Более 40% из 10 миллионов самых популярных веб-сайтов в Интернете используют WordPress. Но безопасен ли WordPress? Краткий ответ на этот вопрос: Да – WordPress безопасен. Однако это не означает, что в WordPress нет уязвимостей.
К счастью, сообщество WordPress задокументировало множество распространенных уязвимостей WordPress, что позволяет администраторам веб-сайтов легко добавлять уровни безопасности на свои сайты для устранения этих уязвимостей. Кроме того, есть несколько простых способов обновить или поддерживать ваш веб-сайт WordPress, чтобы гарантировать его максимальную безопасность.
В этой статье я расскажу о 5 простых способах сделать ваш сайт WordPress больше обеспечить.
1. Иметь уникальные имена пользователей администратора и надежные пароли для входа
Страница входа администратора — это первая линия защиты вашего сайта WordPress. Здесь любой администратор или пользователь может получить доступ к «внутренней части» вашего сайта и вносить изменения в сайт, вводить или извлекать данные пользователя/клиента, а также добавлять или удалять файлы и функции сайта — при условии, что им было предоставлено на это разрешение. .
Тем не менее, злоумышленники также могут использовать эту страницу входа в качестве шлюза для атаки на ваш сайт. Например, в «Грубая сила», хакеры предпринимают неоднократные попытки угадать ваши учетные данные, чтобы получить доступ к вашему сайту.
Этим хакерам не потребуется много времени, чтобы взломать конфиденциальную информацию вашего сайта, если вы используете общее имя пользователя и пароль администратора (например, «admin» для имени пользователя и «password1234» для пароля).
Поэтому первая простая вещь, которую вы можете сделать, чтобы сделать свой сайт более безопасным, это используйте уникальные имена пользователей и надежные пароли для учетных данных для входа на сайт. Вы также должны убедиться, что ваше имя пользователя и пароль уникальный для вашего сайта WordPress и не используется для других мест входа в систему (например, ваш онлайн-банкинг или вход в социальные сети). Это добавит дополнительный уровень безопасности.
Если, с другой стороны, вы повторно используете свои имена пользователей и пароли на нескольких сайтах, все сайты, использующие эти учетные данные, окажутся под угрозой в тот момент, когда один из них будет скомпрометирован хакером.
Если вы беспокоитесь о потере данных для входа в систему, сделайте бумажную копию этой информации (не забудьте правильно использовать заглавные буквы!). Храните бумажную копию в безопасном месте, доступ к которому есть только у вас и доверенных лиц (например, в запираемом картотечном шкафу).
Кроме того, вы можете включить двухфакторную аутентификацию или одноразовый пароль (OTP) для своей страницы входа в WordPress. Это обеспечит еще один уровень безопасности для более высоких уровней защиты. Например, Плагин безопасности WordPress SG Security (который идет с SiteGround хостинговые планы) поставляется с функцией «двухфакторной аутентификации», которая использует подключаемый модуль Google Authenticator. Это означает, что даже если хакер угадает ваше имя пользователя и пароль администратора, ему все равно придется вычислить случайно сгенерированный код аутентификации, чтобы получить доступ к серверной части вашего сайта.
2. Используйте последнюю версию WordPress
Еще один простой способ обеспечить безопасность вашего сайта — всегда использовать последнюю версию WordPress. WordPress работает по «циклу выпуска», который выпускает новые версии основного кода каждые 4 месяца или около того. Хотя новые версии WordPress могут быть второстепенными или основными, они почти всегда содержат обновления безопасности.
Эти обновления основаны на последней информации из таких источников, как Открытый проект безопасности веб-приложений (OWASP Foundation), «онлайн-сообщество, посвященное безопасности веб-приложений».
К счастью, WordPress и каждую из его новых версий всегда можно бесплатно установить на ваш сайт. И, в большинстве случаев, WordPress автоматически обновит ваш сайт до последней версии (если вы специально не запретите это или не используете версию старше WordPress 3.7).
Кроме того, основная команда WordPress тратит много усилий на обеспечение обратной совместимости новых версий WordPress. Это просто означает, что новые версии WordPress предназначены для работы с вашими существующими темами, плагинами и пользовательским кодом.
Вы можете проверить, обновлен ли ваш сайт до последней версии, перейдя в «Панель инструментов»> «Обновления» (желтая стрелка на изображении выше). Здесь вы увидите, какую версию WordPress вы используете и является ли она последней доступной версией (красная стрелка на изображении выше).
Важно отметить, что обычно вы не хотите «перескакивать» на последнюю версию WordPress, если используете более старую версию.
Например, если вы используете WordPress 4.9 (выпущенный в 2017 году) на своем активном сайте, я не рекомендую пытаться сразу обновиться до WordPress 6.2 (последняя версия на момент написания этой статьи). Это сломает вещи.
Вместо этого вы можете загрузить и установить прошлые выпуски на свой веб-сайт и постепенно обновляйте ваш сайт. Кроме того, вы захотите сделать резервную копию файлов вашего сайта перед выполнением обновлений. Я рекомендую проверить эта статья о различных шагах, которые необходимо предпринять до, во время и после резервного копирования вашего сайта WordPress.. Это, безусловно, может быть процессом, но он избавит вас от головной боли, связанной со сбоем вашего сайта и попытками исправить все постфактум.
Обратите внимание, что чем старше ваша текущая версия WordPress, тем более утомительным и опасным будет этот процесс. Это еще одна причина постоянно обновлять свою версию WordPress!
3. Обновите свою тему до последней версии, а также удалите неиспользуемые темы.
WordPress «укрепляет» безопасность своих тем по умолчанию, постоянно разрабатывая, итерируя и выпуская новые версии тем. Это означает, что вы всегда должны использовать последнюю тему WordPress по умолчанию, когда это возможно, поскольку в нее будут встроены все последние обновления безопасности.
К счастью, легко сказать, какая тема по умолчанию является последней, потому что они называют каждую новую тему после текущего (или предстоящего) года, когда тема должна быть выпущена. Например, тема, которую они выпустили в 2023 году, называется «Двадцать двадцать три».
Помимо обновлений безопасности, новые темы по умолчанию также содержат множество новых функций, призванных сделать разработку веб-сайтов проще и приятнее. Кроме того, они часто поставляются с улучшениями производительности, чтобы повысить производительность вашего сайта и, таким образом, помочь вам получить больше трафика.
Не знаете, как обновить свои темы в WordPress? Я покажу вам, как в моем WordPress для начинающих 2023: Мастер-класс по WordPress без кода на Udemy.
Независимо от того, решите ли вы использовать последнюю тему по умолчанию для своего сайта WordPress или придерживаться удобной темы, вы всегда должны удалять все неактивные или иным образом неиспользуемые темы в админке вашего сайта. Это связано с тем, что неиспользуемые темы (особенно старые темы или сторонние темы) могут иметь уязвимости в системе безопасности, которые облегчают хакерам доступ к вашему сайту и его атаку.
4. Обновите плагины до их последней версии и проверьте совместимость
Одна из вещей, которая делает WordPress отличным, — это интеграция сторонних плагинов. Однако не все плагины одинаковы, и некоторые из них могут создавать уязвимости в системе безопасности вашего сайта.
К счастью, есть несколько простых вещей, которые вы можете сделать, чтобы снизить риск угроз безопасности, создаваемых плагинами.
Для начала всегда рекомендуется загрузить и установить плагины WordPress из репозитория WordPress. Это связано с тем, что перечисленные здесь плагины должны быть проверены и одобрены командой безопасности WordPress, прежде чем они станут доступны для загрузки. Вы можете найти эти плагины через эта прямая ссылка на репозиторий плагинов, или непосредственно в области администрирования WP вашего сайта, выбрав «Плагины»> «Добавить новый» (желтая стрелка на изображении ниже).
При принятии решения о том, какой плагин загрузить для вашего сайта WordPress, я настоятельно рекомендую использовать плагины, которые перечислены как «совместимые с вашей версией WordPress». К счастью, WordPress сообщает вам, совместимы ли ваш плагин и версия WordPress, непосредственно из каталога плагинов (красная стрелка на изображении выше). Плагины, которые не были протестированы на последней версии WordPress, будут отображать сообщение: «Не проверено с вашей версией WordPress» (синяя стрелка на изображении выше).
Хотя «непроверенные» плагины могут нормально работать с вашей версией и темой WordPress, в этих плагинах могут быть обнаружены необнаруженные уязвимости безопасности. Так что используйте такие плагины с осторожностью на своем сайте.
Обратите внимание, что WordPress заявляет в своей Белой книге по безопасности: «Включение плагинов и тем в репозиторий не является гарантией того, что они свободны от уязвимостей безопасности». При этом плагины с известными «серьезными уязвимостями» удаляются из репозитория и даже могут быть исправлены командой безопасности WordPress, прежде чем они будут размещены в репозитории.
Наконец, как только на вашем сайте будут установлены плагины, вам нужно убедиться, что вы поддерживаете их все в актуальном состоянии. Разработчики подключаемых модулей обычно добавляют обновления безопасности и исправления в свои новые версии. Таким образом, имея последнюю версию плагина, вы гарантируете наличие на своем сайте всех последних обновлений безопасности для этого плагина. Как и в случае с неиспользуемыми или неактивными темами, я также рекомендую вам деактивировать и удалить любые неиспользуемые плагины на вашем сайте, чтобы уменьшить вероятность того, что такие плагины впоследствии создадут уязвимость в системе безопасности.
Если вы не знаете, как обновлять плагины в WordPress, я настоятельно рекомендую проверить этот процесс в моем WordPress для начинающих 2023: Мастер-класс по WordPress без кода на Udemy.
5. Добавьте SSL-сертификат в свой домен
Финал легко способ повысить безопасность вашего сайта WordPress в 2023 году — добавить SSL-сертификат в свой домен.
Сертификаты SSL (Secure Socket Layer) фактически подтверждают, что контент, который видят посетители вашего сайта, исходит от фактического создателя контента, а не от самозванца или мошеннического веб-сайта. Другими словами, он проверяет, что все законно, прямо из браузера пользователя.
Сайты с правильно настроенным SSL-сертификатом будут иметь значок замка рядом с URL-адресом сайта в строке поиска браузера. Например, если вы посмотрите на верхнюю часть этого веб-сайта в браузере Google Chrome, вы увидите значок замка рядом с основным URL-адресом (красная стрелка на изображении выше). Когда вы нажмете значок замка, вы увидите строку с надписью «Соединение защищено». Это Google проверяет, что соединение между этим веб-сайтом и веб-браузером посетителя является безопасным и конфиденциальным.
SSL-сертификаты особенно важны для любого веб-сайта, который собирает ЛЮБОЕ Тип пользовательских данных. Это включает в себя простую информацию, полученную из контактной формы (например, имя, адрес электронной почты, номер телефона и т. д.), а также более сложную или личную информацию, которая может быть получена, например, с сайта электронной коммерции (например, номера кредитных карт, адрес, и т. д.). Делая соединение между веб-сайтом и посетителями безопасным, SSL-сертификаты усложняют хакерам кражу информации, которой обмениваются две стороны.
Некоторые хостинговые компании взимают плату за SSL-сертификат, в то время как другие (например, SiteGround) предложит бесплатный сертификат SSL. Большинство хостинг-провайдеров должны предлагать SSL-сертификат, а также предоставлять инструкции по его установке на ваш сайт WordPress.
В качестве дополнительного бонуса поисковые системы, такие как Google, склонны ранжировать веб-сайты с SSL-сертификатами выше, чем те, у которых его нет. Другими словами, SSL-сертификаты не только делают ваши сайты более безопасными, они также могут помочь вашему сайту получить больше трафика.
Это все для этой статьи! Если вам понравилось, вы можете узнать больше о том, как создать веб-сайт WordPress от начала до конца в моем WordPress для начинающих 2023: Мастер-класс по WordPress без кода на Udemy.
