Безопасность сайтов на WordPress | дизайнер Алла Краснова

Безопасность сайта на WordPress: как настроить, улучшить и проверить

| Опубликовано:

Безопасность сайта на WordPress — вопрос первоочередной важности, начиная от момента установки CMS WordPress на хостинг и на весь период существования вашего сайта. Давайте разбираться, как настроить безопасность сайта, что сделать, чтобы улучшить защиту вашего сайта и как проверить безопасность сайта онлайн–сервисами.

Настройка безопасности сайта — это процесс, требующий постоянного участия, который состоит из базовых настроек при создании сайта, тщательной проверки системы защиты сайта при запуске сайта, внимательного контроля за состоянием сайта, систематических проверок и улучшений безопасности сайта.

Я не намерена вызвать у вас какую–либо из форм паранойи, но призываю к бдительности. Безопасность вашего сайта должна стать вашей задачей №1 на весь период жизни сайта.

Когда дело доходит до безопасности, важно помнить, что нет ничего постыдного в том, чтобы быть слишком параноиком. Быть в безопасности.

Эстевао Авиллес, старший директор по безопасности Sucuri
Безопасность сайтов на WordPress: как настроить, улучшить и проверить | дизайнер Алла Краснова
Безопасность сайтов на WordPress: как настроить, улучшить и проверить | дизайнер Алла Краснова

Быстрая навигация

Насколько безопасно создавать сайты на WordPress

Во всех без исключения мануалах по улучшению безопасности сайта WordPress вы найдете отсылку к статистике о количестве взломов сайта на этой платформе с доказательствами, что это самая уязвимая из известных CMS.

Не соглашусь с такими выводами, поскольку и число сайтов, созданных на WordPress, в десятки раз превышает другие платформы для создания сайтов.

>> 50+ причин выбрать WordPress для сайта

Хотя WordPress и является платформой с открытым исходным кодом, она постоянно обновляется, активно поддерживается широким сообществом разработчиков.

Но, как и все, что существует в Интернете, WordPress не является пуленепробиваемым инструментом.

Все советы по настройке и улучшению безопасности сайта на WordPress, которые вы здесь найдете или вообще в Интернете, не дадут вам 100% гарантии о полной защите вашего сайта, зато помогут снизить риски от большинства угроз до минимума.

Безопасность вашего сайта — это зона вашей ответственности.

К слову, вас не должно уводить от реальности выражение, что создать сайт на WordPress может любой школьник — настолько это легко.

Это действительно легкий процесс (я надеюсь, вы в этом уже убедились с помощью моей пошаговой инструкции). Но это не относится к поддержанию безопасности сайта.

>> Проверьте, насколько легко создать сайт на WordPress (курс — 7 писем на вашу почту)

И еще один момент. Вы должны обязательно отдавать себе отчет, что ваши непродуманные действия или неточные знания в данной области могут привести к неприятным результатам. Сайт может сломаться, если вы не знаете, что делаете.

Поэтому в данном руководстве вы не найдете фрагменты кода, которые надо бы вставить в определенные файлы сайта, чтобы ограничить доступ к коду сайта. Это хорошие меры, но без специфических знаний они приведут к поломке сайта. В таких случаях лучше обратиться к специалисту.

Почему важно обеспечить безопасность сайта

Я думаю, что не сделаю сейчас никаких открытий для вас, если скажу, что обеспечение защиты сайта от внешних угроз важно для получения трафика, для поддержания доверия со стороны пользователей и поисковых систем, для успешного выполнения сайтом всех поставленных перед ним задач.

Вспомните, как себя чувствовали при переходе на сайт, который помечается, например Google, как «небезопасный»? Вы же не хотите такой ситуации для своего сайта?

С какой целью взламывают сайты

 Цели взлома системы безопасности сайта можно отнести у 2 группам:

  • кража личных данных пользователей (любых, от номера телефона до номера банковской карты),
  • кража ресурсов с дальнейшим перенаправлением в своих целях (например, получение доступа к серверу через взлом сайта на нем и использование мощностей сервера для криптовалютного майнинга, отправки спама, вирусов, внедрение ссылок на ваш сайт с редиректом на свои ресурсы, с рекламой казино и прочего контента 18+).

Причины уязвимости системы защиты сайта на WordPress

Согласно отчету Sucuri за 2019 год, при анализе причин взлома сайтов их клиентов (а не всего Интернета) они установили, что 47% этих сайтов содержали хотя бы 1 бэкдор, что позволило злоумышленникам получить доступ к важным файлам сайта.

Бэкдор — брешь в системе защиты сайта (из–за устаревших версий ядра WordPress, плагинов и тем, из–за низкой производительности сайта, ненадежного хостинга и проч.).

62% сайтов были заражены из–за спама, 56% случаев заражения сайтов произошли из–за устаревших приложений и дополнений.

92% сайтов было взломано автоматически ботами, только 8% атак были целенаправленными и проведены вручную методом подбора паролей.

Среди этого большого числа автоматического взлома 41% произошел из–за уязвимости в программном обеспечении хостинга и ядра платформы, 29% из–за бреши в темах оформления, 22% из–за бреши в плагинах.

Хотя это малая выборка, но она наглядно показывает определенные тенденции.

Распространенные виды угроз для безопасности сайта

Знание возможных вариантов нарушений в защите сайта бывает полезно, особенно, если вы впервые имеете дело с сайтом.

  1. Получение доступа к файлам сайта посредством перебора логинов и паролей пользователей (бруфортс — атака «грубой силой»),

 через зараженный компьютер, на котором вы осуществляете вход на сайт,

через кражу данных на подставных страницах «как будто от вашего хостинг–провайдера» (фишинг), посредством перехвата данных (например, при использовании незащищенных публичных сетей Wi–Fi).

2. Спам–комментарии с нежелательными ссылками на сторонние ресурсы способны нанести ощутимый урон вашему сайту.

3. Межсайтовый скриптинг (XSS)—при переходе по ссылкам запускается скрипт перехвата данных.

4. С помощью SQL–инъекций через внедрение вредоносного кода с целью обойти существующие меры системы безопасности сайта и получение несанкционированного доступа к данным.

5. Через DDoS–атаки на сайт — множественные одновременные запросы из нескольких источников к ресурсу, в результате чего происходит отказ программного обеспечения.

Что нужно сделать перед применением советов по повышению безопасности сайта WordPress

  1. Выполните резервное копирование сайта перед внесением изменений в систему безопасности сайта.
  2. Переведите сайт в режим технического обслуживания.
  3. Ведите журнал своих действий.
  4. После каждого этапа работ по настройке или улучшению системы безопасности сайта проверяйте доступность сайта, чтобы вовремя «откатиться» назад, если ваши действия привели к поломке сайта.

>> Как проверить доступность сайта: лучшие бесплатные онлайн–сервисы

Основные требования к безопасности сайта

Внимание! Если вы не уверены в своих действиях, лучше воздержаться от внесения изменений в защите сайта.

Пропустите сложные для вас пункты, вернитесь к ним позже или доверьте специалисту.

Основы безопасности сайта WordPress заключаются в защите доступов к административной панели и файлам сайта, содержании ядра WordPress, темы оформления и плагинов в актуальном состоянии и постоянном мониторинге системы защиты сайта.

Теперь рассмотрим подробнее, как реализовать основные требования к безопасности сайта WordPress.

Как настроить безопасность сайта на WordPress

Как правило, настройки безопасности сайта заслуживают особого внимания на этапе разработки сайта. Потому что проводить некоторые действия по улучшению безопасности на уже работающем сайте могут быть затруднительны из–того, что это глобально влияет на работу сайта.

>> Как правильно настроить WordPress после установки

  1. Используйте услуги по размещению вашего сайта у заслуживающего доверия хостинг–провайдера

Постарайтесь избегать дешевых хостинговых компаний или гарантирующих бесплатное размещение вашего сайта — у таких компаний вряд ли есть серьезная забота о безопасности вашего сайта и обеспечению его безотказной работы.

>> Что важно учитывать при выборе хостинга для сайта

2. Установите SSL–сертификат для домена, чтобы защитить соединение и зашифровать обращение пользователей к сайту.

Обратите внимание, что если вы инициировали установку сертификата безопасности на уже рабочий сайт, то придется провести определенные настройки для перевода сайта с http на https.

Большинство хостингов предлагают бесплатный сертификат безопасности Let’s Encrypt. Обязательно воспользуйтесь этой услугой и установите сертификат безопасности на свой сайт.

3. В качестве логина для администратора берите другое слово, чем идущее по умолчанию «admin». И не берите «администратор» — это тоже распространенная практика. При этом не надо облегчать кому–то угадывание вашего логина и брать за логин доменное имя сайта. Например, ваш сайт sitedomen.ru и как логин вы устанавливаете именно такое написание — sitedomen. Это ошибка, которая может привести к потере контроля над сайтом. Ваш логин должен быть максимально уникальным.

>> Избегайте этих типичных ошибок при создании сайта на WordPress

>> Как правильно выбрать удачный домен для сайта

4. Обратите внимание, что некоторые хостинг–провайдеры устанавливают автоматический логин для администратора сайта WordPress «admin». В этом случае вам нужно добавить нового пользователя с правами администратора и удалить установленного по умолчанию.

Чтобы провернуть такую операцию, вам нужно выйти из админпанели WordPressи заново залогиниться под новым логином. Только так можно удалить предыдущего пользователя «admin».

5. Важно не дублировать ваш логин в качестве отображаемого имени. Отображаемое имя будет указано в качестве автора к статьям, модератора в комментариях. Каким бы надежным не был ваш логин, если он виден при легком погружении в контент сайта, то особого смысла в нем нет.

>> Что делать, чтобы постоянно генерировать идеи для контента в блоге

6. Используйте надежные пароли для своих учетных записей и для других пользователей (при наличии) — комбинируйте буквы (прописные и строчные), цифры, спецсимволы, длиной 8 и более символов.

Имейте в виду, что пароли вроде 12345678, abc123 и прочее — это не пароль для улучшения безопасности сайта, как и день рождения, номер телефона, использовать электронную почту тоже нежелательно.

Для надежности и хранения пароля используйте менеджер паролей.

7. То же самое относится и к паролям от вашего личного кабинета на хостинге. Если при потере доступов к сайту вы можете исправить ситуацию с помощью восстановления на хостинге, то с потерей доступов к хостингу, сайт вернуть будет уже практически невозможно.

8. Измените URL–адрес страницы входа в административную панель сайта WordPress. По умолчанию, эту страницу можно найти просто, добавив к вашему домену /wp–admin или /wp–login.

Это не секрет, это известно всему Интернету. Поэтому важно изменить адрес страницы входа. Не используйте для этого слова, которые обозначают категорию или теги сообщений, ваши услуги или еще каким–то образом встречаются в контенте сайта или связаны с вами, с вашей деятельностью.

9. Запретите свободную регистрацию пользователей на сайте. При необходимости добавляйте пользователей вручную, например, если вам нужен редактор на сайте или важно провести работы на сайте. И не забывайте о составлении для них тоже надежных паролей.

10. В случае, если на вашем сайте все же нужна массовая регистрация пользователей, настройте капчу, чтобы снизить вероятность автоматической регистрации на сайте. Да, это не совсем удобно для посетителей, но помните, что и для ботов тоже.

11. При покупке домена, хостинга, при установке WordPress вы получаете на почту письма с данными для авторизации на сайтах регистратора или хостинг–провайдера. Важно перенести все данные для доступа в надежное место (используйте менеджер паролей), а эти письма удалите. При этом не поленитесь очистить и саму корзину в почтовом ящике.

12. В WordPress пользователям можно назначать роли в зависимости от их степени допуска к важным файлам сайта. Используйте эту возможность ограничить доступ и привилегии для пользователей.

Без крайней на то необходимости не предоставляйте кому–то еще, кроме вас, права на уровне администратора.

13. Круг лиц с доступом к админпанели сайта, а тем более, к хостингу сайта должен быть крайне ограниченным и состоящим только из заслуживающих доверия людей. Хорошо, когда этот круг начинается и замыкается на вас).

14. Обязательно настройте резервное копирование сайта. Эта мера выручит вас в крайнем случае, если будет нарушена нормальная работа сайта в результате сторонних действий или ваших попыток внести изменения в файлы сайта.

Для резервного копирования сайта используйте бесплатный плагин UpdraftPlus.

15. Храниться резервные копии сайта должны на внешнем устройстве (например, в облаке, ГуглДиске и проч.). Нет смысла в резервных копиях сайта, которые сохраняются в хранилище среди файлов сайта, — при заражении сайта эти копии тоже будут повреждены.

16. Комментарии к вашим публикациям на сайте — хорошая вещь, возможность получить обратную связь от читателей. Приятно узнать, что твои старания не направлены «вникуда». Но нельзя оставлять комментирование как самостоятельный процесс. Не отказывайтесь от модерации комментариев.

Тем более, что спам–комментарии способны нанести ущерб вашему сайту. Поэтому важно установить плагин для борьбы со спамом. И при этом, если у плагина будет функция отправки подозрительных комментариев в корзину, вы должны регулярно очищать корзину, удалять такие комментарии навсегда.

>> Лучшие плагины для сайта WordPress

17. Защитите формы обратной связи от спама: установите обязательные для заполнения поля, без заполнения которых сообщение не будет отправлено, и капчу — так ваш почтовый ящик не захлебнется от спама и прочей ерунды.

18. Все компоненты сайта (ядро WordPress, тема оформления, плагины) должны быть в актуальном состоянии. Важно обновлять их до последней версии.

Устаревшие версии составных элементов сайта WordPress — частая причина взлома, более 56% сайтов пострадали именно по этой причине и были заражены именно из–за бреши в устаревших компонентах.

Регулярные обновления — процесс непрерывный, и это может быть утомительно. Для постоянного отслеживания регулярных обновлений и налаживания процесса технического сопровождения и администрирования сайта обратитесь за помощью к специалисту.

На сайте WordPress опубликована неутешительная статистика: 47,5% сайтов работают на устаревших версиях ядра WordPress!

Официальная статистика версий ядра WordPress на сайтах | блог дизайнера Аллы Красновой
Официальная статистика версий ядра WordPress на сайтах | блог дизайнера Аллы Красновой

Хакботы обходят множество сайтов за единицу времени с «ориентировками» на уязвимости в устаревших плагинах, темах или самом ядре платформы WordPress, сканируя сайты на наличие уязвимостей для получения контроля над сайтами.

19. Удалите неиспользуемые темы и плагины. Если вы их не используете, пусть они даже не активированы — такие элементы тоже служат дополнительной лазейкой в административную панель сайта.

Кроме того, эти темы и плагины «про запас» снижают скорость загрузки сайта. Медленная загрузка страниц сайта — самая основная причина высокого показателя отказов сайта.

>> Как ускорить сайт на WordPress

>> Что делать, чтобы снизить показатель отказов на сайте

20. Взвешенно подходите к выбору темы оформления  сайта WordPress и плагинов. Не стоит использовать премиальные темы и премиальные плагины, которые прошли через взлом для свободного распространения на торрентах и сомнительных сайтах. С таким «подарком» ваш сайт «наградят» множеством ссылок на сторонние ресурсы, догадайтесь, какого содержания, вредоносного кода и подобного рода дополнениями. Ваши силы по развитию сайта просто будут растрачены даром.

>> Как выбрать тему оформления (шаблон) для сайта WordPress

21. Если у вас несколько сайтов, устанавливайте для каждого сайта свой отдельный пароль. Если произойдет утечка данных для доступа к одному сайту, другие сайты не пострадают.

22. Не авторизуйтесь на своем сайте как администратор, используя чужой компьютер для доступа к сайту. На компьютерах часто установлено автоматическое запоминание данных для авторизации на определенных ресурсах.

23. При получении писем всегда проверяйте адрес, с которого письмо было отправлено, не открывайте письма только на основании имени отправителя. Иногда спам–рассылки отправляют от имени Google или вашего хостинг–провайдера. Узнать достоверно, от кого письмо, можно по обратному адресу электронной почты. Не открывайте сомнительных писем и, тем более, не переходите по ссылкам в них, чтобы не активировать межсайтовый скриптинг.

24. Ваш компьютер, с которого вы проводите работы на сайте, должен проходить регулярную проверку антивирусом. Это простое действие убережет ваш сайт, данные от вашего почтового ящика, платежных карт, аккаунтов в социальных сетях и личных кабинетов на других ресурсах.

25. Откажитесь от использования публичных, общедоступных сетей Wi –Fi для доступа в админпанель сайта или к хостингу — в таких сетях легко настроить перехват вводимых данных, это крайне ненадежное и небезопасное соединение. Если вам очень надо или вы просто хотите поработать над сайтом или статьей в блоге в общественном месте, лучше раздайте Wi–Fi со своего телефона на ноутбук — так гораздо безопаснее.

26. Публикуйте сообщения в блоге из админапанели сайта, не пользуйтесь удаленным способом публикации через почтовый ящик — это небезопасный способ, при котором велика вероятность утечки данных для доступа к сайту.

27. Уберите из подвала сайта упоминание, что «этот сайт работает на WordPress». Это просто сделать, если у вас премиальная тема оформления. Если вы используете бесплатную тему из репозитория WordPress, то порой бывает, что возможность убрать эту фразу будет нелегко — разработчики спрячут соответствующий код куда–нибудь подальше. Если у вас именно такая ситуация, берите другую тему. Не стоит оповещать весь Интернет, на какой платформе работает ваш сайт.

>> Что делать, чтобы сменить тему оформления WordPress без ущерба для сайта

28. Настройте на хостинге (если есть такая услуга на вашем тарифе) регулярную проверку сайта на наличие подозрительных ссылок с отправкой результатов проверки сайта вам на почту. пусть такой способ сканирования сайта не считается самым надежным, но отказываться от него не стоит.

29. Первый плагин, который вы должны установить на сайт после распаковки WordPress на хостинге, — это плагин безопасности! Не думайте, что сайт ваш в безопасности, потому что на нем даже контента нет, и таким образом он не представляет собой никакого интереса. Возможно, ваш молодой сайт пока не интересен конкурентам, но для взлома вполне подходящий объект именно из–за беспечности владельца. Помните статистику — 92% сайтов были заражены в результате действий ботов?

Чуть ниже мы рассмотрим самые надежные плагины безопасности для сайта WordPress.

30. Плагины и темы WordPress сильно различаются по качеству и безопасности. Всегда останавливайте свой выбор на тех, которые регулярно обновляются. Как правило, большее количество загрузок и последних обновлений плагина или темы указывает на то, что он широко используется и активно поддерживается его авторами. Это не значит, что в плагине никогда не будет уязвимости. Однако при обнаружении уязвимости разработчик незамедлительно отреагирует и исправит ее.

31. Периодически меняйте пароли к сайту и хостингу. Обновление паролей снизит риски их взлома и получения доступов к сайту и хостингу. Позаботьтесь о надежном хранении паролей и логинов.

32. При установке плагинов всегда проверяйте их совместимость с версией WordPress вашего сайта. Устанавливайте только те плагины, которые совместимы с вашей версией WordPress во избежание возникновения конфликтов между ними и нарушения в работе сайта.

33. При подключении сайта к сервисам электронной рассылки и другим ресурсам доверяйте только проверенным, с хорошей репутацией.

>> Сервисы e–mail рассылки для сайтов малого бизнеса и стартапов

>> Еще больше полезных инструментов для работы с сайтом

Большинство этих советов просты и даже сами собой разумеющиеся. Но не стоит из–за такой простоты пренебрегать их применением для настройки безопасности сайта. В таком вопросе, как защита вашего сайта, поверьте, мелочей не бывает.

Как улучшить защиту сайта на WordPress

Чтобы повысить безопасность сайта, следует провести дополнительные действия. Смысл в том, чтобы построить еще несколько уровней защиты для сайта.

Еще раз повторю, что если вы не чувствуете себя уверенно, сомневаетесь, что у вас все получится, то лучше довериться специалисту и не ломать сайт.

  1. Установите двухфакторную аутентификацию (2FA) при авторизации на странице входа в административную панель сайта. При таком способе вам нужно будет вводить либо дополнительный код, либо сканировать QR–код мобильным устройством. Смысл в том, что у злоумышленников очень мало шансов получить доступ в админпанель сайта с двумя паролями сразу. Если один они еще могут вычислить, то доступ ко второму паролю теперь затруднен.
  2. Ограничьте количество попыток входа в систему. Можно настроить число неудачных попыток, после достижения которого IP–адрес будет заблокирован.
  3. Регулярно анализируйте журнал активности (журнал логов), которую регистрирует плагин системы безопасности сайта. Подозрительные всплески активности с целью получения доступа к важным файлам сайта стоит отслеживать, чтобы проверить сайт на целостность.
  4. Мониторьте в обязательном порядке время безотказной работы сайта. Если ваш сайт часто «падает», стоит задуматься о смене хостера. В период простоя сайт крайне уязвим.
  5. Отключите возможность редактировать файлы сайта из административной панели WordPress. Это не относится к настройке темы оформления, к ней будет доступ по–прежнему.
  6. Скройте версию ядра WordPress. Версия WordPress отслеживается в коде сайта. Зная вашу версию WordPress, процесс поиска уязвимостей ускоряется в разы. Не надо облегчать злоумышленникам их темное дело.
  7. Удалите файлы readme.html, licence.txt из корневой папки сайта на хостинге. В них тоже есть информация о версии WordPress. Имейте в виду, что после обновлений WordPress на сайте эту процедуру нужно повторить снова, т.к. эти файлы восстанавливаются.
  8. Используйте актуальную версию PHP. PHP–язык — база сайта WordPress. Каждый новый релиз поддерживается разработчиками на устранение брешей и ошибок в течение следующих 2 лет. Поэтому, если сайт работает на устаревшей версии PHP, это существенно сказывается на производительности и  безопасности сайта. Узнать версию PHP сайта можно на хостинге. Там же и сделать запрос на повышение до последней версии.
  9. Измените префикс базы данных сайта WordPress. По умолчанию, префикс стандартный wp_. Важно изменить его на более сложный. Стандартный префикс базы данных — отличная лазейка для проведения SQL–инъекций сайта, в результате которых производится внедрение чужеродного кода для кражи и замены данных.
  10. Проверьте права доступа к папкам и файлам сайта на хостинге. У вас должны быть настроены самые высокие права доступа (400 или 440). Не каждый хостинг позволяет править эти доступы. Поэтому прежде стоит узнать, есть ли такая возможность.
  11. Отключите XML–RPC — это API, которое используется плагином Jetpack, а также для удаленного соединения с сайтом, для пингбэков и трекбэков (которые надо просто отключить). Это возможность для неограниченного перебора паролей, даже если у вас и настроено ограничение на ввод ошибочных вариантов. Внимание! Если вы используете плагин Jetpack на своем сайте, то отключать XML–RPC нельзя, т.к. плагин перестанет работать.
  12. Очень хорошо, если вы отслеживаете регулярные отчеты о взломах плагинов и тем с рекомендациями по их обновлению или удалению с сайта с заменой на аналоги и отчеты о состоянии ядра WordPress, в том числе узнаете об обновлении WordPress. Эти сведения позволят содержать техническую основу сайта в актуальном состоянии.
Официальная статистика версий PHP–языка на сайтах WordPress | блог дизайнера Аллы Красновой
Официальная статистика версий PHP–языка на сайтах WordPress | блог дизайнера Аллы Красновой

Все эти полезные улучшения для повышения защиты вашего сайта можно провести с помощью плагинов безопасности. Вам не нужно серфить Интернет в поисков фрагментов кода, которые решат вопрос с контролем количества авторизаций, удалением возможности узнать версию WordPress и другими советами по улучшению системы безопасности вашего сайта.

Будьте очень бдительны с фрагментами кода, которые вы найдете в Интернете. Никогда не используйте фрагмент кода, если вы полностью не понимаете, что он делает. То, что он находится в свободном доступе, не означает, что его использовать совершенно безопасно.

К тому же, внедрение кодов с разных сайтов, когда вы не погружены в тему и хотя бы немного не разбираетесь в программировании, может иметь плачевные последствия. Нельзя слепо и безусловно доверяться неизвестным источникам. Вы так своими собственными действиями нарушите нормальную работу сайта.

Важно: внимательно изучите возможности каждого плагина и выберите такой, который будет отвечать поставленным задачам. Не надо устанавливать несколько плагинов безопасности — плагины со схожими функциями конфликтуют друг с другом, что может привести к нарушениям в работе сайта.

Плагины безопасности для сайта WordPress

Плагинов безопасности намного больше, чем я приведу здесь в качестве рекомендации. Я рекомендую плагины с безупречной репутацией, с многочисленными установками и хорошими отзывами, поскольку считаю, что безопасность сайта — это не область для эксперимента.

Вы можете пробовать и выбирать среди разных компоновщиков страниц, плагинов для контактных форм, различных функций, но с защитой сайта надо быть очень осмотрительным и доверять свой сайт надежным плагинам.

Wordfence Security — плагин безопасности WordPress с давней историей создания, постоянно обновляемый. 4+млн установок на сайты WordPress. Мне нравится, что у него есть встроенный сканер безопасности. Запускайте периодически для проверки файлов сайта. Плагин оповещает, если какие–то плагины надо обновить или есть подозрительные изменения в файлах сайта.

iThemes Security — надежный плагин системы защиты сайта WordPress. 1+ млн установок. Вам не нужно быть экспертом в области кибербезопасности, чтобы защитить свой сайт с помощью этого плагина. Настройте двухфакторную аутентификацию, установите проверку паролей на надежность даже у ваших пользователей, запретите доступ к сайту и заблокируйте IP–адреса с подозрительной деятельностью по отношению к вашему сайту.

All In One WP Security & Firewall — плагин безопасности для сайта WordPress с применением передовых технологий в области защиты сайта. Плагин проведет оценку системы безопасности сайта и предложит методы повышения системы защиты сайта для укрепления «базовых», «промежуточных» и «продвинутых» правил безопасности сайта.

WP Cerber Security, Anti-spam & Malware Scan — плагин безопасности для сайтов WordPress со сканером файлов сайта. Настройте эффективную защиту сайта от спама, установите капчу, заблокируйте доступ к важным папкам и файлам сайта, отслеживайте активность пользователей на сайте, создайте собственную страницу входа на сайт по секретной ссылке и многое другое.

Как проверить безопасность сайта WordPress

Важно проверять безопасность сайта сторонними сервисами, поскольку порой нарушения в защите сайта визуально даже не отслеживаются и можно долго пребывать в полном неведении о чужеродном коде в файлах сайта с ссылками на сомнительные ресурсы.

  1. Регулярное сканирование возможностями вашего хостинга (если есть такая опция, обязательно воспользуйтесь) с отправкой результатов проверки на вашу почту.
  2. Постоянный автоматический мониторинг сервисами контроля доступности сайта. Многие из них, кроме мониторинга времени безотказной работы сайта, отслеживают и целостность сайта.
  3. Проводите сканирование сайта в помощью плагинов безопасности на сайте — у многих из них есть автоматический и ручной режим, при котором вы сами запускаете проверку файлов сайта.
  4. Проверяйте сайт онлайн–сервисами сканирования на уязвимости и ошибки в системе безопасности сайта. Сервисы укажут на потенциальные угрозы безопасности сайта, проверят сайт в «черных» списках поисковых систем.

Сервисы онлайн–сканирования безопасности сайта

Важно проводить контрольные срезы, которые помогли бы вам оценить результативность проведенных действий по настройке и улучшению системы безопасности сайта.

Используйте для сканирования безопасности сайта онлайн–сервисы — те, которые я предлагаю вам для рассмотрения, позволяют проводить проверку сайта бесплатно, правда, с некоторыми ограничениями в полноте объема сканирования сайта.

Sucuri

Sucuri — сервис проверки безопасности сайта в режиме онлайн | блог дизайнера Аллы Красновой
Sucuri — сервис проверки безопасности сайта в режиме онлайн | блог дизайнера Аллы Красновой

Sucuri — известная компания по обеспечению безопасности в Интернете, разработчики одноименного плагина безопасности для сайтов WordPress.Их сканер сайтов проверит сайт на наличие вирусов, известных вредоносных программ, ошибок сайта, статуса в «черном» списке.

Pentest Tools

PentestTools — сервис проверки безопасности сайта онлайн | блог дизайнера Аллы Красновой
PentestTools — сервис проверки безопасности сайта онлайн | блог дизайнера Аллы Красновой

Pentest Tools — инструмент отслеживания вредоносных инъекций сайта, на бесплатном плане вы можете провести до 2 поверхностных сканирований сайта, для этого нужно заходить на сайт и указывать адрес сайта. На премиальных тарифах ваш сайт будет сканироваться регулярно в автоматическом режиме с получением отчета о результатах сканирования на вашу электронную почту.

WPScan

WPScan — сервис сканирования уязвимостей сайта WordPress | блог дизайнера Аллы Красновой
WPScan — сервис сканирования уязвимостей сайта WordPress | блог дизайнера Аллы Красновой

WPScan — онлайн–сервис сканирования сайтов на CMS WordPress. Необходимо установить плагин сервиса и он будет проводить ежедневное сканирование с запросом к ядру WordPress, теме и плагинам. С ограничением количества проверяемых плагинов до 22 единиц.

Snyk

Snyk— сервис проверки системы защиты сайта в режиме онлайн | блог дизайнера Аллы Красновой
Snyk— сервис проверки системы защиты сайта в режиме онлайн | блог дизайнера Аллы Красновой

Snyk — запустите сканер безопасности и получите полный отчет онлайн, ограничений на количество сканирований нет. Больше подходит для разработчиков на сканирование приложений на ошибки кода, но можно провести и сканирование сайта. Сервис предлагает исправить ошибки при регистрации на сервисе, но знайте, что это не предполагает подключение к коду сайта и автоматическое исправление. Это для загружаемого кода на сервис.

PCrisk

PC risk — сервис онлайн проверки сайта на безопасность | блог дизайнера Аллы Красновой
PC risk — сервис онлайн проверки сайта на безопасность | блог дизайнера Аллы Красновой

PC risk Scanner — бесплатный инструмент онлайн–сканирования безопасности сайта на вирусы, чужеродные инъекции, наличие зараженных файлов, занесение сайта в «черные» списки и другие подозрительные действия. Не смотрите на устаревший интерфейс, сканирование сайта проводит довольно шустро. Для получения результата не закрывайте окно с проверкой защиты сайта. Сканирование запускается вручную, это не автоматическая регулярная проверка безопасности сайта. Есть ограничения на объем проверяемых страниц, до 100 Мб.

VirusTotal

VirusTotal — сервис сканирования сайта в режиме онлайн | блог дизайнера Аллы Красновой
VirusTotal — сервис сканирования сайта в режиме онлайн | блог дизайнера Аллы Красновой

VirusTotal —онлайн–сканер безопасности сайта, проверяет на наличие заражения сайта вирусными программами, отчет выдает в виде списка известных вирусов и соответствующее состояние файлов сайта по каждому из них. В итоге сайт получает оценку степени безопасности файлов от 0 до 88, где 0 — это «чистый» от вирусов сайт.

cWatch

cWatch — онлайн сканер безопасности сайта для ручной проверки | блог дизайнера Аллы Красновой
cWatch — онлайн сканер безопасности сайта для ручной проверки | блог дизайнера Аллы Красновой

cWatch — сканер безопасности сайта в режиме реального времени от известного антивируса Comodo. Просто укажите адрес сайта. Чтобы получить результаты сканирования, нужно указать свои данные (имя, электронную и даже телефон), — без них отчет о сканировании не получить.

Quttera

Quttera — сервис проверки системы безопасности сайта в режиме реального времени | блог дизайнера Аллы Красновой
Quttera — сервис проверки системы безопасности сайта в режиме реального времени | блог дизайнера Аллы Красновой

Quttera — бесплатный онлайн сканер безопасности сайта. Ваш сайт поступает в очередь на сканирование угроз, поэтому результат вы не получите сразу же. Не закрывайте окно и дождитесь результатов сканирования.

Dr. Web

Dr.Web — онлайн сканер безопасности сайта | блог дизайнера Аллы Красновой
Dr.Web — онлайн сканер безопасности сайта | блог дизайнера Аллы Красновой

Dr.Web — сканер безопасности сайтов от известного одноименного антивируса. Сервис проверяет сайт на вирусы, проверяет по спискам зараженных , вредоносных сайтов и проверяет на перенаправления на другие ресурсы.

Malcare

Malcare — сканер онлайн проверки сайта WordPress на безопасность | блог дизайнера Аллы Красновой
Malcare — сканер онлайн проверки сайта WordPress на безопасность | блог дизайнера Аллы Красновой

Malcare — сервис сканирования и обеспечения безопасности сайтов на WordPress. Сервис проводит автоматическое сканирование на наличие вредоносных программ и уязвимостей в системе защиты сайта. На премиальных тарифах больше опций, в том числе и автоматическое удаление чужеродного кода.

Помните, что большинство сайтов на WordPress были заражены именно по причине халатности своих владельцев, которым тоже когда–то показалось, что менять логин для администратора, скрывать страницу авторизации или регулярно обновлять ядро и плагины WordPress — это слишком незначительные действия для настройки безопасности сайта.

Наиболее частые вопросы по безопасности сайтов на WordPress

Что делает сайт безопасным?

Сайт будет безопасным, если правильно настроить систему защиты сайта, постоянно контролировать состояние сайта и работать над улучшением безопасности сайта.

Как повысить безопасность сайта WordPress?

Для повышения безопасности сайта на WordPress стоит настроить многоуровневую защиту, которая включает несколько важных технических настроек. Чтобы упростить себе задачу, используйте надежный плагин безопасности WordPress.

Что такое сертификат безопасности сайта?

Сертификат безопасности сайта SSL — специальный ключ шифрования передачи данных. Такие данные, если и можно перехватить, то расшифровать крайне сложно — они будут иметь вид сущей абракадабры, мешанины из разных символов.

Достаточно ли использовать бесплатный сертификат безопасности?

Бесплатный сертификат SSL вполне достаточно для сайта стартапа, блога, сайта компании. Если речь идет об интернет–магазине, то советую платный сертификат повышенных мер безопасности для данных ваших посетителей.

Достаточно ли только сертификата SSL для безопасности сайта WordPress?

Одного сертификата будет однозначно мало для обеспечения безопасности сайта. Это, конечно, лучше, чем ничего. Но явно мало. Примените как можно больше способов повышения защиты вашего сайта.

Как проверить, есть у сайта сертификат безопасности?

Проверить наличие сертификата безопасности у сайта очень просто даже визуальным способом, без специальных сервисов. Для этого пройдите на страницу сайта и посмотрите, как поисковые системы оценивают сайт: рядом с доменом безопасного сайта стоит иконка замочка, при клике на который можно увидеть уведомление о безопасном соединении. Ссылка защищенных сайтов содержит https. У сайтов без сертификата безопасности соединение осуществляется по протоколу http с уведомлением о незащищенном соединении.

Каковы основные действия по обеспечению безопасности сайта на WordPress?

Для обеспечения безопасности сайта и усилении его системы защиты нужно сосредоточиться на цикле действий: проверка системы защиты — усиление — мониторинг результативности действий — улучшение.

Почему нельзя один раз настроить защиту сайта WordPress и больше к этому не возвращаться?

Некоторые действия по организации защиты сайта мы действительно проводим один раз: удаляем пользователя admin, настраиваем резервное копирование сайта в удаленное хранилище, настраиваем сканирование сайта на хостинге, подключаем сертификат SSL и др. Но большинство действий нужно проводить регулярно, потому что и WordPress регулярно обновляется, и в веб–пространстве постоянно появляются новые угрозы для безопасности сайта. Поэтому забыть о безопасности сайта и отдыхать не приходится.

Спасибо, что дочитали до конца! Публикация вышла приличная, но оно того стоило, не так ли?

Добавьте этот пост в закладки и возвращайтесь к нему всякий раз, когда вы решаете, как настроить, улучшить и проверить безопасность сайта на WordPress, чтобы сделать ваш сайт еще более интересным и привлекательным для пользователей.

Свяжитесь со мной, если вам нужна профессиональная помощь с вашим сайтом на WordPress , я оказываю техническую поддержку сайтов WordPress , с настройкой и контролем безопасности сайта, чтобы вы могли сосредоточиться на том, что любите.

Заключение

Безопасность сайта WordPress — это не разовое решение, это постоянный поступательный процесс. Существует большая разница между укреплением безопасности сайта WordPress (разовое состояние) и сохранением его безопасности в течение многих лет.

Усиление защиты сайта — всего лишь один из 4 этапов по работе с безопасностью сайта на WordPress. Процесс обеспечения безопасности сайта представляет собой цикл действий: тестирование системы безопасности сайта > усиление защиты > мониторинг результатов > улучшение.

Каждый последующий шаг в укреплении защиты вашего сайта базируется на результатах предыдущего. Постоянный контроль и действия по улучшению. Веб–среда в целом и WordPress в частности не статичны, к счастью, и находятся в постоянном развитии. Поэтому и нам нужно не останавливаться на достигнутом результате и продолжать работать над безопасностью сайта. То, что результаты сканирования системы безопасности порадовали вас вчера, не дает, к сожалению, никакой гарантии, что так будет и завтра, и через неделю.

Я надеюсь, вы не разочарованы, что не существует 100% эффективной и работающей системы защиты вашего сайта WordPress. Но с помощью применения советов и методов по улучшению и повышению безопасности сайта вы выстраиваете многоуровневую систему в защите своего сайта, тем самым значительно усложняете злоумышленнику жизнь. Когда злоумышленники нацелены на свою следующую жертву, вам не нужно их перехитрить. Вам только нужно быть лучше защищенным.

Какие меры по настройке и повышению безопасности сайта вы считаете наиболее эффективными?

Если вам понравился пост и вы искренне хотите помочь другим, то поделитесь заботой

Этот пост может содержать некоторые партнерские ссылки, то есть я могу получить небольшую комиссию без каких–либо дополнительных затрат для вас, которую я буду использовать для ведения этого блога. Спасибо за понимание.

Безопасность сайтов на WordPress: как настроить, улучшить и проверить | дизайнер Алла Краснова
Безопасность сайтов на WordPress: как настроить, улучшить и проверить | дизайнер Алла Краснова