ИТ Блог. Администрирование серверов на основе Linux (Ubuntu, Debian, CentOS, openSUSE)

Лучшие практики по безопасности WordPress до конца 2019 года

Лучшие практики по безопасности WordPress до конца 2019 года

Многие хакеры нацелены на установку WordPress специально. В этой статье мы расскажем о лучших методах обеспечения безопасности WordPress.

Новые приложения для обмена контентом появляются каждый день, но WordPress остается самой используемой платформой в мире. Что делает его таким особенным? Ответ сводится к мощному сочетанию надежности и гибкости. Люди и команды, которые создают веб-сайты на WordPress, могут быть уверены, что результаты будут профессиональными и простыми в использовании.

Одним из распространенных заблуждений является то, что WordPress предназначен только для блогов. Но на самом деле, многие малые и средние предприятия используют WordPress для управления всем своим общедоступным веб-присутствием, а также интрасетями и внутренними инструментами. По своей сути WordPress представляет собой систему управления контентом (CMS), которую можно использовать для распространения информации любого рода.

Но, как и любая веб-платформа, WordPress уязвим с точки зрения безопасности. И из-за его глобальной популярности многие хакеры нацелены на установки WordPress специально. В этой статье мы расскажем о лучших методах обеспечения безопасности WordPress.

 

Контроль безопасности аккаунта

Установки WordPress обычно создаются с двумя типами учетных записей: администраторы и обычные пользователи. Администраторы имеют полный доступ к внутренним службам и могут настраивать конфигурацию сайта с помощью инструмента, известного как консоль администратора. С другой стороны, обычные пользователи могут войти в систему только через внешний интерфейс для создания или редактирования контента.

Как правило, вы должны ограничивать учетные записи администратора только теми лицами, которым требуется возможность настраивать тему WordPress или вносить другие изменения в масштабах всего сайта. Чем больше людей имеют учетные записи администратора, тем выше вероятность того, что хакер сможет украсть учетные данные и начать атаку на ваш сайт.

В консоли администратора WordPress вы можете включить двухфакторную аутентификацию для всех стандартных учетных записей пользователей. Это означает, что когда пользователь войдет в интерфейс WordPress, он получит текстовое сообщение или электронное письмо с уникальным кодом, чтобы подтвердить свою личность.

Как и в случае с любыми учетными данными на веб-сайте, вы должны требовать, чтобы пользователи WordPress поддерживали сложный пароль. Консоль администратора позволяет вам настроить сценарий, чтобы заставить пользователей менять новый пароль через заданное количество месяцев.

 

Инвестируйте в безопасный веб-хостинг

На заре WordPress многие владельцы блогов и веб-сайтов запускали код CMS с локального сервера, который они сами размещали. В настоящее время все перешло к подходу облачных вычислений, где виртуализированные серверы обслуживаются в крупных центрах обработки данных, так что отдельные клиенты могут арендовать вычислительную мощность и память.

Использование провайдера облачного хостинга для нового сайта или существующей миграции, как правило, является самым простым и наиболее экономичным решением. Однако важно помнить, что не все облачные компании созданы одинаково. При выборе хоста вам необходимо сбалансировать стоимость, надежность и производительность.

Что поднимает вечно популярный вопрос о том, безопасен ли бесплатный веб-хостинг? В общем, если вы беспокоитесь о безопасности, и вам следует это делать, держитесь подальше от якобы «бесплатных» веб-хостов,которые ничего не взимают. Есть исключения, но большинство существующих проблем делятся на две категории.

Во-первых, они не будут тратить деньги на модернизацию своей инфраструктуры (включая критическое программное обеспечение для безопасности, предназначенное для защиты от последней версии вымогателей), что увеличивает вероятность того, что хакер пройдет через парадную дверь и испортит ваш сайт. Во-вторых, они наклеивают рекламные объявления по всему вашему сайту, возможно, предоставляя рекламодателям привилегии для ставок. Это сомнительный способ работы. Для чего-либо, кроме сайта для хобби, инвестируйте пять долларов в месяц, чтобы обеспечить более надежный хостинг.

 

Включить сертификат SSL

Когда вы просматриваете Интернет на своем компьютере или мобильном устройстве, вы часто замечаете маленький значок замка, который появляется рядом с URL в адресной строке. Символ означает, что просматриваемая в настоящее время веб-страница защищена действительным сертификатом уровня защищенных сокетов (SSL) ( несмотря на недавние хакерские махинации с сертификатами TLS).

SSL является критической формой защиты от вторжений и кибератак. Когда ваш браузер подключен к сайту с поддержкой SSL, это означает, что все данные, отправляемые туда и обратно, полностью зашифрованы. Даже если хакер сможет проникнуть в ваш маршрутизатор и локальную сеть, он не сможет расшифровать перехваченный трафик.

Если вы планируете поддерживать транзакции по кредитным картам или другие передачи частной информации, то SSL-сертификат является обязательным для вашего сайта. Вы обнаружите, что некоторые провайдеры облачного хостинга предлагают бесплатный SSL-сертификат в рамках плана хостинга. Для сторонних опционов цены, как правило, повсюду.

 

Используйте самые безопасные плагины безопасности

Лучшая часть WordPress – это количество настроек, которые позволяет платформа. Выбрав основную тему для веб-сайта и установив параметры визуального отображения, вы можете искать на широком рынке плагинов и расширений, в том числе ориентированных на безопасность.

Например, вы столкнетесь с плагинами WordPress, которые выполняют функцию брандмауэра, отслеживают входящий трафик на ваш сайт и блокируют любые подозрительные угрозы. Вы также найдете плагины для сканирования, которые будут искать ваш код WordPress на наличие потенциальных вредоносных программ или уязвимостей.

Но перед установкой и включением любого подключаемого модуля безопасности на консоли администратора WordPress обязательно внимательно изучите его историю и разработчиков. Известно, что хакеры распространяют опасные вирусы под видом безопасных плагинов.

 

Регулярно сохраняйте резервные копии

Как владелец сайта, вы всегда должны иметь план для худшего сценария. Представьте, что ваш облачный провайдер вышел из строя или ваши фоновые серверы заражены вирусом-вымогателем. В такой ситуации вам нужно иметь команду аварийного восстановления, готовую действовать.

И если у вас его нет, надежной резервной копией будет следующая лучшая вещь. Даже небольшое время простоя сайта может подорвать репутацию вашей компании и расстроить посетителей. Но с резервной копией, вы можете быстро восстановить в последний момент времени и снова начать работать гладко.

Некоторые провайдеры облачного хостинга предлагают услугу резервного копирования за дополнительную ежемесячную плату, так как вам придется платить за объем хранилища, который требуется для дополнительных данных. Желательно инвестировать в основанное на WordPress решение, которое защищает вашу кодовую базу на случай необходимости повторного размещения.

 

Итого

Хакеры и киберпреступники всегда стремятся оставаться на шаг впереди своих целей. По этой причине вы не можете предполагать, что, поскольку ваша среда WordPress сегодня безопасна, она будет безопасной и завтра. Безопасность WordPress требует активного обслуживания и мониторинга.

Обязательно регулярно проверяйте консоль администратора на наличие обновлений и исправлений безопасности. Их необходимо установить как можно скорее вместе с любыми обновлениями, связанными с темой вашего сайта или плагинами. В противном случае ваш сайт станет легкой мишенью для хакеров.

Exit mobile version