Безопасность сайта на wordpress

Содержание
  1. Уязвимости программного обеспечения WordPress
  2. 1.1 – Регулярно проверяйте плагины и темы WordPress
  3. 1.2 – Следите за обновлениями WordPress
  4. Ограничьте доступ к вашему сайту WordPress
  5. 2.1 – Управление учетными записями пользователей WordPress
  6. 2.2 – Используйте надежные пароли
  7. 2.3 – Ограничение попыток входа в WordPress
  8. 2.4 – Используйте CAPTCHA перед входом в систему
  9. 2.5 – Ограничить доступ к аутентифицированным URL-адресам
  10. Мониторинг и обнаружение WordPress
  11. 3.1 – Плагины безопасности WordPress
  12. Плагин безопасности WordPress – Категория предотвращения
  13. Плагин безопасности WordPress – категория обнаружения
  14. Плагин безопасности WordPress – Категория аудита
  15. Плагин безопасности WordPress – Категория утилит
  16. 3.2 – Безопасность хостинга веб-сайтов
  17. Подключения SFTP / SSH
  18. 3.3 – Резервное копирование вашего WordPress
  19. 3.4 – Инструменты обнаружения вторжений
  20. Повышение безопасности вашего сайта на WordPress
  21. 4.1 – Безопасные базовые конфигурации .htaccess
  22. 4.2 – Конфигурации приложений безопасности WordPress
  23. Службы безопасности WordPress
  24. Защитите WordPress с помощью брандмауэра веб-приложений (WAF)
  25. SSL и HTTPS
  26. На заметку

Это руководство по безопасности WordPress представляет собой введение в то, как защитить посетителей, уменьшить угрозы и создать более безопасный сайт WordPress.

WordPress известен своим удобством использования и простотой доступа, однако его популярность также делает его привлекательной целью для злоумышленников.

Последние статистические данные показывают, что более 28% администраторов веб-сайтов используют WordPress. Его популярность имеет свою цену; часто становятся целью злонамеренных хакеров и спамеров, стремящихся использовать небезопасные веб-сайты в своих интересах.

Безопасность WordPress – это снижение рисков, а не их устранение. Поскольку риск будет всегда, защита вашего сайта WordPress останется непрерывным процессом, требующим частой оценки этих векторов атак.

WordPress безопасен?

Вопрос о том, безопасен ли WordPress или нет, полностью зависит от вас, владельца веб-сайта. Безопасность веб-сайтов – это снижение рисков. Следуйте нашим рекомендациям по безопасности WordPress, чтобы укрепить и защитить свой сайт от угроз.

Как защитить сайт WordPress

Это руководство предназначено для обучения администраторов WordPress основным методам безопасности и практическим шагам, которые помогут защитить ваш сайт WordPress и снизить риск взлома.

Уязвимости программного обеспечения WordPress

Обновляйте WordPress, темы и плагины

Команда безопасности разработчиков WordPress усердно работает над предоставлением важных обновлений безопасности и исправлений уязвимостей. Однако использование сторонних плагинов и тем подвергает пользователей дополнительным угрозам безопасности.

Регулярно устанавливая последние версии основных файлов и расширений WordPress, вы можете гарантировать, что на вашем веб-сайте установлены все распространенные исправления безопасности, а ваш сайт WordPress будет более безопасным.

1.1 – Регулярно проверяйте плагины и темы WordPress

Плагины и темы могут стать устаревшими, устаревшими или содержать ошибки, которые представляют серьезную угрозу безопасности для вашего веб-сайта WordPress.

Для защиты вашей установки WordPress и повышения безопасности мы рекомендуем вам регулярно проверять свои плагины и темы.

Вы можете оценить безопасность плагинов и тем WordPress, проверив пару важных показателей:

  • У плагина или темы большая база для установки? : Проверьте количество установок перед добавлением нового плагина на свой сайт WordPress.
  • Много ли отзывов пользователей и высокий ли средний рейтинг? : Проверьте обзоры и рейтинги плагинов WordPress перед добавлением нового плагина.
  • Активно ли разработчики поддерживают свой плагин и часто выпускают обновления или исправления безопасности? : Если плагин не обновлялся долгое время, он может иметь уязвимости, используемые злоумышленниками для взлома веб-сайтов WordPress.
  • Перечисляет ли поставщик условия обслуживания или политику конфиденциальности? : Важно проверить, есть ли у плагина политика конфиденциальности или TOS.
  • Включает ли поставщик физический контактный адрес в Условия использования или со страницы контактов? : Наличие физического контактного адреса повышает надежность плагина WordPress.

Внимательно прочтите Условия использования – они могут включать нежелательные дополнения, которые авторы не рекламировали на своей домашней странице. Если плагин или тема не соответствует ни одному из этих требований или недавно сменили владельцев перед последним обновлением, вы можете поискать более безопасное решение для своего сайта WordPress.

Удалите неиспользуемые плагины и темы WordPress

Когда дело доходит до неиспользуемых плагинов, лучше меньше, да лучше. Хранение нежелательных плагинов в вашей установке WordPress увеличивает вероятность компрометации, даже если они отключены и не используются активно в вашей установке. Удаление неиспользуемых плагинов и тем помогает повысить безопасность и защищает WordPress от взлома .

Не используете этот плагин WordPress? Удалите его из своей установки.

1.2 – Следите за обновлениями WordPress

Когда будет доступно новое обновление WordPress, вы получите уведомление в меню « Панель инструментов»> «Обновления» .

Вы всегда должны применять обновления как можно скорее, чтобы ваш сайт WordPress оставался безопасным. Частый вход на ваш сайт гарантирует, что вы будете в курсе обновлений по мере их выпуска. Если вы не можете обновить свой сайт по какой-либо причине, подумайте об использовании брандмауэра веб-сайта, чтобы виртуально исправить проблему и минимизировать риск.

Чтобы настроить автоматические обновления в WordPress:

  1. Войдите на свой сервер через SFTP или SSH.
  2. Найдите файл wp-config.php, который обычно находится в корневой папке документа public_html .
  3. Добавьте в файл следующий фрагмент: define (‘WP_AUTO_UPDATE_CORE’, true);

Чтобы вручную применить обновления в WordPress:

  1. Войдите на свой сервер через SFTP или SSH.
  2. Вручную удалите каталоги wp-admin и wp-includes
  3. Замените файлы ядра из корневого каталога / wp-admin / и / wp-includes / копиями из официального репозитория WordPress.
  4. Войдите в WordPress как администратор – вы можете увидеть запрос на обновление базы данных.
  5. Нажмите « Обновить базу данных WordPress» .
  6. После обновления базы данных перейдите в Панель управления> Обновления .
  7. Примените все недостающие обновления.
  8. Откройте свой веб-сайт, чтобы убедиться, что он работает.

ВАЖНО!

Перед обновлением вашего сайта до последней версии WordPress мы рекомендуем предпринять следующие меры предосторожности:

  1. Сделайте резервную копию своего веб-сайта, особенно любого настроенного контента.
  2. Просмотрите примечания к выпуску, чтобы определить, окажут ли изменения какое-либо негативное влияние на ваш сайт.
  3. Протестируйте обновление на сайте разработки, чтобы убедиться, что ваши темы, плагины и другие расширения совместимы с последней версией.

online-security-wp1

 

 

 

 

 

 

 

Обновляйте плагины WordPress

WordPress может не иметь возможности обновить расширение, если оно было загружено со стороннего веб-сайта. В этом случае вам может потребоваться вручную обновить плагин с помощью FTP или использовать встроенное средство обновления для обеспечения безопасности вашего WordPress.

Чтобы вручную применить обновления для плагинов в WordPress:

  1. Проверьте совместимость плагина с вашей текущей версией WordPress.
  2. Загрузите последнюю версию плагина из официального источника и сохраните ее на своем локальном компьютере.
  3. Получите специальные инструкции по обновлению от разработчика или поставщика плагина. Если их нет, перейдите к шагам 4–9.
  4. Войдите на свой сервер через SFTP или SSH.
  5. Перейдите в / wp-content / plugins / и загрузите эту папку на свой компьютер в качестве резервной копии.
  6. Найдите каталог плагина, который вы хотите обновить, и удалите его с FTP.
  7. Загрузите последнюю версию в то же место.
  8. Войдите в WordPress как администратор и нажмите Панель управления> Плагины .
  9. Найдите в списке плагин, который вы только что обновили, и нажмите « Активировать» .

Обновляйте темы WordPress

Обновление тем – еще один важный аспект безопасности WordPress. Если вы не используете дочернюю / родительскую тему для настройки, вам необходимо скопировать изменения в новую папку темы, а затем обновить ее на FTP.

Чтобы вручную обновить темы в WordPress:

  1. Подключитесь к своему веб-сайту с помощью FTP и перейдите в / wp-content / themes / , затем загрузите папку с текущей темой на свой компьютер.
  2. Посетите веб-сайт темы, чтобы загрузить последнюю версию темы и сохранить ее на локальном компьютере – теперь у вас будет две копии папки темы.
  3. Скопируйте любые настройки и изменения кода из старой темы и добавьте их в файлы новой темы.
  4. Загрузите последнюю версию каталога тем с настройками в WordPress через FTP.

 

Если вы используете настроенную дочернюю тему, наследующую функциональность от родительской темы, то обновить вашу тему довольно просто. Просто замените свою копию родительской темы последней версией из официального источника. Ваши настройки останутся без изменений в дочерней теме.

Ограничьте доступ к вашему сайту WordPress

Злоумышленники часто используют слабые учетные данные пользователя для получения доступа к веб-сайтам WordPress. Блокировка доступа администратора WP может предотвратить взлом и защитить ваш сайт WordPress.

Повысьте безопасность своего веб-сайта WordPress, используя надежные уникальные пароли, ограничивающие привилегии, доступные пользователям через назначенные роли, включая двухэтапную или многофакторную аутентификацию и ограничение сеансов пользователей, вы можете снизить риск взлома веб-сайта злоумышленником.

2.1 – Управление учетными записями пользователей WordPress

Удалить WP-Admin по умолчанию

Подавляющее большинство атак нацелены на точки доступа wp-admin , wp-login.php и xmlrpc.php с использованием комбинации общих имен пользователей и паролей.

Используя уникальное имя пользователя и удаляя учетную запись администратора по умолчанию в вашей установке WordPress, злоумышленникам будет намного сложнее угадать (грубой силой) свой путь на ваш сайт.

Как заменить учетную запись администратора по умолчанию:

  1. Войдите в WordPress как администратор.
  2. На панели управления выберите Пользователи> Добавить новый .
  3. Используя новый адрес электронной почты, создайте новую учетную запись и установите роль администратора .
  4. Сохраните нового пользователя, затем выйдите из системы и снова войдите в систему с новой учетной записью администратора.
  5. На панели управления выберите Пользователи> Все пользователи .
  6. Наведите указатель мыши на имя пользователя admin, затем выберите Удалить .
  7. Отнесите старые сообщения к новой учетной записи администратора.

Роли пользователей и принцип наименьших привилегий

Принцип наименьших привилегий состоит из двух очень простых шагов:

  • Используйте минимальный набор привилегий в системе для выполнения действия.
  • Предоставляйте привилегии только на тот период, когда необходимо действие.

Имея в виду эту концепцию, WordPress включает встроенные роли для администраторов, авторов, редакторов, участников и подписчиков. Эти роли определяют, что может и что не может быть выполнено пользователем.

Следуйте этим рекомендациям по контролю доступа, чтобы защитить свой WordPress:

  • Создавайте новые учетные записи пользователей с самым низким уровнем разрешений.
  • Предоставьте временные разрешения и отмените доступ, когда они больше не нужны.
  • Удалите аккаунты, которые больше не используются.
  • Убедитесь, что роль пользователя по умолчанию установлена ​​на подписчик:
    1. Войдите в WordPress как администратор .
    2. Убедитесь, что ваши разрешения подписчика включают только возможность входа в систему и обновления профиля.
    3. На панели инструментов выберите « Настройки»> «Общие» .
    4. Установите для роли нового пользователя по умолчанию значение « Подписчик» .

2.2 – Используйте надежные пароли

Безопасность паролей WordPress – важный фактор в укреплении безопасности вашего сайта и повышении безопасности администратора WP. Списки паролей часто используются злоумышленниками для перебора сайтов WordPress. Вот почему вы всегда должны использовать надежные уникальные пароли для всех своих учетных записей, чтобы повысить безопасность своего сайта WP.

Надежные пароли должны соответствовать следующим стандартам:

  • Минимум 1 заглавная буква
  • Минимум 1 строчный символ
  • Минимум 1 цифра
  • Как минимум 1 специальный символ
  • Не менее 10 символов, но не более двух одинаковых символов подряд

надежные пароли

 

 

 

 

Используйте двухфакторную идентификацию (2FA) / многофакторную идентификацию (MFA)

Двухфакторная аутентификация обеспечивает второй уровень безопасности вашей учетной записи WordPress. Эта функция требует, чтобы пользователь утвердил логин через приложение, и защищает вашу учетную запись WordPress в случае, если кто-то сможет угадать ваш пароль.

Как добавить 2FA в WordPress с помощью Google Authenticator:

  1. Загрузите и установите Google Authenticator на свой iPhone или Android .
  2. Установите и активируйте плагин 2FA для WordPress, например 2FA от miniOrange .
  3. В левом меню выберите miniOrange 2-Factor и следуйте инструкциям.
  4. После получения QR-кода откройте Google Authenticator и нажмите кнопку «Добавить» в правом нижнем углу приложения.
  5. Отсканируйте QR-код, отображаемый плагином, с помощью камеры вашего телефона.
  6. Проверьте код на странице плагина.

Платформа безопасности веб-сайта Sucuri включает функцию, которая помогает вам легко защитить паролем или реализовать 2FA на любой странице вашего веб-сайта.

Чтобы добавить двухфакторную аутентификацию на любую страницу вашего сайта с помощью Sucuri:

  1. Загрузите и установите Google Authenticator на свой iPhone или Android .
  2. Войдите в панель управления Sucuri и перейдите к брандмауэру веб-сайта .
  3. Нажмите на веб-сайт, который хотите защитить, затем выберите Контроль доступа в верхней части навигации.
  4. Введите имя страницы, которую вы хотите защитить (например, /wp-login.php), затем выберите 2FA с Google Auth из раскрывающегося меню.
  5. Нажмите « Защитить страницу» и отсканируйте QR-код своим мобильным устройством с помощью Google Authenticator.

2.3 – Ограничение попыток входа в WordPress

По умолчанию WordPress позволяет пользователям попытки входа в систему неограниченное количество раз, но это делает ваш сайт уязвимым для атак методом грубой силы, поскольку хакеры пытаются использовать разные комбинации паролей.

Вы можете добавить дополнительный уровень безопасности, ограничив количество попыток входа в систему для учетной записи через плагин или используя брандмауэр веб-приложений (WAF).

Некоторые популярные плагины, которые предоставляют вам эту функцию, включают Limit Login Attempts , WP Limit Login Attempts и Loginizer .

2.4 – Используйте CAPTCHA перед входом в систему

Аббревиатура означает полностью автоматизированный общедоступный тест Тьюринга, позволяющий отличить компьютеры от людей . Эта функция чрезвычайно полезна для предотвращения доступа автоматических ботов к вашей панели управления WordPress, а также для отправки нежелательного спама через формы.

Популярные плагины, которые добавляют CAPTCHA на страницу входа в WordPress, включают Captcha и Really Simple Captcha .

2.5 – Ограничить доступ к аутентифицированным URL-адресам

Ограничение доступа к странице входа в WordPress только авторизованными IP-адресами предотвратит несанкционированный доступ и повысит безопасность вашего сайта.

Доступны плагины, которые могут это сделать. Если вы используете облачный WAF, такой как Sucuri Firewall , вы можете ограничить доступ к этим URL- адресам через свою панель управления без необходимости возиться с файлами .htaccess.

Мониторинг и обнаружение WordPress

В области информационной безопасности (InfoSec) нам нравится использовать выражение « глубокая защита» .

Чтобы понять эту идеологию, вы должны придерживаться очень простого принципа: не существует 100% полного решения, способного защитить любую среду.

В этом разделе мы перечислили ряд решений, которые вы можете использовать на своем веб-сайте WordPress, чтобы обеспечить эффективную стратегию глубокой защиты. Располагая эти защитные элементы управления, вы сможете выявлять и смягчать атаки на свой веб-сайт.

3.1 – Плагины безопасности WordPress

Если вы зайдете в официальный репозиторий WordPress и выполните быстрый поиск по Security, вы найдете более 4298 плагинов с различными категоризациями и наборами функций.

Мы разберем категории и объясним их важность, чтобы вы могли найти правильные решения для ваших нужд.

Плагин безопасности WordPress – Категория предотвращения

Эти плагины призваны обеспечить определенный уровень предотвращения, также известный как защита периметра вашего веб-сайта. Их цель – предотвратить взлом за счет фильтрации входящего трафика.

Плагины предотвращения часто ограничиваются работой на уровне приложения, то есть атака должна поразить приложение WordPress, чтобы они отреагировали. Атаки на серверное программное обеспечение невозможно предотвратить с помощью подключаемых модулей безопасности, поэтому мы рекомендуем вместо этого использовать облачный WAF.

Плагин безопасности WordPress – категория обнаружения

Защита отлично подходит для известных проблем, но не так хороша для неизвестных. Возможность обнаружить все, что выходит за пределы вашей защиты периметра, чрезвычайно ценно, и именно здесь обнаружение вступает в игру.

Эти плагины будут пытаться идентифицировать злоумышленников с помощью проверок целостности файлов, сканирования индикаторов взлома или комбинации этих двух механизмов.

Эффективность этих плагинов строго определяется порядком их установки. Например, если плагин основан на проверках целостности, то его необходимо установить в свежей, заведомо исправной среде, чтобы он мог создать базовый уровень для проверки, чтобы обеспечить безопасность вашего WordPress.

Некоторые плагины могут сравнивать известные сторонние темы и плагины со своим собственным репозиторием, чтобы работать с уже взломанными веб-сайтами, но они несовместимы с настроенными или малоизвестными файлами.

Плагин безопасности WordPress – Категория аудита

Вопреки распространенному мнению, безопасность WordPress – это не набор, а забыть об этом. Вы должны потратить время на процесс и привыкнуть к тому, что происходит, кто входит в систему, что меняется и когда вносятся изменения.

Плагины аудита могут помочь вам ответить на вышеперечисленные вопросы, предлагая основные функции администрирования, которые помогут вам определить, предотвратить или отреагировать на компромисс.

Плагин безопасности WordPress – Категория утилит

Это, пожалуй, самый разнообразный сегмент всей экосистемы плагинов безопасности WordPress. Некоторые плагины мы считаем «ножами швейцарской армии» в сфере безопасности. Эти служебные плагины имеют гораздо меньший набор функций.

Эти плагины могут быть исчерпывающими по своим параметрам конфигурации безопасности. У них есть все возможные конфигурации, которые вы могли бы или могли бы когда-либо использовать, и лучше всего подходят для пользователей, которые любят возиться или хотят иметь возможность настраивать определенные параметры в соответствии со своими потребностями. Например, некоторые плагины безопасности просто отключают XML-RPC или перемещают страницу входа.

Мы также резервируем эту категорию для наборов инструментов, таких как резервное копирование или плагины для обслуживания, которые предназначены для определенных функций безопасности.

3.2 – Безопасность хостинга веб-сайтов

Безопасность хостинга веб-сайтов в последние годы выросла, и это сложная тема.

Большинство хостов обеспечивают необходимую безопасность на различных уровнях стека, но не для самого веб-сайта. Есть ряд хостинг-провайдеров, которые предлагают безопасность за дополнительную плату, но если вы не приобрели у них продукт безопасности, маловероятно, что они решат для вас компромисс.

Есть четыре основных хостинг-среды, которые можно использовать для установки WordPress:

  • Общие среды хостинга
  • Среды виртуального частного сервера (VPS)
  • Управляемые среды хостинга
  • Специальные серверы

Теоретически среды, которые устраняют наибольшую зависимость от пользователя, будут обеспечивать наибольшую безопасность. Если у вас есть время и навыки, чтобы обезопасить свою собственную среду, у вас есть больше возможностей, но и больше ответственности.

В действительности, однако, тип среды размещения, которую вы выбираете, должен диктоваться вашими потребностями и опытом:

  • Если вы мало понимаете, как работают веб-сайты, то в ваших интересах использовать управляемую среду.
  • Если вы являетесь организацией с собственным центром сетевых операций (NOC), операционным центром информационной безопасности (SOC) или выделенными системными администраторами, то VPS или выделенный сервер обеспечивает лучшую изоляцию вашей среды (при условии, что он правильно настроен).

Вы также можете начать разговор со своим хостинг-провайдером, чтобы узнать, как они относятся к безопасности. Следует обратить внимание на некоторые ключевые моменты:

  • Какие меры безопасности они принимают для защиты вашего веб-сайта (а не только своего сервера)?
  • Какие действия они предпримут, если обнаружат вредоносное ПО на одном из ваших веб-сайтов?
  • Как часто они ищут вредоносное ПО?
  • Предлагают ли они услуги реагирования на инциденты?
  • Придется ли вам связываться с третьей стороной, если ваш сайт будет взломан?

Подключения SFTP / SSH

Безопасная передача файлов на ваш сервер и с вашего сервера – важный аспект безопасности веб-сайта в среде вашего хостинга. Шифрование гарантирует, что любые отправленные данные защищены от посторонних глаз, которые могут прослушивать ваш сетевой трафик.

Мы рекомендуем использовать один из следующих методов для подключения к вашему серверу и обеспечения безопасности вашего WordPress:

SSH: Secure Socket Shell – это безопасный сетевой протокол и наиболее распространенный способ безопасного администрирования удаленных серверов. С Secure Socket Shell любой вид аутентификации, включая аутентификацию по паролю и передачу файлов, полностью зашифрован.

SFTP: протокол передачи файлов SSH является расширением SSH и позволяет выполнять аутентификацию по защищенному каналу. Если вы используете FileZilla или какой-либо другой FTP-клиент, вы часто можете вместо этого выбрать SFTP. Порт по умолчанию для SFTP в большинстве служб FTP – 22.

3.3 – Резервное копирование вашего WordPress

Ведение резервных копий вашего сайта WordPress должно быть одной из самых важных повторяющихся задач для администратора в целях повышения безопасности.

Хороший набор резервных копий может спасти ваш сайт, когда абсолютно все остальное пошло не так. Если злоумышленник решит, что он хочет стереть все файлы вашего сайта или повредит файлы вашего сайта своими ошибочными скриптами, ущерб можно устранить, восстановив ваш сайт из резервных копий.

Есть четыре ключевых требования для использования успешного решения для резервного копирования :

  1. Внешнее расположение: ваши резервные копии должны храниться вне офиса, а не на том же сервере, что и ваш веб-сайт. Резервные копии, хранящиеся на вашем веб-сервере, представляют серьезную угрозу безопасности, потому что они часто содержат старое непропатченное программное обеспечение с уязвимостями, и из-за их общедоступного местоположения любой может использовать их для атаки на ваш действующий веб-сайт. Внешнее резервное копирование также помогает защитить от сбоев оборудования. Если жесткий диск вашего веб-сервера выйдет из строя, вы можете легко потерять все свои данные – работающий сайт и резервные копии.
  2. Автоматически: системы резервного копирования должны быть полностью автоматизированы, чтобы резервное копирование выполнялось на регулярной основе. Люди ленивы и забывчивы, поэтому вы можете уменьшить количество ошибок пользователя с помощью автоматизации. Если ручное решение – ваш единственный вариант, убедитесь, что вы запланировали время для регулярного выполнения резервного копирования.
  3. Избыточность: второй закон вычислений Шофилда гласит, что данные не существуют, если их не существует как минимум две копии. Это означает, что ваша стратегия резервного копирования должна включать избыточность или резервное копирование ваших резервных копий.
  4. Проверено и верно: убедитесь, что процесс восстановления действительно работает. Начните с пустого веб-каталога, а затем убедитесь, что вы можете использовать эти резервные копии, чтобы вернуть все свои данные и снова запустить веб-сайт с тестовым доменом, используя только файл резервной копии.

3.4 – Инструменты обнаружения вторжений

Существует ряд инструментов, с помощью которых вы можете определить, что на вашем сайте что-то пошло не так. Чтобы помочь вам быстро отреагировать на нарушение безопасности, используйте инструмент, который включает следующие службы.

Мониторинг целостности

Проверка целостности является важным аспектом аудита вашей установки WordPress и может дать вам раннее предупреждение о вторжении на ваш сайт.

Инструменты контроля целостности файлов обычно устанавливаются на сервере, где они создают базовую криптографическую контрольную сумму для критических файлов и записей реестра. Если файл или запись каким-либо образом изменены, вы получите уведомление об изменениях.

Вы можете установить бесплатный плагин Sucuri Scanner для WordPress, чтобы использовать систему мониторинга целостности основных файлов.

Аудит / Оповещения

Инструменты аудита позволяют отслеживать действия пользователей на веб-сайте.

Как администратор вашего сайта вы должны задавать такие вопросы, как:

  1. Кто авторизуется?
  2. Они должны войти в систему?
  3. Почему они меняют этот пост?
  4. Почему они входят в систему, когда им следует спать?
  5. Кто установил этот плагин?

Мы не можем переоценить важность ведения журнала. Используйте инструмент, который регистрирует и предупреждает вас обо всех действиях, предпринятых на вашем веб-сайте, в том числе:

  1. Успешные и неудачные попытки аутентификации пользователей
  2. Создание / удаление пользователя
  3. Загрузка файлов
  4. Пост и создание страницы
  5. Публикация сообщений и страниц
  6. Модификация / активация виджета
  7. Установка плагина
  8. Модификации темы
  9. Модификации настроек

Составьте план реагирования и восстановления

Реагирование и восстановление – это не просто реакция на компромисс или инцидент, это анализ воздействия атаки, чтобы понять, что произошло, и внедрение средств управления, чтобы предотвратить ее повторение.

Повышение безопасности вашего сайта на WordPress

Внимание! Следующие рекомендации предназначены для администраторов серверов, знающих, как работают эти файлы. Если вас не устраивают эти предложения, мы рекомендуем вместо этого использовать брандмауэр веб-сайта, который включает виртуальную защиту.

4.1 – Безопасные базовые конфигурации .htaccess

Файл .htaccess – это то, что большинство поставщиков будут изменять, когда говорят, что они усиливают вашу среду WordPress.

Этот критический файл конфигурации специфичен для веб-серверов, работающих на Apache. Если вы запускаете свой экземпляр WordPress в стеке LAMP с помощью Apache, мы рекомендуем укрепить свой сайт, обновив файл .htaccess с помощью следующих правил.

Rewrite Rule

 

 

 

 

 

 

 

 

Правило перезаписи:

Это правило создается WordPress, если у него есть доступ на запись к вашему серверу, в первую очередь для устранения проблем с красивыми постоянными ссылками.

Если его нет в верхней части файла, поместите его в начало файла .htaccess. Любые другие правила должны идти после операторов # BEGIN WordPress и # END WordPress.

Безопасность сайта на wordpress

 

Restrict Logins to IP Range

 

 

 

 

 

 

 

Ограничить логины диапазоном IP-адресов

Это правило ограничивает доступ к wp-login.php по IP, защищая вас от несанкционированных попыток входа в систему в других местах. Даже если у вас нет статического IP-адреса, вы все равно можете ограничить вход в общий диапазон вашего интернет-провайдера.

Используйте эту же запись для других аутентифицированных URL-адресов, которые вы хотите ограничить, включая / wp-admin.

Безопасность сайта на wordpress

 

Protect wp-config.php

 

 

 

 

 

 

 

Защитить wp-config.php

Это правило ограничивает доступ посетителей к вашему файлу wp-config.php, который содержит конфиденциальную информацию о базе данных, включая имя, хост, имя пользователя и пароль. Этот файл также используется для определения дополнительных настроек, ключей безопасности и параметров разработчика.

Безопасность сайта на wordpress

 

Prevent Directory Browsing

 

 

 

Запретить просмотр каталогов

Это правило запрещает злоумышленникам просматривать содержимое папок вашего веб-сайта, ограничивая информацию, которую они имеют для использования вашего веб-сайта.

Безопасность сайта на wordpress

 

Prevent Directory Browsing

 

 

 

 

Предотвратить хотлинкинг изображений

Это правило запрещает другим веб-сайтам использовать изображения, размещенные на вашем сайте. Хотя хотлинкинг не приведет к взлому вашего сайта, это может привести к разрушительной эксплуатации ресурсов вашего сервера. Измените example.com на свой веб-сайт.

Безопасность сайта на wordpress

 

Protect .htaccess

 

 

 

 

 

 

 

Защитить .htaccess

Это правило предотвращает доступ злоумышленников к файлам, которые начинаются с «hta» – это гарантирует, что файлы .htaccess защищены во всех каталогах вашего сервера.

Безопасность сайта на wordpress

 

Block Includes

 

 

 

 

 

 

 

Блок включает

Это правило запрещает хакерам вставлять вредоносные файлы в любую из четырех основных папок, которые используются для включения:

  • / wp-admin / включает /
  • / wp-includes
  • / wp-включает / js / tinymce / langs /
  • / wp-включает / тема-compat /

Если вы запускаете многосайтовый экземпляр WordPress, эти директивы могут вызвать проблемы. Всегда проверяйте и соблюдайте осторожность.

Безопасность сайта на wordpress

 

Предотвратить бэкдоры PHP

 

 

 

 

 

 

Предотвратить бэкдоры PHP

Это правило запрещает хакерам размещать бэкдоры PHP в папках / wp-includes / и / wp-content / uploads / , двух популярных местах для загрузки вредоносных файлов.

Безопасность сайта на wordpress

 

4.2 – Конфигурации приложений безопасности WordPress

Переместите WP-Config за пределы корневой папки

Файл wp-config.php – это очень важный файл конфигурации, содержащий конфиденциальную информацию о вашем сайте WordPress, включая подключения к базе данных.

Если файл wp-config.php не существует в корневой папке, WordPress автоматически найдет этот файл в папке над корневым каталогом. Перемещение этого файла из корневой папки предотвращает доступ к wp-config.php из Интернета.

Настроить соли и ключи

Файл wp-config включает раздел, посвященный солям и ключам аутентификации. Эти соли и ключи повышают безопасность файлов cookie и паролей, которые передаются между вашим браузером и веб-сервером.

Вы можете настроить свои ключи, включив или отредактировав эти строки после других операторов define в вашем файле wp-config.php :

define (‘AUTH_KEY’, ‘включить соль здесь’);
define (‘SECURE_AUTH_KEY’, ‘включить сюда соль’);
define (‘LOGGED_IN_KEY’, ‘включить соль здесь’);
define (‘NONCE_KEY’, ‘включить соль здесь’);

Вы можете легко создать свои соли, перейдя к генератору соли wordpress.org или используя параметр сброса солей + ключей в нашем плагине WordPress.

Если вы подозреваете, что секретные ключи были скомпрометированы, как можно скорее создайте их заново. Всем пользователям потребуется повторно пройти аутентификацию.

Отключить редактирование файлов

По умолчанию изменения в файл можно сделать через Внешний вид> Редактор на панели инструментов WordPress.

Вы можете повысить безопасность WordPress, отключив редактирование файлов на панели инструментов. Это не позволяет злоумышленнику изменять ваши файлы через серверную часть или wp-admin. Вы по-прежнему сможете вносить изменения через SFTP / SSH.

Чтобы отключить редактирование файла с панели управления, включите следующие две строки кода в конец файла wp-config.php:

## Отключить редактирование в Dashboard
define (‘DISALLOW_FILE_EDIT’, true);

Virtual Hardening

Виртуальное усиление защиты – это часть стратегии глубокой защиты, которая защищает ваш веб-сервер и базу данных от эксплуатации уязвимостей. Виртуальная защита – это добавление нескольких уровней защиты к веб-сайту для уменьшения поверхности атаки.

Если выпущено исправление безопасности, но вы не можете обновить свой сайт, он становится легкой мишенью для хакеров. Один из эффективных способов снизить этот риск – использовать на вашем веб-сайте службу виртуальных исправлений.

Виртуальное исправление может быть выполнено с помощью брандмауэра веб-приложений, в котором уязвимости исправляются автоматически для защиты от известных угроз безопасности.

Службы безопасности WordPress

Защитите WordPress с помощью брандмауэра веб-приложений (WAF)

Один из самых простых способов защитить ваш сайт WordPress от хакеров – это использовать брандмауэр веб-приложений (WAF), такой как Sucuri Firewall .

Брандмауэры веб-сайтов работают для выявления, фильтрации и блокировки проникновения вредоносного трафика на ваш сайт. Проверяется весь HTTP / HTTPS-трафик. Если вредоносный бот или хакерский инструмент попытается атаковать, брандмауэр веб-сайта автоматически блокирует его, чтобы защитить ваш веб-сайт WordPress, прежде чем он даже достигнет вашего сервера.

Существует ряд профессиональных услуг, которые позаботятся о безопасности вашего веб-сайта за вас. Не все сервисы одинаковы – некоторые взимают больше за исправление сложных взломов, а другие предоставляют разные многоуровневые наборы функций. Вам следует выбрать тот, который лучше всего соответствует вашим потребностям.

Если ваш хост предоставляет услуги безопасности, найдите время, чтобы точно узнать, какие функции они включают. Обычно они с радостью посоветуют вам, как вы можете дополнить их базовые наборы функций дополнительными услугами.

Преимущество использования облачной службы безопасности, такой как Sucuri, заключается в том, что она обеспечивает полную сквозную безопасность веб-сайта. Это означает, что услуги защиты, обнаружения и реагирования включены в универсальную платформу и не требуют скрытых платежей.

Наша высокодоступная глобально распределенная сеть Anycast (GDAN) гарантирует, что веб-сайты могут эффективно обслуживать свою глобальную аудиторию, одновременно предотвращая атаки DDoS.

SSL и HTTPS

За последние пару лет SSL стал все более важным для безопасности WordPress, не только для безопасной передачи информации на ваш веб-сайт и с него, но также для повышения видимости и снижения шансов быть наказанным .

SSL позволяет получить доступ к веб-сайту через HTTPS, который шифрует данные, передаваемые между посетителями и веб-серверами. С 2014 года SSL был сигналом ранжирования для SEO, и теперь Google начал отмечать веб-сайты без HTTPS, которые передают пароли и данные кредитных карт.

На заметку

Основные требования к безопасности сайта

 

 

 

Список основных типов угроз для Вордпресс

 

 

Обсудить и заказать можно через форму ниже
Создание недорогих сайтов
Добавить комментарий

  1. Антон

    Ну большая часть материала это общеизвестный факт, но все равно достаточно подробно изложено, спасибо…

    Ответить
    1. Георгий Осипов автор

      Спасибо за добрые слова, будут еще материалы, так что заглядывайте.

      Ответить