Статьи

Как защитить свой блог WordPress, полезные советы для любого пользователя

Это всегда весело и весело, пока вы не можете войти на свой любимый веб-сайт WordPress, потому что плохие парни взяли верх. Все развлечения и игры, пока кто-нибудь не будет взломан, потеряет доступ к панели администратора WordPress и ад не вырвется наружу.

Ваше настроение получает первый удар. Они быстро гаснут, когда вы обнаруживаете, что вас свергли. Это больно и расстраивает, мягко говоря, потому что, ну, какой-то парень мешает вам заработать, вмешивается в ваш бизнес и плюет вам в лицо.

И, мальчик, вы начнете действовать, отчаянно бегая, пытаясь восстановить свой сайт WordPress, а значит, и ваш бизнес, до его былой славы. Поверьте, вы не хотите, чтобы вас взломали, никто этого не делает. Но, тем не менее, это случается со всеми подряд ежедневно.

Тем не менее, мы всегда заботимся о ваших интересах, и поэтому мы собрали несколько мер, которые вы можете использовать для повышения безопасности WordPress и снижения вероятности размещения незваных гостей.

С помощью этих передовых методов безопасности WordPress мы хотим, чтобы у вас был самый безопасный из сайтов WordPress. Мы сделаем все возможное, чтобы разбить баллы, но если вам понадобится помощь, задавайте свои вопросы и / или делитесь своим мнением в комментариях.

Это в стороне, давайте укрепим ваш сайт WordPress.

Начните с качественного хостинга WordPress

Как защитить свой блог WordPress, полезные советы для любого пользователя

Конечно, вы не можете ожидать перво классной безопасности от веб-хостинга, который взимает доллар в месяц. Мы все видели планы хостинга «у нас есть все за копейки». Эти мрачные планы теневых хостинговых компаний, обещающие рай всего за 2–4 доллара в месяц. О, разве они не такие соблазнительные?

В основном это пакеты виртуального хостинга, на которых ваш веб-сайт, а значит, и ваш бизнес, будет находиться на одном сервере с миллионом и еще одним сайтом. Всевозможные сайты – хорошие и плохие. Обычно они менее безопасны, чем управляемый хостинг WordPress, который стоит около 30 долларов в месяц.

Если и / или когда один из веб-сайтов будет взломан, вы также подвергаетесь более высокому риску взлома. Фактически, вы будете скомпрометированы, даже если будете так же бдительны, как и другие. Единственный способ смягчить атаки, связанные с веб-хостами, – это с самого начала использовать надежный хост и план безопасного хостинга.

Выбор лучшего хостинга WordPress для вашего бизнеса не должен быть проблемой, учитывая, что нужно учитывать всего несколько факторов. Они включают стоимость, качество поддержки, политики резервного копирования и управления данными, обновления сервера и программного обеспечения на нем и все остальное, что между ними.

Ознакомьтесь со статьей, указанной в предыдущем абзаце, и постарайтесь выбрать удобный хостинг WordPress, основанный, помимо прочего, на функциях безопасности. Если вы хотите пропустить исследование и сразу перейти к размещению своего блога WordPress на защищенных серверах, мы используем, любим и рекомендуем WPEngine. Они предоставляют первоклассный хостинг WordPress с множеством вариантов безопасности, которые поразят вас. Все по выгодной цене. Media Temple и Siteground также являются отличными вариантами хостинга WordPress.

Общий хостинг Bluehost – отличный выбор для новичков, тестирующих воду, но если вам нужен безопасный хостинг для вашего сайта WordPress, вам нужно будет перейти с пакета общего хостинга на один из других пакетов.

Почему ваш хозяин так важен? Меня трижды (да, трижды) взломали их общий пакет. Что ж, отчасти это была моя вина, поскольку я пренебрегал сайтами жертв, что давало хакерам возможность играть так, как они хотели. С тех пор я отключил эти сайты, поскольку они представляли потенциальную опасность для других сайтов на этом конкретном сервере (оставайтесь здесь, поскольку мы упомянем кое-что, как пренебрежение вашим сайтом может привести к неприятным столкновениям с хакерами в Интернете. сосредоточены; обратите внимание, иначе вы заплатите своим сайтом).

Вернемся к выбору высококачественного хостинга WordPress, как вы это делаете? Достаточно простого телефонного звонка на выбранный вами веб-хостинг. Вы должны стремиться увидеть, работают ли они на последних серверах. Спросите об их версиях серверов, безопасности этих серверов и программном обеспечении, которое они запускают на этих серверах.

Затем выполните быстрый поиск в Google, чтобы проверить (или подтвердить) даты выпуска серверного программного обеспечения. Это должно дать вам представление о том, установлена ​​ли у них последняя версия программного обеспечения. Это также поможет вам определить, как часто они обновляют свои серверы. Если они долгое время остаются без обновлений, не стоит доверять им свой онлайн-бизнес.

Будьте бдительны, задавайте другие связанные вопросы и никогда не останавливайтесь, пока не будете удовлетворены, что ваш веб-хостинг – самый безопасный, который можно купить за деньги.

Заготавливайте сено, пока светит солнце, и будьте готовы

Как защитить свой блог WordPress, полезные советы для любого пользователя

Резервный компьютерный ключ синего цвета для архивирования и хранения

Хотя это не может помешать злоумышленникам взломать ваш блог или интернет-магазин WordPress, готовность может уменьшить воздействие атаки. Я говорю о резервных копиях данных, друг мой; регулярное резервное копирование, которое защитит вас от потери важных данных.

Резервное копирование дает вам душевное спокойствие, чтобы вы могли лучше спать по ночам. Резервная копия – это быстрое решение, которое вам нужно, когда дела идут плохо. Когда ваш замечательный сайт с рецептами начинает продавать виагру на всех страницах, вы можете рассчитывать только на резервную копию, чтобы оправиться от такой атаки.

Вы должны стремиться к резервному копированию всей вашей установки WordPress; файлы ядра, базы данных и все остальное. Эксперты также рекомендуют зашифровать ваши резервные копии и хранить их копию на носителе только для чтения.

Вы можете легко запланировать ежедневное резервное копирование или воспользоваться такими инструментами, как MySQL Workbench, WordPress Database Backup (WP-DB-Backup) и BackWPup среди других. Вы тоже можете узнать больше:

Плагины WordPress

Буквально на днях Райан Дьюхерст из WPScan обнаружил (и сообщил) о уязвимости Blind SQL-инъекций в WordPress SEO от Yoast. Сейчас WordPress SEO от Yoast – популярный плагин для SEO с более чем миллионом активных установок. Это означает, что, если бы хакер воспользовался этой дырой в системе безопасности, в их распоряжении было бы более миллиона сайтов WordPress. Миллион с лишним сайтов!

О нет, пожалуйста, не пугайтесь. Yoast выпустил исправление безопасности в тот же день, когда была обнаружена уязвимость. Но есть только одна проблема. В отличие от WordPress, плагины не обновляются автоматически, а это значит, что вы все еще уязвимы, если не обновились до последней версии WordPress SEO.

С таким же успехом можно утверждать, что вы ничего об этом не знали, но у хакеров есть все подробности, поскольку информация находится в общественном достоянии, где она доступна для всех. Какого черта ты ждешь? Нажмите эту кнопку обновления уже. Обновите и все остальные плагины.

По-прежнему занимаясь этим бизнесом по разработке плагинов WordPress, вам следует покупать или загружать плагины WordPress только из надежных источников. На всякий случай берите плагины из обширного репозитория плагинов WordPress или от известных поставщиков, таких как CodeCanyon.

Есть хакеры, которые маскируются под законных разработчиков плагинов, пытаясь предоставить вам плагины, содержащие вредоносный код. Не поддавайтесь их дешевым уловкам, покупайте плагины с проверенных сайтов. Кроме того, не оставляйте неактивные плагины валяться – удалите все неиспользуемые плагины, потому что они являются любимой точкой входа для хакеров. Да, даже когда они отключены.

Между прочим, если вы не работаете с WPEngine и Siteground, не рассчитывайте на то, что ваш веб-хостинг защитит вас от уязвимостей плагинов – возьмите на себя ответственность и жмите на себя.

WordPress темы

Если хакеры не смогут проникнуть через устаревшие, скомпрометированные или плохо закодированные плагины, они найдут лазейки в ваших темах. Фактически, большинство атак происходит через темы и плагины, так что да, вам нужно быть особенно бдительным.

Во-первых, как и в случае с плагинами WordPress, вы не можете позволить себе бегать и выбирать темы откуда угодно. Вы поймаете вирус, вредоносное ПО или что-то еще хуже, а затем заплачете, когда дерьмо попадет в вентилятор.

Если у вас очень ограниченный бюджет или вы только начинаете, вы можете проверить некоторые из наших бесплатных, но профессионально написанных тем WordPress или тысячи бесплатных тем на WordPress.org. В настоящее время я использую бесплатную тему Elegant из нашей собственной конюшни, и она творит чудеса. Видеть? Здесь нельзя проповедовать воду и пить вино 🙂

Что касается премиальных тем, то отличная тема обойдется вам в 60 долларов или около того на некоторых из лучших тематических торговых площадок, таких как Elegant Themes и Themeforest. Среди прочего вы получаете отличный продукт, первоклассную поддержку и обновления безопасности. Если вам нужно указать в правильном направлении, я бы с удовольствием порекомендовал прекрасную тему Total WordPress, которая не что иное, как красивая и безопасная.

Вы должны стремиться постоянно обновлять свои темы, чтобы не вызвать проблем. Тем не менее, удалите все неиспользуемые темы по понятным причинам.

Если у вас есть лишние зеленые расходы или вы сами являетесь разработчиком WordPress, вы можете подумать о создании своих собственных тем. Это единственный надежный, хотя и дорогой способ получить безопасные темы WordPress.

Конечно, вы (или ваш разработчик) должны следовать лучшим стандартам веб-кодирования и при необходимости обновлять темы. Если вы нанимаете веб-разработчика для создания темы, сначала убедитесь, что он пользуется авторитетом. Вы также можете проверить, соответствует ли ваша тема последним стандартам тем WordPress, с помощью такого плагина, как Theme Check. Двигаемся дальше…

Обновите WordPress

Как защитить свой блог WordPress, полезные советы для любого пользователя

Вы всегда должны вести свой онлайн-бизнес на последней версии WordPress, это не сложно. Вы должны думать, что очевидно, что все будут регулярно обновлять WordPress, учитывая, что все мы получаем уведомления на панели инструментов.

Однако это не всегда так, поскольку вы часто можете встретить онлайн-предпринимателей, которые не обновляются до последней версии через несколько недель и даже месяцев после выпуска обновления.

Вы всегда можете получить официальную и последнюю версию WordPress на WordPress.org. Вас также предостерегают от загрузки или установки WordPress с любого другого веб-сайта, потому что вы можете что-то поймать. Что-то действительно плохое, например, взлом бэкдора или какой-то код JavaScript, который загружает мусор и другие взломы на ваш сервер. Просто не загружайте WordPress ни с какого другого сайта, кроме WordPress.org.

Обновление вашей установки WordPress – это простая работа – достаточно указать и щелкнуть. Однако вам рекомендуется сделать резервную копию вашего сайта перед любым обновлением, если что-то сломается в процессе. Кроме того, вы потеряете все изменения, которые вы внесли в основные файлы, поскольку процесс обновления затрагивает все файлы и папки WordPress.

Функция автоматического обновления была введена в WordPress 3.7, чтобы позаботиться о мелких исправлениях безопасности и упростить весь процесс обновления как для разработчиков, так и для конечных пользователей. Теперь вам просто нужно позаботиться об обновлениях основных версий, так что да, ваша работа должна быть легкой. Вам просто нужно включить автообновление.

Обновите, обновите, обновите или приготовьтесь сожалеть, сожалеть, сожалеть.

Очистите свой компьютер

После школы лет десять назад я некоторое время работал в интернет-кафе. Это было довольно интересно, потому что я встретил так много людей и сделал свой прорыв в мир цифрового маркетинга.

Но это не всегда было весело благодаря червям, троянским коням, вирусам, вредоносным программам и так далее. Помню, временами мне приходилось закрывать кафе на день, чтобы просто отформатировать компьютеры. Не имело значения, что на всех компьютерах были установлены и запущены антивирусные программы. Но я отвлекся.

Если хакеру удастся установить на вашем компьютере регистратор ключей в качестве троянского коня (это означает, что регистратор ключей скрыт в другой программе, чтобы замаскировать тот факт, что хакер регистрирует каждое нажатие клавиши на вашем компьютере), вы никогда не защитите свой веб-сайт. какие.

Ваш сайт будет взламываться снова и снова, поскольку вы просто скармливаете свои данные для входа злоумышленникам. А поскольку они могут видеть все ваши нажатия клавиш, у них будет доступ к вашим онлайн-аккаунтам – ко всем. Поговорим об электронной почте, Facebook, Twitter, YouTube и т.д.

Помощник клавиатурных шпионов, на темной стороне Интернета есть и похуже. Например:

На самом деле в дикой природе существуют вирусы, которые заражают ваш локальный компьютер, а затем ищут открытые FTP-соединения и автоматически загружают файл взлома на ваш веб-хост, используя это соединение. – Брэд Уильямс, Блокировка WordPress

Компьютеры в кибер-кафе – это не совсем то, что вам нужно для доступа к панели администратора WordPress. Возможно, это неизбежно, но всегда следите за тем, чтобы на всех используемых вами компьютерах не было вредоносных программ, вирусов и шпионского ПО. В противном случае вы будете вручать хакерам свои данные для входа и многое другое на серебряном блюде.

Убедитесь, что ваша операционная система и программы на вашем компьютере обновлены. Затем включите брандмауэры и получите лучшую антивирусную программу. Мне надоело все время форматировать компьютеры, поэтому я отправился в путешествие, чтобы найти лучшую антивирусную программу. И я его нашел. С тех пор я использовал и полюбил Eset.

Более того, держитесь подальше от ненадежных сайтов, но если вам нужно из-за любопытства, отключите в своем браузере все скрипты, например, Java, JavaScript, Flash и т.д. Или просто не ходи на эти чертовы гребаные сайты.

Создавайте более надежные пароли

Как защитить свой блог WordPress, полезные советы для любого пользователя

Пришло время рассказа. В этот раз я выпил на чашку кофе слишком много и создал сайт WordPress, который «творчески» окрестил # YouCan’tHackThis. Креативно в кавычках, потому что я катался на волнах кофе. Возможно, я выпил или два перед кофе; Я просто не могу вспомнить. Я создаю множество сайтов на WordPress просто для развлечения.

Мое имя пользователя было… подожди… Не хакультура (мы будем винить кофе), а мой пароль был… ну, я не помню. Однако это был обман, пароль, и именно по этой причине он никогда не удерживался, когда какой-то грубый интернет-человек (или штука) ударил по странице входа с помощью «грубой силы».

Короче говоря, моя защита рухнула, и # YouCan’tHackThis рухнул, как стены Иерихона. Google отправил мне ужасное электронное письмо «Предполагается взломать» с образцом URL, и в ходе дальнейшего расследования я обнаружил много мусора.

У хакера хватило наглости опубликовать снимок экрана своего рабочего стола на моем любимом # YouCan’tHackThis, как бы дразнить меня. У него / нее / нее хватило смелости, я говорю вам, потому что в верхней части скриншота были страницы и страницы с пустяками, наполнителем, у которых нет направления.

Я удалил весь сайт и усилил безопасность на других моих сайтах. Я установил iThemes Security, и сегодня все, что я получаю, – это электронные письма с уведомлением о блокировке сайта. Если кто-то попытается проникнуть на любой из моих сайтов с помощью грубой силы, он будет заблокирован на столетие! Да, это 100 лет хакера. Ха-ха, я увлекаюсь.

Как защитить свой блог WordPress, полезные советы для любого пользователя

Слабые пароли могут вас взломать. Точно так же имя администратора, которое вы так дорого держите, упростит работу хакерам. Создавайте персонализированные имена пользователей при установке WordPress и используйте индикатор надежности при создании пароля. Этого должно быть достаточно, но если вы хотите пройти лишнюю милю, вам следует воспользоваться инструментами 1Password и KeePass.

Сообщить об уязвимости безопасности

Вы как пользователь WordPress обязаны сообщать об уязвимости системы безопасности, как только вы ее обнаружите.

Во-первых, это хорошая карма. Во-вторых, то, что происходит вокруг, возвращается. В-третьих, если уязвимость связана с плагином или темой, которую вы используете, вы получите обновления безопасности и большое спасибо. В результате ваш сайт не пострадает, и вы создаете хорошую репутацию, делая мир лучше.

Наша коллективная ответственность как разработчиков Word – указывать на все дыры в безопасности, с которыми мы сталкиваемся. В конце концов, это для нашего же блага.

Ужесточить права доступа к файлам / папкам

Теперь мы входим в самую гущу безопасности WordPress. Как абсолютный новичок, мне не хотелось бы, чтобы вы волновались. Я встряхну его и подам охлажденным, как ты хочешь. Вот так.

Если каждый Том, Дик и Гарри, получивший доступ к вашему серверу, может редактировать (то есть писать в) ваши файлы и папки, то вы так мало можете сделать, чтобы остановить нанесенный ущерб.

Но что, если мы сделаем определенные файлы и папки доступными для записи только вам? Что ж, хакеры не знают, что делать. Они могут нормально сломаться, но ущерб, который они могут причинить, когда ваши файлы недоступны для редактирования / записи, минимален. Блокировка прав доступа к файлам – это мера безопасности, которую вы хотите реализовать, особенно если вы используете план общего хостинга.

Но как вы относитесь к разрешению доступа к файлам и папкам? Вот возможная схема:

  • Все файлы в корневой папке должны быть доступны для записи только вам.
  • / wp-admin / – все файлы должны быть доступны для записи только вам
  • / wp-includes / – все файлы должны быть доступны для записи только вам
  • / wp-content / themes – все файлы должны быть доступны для записи вам и веб-серверу
  • / wp-content / plugins – все файлы должны быть доступны для записи

Как установить права доступа к файлам / папкам?

Чтобы удовлетворить приведенную выше схему, вам необходимо установить права доступа 755 для папок и 644 для файлов. Как? Это самая легкая часть. Вы можете использовать свой FTP-клиент (например, Filezilla) или войти непосредственно в свой файловый менеджер через cPanel.

Использование FTP

После входа на веб-сервер через FTP найдите каталог / файл, для которого вы хотите установить разрешения, щелкните его правой кнопкой мыши и выберите «Разрешения для файлов». На появившемся всплывающем экране выберите разрешения по своему усмотрению. Всплывающее окно может выглядеть примерно так:

Как защитить свой блог WordPress, полезные советы для любого пользователя

А вот полный список прав доступа к файлам от 000 до 777.

Как защитить свой блог WordPress, полезные советы для любого пользователя

Использование файлового менеджера

Как защитить свой блог WordPress, полезные советы для любого пользователя

Войдите в свою cPanel и перейдите в Диспетчер файлов. Когда он загрузится, выберите свой каталог или файл и нажмите «Изменить разрешения» в меню вверху. Кроме того, вы можете выбрать папку или файл, щелкнуть их правой кнопкой мыши и выбрать «Изменить разрешения» в появившемся раскрывающемся меню.

Вот некоторые рекомендации:

Как защитить свой блог WordPress, полезные советы для любого пользователя

Опция щелчка правой кнопкой мыши…

Как защитить свой блог WordPress, полезные советы для любого пользователя

Всплывающее окно «Изменить разрешения»:

Как защитить свой блог WordPress, полезные советы для любого пользователя

Хотите узнать больше? Подробнее о правах доступа к файлам читайте здесь. Быстро двигаемся…

Двухэтапная аутентификация

Лучший способ защитить ваши онлайн-активы – сделать так, чтобы злоумышленникам было невероятно сложно войти в систему. Если вы можете не допустить их, вы выиграли половину битвы. Здесь и появляется двухэтапная (или двухфакторная) аутентификация.

Когда вы комбинируете надежные пароли и двухфакторную аутентификацию, вы добавляете уровень защиты своему сайту. Вы в два раза улучшите безопасность своего сайта WordPress.

А поскольку у нас есть плагины, такие как Google Authenticator, WordFence, Authy и Duo, реализация двухэтапной аутентификации должна быть самой простой мерой безопасности WordPress, которую вы можете применить прямо сейчас.

Использовать SSL

SSL – это аббревиатура от Secure Sockets Layer, который является стандартным способом установления безопасного зашифрованного соединения между сервером веб-сайта и браузером пользователя.

Иногда, вместо того, чтобы пытаться сломать защиту вашего веб-сайта, хакеры могут решить перехватить пакеты данных, которые вы отправляете из своего браузера на веб-сервер. Когда они открывают эти пакеты, они легко получают доступ к вашей информации для входа в систему и так далее.

Что делать? Вам необходимо использовать SSL-шифрование, которое защищает конфиденциальность и целостность всех данных, передаваемых между вашим сайтом и сервером. Именно поэтому вы найдете все основные сайты, использующие HTTPS, а не HTTP в своих доменах.

Его легко реализовать, и вы можете сэкономить много времени и нервов. Просто свяжитесь с регистратором домена или веб-хостингом, и они будут рады установить для вас SSL. SSL-сертификаты также обычно дешевы, так что вы можете сэкономить один или два доллара.

Отключить неиспользуемые учетные записи пользователей

Думайте об учетных записях пользователей на ваших сайтах WordPress как о сиденьях в автобусе. Если будет свободное место, кто-нибудь уживется. Если сиденье занято иным образом или его нет, что ж, никто не займет это конкретное место.

Если вы включили регистрацию пользователей на своем веб-сайте WordPress, время от времени просматривайте учетные записи пользователей и удаляйте неиспользуемые учетные записи и все учетные записи, созданные спамерами. Если вы оставите их, вы просто просите, чтобы вас взломали – и вас взломают.

Кроме того, вы можете полностью отключить регистрацию пользователей, перейдя в «Настройки» -> «Общие»  и сняв флажок «Кто угодно может зарегистрироваться», если у вас есть членство. Вы можете увидеть всех пользователей, перейдя в «Пользователи» -> «Все пользователи»  в меню администратора WordPress.

В то же время вы можете ограничить разрешения для новых учетных записей пользователей. Это легко сделать, перейдя в «Настройки» -> «Основные» – «Роль нового пользователя по умолчанию» и выбрав для параметра  «Подписчик». Другие роли включают участника, автора, редактора и администратора. Вы определенно не хотите, чтобы у новых пользователей были права администратора. Лучше всего назначать пользователям только те привилегии, которые им необходимы для выполнения своей работы.


Я мог бы продолжать и продолжать, но я просто ошеломлю вас большим количеством информации, что определенно не входило в мои намерения. Мы хотели бы, чтобы вы получили действенные советы, которые вы можете начать реализовывать прямо сейчас, но это будет несбыточная мечта, если я утоплю ваше внимание в плотине фактоидов и прочего. Итак, здесь я беру лук и позволяю шторам закрыться.

Возвращаясь к вам, пожалуйста, начните работать над областями, которые мы упомянули прямо сейчас, потому что чем дольше вы будете ждать, тем легче будет плохим парням. Просто начните с одной области и двигайтесь дальше, а если вы застряли или сомневаетесь, сообщите о своих проблемах в разделе комментариев ниже. Или, если у вас есть отзыв, дайте нам знать – мы будем ждать, и это торжественное обещание. Всего наилучшего амиго!

Кнопка «Наверх»