Как защитить сайт на WordPress
WordPress является самой популярной в мире системой управления контентом. Поэтому безопасность этой CMS является темой большой важности для миллионов вебмастеров. Каждую неделю Google помещает в чёрный список около 20 тысяч сайтов из-за наличия вредоносных скриптов и около 50 тысяч ресурсов из-за фишинга. Если вы серьёзно относитесь к своему сайту на WordPress, то вам следует обратить внимание на рекомендации по безопасности этой системы управления. В этом обзоре я поделюсь основными советами, которые помогут вам защитить ваш сайт на WordPress от хакеров и вредоносных программ.
Регулярно обновляйте WordPress и плагины до последней версии
WordPress - это программное обеспечение с открытым исходным кодом, которое регулярно обновляется. В 2018 году состоялся релиз 5-й версии CMS. По умолчанию WordPress автоматически устанавливает незначительные обновления, но для основных выпусков необходимо вручную запустить обновление из админ-панели.
WordPress также поставляется с тысячами тем и плагинов, которые расширяют функционал сайта. Эти плагины и темы поддерживаются сторонними разработчиками, которые также регулярно выпускают обновления. Эти обновления имеют решающее значение для безопасности и стабильности вашего сайта. Вы должны убедиться, что ядро WordPress вашего сайта, плагины и тема обновлены до свежей версии.
Перенесите ваш сайт на надёжный хостинг
Хостинг играет очень важную роль в безопасности вашего сайта на WordPress. Хороший провайдер виртуального хостинга, такой как Beget или Timeweb, принимает дополнительные меры для защиты своих серверов от распространённых угроз. Работающий на сервере антивирусный сканер автоматически проверяет сайты на вирусы и высылает уведомления при обнаружении в файлах подозрительного кода. Ежедневно выполняется резервное копирование.
На виртуальном хостинге вы делитесь ресурсами сервера со многими другими клиентами. Это открывает риск заражения между сайтами, когда хакер может использовать соседний сайт для атаки на ваш. На хороших хостингах все сайты изолированы и взлом одного не повлечёт создание уязвимости для другого.
Установите плагин безопасности для WordPress
Помимо резервного копирования нужно настроить систему аудита и мониторинга, которая отслеживает всё, что происходит на вашем сайте. Это включает мониторинг целостности файлов, неудачные попытки входа в админ-панель, сканирование на наличие вредоносного кода и т.д.
К счастью, за всем этим можно следить автоматически с помощью бесплатного плагина безопасности Wordfence Security - Firewall & Malware Scan. Это самый популярный плагин в своей категории. Он установлен более чем на 2 млн сайтах, регулярно обновляется и совместим со всеми популярными плагинами.
Возможности плагина Wordfence Security
- Брандмауэр веб-приложений выявляет и блокирует вредоносный трафик.
- Защита от взлома путём ограничения попыток входа в систему, применения надёжных паролей и других мер безопасности входа в систему.
- Интегрированный сканер вредоносных программ блокирует запросы, содержащие вредоносный код или контент.
- Сканер вредоносных программ проверяет основные файлы, темы и плагины на наличие вредоносных программ, сомнительных URL-адресов, бэкдоров, SEO-спама, вредоносных перенаправлений и инъекций кода.
- Проверка сайта на наличие известных уязвимостей и предупреждение о любых проблемах.
- Проверка безопасности содержимого, сканирование кода файлов, уведомление о наличии опасных URL-адресов и подозрительного содержимого.
- Live Traffic отслеживание посещений и попыток взлома в режиме реального времени; включая происхождение, IP-адрес атакующего, время атаки и время, проведённое на вашем сайте.
Установите Wordfence Security на свой сайт и вы наверняка будете удивлены количеством попыток его взлома, о которых ранее не могли и подумать.
Ограничьте доступ в админ-панель по IP-адресу
Подбор пароля администратора - очень распространённый способ взлома. Но есть очень простой и при этом очень действенный способ не пустить злоумышленника в админку вашего WordPress-сайта - разрешить доступ в неё только с определённых IP-адресов. На хостинге зайдите в корневую папку вашего сайта, откройте файл .htaccess и добавьте в него следующие строки:
<Files wp-login.php>
Order Deny,Allow
Deny from all
allow from 127.0.0.1
</Files>
Вместо 127.0.0.1 укажите свой IP-адрес или подсеть (пример - 127.0.0. - то есть нужно убрать цифры после последней "точки" в IP-адресе). Узнать ваш IP можно, например, на 2ip.ru. Теперь зайти в админ-панель вашего WordPress-сайта можно будет только с вашего компьютера/провайдера.
Комментарии