»  Безопасность  »  Минимальная безопасность Вордпресс

Минимальная безопасность Вордпресс

Минимальные настройки безопасности ВордпрессПо данным Форбс, в 2013 году ежедневно взламывалось 30.000 сайтов. К середине 2018, согласно Internet Live Stats, число увеличилось до 100.000 сайтов в день. Хакеры создают ботов, которые обходят сотни тысяч сайтов в час и пытаются их взломать по одним и тем же алгоритмам.

Согласно исследованию Sucuri, основной целью этих ботов являются сайты на Вордпресс. Хакеры пишут ботов для атаки на Вордпресс, потому что Вордпресс — очень популярная система, в данный момент на ней работает 31,6% всех сайтов в Интернете.

Платформы взломанных сайтов - 2017
Исследование Sucuri: Платформы взломанных сайтов

Хотя популярность Вордпресс привлекает большое внимание хакеров, благодаря той же популярности большинство уязимостей быстро устраняется или имеют стандартное решение.

В этой статье вы узнаете самые основные базовые настройки безопасности Вордпресс, которые должны быть сделаны на любом сайте.

Восстанавливать сайт после взлома долгая и нудная работа, лучше примените эти базовые настройки, которые защитят ваш сайт от большинства попыток взлома.

Содержание:

  1. Регулярно обновляйте ПО
  2. Используйте сложные логины и пароли
  3. Используйте только проверенные темы и плагины
  4. Установите плагин безопасности
  5. Настройте бэкап сайта
  6. Установите плагин защиты от спама
  7. Отключите галочку «Любой может зарегистрироваться»
  8. Используйте надежный хостинг

1. Регулярно обновляйте ПО

Новые версии Вордпресс выходят регулярно и содержат обновления безопасности, исправления багов и новые функции. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.

Если вы пропускаете обновление, на вашем сайте не будет последних исправлений безопасности, то есть сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности способ взлома сайта.

Делайте ручное обновление Вордпресс, темы и плагинов в разделе Консоль -> Обновления.

Или настройте автоматическое полное или выборочное обновление софта:

2. Используйте сложные логины и пароли

Если вы используете стандартный логин, например, Admin, Administrator или имя вашего домена, и простые пароли (список худших паролей 2017, SplashData), то хакеры очень быстро взломают ваш сайт. Подбор стандартных логина и пароля — второй по популярности способ взлома сайта.

После взлома хакер зайдет на сайт, создаст новый аккаунт администратора, будет публиковать контент, ссылки на другие сайты, начнет рассылку спама, и так далее. Он может удалить аккаунт старого администратора.

Создайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.

Генератор паролей в Вордпресс: Пользователи — Ваш профиль — Управление учетной записью

Генератор паролей Вордпресс

Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, например, LastPass.

Или вы можете создать свой пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.

3. Используйте только проверенные темы и плагины

Перед добавлением в репозитарий темы и плагины проверяет команда добровольцев. Они могут пропустить небрежный код, который может замедлять сайт или вызывать проблемы безопасности.

<i class="fa fa-battery-quarter fa-rotate-270" aria-hidden="true"></i>Минимальная безопасность Вордпресс

Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.

Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а затем на сайт.

Возможен и обратный вариант: например, пользователь оставил отзыв с одной звездой, потому что в плагине не было какой-то функции, хотя в описании к плагину подробно написано, какие функции в нем есть.

Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим количеством отзывов и большим количеством установок. Для плагинов минимум 1.000, еще лучше 10.000 установок.

Удалите все неиспользуемые темы и плагины. Большое количество кода повышает вероятность найти в нем уязвимость.

4. Установите плагин безопасности

Одна из первых настроек, которая включается на больших плагинах безопасности — ограничение количества попыток авторизации на сайте. Это простой и эффективный способ усилить безопасность сайта. Есть плагины, которые выполняют только эту работу: Limit Login AttemptsLimit Login Attempts ReloadedLogin LockDown.

Плагин ограничения попыток авторизации на сайте

Разрешено 4 попытки авторизации. После 4 неудачных попыток запрет авторизации на 23 минуты. После 4 локаутов запрет на авторизацию в течение 24 часов.

Все плагины настраиваются одинаково. Оставьте настройки по умолчанию, или замените на свои.

Второй плагин Anti-Malware Security and Brute-Force Firewall настраивать не нужно, просто установите и активируйте. Все опции уже включены:

Плагин Anti-Malware Security and Brute-Force Firewall

Последняя функция включает защиту от brute-force атак, то есть атак с перебором паролей. Она становится доступна после доната.
Плагин ограничения попыток авторизации блокирует доступ к сайту, если было несколько неудачных попыток входа на сайт. Этот плагин делает то же самое, но кроме этого блокирует IP, которые используют слишком много ресурсов сервера.

Если вы сделаете донат и включите эту опцию, первый плагин будет не нужен.

Сканер сайта

Чтобы активировать Сканер сайта, зарегистрируйтесь в правом боксе Updates & Registration.

Сканер сайта плагина Anti-Malware Security and Brute-Force Firewall

Сканируйте сайт с частотой чуть меньше, чем частота бэкапа. Если сканер что-то найдет и не сможет вылечить, вы сможете восстановить сайт из бэкапа.

5. Настройте бэкап сайта

Делайте бэкап сайта и базы данных, чтобы иметь возможность восстановить сайт из предыдущей копии в случае, если что-то пойдет не так.

Вы можете настроить бэкап на хостинге, бэкап на е-мейл или бэкап на облако. Если вы думаете, что е-мейл или хостинг могут взломать, настройте несколько бэкапов.

6. Установите плагин защиты от спама

Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для борьбы со спамом. Плагин настраивать не нужно, просто установите и активируйте.

7. Отключите галочку Любой может зарегистрироваться

Проверьте чекбокс «Любой может зарегистрироваться» в разделе Настройки ОбщиеЧленство

Галочка "Любой может зарегистрироваться"

8. Используйте надежный хостинг

Ненадежный хостинг хакер может взломать и добраться до вашего сайта. Используйте надежные хостинги из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.

Заключение

Это минимально необходимый уровень безопасности сайта на Вордпресс, эти настройки защитят ваш сайт от самых распространенных угроз. Если вы искали минимальный уровень безопасности Вордпресс, то вы его нашли.

С этими минимальными настройками вы наберете 66% по версии плагина Security Ninja. Это хороший результат.

Минимальные настройки безопасности Вордпресс
Тесты на уязвимости сайта Security Ninja

Если вы хотите знать, какие еще настройки можно сделать для укрепления безопасности сайта, переходите в Основные настройки безопасности Вордпресс.

Читайте также:

  1. Безопасность Вордпресс для новичков
  2. Безопасность Вордпресс. Полное руководство
  3. Как проверить Вордпресс сайт на уязвимости
  4. Подробное описание Security Ninja Pro

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!