Защита сайта на WordPress
Вордпресс — прекрасная CMS для сайта, сочетающая практически безграничные возможности с простотой администрирования. По разным данным, 35-40% всех сайтов на сегодняшний день управляются именно этой системой. Но есть одно но: чем популярнее CMS, тем больше злоумышленников пытаются ее взломать. Соответственно, WordPress — не только самая распространенная система управления сайтами, но и наиболее взламываемая.
Как защитить ресурс на Вордпресс? Какие меры безопасности необходимы, чтобы снизить вероятность взлома? О том, что мы можем предложить для защиты вашего сайта, расскажем далее.
наших работ
ПРОЕКТОВ
с 2018 года
Добавить
Добавить
Сайт на WordPress — это безопасно?
В целом Вордпресс считается безопасной системой управления. Во многом это связано с прекрасной работой техподдержки: создатели оперативно отслеживают информацию об обнаруженных уязвимостях и выпускают обновления. Поэтому одно из главных правил безопасности сайта — вовремя обновлять движок и плагины. По статистике, большинство случаев взлома приходится на сайты с устаревшими версиями CMS.
Наряду с базовыми правилами безопасности существует множество профессиональных способов снизить уязвимость ресурса. Для этого используются специальные команды, настройки, файлы.
В On Target мы практикуем комплексный подход, чтобы защитить сайт на WordPress от угроз. Только в этом случае можно свести к минимуму вероятность взлома и избежать ущерба.
Ваш сайт — цель для хакеров
Ситуации, когда целью злоумышленников становится конкретный ресурс, конечно, встречаются — но они составляют мизерную долю от общего числа взломов ресурсов, поскольку в подавляющем большинстве случаев они производятся автоматически. Это означает, что все действия выполняются программой, для которой единственное необходимое условие — чтобы сайт был на WordPress. ПО сканирует тысячи ресурсов на перечень уязвимостей и, если находит, запускает дальше соответствующий алгоритм.
Интерес для хакеров представляют сайты вне зависимости от давности создания, количества контента, посещаемости и других факторов. Злоумышленники найдут способ использовать подвернувшуюся возможность.
Защитите свой ресурс прямо сейчас — ведь не всегда сайт может «оправиться» после взлома, и вы рискуете потерять вложенные в создание и продвижение деньги!
Основные цели взлома
запрещенной тематики
Ресурсы с контентом 18+, казино и незаконными тематиками нельзя продвигать «белыми» методами, поэтому хакеры взламывают сайты, чтобы проставить с них ссылки
ресурсов сервера
Даже «нулевой», недавно созданный сайт на WordPress привлекателен для злоумышленников, поскольку через него можно получить доступ к ресурсам сервера. Они используются для рассылки спама, майнинга, хранения сомнительных файлов, работы ботов по взлому других ресурсов
трафика
Взломав ваш сайт, хакер может поставить на нем редирект на свои сайты, и все посетители автоматически будут перенаправляться на сторонние ресурсы — зачастую с незаконной тематикой
регистрационных данных
Базы с логинами и паролями активно продаются в даркнете — их используют для взлома сайтов и приложений, поскольку многие пользователи используют одни и те же данные
вирусов и шпионов
После взлома злоумышленники могут проставить на сайте ссылки для загрузки вредоносных программ на пользовательские устройства
Что мы рекомендуем сделать для повышения безопасности
Чтобы защитить ваш сайт на Вордпрессе от взлома, мы настоятельно рекомендуем следующие простые действия:
- Установите на все ваши устройства (ПК, телефон, планшет) антивирус и файрвол, регулярно обновляйте базы.
- Не заходите в административную панель своего сайта через сеть в публичных местах, подключайтесь только через доверенные сети.
- Не экономьте на хостинге — разместите ресурс у надежной компании.
- Используйте сложные пароли, установите такое требование для всех пользователей. В идеале – подключить двухфакторную аутентификацию.
- Запретите пользователям загрузку файлов (в том числе картинок для аватара).
- Доверяйте доступ к админпанели сайта и хостинга только надежным специалистам.
- Следите за обновлениями Вордпресса, плагинов и темы.
- Установите защиту от спама в комментариях и запретите оставлять ссылки.
- Устанавливайте только проверенные плагины и темы с большим числом загрузок и множеством хороших отзывов.
- Подключите для ресурса сертификат безопасности SSL.
Как мы можем защитить ваш сайт на Вордпресс
Базовые меры безопасности соблюдать необходимо, но они не смогут в полной мере защитить ваш сайт на Вордпресс. Воспользуйтесь помощью специалистов On Target, чтобы повысить уровень защиты! При заказе услуги мы выполним следующие работы:
- скроем версию WordPress — перечни уязвимости разных версий CMS можно найти в открытом доступе;
- настроим автоматическое сохранение файлов и базы данных;
- изменим адрес страницы логина — это защитит сайт от брут-форс атаки, при которой бот подбирает логины и пароли методом перебора;
- изменим стандартное имя администратора — admin использовать нельзя, поскольку в этом случае боту надо подобрать только пароль;
- ограничим число попыток ввода логина и пароля — можно, например, на час блокировать пользователей, которые три раза ввели неправильно регистрационные данные (в большинстве случаев это будут боты);
- удалим неиспользуемые файлы, в которых содержится информация о версии WordPress;
- изменим расположение служебных файлов;
- установим безопасные права доступа к важным папкам и файлам;
- изменим префикс базы данных — если оставить стандартный wp_, то злоумышленникам будет проще получить доступ к базам;
- включим принудительное использование SSL-сертификата для работы в панели администратора;
- настроим безопасные форматы соединений FTPS и SFTP вместо FTP и SSH соответственно;
- выключим режим отладки;
- запретим доступ к ключевым файлам и папкам через htaccess;
- ограничим доступ к php-файлам темы и плагинов;
- разрешим или запретим доступ к странице логина и панели администратора с определенных IP-адресов;
- закроем доступ к папкам wp-includes и uploads через htaccess;
- установим ограничение на размер загружаемых файлов;
- отключим нумерацию пользователей — с ее помощью можно легко узнать логин;
- установим запрет на исполнение php-файлов в папке для загрузок;
- запретим получение информации о версиях ПО сервера;
- изменим страницу при ошибке ввода данных для авторизации — по умолчанию отображается информация о том, где именно была допущена неточность;
- отключим XML-RPC (если его не используют ваши плагины) — через него часто производятся брут-форс атаки с подбором логинов и паролей;
- подключим и настроим двухфакторную аутентификацию.
Большинство этих задач реализуется при помощи добавления соответствующего кода в служебные файлы WordPress, настроек сервера и включения правил в файл htaccess. Но также мы рекомендуем для повышения безопасности сайта использовать специальные плагины.
Существует целый ряд плагинов для защиты сайта на Вордпресс. Среди них есть как платные, так и бесплатные. Плагины безопасности имеют разный функционал, но все они нацелены на предотвращение взлома и поиск возможных уязвимостей. Удобно включить опцию сканирования файлов ресурса для поиска вредоносного ПО. Самые известные плагины для защиты сайта на Вордпресс — Sucuri, Wordfence, iThemes Security, Security Ninja, All in One WP Security&Firewall.
Мы порекомендуем оптимальный вариант для вашего сайта, установим и настроим плагин для максимальной безопасности. Также советуем периодически запускать сканирование на наличие вредоносных программ.
Доверьте безопасность сайта на Вордпресс On Target
В нашей компании работают специалисты, которые точно знают, как защитить ваш сайт на WordPress и снизить до нуля угрозу взлома. В случае, если ваш ресурс уже подвергся атаке, мы поможем обнаружить и устранить проблему, а также восстановим данные из бэкапа.
Воспользуйтесь предложением On Target, чтобы защитить сайт и исключить негативные последствия атак!