Как защитить свой сайт на WordPress

Обеспечение безопасности сайта — это то, в чём заинтересован каждый владелец сайта. Если ресурс будет недоступен, ваш бизнес понесёт убытки.

Многие крупнейшие мировые бренды, включая новостные корпорации и государственные ведомства, используют движок WordPress для своих сайтов.

WordPress — это система управления контентом (англ. CMS — Content Management System) с открытым исходным кодом, и любой желающий может получить доступ к репозиториям. Это означает, что злоумышленники могут попытаться выявить уязвимости и использовать их в своих целях. К счастью, сообщество WordPress оперативно реагирует и регулярно выпускает обновления безопасности для исправления любых уязвимостей.

В этом руководстве мы расскажем вам о нескольких способах сделать ваш сайт ещё более безопасным. Вы узнаете о лучших практиках безопасности и о том, как сделать ваш сайт более защищённым от атак хакеров и других неприятностей.

Есть несколько рекомендаций, которым вы можете следовать, чтобы повысить безопасность вашего сайта на WordPress:

  1. используйте надёжные пароли;

  2. регулярно обновляйте свой сайт;

  3. скачивайте или покупайте плагины и темы только из проверенных надёжных источников;

  4. используйте безопасный хостинг;

  5. отключите редактор темы;

  6. регулярно создавайте бэкапы;

  7. используйте SFTP для загрузки файлов на ваш сайт;

  8. установите SSL-сертификат;

  9. установите плагин безопасности.

Используйте надёжные пароли

Надёжный пароль — это комбинация букв, цифр и специальных символов. Вы всегда должны использовать надёжные пароли и следить, чтобы другие пользователи на вашем сайте тоже это делали. Это один из самых простых и эффективных методов защиты от хакеров.

На сайте https://howsecureismypassword.net/ вы можете проверить, сколько времени потребуется роботу, чтобы взломать ваш пароль.

Вы можете проверить, сколько времени потребуется роботу, чтобы взломать ваш пароль.

Для остальных пользователей вашего сайта вы можете принудительно ввести надёжные пароли с помощью плагина Jetpack.

Регулярно обновляйте свой сайт

Ещё один простой, но очень эффективный способ обеспечить безопасность вашего сайта — это регулярные обновления ядра WordPress и установленных плагинов.

Обновления WordPress включают в себя новые функции и исправления ошибок, а также улучшения безопасности.

Убедитесь, что ваш сайт обновлён до последней версии WordPress. Это же касается активной темы, установленных плагинов и переводов.

Убедитесь, что ваш сайт обновлён до последней версии WordPress.

Если вы обновляете свой сайт автоматически, убедитесь, что вы регулярно делаете резервные копии своего сайта — на случай, если обновление вызовет проблемы.

Темы и плагины

Абсолютное большинство уязвимостей (88%) приходится не на сам WordPress, а на различные плагины, которые используются пользователям. Многие разработчики или владельцы веб-сайтов WordPress сталкивались с атаками и взломами именно из-за уязвимостей плагинов. Темы, согласно той же статистике добавляют ещё 8%, что уже не так критично, но не стоит забывать и об этом.

Абсолютное большинство уязвимостей (88%) приходится не на сам WordPress, а на различные плагины. Согласно статистике WPscan.

Уязвимости, обнаруженные в плагинах WordPress, могут варьироваться от раскрытия конфиденциальной информации до SQL-инъекции и удаленного выполнения кода.

Бесплатные плагины рекомендуется устанавливать из официального каталога плагинов и тем от WordPress. Они проходят проверку качества, поэтому вы можете быть уверены, что они не содержат вредоносного кода.

Уязвимости платных и бесплатных плагинов согласно статистике WPscan. Уязвимости платных и бесплатных плагинов согласно статистике WPscan.

При выборе платных тем и плагинов убедитесь, что покупаете их на проверенных маркетплейсах, таких как TemplateMonster, ThemeForest, CodeCanyon.

При выборе платных тем и плагинов убедитесь, что покупаете их на проверенных маркетплейсах.

Используйте безопасный хостинг

При выборе хостинга следует учитывать такие факторы, как:

  • ежедневное резервное копирование и автоматические обновления;
  • техническая поддержка;
  • время безотказной работы.

Особая опасность подстерегает сайты, размещенные на shared-хостинге, который называется так, потому что на одном сервере «живёт» множество клиентов, которые делят между собой все имеющиеся ресурсы этого сервера. Если скрипты соседнего сайта не оптимизированы, на ресурс были совершены DDoS-атака, хакерский взлом или случился всплеск посещаемости, пострадают все остальные клиенты этого shared-хостинга. Поэтому оптимальным выбором является виртуальный сервер (VPS/VDS), чьи ресурсы будут принадлежать только вам, и вы сами сможете настроить какие угодно параметры безопасности.

Отключите редактор темы

Редактор темы — это раздел в админке WordPress, через который вы можете править код своей темы.

Это может показаться очень удобным способом для изменения кода, но с этим связаны серьёзные риски. Когда вы правите код с помощью редактора тем, старая версия не сохраняется, и у вас нет возможности откатить изменения, если вы допустите ошибку. Это может нарушить работу вашего сайта.

Если вы хотите отредактировать код вашей темы, то следует использовать сторонний редактор и SFTP.

Вы можете отключить редактор тем, добавив эти строки в файл wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

define( ‘DISALLOW_FILE_MODS’, true );

Внимание! Изменяйте файл wp-config.php, только если вы уверены в том, что делаете.

Регулярно создавайте бэкапы

Рекомендуем регулярно выполнять резервное копирование. Если ваш сайт взломают или возникнут ошибки после обновления, у вас будет возможность восстановить всё из последней сохранённой версии.

Настройте автоматическое копирование вашего сайта, например с помощью плагина Admin ATLEX Cloud. Таким образом наличие свежей копии позволит вам существенно сократить возможные потери при аварийной ситуации.

Используйте SFTP для загрузки файлов на ваш сайт

Если вы редактируете и загружаете файлы на свой сайт WordPress (файлы тем или плагинов), важно сделать это наиболее безопасным способом.

Если вы используете протокол SFTP, ваши файлы будут зашифрованы перед их загрузкой. Таким образом, злоумышленники не смогут получить к ним доступ, пока вы переносите их на свой сайт или загружаете на свой компьютер.

Это особенно важно, если вы выполняете подобную работу в общедоступной сети, например через Wi-Fi в кафе. Лучше, если вы будете избегать использования общедоступного Wi-Fi для управления вашим сайтом, но бывают случаи, когда необходимо срочно загрузить файл, а безопасное соединение отсутствует.

Хороший хостинг-провайдер предоставляет SFTP как часть своей услуги. Вы можете проконсультироваться со специалистами в нашем чате, как получить доступ и настроить ключи для использования и передачи файлов на ваш сайт.

Установите SSL-сертификат

SSL (англ. Secure Sockets Layer — слой защищённых сокетов) — криптографический протокол, который подразумевает защищённый обмен данными за счёт аутентификации сервера и шифрования.

Закажите SSL-сертификат, и это даст вам два преимущества:

  • повысит рейтинг вашего сайта в поисковых системах. Google придаёт большее значение сайтам, защищённым с помощью SSL;
  • SSL сделает ваш сайт более безопасным. Данные, передаваемые между вашим сервером и браузером пользователя, будут зашифрованы. Это особенно важно для электронной коммерции, где пользователей просят ввести личные данные. Если вы установите плагин Woocommerce на WordPress без SSL, то плагин будет постоянно предупреждать вас, что ваш сайт не соответствует требованиям безопасности.

Установите плагин безопасности

Если вы хотите более полно контролировать и отслеживать безопасность вашего сайта, рекомендуем установить плагин безопасности.

Плагины из этой категории будут мониторить ваш сайт на предмет простоев или нарушений безопасности и сообщать вам по электронной почте, если возникнут какие-либо проблемы. Они также позволят вам настроить дополнительные параметры безопасности (усиленная защита брандмауэра, блокировка IP-адреса и страны), чтобы усилить защиту вашего сайта и усложнить доступ хакерам.

Обеспечение безопасности вашего сайта WordPress — важная часть управления сайтом. Если ваш сайт будет взломан, вы можете потерять часы, а может и дни, восстанавливая его. И это не говоря уже о возможных финансовых потерях, как в плане упущенной выгоды, так и трат на восстановление.

Если вы последуете приведенным выше советам, вы сможете защитить свой сайт от большинства угроз. А мы будем рады принять его на своих виртуальных серверах в Европе и России, бэкапы которых можно сохранять в наше облачное хранилище. Для проектов, находящихся на стадии разработки и не требующих большого количества ресурсов, мы будем рады предложить наш безопасный виртуальный хостинг, находящийся на профессиональном серверном оборудовании в дата-центрах уровня Tier III.

Свяжитесь с нами:

Для реализации основных услуг и функций нашего сайта, а также для сбора данных о том, как посетители взаимодействуют с нашими сайтом, продуктами и услугами, мы применяем различные инструменты, включая файлы cookie. Нажимая «Принять», вы соглашаетесь с текущими правилами и условиями использования сайта и даете разрешение на использование этих данных. В противном случае, пожалуйста, покиньте сайт.

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: