Контрольный список безопасности WordPress (2023 г.): как обеспечить безопасность вашего сайта

На момент чтения в репозитории WordPress доступно более 60 000 плагинов.

В этом красота WordPress!

Но также потенциально — худший кошмар каждого владельца сайта. Фактически, колоссальные 56% уязвимостей WordPress связаны с плагинами, и только в 2021 году плагин безопасности WordFence заблокировал более 86 миллиардов атак на пароли.

Независимо от того, подверглись ли вы взлому или просто хотите защититься от злонамеренных намерений, этот контрольный список безопасности поможет вам отразить любую кибератаку.

Почему безопасность WordPress важна для вашего онлайн-бизнеса

Учитывая долю рынка в 64,2%, можно с уверенностью сказать, что безопасность WordPress необходима для 810 миллионов веб-сайтов по всему миру — независимо от отрасли, размера и репутации. Вот почему.

• Защита данных: ваш веб-сайт содержит конфиденциальные данные, включая информацию о клиентах, платежные реквизиты и контент, связанный с бизнесом. Обеспечение его безопасности имеет решающее значение для предотвращения утечки данных и защиты вашей репутации.
• Поддержание доверия клиентов. Безопасный веб-сайт способствует доверию между вашими посетителями и клиентами. Когда люди знают, что их данные в безопасности, они с большей вероятностью будут заходить на ваш сайт и совершать покупки.
• Предотвращение простоев. Нарушения безопасности, взломы или заражение вредоносным ПО могут привести к простою веб-сайта. Это не только нарушает ваши бизнес-операции, но также наносит ущерб вашему присутствию в Интернете и прибыли.
• Как избежать юридических последствий. Утечки данных и проблемы безопасности могут привести к юридической ответственности, включая штрафы и судебные иски, особенно если данные клиентов будут скомпрометированы.
• Улучшение SEO: поисковые системы, такие как Google, отдают приоритет безопасным веб-сайтам в своих рейтингах. Безопасный сайт с сертификатом SSL и надежные меры безопасности могут улучшить видимость вашей поисковой системы.

Каковы некоторые распространенные проблемы безопасности WordPress?

Хотя платформа WordPress считается в целом безопасной, ее технология с открытым исходным кодом может создавать различные уязвимости через плагины и темы, SQL, CSRF, файловые эксплойты, небезопасный хостинг и многое другое.

Некоторые популярные проблемы безопасности WordPress включают в себя:

• Устаревшее программное обеспечение. Отсутствие регулярного обновления ядра, тем и плагинов WordPress может сделать ваш сайт уязвимым для известных уязвимостей безопасности.
• Слабые пароли. Использование слабых или легко угадываемых паролей облегчает злоумышленникам несанкционированный доступ к вашему сайту.
• Уязвимости плагинов. Выбор добавления небезопасных плагинов в ваш технологический стек дает злоумышленникам возможность взломать ваш веб-сайт.
• Атаки методом грубой силы: злоумышленники пытаются получить доступ, неоднократно пробуя разные комбинации имени пользователя и пароля, пока не найдут правильную.
• SQL-инъекция: это происходит, когда злоумышленник вставляет вредоносный код SQL в поля ввода вашего сайта, потенциально получая доступ к вашей базе данных и конфиденциальной информации.
• Межсайтовый скриптинг (XSS). Злоумышленники внедряют вредоносные скрипты в веб-страницы, просматриваемые другими пользователями, что может привести к краже данных или порче сайта.
• Подделка межсайтовых запросов (CSRF). Это включает в себя обман аутентифицированных пользователей, заставляющих их выполнять вредоносные действия без их ведома.
• Эксплойты включения файлов. Злоумышленники используют плохо проверенные пользовательские данные для включения вредоносных файлов на ваш сервер.
• Спам и вредоносное ПО. Неспособность защититься от спама в комментариях и вредоносного ПО может привести к компрометации сайта.
• Фишинг: злоумышленники могут использовать поддельные страницы входа или электронные письма, чтобы обманом заставить пользователей раскрыть учетные данные для входа или другую конфиденциальную информацию.
• Утечки данных. Плохо настроенные сайты или сторонние сервисы могут привести к утечке данных или информации пользователей.
• DDoS-атаки. Распределенные атаки типа «отказ в обслуживании» могут нарушить доступность сайта, перегружая его трафиком.

Уязвимости плагина LiteSpeed ​​Cache и важность безопасных плагинов WordPress

Недавняя уязвимость сценариев в популярном плагине LiteSpeed ​​Cache затронула более 4 миллионов веб-сайтов.

Это позволило злоумышленникам с разрешениями уровня участника или выше внедрять вредоносные веб-скрипты на страницы с помощью короткого кода плагина. К счастью, команда WordFence своевременно обнаружила нарушение и сообщила о нем.

Вот что нужно сделать, чтобы гарантировать, что ваш технологический стек не нанесет вреда вашему веб-сайту:

• Проверьте историю и репутацию плагина: большое количество активных установок и положительных отзывов помогут вам оценить надежность плагина.
• Проанализируйте частоту обновлений: убедитесь, что плагин регулярно обновляется, причем последнее обновление было не старше нескольких месяцев.

• Просмотрите ответы службы поддержки разработчиков. Посетите форумы поддержки плагина, чтобы узнать, насколько отзывчивы и полезны разработчики. Хорошая поддержка может свидетельствовать о приверженности качеству и безопасности плагина.
• Проверьте совместимость с вашей версией WordPress: несовместимые плагины могут создавать уязвимости безопасности или вызывать проблемы с функциональностью.
• Оцените возможности и разрешения плагина. Остерегайтесь плагинов, которые требуют ненужных разрешений или предлагают раздутый набор ненужных функций. Больше кода может означать больше возможностей для уязвимостей безопасности.
• Выполните проверки безопасности: используйте такие инструменты, как WPScan, для выявления любых известных уязвимостей плагина. Ищите любые рекомендации по безопасности или обсуждения, связанные с плагином.

• Начните с тестовой среды: прежде чем устанавливать новый плагин на свой работающий сайт, протестируйте его на промежуточном сайте, чтобы отслеживать его поведение и убедиться, что он не содержит уязвимостей.
• Ищите подтверждения или сертификаты безопасности: некоторые плагины могут пройти аудит безопасности или сертификаты от авторитетных сторонних компаний, что может повысить их авторитет.
• Будьте осторожны с бесплатными плагинами: хотя многие бесплатные плагины безопасны и хорошо поддерживаются, всегда проявляйте должную осмотрительность, поскольку бесплатные плагины не всегда могут обеспечивать постоянную поддержку и обновления.
• Регулярно создавайте резервные копии вашего сайта. Даже при соблюдении всех мер предосторожности важно регулярно создавать резервные копии вашего сайта. Это не предотвращает проблемы, но гарантирует, что вы сможете быстро восстановиться, если что-то пойдет не так.

Оптимизируйте скорость и производительность с помощью плагина, который обеспечит безопасность вашего сайта. Начало работы с NitroPack →

Как проверить, безопасен ли ваш сайт WordPress?

Если у вас есть сомнения, вы можете начать с проверки своего веб-сайта через онлайн-сканер безопасности веб-сайта, такой как Qualys, SiteLock или VirusTotal. Эти инструменты могут проверять наличие вредоносного ПО, уязвимостей и других проблем безопасности.

Кроме того, вы можете выбрать один из нескольких надежных плагинов безопасности WordPress, таких как Wordfence Security, Sucuri Security, iThemes Security, NinjaScanner и WPScan. Перейдите прямо к лучшим плагинам безопасности WordPress, чтобы получить более подробную информацию и функции, которые помогут сделать выбор для вашего веб-сайта.

Основы безопасности WordPress

Ваш первый шаг в защите вашего сайта — провести полный аудит безопасности WordPress. Выполните следующие действия:

1. Обновите ядро, темы и плагины WordPress.

Поддержание актуальности вашего программного обеспечения — одна из наиболее эффективных мер безопасности. Просто посетите своего администратора WP и проверьте наличие доступных обновлений. WordPress предоставляет простой способ массового обновления ваших плагинов. Просто убедитесь, что вы делаете резервную копию и проверяете свой веб-сайт после его обновления.

Совет для профессионалов : полностью удалите неиспользуемые плагины из своего технологического стека.

2. Убедитесь, что вы и пользователи используете надежные и уникальные пароли.

Рассмотрите возможность использования надежного менеджера паролей, такого как LastPass, Dashlane или 1Password. Эти инструменты могут генерировать, хранить и автоматически заполнять сложные пароли. Надежные пароли состоят из 10+ символов, используют как прописные, так и строчные буквы и не пропускают специальные символы.

3. Включите двухфакторную аутентификацию (2FA).

Добавьте дополнительный уровень защиты, настроив 2FA с помощью такого плагина, как WP 2FA, который требует от пользователей предоставить вторую форму проверки в дополнение к своему паролю. Еще одна дополнительная мера — ограничить попытки входа в систему и установить тайм-аут для пользователей, которые проявляют подозрительное поведение.

4. Сделайте резервную копию базы данных и файлов вашего сайта.

Если вы уверены в своих технических навыках:

Получите доступ к файлам вашего веб-сайта через FTP (протокол передачи файлов) или файловый менеджер, предоставленный вашим хостинг-провайдером. Загрузите все файлы из корневого каталога WordPress (обычно это папка public_html или www ) на свой локальный компьютер. Затем получите доступ к базе данных вашего веб-сайта с помощью phpMyAdmin , который часто доступен в панели управления вашим хостингом. Выберите свою базу данных WordPress и экспортируйте всю базу данных. Сохраните экспортированную базу данных как файл SQL на локальном компьютере.

Альтернативно , используйте плагин, такой как Updraft Plus, чтобы настроить автоматическое резервное копирование через желаемый интервал.

5. Используйте брандмауэр веб-приложений (WAF).

Брандмауэр веб-сайта блокирует весь вредоносный трафик еще до того, как он достигнет вашего сайта. Есть два способа сделать это:

• Брандмауэр веб-сайта на уровне DNS: позволяет отправлять подлинный трафик на ваш веб-сервер только путем маршрутизации трафика через их облачные прокси-серверы.
• Брандмауэр уровня приложения: анализирует трафик, как только он достигает вашего сервера, и перед загрузкой большинства скриптов WordPress. Однако это не так эффективно, поскольку увеличивает нагрузку на сервер.

Проверьте лучшие плагины брандмауэра WordPress.

6. Переключитесь на надежного хостинг-провайдера.

Авторитетный хостинг-провайдер для WordPress должен предлагать надежные функции безопасности, упреждающий мониторинг и быструю поддержку, чтобы обеспечить безопасность вашего веб-сайта.

Особенности, на которые стоит обратить внимание, включают (и не ограничиваются):

• Надежная безопасность инфраструктуры
• Включение SSL-сертификата
• Регулярное резервное копирование
• Круглосуточный мониторинг сети
• Защита от DDoS
• Сканирование и удаление вредоносных программ
• Автоматические обновления WordPress
• Кэширование на уровне сервера, настроенное специально для WordPress.
• Поддержка протокола безопасной передачи файлов (SFTP)
• Изоляция между учетными записями на общем хостинге

Ознакомьтесь с нашим подробным руководством о том , как выбрать подходящего провайдера веб-хостинга для вашего сайта.

Передовые методы улучшения безопасности WordPress

Приведенные ниже методы требуют доступа администратора к WordPress и достаточного уровня технических знаний. Прежде чем пытаться следовать инструкциям, всегда создайте резервную копию своего веб-сайта и найдите время, чтобы подумать о том, чтобы обратиться к эксперту по безопасности WordPress.

Переместите свой сайт WordPress на SSL/HTTPS

SSL (Secure Sockets Layer) шифрует данные, передаваемые между браузером пользователя и вашим веб-сервером, повышая безопасность вашего сайта.

Инструкции:

• Приобретите SSL-сертификат у вашего хостинг-провайдера или используйте бесплатный.
• Установите и активируйте сертификат через учетную запись хостинга.
• Обновите URL-адрес WordPress, перейдя в «Настройки» > «Основные» и обновив адрес WordPress (URL) и адрес сайта (URL) с http:// на https://.
• Принудительно используйте SSL, добавив следующий код в файл .htaccess:

Перезаписать двигатель включен
RewriteCond %{SERVER_PORT} 80
RewriteRule ^(.*)$ https://www.yourdomain.com/$1 [R,L]

Измените URL-адрес страницы входа в WordPress

По умолчанию страницы входа в WordPress легко доступны через wp-login.php или wp-admin. Изменение этого параметра может помочь защититься от несанкционированных попыток входа в систему.

Инструкции:

• Отредактируйте файл .htaccess в корневом каталоге WordPress и добавьте:

RewriteRule ^mylogin$ https://%{SERVER_NAME}/wp-login.php?key=123&redirect_to=https://%{SERVER_NAME}/wp-admin [L]

• Замените mylogin новым фрагментом URL-адреса для входа, а 123 — случайной строкой.

Измените имя пользователя «admin» по умолчанию

Имя пользователя «admin» по умолчанию является целью хакеров, поэтому лучше его изменить.

Инструкции:

• Создайте нового пользователя в WordPress, выбрав «Пользователи» > «Добавить нового».
• Назначьте новому пользователю роль администратора.
• Выйдите из системы и войдите под новой учетной записью администратора.
• Удалите старого пользователя «admin» и присвойте весь контент новому пользователю.

Отключить редактирование файлов

WordPress позволяет администраторам редактировать PHP-файлы плагинов и тем. Отключение этой функции повышает безопасность.

Инструкции:

• Добавьте следующую строку в файл wp-config.php:

define('DISALLOW_FILE_EDIT', правда);

Отключить выполнение PHP-файлов в определенных каталогах WordPress

Предотвращение выполнения PHP в таких каталогах, как wp-content/uploads, может помочь предотвратить запуск вредоносных сценариев.

Инструкции:

• Создайте файл .htaccess в каталоге, который вы хотите защитить, и добавьте:

отрицать от всех

Измените префикс базы данных WordPress по умолчанию

Префикс базы данных wp_ по умолчанию хорошо известен, поэтому его изменение может помочь защитить вашу базу данных от атак SQL-инъекций.

Инструкции:

• Сделайте резервную копию вашей базы данных.
• Перейдите в phpMyAdmin, выберите свою базу данных и выберите вкладку «Операции».
• В разделе «Префикс таблицы» измените wp_ на новый префикс (например, wpnew_) и нажмите «Перейти».

Отключить индексирование и просмотр каталогов

Это не позволит хакерам увидеть файлы в ваших каталогах.

Инструкции:

• Добавьте следующую строку в ваш файл .htaccess:

Параметры – Индексы

Отключить XML-RPC в WordPress

XML-RPC можно использовать для атак методом перебора. Отключение этой функции может повысить безопасность.

Инструкции:

• Добавьте следующий код в ваш файл .htaccess:

# Блокируем запросы WordPress xmlrpc.php

заказ запретить, разрешить
отрицать от всех

Автоматический выход из системы неактивных пользователей в WordPress:

Это может предотвратить несанкционированное использование простаивающих сеансов.

Инструкции:

• Добавьте этот код в файл function.php вашей темы:

add_action('wp_enqueue_scripts', 'idle_logout');
функция Idle_logout() {
если (is_user_logged_in()) {
wp_enqueue_script('idle_logout', '/путь к вашему-скрипту/idle-logout.js', array('jquery'), '1.0.0', true);
}
}

• Затем создайте файл Idle-logout.js с JavaScript для отслеживания времени простоя и выхода пользователей из системы.

Скрыть версию WordPress

Раскрытие версии WordPress может предоставить хакерам ценную информацию для поиска лазеек в безопасности.

Инструкции:

• Добавьте следующую строку в файл function.php вашей темы:

Remove_action('wp_head', 'wp_generator');

Блокировать хотлинкинг

Хотлинкинг может украсть пропускную способность за счет прямых ссылок на файлы вашего сайта с других веб-сайтов.

Инструкции:

• Добавьте следующий код в ваш файл .htaccess:

Переписать движок на
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?yourdomain.com [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ – [NC,F,L]

Проверьте роли пользователей и установите права доступа к файлам

Ограничьте доступ к конфиденциальным областям только тем, кто в этом нуждается, и установите соответствующие права доступа к файлам для каталогов и файлов на вашем сервере. Ограничьте доступ к критически важным файлам и папкам.

Файлы и каталоги WordPress используют трехзначный цифровой код для обозначения разрешений. Каждая цифра соответствует определенному уровню разрешений:

4: Читать (с)
2: Написать (ж)
1: Выполнить (х)

Рекомендуемые разрешения для различных файлов и каталогов WordPress следующие:

• Файлы (например, .php, .html): 644 (владелец может читать и писать; другие могут читать)
• Каталоги: 755 (владелец может читать, писать и выполнять; другие могут читать и выполнять)
• wp-config.php (важный файл конфигурации): 600 (владелец может читать и писать; другие не имеют доступа)
• .htaccess (конфигурация сервера): 644 (владелец может читать и писать; другие могут читать)
• Каталог загрузок (например, wp-content/uploads): 755 (владелец может читать, записывать и выполнять; другие могут читать и выполнять)

5 лучших плагинов безопасности WordPress

Доступно несколько плагинов безопасности WordPress, которые могут помочь проверить и защитить ваш сайт:

1. Безопасность Wordfence

Wordfence — это комплексный плагин безопасности для WordPress. Он включает в себя такие функции, как защита брандмауэра, сканирование на наличие вредоносных программ, мониторинг попыток входа в систему и многое другое. Бесплатная версия предлагает ценные проверки безопасности, а премиум-версия предоставляет расширенные функции.

Количество установок: 4+ миллиона
Рейтинг: 4.7/5

2. Сукури Секьюрити

Sucuri — это платформа веб-безопасности, предлагающая бесплатный инструмент для сканирования веб-сайтов. Он проверяет ваш сайт на наличие вредоносного ПО, проблем безопасности и уязвимостей. Они также предлагают платную услугу безопасности для защиты и мониторинга в режиме реального времени.

Количество установок: 900 000+
Рейтинг: 4.2/5

3. Надежная безопасность

Solid Security — это передовой плагин безопасности WordPress, предназначенный для защиты вашего веб-сайта. Обладая необходимыми функциями, такими как защита брандмауэром в реальном времени, сканирование на наличие вредоносных программ и механизмы безопасного входа в систему, он предлагает комплексное решение для защиты вашего присутствия в Интернете. Благодаря интуитивно понятному интерфейсу и автоматическим проверкам безопасности Solid Security обеспечивает душевное спокойствие, защищая ваш сайт от новейших угроз.

Количество установок: 900 000+
Рейтинг: 4.6/5

4. Ниндзя-охранник

Security Ninja — это комплексный плагин безопасности, специально разработанный для веб-сайтов WordPress. Благодаря надежному набору инструментов, включая основной сканер, обнаружение вредоносных программ и автоматическое исправление, он обеспечивает целостность и отказоустойчивость вашего сайта. Проактивные проверки безопасности плагина и исправления одним щелчком мыши позволяют владельцам веб-сайтов защитить свои веб-сайты. Независимо от того, являетесь ли вы новичком или технически подкованным человеком, Security Ninja — отличный инструмент против киберугроз.

Количество установок: 10 000+
Рейтинг: 4.8/5

5. Защита реактивного ранца

Jetpack Protect специализируется на защите сайтов WordPress от нежелательных вторжений. Он обеспечивает надежную защиту от атак грубой силы и мониторинг простоев, чтобы обеспечить безопасность и работоспособность вашего сайта. Благодаря оптимизированной настройке Jetpack Protect легко интегрирует резервное копирование в реальном времени и защиту от спама, гарантируя, что данные вашего сайта остаются нетронутыми, а ваше взаимодействие — искренним.

Количество установок: 100 000+
Рейтинг: 4.8/5

Что делать, если ваш сайт WordPress взломан

Обнаружение того, что ваш веб-сайт WordPress был взломан, может быть неприятным событием, но важно действовать быстро, чтобы минимизировать ущерб и восстановить безопасность вашего сайта.

1. Изолируйте веб-сайт. Если на одном сервере размещено несколько веб-сайтов, изолируйте взломанный веб-сайт, чтобы предотвратить распространение инфекции на других. Это может потребовать временного отключения затронутого сайта.
2. Восстановите последнюю резервную копию вашего веб-сайта. Чтобы быстро решить проблему, вернитесь к более ранней версии вашего веб-сайта. Если вы в последнее время не создавали резервную копию своего веб-сайта, рассмотрите возможность разработки стратегии резервного копирования после того, как вы выполните описанные ниже шаги.
3. Изменить пароли: измените пароли для всех учетных записей пользователей на вашем сайте WordPress, включая администраторов, редакторов и участников. Убедитесь, что используются надежные и уникальные пароли.
4. Сканирование на наличие вредоносных программ. Используйте плагин безопасности или сторонний инструмент сканирования вредоносных программ для сканирования вашего веб-сайта на наличие вредоносного кода и вредоносных программ. Если он у вас уже активирован, обратитесь к разработчикам, чтобы решить проблему с профессиональной помощью.
5. Выявите и удалите подозрительные файлы. Проверьте файлы и каталоги вашего веб-сайта на наличие незнакомых или подозрительных файлов. Хакеры часто внедряют вредоносный код в основные файлы, темы или плагины. Удалите все файлы, которые, по вашему мнению, скомпрометированы.
6. Очистите базу данных: проверьте базу данных WordPress на наличие несанкционированных изменений или подозрительного контента. Восстановите все измененные таблицы или записи в исходное состояние.
7. Просмотр учетных записей пользователей: проверьте свой список зарегистрированных пользователей и удалите все незнакомые или неавторизованные учетные записи. Убедитесь, что нет неавторизованных администраторов.
8. Измените ключи безопасности и соли. В файле wp-config.php измените ключи безопасности и соли. Этот шаг может помочь аннулировать любые украденные учетные данные для входа.
9. Уведомите посетителей: если в результате взлома потенциально могут быть раскрыты конфиденциальные пользовательские данные, соблюдайте законы об уведомлении об утечке данных и проинформируйте пострадавших пользователей о нарушении.

Как улучшить безопасность WordPress: часто задаваемые вопросы

Достаточно ли безопасен WordPress?

WordPress — это авторитетная система управления контентом (CMS), и поскольку она настолько популярна, она часто становится целью злоумышленников. Однако то, является ли WordPress «достаточно безопасным», зависит от нескольких факторов, в том числе от того, как вы его настраиваете, обслуживаете и используете. Следуя рекомендациям, изложенным в этом руководстве, вы сможете обеспечить безопасную среду для своего онлайн-бизнеса.

Является ли WordPress самой взломанной CMS?

В годовом отчете Sucuri за 2022 год WordPress отмечен как наиболее часто взламываемая CMS: 96,2% атак были сосредоточены на этой платформе. Из-за своего широкого использования WordPress является общей целью и имеет большое количество сообщений о взломах, но это не обязательно означает, что он менее безопасен, чем другие платформы CMS.

Какая часть сайта WordPress наиболее уязвима?

Наиболее уязвимыми частями часто являются темы и плагины, а также слабые пароли администратора.

Как мне бесплатно защитить свой сайт WordPress?

Внедряйте надежные пароли, обновляйте WordPress и используйте бесплатные плагины безопасности, такие как Wordfence или Security Ninja, для повышения безопасности вашего сайта.

Легче ли взломать старые версии WordPress?

Да, старые версии WordPress легче взломать, поскольку они часто содержат неисправленные уязвимости безопасности. Всегда проверяйте наличие последних обновлений, чтобы защитить свой сайт.

Как предотвратить вредоносное ПО в WordPress?

Постоянно обновляйте WordPress, используйте надежные темы и плагины, а также устанавливайте плагины безопасности, которые обеспечивают сканирование на наличие вредоносных программ и защиту брандмауэра.

Действительно ли мне нужен плагин безопасности для WordPress?

Настоятельно рекомендуется использовать плагин безопасности, поскольку он обеспечивает комплексные меры безопасности и может автоматизировать многие задачи, необходимые для обеспечения безопасности сайта WordPress.