопасно или у него недействительный или просроченный SSL-сертификат.

Некоторые браузеры предупреждают пользователей, если их соединение с сайтом небезопасно или у него недействительный или просроченный SSL-сертификат.

Вы можете следовать этому руководству, чтобы получить бесплатный сертификат SSL для вашего веб-сайта и установить его. Вы также можете использовать один из рекомендуемых веб-хостов Jetpack, каждый из которых предлагает бесплатные сертификаты SSL с автоматической настройкой.

15. Ограничить доступ к FTP по IP-адресу.

По умолчанию любой, у кого есть доступ к учетным данным FTP вашего веб-сайта, может подключиться к нему, используя этот протокол. Это означает, что если злоумышленники получат ваши учетные данные, они смогут изменить практически любой аспект вашего сайта.

Некоторые веб-хосты предоставляют вам расширенные меры безопасности FTP, такие как ограничение доступа по IP-адресу. Это позволяет вам выбирать, какие адреса могут подключаться к вашему сайту через FTP.

Необходимые разрешения должны иметь только администратор и другие члены команды, которым требуется доступ через FTP. Это может помочь свести к минимуму инциденты безопасности и помочь вам определить, кто внес изменения в ключевые файлы, если у вас возникнут проблемы с WordPress.

В идеале вы вообще не будете использовать FTP, а вместо этого выберете SFTP или SSH для доступа к своему серверу.

Этот процесс будет зависеть от вашего веб-хостинга. Если вы не уверены, позволяет ли ваш хостинг-провайдер ограничивать доступ к FTP по IP-адресу, вы можете проверить его документацию.

16. Защитите права доступа к файлам и каталогам.

Системы на базе UNIX используют правила разрешений, основанные на наборах номеров. Отдельные файлы и каталоги могут иметь разные наборы разрешений, которые определяют, кто может получать к ним доступ, редактировать и выполнять их.

Вы можете прочитать больше о том, как работают разрешения UNIX, в Руководстве разработчика WordPress.

На данный момент важно отметить, что существуют идеальные уровни разрешений для веб-сайтов WordPress и их файловых систем.

Это:

  • 644 или 640 для файлов. Первый набор чисел дает владельцу полный доступ к файлу на чтение и запись, а другие пользователи в группе будут иметь доступ только на чтение. Второй набор разрешений не предоставляет пользователям доступ на чтение.
  • 755 или 750 для каталогов. Этот набор разрешений работает так же, как и предыдущий пример, но с каталогами. 755 предоставляет владельцу полный доступ на чтение и запись, а другие члены группы имеют доступ на чтение.

Вы можете изменить права доступа к файлам вашей файловой системы WordPress с помощью FTP. Для этого щелкните правой кнопкой мыши файл или каталог и выберите параметр прав доступа к файлу (это может варьироваться в зависимости от того, какой FTP-клиент вы используете).

Вы можете изменить права доступа к файлам вашей файловой системы WordPress с помощью FTP.

Некоторые FTP-клиенты позволяют вам устанавливать права доступа к файлам, устанавливая определенные флажки, а также используя систему счисления. Вы вольны выбирать тот вариант, который вам больше по душе.

17. Запретить редактирование файлов

WordPress включает в себя редакторы файлов тем и плагинов «из коробки», хотя некоторые веб-хосты отключают их по умолчанию. Это простые текстовые редакторы, которые вы можете использовать с панели управления, чтобы вносить изменения в код плагинов и тем на вашем веб-сайте.

Включение редактирования файлов с панели управления представляет угрозу безопасности. Это означает, что если злоумышленники получат доступ к панели управления, они смогут напрямую изменить код сайта, не требуя учетных данных FTP или доступа к панели хостинга.

Если ваш веб-хостинг позволяет вам использовать редактирование файлов в WordPress, вы можете отключить эту опцию вручную, изменив файл wp-config.php . Откройте файл и добавьте следующую строку кода в конец перед строкой, которая читает /* Вот и все, прекратите редактирование! Приятного ведения блога. */ :

 define('DISALLOW_FILE_EDIT', true);

Убедитесь, что для параметра установлено значение «true», затем сохраните изменения в wp-config.php и закройте его. Если вы сейчас проверите панель управления, редакторы тем и плагинов больше не должны там появляться.

18. Защитите свой файл wp-config.php.

Как вы видели из этого руководства по усилению защиты WordPress, файл wp-config.php имеет решающее значение с точки зрения безопасности. Вы можете изменить код файла, чтобы повысить защиту вашего веб-сайта, поэтому важно, чтобы никто другой не имел к нему доступа.

Мы уже рассмотрели способ защитить ваш файл wp-config.php от несанкционированного доступа. В основном это предполагает ограничение тех, кто может подключаться к вашему сайту через FTP. В идеале у вас будет только один или ограниченное количество IP-адресов, которым разрешено подключение через FTP, чтобы снизить риск.

Вторая мера безопасности, которую вы можете предпринять, — это обеспечить наличие надлежащих разрешений для файлов. Хотя рекомендуемые уровни разрешений для других файлов — 644 или 640, для файла wp-config.php следует установить либо 440, либо 400. Эти уровни разрешений означают, что другие пользователи, кроме администратора, даже не смогут получить доступ для чтения. в файл.

Важность резервного копирования для аварийного восстановления

Автоматизация резервного копирования, возможно, является наиболее важной мерой безопасности. Имея под рукой недавнюю резервную копию, вы всегда сможете восстановить свой веб-сайт, если что-то пойдет не так.

Если вы используете VaultPress Backup, вам не нужно беспокоиться о создании резервных копий вручную. Вы можете проверить доступные резервные копии, перейдя в Jetpack → VaultPress Backup и нажав на значок Просматривайте свои резервные копии в облаке .

Если вы используете VaultPress Backup, вам не нужно беспокоиться о создании резервных копий вручную.

Это покажет вам все доступные резервные копии и предложит возможность восстановить любую из них одним щелчком мыши. VaultPress Backup создает копии вашего сайта в реальном времени каждый раз, когда вы вносите в него изменения, поэтому у вас всегда будут доступны последние резервные копии.

Как Jetpack Security обрабатывает резервные копии для вашего спокойствия

Давайте подробнее рассмотрим, как Jetpack Security обрабатывает резервные копии. Обратите внимание, что следующие функции доступны только в премиальных планах, таких как Jetpack Security, Jetpack Complete или VaultPress Backup.

1. Резервное копирование в реальном времени

Большинство решений резервного копирования либо требуют, чтобы вы создавали резервные копии вручную, либо создавали их по расписанию. Например, у вас может быть возможность создавать ежедневные, еженедельные или ежемесячные резервные копии.

Ежедневное резервное копирование — отличное начало, но даже в этом случае вы рискуете потерять важные данные, когда вам понадобится восстановить сайт. Если вы внесли какие-либо изменения в сайт после ежедневного резервного копирования и до следующего, вам придется внести их повторно.

VaultPress Backup решает эту проблему, создавая копии вашего сайта в режиме реального времени. Всякий раз, когда вы вносите изменения, плагин создает резервную копию, и у вас появляется новая точка восстановления. Это означает, что вы не рискуете потерять данные.

2. Сверхбезопасное внешнее хранилище.

Хранилище может быть проблемой для большинства решений резервного копирования. Вы можете хранить копии своего сайта на его сервере, локально или даже в облачном хранилище. Внешние решения лучше с точки зрения безопасности, поскольку даже в случае сбоя сервера у вас все равно будет к ним доступ.

VaultPress Backup предлагает собственное решение для удаленного хранения данных. Вам не нужно настраивать плагин для работы с поставщиками облачных хранилищ, поскольку вы получаете доступ к хранилищу Jetpack.

Плагин автоматически сохранит резервные копии за последние 30 дней вне офиса. В любой момент вы можете выбрать одну из этих резервных копий и восстановить ее.

3. Восстановление в один клик

VaultPress Backup позволяет легко восстановить ваш сайт. Все, что вам нужно сделать, это выбрать резервную копию, которую вы хотите восстановить, и подтвердить свой выбор, а плагин позаботится обо всем остальном.

Когда вы снова зайдете на свой веб-сайт, вы увидите версию, которую вы восстановили с помощью VaultPress Backup. С этого момента вы можете продолжать вносить изменения на сайт.

Часто задаваемые вопросы

Если у вас все еще есть вопросы о том, как защитить свой веб-сайт WordPress или резервную копию VaultPress, этот раздел ответит на них.

Что такое усиление защиты WordPress и почему это важно?

Усиление безопасности WordPress — это процесс повышения безопасности вашего сайта. Это усложняет злоумышленникам доступ к сайту.

Каковы наиболее распространенные угрозы для сайтов WordPress?

Большинство уязвимостей WordPress возникают из-за устаревших плагинов, тем и ядра WordPress. Устаревшее программное обеспечение с большей вероятностью будет иметь уязвимости, которые злоумышленники могут использовать для доступа к вашему веб-сайту или получения контроля над ним.

Как я могу отслеживать свой сайт WordPress на предмет уязвимостей безопасности?

Самый простой способ отслеживать ваш сайт на наличие уязвимостей — использовать сканер безопасности. Jetpack Security использует WPScan для проверки вашего веб-сайта на наличие известных уязвимостей WordPress.

Более того, Jetpack может помочь вам исправить любые проблемы безопасности, которые плагин обнаруживает во время сканирования.

Что мне следует искать в плагине безопасности WordPress?

Лучшие плагины безопасности WordPress предлагают набор функций, которые помогут защитить ваш веб-сайт, сводя к минимуму потребность в других сторонних инструментах. Вы можете использовать Jetpack с планом Jetpack Security, чтобы получить доступ к таким функциям, как резервное копирование в реальном времени, WAF, защита от спама, реализация 2FA и многое другое.

Сколько сайтов доверяют Jetpack в плане безопасности своих сайтов?

Jetpack — один из самых популярных плагинов WordPress на рынке благодаря множеству функций безопасности и оптимизации производительности. Более пяти миллионов веб-сайтов используют Jetpack, поэтому это отличный выбор как для новых, так и для опытных пользователей WordPress.

Может ли Jetpack Security помочь со спам-комментариями и отправкой форм?

Jetpack Security включает функции защиты от спама, которые автоматически блокируют или фильтруют спам-комментарии на основе передовых алгоритмов и данных. Вы также можете просмотреть помеченные комментарии, чтобы убедиться в отсутствии ложных срабатываний.

Где я могу узнать больше о Jetpack Security?

Если вы хотите узнать больше о Jetpack Security, посетите домашнюю страницу плана. Там вы можете найти дополнительную информацию о его функциях и подписаться на план.

Защитите свой сайт с помощью Jetpack Security

Есть много способов усилить безопасность вашего сайта WordPress. Некоторые из них включают реализацию мер безопасности, таких как изменение URL-адресов входа и панели управления по умолчанию, защита вашего файла wp-config.php и многое другое. Однако в большинстве случаев самое эффективное, что вы можете сделать для защиты своего сайта, — это использовать универсальный плагин безопасности.

Jetpack Security — мощное решение. Это позволяет вам защищать страницу входа в систему и защищать ваш сайт от атак DDOS. Это также обеспечивает резервное копирование в реальном времени, защиту от спама и многое другое.

Если вы не уверены, с чего начать, когда дело доходит до упрочнения WordPress, проверьте безопасность JetPack. Вы можете подписаться на план и сразу же начать защищать свой сайт!