Защита Вордпресс для новичков
Защита сайта — одна из первых настроек на любом сайте. Каждую неделю Гугл заносит в черный список около 20.000 сайтов за распространение вредоносного кода и около 50.000 за фишинг.
Если вы не хотите, чтобы ваш сайт попал в черные списки поисковиков из-за взлома или размещения на нем вредоносного кода, посвятите некоторое время изучению безопасности сайта.
Хотя сам Вордпресс достаточно безопасен и регулярно обновляется разработчиками, можно сделать несколько настроек для усиления безопасности.
В этой статье вы узнаете основные настройки, которые помогут защитить сайт от вирусов и хакеров.
Содержание:
Основы безопасности сайта
- Регулярно обновляйте Вордпресс
- Пароли и права пользователей
- Хостинг
Безопасность Вордпресс с помощью плагинов
- Установите плагин бэкапа
- Лучший плагин безопасности
- Включите файрвол
Безопасность Вордпресс без плагинов
- Измените стандартное имя администратора Admin
- Отключите редактор файлов
- Проверьте права доступа к файлам и папкам
- Отключите исполнение PHP файлов
- Ограничьте количество попыток авторизации на сайте
- Измените стандартный префикс базы данных
- Измените страницу авторизации
- Отключите доступ к папкам сайта
- Отключите XML-RPC
- Настройте автоматический лог аут неактивных пользователей
- Добавьте дополнительные вопросы на странице авторизации
- Очистка зараженного сайта
После взлома сайта поисковики понизят его репутацию, и это уменьшит посещаемость. Хакеры могут украсть личную информацию пользователей, установить вредоносный софт или заразить посетителей сайта.
Иногда хакеры требуют выкуп, чтобы вернуть доступ к сайту.
В конце 2018 года по сообщению Internet Live Stats, более 100.000 сайтов взламывалось ежедневно. Около 10.000 сайтов Гугл заносит в черные списки каждый день.
Примените как можно больше рекомендаций из этой статьи для усиления защиты сайта.
Регулярно обновляйте Вордпресс
Вордпресс — открытая платформа, которая поддерживается и регулярно обновляется разработчиками. Самая последняя версия Вордпресс самая безопасная.
Правило №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте Вордпресс, плагины и темы.
По умолчанию Вордпресс автоматически устанавливает минорные обновления. Чтобы включить мажорные обновления, нужно добавить эту опцию вручную.
- Ручное и автоматическое обновление Вордпресс
Для Вордпресса написано большое количество плагинов и тем, их разработчики поддерживают свой софт и выпускают обновления.
Обновляйте темы и плагины. Около 30% атак на Вордпресс приходится на темы и плагины.
Сложные пароли и права пользователей
Самый распространенный способ взлома сайтов — подбор логина и пароля. Используйте сложные пароли для сайта, FTP аккаунта, базы данных, аккаунта на хостинге и для е-мейла.
Используйте встроенный генератор паролейОдна из причин, почему некоторые не хотят использовать сложные пароли, — потому что их трудно запомнить. Используйте менеджер паролей в браузере или отдельный сервис, например, LastPass.
Если у вас на сайте несколько пользователей или авторов, дайте им только необходимый минимум прав.
Хостинг
Хостинг играет важную роль в безопасности сайта. Хороший хостинг имеет защиту от хакерских атак.
На виртуальном хостинге сайт пользуется теми же ресурсами сервера, что и соседние сайты. Если у вас виртуальный хостинг, спросите в техподдержке изолированы ли сайты друг от друга.
Виртуальный частный сервер обычно предлагает лучшие условия, — выделенное количество ресурсов, частый бэкап и улучшенную защиту.
Используйте надежный хостинг из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.
- Обзор хостинга Бегет
Это три главных правила безопасности Вордпресс. Если вы хотите применить еще несколько базовых правил, переходите:
- Минимальная безопасность Вордпресс
Безопасность Вордпресс с помощью плагинов
Настройка безопасности сайта может казаться трудной задачей для не-технаря. В этой части настройка безопасности Вордпресс с помощью плагинов, установите эти плагины и настройте их шаг за шагом.
Установите плагин бэкапа
Бэкап — одна из составляющих безопасности сайта. Не существует 100% защиты от взлома, даже самую лучшую защиту можно взломать. Если однажды это случится с вашим сайтом, вы сможете восстановить сайт из бэкапа.
Для Вордпресса есть много платных и бесплатных плагинов, которые вы можете использовать. Сохраняйте бэкап на свой компьютер, на облако или удаленный сервер, но не сохраняйте на тот же сервер, на котором находится ваш сайт.
Настройте частоту бэкапа в зависимости от того, как часто вы обновляете сайт или контент.
Хорошие бесплатные плагины All in One WordPress Migration (ручной бэкап), и Updraft Plus (автоматический бэкап). Платные плагины — BackWPup, VaultPress (от Automattic), и BackupBuddy.
- Бэкап Вордпресс
Плагин безопасности
После плагина бэкапа установите плагин безопасности. Плагин наблюдает за сайтом и записывает события в журнал событий.
Для Вордпресс существует большое количество платных и бесплатных плагинов безопасности. Некоторые из них после установки не нужно настраивать.
- 8 Лучших плагинов безопасности
Sucuri Security − лучший платный плагин безопасности, в этой статье мы будем использовать бесплатную версию плагина Sucuri, которая отличается от платной тем, что в ней неактивен файрвол.
Плагин сканирует сайт на заражение, сравнивает файлы Вордпресс с оригинальными файлами в репозитарии, проверяет, что сайт не занесен в черные списки и наблюдает за неудачными попытками доступа на сайт.
Плагин устанавливается как обычно из репозитария Вордпресс. После установки сгенерируйте API ключ, который включает логи событий, сравнение файлов ядра Вордпресс с оригинальными файлами, сообщения на е-мейл о событиях сайта и другие функции.
1. После активации ключа переходите в Sucuri Security — Settings — General и настройте Timezone. Выберите ваш часовой пояс.
2. Переходите в Sucuri Security — Settings — Scanner и включите сравнение файлов Вордпресс на сайте с файлами в репозитарии Вордпресс:
Включите сравнение файлов Вордпресс с оригинальными файлами3. В разделе Sucuri Security — Settings — Hardening включите все настройки, кроме первой, — эта функция доступна в премиум подписке.
Нажмите Apply Hardening для включения настроекЭти настройки защищают наиболее часто атакуемые места сайта. Файрвол добавляет мощную защиту на DNS сервере, но это платная функция. Подробнее в следующем разделе.
Настройте оповещения на емейл о событиях на сайте в разделе Sucuri Security — Settings — Alerts.
Кроме этих функций можно настроить другие, но у них уже хорошие настройки по умолчанию.
- Подробное описание Sucuri Security
Включите файрвол (WAF, Web Application Firewall)
Один из простых способов защитить сайт — установить файрвол, который будет блокировать вредоносный трафик до того, как он попадет на сайт.
В платной версии Sucuri проводит весь трафик через свои серверы, анализирует его и блокирует все подозрительные и вредоносные запросы.
Для ускорения загрузки сайт подключается к сети CDN. В случае, если сайт был взломан — бесплатное лечение и удаление из черных списков поисковиков и сервисов.
Это хорошее предложение, потому что лечение сайта может стоит дорого. Стоимость часа работы специалиста может доходить до 250$, в то время как 1 год лицензии Sucuri стоит 199$.
Безопасность Вордпресс без плагинов
Чтобы применить эти правила, добавьте код в файлы .htaccess, wp-config.php и functions.php.
Измените стандартное имя пользователя Admin
При установке Вордпресс администратору по умолчанию дается имя Admin.
Имя пользователя это половина данных для входа на сайт, поэтому лучше изменить имя пользователя на что-нибудь уникальное. Это усложнит задачу хакерам по подбору логина и пароля.
После установки Вордпресс изменить имя администратора в профиле пользователя нельзя, но есть три способа это сделать без редактирования профиля:
- Создать нового администратора и удалить старого
- Изменить имя администратора с помощью плагина
- Изменить имя администратора в базе данных
Как это сделать читайте в статье:
- Как изменить имя пользователя
Отключите редактор файлов
В Вордпрессе есть встроенный редактор файлов, который позволяет изменять файлы плагинов и тем в админке Вордпресс. Если хакер попадет в админку, он сможет делать все, что захочет с файлами сайта. Если вы не пользуетесь этим редактором, то его лучше отключить.
Чтобы отключить редактор файлов в админке, добавьте этот код в wp-config.php:
То же самое можно сделать одним кликом в Sucuri Security в разделе Hardening.
Проверьте права доступа к файлам и папкам
Права доступа определяют какие пользователи имеют доступ к файлам и папкам сайта. Максимальные разрешения для файлов должны быть 644, для папок 755.
Добавьте этот код в wp-config.php, он установит стандартные права для всех файлов и папок:
Некоторым важным файлам и папкам можно дать еще меньше прав доступа.
- Права доступа к файлам и папкам
Отключите исполнение PHP файлов в некоторых папках
Еще один способ усилить безопасность — отключить исполнение PHP файлов в тех папках, где это не нужно, например /wp-content/uploads/
и /wp-includes/
.
Создайте пустой текстовый файл и вставьте в него этот код:
Сохраните файл как . htaccess и поместите его в папку /wp-content/uploads/
и /wp-includes/
через FTP.
То же самое можно сделать в Sucuri Security Settings — Hardening.
Ограничьте количество попыток авторизации на сайте
По умолчанию Вордпресс разрешает пользователям делать столько попыток авторизации, сколько они хотят. Хакеры пользуются этим и перебирают самые распространенные логины и пароли. Это называется брут-форс атака, или атака грубой силой, или атака методом перебора паролей.
Ограничьте количество неудачных попыток авторизации, которое может сделать пользователь. Это можно сделать с помощью плагина Limit Login Attempts, Login LockDown, Limit Login Attempts Reloaded.
После 4 неудачных попыток входа IP посетителя попадает в бан на 23 минуты. После 4 раз бана IP блокируется на 24 часа.
Limit Login Attempts Reloaded. Интерфейс и настройки у всех плагинов аналогичныеИзмените префикс базы данных
По умолчанию Вордпресс использует префикс wp_ для всех таблиц базы данных. Если ваша база данных использует стандартный префикс, хакерам легче его угадать и получить некоторый контроль над сайтом.
Префикс базы данных лучше изменить. Это можно сделать с помощью плагинов или вручную.
- Как изменить префикс базы данных
Измените страницу авторизации
По умолчанию страница авторизации находится по адресу wp-login.php. Хакботы приходят на эту страницу и пытаются подобрать логин и пароль.
Вы можете перенести страницу авторизации на новый адрес. Это уменьшит количество таких атак и снизит нагрузку на сервер.
Перенесите страницу авторизации на новый адрес. Например, /auth или /login.html.
- 2 Способа изменить адрес страницы авторизации без плагина
- 5 Плагинов для изменения страницы авторизации
Отключите доступ к папкам сайта
Хакеры используют доступ к папкам сайта для того чтобы выяснить, есть ли на сайте файлы с известными уязвимостями, описание которых находится в открытом доступе. Если они найдут такие файлы, они могут попасть на сайт.
Кроме этого, просмотр файлов и папок используется для копирования файлов, для выяснения структуры сайта и другой информации. Доступ к папкам лучше отключить.
Зайдите на сайт через FTP или через Менеджер файлов на хостинге и найдите файл .htaccess в корневой папке сайта. Файл может быть скрытым, поэтому включите в настройках отображение скрытых файлов.
Показывать скрытые файлы в FilezillaДобавьте этот код в самом низу .htaccess:
Сохраните файл, загрузите обратно на сайт.
Отключите XML-RPC
XML-RPC стал включен по умолчанию в версии 3.5 для соединения Вордпресс с веб и мобильными приложениями. Этот шлюз используется для подключения к сайту мобильного приложения, используется для трекбеков и пингбеков и для плагина Jetpack.
К файлу xmlrpc.php приходят боты и пробуют подобрать логин и пароль. Они используют функцию system.multicall, чтобы попробовать несколько тысяч паролей в нескольких десятках запросов.
Эти запросы нагружают сервер.
Если вы не используете XML-RPC, его лучше отключить. Существует 3 способа отключить XML-RPC в Вордпресс. Лучше всего его отключить в файле .htaccess, потому что это наименее ресурсозатратный способ.
- Как правильно отключить XML-RPC
Настройте автоматический логаут неактивных пользователей
Залогиненные пользователи могут отойти от компьютера и оставить свой аккаунт открытым, это может создать угрозу безопасности. Хакер может перехватить сессию, сменить пароли и редактировать аккаунт.
Поэтому многие банки и финансовые организации автоматически отключают неактивных пользователей. Вы можете настроить такую же функцию на вашем сайте.
Установите плагин Inactive Logout. Настройки плагина находятся в Настройки — Inactive Logout.
Мощный плагин со всеми нужными настройкамиНастройте время, после которого неактивный пользователь будет разлогинен и настройте сообщение, которое показывается посетителю. Можно настроить только предупреждающее сообщение без лог-аута. Если вы хотите сделать разные настройки для разных ролей, переходите на вкладку Advanced Management.
Добавьте дополнительные вопросы на странице авторизации
Добавьте дополнительные вопросы на странице авторизации для увеличения безопасности. Установите плагин WP Security Questions.
Вы можете использовать стандартные вопросы, или добавить свои собственные вопросы. Можно добавить вопросы на странице Регистрации, Входа и Восстановления пароля.
Очистка зараженного сайта
Согласно исследованию Virusdie, «72% людей, впервые столкнувшихся с проблемами инфицирования стараются разобраться в вопросе самостоятельно и надеются на удачу».
«Около 98% клиентов сервисов безопасности обращаются к профессиональной помощи только когда они уже столкнулись с проблемой. 85% из них хотят получить помощь один раз и не желают снижать риск возможных проблем в будущем. <…> Люди не хотят тратить время на развитие в области безопасности, но и не хотят нанимать экспертов, поскольку это дорого. »
Очистка зараженного сайта может быть долгой и сложной, лучше заранее принять меры предосторожности.
Если вы сделали эти настройки и хотите узнать, что еще можно сделать, читайте
- Безопасность Вордпресс. Подробное описание
- Как настроить мощную защиту сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security
Если вы думаете, что сайт могли взломать, читайте Как проверить безопасность Вордпресс сайта.
Если сайт взломали, переходите в Чек-лист: что делать, если сайт взломали.
Читайте также:
- Минимальная безопасность Вордпресс
- Основные настройки безопасности Вордпресс
- Вход в админку Вордпресс
Надеюсь, статья была полезна. Оставляйте комментарии.
Как защитить сайт на WordPress от взлома.
Участились попытки взломов сайтов на WordPess движке, самые распространенные:
Взлом файлов плагинов и инъекция вредоносного кода в файлы сайта
Подбор паролей (Брутфорс) к wp-login. php
другие типы взломов
В связи с этим мы написали инструкцию по защите блога, рекомендациями из которой смогут воспользоваться даже новички.
Всего 6 пунктов, выполнив которые за 5-10 минут вы значительно обезопасите блог.
Плагины которые понадобятся всего 3:
Rename wp-login.php
Limit Login Attempts
Antivirus (можно установить сразу в случае установки WordPress из автоустановщика)
Как установить плагин в WordPress?
Очень просто! Заходим в админку своего блока в раздел «Плагины-Добавить», вводим в строке поиска название плагина. Устанавливаем плагин и активируем:
1. Меняем WP-login.php на что-то своё
Все знают, чтобы зайти в панель администратора WordPress, все то надо в адресе сайта добавить wp-login.php Плагин под названием «Rename wp-login.php» позволяет переименовать файл «wp-login.php» в любой другой. Переименование файла позволит в какой то мере защитить блог от стандартных массовых взломов, вредоносные боты не смогут получить доступ по стандартному пути.
2. Выберите надежный пароль
Многие новички ставят простые цифровые пароли, которые взламываются в течении 5-10 минут! Наш совет устанавливайте пароль со следующим условием:
— Длина не менее 8 символов
— Используйте в пароле обязательно прописные и строчные буквы, спецсимволы и цифры!
Рекомендуем меняйте пароль не реже одного раза в 3 месяца!
3. Никогда не используйте имя пользователя «admin»
Никогда не создавайте пользователей с именем «admin» «root» «admininstrator». Создайте пользователя с административными правами с любым другим именем! Чем нестандартней будет имя тем сложней будет его подобрать.
4. Ограничение попыток для входа в WP-login
Злоумышленники часто используют перебор паролей для попытки проникнуть в админку сайта, в случае не выполнения 3-х выше указанных рекомендаций взломать сайт не составит большого труда. Попытки взлома будут вести к нагрузке на аккаунт хостинга, а большая нагрузка на сайт может вызвать замедление в работе или даже ошибки на сайте.
Поэтому нужно сделать ограничение на количество попыток входа в систему. Сделать это можно с помощью плагина Limit Login Attempts. В нем можно ограничить количество попыток на ввод не правильных данные после исчерпания который IP пользователя блокируется на определенное время.
Таким образом у вас будет вполне хорошая защита wordpress на хостинге.
5. WordPress защита от вирусов
Также рекомендуем установить плагин Antivirus для WordPress защищающий блог от эксплойтов и спам инъекций. Особенность этого плагина является ручное тестирование с немедленным результатом зараженных файлов, а также автоматическая проверка ежедневно с уведомлением по электронной почте.
6. Обновление WordPress и плагинов
Всегда следите за обновлениями для WordPress, также не забывайте обновлять плагины.
Для обновления WordPress плагинов и тем нужно зайти в меню «Консоль-Обновления»
Рекомендуем WordPress хостинг!
15 лучших способов защитить сайт WordPress
Безопасен ли ваш сайт WordPress?
Защищены ли пароли, кредитные карты и личные данные ваших клиентов и посетителей от растущего числа кибератак?
Хакеры стараются изо всех сил, и вы должны еще больше защитить свой веб-сайт.
В этой статье вы узнаете, почему важна безопасность и что вы можете сделать, чтобы защитить свой веб-сайт WordPress.
Почему важна безопасность WordPress
В первой половине 2021 года было заблокировано более 86 миллиардов попыток взлома паролей, и, по оценкам, каждый день взламывается в среднем 30 000 новых веб-сайтов.
Хакеры и различные вредоносные программы неустанно пытаются получить доступ к веб-сайтам и их конфиденциальным данным.
Результат?
В настоящее время мы наблюдаем беспрецедентное количество кибератак.
Эта проблема касается компаний всех размеров, включая вашу.
Фактически, 43% онлайн-атак в настоящее время нацелены на малый бизнес, и только 14% этих предприятий готовы защищаться.
Многие хакеры нацелены на крупные компании, чтобы получить большую отдачу.
Тем не менее, малый и средний бизнес представляет собой более легкую цель для хакеров из-за отсутствия у них ресурсов и опыта в области безопасности.
Атаки всегда неожиданны. Трудно быстро оправиться от одного из них, если вы не следите за безопасностью WordPress.
К счастью, существует множество способов защитить свой веб-сайт WordPress.
Начните с этих простых основ безопасности
При настройке безопасности вашего сайта WordPress есть несколько основных вещей, которые вы можете сделать, чтобы усилить свою защиту.
Вот некоторые из первых вещей, которые вы должны реализовать, чтобы защитить свой веб-сайт.
1. Внедрение SSL-сертификатов
Сертификаты Secure Sockets Layer (SSL) — это отраслевой стандарт, используемый миллионами веб-сайтов для защиты онлайн-транзакций со своими клиентами.
Его получение должно стать одним из первых шагов для защиты вашего веб-сайта.
SSL-сертификат можно купить, но большинство хостинг-провайдеров предлагают его бесплатно.
Затем используйте плагин для принудительного перенаправления HTTPS, который активирует зашифрованное соединение.
Эта стандартная технология устанавливает зашифрованное соединение между веб-сервером (хостом) и веб-браузером (клиентом).
Добавив это зашифрованное соединение, вы можете гарантировать, что все данные, передаваемые между ними, останутся конфиденциальными и внутренними.
2. Требуйте и используйте надежные пароли
Наряду с получением SSL-сертификата первое, что вы можете сделать для защиты своего сайта, — это использовать и требовать надежные пароли для всех ваших входов в систему.
Может возникнуть соблазн использовать или повторно использовать знакомый или легко запоминающийся пароль, но это подвергает риску вас, ваших пользователей и ваш веб-сайт.
Повышение надежности и безопасности пароля снижает вероятность взлома.
Чем надежнее ваш пароль, тем меньше вероятность того, что вы станете жертвой кибератаки.
При создании пароля необходимо следовать некоторым общим рекомендациям.
Если вы не уверены, что используете достаточно надежный пароль, проверьте надежность с помощью бесплатного инструмента, такого как эта полезная программа проверки надежности пароля.
3. Установите подключаемый модуль безопасности
Плагины WordPress — отличный способ быстро добавить полезные функции на ваш веб-сайт, и существует несколько отличных доступных подключаемых модулей безопасности.
Установка подключаемого модуля безопасности может добавить дополнительные уровни защиты вашему веб-сайту без особых усилий.
Для начала ознакомьтесь со списком рекомендуемых плагинов безопасности WordPress.
- Безопасность Wordfence — сканирование брандмауэра и вредоносных программ
- Все в одном WP Security & Firewall
- Безопасность iThemes
- Jetpack — безопасность, резервное копирование, скорость и рост WP
4. Обновляйте основные файлы WordPress
Постоянное обновление WordPress имеет решающее значение для обеспечения безопасности и стабильности вашего сайта.
Каждый раз, когда сообщается об уязвимости в системе безопасности WordPress, основная команда начинает работу над выпуском обновления, устраняющего проблему.
Если вы не обновляете свой веб-сайт WordPress, то, скорее всего, вы используете версию WordPress с известными уязвимостями.
По состоянию на 2021 год в Интернете насчитывается около 1,3 миллиарда веб-сайтов, из которых более 455 миллионов используют WordPress.
Из-за своей популярности WordPress является главной мишенью для хакеров, распространителей вредоносного кода и похитителей данных.
Не подвергайте себя атакам, используя старую версию WordPress. Включите автообновление и забудьте об этом.
Если вам нужен еще более простой способ обработки обновлений, рассмотрите решение для управляемого хостинга WordPress со встроенными автоматическими обновлениями. , но есть и другие области, в которых WordPress уязвим и которые обновления ядра могут не защитить, например, ваши темы и плагины.
Для начала устанавливайте плагины и темы только от проверенных разработчиков.
Если плагин или тема не были разработаны надежным источником, вам, вероятно, будет безопаснее не использовать их.
Кроме того, убедитесь, что вы обновили свои плагины и темы WordPress.
Как и в случае с устаревшей версией WordPress, использование устаревших плагинов и тем делает ваш сайт более уязвимым для атак.
6. Запускайте частые резервные копии
Один из способов защитить ваш веб-сайт WordPress — всегда иметь текущую резервную копию вашего сайта и важных файлов.
Последнее, что вам нужно, это чтобы что-то случилось с вашим сайтом, а у вас нет резервной копии.
Сделайте резервную копию вашего сайта, и делайте это часто.
Таким образом, если что-то случится с вашим веб-сайтом, вы сможете быстро восстановить его предыдущую версию и вернуться к работе быстрее.
Промежуточные меры безопасности для дополнительной защиты
Если вы выполнили все основные действия, но все еще хотите сделать больше для защиты своего веб-сайта, есть еще несколько дополнительных шагов, которые вы можете предпринять для повышения своей безопасности.
7. Никогда не используйте имя пользователя «Администратор»
Поскольку «админ» является настолько распространенным именем пользователя, его легко угадать, и мошенникам намного проще обманом заставить людей выдать свои учетные данные.
Никогда не используйте имя пользователя «admin».
Это делает вас уязвимыми для атак методом грубой силы и мошенничества с использованием социальной инженерии.
Подобно надежному паролю, использование уникального имени пользователя для входа в систему является хорошей идеей, поскольку хакерам будет намного сложнее взломать вашу регистрационную информацию.
Если вы в настоящее время используете имя пользователя «admin», измените свое имя пользователя администратора WordPress.
8. Скрыть страницу входа в WP-Admin
По умолчанию доступ к большинству страниц входа в WordPress можно получить, добавив «/wp-admin» или «/wp-login.php» в конце URL-адреса.
Это позволяет хакерам легко начать попытки проникнуть на ваш сайт.
После того, как хакер или мошенник идентифицировал вашу страницу входа, он может попытаться угадать ваше имя пользователя и пароль, чтобы получить доступ к панели администратора.
Скрытие страницы входа в WordPress — хороший способ сделать вас менее легкой мишенью.
Защитите свои учетные данные, скрыв страницу входа администратора WordPress с помощью плагина, такого как WPS Hide Login.
9. Отключить XML-RPC
WordPress использует реализацию протокола XML-RPC для расширения функциональности программных клиентов.
Этот протокол удаленного вызова процедур позволяет выполнять команды с возвращаемыми данными в формате XML .
Большинству пользователей не нужна функциональность WordPress XML-RPC, и это одна из самых распространенных уязвимостей, которая делает пользователей уязвимыми для эксплойтов.
Поэтому рекомендуется отключить его.
Благодаря плагину Wordfence Security сделать это очень просто.
10. Защитите файл wp-config.php
Ваш файл WordPress wp-config.php содержит очень важную информацию о вашей установке WordPress, включая ваши ключи безопасности WordPress и сведения о подключении к базе данных WordPress, именно поэтому вы не хотите, чтобы он был легко доступен.
Вы можете «защитить» свой веб-сайт, защитив файл wp-config.php через файл .htaccess.
По сути, это означает, что вы даете своему сайту дополнительную защиту от хакеров.
11. Запустите инструмент сканирования безопасности
Иногда на вашем веб-сайте WordPress может быть уязвимость, о существовании которой вы не подозревали.
Целесообразно использовать инструменты, которые могут найти уязвимости и исправить их за вас.
Плагин WPScan сканирует известные уязвимости в основных файлах WordPress, плагинах и темах.
Плагин также уведомляет вас по электронной почте при обнаружении новых уязвимостей безопасности.
Усильте безопасность на стороне сервера
К настоящему моменту вы предприняли все вышеперечисленные меры для защиты своего веб-сайта.
Тем не менее, вы все равно можете узнать, можете ли вы сделать что-то еще, чтобы сделать его максимально безопасным.
Остальные действия, которые вы можете предпринять для усиления своей безопасности, должны быть выполнены на стороне сервера вашего веб-сайта.
12. Ищите хостинговую компанию, которая этим занимается
Когда вы ищете хостинговую компанию, вы хотите найти ту, которая будет быстрой, надежной, безопасной и будет поддерживать вас отличным обслуживанием клиентов.
Это означает, что они должны иметь хорошие, мощные ресурсы, поддерживать время безотказной работы не менее 99,5% и использовать тактику безопасности на уровне сервера.
Если организатор не может отметить эти основные поля, он не стоит вашего времени и денег.
Одна из лучших вещей, которую вы можете сделать, чтобы защитить свой сайт с самого начала, — это выбрать правильную хостинговую компанию для размещения вашего веб-сайта WordPress.
13. Используйте последнюю версию PHP
Как и старые версии WordPress, устаревшие версии PHP более небезопасны для использования.
Если вы не используете последнюю версию PHP, обновите версию PHP, чтобы защитить себя от атак.
14. Размещение на полностью изолированном сервере
Частные облачные серверы имеют множество преимуществ.
Одним из таких преимуществ является повышение безопасности.
Все облачные среды требуют надежного сочетания антивирусной защиты и брандмауэра, но частное облако работает на определенных физических машинах, что упрощает обеспечение физической безопасности.
Помимо безопасности, полностью изолированный сервер имеет и другие преимущества, такие как очень высокое время безотказной работы и простая интеграция управляемого хостинга.
Ищете идеальную облачную среду для своего сайта WordPress?
Не ищите дальше.
С управляемым хостингом WordPress от InMotion Hosting вы получаете миграцию с сервера на сервер, более безопасное обновление, оперативное исправление безопасности и лучшую в отрасли скорость — все в одном.
15.
Используйте брандмауэр веб-приложенийПоследнее, что вы можете сделать, чтобы добавить дополнительные меры безопасности на свой веб-сайт WordPress, — это использовать брандмауэр веб-приложений (WAF) .
A WAF обычно представляет собой облачную систему безопасности, которая предлагает еще один уровень защиты вашего сайта.
Думайте об этом как о шлюзе для вашего сайта.
Он блокирует все попытки взлома и отфильтровывает другие типы вредоносного трафика, такие как распределенные атаки типа «отказ в обслуживании» (DDoS) или спамеры.
WAF обычно требуют ежемесячной абонентской платы, но добавление одного стоит затрат, если вы делаете надбавку к безопасности своего веб-сайта WordPress.
Убедитесь, что ваш веб-сайт и бизнес безопасны и надежны
Если ваш веб-сайт не защищен, вы можете оставить себя открытым для мира боли.
К счастью, для обеспечения безопасности сайта WordPress не требуется слишком много технических знаний, если у вас есть правильные инструменты и тарифный план хостинга, соответствующие вашим потребностям.
Вместо того, чтобы ждать, чтобы реагировать на угрозы после их возникновения, вы должны заранее защитить свой веб-сайт, чтобы предотвратить проблемы с безопасностью.
Таким образом, если кто-то нацелится на ваш веб-сайт, вы будете готовы снизить риск и заниматься своими делами, как обычно, вместо того, чтобы искать последнюю резервную копию.
Получите хостинг WordPress, который является безопасным и полностью изолированным, с бесплатным SSL, выделенным IP-адресом, бесплатными резервными копиями, автоматическими обновлениями WordPress, защитой от DDoS и включенным WAF.
Узнайте больше о том, как управляемый хостинг WordPress может помочь защитить ваш веб-сайт и ценные данные от хакеров и мошенников.
Сравнение 6 лучших плагинов брандмауэра WordPress (WAF)
Вы ищете лучший плагин брандмауэра WordPress для своего сайта? Плагины брандмауэра WordPress защищают ваш сайт от взлома, грубой силы и распределенных атак типа «отказ в обслуживании» (DDoS). В этой статье мы сравним лучшие плагины брандмауэра WordPress и их преимущества друг против друга.
Что такое плагин брандмауэра WordPress?
Плагин брандмауэра WordPress (также известный как брандмауэр веб-приложений или WAF) действует как щит между вашим сайтом и всем входящим трафиком. Эти брандмауэры веб-приложений отслеживают трафик вашего веб-сайта и блокируют многие распространенные угрозы безопасности до того, как они достигнут вашего сайта WordPress.
Помимо значительного повышения безопасности WordPress, эти брандмауэры веб-приложений часто также ускоряют работу вашего веб-сайта и повышают его производительность.
Существует два распространенных типа подключаемых модулей брандмауэра WordPress.
Брандмауэр веб-сайта на уровне DNS . Эти брандмауэры направляют трафик вашего веб-сайта через свои облачные прокси-серверы. Это позволяет им отправлять только настоящий трафик на ваш веб-сервер.
Брандмауэр уровня приложения . Эти плагины брандмауэра проверяют трафик, как только он достигает вашего сервера, но перед загрузкой большинства скриптов WordPress. Этот метод не так эффективен, как брандмауэр уровня DNS для снижения нагрузки на сервер.
Мы рекомендуем использовать брандмауэр уровня DNS, потому что он исключительно хорошо идентифицирует подлинный трафик веб-сайта и плохие запросы.
Они делают это, отслеживая тысячи веб-сайтов, сравнивая тенденции, ища ботнеты, известные плохие IP-адреса и блокируя трафик на страницы, которые ваши пользователи обычно никогда не запрашивают.
Не говоря уже о том, что брандмауэры веб-сайтов на уровне DNS значительно снижают нагрузку на ваш хостинг-сервер WordPress, что гарантирует, что ваш веб-сайт не выйдет из строя.
Сказав это, давайте взглянем на лучшие плагины брандмауэра WordPress, которые вы можете использовать для защиты своего сайта.
1. Sucuri
Sucuri — ведущая компания по обеспечению безопасности веб-сайтов для WordPress. Они предлагают брандмауэр уровня DNS, предотвращение вторжений и грубой силы, а также услуги по удалению вредоносных программ и черных списков.
Весь трафик вашего веб-сайта проходит через их облачные прокси-серверы, где сканируется каждый запрос. Легальный трафик разрешен, а все вредоносные запросы блокируются.
Sucuri также повышает производительность вашего веб-сайта за счет снижения нагрузки на сервер за счет оптимизации кэширования, ускорения веб-сайта и Anycast CDN (все включено). Он защищает ваш сайт от SQL-инъекций, XSS, RCE, RFU и всех известных атак.
Настроить их WAF довольно просто. Вам нужно будет добавить запись DNS A в свой домен и указать их на облачный прокси-сервер Sucuri вместо вашего веб-сайта.
В WPBeginner мы используем Sucuri для повышения безопасности WordPress. Посмотрите, как Sucuri помогла нам заблокировать 450 000 атак на WordPress за 3 месяца.
Цена: Начиная с 199,99 долларов США в год при оплате за год.
Оценка: A+
2. MaxCDN (StackPath)
MaxCDN (теперь входит в семейство StackPath) является одним из ведущих в отрасли поставщиков брандмауэров для обеспечения безопасности CDN и веб-приложений. Их надежная платформа по умолчанию добавляет защиту от DDoS-атак на уровнях 3 и 4 во всех планах.
StackPath WAF добавляет защиту DDoS уровня 7 к доменам, находящимся под его защитой. Подобно Sucuri, это брандмауэр уровня DNS, который не только помогает вам ускорить работу вашего веб-сайта, но и защищает вас от вредоносных атак.
StackPath не предлагает брандмауэр на уровне приложений, потому что у них нет плагина WordPress, поэтому они занимают второе место в нашем списке после Sucuri. Однако их планы более доступны и многофункциональны для малого бизнеса по сравнению с Cloudflare (наш поставщик №3).
Цена: Они предлагают бесплатную пробную версию на 1 месяц, после чего цены начинаются с 20 долларов в месяц, что достаточно для большинства веб-сайтов WordPress для малого бизнеса.
Сорт: А
3. Cloudflare
Cloudflare наиболее известен своим бесплатным сервисом CDN, который также включает базовую защиту от DDoS. Однако их бесплатный план не включает брандмауэр приложения для веб-сайта. Для WAF вам нужно будет подписаться на их план Pro.
Cloudflare также является брандмауэром уровня DNS, что означает, что ваш трафик проходит через их сеть. Это повышает производительность вашего сайта и сокращает время простоя в случае необычно высокого трафика.
Тарифный план Pro включает только защиту от DDoS-атак от атак третьего уровня. Для защиты от продвинутых DDoS-атак уровня 5 и 7 вам понадобится как минимум их бизнес-план.
У Cloudflare есть свои плюсы, в том числе CDN, кэширование и большая сеть серверов. Недостатком является то, что они не предлагают проверки безопасности на уровне приложений, защиту от вредоносных программ, удаление черного списка, уведомления и предупреждения безопасности. Они также не отслеживают ваш сайт WordPress на предмет изменений файлов и других распространенных угроз безопасности WordPress.
Подробнее см. в нашем сравнении Sucuri и Cloudflare.
Цена: Начиная с 20 долларов США в месяц для плана Pro и 200 долларов США в месяц для плана Business.
Класс: A-
4. Безопасность Wordfence
Wordfence — популярный плагин безопасности WordPress со встроенным брандмауэром веб-приложений. Он отслеживает ваш сайт WordPress на наличие вредоносных программ, изменений файлов, SQL-инъекций и многого другого. Он также защищает ваш сайт от DDoS-атак и перебора.
Wordfence — это брандмауэр уровня приложений, что означает, что брандмауэр срабатывает на вашем сервере, и плохой трафик блокируется после того, как он достигает вашего сервера, но до загрузки вашего веб-сайта.
Это не самый эффективный способ блокировать атаки. Большое количество плохих запросов по-прежнему будет увеличивать нагрузку на ваш сервер. Поскольку это брандмауэр уровня приложений, Wordfence не поставляется с сетью доставки контента (CDN).
Wordfence поставляется с проверками безопасности по запросу, а также плановыми проверками. Это также позволяет вам вручную отслеживать трафик и блокировать подозрительные IP-адреса прямо из вашей области администрирования WordPress.
Чтобы узнать больше о Wordfence, ознакомьтесь с нашим руководством по установке и настройке безопасности Wordfence в WordPress.
Чтобы получить их сложный брандмауэр прикладного уровня, вам действительно нужна версия Premium.
Цены Базовый плагин бесплатный. Цены на премиум-версию начинаются от 99 долларов США в год за лицензию на один сайт.
Оценка: B+
5. Jetpack
Jetpack — популярный плагин WordPress, который поставляется с набором функций, включая безопасность WordPress и резервное копирование. Подобно WordFence, Jetpack — это брандмауэр на уровне приложений, что означает, что плохой трафик блокируется после того, как он достигает вашего хостинг-сервера WordPress.
Их бесплатный план предлагает очень простую защиту от грубой силы и мониторинг простоев. Вам нужно будет перейти хотя бы на персональный план, чтобы разблокировать ежедневное автоматическое резервное копирование и автоматическую фильтрацию спама.
Однако, чтобы по-настоящему разблокировать автоматическое сканирование вредоносных программ и исправления безопасности, которые предлагают такие поставщики, как Sucuri, вы должны быть на профессиональном плане Jetpack.
Поскольку Jetpack предлагает большой набор функций, цена делает его очень доступным вариантом. Однако для настоящего брандмауэра безопасности вам лучше использовать Sucuri или MaxCDN.
Цена: Базовый плагин бесплатный. Персональный план стоит 39 долларов в год, а профессиональный план — 299 долларов в год.
Класс: B
6. BulletProof Security
BulletProof security — еще один популярный плагин безопасности WordPress. Он поставляется со встроенным брандмауэром на уровне приложений, защитой входа в систему, резервным копированием базы данных, режимом обслуживания и несколькими настройками безопасности для защиты вашего веб-сайта.
Безопасность BulletProof не предлагает очень хорошего пользовательского опыта, и у многих новичков могут возникнуть трудности с пониманием того, что делать. Он поставляется с мастером установки, который автоматически обновляет ваши файлы WordPress .htaccess и включает защиту брандмауэра.
Не имеет сканера файлов для проверки наличия вредоносного кода на вашем веб-сайте. Платная версия плагина предлагает дополнительные функции для отслеживания вторжений и вредоносных файлов в папку загрузки WordPress.
Цена: Бесплатный базовый плагин. Версия Pro стоит 59,95 долларов США за неограниченное количество сайтов и пожизненную поддержку.
Оценка: C
Заключение
После тщательного сравнения всех этих популярных плагинов брандмауэра WordPress мы пришли к выводу, что Sucuri, несомненно, является лучшей защитой брандмауэра, которую вы можете получить для своего сайта WordPress.
Это лучший брандмауэр уровня DNS с наиболее полным набором функций безопасности, который обеспечит вам полное спокойствие.