Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
По данным Форбс, в 2013 году ежедневно взламывалось 30.000 сайтов. К середине 2018, согласно Internet Live Stats, число увеличилось до 100.000 сайтов в день.
Хакеры создают ботов, которые обходят сотни тысяч сайтов в час и пытаются их взломать по одним и тем же алгоритмам.
Согласно исследованию Sucuri, основной целью этих ботов являются сайты на Вордпресс. Хакеры пишут ботов для атаки на Вордпресс, потому что Вордпресс — очень популярная система, в данный момент на нем работает 43% всех сайтов в Интернете.
Хотя популярность Вордпресс привлекает большое внимание хакеров, благодаря той же популярности большинство уязимостей быстро устраняется или имеют стандартное решение.
В этой статье вы узнаете самые основные базовые настройки безопасности Вордпресс, которые должны быть сделаны на любом сайте.
Восстанавливать сайт после взлома долгая и нудная работа, лучше примените эти базовые настройки, которые защитят ваш сайт от большинства попыток взлома.
Содержание:
Новые версии Вордпресс выходят регулярно и содержат обновления безопасности, исправления багов и новые функции. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.
Если вы пропускаете обновление, на вашем сайте не будет последних исправлений безопасности, то есть сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности способ взлома сайта.
Хакбот придет на сайт и запросит версию ПО. Если в его базе данных найдется уязвимость этой версии ПО, он его взломает по уже известной методике.
Делайте ручное обновление Вордпресс, темы и плагинов в разделе Консоль — Обновления.
Или настройте автоматическое полное или выборочное обновление софта:
Если вы используете стандартный логин, например, Admin, Administrator или имя вашего домена, и простые пароли (10.000 самых популярных паролей), то хакеры очень быстро взломают ваш сайт. Подбор стандартных логина и пароля — второй по популярности способ взлома сайта.
После взлома хакер зайдет на сайт, создаст новый аккаунт администратора, будет публиковать контент, ссылки на другие сайты, начнет рассылку спама по своей или вашей базам, и так далее. Он может удалить аккаунт старого администратора.
Создайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.
Генератор паролей в Вордпресс: Пользователи — Ваш профиль — Управление учетной записью
Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, например, LastPass.
Или вы можете создать свой пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.
Используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга.
Перед добавлением в репозиторий темы и плагины проверяет команда добровольцев. Они могут пропустить небрежный код, который может замедлять сайт или вызывать проблемы с безопасностью.
Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.
Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а затем на сайт.
Возможен и обратный вариант: например, пользователь оставил отзыв с одной звездой, потому что в плагине не было какой-то функции, хотя в описании к плагину подробно написано, какие функции в нем есть.
Поэтому оценка ниже 5 звезд не обязательно означает плохой софт.
Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим количеством отзывов и большим количеством установок. Для плагинов минимум 1.000, еще лучше 10.000 установок.
Удалите все неиспользуемые темы и плагины. Большое количество кода повышает вероятность найти в нем уязвимость.
Одна из первых настроек, которая включается на больших плагинах безопасности — ограничение количества попыток авторизации на сайте.
Это простой и эффективный способ усилить безопасность сайта.
Есть плагины, которые выполняют только эту работу: Limit Login Attempts, Limit Login Attempts Reloaded, Login LockDown.
Разрешено 4 попытки авторизации. После 4 неудачных попыток запрет авторизации на 23 минуты. После 4 локаутов запрет на авторизацию в течение 24 часов.
Все плагины настраиваются одинаково. Оставьте настройки по умолчанию, или замените на свои.
Второй плагин Anti-Malware Security and Brute-Force Firewall настраивать не нужно, просто установите и активируйте. Все опции уже включены:
Последняя функция включает защиту от brute-force атак, то есть атак с перебором паролей. Она становится доступна после доната.
Плагин ограничения попыток авторизации блокирует доступ к сайту, если было несколько неудачных попыток входа на сайт. Этот плагин делает то же самое, но кроме этого блокирует IP, которые используют слишком много ресурсов сервера.
Если вы сделаете донат и включите эту опцию, первый плагин будет не нужен.
Это самый простой и один из самых эффективных плагинов защиты. Если вы хотите использовать более комплексный плагин — пока пропустите этот пункт.
Чтобы активировать Сканер сайта, зарегистрируйтесь в правом боксе Updates & Registration.
Сканируйте сайт с частотой чуть меньше, чем частота бэкапа. Если сканер что-то найдет и не сможет вылечить, вы сможете восстановить сайт из бэкапа.
Делайте бэкап сайта и базы данных, чтобы иметь возможность восстановить сайт из предыдущей копии в случае, если что-то пойдет не так.
Вы можете настроить бэкап на хостинге, бэкап на е-мейл или бэкап на облако. Если вы думаете, что е-мейл или хостинг могут взломать, настройте несколько бэкапов.
Реклама
Простой способ выгодно купить полис
Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для борьбы со спамом. Плагин настраивать не нужно, просто установите и активируйте.
Проверьте чекбокс «Любой может зарегистрироваться» в разделе Настройки — Общие — Членство
Ненадежный хостинг хакер может взломать и добраться до вашего сайта. Используйте надежные хостинги из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.
Этот сайт находится на хостинге Beget. Обзор хостинга.
Это минимально необходимый уровень безопасности сайта на Вордпресс, которые может применить любой чайник. Эти настройки защитят ваш сайт от самых распространенных угроз. Если вы искали минимальный уровень безопасности Вордпресс, то вы его нашли.
С этими минимальными настройками вы наберете 66% по версии плагина Security Ninja. Это хороший результат.
Если вы хотите знать, какие еще настройки можно сделать для укрепления безопасности сайта, переходите в Основные настройки безопасности Вордпресс →.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.