Зверніть увагу, що заходи безпеки, описані в цій статті, не можуть гарантувати, що ваш вебсайт буде на 100% захищений від злому. Основною проблемою є цінність даних вашого вебсайту. Якщо вони варті мільйони доларів, вам обов'язково знадобиться досвідчена команда вебмайстрів для розробки та підтримки безпеки вебсайту. Якщо це менш витратно (близько кількох тисяч доларів), поради нижче можуть допомогти захистити ваш сайт на WordPress від хакерів.
Примітка! Ми настійно рекомендуємо перевірити загальні рекомендації з безпеки, оскільки вони не будуть згадані в цій статті. Вони застосовні до всіх сайтів, незалежно від використаної CMS. Ця стаття описує рекомендації спеціально для безпеки вебсайтів, створених на WordPress.
Як захистити ваш вебсайт, створений на WordPress?
1. Оновлення
Перевіряйте офіційний вебсайт на наявність оновлень CMS або розширень якомога частіше. Там ви можете знайти та завантажити різні патчі, які допомагають виправити вразливості, помилки та інші проблеми. Наприклад, хакер знаходить певну вразливість, яка дозволяє йому зламати CMS. Оскільки ця CMS використовувалася для створення тисяч вебсайтів, він може отримати доступ до будь-якого з них. Як тільки ця вразливість повідомляється, розробники виправляють її та завантажують певний патч на офіційний вебсайт. Ось чому ми настійно рекомендуємо регулярно оновлювати саму CMS та всі можливі компоненти та теми. Просто не забувайте, що всі компоненти та їх оновлення слід завантажувати лише з офіційного вебсайту WordPress.
2. Сторонні розширення
Не встановлюйте підозрілі сторонні розширення або модулі. Найменше, що вони можуть зробити, це працювати неправильно та викликати проблеми з певною функцією. Однак, більш ймовірно, що вони містять шкідливий код, який дозволяє отримати доступ до ваших вебсайтів. Після цього ці так звані розробники можуть шантажувати вас або продавати конфіденційну інформацію третім сторонам (на чорному ринку). Більше того, навіть якщо плагін не містить шкідливого коду, це не означає, що він дуже безпечний і не містить жодної вразливості. Тому ми рекомендуємо або завантажувати розширення лише з офіційного вебсайту, або ретельно досліджувати перед встановленням певного плагіна.
3. Надійний провайдер хостингу
Коли ми говоримо про безпеку вебсайту, ми маємо на увазі комплекс як безпеки CMS, так і безпеки хостингу. Програмне забезпечення, встановлене на сервері, має свої вразливості і також може бути зламане. Тому його також потрібно оновлювати. На жаль, не всі провайдери хостингу оновлюють своє програмне забезпечення досить часто. Більше того, якщо рівень безпеки сервера низький, ваші сайти можуть бути недоступні, якщо ваш серверний "сусід" зазнає DDoS-атаки. Через це переконайтеся, що обраний вами провайдер хостингу є безпечним (надає захист від DDoS, антивірус і сканер шкідливого програмного забезпечення, моніторить сервери, оновлює програмне забезпечення). Ми рекомендуємо розглянути компанії з хорошими відгуками та великою кількістю клієнтів. Ви можете знайти різні рейтинги в нашому футері.
4. Облікові дані для входу
Не використовуйте 'admin' як ім'я користувача для вашої панелі адміністратора. Також переконайтеся, що ваш пароль важко вгадати, він містить літери, цифри, спеціальні символи, великі та малі літери. Не надавайте свої облікові дані для входу нікому. У разі, якщо вам потрібно змінити деякі налаштування, краще знайти їх у Google, ніж просити когось налаштувати їх для вас. Крім того, редагування налаштувань WordPress не вимагає глибоких знань програмування.
5. Спроби входу
Якщо хакер використовує атаку грубої сили (введення багатьох паролів або фраз з надією вгадати правильно) для отримання доступу до ваших облікових даних для входу, він може досягти своєї мети, якщо спроби входу не обмежені. Ось чому ми рекомендуємо обмежити спроби входу з певної IP-адреси. Ви можете використовувати Limit Login Attempts або Login LockDown плагіни для цієї мети. Просто не забувайте про це обмеження під час входу.
6. Теми
Перед встановленням теми досліджуйте всю можливу інформацію про компанію (або особу), яка її розробила. Читання відгуків та перевірка форумів також є хорошою ідеєю. Ви обов'язково знайдете людей, які використовували цю тему протягом певного періоду часу, і запитайте їх, чи стикалися вони з якимись проблемами після встановлення цієї теми. Також, як тільки тема встановлена, краще вимкнути редагування теми. Це може допомогти у випадку, якщо хакер отримав доступ до вашої панелі адміністратора через встановлену тему. Щоб вимкнути редагування, потрібно додати наступний рядок до файлу wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
7. Ключі шифрування
Ми рекомендуємо змінити ключі шифрування, оскільки існує ймовірність, що хакери вже знають стандартні. Для цього вам потрібно відвідати цей розділ офіційного вебсайту WordPress, скопіювати вказані значення та вставити їх у файл wp-config.php. Альтернативно, ви можете ввести власні значення.
8. Модулі безпеки
Вільно використовуйте наступні розширення для забезпечення безпеки вашого вебсайту:
- Better WP Security - один з найпопулярніших плагінів безпеки з багатьма різними функціями;
- WP Security Scan - використовує багато різних критеріїв для перевірки безпеки вашого вебсайту. Однак, зверніть увагу, що він не оновлювався протягом 4 років. Тому він досить корисний, однак, ми рекомендуємо використовувати його з іншим плагіном, оскільки цей може містити вразливості;
- WP Antivirus - сканує ваш вебсайт на наявність вразливостей та несанкціонованих спроб входу. У разі виявлення чогось підозрілого, ви отримаєте повідомлення електронною поштою. Цей плагін має ту ж проблему, що і попередній: він не оновлювався протягом 3 років. Тому він може не виявити нові сигнатури вірусів та вразливості;
- Sucuri Scanner - сканер шкідливого програмного забезпечення та інструмент проти злому. Цей плагін оновлюється більш-менш регулярно (він був оновлений місяць тому), тому його можна вважати надійним.
9. Переміщення файлу wp-config.php
Краще видалити файл wp-config.php з папки public_html. Ви можете розмістити його в папці, що на один рівень вище в ієрархії файлів. Тут ви можете знайти інструкції.
10. Обмеження IP-адреси для входу
Обмежте доступ до адміністративної області за IP-адресою. Щоб заблокувати всі IP-адреси, окрім однієї, вам потрібно ввести наступний текст у файл .htaccess:
order deny,allow
allow from xxx.xx.xxx.xx
deny from all
xxx.xx.xxx.xx слід замінити на IP-адресу, яку ви використовуєте для входу в панель адміністратора.
11. Дозволи на файли
Встановіть наступні значення дозволів: 755 - для папок і 644 - для всіх файлів. Іноді для папки wp-content встановлюється 777, однак, ми рекомендуємо замінити його на 755 (це означатиме, що інші користувачі не зможуть додавати жодний контент на ваш вебсайт).
12. Сканування на віруси
Не переходьте за підозрілими посиланнями, не відкривайте електронні листи від невідомих (і підозрілих) відправників і не встановлюйте стороннє програмне забезпечення. Навіть якщо ви обережні і не робите нічого з цього, ми все ж рекомендуємо оновлювати ваш антивірус і регулярно виконувати сканування на віруси.
Якщо у вас є які-небудь пропозиції щодо безпеки вебсайтів на WordPress, не соромтеся залишати їх у розділі коментарів, і ми з радістю додамо їх до статті.
