Минимальная безопасность Вордпресс

По данным Форбс, в 2013 году ежедневно взламывалось 30.000 сайтов. К середине 2018, согласно Internet Live Stats, число увеличилось до 100.000 сайтов в день.

Хакеры создают ботов, которые обходят сотни тысяч сайтов в час и пытаются их взломать по одним и тем же алгоритмам.

Согласно исследованию Sucuri, основной целью этих ботов являются сайты на Вордпресс. Хакеры пишут ботов для атаки на Вордпресс, потому что Вордпресс — очень популярная система, в данный момент на нем работает 43% всех сайтов в Интернете.

Хотя популярность Вордпресс привлекает большое внимание хакеров, благодаря той же популярности большинство уязимостей быстро устраняется или имеют стандартное решение.

В этой статье вы узнаете самые основные базовые настройки безопасности Вордпресс, которые должны быть сделаны на любом сайте.

Восстанавливать сайт после взлома долгая и нудная работа, лучше примените эти базовые настройки, которые защитят ваш сайт от большинства попыток взлома.

Содержание:

1. Регулярно обновляйте ПО
2. Используйте сложные логины и пароли
3. Используйте только проверенные темы и плагины
4. Установите плагин безопасности
5. Настройте бэкап сайта
6. Установите плагин защиты от спама
7. Отключите галочку «Любой может зарегистрироваться»
8. Используйте надежный хостинг

1. Регулярно обновляйте ПО

Новые версии Вордпресс выходят регулярно и содержат обновления безопасности, исправления багов и новые функции. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.

Если вы пропускаете обновление, на вашем сайте не будет последних исправлений безопасности, то есть сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности способ взлома сайта.

Хакбот придет на сайт и запросит версию ПО. Если в его базе данных найдется уязвимость этой версии ПО, он его взломает по уже известной методике.

Делайте ручное обновление Вордпресс, темы и плагинов в разделе Консоль — Обновления.

Или настройте автоматическое полное или выборочное обновление софта:

• Ручное и Автоматическое обновление Вордпресс, тем, плагинов и переводов
• Почему у вас должна быть последняя версия Вордпресс

2. Используйте сложные логины и пароли

Если вы используете стандартный логин, например, Admin, Administrator или имя вашего домена, и простые пароли (10.000 самых популярных паролей), то хакеры очень быстро взломают ваш сайт. Подбор стандартных логина и пароля — второй по популярности способ взлома сайта.

После взлома хакер зайдет на сайт, создаст новый аккаунт администратора, будет публиковать контент, ссылки на другие сайты, начнет рассылку спама по своей или вашей базам, и так далее. Он может удалить аккаунт старого администратора.

Создайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.

Генератор паролей в Вордпресс: Пользователи — Ваш профиль — Управление учетной записью

Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, например, LastPass.

Или вы можете создать свой пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.

Используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга.

• Как изменить имя пользователя Admin в Вордпресс

3. Используйте только проверенные темы и плагины

Перед добавлением в репозиторий темы и плагины проверяет команда добровольцев. Они могут пропустить небрежный код, который может замедлять сайт или вызывать проблемы с безопасностью.

Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.

Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а затем на сайт.

Возможен и обратный вариант: например, пользователь оставил отзыв с одной звездой, потому что в плагине не было какой-то функции, хотя в описании к плагину подробно написано, какие функции в нем есть.

Поэтому оценка ниже 5 звезд не обязательно означает плохой софт.

Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим количеством отзывов и большим количеством установок. Для плагинов минимум 1.000, еще лучше 10.000 установок.

Удалите все неиспользуемые темы и плагины. Большое количество кода повышает вероятность найти в нем уязвимость.

4. Установите плагин безопасности

Одна из первых настроек, которая включается на больших плагинах безопасности — ограничение количества попыток авторизации на сайте.

Это простой и эффективный способ усилить безопасность сайта.

Есть плагины, которые выполняют только эту работу: Limit Login Attempts, Limit Login Attempts Reloaded, Login LockDown.

Разрешено 4 попытки авторизации. После 4 неудачных попыток запрет авторизации на 23 минуты. После 4 локаутов запрет на авторизацию в течение 24 часов.

Все плагины настраиваются одинаково. Оставьте настройки по умолчанию, или замените на свои.

Второй плагин Anti-Malware Security and Brute-Force Firewall настраивать не нужно, просто установите и активируйте. Все опции уже включены:

Последняя функция включает защиту от brute-force атак, то есть атак с перебором паролей. Она становится доступна после доната.

Плагин ограничения попыток авторизации блокирует доступ к сайту, если было несколько неудачных попыток входа на сайт. Этот плагин делает то же самое, но кроме этого блокирует IP, которые используют слишком много ресурсов сервера.

Если вы сделаете донат и включите эту опцию, первый плагин будет не нужен.

Это самый простой и один из самых эффективных плагинов защиты. Если вы хотите использовать более комплексный плагин — пока пропустите этот пункт.

Сканер сайта

Чтобы активировать Сканер сайта, зарегистрируйтесь в правом боксе Updates & Registration.

Сканируйте сайт с частотой чуть меньше, чем частота бэкапа. Если сканер что-то найдет и не сможет вылечить, вы сможете восстановить сайт из бэкапа.

5. Настройте бэкап сайта

Делайте бэкап сайта и базы данных, чтобы иметь возможность восстановить сайт из предыдущей копии в случае, если что-то пойдет не так.

• Бэкап Вордпресс — подробная инструкция.

Вы можете настроить бэкап на хостинге, бэкап на е-мейл или бэкап на облако. Если вы думаете, что е-мейл или хостинг могут взломать, настройте несколько бэкапов.

• Бесплатные плагины: All-in-One WP Migration (ручной бэкап и восстановление),
  UpdraftPlus (автоматический бэкап на облако).
• Платные плагины: BackWPup, Duplicator Pro, BackupBuddy, VaultPress, BlogVault.

6. Установите плагин защиты от спама

Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для борьбы со спамом. Плагин настраивать не нужно, просто установите и активируйте.

7. Отключите галочку Любой может зарегистрироваться

Проверьте чекбокс «Любой может зарегистрироваться» в разделе Настройки — Общие — Членство

8. Используйте надежный хостинг

Ненадежный хостинг хакер может взломать и добраться до вашего сайта. Используйте надежные хостинги из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.

Этот сайт находится на хостинге Beget. Обзор хостинга.

Заключение

Это минимально необходимый уровень безопасности сайта на Вордпресс, которые может применить любой чайник. Эти настройки защитят ваш сайт от самых распространенных угроз. Если вы искали минимальный уровень безопасности Вордпресс, то вы его нашли.

С этими минимальными настройками вы наберете 66% по версии плагина Security Ninja. Это хороший результат.

• Как провести такой тест

Если вы хотите знать, какие еще настройки можно сделать для укрепления безопасности сайта, переходите в Основные настройки безопасности Вордпресс →.

Читайте также:

1. Безопасность Вордпресс для новичков
2. Как проверить безопасность Вордпресс сайта

Надеюсь, статья была полезна. Оставляйте комментарии.