Миф о небезопасности WordPress? Как защитить свой сайт на WordPress?

1. Держите WordPress в актуальном состоянии!

Наша главная и важная рекомендация – поддерживать WordPress в актуальном состоянии! WordPress – очень активная платформа и для нее регулярно появляются обновления. Обновления включают в себя множество новых функций и изменений в бэкэнде, а также исправляют многие ошибки и эксплойты, обнаруженные командой WordPress. Просто взгляните на релизы и заметки о патчах на wordpress.org, чтобы понять, сколько работы проводится на поиск и исправление этих проблем! Вопрос не в том, что сама система уязвима и ее чинят. Сегодня прогресс не стоит на месте, технологии развиваются и придумываются новые способы взлома. Если на самописном сайте это только ваша головная боль, то для WordPress работает целое сообщество программистов!

Не установив даже одну или две версии, вы можете оставить свой сайт открытым для хакеров, которые анализируют обновления, создают эксплойты и ищут устаревшие сайты в Интернете. Чем дольше сайт не обновляется, тем больше возможно наличие уязвимостей и проблем с безопасностью. А это повышает вероятность того, что ваш сайт может быть взломан.

То же правило применяется к вашим плагинам и темам, убедитесь, что все они должным образом обновлены ! Что приводит нас ко второму пункту в нашем списке!

2. Просмотрите ваши плагины и темы!

WordPress великолепен, потому что плагины могут быстро и легко предоставлять новые функции (разработка которых с нуля стоит немалых денег). Таким образом специалист быстро настроит ваш сайт, а темы (темплейты) могут придать вашему сайту очень профессиональный стилистический вид. Но всегда важна качественная техподдержка, а если проектом не занимаются должным образом – это может привести к проблемам. Как быть?

Во-первых, просто удалите все плагины и темы, которые вам не нужны. Вы можете оставить их отключенными, но их полное удаление является более безопасным вариантом, поскольку файлы не будут находиться на вашем сервере. Даже если он отключен, он потенциально может быть достигнут, если эксплойт сможет получить доступ к файлам.

Побочным эффектом удаления плагинов является то, что это может также ускорить наш сайт!

После удаления любых плагинов и тем, которые вам не нужны, не забывайте обновлять те, которые у вас остались. WordPress обычно может проверять наличие обновлений прямо в административной панели, но если вы купили плагин из стороннего источника, обязательно сверьтесь с ним на предмет любых обновлений. Также рекомендуем посетить веб-сайт каждого плагина и темы. Или даже проверить отзывы на других сайтах, чтобы убедиться, что разработка по-прежнему активна на нем и что нет известных уязвимостей.

3. Защитите свои логины!

Публичный доступ к вашему сайту в Интернете означает, что собственники и потенциальные клиенты могут получить доступ к вашему сайту, а также боты и хакеры! По умолчанию WordPress позволяет вам перейти на yourdomain.com/wp-login.php или yourdomain.com/wp-admin и открыть страницу входа. Если вы попробуете и увидите страницу входа, настоятельно рекомендуем использовать плагин, чтобы скрыть этот вход.

А если тысячи ботов пытаются войти в систему и угадать пароли, что им помешает? Убедитесь, что вы используете надежные пароли, не используйте одно и то же имя пользователя и пароли в нескольких местах, устройте ревизию пользователей WordPress. Часто бывает, чтобы неактивные аккаунты все еще действительны. Например, если вы предоставили разработчику доступ несколько лет назад, возможно, вам не нужно, чтобы этот пользователь сидел без дела. Также проверьте FTP и доступы к вашему хостингу, ведь это самый короткий путь к потере данных.

4. Установите защитные плагины

Мы ранее советовали уменьшить количество плагинов. Но это правило всегда имеет исключения в виде must have плагинов. Например, чтобы блокировать вредоносные скрипты, отслеживать подозрительную активность и сканировать файлы сайта на наличие вредоносных программ. Мы рекомендуем iThemes Security, поскольку он предлагает множество различных функций в одном плагине. Но вы можете посмотреть, что популярно и прочитать другие обзоры. Например, если у вас есть сайт, на который пользователи могут загружать данные, было бы неплохо сканировать эти файлы по мере их загрузки и блокировать или, по крайней мере, сообщать о подозрительных.

В зависимости от того, какой уровень защиты вам необходим, вам будут рекомендоваться платные опции, чтобы повысить вероятность блокирования новых эксплойтов, а также расширения возможностей и новых определений вирусов.

5. Убедитесь, что у вас есть хорошие резервные копии

Наличие хороших резервных копий – это не совсем активный шаг к тому, как защитить ваш сайт. Но Вы скажете им спасибо, когда в реактивном режиме будет необходимо восстановить сайт. Это хорошая идея для любого бизнеса, которому важны данные на сайте. Подумайте обо всех заказах, профилях, записях, журналах и другой важной информации. И представьте, что это все исчезло. Часто это бывает не из-за взлома, а из-за ошибки сотрудника. Если у вас нет резервных копий для восстановления, то, в зависимости от характера вашего бизнеса, это может быть сотни рабочих часов для команды, чтобы восстановить сайт, потерянный доход, потерянные клиенты, и, безусловно, будет серьезным ударом для вашей репутации.

Если у вас были резервные копии, в зависимости от частоты создания резервных копий и от того, как быстро проблема была замечена и устранена, потеря данных может быть небольшой или незначительной, клиенты могут не заметить, и сайт может быстро восстановиться.

Мы настоятельно рекомендуем сделать несколько резервных копий за определенный период времени. Чем больше у вас резервных копий, тем больше контроль над контентом сайта. Наличие только одной ежедневной резервной копии может вызвать проблемы, ведь проблема может быть не замечена в течение нескольких дней после ее возникновения. Активные сайты могут нуждаться в постоянном резервном копировании по сравнению со статическими сайтами, который, возможно, не менялся в течение нескольких месяцев.

Хранение резервных копий в разных местах поможет распределить риски потери. Например, если выделенный резервный жесткий диск вышел из строя, вы можете сохранить резервные копии в другой месте, которая не будет затронута. Думайте об этом, как о том, чтобы не класть все яйца в одну корзину!

В итоге, после выполнения вышеуказанных шагов, мы получаем сайт, который полностью защищен от угроз автоматического взлома. Вопросы целенаправленного взлома – решаются двухфакторной авторизацией и нашей квалифицированной техподдержкой