Что нужно знать про безопасность WordPress?

По данным w3techs.com , каждый третий сайт создан на WordPress. Не удивительно что безопасность WordPress постоянно хакеры и взломщики сканируют на наличие уязвимостей как в установленных плагинах, так и в самом ядре. Утечка, обнаруженная на одном веб-сайте, обычно происходит на других, созданных на той же CMS, и это позволяет использовать весь спектр атак. В следующих разделах мы покажем вам, как можно предотвратить их, а также как защититься от несанкционированного доступа к данным.

1. Всегда обновляйте WordPress.

WordPress — это платформа с открытым исходным кодом, что означает, что любой разработчик может добавить свой код в репозиторий, и есть вероятность его публикации в следующей версии CMS. Это дает вам возможность быстро обнаруживать любые ошибки. Чем больше людей получат доступ к коду и смогут найти ошибку, тем быстрее ее можно будет исправить.

WordPress пишут люди, а это значит, что он может потребовать «исправления» (мы все иногда делаем ошибки :). Частые обновления самой CMS позволяют избежать проблем, связанных с «дырами», которые были оставлены в предыдущих версиях. Благодаря этим обновлениям у хакеров остается меньше времени для обнаружения новых ошибок и использования ранее обнаруженных уязвимостей, которые распространяются по Интернету.

2. Сделайте резервные копии

Если хакер каким-то образом получит доступ к базе данных, он может попытаться вставить свой код на наш сайт (например, для рекламы) или удалить базу данных и шантажировать Вас, чтобы Вы заплатили выкуп, чтобы восстановить ее.

Конечно, никто из нас не хотел бы терять все публикации, фотографии и комментарии. К счастью, нам не нужно подчиняться шантажисту. Достаточно просто восстановить резервную копию , что лучше всего делать после каждого серьезного вмешательства в работу сайта. Копаться в строках кода, чтобы найти место, где был внедрен рекламный код, также может быть довольно неприятным. Это трудоемкий процесс, и, как мы знаем, время — деньги, поэтому лучше перестраховаться, и не допустить, чтобы все это произошло.

3. Устанавливайте только проверенные плагины.

Как упоминалось выше, репозиторий WordPress открыт. Это означает, что любой пользователь может добавить свой исходный плагин в общий репозиторий WordPress. Чтобы снизить вероятность взлома страницы или возникновения неожиданных ошибок, всегда используйте проверенные плагины .

Что это значит? Возьмем, к примеру, плагин Advanced Custom Fields — он имеет более миллиона активных установок и последний раз обновлялся 19.05.2020. Таким образом, вероятность того, что плагин содержит фрагмент кода, который может вызвать критические ошибки, минимальна. Если плагин постоянно поддерживается и был протестирован на вашей версии WordPress , вы можете считать его проверенным.

4. Входить через admin / admin123 — плохая идея.

Данные для входа в Вашу админ панель являются очень важными. Как правило все стараются выбирать доступы для админки, которые легко запомнить или связать. К сожалению, это не лучший способ.

И логин, и пароль должны обеспечивать надежную защиту вашего сайта. Имя пользователя должно быть легко запоминающимся, но не рекомендуется использовать связку «admin» или «administrator». В свою очередь, при установке пароля лучше всего использовать такие генераторы, как Enpass . Этот инструмент позволяет создавать и сохранять сложную строку букв и символов . Такое решение эффективно помешает или предотвратит использование хакерами метода грубой силы для взлома нашего пароля.

5. Ограниченные попытки входа в систему.

В репозитории WordPress есть множество плагинов, которые ограничивают количество входов в систему, если за определенное время было сделано слишком много попыток. Примером такого плагина является Limit Login Attempts Reloaded . Если посторонний человек попытается угадать пароль, доступ к учетной записи будет временно заблокирован. При желании вы можете включить уведомление попытки регистрации или даже отправку неудачных попыток на адрес электронной почты.

6. Двухфакторная аутентификация.

Если вы хотите добиться большей безопасности, мы можем рассмотреть возможность добавление двухфакторной аутентификации . Пароль может быть украден, например, с помощью кастомных или программных кейлоггеров. Однако, когда активна двухфакторная аутентификация, украденный пароль не будет полезен хакеру. Подтверждение входа в систему через СМС или в приложении будет обязательно. Duo Two-Factor Authentication предлагает такую ​​услугу. Чтобы защитить сайт, установите плагин и следуйте инструкциям, рекомендованным во время активации. Вам также необходимо будет установить приложение из Play Store или AppStore.

7. Использование ссылки wp-admin в качестве доступа к панели — ЭТО ВЕРНЫЕ ПРОБЛЕМЫ.

Большинство людей, которые хотят попасть на ваш сайт несанкционированно, будут пытаться угадать логин и пароль в форме входа. Почему бы не усложнить им интриги, сделать что бы они угадывали ещё и ссылку, ведущую к ней? Лучше всего сменить адрес для входа . Эту ссылку следует выбирать осторожно (setting/ login/admin или /logging не затруднит угадывать).

Изменить логин wp-admin — этот плагин, который поможет Вам изменить ссылку на любой.

8. Префикс таблицы базы данных — использование wp_ может упростить SQL-инъекцию.

Когда мы используем большое количество плагинов или настраиваемых тем со множеством мест, куда пользователь может вводить данные (например, комментарии или другие формы), мы подвержены риску внедрения SQL-кода.

Этот метод включает ввод измененного SQL-запроса таким образом, чтобы интерпретатор выполнял действия, заданные модификатором. С префиксом wp_ в качестве таблицы мы упрощаем атакующему продолжение эпидемии. Гораздо очевиднее добавить "DROP TABLE wp_options;"ко всем формам, чем "DROP TABLE tjmnt_options;".

10. Обновляйте плагины при каждой возможности.

Этот пункт очень похож на первый. В процессе разработки многие плагины уязвимы для атак или содержат ошибки, которые проявляются при определенных обстоятельствах. Регулярные систематические обновления плагинов исправляют некоторые уязвимости. Также обратите внимание, что вы НЕ ДОЛЖНЫ редактировать коды плагинов когда-либо. Все модификации функциональных возможностей или их расширения должны храниться в отдельных файлах (отдельный плагин) или в файлах нашей темы, поскольку каждое обновление будет перезаписывать сделанные изменения.

11. Проверьте, не раскрываете ли вы версию WP всем.

Самый простой способ проверить это — просмотреть исходный код страницы и найти текущую версию WordPress. Часто добавляется при загрузке стилей / скриптов или включается в заголовок. Выявление версии WP позволяет легко проверить, какие исправления еще не были реализованы на странице.

Чтобы скрыть версию из шапки, рекомендую добавить в файл functions.php нашей темы следующий код:

function remove_wp_ver() {
return ‘’;
}
add_filter(‘the_generator’,’remove_wp_ver’);

12. Блокировать RestAPI 

WordPress версии 4.7.0 предлагает возможность использования своего REST API. Это означает, что, используя соответствующие конечные точки , мы можем получать или добавлять / изменять данные на нашем веб-сайте. Это, в свою очередь, позволяет нам подключать наш WordPress к различным внешним API .

Многие пользователи не знают, что REST API был включен на их сайте с момента его внедрения. Примером конечной точки (к которой мы не хотели бы, чтобы третьи стороны имели доступ) является «/ wp-json / wp / v2 / users /». Это позволяет вам получить список всех пользователей вместе с их аватарами и ярлыками сообщений. Лучшей формой защиты в этом случае будет полная деактивация REST API, если мы не подключаемся к внешним сервисам. Если вам нужно обмениваться данными «извне», я рекомендую написать свои конечные точки и позаботиться об их надлежащей защите.

13. SSL-сертификат.

Многие люди задаются вопросом, почему на некоторых веб-сайтах рядом с адресной строкой есть «замок», а на некоторых — надпись «Незащищенный». Неужели это так влияет на безопасность? Ответ положительный.

Этот «замок» означает, что на странице установлен сертификат SSL (Secure Socket Layer) . Проще говоря, он позволяет узнать, что соединение между сайтом и пользователем безопасно. Этот сертификат отвечает за шифрование предоставленной информации, что означает, что перехват данных «на лету» третьими лицами невозможен. Когда веб-сайт, который вы посещаете, является электронным магазином, вы, конечно же, не хотите, чтобы информация о вашей кредитной карте «блуждала» по Интернету. По этой причине мы всегда должны обращать внимание на то, защищен ли данный сайт сертификатом, и обязательно избегать посещения незащищенных сайтов, использующих общедоступные беспроводные сети.

Базовая безопасность WordPress включает в себя много шагов. Подход к каждому сайту требует индивидуальной оценки ситуации и определения направления, в котором может принять посторонний человек. Мы должны попытаться сделать это неочевидным. Используя знания из приведенных выше примеров, вы определенно избежите многих неприятных сюрпризов в своем блоге или в электронной коммерции. 🙂

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *