Минимальная безопасность Вордпресс

Минимальные параметра безопасности WordPress
По данным Форбс, в 2013 году ежедневно взламывалось 30.000 веб-сайтов. К середине 2018, согласно Internet Live Stats, число увеличилось до 100.000 веб-сайтов в день. Хакеры создают ботов, которые обходят сотни тысяч веб-сайтов в час и пытаются их взломать по одним и тем же алгоритмам.

Согласно исследованию Sucuri, основной целью данных ботов являются веб-сайты на WordPress. Хакеры пишут ботов для атаки на WordPress, так как WordPress — популярная система, в данный момент на нем работает 36% всех веб-сайтов в Интернете.

Платформы взломанных веб-сайтов - 2017
Исследование Sucuri: Платформы взломанных веб-сайтов

Хотя популярность WordPress привлекает большое внимание хакеров, благодаря той же популярности большинство уязимостей быстро устраняется или имеют стандартное решение.

В данной статье вы узнаете самые основные базовые параметра безопасности WordPress, которые должны быть сделаны на любом веб-сайте.

Восстанавливать веб-сайт после взлома долгая и нудная работа, лучше примените данные базовые параметра, которые защитят веб-сайт от большинства попыток взлома.

В данной статье мы рассмотрим:

  1. Регулярно обновляйте ПО
  2. Используйте сложные логины и пароли
  3. Используйте только проверенные темы и плагины
  4. Установите плагин безопасности
  5. Настройте бэкап веб-сайта
  6. Установите плагин защиты от спама
  7. Отключите галочку «Любой может зарегистрироваться»
  8. Используйте надежный веб-хостинг

1. Регулярно обновляйте ПО

Новые версии WordPress выходят регулярно и содержат обновления безопасности, исправления багов и новые возможности. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.

Если вы пропускаете обновление, на веб-сайте не будет последних исправлений безопасности, то есть веб-сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности метод взлома веб-сайта.

Хакбот придет на веб-сайт и запросит версию ПО. Если в его базе данных найдется уязвимость данной версии ПО, он его взломает по известной методике.

Делайте ручное обновление WordPress, темы и плагинов в разделе КонсольОбновления.

Или настройте автоматическое полное или выборочное обновление софта:

  • Ручное и Автоматическое обновление WordPress, тем, плагинов и переводов
  • Почему у вас должна быть последняя версия WordPress

2. Используйте сложные логины и пароли

Если вы используете стандартный логин, к примеру, Admin, Administrator или имя домена, и простые пароли( 10.000 самых популярных паролей), то хакеры быстро взломают веб-сайт. Подбор стандартных логина и пароля — второй по популярности метод взлома веб-сайта.

После взлома хакер зайдет на веб-сайт, создаст новый аккаунт администратора, будет публиковать содержимое, ссылки на иные веб-сайты, начнет рассылку спама по или базам, и так далее. Он может удалить аккаунт старого администратора.

Создайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.

Генератор паролей в WordPress: ПосетителиВаш профильУправление учетной записью

Генератор паролей WordPress

Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, к примеру, LastPass.

Или вы можете создать пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.

Используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и веб-хостинга.

  • Как настроить имя посетителя Admin в WordPress

3. Используйте только проверенные темы и плагины

Перед добавлением в репозитарий темы и плагины проверяет команда добровольцев. Они могут пропустить не хороший код, который может замедлять веб-сайт или вызывать проблемы с безопасностью.

Минимальная безопасность WordPress

Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.

Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а далее на веб-сайт.

Возможен и обратный вариант: к примеру, посетитель оставил отзыв с одной звездой, так как в плагине не было какой-то возможности, хотя в описании к плагину подробно написано, какие возможности в нем есть.

Так что оценка ниже 5 звезд не обязательно означает плохой софт.

Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим числом отзывов и большим числом установок. Для плагинов минимум 1.000, ещё лучше 10.000 установок.

Удалите все неиспользуемые темы и плагины. Большое число кода повышает вероятность найти в нем уязвимость.

4. Установите плагин безопасности

Одна из первых параметров, которая включается на больших плагинах безопасности — ограничение числа попыток авторизации на веб-сайте. Это простой и эффективный метод усилить безопасность веб-сайта. Есть плагины, которые выполняют только эту работу: Limit Login Attempts, Limit Login Attempts Reloaded, Login LockDown.

Плагин ограничения попыток авторизации на веб-сайте

Разрешено 4 попытки авторизации. После 4 неудачных попыток запрет авторизации на 23 минуты. После 4 локаутов запрет на авторизацию в течение 24 часов.

Все плагины настраиваются одинаково. Оставьте параметра по умолчанию, или замените на ваши.

Второй плагин Anti-Malware Security and Brute-Force Firewall настраивать не необходимо, просто установите и активируйте. Все опции включены:

Плагин Anti-Malware Security and Brute-Force Firewall

Последняя функцию имеет защиту от brute-force атак, то есть атак с перебором паролей. Она становится доступна после доната.Плагин ограничения попыток авторизации блокирует доступ к веб-сайту, если было пару неудачных попыток входа на веб-сайт. Этот плагин делает то же самое, но кроме этого блокирует IP, которые используют слишком много ресурсов сервера.

Если вы сделаете донат и включите эту опцию, первый плагин будет не нужен.

Это самый простой и один из самых эффективных плагинов защиты. Если вы хотели бы использовать более комплексный плагин — пока пропустите этот пункт.

Сканер веб-сайта

Чтобы активировать Сканер веб-сайта, зарегистрируйтесь в правом боксе Updates & Registration.

Сканер веб-сайта плагина Anti-Malware Security and Brute-Force Firewall

Сканируйте веб-сайт с частотой чуть меньше, чем частота бэкапа. Если сканер что-то найдет и не сможет вылечить, вы сможете без проблем восстановить веб-сайт из бэкапа.

5. Настройте бэкап веб-сайта

Делайте бэкап веб-сайта и базы данных, чтобы иметь функция восстановить веб-сайт из предыдущей копии в случае, если что-то пойдет не так.

  • Бэкап WordPress — подробная инструкция.

Вы можете без проблем изменить бэкап на веб-хостинге, бэкап на е-мейл или бэкап на облако. Если вы думаете, что е-мейл или веб-хостинг могут взломать, настройте пару бэкапов.

  • Бесплатные плагины: All-in-One WP Migration(ручной бэкап и восстановление), UpdraftPlus(автоматический бэкап на облако).
  • Платные плагины: BackWPup, Duplicator Pro, BackupBuddy, VaultPress, BlogVault.

6. Установите плагин защиты от спама

Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для борьбы со спамом. Плагин настраивать не необходимо, просто установите и активируйте.

7. Отключите галочку Любой может зарегистрироваться

Проверьте чекбокс «Любой может зарегистрироваться» в разделе ПараметраОбщиеЧленство

Минимальная безопасность WordPress

8. Используйте надежный веб-хостинг

Ненадежный веб-хостинг хакер может взломать и добраться до веб-сайта. Используйте надежные веб-хостинги из Топа веб-хостингов: Hosting-ninja.ru, Hostdb.ru.

Этот веб-сайт находится на веб-хостинге Beget. Обзор веб-хостинга.

Заключение

Это минимально необходимый уровень безопасности веб-сайта на WordPress, которые может применить любой чайник. Данные параметра защитят веб-сайт от самых распространенных угроз. Если вы искали минимальный уровень безопасности WordPress, то вы его нашли.

С данными минимальными параметрами вы наберете 66% по версии плагина Security Ninja. Это хороший результат.

Минимальные параметра безопасности WordPress
Тесты на уязвимости веб-сайта Security Ninja
  • Как провести такой тест

Если вы планируете знать, какие ещё параметра можно без труда сделать для укрепления безопасности веб-сайта, переходите в Основные параметра безопасности WordPress.

Читайте также:

  1. Безопасность WordPress для новичков
  2. Как проверить безопасность WordPress веб-сайта

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *