15 найкращих способів убезпечити сайт WordPress

Чи безпечний ваш веб-сайт WordPress?

Чи захищені паролі, кредитні картки та особисті дані ваших клієнтів і відвідувачів від збільшення кількості атак кібербезпеки?

Хакери докладають максимум зусиль, і від вас залежить, як захистити свій веб-сайт ще сильніше.

У цій статті ви дізнаєтеся, чому безпека важлива і що ви можете зробити, щоб захистити свій веб-сайт WordPress.

Чому безпека WordPress має значення

У першому півріччі 2021 року було заблоковано понад 86 мільярдів спроб атак паролем, і, за оцінками, щодня зламується в середньому 30 000 нових веб-сайтів.

Хакери та різні типи шкідливих програм невпинно намагаються отримати доступ до веб-сайтів та їхніх конфіденційних даних.

Результат?

Зараз ми спостерігаємо безпрецедентну кількість атак на кібербезпеку.

Ця проблема стосується компаній будь-якого розміру, включно з вашим.

Фактично, 43% онлайн-атак зараз спрямовані на малий бізнес, і лише 14% з них готові захищатися.

Багато хакерів націлені на великі компанії, щоб отримати більшу виплату.

Проте малий та середній бізнес є легшою мішенню для хакерів через брак ресурсів та досвіду в галузі безпеки.

Напади завжди несподівані. Важко швидко відновитися після цього, якщо ви не стежить за своєю безпекою WordPress.

На щастя, є багато кроків, які ви можете зробити, щоб захистити свій веб-сайт WordPress.

Почніть з цих простих основ безпеки

Під час налаштування безпеки сайту WordPress ви можете зробити кілька основних речей, щоб підвищити свій захист.

Ось деякі з перших речей, які ви повинні застосувати, щоб захистити свій веб-сайт.

1. Впровадити сертифікати SSL

Сертифікати Secure Sockets Layer (SSL) — це галузевий стандарт, який використовується мільйонами веб-сайтів для захисту своїх онлайн-транзакцій зі своїми клієнтами.

Його отримання має бути одним із перших кроків для захисту свого веб-сайту.

Ви можете купити сертифікат SSL, але більшість хостинг-провайдерів пропонують його безкоштовно.

Далі скористайтеся плагіном для примусового переспрямування HTTPS, який активує зашифроване з’єднання.

Ця стандартна технологія встановлює зашифроване з’єднання між веб-сервером (хостом) і веб-браузером (клієнтом).

Додавши це зашифроване з’єднання, ви можете переконатися, що всі дані, що передаються між ними, залишаться приватними та внутрішніми.

2. Вимагайте та використовуйте надійні паролі

Поряд із отриманням сертифіката SSL, одним із перших речей, які ви можете зробити для захисту свого сайту, є використання надійних паролів для всіх ваших логінів.

Може бути спокусливим використати або повторно використати знайомий або легко запам’ятовуваний пароль, але це ставить під загрозу вас, ваших користувачів і ваш веб-сайт.

Підвищення надійності та безпеки пароля зменшує ваші шанси бути зламаним.

Чим надійніший ваш пароль, тим менше ймовірність того, що ви станете жертвою кібератаки.

Створюючи пароль, слід дотримуватися кількох загальних правил використання пароля .

Якщо ви не впевнені, що використовуєте достатньо надійний пароль, перевірте його надійність за допомогою безкоштовного інструменту, як-от цей корисний засіб перевірки надійності пароля .

3. Встановіть плагін безпеки

Плагіни WordPress — це чудовий спосіб швидко додати корисні функції на свій веб-сайт, і є кілька чудових плагінів безпеки.

Встановлення плагіна безпеки може додати деякі додаткові рівні захисту вашому веб-сайту, не вимагаючи особливих зусиль.

Щоб почати, перегляньте цей список рекомендованих плагінів безпеки WordPress.

  • Wordfence Security – брандмауер і сканування шкідливих програм
  • Все в одному WP Security & Firewall
  • Безпека iThemes
  • Jetpack – безпека WP, резервне копіювання, швидкість та зростання

 

4. Оновлюйте основні файли WordPress

Постійне оновлення WordPress має вирішальне значення для підтримки безпеки та стабільності вашого сайту.

Щоразу, коли повідомляється про вразливість безпеки WordPress, основна команда починає працювати над випуском оновлення, яке виправляє цю проблему.

Якщо ви не оновлюєте свій веб-сайт WordPress, то, ймовірно, ви використовуєте версію WordPress, яка має відомі вразливості.

Станом на 2021 рік у мережі налічується приблизно 1,3 мільярда веб-сайтів, причому понад 455 мільйонів з них використовують WordPress.

Оскільки він дуже популярний, WordPress є основною мішенню для хакерів, розповсюджувачів шкідливого коду та злодіїв даних.

Не залишайте себе відкритим для атак, використовуючи стару версію WordPress. Увімкніть автоматичне оновлення і забудьте про це.

Якщо ви хочете ще простіше обробляти оновлення, розгляньте рішення для керованого хостингу WordPress , яке має вбудовані автоматичні оновлення.

5. Зверніть увагу на теми та плагіни

Підтримка оновлення WordPress гарантує, що ваші основні файли перевіряються, але є й інші області, де WordPress є вразливим, які оновлення ядра можуть не захистити, наприклад, ваші теми та плагіни.

Для початку встановлюйте плагіни та теми лише від перевірених розробників.

Якщо плагін або тему не було розроблено надійним джерелом, вам, ймовірно, безпечніше не використовувати їх.

Крім того, не забудьте оновити плагіни та теми WordPress.

Як і застаріла версія WordPress, використання застарілих плагінів і тем робить ваш веб-сайт більш вразливим для атак.

6. Виконуйте часті резервні копії

Один із способів захистити свій веб-сайт WordPress — це завжди мати поточну резервну копію вашого сайту та важливих файлів.

Останнє, чого ви хочете, щоб щось трапилося з вашим сайтом, а у вас немає резервної копії.

Створюйте резервну копію свого сайту і робіть це часто.

Таким чином, якщо з вашим веб-сайтом щось трапиться, ви зможете швидко відновити його попередню версію та швидше відновити роботу.

Проміжні заходи безпеки для додаткового захисту

Якщо ви виконали всі основи, але все ще хочете зробити більше для захисту свого веб-сайту, ви можете зробити ще кілька простих кроків, щоб підвищити свою безпеку.

7. Ніколи не використовуйте ім’я користувача «Адміністратор».

Оскільки «адміністратор» — це таке поширене ім’я користувача, його легко вгадати, і шахраям набагато легше обманювати людей, щоб вони видали свої облікові дані для входу.

Ніколи не використовуйте ім’я користувача «admin».

Це робить вас вразливими до атак грубої сили та шахрайства із соціальною інженерією.

Так само, як і наявність надійного пароля, використання унікального імені користувача для входу є гарною ідеєю, оскільки хакерам набагато важче зламати вашу інформацію для входу.

Якщо ви зараз використовуєте ім’я користувача «admin», змініть своє ім’я користувача адміністратора WordPress .

8. Сховайте сторінку входу в WP-Admin

За замовчуванням більшість сторінок входу в WordPress можна отримати, додавши «/wp-admin» або «/wp-login.php» в кінець URL-адреси.

Це полегшує хакерам спроби проникнути на ваш веб-сайт.

Після того, як хакер або шахрай ідентифікують вашу сторінку входу, вони можуть спробувати вгадати ваше ім’я користувача та пароль, щоб отримати доступ до вашої інформаційної панелі адміністратора.

Приховати вашу сторінку входу в WordPress — це хороший спосіб зробити вас менш легкою метою.

Захистіть свої облікові дані для входу, приховавши сторінку входу адміністратора WordPress за допомогою плагіна, наприклад WPS Hide Login.

9. Вимкніть XML-RPC

WordPress використовує реалізацію протоколу XML-RPC для розширення функціональних можливостей програмних клієнтів.

Цей протокол віддаленого виклику процедур дозволяє виконувати команди, повертаючи дані у форматі XML .

Більшості користувачів не потрібна функціональність WordPress XML-RPC, і це одна з найпоширеніших уразливостей, яка відкриває користувачам можливість зловживань.

Тому доцільно його вимкнути.

Завдяки плагіну Wordfence Security зробити це дуже просто.

10. Зміцнити файл wp-config.php

Ваш файл WordPress wp-config.php містить дуже конфіденційну інформацію про вашу інсталяцію WordPress, включаючи ключі безпеки WordPress та деталі з’єднання з базою даних WordPress, саме тому ви не хочете, щоб до нього було легко отримати доступ.

Ви можете «зміцнити» свій веб -сайт , захистивши файл wp-config.php за допомогою файлу .htaccess.

В основному це означає, що ви надаєте своєму сайту додаткову захист від хакерів.

Якщо ви стежите за нашими численними підручниками з WordPress, ваш сайт, швидше за все, виглядає добре та простий у використанні. Але тепер вам захочеться зробити деяке «зміцнення безпеки», щоб хакерам було складніше зламати ваш сайт. У цій статті ми покажемо вам деякі корисні речі, які ви можете додати у свій файл .htaccess, щоб зробити свій сайт більш стійким до можливих атак.

Як завжди, редагування файлу .htaccess може бути небезпечним. Обов’язково створіть резервну копію свого сайту, перш ніж намагатися внести ці зміни.

WordPress «Загартовування»

Додавання додаткових функцій безпеки на ваш сайт WordPress іноді називають «зміцненням»: ви, по суті, берете свій існуючий сайт і додаєте додаткову захист від хакерів. Оскільки WordPress можна налаштувати таким чином, налаштування безпеки кожного сайту можуть дещо відрізнятися, що змушує хакерів здогадуватися.

Поради, які ми надаємо тут, не є обов’язковими, і, можливо, у вас уже є певні заходи безпеки, які роблять їх нульовими.

Вимагати IP для сторінки входу

Сторінка wp-login є високоцінною метою для хакерів. Якщо хакер або бот зможе вгадати ваше ім’я користувача/пароль, вони зможуть отримати доступ до сайту. Однак ви можете використовувати свій файл .htaccess, щоб заборонити доступ до цієї сторінки та дозволити трафік з однієї IP-адреси:

 
ErrorDocument 401 за замовчуванням ErrorDocument 403 за замовчуванням  Замовити заборонити, дозволити Заборонити з усіх Дозволити з локального хосту 198.101.159.98 

 

Заборонити доступ до «конфіденційних» файлів

Ваша інсталяція WordPress містить кілька дуже чутливих файлів, таких як:

  • Файл конфігурації ( wp-config.php )
  • Файл .htaccess
  • Файл журналу помилок
  • І більше…

Наведений нижче код може допомогти захистити ці файли:

 
<FilesMatch "^.*(error_log|wp-config\.php|php.ini|\.[hH][tT][aApP].*)$"> Заборонити замовлення, дозволити заборонити від усіх 

Наші пакети хостингу WordPress мають захист файлів, тому вам не потрібно турбуватися про це. Однак наші користувачі Cloud VPS можуть вважати цей фрагмент цінним.

Вимагає SSL

Ви захочете скористатися нашою пропозицією безкоштовного SSL , якщо ви ще не встановили SSL. Після цього ви захочете переспрямувати весь трафік вашого веб-сайту на захищену URL-адресу вашого домену. WordPress надав деякий код, який ви можете додати у свій файл .htaccess, щоб це сталося:

SSLOptions +StrictRequire SSLRequireSSL SSLRequire %{HTTP_HOST} eq "www.wordpress.com" ErrorDocument 403 https://www.wordpress.com

Просто не забудьте замінити наведену вище інформацію на свій домен.

Якщо щось має зламатися

Щоразу, коли ви редагуєте файл .htaccess, можуть виникнути проблеми. Для виконання різних важливих функцій вашому сайту WordPress потрібен повністю функціональний файл .htaccess. Ми рекомендуємо додати фрагменти коду, надані їй під стандартним кодом WordPress .htaccess.

І, якщо щось зламалося, видаліть будь-який свій користувацький код і скопіюйте фрагмент за замовчуванням з WordPress.org .

11. Запустіть інструмент сканування безпеки

Іноді ваш веб-сайт WordPress може мати вразливість, про існування якої ви навіть не підозрювали.

Розумно використовувати інструменти, які можуть знайти вразливості та виправити їх за вас.

Плагін WPScan сканує відомі вразливості в основних файлах, плагінах і темах WordPress.

Плагін також сповіщає вас електронною поштою про виявлення нових вразливостей безпеки.

Посилення безпеки на стороні сервера

На даний момент ви вжили всіх вищезазначених заходів для захисту свого веб-сайту.

Проте, можливо, ви все одно захочете знати, чи можна зробити більше, щоб зробити його максимально безпечним.

Решта дій, які ви можете зробити, щоб посилити свою безпеку, потрібно буде виконувати на стороні сервера вашого веб-сайту.

12. Шукайте хостингову компанію, яка це зробить

Шукаючи хостингову компанію, ви хочете знайти ту, яка буде швидкою, надійною, безпечною та підтримуватиме вас із чудовим обслуговуванням клієнтів.

Це означає, що вони повинні мати хороші потужні ресурси, підтримувати безвідмовну роботу щонайменше 99,5% і використовувати тактику безпеки на рівні сервера.

Якщо хост не може поставити ці основні прапорці, вони не варті вашого часу чи грошей.

Одна з найкращих речей, які ви можете зробити, щоб захистити свій сайт із самого початку, — це вибрати відповідну хостингову компанію для розміщення вашого веб-сайту WordPress.

13. Використовуйте останню версію PHP

Як і старі версії WordPress, застарілі версії PHP більше не безпечні у використанні.

Якщо ви не використовуєте останню версію PHP, оновіть версію PHP , щоб захистити себе від атак.

14. Розмістіть на повністю ізольованому сервері

Приватні хмарні сервери мають масу переваг.

Однією з цих переваг є те, що це підвищує вашу безпеку.

Усі хмарні середовища вимагають потужного поєднання антивірусного захисту та брандмауера, але приватна хмара працює на певних фізичних машинах, що полегшує забезпечення фізичної безпеки.

Крім безпеки, повністю ізольований сервер має й інші переваги, такі як дуже високий час роботи та легка інтеграція керованого хостингу.

Шукаєте ідеальне хмарне середовище для свого веб-сайту WordPress?

Не шукайте далі.

Завдяки керованому хостингу WordPress від InMotion Hosting ви отримуєте міграцію з сервера на сервер, безпечніше оновлення, виправлення систем безпеки «на льоту» та провідну в галузі швидкість.

15. Використовуйте брандмауер веб-програм

Однією з останніх речей, які ви можете зробити, щоб додати додаткові заходи безпеки до свого веб-сайту WordPress, є використання брандмауера веб-програм (WAF) .

WAF – це зазвичай хмарна система безпеки, яка пропонує інший рівень захисту вашого сайту.

Подумайте про це як про шлюз для вашого сайту.

Він блокує всі спроби злому та відфільтровує інші шкідливі типи трафіку, як-от розподілені атаки відмови в обслуговуванні (DDoS) або спамерів.

WAF зазвичай вимагають щомісячної абонентської плати, але її додавання коштує грошей, якщо ви робите преміум для безпеки свого веб-сайту WordPress.

Переконайтеся, що ваш веб-сайт і бізнес безпечні та захищені

Якщо ваш веб-сайт незахищений, ви можете залишити себе відкритим для світу страждань.

На щастя, захист сайту WordPress не вимагає занадто багато технічних знань, якщо у вас є правильні інструменти та план хостингу, які відповідають вашим потребам.

Замість того, щоб чекати, щоб реагувати на загрози, щойно вони з’являться, вам слід активно захищати свій веб-сайт, щоб запобігти проблемам із безпекою.

Таким чином, якщо хтось націлиться на ваш веб-сайт, ви готові зменшити ризик і зайнятися своїми справами, як зазвичай, замість того, щоб шукати останню резервну копію.

Отримайте безпечний і повністю ізольований хостинг WordPress з безкоштовним SSL, виділеною IP-адресою, безкоштовними резервними копіями, автоматичними оновленнями WordPress, захистом від DDoS та WAF.

Дізнайтеся більше про те, як керований хостинг WordPress може допомогти захистити ваш веб-сайт і цінні дані від хакерів і шахраїв.

Переклад статті здійснило Маркетингове агенство “sti1ist” оригінал статті Searchenginejournal та Іnmotionhosting

Cлідкувати за sti1ist: