...
WEB и WordPress новости, темы, плагины. Здесь мы делимся советами и лучшими решениями для сайтов.

Повышение безопасности WordPress: Учебник для начинающих

57

Вам не повезло остановить атаки методом перебора на ваш сайт? Выполнены все меры безопасности, но все еще подвержены серьезным атакам DDoS? Разработчики веб-сайтов должны понимать проблемы безопасности и предпринимать шаги для повышения безопасности WordPress. 

В связи с растущим влиянием Интернета на все аспекты жизни веб-сайты все чаще работают с личными и конфиденциальными данными клиентов. Нарушение безопасности может привести к взлому вашего сайта. Это может привести к серьезным нарушениям безопасности для устоявшихся предприятий. Это потенциально может нанести непоправимый урон вашей репутации. Как веб-разработчик вы должны уметь оценивать риски, с которыми вы сталкиваетесь. Повышение безопасности WordPress – сложная тема. Здесь, в конструкторе сайтов WordPress Templatetoaster, я помогу вам лучше понять безопасность WordPress. В этом руководстве для начинающих я также объясняю методы минимизации рисков безопасности и управления ими.на ваш сайт WordPress. Большинство из этих методов являются общими, а также могут использоваться для других систем управления контентом, таких как Joomla, Magento и т.д.

Table of Contents
  1. Что такое усиление безопасности WordPress?

  2. Проблемы безопасности WordPress

  3. Что делает WordPress мишенью для хакеров?

  4. Уязвимости WordPress

  5. Повышение безопасности WordPress

  6. Методы повышения безопасности WordPress

  7. Проверка, взломан ли сайт WordPress

  8. Исправление взломанного сайта WordPress

  9. Лучшие практики безопасности WordPress: снижение рисков вместо их устранения

  10. Безопасность – осведомленность и вовлеченность

  11. Как TemplateToaster помогает повысить безопасность WordPress?

Что такое усиление безопасности WordPress?

WordPress – популярная система управления контентом и мишень для хакеров. По данным W3Techs, на платформу WordPress приходится более 25% веб-сайтов по всему миру. Хорошо известно, что WordPress больше не просто платформа для ведения блогов. Большинство сайтов WordPress служат для множества других целей. Худший кошмар для разработчика WordPress – это взломать свои сайты. Взломы очень распространены и происходят часто: 38,9% разработчиков сообщили о взломе за последние 12 месяцев. Усиление безопасности WordPress в основном означает принятие мер предосторожности и превентивных мер для блокировки вашего веб-сайта WordPress. Это существенно предотвратит попадание хакеров и уязвимостей на сайт или блог.

Худший кошмар для разработчика WordPress – это взломать его сайты. Взломы очень распространены и происходят часто: 38,9% разработчиков сообщили о взломе за последние 12 месяцев. Усиление безопасности WordPress в основном означает принятие мер предосторожности и превентивных мер для блокировки вашего веб-сайта WordPress. Это существенно предотвратит попадание хакеров и уязвимостей на сайт или блог.

В наши дни безопасность – самая важная проблема для организаций. Хорошо известным и надежным источником информации, связанной с безопасностью веб-приложений, является некоммерческое онлайн-сообщество OWASP. Проект Open Web Application Security Project создает статьи, инструменты и технологии по веб-безопасности. Их веб-сайт представляет собой исчерпывающий ресурс для информации о последних уязвимостях, угрозах, атаках и мерах противодействия.

Здесь, в конструкторе веб- сайтов Templatertoaster и конструкторе тем WordPress, давайте посмотрим на безопасность с точки зрения WordPress, а также на детали уязвимостей и проблем безопасности WordPress. Мы также постараемся понять стратегии и методы повышения безопасности WordPress.

Устранение проблем безопасности WordPress

Известно, что WordPress подвержен уязвимостям безопасности и по своей сути не является безопасной платформой для безопасного бизнеса. Согласно отчету Sucuri за второй квартал 2016 года, WordPress с показателем 74% продолжает лидировать по количеству зараженных веб-сайтов, над которыми они работали.

В большинстве случаев взлом веб-сайтов происходит в основном потому, что пользователи продолжают следовать наихудшим методам обеспечения безопасности, проверенным в отрасли. К ним относятся использование устаревшего программного обеспечения WordPress, неправильное системное администрирование, неуправляемая обработка учетных данных и многое другое. Большинству начинающих пользователей WordPress не хватает необходимых знаний по усилению безопасности WordPress, что делает их веб-сайты уязвимыми. Опытные пользователи также считают, что однажды реализованные методы безопасности навсегда защитят их веб-сайты. Они не знают о необходимости пересматривать, пересматривать и обновлять меры безопасности на регулярной основе.

Что делает WordPress мишенью для хакеров?

Согласно недавнему расследованию, проведенному отделом безопасности WordPress WP White Security, 73% из 40 000 самых популярных WordPress уязвимы для атак.

WordPress – самая популярная CMS, и в результате появилась экосистема, включающая более 42 000 плагинов. Плагины – очень важный актив для сайта WordPress. В среднем на каждом веб-сайте используется более 10 плагинов. Главное преимущество WordPress – его расширяемость. Однако это также является причиной огромного количества уязвимостей безопасности WordPress. Согласно опросу, проведенному Wordfence, около 61,1% сайтов WordPress существенно настроены.

Повышение безопасности WordPress: Учебник для начинающих

Благодаря множеству комбинаций тем и плагинов, уязвимости продолжают существовать и часто обнаруживаются. Каждый новый плагин склонен к добавлению дополнительных уязвимостей.

Уязвимости WordPress

Есть три основных компонента WordPress, которые важны с точки зрения безопасности.

  • Core – основные установочные файлы WordPress по умолчанию, которые обеспечивают большую часть функциональности.
  • Плагины – дополнительный код для улучшения и расширения основной функциональности.
  • Тема – уровень представления, который может предлагать некоторые ограниченные расширенные функции.

Следует отметить, что уязвимости безопасности WordPress выходят за рамки ядра и распространяются на сторонние темы или плагины. В недавнем отчете wpscan.org говорится, что из 3972 известных уязвимостей безопасности WordPress:

52% – из плагинов WordPress

37% из основного WordPress

11% из тем WordPress

Цель хакера веб-сайтов – получить несанкционированный доступ к вашему сайту WordPress с правами администратора. Это делается либо из панели управления WordPress, либо на стороне сервера путем вставки скриптов или файлов. Взлом не всегда может быть инициирован человеком; следующие термины обычно используются для описания системы взлома:

  • Один бот – это автоматизированный компьютер, который может атаковать один сайт за раз или небольшое количество сайтов одновременно. Атаки обычно бывают простыми.
  • Человек, который вручную занимается взломом систем, атакует по одному сайту. Этот метод медленный, но всеобъемлющий.
  • Ботнет – это группа компьютеров, которые одновременно атакуют сразу несколько сайтов. Эти атаки просты, но большое количество компьютеров с несколькими IP-адресами усложняют их.

Есть два основных типа атак, которые могут иметь место на веб-сайты WordPress:

Нецелевые автоматические атаки являются общими и используют известную уязвимость. Эти атаки могут работать путем сканирования диапазона IP-адресов. Автоматизированная система ищет конкретную версию WordPress или плагина. Обычно это версии, которые, как известно, подвержены потенциально эксплуатируемой уязвимости.

Целевые атаки происходят, когда хакер нацелен конкретно на веб-сайт. Обратите внимание, что более популярные веб-сайты, скорее всего, станут объектом таргетинга.

Ниже перечислены распространенные проблемы безопасности и риски, связанные с WordPress:

  1. Атаки грубой силы: эти атаки относятся к повторному вводу нескольких комбинаций имени пользователя и пароля до достижения успеха. Метод атаки грубой силой использует экран входа в WordPress для получения доступа к веб-сайту. WordPress по умолчанию не ограничивает попытки входа в систему. Боты могут атаковать страницу входа в WordPress методом грубой силы.
  2. Эксплойты включения файлов: веб-сайт WordPress работает на базе PHP-кода. Уязвимости в коде PHP являются следующей наиболее распространенной проблемой безопасности WordPress. Эксплойты включения файлов возникают, когда уязвимый код используется для загрузки удаленных небезопасных файлов. Это позволяет хакерам получить доступ к веб-сайту и его файлу wp-config.php.
  3. SQL-инъекции: WordPress использует SQL для запроса базы данных. Это делает его уязвимым для атак с использованием SQL-инъекций. SQL-инъекции происходят, когда злоумышленник получает доступ к базе данных WordPress и данным веб-сайта. Он может создать новую учетную запись администратора. Затем он может войти в систему и получить полный доступ к веб-сайту WordPress. SQL-инъекции также могут вставлять новые данные в базу данных WordPress, такие как ссылки на вредоносные или спам-сайты.
  4. Межсайтовый скриптинг (XSS): самая распространенная уязвимость, обнаруженная в плагинах WordPress, XSS-уязвимости очень распространены и также сложны. Злоумышленник заставляет невинную жертву загружать веб-страницы с небезопасными сценариями JavaScript. Эти скрипты используются для кражи данных с уязвимого веб-сайта WordPress.
  5. Подделка межсайтовых запросов (CSRF): механизм взлома заставляет пользователя выполнить нежелательное действие. Обычно это делается из веб-приложения, в котором они проходят аутентификацию. Например, фишинговое письмо со ссылкой на страницу, которая удаляет учетную запись пользователя в админке WordPress.
  6. Вредоносное ПО: вредоносное ПО или вредоносное ПО – это код, который может получить несанкционированный доступ к веб-сайту и собрать конфиденциальные данные. С тысячами типов заражений вредоносным ПО в Интернете, WordPress не уязвим для всех из них. Четыре наиболее распространенных вредоносных программы для WordPress:
  • Бэкдоры
  • Попутные загрузки
  • Фармацевтические хаки
  • Вредоносные перенаправления

Повышение безопасности WordPress

Первым шагом к усилению безопасности WordPress является поддержание веб-сайта в актуальном состоянии и информирование о последних уязвимостях. После этого вы сможете обновлять свой сайт для каждой новой уязвимости. Но обновления WordPress недостаточно. Есть еще несколько проблем, которые нужно решить, чтобы по-настоящему защитить свои веб-сайты WordPress.

Что нужно защищать?

Дело не только в защите веб-сайта и его файлов. Крайне важно защитить данные пользователя или клиента. База данных WordPress MySQL является серверной частью WordPress и хранит эти данные.

Вам нужно в первую очередь защитить данные клиентов. Если веб-сайт небезопасен и его взломают, восстановить данные невозможно.

Далее вам нужно защитить свой сайт. Это также включает защиту файлов веб-сайта. Будет катастрофой, если злоумышленник сможет читать или изменять файлы или исходный код вашего веб-сайта. Они могут собирать пользовательские данные, а также получать доступ администратора для входа в систему. После взлома файлов компрометируются и данные пользователя.

Методы повышения безопасности WordPress

Как мы уже обсуждали выше, существует множество способов обеспечения безопасности как для новичков, так и для опытных пользователей. Ключевым моментом является выявление уязвимостей WordPress и применение методов и инструментов для их обхода. В статье обсуждаются некоторые потенциальные уязвимости WordPress и меры противодействия им. Ниже мы кратко рассмотрим основные методы повышения безопасности WordPress. Затем мы подробно рассказываем о сложных проблемах и способах их решения, приложив немного больше усилий.

10 простых способов повысить безопасность WordPress для пользователей DIY

  1. Резервное копирование вашего сайта: самое важное – регулярно делать резервные копии данных вашего сайта. Если ваш сайт взломан, вы можете восстановить свой сайт WordPress из незараженной резервной копии. Также очень важно хранить данные резервной копии в надежном месте. Вам также необходимо позаботиться о том, чтобы удалить все старые резервные копии сайта со своего сайта.
  2. Выберите надежный хостинг WordPress: выбор хоста WordPress дает возможность выбирать из общих хостов, управляемых хостов и ряда других вариантов. Важно установить правильные разрешения на вашем сервере и соблюдать профилактические меры безопасности. Повышение безопасности сервера – важный компонент повышения безопасности WordPress. В ИТ-инфраструктуре, на которой размещены сайты WordPress, требуются меры безопасности как на аппаратном, так и на программном уровне. Выберите надежную хостинговую компанию и выбирайте с умом, когда решаете, как разместить свой сайт.
  3. Используйте авторитетные темы и плагины: загружайте надстройки для своего сайта из авторитетных источников, поскольку это уменьшает возможности для потенциальных хакеров. Большинство хорошо зарекомендовавших себя разработчиков плагинов или тем WordPress перед выпуском проходят сторонний аудит в такой компании, как Sucuri. В этих плагинах также могут возникать уязвимости. Однако ожидается, что эти разработчики будут более активными в своем подходе к безопасности.
  4. Используйте безопасные протоколы: обмен данными между веб-сервером и браузером должен осуществляться по безопасным протоколам. Использование HTTPS обеспечивает шифрованную связь между браузером и веб-сервером. Вы можете следовать инструкциям своего хостинг-провайдера, чтобы включить HTTPS. После включения HTTPS вам необходимо отредактировать файлы «.htaccess» и «wp-config.php» в соответствии с приведенной здесь информацией. Используйте sFTP вместо обычного FTP для передачи файлов и других команд. Протокол sFTP использует надежное шифрование для входа и работает по SSH, который уже установлен на большинстве веб-серверов.
  5. Измените URL-адрес для входа в WordPress: URL-адрес для входа на сайт WordPress по умолчанию – domain.com/wp-admin. Это также известно ботам, хакерам и скриптам взлома. Вы можете изменить URL-адрес и лучше защитить себя от атак грубой силы. Вы можете изменить URL-адрес входа в WordPress в разделе «Общие» в настройках.
  6. Используйте надежное имя пользователя и пароль: будучи администратором WordPress, важно соблюдать хорошие методы защиты паролей WordPress. Используйте надежные пароли, не сообщайте пароли и регулярно меняйте пароли – вот некоторые из простых правил.
  7. Включите двухфакторную аутентификацию WordPress: также очень важно сделать вход во все ваши учетные записи как можно более сложным. Используйте уникальные и трудно угадываемые имена пользователей и пароли для всех своих учетных записей, а не только для входа в WordPress. При двухфакторной аутентификации, отличной от пароля, для входа в систему требуется дополнительный чувствительный ко времени код. Этот метод предназначен для блокировки входа в WordPress. Это практически сводит к минимуму вероятность успешных атак методом перебора.
  8. Ограничьте доступ к жизненно важным частям вашего веб-сайта WordPress: вам нужно усложнить доступ хакеру к определенным частям установки WordPress. Хотя это можно сделать с помощью подключаемого модуля безопасности, вы также можете выполнить несколько ручных действий ниже:
    • Вручную измените WordPress по умолчанию в файле «wp-config.php».
    • Защитите свой файл «wp-config.php», переместив его из местоположения по умолчанию, например, в один каталог над установкой WordPress. Чтобы переместить файл wp-config.php, скопируйте все в другой файл. В файле wp-config.php добавьте инструкцию PHP include, чтобы включить другой файл.
    • Защитите файл «.htaccess», добавив к нему правила разрешения и запрета.
    • Отключите XML-RPC в файле «.htaccess». Сохранение включенного XML-RPC является причиной атак грубой силы и отказа в обслуживании. Рекомендуется вообще отключить XML-RPC в настройках.
    • Измените каталоги и файлы, чтобы иметь правильные разрешения как при установке WordPress, так и на веб-сервере. Установите для файла wp-config.php права доступа 440 или 400, чтобы другие пользователи не могли его читать или писать.
    • Добавить контроль доступа к серверу: в режиме по умолчанию WordPress работает как apache / apache, что является ролью веб-сервера по умолчанию. Попробуйте создать нового пользователя, который будет использоваться по умолчанию и запретить права пользователю веб-сервера.
    • Назначьте соответствующие роли пользователей. Не назначайте роль администратора, если человеку действительно не требуются функции администратора. Права администратора предоставляют множество дополнительных разрешений. Используйте различные степени ролей и разрешений, предоставляемых WordPress, и ограничивайте доступ пользователей к конфиденциальным данным. Это защитит вас от «раскрытия конфиденциальных данных».
    • Пароль защищает каталог «wp-admin». Добавьте дополнительный уровень аутентификации для защиты каталога «wp-admin», кроме пароля для входа. Более подробную информацию о том, как это сделать, можно найти здесь.
    • Отключить просмотр каталогов в WordPress. Отключите редактор файлов в панели администратора WordPress. Хакеры также обычно пытаются редактировать файлы или темы PHP с помощью редактора внешнего вида. Добавьте правило DISALLOW_FILE_EDIT в файл wp-config.php. Хакеры не смогут получить доступ к файлам без доступа по FTP.
  9. Запланированное сканирование на наличие вредоносных программ: отслеживайте потенциальные заражения вредоносным ПО с помощью запланированного сканирования на наличие вредоносных программ. Большинство инструментов сканирования предоставляют отчеты о статусе вредоносного ПО на сайте.
  10. Обновляйте свой сайт WordPress: обновляйте свой сайт WordPress, чтобы избежать потенциальных проблем с безопасностью WordPress. Если установлены какие-либо премиум-плагины или темы WordPress, обновляйте их. Не забудьте обновить лицензию, чтобы получать обновления.
  11. Используйте плагин безопасности WordPress: используйте плагин безопасности WordPress для своего веб-сайта WordPress. Большинство плагинов безопасности предлагают варианты установки важных и рекомендуемых параметров безопасности WordPress. Легче и безопасно полагаться на универсальное решение безопасности. Некоторые из популярных доступных плагинов:
    • iThemes Security: этот плагин доступен как в бесплатной, так и в премиальной версии. iThemes предоставляет более 30 различных способов повышения безопасности WordPress.
    • WordFence: это еще один плагин безопасности как в бесплатной, так и в премиальной версии. WordFence имеет более 11 миллионов загрузок и имеет сильную базу пользователей.
    • Sucuri – Sucuri поддерживает бесплатный плагин в репозитории WordPress. Они также предоставляют более полный плагин для сканирования вредоносных программ и черного списка, защиты от DDoS-атак, удаления вредоносных программ и т.д. Служба Sucuri также включает опцию очистки в случае взлома сайта.

Расширенные методы защиты WordPress

В этом разделе мы даем более глубокие знания об усилении безопасности WordPress и добавлении дополнительных уровней безопасности для сайтов WordPress.

Помните, что вы не можете просто установить и настроить ряд параметров или программ для безопасности WordPress и думать, что с безопасностью все готово. Следует иметь в виду, что усиление безопасности WordPress – это постоянная обязанность. Держите сайт WordPress в расписании для сканирования вредоносных программ и уязвимостей, а также тщательно и регулярно анализируйте журналы.

Каждые несколько лет OWASP публикует «OWASP Top 10» – список из 10 самых важных угроз безопасности. Основная цель – помочь разработчикам и группам безопасности улучшить безопасность приложений. Список 10 лучших OWASP обновляется каждый раз, чтобы отражать новые риски по мере их развития. Также добавлены методы и передовые методы предотвращения и устранения уязвимостей.

Текущий топ-10 OWASP

  • A1 – Впрыск
  • A2 – Нарушение аутентификации и управления сеансом
  • A3 – Межсайтовый скриптинг XSS
  • A4 – Небезопасные прямые ссылки на объекты
  • A5 – Неверная конфигурация безопасности
  • A6 – Раскрытие конфиденциальных данных
  • A7 – Отсутствие контроля доступа на уровне функций
  • A8 – Подделка межсайтовых запросов
  • A9 – Использование компонентов с известными уязвимостями
  • A10 – Недействительные перенаправления и пересылки

На приведенной ниже диаграмме показано распространение наиболее распространенных тенденций уязвимостей и риски безопасности приложений.

Повышение безопасности WordPress: Учебник для начинающих

Обратите внимание, что 32% этих атак исходят от A3 – Cross-Site Scripting XSS или от A1 – Injection. 20% атак совершаются неизвестными методами, которые не дают никаких данных о происхождении атак. Остальные атаки происходят из-за различных методов, многие из которых входят в десятку лучших по OWASP. Вы можете узнать больше об этих угрозах безопасности в списке OWASP в топ-10 -2013.

Мы знаем, что WordPress вполне безопасен, если разработчики следуют стандартным методам безопасности. Упомянутые выше советы предназначены для дополнительной безопасности и представляют собой расширенные методы повышения безопасности WordPress. Большинство этих методов сложны, и вам необходимо хорошо их понимать. Настоятельно рекомендуется сначала протестировать их на тестовом сайте. Подробности кодирования большинства этих методов можно найти здесь.

Мы знаем, что WordPress вполне безопасен, если разработчики следуют стандартным методам безопасности. Упомянутые выше советы предназначены для дополнительной безопасности и представляют собой расширенные методы повышения безопасности WordPress. Большинство этих методов сложны, и вам необходимо хорошо их понимать. Настоятельно рекомендуется сначала протестировать их на тестовом сайте. Подробности кодирования большинства этих методов можно найти здесь.

1. Отключить метод отслеживания HTTP

Межсайтовая трассировка (XST) и межсайтовый скриптинг (XSS) атакуют целевые системы, которые имеют функциональность HTTP TRACE. HTTP TRACE – это функциональная функция по умолчанию на большинстве веб-серверов, которая используется для таких вещей, как отладка. Хакеры, использующие XST, обычно крадут файлы cookie и другую конфиденциальную информацию, используя запросы заголовков. Вы можете отключить функцию трассировки, добавив в файл .htaccess следующее:

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^TRACE

RewriteRule .* - [F]

2. Удалите заголовки из вашей установки WordPress.

WordPress иногда добавляет много вывода в заголовок. Этот вывод относится к различным службам, входящим в состав WordPress. Чтобы удалить этот вывод, добавьте следующий код в файл «functions.php» вашей темы:

remove_action('wp_head', 'index_rel_link');

remove_action('wp_head', 'feed_links', 2);

remove_action('wp_head', 'feed_links_extra', 3);

remove_action('wp_head', 'rsd_link');

remove_action('wp_head', 'wlwmanifest_link');

remove_action('wp_head', 'parent_post_rel_link', 10, 0);

remove_action('wp_head', 'start_post_rel_link', 10, 0);

remove_action('wp_head', 'adjacent_posts_rel_link_wp_head', 10, 0);

remove_action('wp_head', 'wp_generator');

remove_action('wp_head', 'wp_shortlink_wp_head', 10, 0);

remove_action('wp_head', 'noindex', 1);

3. Измените префикс БД WordPress по умолчанию.

WordPress использует значение префикса по умолчанию «wp_» для таблиц БД. Это может быть использовано вредоносными ботами и хакерами, чтобы угадать имена ваших таблиц БД. Изменить значение префикса WP DB намного проще во время установки, так как оно задается в файле wp-config.php. Однако, если сайт уже работает, метод более сложный.

  • Сделайте полную резервную копию базы данных и сохраните ее где-нибудь. Вы можете использовать для этого инструмент резервного копирования.
  • Сделайте полный дамп базы данных WordPress с помощью «phpmyadmin» в текстовый файл. Вы также можете сделать резервную копию этого текстового файла.
  • Замените все экземпляры «wp_» своим префиксом с помощью редактора кода.
  • В админке отключите все плагины.
  • Используя «phpmyadmin», удалите старую БД и импортируйте новую, используя файл, отредактированный на шаге 3.
  • Отредактируйте файл wp-config.php с новым значением префикса DB.
  • Повторно активируйте плагины WP
  • Выполните сохранение настроек постоянной ссылки, перейдя в Настройки-> Постоянные ссылки. Это обновит структуру постоянных ссылок.

4. Запретить потенциально опасные строки

Определите потенциально опасные строки запроса. Добавьте следующий код в свой файл .htaccess, чтобы предотвратить атаки XSS. Этот набор правил удалит из URL-запросов множество опасных атак. Вы можете добавить сюда больше строк, хотя мы включили и обычные. Обратите внимание, что функциональность некоторых плагинов или тем может нарушиться, если вы не исключите строки, которые они используют.

<IfModule mod_rewrite.c>

RewriteCond %{REQUEST_METHOD} ^(HEAD|TRACE|DELETE|TRACK) [NC]

RewriteCond %{QUERY_STRING} ../ [NC,OR]

RewriteCond %{QUERY_STRING} boot.ini [NC,OR]

RewriteCond %{QUERY_STRING} tag= [NC,OR]

RewriteCond %{QUERY_STRING} ftp: [NC,OR]

RewriteCond %{QUERY_STRING} http: [NC,OR]

RewriteCond %{QUERY_STRING} https: [NC,OR]

RewriteCond %{QUERY_STRING} mosConfig [NC,OR]

RewriteCond %{QUERY_STRING} ^.*([|]|(|)|<|>|'|"|;|?|*).* [NC,OR]

RewriteCond %{QUERY_STRING} ^.*(%22|%27|%3C|%3E|%5C|%7B|%7C).* [NC,OR]

RewriteCond %{QUERY_STRING} ^.*(%0|%A|%B|%C|%D|%E|%F|127.0).* [NC,OR]

RewriteCond %{QUERY_STRING} ^.*(globals|encode|config|localhost|loopback).* [NC,OR]

RewriteCond %{QUERY_STRING} ^.*(request|select|insert|union|declare|drop).* [NC]

RewriteRule ^(.*)$ - [F,L]

</IfModule>

5. Примените усиление защиты PHP к своей системе.

Вы можете установить и включить систему усиления защиты PHP на своем сервере. Это может еще больше повысить безопасность системы за счет защиты от различных уязвимостей.

6. Не позволяйте хакерам знать вашу версию WordPress

Важно скрыть версию WordPress, которую вы используете, от хакеров. Если он будет общедоступным, это поможет хакерам определить уязвимость, которую они могут использовать для взлома сайта. WordPress 2.6 и выше автоматически добавляет версию в раздел WP_head. Однако вы можете удалить его в файле header.php.

7. Блокировка пользователей при неудачных попытках входа в систему

По-прежнему возможно, что даже с такой надежной парольной защитой хакеры могут найти способы взломать пароль вашего администратора WordPress. Давайте посмотрим, как работает блокировка входа в систему. Если пользователь сделает слишком много неудачных попыток входа в систему, он будет немедленно заблокирован от входа на сайт в течение следующих нескольких часов. Эта функция доступна в большинстве плагинов безопасности WordPress. Это одна из эффективных защит от атак методом перебора.

Проверка, взломан ли сайт WordPress

Мы знаем, что даже самые бдительные системные администраторы не смогут постоянно следить за своим сайтом. Даже самые лучшие инструменты мониторинга могут иметь задержку между сканированием сайта. Есть несколько способов, которыми вы можете самостоятельно определить, был ли взломан ваш сайт.

  • Ваш браузер в большинстве случаев предупредит вас о взломе.
  • Ваш хостинг-провайдер переводит ваш сайт в автономный режим, потому что он взломан.
  • Результаты поиска Google помечают ваш сайт как взломанный или вредоносный.
  • Консоль поиска Google предупреждает вас о вредоносном ПО на вашем сайте.
  • Ваш сканер вредоносных программ предупреждает вас о заражении или взломе.
  • Клиент связывается с вами по поводу взлома вашего сайта.
  • Используйте сканер исходного кода, чтобы обнаружить взлом.
  • Используйте службу мониторинга, чтобы определить, изменилось ли более чем очень небольшой процент страницы.
  • Следите за посещаемостью сайта и следите за ростом всплесков активности.
  • Регулярно посещайте свой сайт для проверки работоспособности.
  • Используйте удаленный сканер, который просматривает HTML-код вашего сайта. Это обнаруживает взлом, если хакер включает вредоносное ПО в HTML.

Более подробную информацию об этих методах можно найти здесь.

Исправление взломанного сайта WordPress

Так можно ли исправить взломанный сайт WordPress, или все потеряно, когда ваш сайт взломан? Взломали веб – сайт может быть легко восстановлено ; давайте посмотрим, как это можно сделать:

  • Восстановите ваш сайт из резервной копии, если она доступна. Немедленно измените все пароли.
  • Если вы можете войти на сайт как администратор, удалите взломанные файлы и запечатайте точку входа.
  • Сканирование и удаление вредоносных программ.
  • Если вы не можете войти на сайт, обратитесь за помощью к своему веб-хостеру.
  • Сделайте резервную копию важных файлов и переустановите WordPress. Обратитесь в профессиональные службы, если вы не можете ничего сделать для восстановления своего сайта.
  • Обратитесь в профессиональные службы, если вы ничего не можете сделать для восстановления своего сайта.

Рекомендации по усилению безопасности WordPress: снижение рисков вместо устранения рисков

Мы рассмотрели методы повышения безопасности ваших сайтов WordPress. Хорошо известно, что снижение риска побеждает его устранение. Снижение рисков является проактивным и защитит вас при любых сценариях. Таким образом, безопасность – это снижение риска, а не устранение риска, поскольку риск никогда не будет нулевым. Вам следует развернуть меры безопасности, которые наилучшим образом устраняют риски и угрозы.

Давайте теперь соберем лучшие практики безопасности, которые, если следовать им, приведут к усилению безопасности WordPress. Эти передовые методы обязательно защитят ваш сайт от возможных атак и уязвимостей.

  • Быстро обновляйте основной код WordPress. Вы также можете автоматически настроить обновления.
  • Проактивно обновляйте плагины и темы по мере появления новых версий.
  • Предотвратите попытки входа в систему, добавив защиту паролем.
  • Применяйте надежные пароли.
  • Активно блокируйте и регистрируйте входящие атаки безопасности.
  • Обеспечьте надлежащие разрешения для файлов, изолируйте сайты и разделите базы данных.
  • Проводите частое проактивное сканирование уязвимостей и вредоносных программ во всех системах.
  • Регулярно проводите тесты на проникновение, проводимые независимыми экспертами по безопасности. Следите за исправлением результатов этого теста. Обучайте разработчиков приложений и архитекторов безопасной разработке.
  • Применяйте процедуры для безопасного развития.
  • Сообщайте об ошибках и уязвимостях.
  • Следите за уязвимостями нулевого дня. Когда объявляется нулевой день, вам нужно будет тесно сотрудничать с поставщиком, чтобы узнать, когда будет выпущено исправление, а затем применить это исправление.

Бонус:  ознакомьтесь с этим Индексом безопасности, разработанным Брайаном Джексоном в Kinsta, который действительно является универсальным средством для всех ваших требований безопасности WordPress.

Повышение безопасности WordPress – осведомленность и участие

К настоящему времени мы знаем, что безопасность WordPress постоянно работает. Вам нужно работать над повышением безопасности WordPress и обеспечением безопасности своих сайтов WordPress. Это будет способствовать предотвращению злонамеренных действий. Эти действия могут нанести вред веб-сайтам, веб-серверам, компьютерам пользователей, планшетам и другим интеллектуальным устройствам. WordPress – популярная CMS, и знания о безопасности WordPress широко доступны. Знать о методах повышения безопасности и применять их в своем рабочем процессе – необходимость. Выполняя техническое обслуживание вашего веб-сайта и веб-сервера, не забывайте о безопасности. Вы не только получите надлежащий контроль над своим веб-контентом, но и внесете свой вклад в то, чтобы сделать Интернет безопасным местом. Всегда помни. Проверьте лучшие плагины брандмауэра WordPress, лучшие плагины безопасности WordPress, Sucuri против Cloudflare, Услуги CDN.

[bctt tweet = »SEC_RITY неполно без« U »(вы)». username = “templatetoaster

Как TemplateToaster сайт производителя помогает в упрочнение WordPress Security?

Разработка надежной системы безопасности для сайтов WordPress может оказаться непростой задачей. Сложно все запомнить, делаете ли вы это в одиночку или с надежным партнером. WordPress требует активного усиления управления безопасностью. Повышение безопасности WordPress имеет решающее значение для безопасности и успеха сайта. Разработчики могут выбрать управляемую платформу или инструмент WordPress, чтобы всесторонне обеспечить повышенную безопасность ваших сред WordPress. TemplateToaster, программное обеспечение для веб-дизайна, известно разработкой безопасных веб-сайтов на нескольких CMS, включая Joomla, Magento, Drupal и Prestashop. Темы WordPress, разработанные с помощью TT, безопасны и соответствуют стандартам WordPress. Включение TemplateToaster в ваш рабочий процесс предоставит вам ряд безопасно реализованных тем для работы.

Статьи по Теме:

Как установить тему WordPress
Как найти URL- адрес для входа в WordPress
Как изменить язык WordPress
Как переместить WordPress с локального хоста на Live Server
Как создать пользовательскую страницу входа в WordPress?

Источник записи: https://blog.templatetoaster.com

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. Принимаю Подробнее