Как обезопасить сайт? Руководство по безопасности веб-сайта

Количество просмотров

373
Распечатать · Время на чтение: 24мин · Автор: · Опубликовано · Обновлено

Прослушать эту статью

Как обезопасить свой сайт? Используйте следующие методы. Безопасность сайта.

Безопасность сайта или как защитить сайт? Некоторые взломы происходят по совершенно нелепым причинам: несвоевременные обновления, ненадежные пароли и т. д. В этом важном руководстве по безопасности веб-сайта я покажу вам, как защитить веб-сайт:

  • Даже если… вы новичок в вопросах безопасности веб-сайтов и не совсем понимаете, что это значит;
  • Даже если… вы пытались и не смогли защитить свой сайт ранее;
  • Даже если… вы перегружены основной работой и не знаете, с чего начать;
  • Даже если… вы подумаете: «Я не ровня хакерам — так зачем пытаться, что нибудь сделать?»
Но что еще более важно, я собираюсь поговорить о том, как нам начать думать о безопасности своих веб-сайтов в первую очередь. Таким образом, у вас есть все необходимые инструменты для принятия правильных решений с точки зрения (безопасности) для вашего сайта. Информации будет максимально много, налейте себе чайку или кофейку и приготовьтесь.
Содержание статьи:

Что такое безопасность сайта?

Как обезопасить свой сайт - что такое безопасность веб-сайта?

Хоть это и здорово, что вы предпринимаете некие шаги для защиты своего веб-сайта. Вам нужно понимать, что безопасность сайта — это непрерывный процесс требующий периодического внимания с вашей стороны. Хакеры люди творческие, поэтому угрозы постоянно эволюционируют.

Безопасность сайта составляет план защиты вашего веб-сайта и пользователей от хакеров и их вредоносных программ. Это включает в себя понимание компонентов вашего веб-сайта, как они работают вместе и какие у них есть уязвимости.

Как только эта основа будет создана, вам необходимо сформулировать комплексный план безопасности для защиты от уязвимостей. Это включает в себя ряд шагов настройки, реализацию политик и постоянное обновление информации об угрозах.

Ключевым фактором в обеспечении безопасности веб-сайта является понимание того, что это не разовое действие. Безопасность развивается, потому что развиваются угрозы.

В статье ниже вы увидите, что хороший плагин безопасности сделает большую часть тяжелой работы с точки зрения вредоносных программ, но осторожность и бдительность — вот что в первую очередь обеспечивает безопасность веб-сайта.

Почему важна безопасность сайта?

WordPress используют миллионы людей, поэтому он, вероятно, безопасен, верно? Да и нет.

— Да, потому что основные файлы WordPress защищены, и даже при обнаружении уязвимости ее устраняют очень быстро.

— Нет, потому что ваш сайт — это не просто ядро ​​WordPress. Это комбинация плагинов и тем, которые помогают сделать ваш сайт более функциональным, интерактивным и привлекательным. Эти плагины и темы расширяют функциональность WordPress, но также увеличивают возможности для уязвимостей. Хорошие разработчики плагинов, быстро исправят уязвимости. Но опасность в этом плане значительно выше.

Как защитить сайт от хакеров? Действенные шаги

Как защитить сайт от взлома, хакеров, вредоносных действий.

Чтобы иметь действенный план по защите вашего веб-сайта, первым делом нужно понять, как веб-сайты взламываются. Согласно следующему исследованию, веб-сайты в основном взламываются тремя способами:

  • 90+% — Уязвимость в плагине или теме сайта на WordPress.
  • 5+% — Скомпрометированное имя пользователя и/или пароль.
  • <1% — Плохие услуги веб-хостинга.
Это распределение должно стать основой того, как вы планируете обезопасить свой сайт и на что нужно выделять больше времени и ресурсов.

1. Защитите свой сайт от уязвимостей

Хакеры находятся в постоянном поиске уязвимых веб-сайтов. Неважно, большой сайт или маленький. У них есть много выгоды от взлома практически любого веб-сайта. По нашему опыту, более 90% всех взломов происходят из-за того, что хакеры обнаружили уязвимость и воспользовались ею.

Давайте немного подробнее рассмотрим, что такое уязвимости . Это очень важно понимать, чтобы в будущем вы могли осознанно формировать стратегию безопасности своего веб-сайта.

Что такое уязвимость?

Ваш сайт состоит из 3 основных компонентов: WordPress, плагинов и тем. Все это в основном программное обеспечение, и, как и любое программное обеспечение, оно содержит ошибки, которые иногда приводят к сбоям в работе.

Ошибки могут иметь различные последствия: некоторые из них замедляют работу вашего веб-сайта или вызывают ошибку, когда кто-то посещает его. Это раздражает и создает проблемы, но более серьезные из них позволяют неавторизованным пользователям (например, хакерам) получить доступ к вашему веб-сайту. Такая ошибка известна как уязвимость.

Типы уязвимостей

Уязвимости можно охарактеризовать, как мы это делали в предыдущем абзаце, как ошибки в коде. Однако есть несколько конкретных типов, которые возникают чаще, чем другие:

  1. Устаревшее программное обеспечение: важно обновлять ядро, плагины и темы;
  2. Плохое управление ролями пользователей: не давайте каждому пользователю полный доступ администратора;
  3. Недезинфицированные входные данные: поля ввода должны проверять ввод перед сохранением и/или выполнением.

Возможны взломы на незащищенном веб-сайте

Уязвимости тесно связаны с типами атак, которые они допускают, и часто называются взаимозаменяемыми. Наиболее распространенные атаки, с которыми сталкивается WordPress:

  • Внедрение кода: когда вредоносный код вставляется через поля ввода и выполняется кодом веб-сайта или базой данных. Часто встречающийся вариант внедрения кода в SQL-инъекцию, который особенно вопиющий для приложений, управляемых базой данных, таких как WordPress.
  • Атаки с использованием межсайтовых сценариев: этот тип уязвимости крадет пользовательские файлы cookie, чтобы выдать себя за них, или даже перехватить сеанс. Затем доступ целевого пользователя используется для атаки на ваш сайт.
  • Атаки грубой силы: как следует из названия, в этом типе атаки нет никакой хитрости. Хакер бомбардирует вашу страницу входа комбинациями имен пользователей и паролей, пытаясь найти правильный.
  • SEO-спам: любой спам серьезен, но эта атака поражает то, что больше всего вредит веб-сайту: SEO. Владельцы веб-сайтов тратят ресурсы, работая над своим SEO, только для того, чтобы хакер воспользовался неправомерным преимуществом, вставив всплывающие окна и ссылки на нелегальные или серые товары. Атаки SEO-спама также трудно обнаружить, и часто веб-сайты испытывают пагубные последствия спама, прежде чем осознают, что они заражены.
  • Фишинговые атаки: в этих атаках хакер пытается выдать себя за законное лицо, чтобы обманом заставить пользователя добровольно передать свою информацию. Фишинг работает в тандеме с электронной почтой и взломанным веб-сайтом, чтобы получить эти учетные данные.

Каков эффект уязвимости?

Плагины и темы установлены на несколько тысяч сайтов, поэтому эффект от одного этого недостатка многократно усиливается. Ответственные разработчики плагинов и тем прилагают усилия, чтобы закрыть дыры в безопасности своих продуктов, выпуская обновления.

На самом деле это ключевая причина, по которой рекомендуется выбирать плагины премиум-класса, когда это возможно. Регулярное техническое обслуживание программного обеспечения, этому должно быть уделено максимум внимания в стратегии безопасности веб-сайта. Отлично, значит ошибка исправлена. Теперь мы в безопасности, верно? Ну, не совсем. Обнаружение уязвимости — опасное время для владельцев сайтов.

Что происходит при обнаружении уязвимости?

Уязвимости часто обнаруживаются исследователями безопасности сайтов. Они сообщают о своих выводах разработчику плагина или темы. Как мы уже говорили в предыдущем разделе, ответственные разработчики будут стремиться исправить проблему и выпустить обновление.
Когда уязвимость будет устранена, исследователь безопасности сайта опубликует свои выводы. Разработчик выпустил исправление, чтобы веб-сайты были в безопасности, верно? Не совсем.

Хакеры также читают об уязвимости и ищут веб-сайты, которые не обновили свои версии. Публичные уязвимости, как правило, привлекают начинающих хакеров (также известных как дети-скрипты), потому что теперь они могут без усилий использовать веб-сайты. Они точно знают, где находится их цель.

Что нужно сделать, чтобы обезопасить сайт от уязвимостей?

Теперь я поговорю о конкретных шагах, которые вы можете предпринять, чтобы обеспечить безопасность веб-сайта и защитить его от хакеров. Эти шаги могут показаться простыми, однако они являются эффективными способами обеспечения безопасности вашего сайта.

1. Делайте резервные копии

Резервные копии — самая недооцененная часть стратегии безопасности сайта. Я не могу не подчеркнуть важность регулярного резервного копирования. Они ваша сеть безопасности, единственное, на что вы можете положиться, когда дела идут плохо. Резервные копии помогут вам быстро откатить сайт до работоспособного состояния.

2. Обновляйте плагины и темы

Это может показаться очень очевидным, особенно если вы читали предыдущий раздел о том, насколько важны обновления. Однако очень легко проигнорировать красное уведомление на приборной панели и заняться чем-то более срочным.

Поэтому повторюсь. Разработчики плагинов, для того и выпускают обновления с исправлениями безопасности. Даже если вы решите отложить установку обновлений, обновите плагин позднее, по крайней мере, после ознакомления с примечаниями к выпуску.

3. Выбирайте плагины и темы хорошего качества

Вряд ли когда-либо будет полностью надежное программное обеспечение, есть ключевые факторы, которые следует учитывать при выборе правильных плагинов и тем для вашего веб-сайта:

  • Плагин регулярно обновляется: Плагин или тема, которые постоянно поддерживаются их разработчиком, скорее всего, получат исправление безопасности, если будет обнаружена уязвимость.
  • Популярен ли плагин? Это палка о двух концах. Популярный плагин с миллионами установок станет целью хакеров. Но подобные плагины также имеют тенденцию быть более безопасными, потому что их контролирует гораздо больше разработчиков.
  • Является ли это премиальным плагином: платные плагины поддерживают работу разработчиков, и поэтому вероятность того, что их забросят, гораздо ниже, чем у бесплатных плагинов. Это не означает, что программное обеспечение с открытым исходным кодом никогда не бывает безопасным, однако с продуктом премиум-класса вы платите за поддержку клиентов и качество продукта.
  • Никогда не устанавливайте обнуленные плагины и темы: доступное бесплатное программное обеспечение премиум-класса проблематично на многих уровнях. Обнуленное программное обеспечение часто содержит вредоносное ПО или бэкдоры, которые после установки позволяют хакерам получить доступ к вашему веб-сайту.
4. Используйте брандмауэр

Не существует надежного способа помешать хакерам или созданным ими ботам атаковать веб-сайты, подобные вашему. Однако вы можете значительно снизить вероятность, установив брандмауэр.

2. Защитите свое имя пользователя и пароль

Около 6% взломанных веб-сайтов были уязвимы для атак из-за слабых паролей. Это может показаться небольшим числом по сравнению с прямой вредоносной активностью, но все же достаточно значительным, чтобы привлечь ваше внимание.

Потеря пароля администратора вашего сайта подобна потере ключей от квартиры или машины. С ключом вор имеет полный контроль над вашим ценным имуществом. Точно так же с паролем хакеры имеют полный доступ к вашему сайту и его информации. На данный момент даже брандмауэр или плагин безопасности не могут помешать хакерам нанести ущерб вашему сайту.

Необходимость в надежных паролях по-прежнему активно пропагандируется, но из-за связанных с этим трудностей пользователи веб-сайтов часто игнорируют ее. Прежде чем я перейду к механизмам получения надежной репутации, давайте ответим на некоторые распространенные вопросы, которые возникают у людей о них.

Как можно украсть пароль?

Ответ может стать неожиданностью: хакер пытается угадать пароль. Под этим я подразумеваю, что они пробуют разные пароли вручную, но для этого есть боты. Это также известно как атака методом перебора или, если бот угадывает слова, атака по словарю.

Подобные атаки работают очень хорошо по нескольким причинам:

  • Легко угадываемые пароли: общеупотребительные слова, короткие слова, само слово «пароль» в разных сочетаниях.
  • Данные предыдущих взломов: есть причина, по которой люди рекомендуют использовать разные пароли для разных сервисов и сайтов.

Как защититься от кражи пароля

1. Используйте надежный пароль — в надежных паролях используется комбинация букв, цифр и символов в произвольном порядке, потому что их трудно взломать. Хакерским ботам могут потребоваться годы, чтобы найти правильный пароль. Вы можете попробовать создать надежный пароль самостоятельно или использовать генератор паролей.

2. Ограничьте количество попыток входа — хороший способ предотвратить атаку грубой силы — заблокировать злоумышленников после нескольких неудачных попыток входа в систему. Это эффективный механизм, так как этот тип атаки состоит в том, что хакерские боты неоднократно пробуют разные пароли.

3. Внедрите двухфакторную аутентификацию — некоторые службы используют двухфакторную аутентификацию во время процесса входа в систему, что, по сути, означает, что вам нужно иметь два (в идеале) отдельных токена для доступа к вашей учетной записи. Чаще всего это комбинация паролей и токена с ограниченным сроком действия, такого как пин-код или QR-код, отправленные на вашу электронную почту или устройство.

4. Внедрить защиту CAPTCHA — CAPTCHA могут решить только люди. Они предназначены для предотвращения доступа хакерских ботов к учетной записи. Вы можете использовать его для защиты вашего сайта.

5. Используйте брандмауэр — некоторые брандмауэры безопасности веб-сайтов, также отслеживают вредоносные IP-адреса на глобальном уровне. Брандмауэр учится на всех сайтах с установленным плагином. Затем он автоматически блокирует плохие IP-адреса еще до того, как они попытаются взломать ваш пароль. Это, в сочетании с возможностью ограничения входа в систему, может защитить ваш сайт от хакеров, пытающихся проникнуть в админку сайта.

3. Выберите хорошего хостинг-провайдера

Существует тенденция обвинять веб-хостинг во всем, что идет не так с веб-сайтом. Хотя веб-хосты обычно несут ответственность за многие аспекты веб-сайта, они редко виноваты, когда веб-сайт взломан. На самом деле, как правило, верно обратное: веб-хостинги улучшают безопасность веб-сайтов.

Конечно, есть некоторые веб-хосты, которые играют роль в компрометации веб-сайтов, размещенных на их сервере. Это случается редко, но когда это происходит, это серьезный инцидент, который ставит под угрозу тысячи веб-сайтов.

4. Установите SSL-сертификат

Secure Sockets Layer, более известный как SSL, представляет собой протокол безопасности, который шифрует все соединения с веб-сайтом. После установки он отображается в виде замка в начале URL-адреса вашего сайта.

Преимущества использования SSL-сертификата следующие:

  • Все данные, передаваемые на ваш сайт и с него, зашифрованы.
  • Это знак доверия к вашему сайту. На самом деле, большинство браузеров будут помечать сайты без SSL как «Небезопасные» в адресной строке.
  • Google любит веб-сайты с SSL-сертификатом и даже награждает их более высоким рейтингом.

Надлежащие методы обеспечения безопасности веб-сайтов

Как я уже говорил в начале, безопасность веб-сайтов — это постоянная практика. В этом разделе я перечислю методы, которые полезно внедрить в общую стратегию безопасности веб-сайта. Как только вы войдете в привычку делать это, небольшие инвестиции вашего времени и усилий окупятся во много раз благодаря безопасному веб-сайту.

1. Чаще меняйте пароль — я понимаю, что установка паролей, которые трудно угадать, сложна, особенно потому, что они часто являются синонимами паролей, которые трудно запомнить. Мы также можем представить тревогу, вызванную тем, что нас просят регулярно менять свой превосходный пароль.

Причина в том, что пароли являются самым слабым звеном в системе безопасности, особенно если вы используете одни и те же пароли для нескольких учетных записей. Даже если один сайт подвергнется взлому, вы можете с уверенностью предположить, что все ваши учетные записи потенциально скомпрометированы. Регулярно также может означать разные вещи для разных людей. Некоторые финансовые учреждения, такие как банки, требуют смены паролей каждые 90 дней.

2. Проверяйте пользователей веб-сайта, отслеживайте новых пользователей-администраторов — хакеры часто оставляют пользователей-администраторов, чтобы они могли восстановить доступ к сайту. Следовательно, регулярная проверка пользователей-администраторов может повысить безопасность веб-сайта.

Во-вторых, соавторы сайта могут меняться. Если пользователю больше не нужен доступ, лучше удалить его доступ к сайту. Причина двоякая:

  1. вы не хотите, чтобы пользователь вносил какие-либо изменения на ваш сайт;
  2. их неактивные учетные записи могут быть взломаны хакерами.
Со временем, когда мы создаем наш сайт с новым содержанием и дизайном, мы продолжаем добавлять новых пользователей на наш сайт. Вы должны периодически проверять подобных пользователей. Вы можете сами следовать правилам безопасности, но другой пользователь, скомпрометированный, повлияет на ваш сайт. При добавлении пользователей по возможности давайте им, только необходимые уровни доступа. Например, если кто-то только пишет статьи, не давайте ему права администратора.

3. Настройте журнал активности на своем сайте —  хакеры не используют основные API-интерфейсы WordPress для изменения веб-сайта, поэтому многие из вносимых ими изменений не будут отражены в журнале активности. Однако они могут оставить следы, например, создать для себя учетные записи администратора для доступа к сайту. Эти неожиданные действия могут помочь обнаружить взлом. И наоборот, если изменения вносятся соавтором, журналы активности могут помочь избежать ненужной паники, когда вы видите изменения, внесенные на ваш сайт.

4. Заблокируйте PHP в папке «Загрузки» — целый класс уязвимостей ( если быть точным, Remote Code Execution ) позволяет хакерам загружать вредоносные PHP- файлы в папку Uploads. Затем хакер может использовать его для выполнения любого кода на вашем сайте. Другими словами, они имеют полный контроль над вашим сайтом.

Атаку можно эффективно нейтрализовать, если вы заблокируете выполнение файлов PHP в папке Uploads. Не волнуйтесь. Блокировка PHP-файлов в папке «Загрузки» безопасна, потому что их там вообще не должно быть. Папка Uploads — это место, где вы храните свои медиафайлы, а не сценарии.

Чего следует избегать при защите вашего веб-сайта?

Быстрый поиск в Google даст вам множество советов и стратегий для защиты вашего сайта. Несколько плагинов безопасности также предоставят несколько вариантов защиты вашего сайта от взломщиков паролей. Защита вашего веб-сайта — это то, что вы должны делать, однако есть некоторые вещи, которых следует избегать.

Причины различаются для каждого из пунктов, о которых я говорю ниже, но по своей сути ваши меры должны приносить ощутимую пользу в плане безопасности, особенно если вы просите своих пользователей преодолевать дополнительные барьеры безопасности. Например, если вы применяете как капчу, так и двухфакторную аутентификацию, попасть на ваш сайт становится сложно, с небольшой дополнительной выгодой.

Вы можете получить дополнительное ощущение безопасности, применяя все доступные варианты, но с точки зрения анализа затрат и выгод они не режут границу.

1. Скрыть страницу авторизации wp — Вы увидите это на многих форумах: измените страницу wp-login на собственный URL-адрес вашего сайта. Логика такова, что если хакеры не могут найти страницу входа, они не могут использовать атаки грубой силы, чтобы получить доступ к вашему сайту. В этом есть несколько недостатков:

  • WordPress также позволяет вам входить в систему с помощью XML-RPC.
  • Это затруднит использование вашего сайта. Если вы забудете специальный URL-адрес, который вы создали для себя вместо wp-login, восстановление после этого может быть затруднено.
  • Если вы используете общий URL-адрес или URL-адрес по умолчанию, который поставляется с подключаемым модулем безопасности, хакерам все равно будет легко догадаться, что полностью сведет на нет вашу цель.
  • Скрытие этой страницы требует применения к вашему сайту сложных настроек, которые могут иметь другие неожиданные побочные эффекты.
2. Геоблокировка — другой часто рекомендуемой мерой безопасности является геоблокировка. Вам может не понадобиться или не ожидаться законный трафик из определенных стран, и, следовательно, вы решите ограничить доступ.
  • IP-адреса для регионов не идеальны и могут иметь ошибки.
  • Если вы заблокируете себя по ошибке, отменить это будет сложно.
  • Вы можете в конечном итоге заблокировать хороших ботов, таких как Google, которые не могут нанести вред вашему сайту.
Хороший брандмауэр может и защитит ваш сайт от вредоносных ботов и нежелательного трафика. Я рассмотрел преимущества брандмауэров в предыдущем разделе.

3. Защитите паролем директорию wp-admin — папка wp-admin — одна из самых важных папок на вашем сайте. Естественно, она привлекает большое внимание хакеров. Поэтому защита его паролем может показаться блестящим ходом, но контрпродуктивным.

Пароль, защищающий ваш каталог wp-admin, нарушает функциональность AJAX на вашем веб-сайте WordPress. AJAX — это метод кодирования, который загружает части вашего веб-сайта с сервера без изменения текущей отображаемой страницы.

Если это звучит как абракадабра, по сути это означает, что он делает ваш сайт динамичным, без постоянной перезагрузки для пользователей каждый раз, когда что-то меняется.

Подумайте о прокрутке ленты новостей в социальной сети. Новые истории или твиты загружаются, когда вы все еще читаете те, которые уже есть на вашем экране, и вы можете обновить ленту новостей, когда захотите загрузить новый контент.

4. Скрыть версию WordPress — логика сокрытия версии вашего сайта на WordPress связана с обновлениями безопасности. Если на вашем веб-сайте не установлена ​​последняя версия WordPress, хакер может воспользоваться уязвимостью, существующей в более старой версии. Однако скрытие вашей версии WordPress не имеет никакой пользы. Есть несколько способов определить версию WordPress веб-сайта: проверка внешнего кода сайта, проверка RSS-канала и т. д. Между прочим, все они являются законными.

Способ борьбы с уязвимостями WordPress в более старых версиях — обновлять вашу версию до последней. Многие администраторы веб-сайтов опасаются, что обновление работающего сайта может привести к поломке. Поэтому лучше сначала сделать это на тестовом сайте.

Что делать, если ваш сайт взломан?

Что делать если сайт был взломан?

Если ваш сайт недавно был взломан, для вас еще важнее быть предельно внимательным к безопасности вашего сайта. Если не сделать это правильно, это может привести к неоднократному взлому сайта, и вся ситуация превратится в полный кошмар.

  1. Сначала очистите вредоносное ПО: используйте хороший плагин безопасности, для автоматического удаления вредоносного ПО без следа.
  2. Обновляйте все: как я уже говорил, обновления программного обеспечения жизненно важны. Убедитесь, что у вас установлены последние версии WordPress, тем и плагинов. Если вы этого не сделаете, есть большая вероятность, что именно по этой причине ваш сайт был взломан в первую очередь.
  3. Просмотрите каждого пользователя-администратора: внимательно изучите каждую учетную запись администратора. Мы уже говорили об этом в этой статье, но хакеры создают учетные записи администратора, чтобы восстановить доступ к взломанному веб-сайту в случае обнаружения вредоносного ПО.
  4. Смените все пароли. Предположим, что ваши учетные данные были скомпрометированы, смените пароли. Надеюсь, вы не используете один и тот же пароль для разных продуктов и услуг, в противном случае вам также следует изменить и остальные пароли.
  5. Изменить учетные данные БД (если возможно): файл wp-config.php содержит учетные данные, которые сайт WordPress использует для подключения к базе данных сайта. Во многих случаях доступ к базе данных ограничен, даже если учетные данные БД скомпрометированы. Однако на некоторых хостах хакеры могут использовать эту информацию для прямого изменения базы данных. Это может привести к повторному заражению сайта.
  6. Изменить ключи безопасности: WordPress использует ключи безопасности для управления сеансами для зарегистрированных пользователей.
  7. Настройте брандмауэр WordPress: я уже подробно рассмотрел это в этой статье. Брандмауэр WordPress — ваша лучшая защита от вредоносных ботов и плохого трафика.

All In One WP Security & Firewall — безопасность сайта на WordPress

Плагин безопасности для WordPress All In One WP Security Firewall.Коротко: Самый простой способ защитить свой сайт — установить плагин усиливающий безопасность сайта к примеру: All In One WP Security & Firewall – комплексный подход, прост в использовании, стабильный и хорошо поддерживаемый плагин для безопасности WordPress.
All In One WP Security & Firewall имеет следующий функционал:

All In One WP Security & Firewall постоянно поддерживается.

1. Безопасность учетных записей пользователей

  • Определите, существует ли учетная запись пользователя с именем пользователя «admin» по умолчанию, и легко измените имя пользователя на значение по вашему выбору.
  • Плагин также обнаружит, есть ли у вас учетные записи пользователей WordPress с одинаковыми логинами и отображаемыми именами. Наличие учетной записи, в которой отображаемое имя идентично имени для входа, является плохой практикой безопасности, потому что вы создаете для хакеров вход, уже готовый на 50%, так как они уже знают имя для входа.
  • Инструмент надежности пароля, позволяющий создавать очень надежные пароли.
  • Остановить перечисление пользователей. Таким образом, пользователи/боты не могут обнаружить информацию о пользователе через постоянную ссылку автора.

2. Безопасность входа для пользователя

  • Защититесь от «Brute Force Login Attack»(атаки грубой силы) с помощью функции блокировки входа. Пользователи с определенным IP-адресом или диапазоном будут заблокированы в системе на заранее определенный период времени в зависимости от настроек конфигурации, и вы также можете получать уведомления.
    по электронной почте всякий раз, когда кто-то блокируется из-за слишком большого количества попыток входа в систему.
  • Как администратор вы можете просмотреть список всех заблокированных пользователей, который отображается в легко читаемой и удобной для навигации таблице, которая также позволяет вам разблокировать отдельные или групповые IP-адреса одним нажатием кнопки.
  • Принудительный выход всех пользователей через настраиваемый период времени.
  • Отслеживание/просмотр неудачных попыток входа в систему, которые показывают IP-адрес пользователя, идентификатор пользователя/имя пользователя и дату/время неудачной попытки входа в систему.
  • Отслеживайте/просматривайте активность учетных записей всех учетных записей пользователей в вашей системе, отслеживая имя пользователя, IP-адрес, дату/время входа и дату/время выхода из системы.
  • Возможность автоматически блокировать диапазоны IP-адресов, которые пытаются войти в систему с недопустимым именем пользователя.
  • Возможность увидеть список всех пользователей, которые в данный момент вошли на ваш сайт.
  • Позволяет указать один или несколько IP-адресов в специальном белом списке. IP-адреса из белого списка будут иметь доступ к вашей странице входа в WP.
  • Добавьте Google reCaptcha или простую математическую капчу в форму входа в WordPress.
  • Добавьте Google reCaptcha или простую математическую капчу в форму забытого пароля вашей системы входа в WP.

3. Безопасность регистрации пользователей

  • Включите ручное подтверждение учетных записей пользователей WordPress. Если ваш сайт позволяет людям создавать свои собственные учетные записи через регистрационную форму WordPress, вы можете свести к минимуму СПАМ или фиктивные регистрации, подтверждая каждую регистрацию вручную.
  • Возможность добавить Google reCaptcha или простую математическую капчу на страницу регистрации пользователя WordPress, чтобы защитить вас от спам-регистрации пользователя.
  • Возможность добавить Honeypot в форму регистрации пользователя WordPress, чтобы уменьшить количество попыток регистрации со стороны роботов.

4. Защита Базы данных WordPress

  • Легко установите префикс WP по умолчанию на значение по вашему выбору одним нажатием кнопки.
  • Запланируйте автоматическое резервное копирование и уведомления по электронной почте или сделайте мгновенное резервное копирование БД в любое время одним щелчком мыши.

5. Безопасность файловой системы сайта на WordPress

  • Определите файлы или папки с небезопасными настройками разрешений и установите разрешения на рекомендуемые безопасные значения одним нажатием кнопки.
  • Защитите свой PHP-код, отключив редактирование файлов в области администрирования WordPress.
  • Легко просматривайте и отслеживайте все журналы хост-системы с одной страницы меню и будьте в курсе любых проблем или проблем, возникающих на вашем сервере, чтобы вы могли быстро их решить.
  • Запретите людям доступ к файлам readme.html, license.txt и wp-config-sample.php вашего сайта WordPress.

6. Резервное копирование и восстановление файлов htaccess и wp-config.php

  • Легко создавайте резервные копии исходных файлов .htaccess и wp-config.php на случай, если они понадобятся вам для восстановления нарушенной функциональности.
  • Измените содержимое текущих активных файлов .htaccess или wp-config.php с панели администратора всего за несколько кликов.

7. Функциональность черного списка

  • Заблокируйте пользователей, указав IP-адреса или используйте подстановочный знак для указания диапазонов IP-адресов.
  • Запретить пользователей, указав пользовательские агенты.

8. Функциональность брандмауэра

Этот плагин позволяет вам легко добавить многих элементов защиты брандмауэра на ваш сайт через файл htaccess. Файл htaccess обрабатывается вашим веб-сервером раньше любого другого кода на вашем сайте.
Таким образом, эти правила брандмауэра остановят вредоносный скрипт(ы) до того, как он получит шанс добраться до кода WordPress на вашем сайте.

  • Объект контроля доступа.
  • Мгновенно активируйте набор настроек брандмауэра, начиная от базовых, промежуточных и расширенных.
  • Включите знаменитые правила брандмауэра «6G Blacklist», любезно предоставленные Perishable Press.
  • Запретить размещение комментариев через прокси.
  • Заблокировать доступ к файлу журнала отладки.
  • Отключите трассировку и отслеживание.
  • Запретить неверные или вредоносные строки запроса.
  • Защитите себя от межсайтового скриптинга (XSS), активировав комплексный расширенный фильтр символьных строк.
    или вредоносные боты, у которых в браузере нет специального файла cookie. Вы (администратор сайта) будете знать, как установить этот специальный файл cookie, и сможете войти на свой сайт.
  • Функция защиты от уязвимостей WordPress PingBack. Эта функция брандмауэра позволяет пользователю запретить доступ к файлу xmlrpc.php для защиты от определенных уязвимостей в функции проверки связи. Это также полезно для блокировки ботов от постоянного доступа к файлу xmlrpc.php и траты ресурсов вашего сервера.
  • Возможность блокировать фальшивых роботов Google от сканирования вашего сайта.
  • Возможность предотвратить хотлинкинг изображений. Используйте это, чтобы другие не могли связывать ваши изображения по горячим ссылкам.
  • Возможность регистрации всех событий 404 на вашем сайте. Вы также можете автоматически блокировать IP-адреса, которые получают слишком много ошибок 404.
  • Возможность добавлять собственные правила для блокировки доступа к различным ресурсам вашего сайта.

9. Предотвращение атаки грубой силы при входе в систему

  • Мгновенно блокируйте атаки грубой силы с помощью нашей специальной функции предотвращения грубой силы входа на основе файлов cookie. Эта функция брандмауэра блокирует все попытки входа в систему от людей и ботов.
  • Возможность добавить простую математическую капчу в форму входа в WordPress для защиты от атак методом грубой силы.
  • Возможность скрыть страницу входа администратора. Переименуйте URL-адрес страницы входа в WordPress, чтобы боты и хакеры не могли получить доступ к вашему реальному URL-адресу входа в WordPress. Эта функция позволяет вам изменить страницу входа по умолчанию (wp-login.php) на то, что вы настроите.
  • Возможность использовать Login Honeypot, который поможет уменьшить количество попыток входа в систему с помощью грубой силы со стороны роботов.

10. Сканер безопасности файлов сайта

  • Сканер обнаружения изменений файлов может предупредить вас, если какие-либо файлы были изменены в вашей системе WordPress. Затем вы можете исследовать и посмотреть, было ли это законным изменением или был введен какой-то плохой код.

11. Комментарий Защита от спама

  • Отслеживайте наиболее активные IP-адреса, которые постоянно производят наибольшее количество спам-комментариев, и мгновенно блокируйте их одним нажатием кнопки.
  • Предотвратите отправку комментариев, если они исходят не от вашего домена (это должно сократить количество комментариев, размещаемых ботами для спама на вашем сайте).
  • Добавьте капчу в форму комментария WordPress, чтобы усилить защиту от спама в комментариях.
  • Автоматически и навсегда блокировать IP-адреса, которые превысили определенное количество комментариев, помеченных как СПАМ.

12. Фронтальная защита от копирования текста

  • Возможность отключить щелчок правой кнопкой мыши, выбор текста и опцию копирования для вашего внешнего интерфейса.

13. Дополнительные возможности плагина

  • Возможность удалить метаинформацию генератора WordPress из исходного кода HTML вашего сайта.
  • Возможность удалить информацию о версии WordPress из файлов JS и CSS вашего сайта.
  • Возможность запретить людям доступ к файлам readme.html, license.txt и wp-config-sample.php.
  • Возможность временно заблокировать переднюю часть вашего сайта от обычных посетителей, пока вы выполняете различные внутренние задачи (расследование атак на безопасность сайта, выполнение обновлений сайта, техническое обслуживание и т. д.)
  • Возможность экспорта/импорта настроек безопасности.
  • Запретите другим сайтам отображать ваш контент через фрейм или iframe.

Он идеально подходит для тех, у кого просто нет времени заниматься безопасностью веб-сайтов. Просто установите и забудьте плагин. Но если вы можете позволить себе дополнительное время для усиления безопасности, я настоятельно рекомендую вам реализовать все вышеперечисленные меры.

Вывод

Я начал эту статью о том, как защитить веб-сайт с четкого указателя: первый шаг — правильно продумать безопасность сайта. Это непрерывный процесс. Хорошей стандартной практикой в ​​любой организации является проведение периодических аудитов, позволяющих максимально контролировать безопасность сайта. Ландшафт угроз постоянно меняется, и хакеры найдут более творческие способы преодоления защиты. Эксперты по безопасности сохраняют постоянную бдительность, и это главный вывод из всего: не расслабляйтесь.

Спасибо, что читаешь Nicola Top

Насколько публикация полезна?

Нажмите на смайлик, чтобы оценить!

Средняя оценка 4.9 / 5. Количество оценок: 50

Оценок пока нет. Поставьте оценку первым.

комментария 2

  1. Евгений:
    10.08.2022 в 02:46

    Я в первые вижу, столь длинную статью. Респект автору сайта, это же сколько времени вы потратили на нее? Замечательное руководство, описывающие все практически все аспекты по защите и обеспечению безопасности сайта. Уже некоторое время читаю ваш блог. Спасибо вам, очень много полезных материалов.

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

5 × один =