Усиление мер безопасности в WordPress, Часть 2

В предыдущей части данной мини-серии мы рассмотрели некоторые советы и приемы, которые повышают уровень безопасности WordPress проектов. В данной части мы представим одни из лучших WordPress плагинов по безопасности и поделимся несколькими жизненно важными советами.

Смотрите также:

  • Усиление мер безопасности в WordPress, Часть 1
  • Угрозы безопасности WordPress, на которые следует обратить внимание
  • Как защитить WordPress веб-сайт с помощью Sucuri
  • Новый плагин для защиты WordPress — iThemes Security
  • Журналы аудита — недостающий компонент в стратегии безопасности WordPress

Давайте приступим!

Усиление мер безопасности в WordPress при помощи плагинов

В данной статье мы расскажем о некоторых вещах, которые спасали наши веб-сайты от хакерских нападений на протяжении многих лет. Очень надеемся, что эта информация окажется полезной и для вас.

Выбор плагина

Существует много различных действительно полезных советов и трюков, которые помогут повысить уровень безопасности веб-сайта, но иногда их будет недостаточно. Манипуляции с.htaccess и wp-config.php файлами, к сожалению, не смогут вас защитить от атак способом «грубой силы»(подборка пароля), вредоносных запросов и т.д. Для решения проблем такого типа вам понадобится плагин по безопасности.

Мы не сможем детально написать обо всех возможных вариантах, но постараемся лаконично описать самые популярные из них.

iThemes Security

Усиление мер безопасности в WordPress, Часть 2

Про iThemes Security(ранее Better WP Security) можно с уверенностью сказать, что это один из лучших бесплатных плагинов по безопасности во всей экосистеме WordPress(разработчики также предоставляют Pro-версию, но честно говоря, у нас никогда не возникала необходимость в обновлении).

Плагин проверяет установку WordPress, ищет слабые места и предоставляет их исправление. Кроме того, там есть пару дополнительных интересных возможностей: бан определенных пользовательских агентов, предотвращение атак «грубой силы», мониторинг файлов на наличие несанкционированных изменений и т.д. В декабре 2014 года мы делали детальный обзор этого плагина, в котором вы можете более подробно познакомиться с данным инструментом.

Wordfence Security

Усиление мер безопасности в WordPress, Часть 2

Wordfence Security — также один из самых популярных бесплатных плагинов с прекрасным рейтингом 4,9 из 5(самый высокий рейтинг среди всех плагинов по безопасности в каталоге WordPress.org). Он предлагает самые разные возможности, начиная от мониторинга и блокирования, заканчивая сканированием и кэшированием(да-да, функцию кэширования тоже есть). Pro-версия предоставляет ещё больше функций, которые помогут сделать веб-сайт просто невероятно защищенным.

All In One WP Security & Firewall

Усиление мер безопасности в WordPress, Часть 2

Это ещё один замечательный плагин с рейтингом 4,9 из 5, но с меньшим числом загрузок. В нем также представлен широкий спектр возможностей и параметров таких как безопасный вход и регистрация, защита файловой системы, firewall функциональность и т.д.

Sucuri Security

Усиление мер безопасности в WordPress, Часть 2

Sucuri — один из самых известных брендов в мире безопасности WordPress, во многом благодаря их первоклассным отчетам о недостатках безопасности в ядре WordPress и популярных плагинах. Они помогли многим разработчикам исправить программы и помогают многим посетитель увеличить уровень защищенности их веб-сайтов с плагином Sucuri Security. Прежде, чем принимать какое-либо решение, обязательно ознакомьтесь с основными возможностями плагина на их странице в WordPress.org. Также можете почитать наш обзор.

Так как это всего лишь часть нашего урока, мы постарались максимально лаконично описать самые популярные плагины. Если вы планируете узнать больше о каждом из них, обязательно переходите на их страницы и проводите ваши собственные исследования, прежде чем принимать какое-либо решение.

Иные советы по безопасности в WordPress

Оптимизация файлов.htaccess и wp-config.php и использование плагинов — это хорошо, но далеко не предел функций. Нам есть куда стремиться, особенно в плане безопасности. Мы надеемся, что следующие советы в конечном итоге помогут вам приобрести на 99,999% защищенный веб-сайт.

Установка SSL на WordPress

Безопасное соединение HTTPS всячески помогает вам приблизиться к желаемому уровню безопасности на WordPress. Соединение будет зашифровано, так что в большинстве случаев подключение к каналам связи будет бесполезным. Для интернет-магазинов подобная вещь будет необходимостью: вы же не хотели бы, чтобы платежная информация покупателей передавалась по незащищенному соединению.

Для того, чтобы приобрести больше информации о SSL в WordPress, обратите внимание на наш урок Как использовать SSL и HTTPS на WordPress.

Двух-факторная аутентификация для учетной записи

Взламывать пароли становится все проще, так что рассчитывать только на них не приходится. К счастью, существуют более надежные способы, которые требуют от посетителя пару видов аутентификации(используется не только в WordPress).

Это работает следующим образом: система запрашивает пароль, после чего высылает запрос на новый «одноразовый» пароль, который приходит через SMS, или присылает ссылку для перехода по электронной почте. Так что, даже если хакер сможет подобрать пароль, он все равно не сможет приобрести доступ к учетной записи.

Два самых популярных плагина для добавления двух-факторной аутентификации в WordPress — Google Authenticator и Clef Two-Factor Authentication. На веб-сайте Envato Tuts+ есть отличный обзор плагина Google Authenticator, который может оказаться полезным для вас.

Выбор хорошего веб-хостинга

К сожалению, если хакер взламывает WordPress веб-сайт, который находится на незащищенном сервере, многие по-прежнему считают, что это вина самой платформы WordPress. Как бы то ни было, выбирая хостинг, обращать внимание на его безопасность — хорошая идея.

Мы не будем рекомендовать какие-либо компании, но можем подсказать, на что следует обращать внимание: хорошая хостинговая компания держит серверное программное обеспечение в актуальном состоянии, отслеживает необычную активность с фаерволом и регулярно делает резервные копии аккаунта, не требуя какую-либо дополнительную плату за это. Самостоятельно проведите исследования и определите, какой веб-хостинг вам подходит лучше всего.

Развивайте в себе правильное мышление

Вы знаете, что FileZilla, один из самых популярных FTP покупателей в мире, хранит учетные данные сервера в незашифрованном файле XML? А знаете, что любой человек в беспроводной сети может подключиться к HTTP-соединениям? Или что большинство провайдеров VPN услуг должны передавать информацию органам разведки, когда те нуждаются в какой-то информации о вас?

Немного паранойи нам не помешает. Так что, даже если вы установите лучшие плагины безопасности и оптимизируете файлы.htaccess и wp-config.php, но будете рассказывать о домашнем питомце и девичьей фамилии матери незнакомым людям, то, возможно, вся кампания по увеличению безопасности веб-сайта провалится с треском. Так что запомните раз и навсегда: здравый смысл — это лучший инструмент для обеспечения безопасности.

Заключение

Надеемся, вам понравились советы и приемы, которыми мы поделились с вами в данной мини-серии. Конечно, некоторые из них вы могли знать, но, скорее всего, вы согласитесь, что подобные обобщающие статьи бывают полезными. Так что те, кто пользуется подобными приемами, большие молодцы! А кто ещё о них не знал — мы рады, что смогли вам помочь!

Возможно, у вас есть собственные приемы, которыми вы бы могли поделиться с остальными? Если да, обязательно оставляйте комментарии и не забывайте делиться полезной информацией с друзьями.

Источник: code.tutsplus.com

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *