Какво по-добро от добре изграден уебсайт? Добре изграден уебсайт със стабилна сигурност.
Останете с мен, тъй като ще разкрия някои от най-добрите практики за сигурност за вашия уебсайт WordPress. Не само, че са удобни за начинаещи, но тези практики са много достъпни, ако не и напълно безплатни.
До края на тази статия ще имате план за действие, за да защитите вашия сайт срещу всички видове киберзаплахи. Така че, затягайте се и нека започваме!
Съдържание
Сигурен ли е вашият WordPress сайт?
Въпреки че WordPress се смята за най-популярната CMS до момента, тази репутация идва с някои последствия. Използва се от над 35% от уебсайтовете в интернет WordPress се превръща в любима мишена за атаки на зловреден софтуер. Само през 2018 г. Sucuri съобщи, че около 23 000 уебсайта на WordPress са станали жертва на пробиви в сигурността.
Това означава ли, че WordPress има ужасна система за сигурност?
Въобще не! Напротив, основната причина за пробиви в сигурността на уебсайта е липсата на информираност за сигурността на потребителите.
Като реномирана CMS, WordPress изпълнява своята роля, като редовно публикува корекции за сигурност и софтуерни актуализации. Въпреки това, тези надстройки няма да имат голямо значение, освен ако не знаете какво да правите с тях.
Накратко, вие играете значителна роля в защитата на уебсайта си.
Сега, след като знаете ролята и отговорността си като уеб администратор, е време да проучите какво можете да направите, за да подобрите сигурността на уебсайта си. Разгледайте най-добрите практики за сигурност по-долу и се опитайте да ги приложите на уебсайта си.
Използвайте надеждни потребителски имена и пароли
Създаването на силни идентификационни данни за вход може да е най-лесната практика за сигурност, която всеки може да изпълни, но много потребители все още не успяват да го направят. Вярваш или не, 23,2 милиона акаунта все още използват „123456“ като парола. Същият проблем се отнася и за потребителските имена, където много потребители използват стандартните потребителски имена като „admin“ и „administrator“.
Ако имате нужда от помощ при намирането на силни пароли, има много генератори на пароли там можете да използвате безплатно. Що се отнася до потребителските имена, можете да включите числа и специални знаци в ключовите думи, за да ги направите по-уникални.
Използването на слаби идентификационни данни за вход ще направи уебсайта ви уязвим за атаки с груба сила. Този тип кибератака използва подход проба-грешка, за да отгатне вашите идентификационни данни за вход. Затова е най-добре да избягвате използването на общи ключови думи за вашата информация за вход.
Ако имате навика да забравяте паролата, можете да обмислите използването на LastPass за да запомните и използвате с едно щракване. Що се отнася до потребителските имена, можете да включите числа и специални знаци в ключовите думи, за да ги направите по-уникални.
Скриване на влизане в WordPress
Този прост трик може да защити вашите WP сайтове от нападатели, насочени към атаки с груба сила. Използвайте WPS Скриване на влизане безплатен плъгин за промяна на URL адреса за влизане в нещо уникално.
Активиране на двуфакторно удостоверяване
След като сте осигурили своите администраторски идентификационни данни за вход, можете да подобрите още повече процеса на влизане, като активирате двуфакторното удостоверяване. Този процес на сигурност създава допълнителен слой на защита, който изисква потребителите да получат уникален код от приложение за удостоверяване. Като го внедрите на уебсайта си, само потребители с правилните идентификационни данни и код могат да влязат в своя акаунт.
WordPress има много плъгини за двуфакторно удостоверяване, от които да избирате. Някои от най-добрите включват Google Authenticator, Двуфакторно удостоверяванеи Двуфакторен.
Променете префикса на базата данни на WordPress
Базата данни на уебсайта е най-любимата цел за атаки чрез SQL инжектиране. Тези типове кибератаки принуждават базата данни да изпълнява злонамерен код, позволявайки на хакерите да променят или премахват свободно данните в нея. Тъй като атаките с инжектиране на SQL включват около 80% от опитите за хакване стартирани на месец, не бива да приемате тази заплаха леко.
Един от факторите, които правят вашата база данни податлива на атаки чрез SQL инжектиране, е използването на префикса на базата данни по подразбиране wp_. Използвайки предсказуема база данни, префиксът позволява на хакерите да отгатнат имената на вашите таблици и да предизвикат хаос във вашата база данни. Затова силно препоръчвам да го смените при първа възможност.
Ето подробно ръководство как да промените префикса на базата данни на WordPress. Можете също така да опитате Плъгин за промяна на префикса на таблицата.
Деактивирайте докладването за грешки в PHP
Функцията за докладване на грешки в PHP ви помага да откривате грешки в PHP файловете много по-бързо. Но също така позволява на други хора да видят уязвимостите на вашия сайт. Затова ви препоръчвам да деактивирате тази функция напълно.
WordPress деактивира функцията за докладване на грешки по подразбиране. Ако е активиран по някаква причина, трябва да го деактивирате ръчно от модифициране на файла wp-config.php. В зависимост от вашата уеб хостинг услуга, няколко хостинг доставчици ви позволяват да управлявате тази настройка от техния контролен панел.
Поддържайте WordPress актуален
За да бъде в крак с непрекъснато увеличаващите се видове кибератаки, WordPress периодично пуска актуализации заедно с най-новите пачове за сигурност. Това подобрение не се отнася само за ядрото на WordPress, но и за добавките и темите. Като се има предвид това, използването на остарял софтуер е рецепта за катастрофа.
Въпреки че WordPress автоматично внедрява незначителни софтуерни актуализации, все пак трябва да извършвате големи актуализации ръчно. Така че не забравяйте редовно да търсите нови актуализации в раздела Актуализации на вашия административен панел на WordPress, за да избегнете уязвимости в сигурността на вашия сайт.
Има и безплатен плъгин Мениджър за лесни актуализациикойто можете да използвате, за да контролирате как искате да актуализирате своето ядро, теми и добавки на WordPress.
Деактивирайте сърфирането в директория
Разглеждането на директории може да ви даде бърз достъп до структурата на сайта и отделните директории. Въпреки това, той може да се превърне в нож с две остриета, ако други хора също имат достъп до него. Хакерите често го използват, за да намерят уязвими файлове, добавки и теми, след което да ги използват, за да получат достъп до вашия уебсайт.
Ако хоствате своя WP сайт на премиум платформа, тогава може да не е нужно да се притеснявате, тъй като те ще се погрижат за тези оптимизации. Ако обаче хоствате самостоятелно или трябва да го деактивирате ръчно, вижте това статия за да знаете как да деактивирате сърфирането в директории в WordPress.
Премахнете номера на версията на WordPress
WordPress непрекъснато пуска актуализации за корекция на уязвимостите в сигурността на предишната версия. По-старите версии обикновено са засегнати от повече уязвимости. Следователно да направите вашата версия на WordPress публична не е най-добрата идея за вашата система за уеб сигурност.
По подразбиране вашата версия на WordPress се вижда в долния десен ъгъл на администраторския панел и източника на страницата. Появява се и на по-малко очевидни места като RSS, CSS и скриптове на сайта. Има страхотно статия който предоставя ръководство стъпка по стъпка как да премахнете версията на WordPress от тези места.
Деактивирайте редактирането на файлове
Вграденият файлов редактор на WordPress ви позволява много по-лесно да променяте плъгина и скриптовете за теми. Въпреки това тази функция може да застраши уебсайта ви, ако попадне в неподходящи ръце. Поради тази причина е най-добре да деактивирате изцяло редактирането на файлове. Можете да го направите, като добавите по-долу във файла wp-config.php.
define('DISALLOW_FILE_EDIT', true);
Извършвайте редовни архиви
Създаването на резервни копия е също толкова важно, колкото и защитата на уебсайта. В най-лошия случай резервните копия могат да ви спестят необходимостта да възстановявате сайта от самото начало.
Процесът може да изглежда досаден, но има много добавки за архивиране като VaultPress и BlogVault което може да го направи безпроблемно. Съвет, използвайте приставката, която има функция за автоматично архивиране, за да спестите време и да избегнете задръстване на системата от остарели архиви.
Ако не обичате да използвате твърде много плъгини, можете да обмислите използването на iThemes Security Pro, който се грижи преди всичко и още.
Спрете спама и негативното SEO
Спамът е навсякъде и никой не го харесва.
Ако управлявате популярен сайт и нямате подходяща система за предотвратяване на спам, тогава може да привличате хиляди спамери всеки ден. Твърде много спам е лошо за SEO и потребителското изживяване. Представете си, че имате стотици неуместни коментари в публикация в блог.
Кажете не на спама, като използвате CleanTalk анти-спам решение.
Използвайте WAF
Една от най-добрите инвестиции, които можете да направите, за да защитите сайта си, е използването на WAF (защитна стена за уеб приложения). Помага да защитите сайта си от OWASP топ 10 уязвимости, известни и неизвестни пропуски в сигурността, зловреден код, DDoS атаки и много други.
Има няколко опции – SUCURI, Злобна грижа, Cloudflare.
Управление на теми и добавки
Едно от най-големите предимства на използването на WordPress е неговата огромна колекция от плъгини и теми. По ирония на съдбата плъгините и темите на WordPress се представят като най-големият източник на уязвимост което може да изложи сайта ви на риск. Така че трябва да направите своя избор разумно и внимателно да управлявате тези, които сте инсталирали.
Най-лесният начин да предотвратите достъпа на хакери до уебсайта ви чрез дефектен софтуер е като използвате плъгини и теми с отлични отзиви и оценки. Това са страхотни индикатори, които ще ви кажат, че са добре поддържани и функционират правилно. Освен това не забравяйте периодично да проверявате за актуализации, за да подобрите ефективността им.
Обобщавайки
Тъй като киберзаплахите по целия свят не планират да се оттеглят много скоро, важно е да защитите вашия уебсайт WordPress от потенциална опасност. За щастие има много лесни, но ефективни практики за сигурност, които можете да приложите, за да подобрите цялостната сигурност на вашия сайт.
Тази статия доказва, че нямате нужда от голям бюджет или напреднали технически познания, за да изпълнявате някои от най-добрите практики за сигурност. Въпросът е, готови ли сте за предизвикателството?
Искате ли да приемате плащания през уебсайта си? Ето най-добрите плъгини за приемане на плащания на сайтове на WordPress.
Свързани:
Как да използвате Google Cloud SQL с WordPress.