Как защитить сайт на WordPress от хакеров
Советы о том, как защитить сайт WordPress от взлома, включая рекомендуемые плагины безопасности.
WordPress – частая цель взлома. Хакеры нацелены на тему, основные файлы WordPress, плагины и даже страницу входа. Это шаги, которые нужно предпринять, чтобы снизить вероятность взлома и облегчить восстановление, если это все же произойдет.
Как хакеры атакуют WordPress
Все сайты в сети постоянно подвергаются атакам, будь то форум phpBB, Битрикс или сайт WordPress, все сайты проверяются хакерами. Для хакера нет ничего необычного в том, чтобы сканировать тысячи страниц или пытаться войти в систему сотни раз в день.
И это всего лишь один хакер. Сайты подвергаются атакам несколькими хакерами одновременно.
Обычно это не человек, который пытается вас взломать. Хакеры используют автоматизированное программное обеспечение для сканирования сети в поисках конкретных слабых мест на сайте.
Эти автоматизированные программы, сканирующие Интернет, называются ботами. Я называю их хакерскими ботами, чтобы отличить их от парсеров (программного обеспечения, которое пытается копировать контент).
Защитите свой сайт WordPress с помощью брандмауэра
Брандмауэр – это программа, которая блокирует злоумышленника. На мой взгляд, лучший брандмауэр WordPress – это плагин Wordfence.
Wordfence проверяет, соответствует ли поведение посетителя веб-сайта поведению бота. Если бот нарушает определенные правила, например запрашивает слишком много веб-страниц за короткий промежуток времени, Wordfence автоматически блокирует его.
Wordfence также запрограммирован таким образом, чтобы разрешать на сайте законных ботов, таких как Yandex, Google и Bing.
Существуют расширенные функции, которые позволяют издателю видеть, какие боты атакуют сайт, и видеть, откуда этот бот, например, если это плохой бот из Amazon Web Services или Bluehost, например. Wordfence предоставляет пользователю возможность блокировать бота по его IP-адресу, всему диапазону IP-адресов или даже с помощью поддельного пользовательского агента браузера, который использует бот.
О пользовательских агентах (UA)
Агент пользователя идентифицирует информацию , которую браузер передает , что говорит веб – сайт , какой браузер это (Chrome, Firefox, Вивальди), и то , какая операционная система используется (Windows 10, Mac OS X).
Например, это строка пользовательского агента для браузера Safari 11 на компьютере Mac OS X:
Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, как Gecko) Версия / 11.1.2 Safari / 605.1.15
Боты используют множество различных пользовательских агентов, чтобы обмануть веб-сайты и проникнуть внутрь. Например, некоторые боты выдают себя за браузер в Windows XP.
Фактическое количество реальных пользователей Win XP близко к нулю, я могу создать правило с Wordfence для блокировки всех пользовательских агентов с Windows XP в качестве операционной системы, и с помощью этого правила я могу заблокировать тысячи плохих ботов, независимо от страны. они исходят с или с IP-адреса.
Плохие боты иногда реагируют, переходя на другой пользовательский агент, поэтому, объединив эти правила, издатель имеет шанс заблокировать широкий спектр плохих хакерских ботов.
И это с бесплатной версией Wordfence.
Платная версия может блокировать целые страны. Поэтому, если у вас нет законных посетителей сайта из определенных стран, вы можете заблокировать каждого посетителя из этих стран.
Защита WordPress от эксплойтов
Кроме того, платная версия Wordfence заранее защитит вас от многих скомпрометированных тем и плагинов, прежде чем эти плагины будут исправлены.
Как только исследователи Wordfence узнают об эксплойте, они обновят премиум-версию брандмауэра, чтобы обеспечить подписчикам защиту от этих эксплойтов, иногда за несколько недель до того, как эксплойт будет исправлен разработчиком скомпрометированной темы или плагина.
Повышение безопасности веб-сайтов
Еще один бесплатный плагин, обеспечивающий дополнительный уровень защиты, называется Sucuri Security. Sucuri (принадлежит GoDaddy) помогает укрепить безопасность WordPress, чтобы блокировать использование плохими ботами определенных видов атак. Он также имеет функцию сканирования вредоносных программ, которая проверяет все файлы на предмет изменений.
Sucuri будет предупреждать вас каждый раз, когда кто-то входит на ваш сайт, помогая издателям определить, входит ли в систему хакер. Sucuri также может предупреждать издателя, если файл был изменен, что делают хакеры.
Особенности бесплатной версии Sucuri:
- «Аудит охранной деятельности
- Мониторинг целостности файлов
- Удаленное сканирование на вредоносное ПО
- Мониторинг черного списка
- Эффективное усиление безопасности
- Действия по обеспечению безопасности после взлома
- Уведомления безопасности »
Платная версия Sucuri включает брандмауэр веб-сайта.
Ограничьте входы на свой сайт
WordFence может блокировать ботов, которые неоднократно вводят имена пользователей и пароли на странице входа в WordPress.
Но если вы хотите сосредоточиться на ограничении этих входов в систему, есть плагин под названием Limit Login Attempts Reloaded, который позволяет издателям автоматически блокировать всех хакеров, которые вводят заданное количество неудачных комбинаций имени и пароля. Например, вы можете настроить блокировку хакеров после трех попыток угадать пароль.
Это особенности блокировщика входа в систему:
- «Ограничьте количество повторных попыток при входе в систему (на каждый IP). Это полностью настраивается.
- Информирует пользователя об оставшихся попытках или времени блокировки на странице входа.
- Дополнительное ведение журнала и дополнительное уведомление по электронной почте.
- Можно занести в белый / черный список IP-адреса и имена пользователей.
- Совместимость с Sucuri Website Firewall.
- Защита шлюза XMLRPC.
- Защита страницы входа в Woocommerce.
- Многосайтовая совместимость с дополнительными настройками MU.
- Соответствует GDPR. Когда эта функция включена, все зарегистрированные IP-адреса становятся обфусцированными (md5-hashed).
- Поддержка настраиваемых источников IP (Cloudflare, Sucuri и т. Д.) »
Плагин Limit Login Reloaded предоставляет быстрый способ отключить взломанных ботов, пытающихся угадать пароль.
Сделайте резервную копию вашего сайта WordPress
Важно автоматически создавать ежедневную резервную копию вашего сайта. Любое катастрофическое событие, приводящее к остановке сайта, может быть восстановлено с помощью резервной копии.
Существует множество решений для резервного копирования, но одно, которое я считаю чрезвычайно полезным, называется UpdraftPlus WordPress Backup Plugin. UpdraftPlus доверяют более двух миллионов пользователей, это хорошо зарекомендовавший себя выбор.
Его можно настроить на отправку резервных копий по электронной почте каждый день или их отправку в облачное хранилище, например Dropbox.
Однажды я случайно удалил все файлы макета темы с сайта, полностью изменив внешний вид сайта. Но я смог восстановить сайт в том виде, в каком он был раньше, с помощью резервной копии UpdraftPlus. Это было легко сделать, и я был так благодарен.
Обновите все темы и плагины
Важно всегда обновлять все темы и плагины. WordPress предоставляет возможность автоматически обновлять все плагины, что удобно для издателей или компаний, которые не входят в систему и часто обновляют.
Включив