Начало > ICN.Bg Блог > WordPress > WordPress: Ръководство за сигурност

WordPress: Ръководство за сигурност

WordPress: Ръководство за сигурност

WordPress е най-използваната и популярна система за управление на съдържание (близо 20 000 000 уеб сайта в Интернет използват WordPress) и като такава е чест обект на хакерски атаки. За хостинг компания ICN.Bg сигурността на клиентите и техните сайтове, винаги е била и продължава да бъде основен приоритет и непрестанно работим в тази насока! Поради тази причина, в статията ще ви представим приложими начини за защита на вашата WordPress инсталация!

Ново от ICN.Bg: Изборът на сигурна хостинг среда е първата стъпка към цялостната защита на вашия сайт! Новата ни услуга – WordPress Хостинг, е разработена и оптимизирана за работа с WordPress апликации. В допълнение на това, в нея са включени SSL сертификат, DDoS защита, кеширащи инструменти за по-бърз сайт, над 6500 теми и инструментът ни за бързо и лесно управление – WordPress Management!

Защо сигурността на вашия уеб сайт е важна?

Най-простият отговор на този въпрос е – за да имате успешен онлайн бизнес, задължително трябва да сте подсигурили всеки един аспект на вашия уеб сайт, без значение дали той е WordPress или не!

Една успешна хакерска атака би могла да нанесе огромни щети на бизнеса ви, като това най-често се изразява в парични загуби и сриване на репутацията! Хакерите могат да се доберат както до чувствителна бизнес информация, така и до пароли и лични данни на вашите потребители. Също така, могат да инсталират зловреден софтуер, който да се разпространява сред посетителите на сайта ви!

Ако това не ви е накарало да се замислите за подобряване на сигурността на сайта ви, то имайте предвид, че на седмица, Google вкарва в черни списъци около 20 000 уеб сайта заради зловреден софтуер и около 50 000 за фишинг!

Винаги актуализирайте WordPress версията си!

Една от главните причини за пробив във сигурността при WordPress сайтовете са стари версии на WordPress, темите и плъгините!

WordPress е софтуер с отворен код, който се поддържа от много разработчици и често се прибавят нови актуализации. По-малките от тях биват инсталирани автоматично, но за големите ъпдейти, какъвто е и последният – WordPress 5.1, трябва да го направите ръчно.

Също така, е важно да не забравите да актуализирате всички WordPress плъгини, които имате инсталирани на сайта си, както и темата!

Ако се притеснявате, че можете да пропуснете да актуализирате някой от елементите, то можете да се възползвате от нашия инструмент WordPress Update, който е част от 10-те безплатни WordPress Management инструмента, вградени във вашия контролен панел. Той ви позволява да активирате автоматична актуализация на WordPress версията, темите и плъгини само с един клик!

Видео: Как да активирам WordPress Update?

Сложни пароли и права на достъп

Още една от най-често срещаните причини за пробив в сигурността е използването на лесни пароли! Задължително избягвайте използването на пароли свързани с ваша лична информация, имена, фрази и числа, които са пряко свързани с вас.

Старайте се да сменяте често своите пароли и задължително да съдържат малка и голяма буква, както и специални символи. По този начин ще затрудните допълнително хакерите!

Виж повече: Как да изберем подходяща парола?

Като имайте предвид, че не става въпрос само за админ панела на WordPress, а също и за FTP акаунти, хостинг акаунт и вашия бизнес имейл !

Друг начин да се защитите е като не давате достъп на никого до вашия админ акаунт в WordPress. Разбира се, често това не е възможно, особено ако сте голям екип, който работи по съдържанието на сайта, но в такъв случай е добре да сте наясно с управлението на правата за достъп!

На помощ в такъв момент идва и инструмента WordPress Access, който ви позволява лесно и бързо да:

  • Управлявате потребителите на сайта ви и да им давате различно ниво на достъп;
  • Добавяте Password Protected Directory – допълнително ниво на защита при влизане в админ панела на вашия WordPress

Видео: Как да активирам WordPress Access?

Инсталиране на Backup плъгин

Редовното извършване на Backup на WordPress сайт ви е един от най-добрите методите да се защитите срещу хакерски атаки, неволно изтриване на информация или хардуерен проблем. Най-лесният начин за това и без да имате нужда от технически познания е да се възползвате от подходящ за целта WordPress плъгин.

Препоръчваме ви да запазвате резервно копие на вашия сайт и локално на вашия компютър, за всеки случай!

Вижте още: 68 WordPress плъгина, които да инсталирате през 2019

С WordPress Хостинг от ICN.Bg вие получавате безплатно и до 30 бр. архивни копия на вашия сайт. Благодарение на софтуера, който използваме – R1Soft . Софтуерът създава множество архивни копия, позволява възстановяването на цялата информация или конкретни файлове, които са поместени на сървъра!

Инсталиране на плъгини за сигурност

За да подсигурите още повече вашия WordPress сайт е добре да помислите и за инсталирането на Security плъгин. Добре знаете, че WordPress разполага с огромен брой от безплатни и платени плъгини, но за да ви улесним, бихме ви препоръчали следните 4:

Всички те съдържат различни функционалности, които ще подобрят сигурността! Важно е да изберете този, който ви предлага задълбочен мониторинг и одит, както и възможност да следите всяка една промяна, която се случва по вашия сайт.

Активиране на WAF (Web Application Firewall)

Активирането на „защитна стена (WAF – Web Application Firewall) е един от най-сигурните начини да защитите онлайн бизнеса си от кибер атаки и злонамерен трафик!

Можете да откриете различни WordPress плъгини, които предоставят възможността за активиране на WAF!

Всички клиенти на ICN.Bg, които използват услугитехостинг, WordPress хостинг или Managed VPS, могат да се възползват от напълно безплатното решение – ActiveWAF!

ActiveWAF е защитна стена за активен анализ и филтриране на трафика, която внедрихме в нашите системи, с цел подобряване още повече сигурността на всички наши клиенти! Преглежда всички заявки от и към сървъра за зловредни действия и филтрира, и спира тези, които целят да нарушат нормалната му работа. За разлика от обикновения Firewall, който спира определен тип трафик, системата на ActiveWAF анализира заявките и пропуска само тези, които не са застрашаващи за вашия хостинг план.

Инсталиране на SSL и преминаване към HTTPS връзка

Secure Sockets Layer или SSL е протокол, който криптира връзката и всички данни, които преминават между браузъра на клиента и сървъра, на който e разположен вашия уеб сайт. С инсталирането на SSL сертификат можете да сте сигурни, че личните данни (като имена, телефон, имейл адрес, данни от кредитни карти) на вашите потребители са напълно защитени!

Важно е да имате предвид, че ако сте създали сайта си без SSL сертификат и след това добавите, ще трябва ръчно да преминете към HTTPS връзка. След което, зелено катинарче ще се изобрази пред вашия URL адрес в браузъра. По този начин, потребителите на сайта ви ще могат да разберат, че сайтът ви е защитен.

Освен за подобряване на сигурността, инсталирането на SSL и преминаването към HTTPS е SEO фактор, като това ще се отрази на вашия ранкинг в търсачките. Също така е важно да споменем, че от средата на 2018г., Google Chrome известява всички потребители ако даден сайт няма SSL сертификат! Можете да си представите как това ще се отрази на бизнеса ви, нали?

За да избегнете този момент, всички наши WordPress хостинг планове идват с включен SSL сертификат! Можете да избирате между два варианта – Let’s Encrypt и AutoSSL Comodo, като и двата сертификата са от вида Domain Validation (DV). Ако имате нужда от друг тип валидация или по-голяма парична гаранция, ние ви предоставяме възможността да изберете от различни SSL сертификати на доверени доставчици!

Промяна на заложеното по подразбиране потребителско име

Brute Force атаките са най-простият начин за добиване на достъп до акаунт, сайт или сървър, като при нея се изпълняват различни комбинации от потребителско име и парола, докато хакерът не открие правилната!

Сега си представете, че използвате потребителското име, което е заложено по подразбиране – „admin”, това ще улесни още повече задачата на хакерите. Добрата новината е, че в момента WordPress изисква от вас да промените зададеното по подразбиране потребителско име с друго по ваш избор.

Инсталирането на WordPress става изключително лесно с инструмента WordPress Install. След като го откриете в WordPress Management панела, е нужно да кликнете върху него и веднага ще ви се отвори интерфейса за инсталиране на WordPress през Softaculous. Оттам лесно можете да промените потребителско си име, да изберете домейн, да генерирате парола, да въведете име на директорията и още много други настройки!

Видео: Как да инсталирате WordPress с инструмента WordPress Install?

Деактивиране на възможността за редактиране на файлове

WordPress разполага с вграден кодов редактор, който ви позволява да редактирате плъгините и темите на сайта ви, директно през админ панела. Това представлява голяма опасност, що се отнася до сигурността на сайта ви, затова ви препоръчваме да деактивирате възможността за редактиране!

File editing deactivation

Можете да го направите, като добавите следния код в wp-config.php файла:

_// Disallow file edit

define( 'DISALLOWFILEEDIT', true )_

Ограничете опитите за вписване

Както вече споменахме, един от методите на хакерите за пробив в системата е да изпълнят Brute Force атака на логин частта на сайта ви. За съжаление, WordPress има зададена настройка по подразбиране, която позволява потребителите да се вписват неограничено и това прави сайта ви много уязвим.

За щастие, решението на този проблем е изключително лесно ако имате защитна стена (WAF), тъй като тя ще се погрижи за този проблем автоматично.

Вградената в нашите сървъри, ActiveWAF защитна стена, предоставя такъв тип защита. Ако даден потребител/хакер направи 5 опита за вписване в рамките на 30 секунди, системата автоматично ще блокира IP адреса!

Добавете двуфакторна защита

Двуфакторната защита е технология, която се състои от две стъпки за вписване в даден акаунт. Първата е въвеждане на потребителско име и парола, а втората – е въвеждане на код, който е изпратен до ваше регистрирано устройство!

По този начин, дори и да станете жертва на Brute Force атака, можете да сте спокойни, тъй като хакерите ще имат нужда и от автоматично генерирания код!

За да добавите двуфакторна защита на вашия WordPress, можете да се възползвате от плъгини като LastPass Authenticator или Authy.

Променете префикса на WordPress базата данни

Може би сте забелязали, че WordPress използва един и същ префикс – wp_, за всички таблици във базата данни. Ако и вие използвате зададения по подразбиране префикс, то възможността от успешна хакерска атака се увеличава. Силно ви препоръчваме да промените префикса на вашата база данни с цел подобряване на сигурността!

Важно! Промяната на префикс може да счупи сайта ви, ако не се изпълни правилно! Не правете промени, ако не се чувствате сигурни!**

Автоматично отписване на потребители

Самото вписване на потребителите, може да представлява риск за сигурността. Много често те се логват и започват да вършат нещо друго, далеч от екрана, което е предпоставка за хакерска атака. Най-често тя се изразява в хакване на сесията, промяна на паролата и акаунта на атакувания потребител.

В такъв случай, подходящ метод за защита срещу неактивни потребителите е да ги отписвате автоматично. Това може да го постигнете като инсталирате плъгин на сайта си. Добър такъв е Inactive Logout, който ви позволява в няколко лесни стъпки да настроите времето, след което потребителят ще бъде отписан, и да добавите съобщение, което да го уведоми, че му е изтекла сесията!

Сканиране на WordPress сайта

Ако забележите драстично понижаване на трафика към сайта ви или класирането ви в търсачки, то е добре да сканирате сайта си за зловредни скриптове! В интернет можете да откриете много сайтове за сканиране на сайта ви. Нужно е само да въведете своя URL адрес и започва сканирането за зловреден код или софтуер прикачен на сайта ви. Имайте предвид, че този тип услуги само сканират сайта ви. Те не мога да премахнат проблема.

За да сме сигурни, че сте напълно защитени от качване на зловредни скриптове на сайта ви, ние от хостинг компания ICN.Bg сме внедрили Malware Scanner на всички ни хостинг планове. Заедно с ActiveWAF искаме да предотвратим евентуален пробив още в началото, за да не се стига до задълбочаване на проблема!

Ограничаване на XMLRPC.php файла

XML-RPC е по подразбиране активиран в WordPress. Това е така, защото файлът спомага за свързването на вашия WordPress сайт с мрежата и различни мобилни приложения.

Въпреки това, активирането на XML-RPC е предпоставкa да станете жертва на Brute Force атака. Обикновено, ако хакер реши да пробва 500 различни пароли, то той ще трябва да направи 500 отделни вписвания и ще бъде блокиран. С активиран XML-RPC, хакерът може да използва функцията system.multicall и да изпробва хиляди пароли, правейки около 20-30 заявки.

Затова ви съветваме да изключите XML-RPC функциите, за да се предпазите!

Разбира се, ако сайтът ви е разположен на нашите сървъри, то няма нужда да се притеснявате. Както вече споменахме, ActiveWAF ще засече опита за хакерска атака и ще блокира IP адреса, от който се извършва!

Yuzo Related Posts уязвимост

Плъгинът Yuzo Related Posts, който към момента е инсталиран на над 60 000 уеб сайта, беше премахнат от плъгин директорията на WordPress, тъй като публично беше обявена уязвимост, от която хакерите могат и се възползват в момента.

Всички сайтове, които имат инсталиран въпросния плъгин, са уязвими от Cross-Site Scripting (XSS) атака, която се изразява във възможността на хакерите да добавят JavaScript код, който да препраща посетителите на сайта към зловредни спам страници!

Един от най-големите потърпевши се оказа и компанията предоставяща имейл услуга – Mailgun!

Ние от хостинг компания ICN.Bg предприехме нужните мерки да защитим всички наши клиенти. Веднага след откриването на уязвимостта, ъпдейтнахме системите ни за сигурност, за да спрат подобни Yuzo Related Posts атаки към наши потребители. Въпреки това ви съветваме незабавно да премахнете плъгина от своя WordPress сайт, докато проблемът не бъде разрешен!

Обобщение: WordPress е най-популярната и използвана система за управление на съдържание и като такава е чест обект на хакерски атаки. За да защитите сайта си, е добре да предприемете нужните мерки, като може да започнете от сигурен хостинг доставчик. След това е много важно редовно да актуализирате WordPress версията си, темите и плъгините, които използвате. Една от най-честите атаки е т.нар. Brute Force, затова ви съветваме да подсигурите логин частта си, като използвате сложна парола, промените заложеното по подразбиране потребителско име, добавите двустъпкова версификация, управлявате правата за достъп, ограничите опитите за вписване и изключите XML-RPC. За допълнителна защита можете да инсталирате плъгини за сигурност и SSL сертификат, активирате „защитна стена“, промените префикса на WordPress базата данни и деактивирате възможността за редактиране на файлове. Преди да предприемете което и да е от тези действия, е добре да направите Backup на целия сайт!

Надявам се статията да ви е била полезна! Ако искате първи да получавате още полезни статии, материали и промоционални оферти, абонирайте се за нашия бюлетин!

Етикети: #wordpress #security #wordpress-hosting #сигурност #wordpress-хостинг #хостинг