Начало > ICN.Bg Блог > WordPress > WordPress: Ръководство за сигурност (2021)

WordPress: Ръководство за сигурност (2021)

WordPress: Ръководство за сигурност (2021)

(Обновена: ) | WordPress

WordPress е най-използваната и популярна система за управление на съдържание (над 75 000 000 уеб сайта в Интернет използват WordPress) и като такава е чест обект на хакерски атаки!

Поради тази причина е изключително важно сигурността на WordPress сайта ви да е на най-високо ниво!

Искате да имате WordPress сайт? Тогава разгледайте нашето "Ръководство: Как да си направим WordPress сайт"

За нас от хостинг компания ICN.Bg, сигурността на нашите клиенти и техните уеб сайтове винаги е било и ще бъде на първо място.

Затова решихме да създадем това WordPress ръководство за сигурност - подробен списък с методи, които можете веднага да приложите и да повишите нивото на защита на вашия сайт!

Да започваме!

Препоръчано от ICN.Bg: Изборът на сигурна хостинг среда е първата стъпка към цялостната защита на вашия сайт! Услугата ни – WordPress Хостинг, е разработена и оптимизирана за работа с WordPress апликации. В допълнение на това, в нея са включени SSL сертификат, DDoS защита, кеширащи инструменти за по-бърз сайт, над 6500 теми и инструментът ни за бързо и лесно управление – WordPress Management!

Защо сигурността на вашия WordPress сайт е важна?

Най-простият отговор на този въпрос е – за да имате успешен онлайн бизнес, задължително трябва да сте подсигурили всеки един аспект на вашия уеб сайт, без значение дали той е WordPress или не!

Една успешна хакерска атака би могла да нанесе огромни щети на бизнеса ви, като това най-често се изразява в парични загуби и сриване на репутацията!

Хакерите могат да се доберат както до чувствителна бизнес информация, така и до пароли и лични данни на вашите потребители. Също така, могат да инсталират зловреден софтуер, който да се разпространява сред посетителите на сайта ви!

Ако това не ви е накарало да се замислите за подобряване на сигурността на сайта ви, то имайте предвид, че на седмица, Google вкарва в черни списъци около 20 000 уеб сайта заради зловреден софтуер и около 50 000 за фишинг!

Винаги актуализирайте WordPress версията си!

Една от главните причини за пробив в сигурността при WordPress сайтовете са стари версии на ядрото, темите и плъгините!

WordPress е софтуер с отворен код, който се поддържа от много разработчици и често се прибавят нови актуализации. До скоро, единствено по-малките от тях биваха инсталирани автоматично, но за големите ъпдейти, какъвто е и последният – WordPress 5.6, трябваше да го направите ръчно.

С пускането на WordPress 5.6 вече имате възможността да настроите автоматични актуализации и на големите ъпдейти!

Също така, е важно да не забравите да актуализирате всички WordPress плъгини и теми, които сайтът ви използва!

Вижте повече "Защо е важно редовно да обновяваме WordPress ядрото, темата и разширенията в нашия уебсайт?"

Ако се притеснявате, че можете да пропуснете да актуализирате някой от елементите, то можете да се възползвате от нашия инструмент WordPress Update, който е част от 10-те безплатни WordPress Management инструмента, вградени във вашия контролен панел. Той ви позволява да активирате автоматична актуализация на WordPress версията, темите и плъгини само с един клик!

Сложни пароли и права на достъп

Още една от най-често срещаните причини за пробив в сигурността е използването на лесни пароли!

Задължително избягвайте използването на пароли свързани с ваша лична информация, имена, фрази и числа, които са пряко свързани с вас.

Старайте се да сменяте често своите пароли и задължително да съдържат малка и голяма буква, както и специални символи. По този начин ще затрудните допълнително хакерите!

Виж повече: Как да изберем подходяща парола?

Като имайте предвид, че не става въпрос само за админ панела на WordPress, а също и за FTP акаунти, хостинг акаунт и вашия бизнес имейл !

Друг начин да се защитите е като не давате достъп на никого до вашия админ акаунт в WordPress. Разбира се, често това не е възможно, особено ако сте голям екип, който работи по съдържанието на сайта. В такъв случай е добре да сте наясно с управлението на правата за достъп!

На помощ в такъв момент идва и инструмента WordPress Access, който ви позволява лесно и бързо да:

  • Управлявате потребителите на сайта ви и да им давате различно ниво на достъп;
  • Добавяте Password Protected Directory – допълнително ниво на защита при влизане в админ панела на вашия WordPress

Видео: Как да активирам WordPress Access?

Инсталиране на Backup плъгин

Редовното извършване на Backup на WordPress сайт ви е един от най-добрите методите да се защитите срещу хакерски атаки, неволно изтриване на информация или хардуерен проблем.

Най-лесният начин за това и без да имате нужда от технически познания е да се възползвате от подходящ за целта WordPress плъгин.

Препоръчваме ви да запазвате резервно копие на вашия сайт и локално на вашия компютър, за всеки случай!

Вижте още: 68 WordPress плъгина, които да инсталирате през 2021

С WordPress Хостинг от ICN.Bg вие получавате безплатно и до 30 бр. архивни копия на вашия сайт, благодарение на софтуера, който използваме – R1Soft. Той създава множество архивни копия, позволява възстановяването на цялата информация или конкретни файлове, които са поместени на сървъра!

Инсталиране на плъгини за сигурност

За да подсигурите още повече вашия WordPress сайт, е добре да помислите и за инсталирането на Security плъгин.

Добре знаете, че WordPress разполага с огромен брой от безплатни и платени плъгини, но за да ви улесним, бихме ви препоръчали следните 4:

Всички те съдържат различни функционалности, които ще подобрят сигурността! Важно е да изберете този, който ви предлага задълбочен мониторинг и одит, както и възможност да следите всяка една промяна, която се случва по вашия сайт.

Активиране на WAF (Web Application Firewall)

Активирането на „защитна стена (WAF – Web Application Firewall) е един от най-сигурните начини да защитите онлайн бизнеса си от кибер атаки и злонамерен трафик!

Можете да откриете различни WordPress плъгини, които предоставят възможността за активиране на WAF!

Всички клиенти на ICN.Bg, които използват услугите – хостинг, WordPress хостинг или Managed VPS, могат да се възползват от напълно безплатното решение – ActiveWAF!

ActiveWAF е защитна стена за активен анализ и филтриране на трафика, която внедрихме в нашите системи, с цел подобряване още повече сигурността на всички наши клиенти!

Преглежда всички заявки от и към сървъра за зловредни действия и филтрира, и спира тези, които целят да нарушат нормалната му работа. За разлика от обикновения Firewall, който спира определен тип трафик, системата на ActiveWAF анализира заявките и пропуска само тези, които не са застрашаващи за вашия хостинг план.

Инсталиране на SSL и преминаване към HTTPS връзка

Secure Sockets Layer или SSL е протокол, който криптира връзката и всички данни, които преминават между браузъра на клиента и сървъра, на който e разположен вашият уеб сайт.

С инсталирането на SSL сертификат можете да сте сигурни, че личните данни (като имена, телефон, имейл адрес, данни от кредитни карти) на вашите потребители са напълно защитени!

Важно е да имате предвид, че ако сте създали сайта си без SSL сертификат и след това добавите, ще трябва ръчно да преминете към HTTPS връзка. След което, зелено катинарче ще се изобрази пред вашия URL адрес в браузъра. По този начин, потребителите на сайта ви ще могат да разберат, че сайтът ви е защитен.

Освен за подобряване на сигурността, инсталирането на SSL и преминаването към HTTPS е SEO фактор, като това ще се отрази на вашия ранкинг в търсачките.

Сигурността на потребилите е изключително важна за Google, като от 2018г. всички сайтове без SSL сертификат се показват като "несигурни" в най-използвания браузър - Google Chrome!

Можете да си представите как това ще се отрази на бизнеса ви, ако не защитите връзката си, нали?

За да предпазим сайтовете на нашите клиенти да се показват като "несигурни" , всички наши WordPress хостинг планове идват с включен SSL сертификат!

Предлагаме два варианта – Let’s Encrypt и AutoSSL Comodo, като и двата сертификата са от вида Domain Validation (DV).

Научете повече: „Как да инсталирате безплатен SSL сертификат Let’s encrypt?”

Ако имате нужда от друг тип валидация или по-голяма парична гаранция, ние ви предоставяме възможността да изберете от различни SSL сертификати на доверени доставчици!

Промяна на заложеното по подразбиране потребителско име

Brute Force атаките са най-простият начин за добиване на достъп до акаунт, сайт или сървър, като при нея се изпълняват различни комбинации от потребителско име и парола, докато хакерът не открие правилната!

Сега си представете, че използвате потребителското име, което е заложено по подразбиране – „admin”, това ще улесни още повече задачата на хакерите.

Добрата новината е, че WordPress изисква от вас да промените зададеното по подразбиране потребителско име с друго по ваш избор.

Инсталирането на WordPress става изключително лесно с инструмента WordPress Install.

След като го откриете в WordPress Management панела, е нужно да кликнете върху него и веднага ще ви се отвори интерфейсът за инсталиране на WordPress през Softaculous.

Оттам лесно можете да промените потребителско си име, да изберете домейн, да генерирате парола, да въведете име на директорията и още много други настройки!

Видео: Как да инсталирате WordPress с инструмента WordPress Install?

Деактивиране на възможността за редактиране на файлове

WordPress разполага с вграден кодов редактор, който ви позволява да редактирате плъгините и темите на сайта ви, директно през админ панела. Това представлява голяма опасност, що се отнася до сигурността на сайта ви, затова ви препоръчваме да деактивирате възможността за редактиране!

File editing deactivation

Можете да го направите, като добавите следния код в wp-config.php файла:

_// Disallow file edit

define( 'DISALLOWFILEEDIT', true )_

Ограничете опитите за вписване

Както вече споменахме, един от методите на хакерите за пробив в системата е да изпълнят Brute Force атака на логин частта на сайта ви.

За съжаление, WordPress има зададена настройка по подразбиране, която позволява потребителите да се вписват неограничено и това прави сайта ви много уязвим.

За щастие, решението на този казус е изключително лесно, ако имате защитна стена (WAF), тъй като тя ще се погрижи за този проблем автоматично.

Вградената в нашите сървъри, ActiveWAF защитна стена, предоставя такъв тип защита. Ако даден потребител/хакер направи 5 опита за вписване в рамките на 30 секунди, системата автоматично ще блокира IP адреса!

Добавете двуфакторна защита

Двуфакторната защита е технология, която се състои от две стъпки за вписване в даден акаунт.

Първата е въвеждане на потребителско име и парола, а втората – е въвеждане на код, който е изпратен до ваше регистрирано устройство!

По този начин, дори и да станете жертва на Brute Force атака, можете да сте спокойни, тъй като хакерите ще имат нужда и от автоматично генерирания код!

За да добавите двуфакторна защита на вашия WordPress, можете да се възползвате от плъгини като LastPass Authenticator или Authy.

Променете префикса на WordPress базата данни

Може би сте забелязали, че WordPress използва един и същ префикс – wp_, за всички таблици в базата данни. Ако и вие използвате зададения по подразбиране префикс, то възможността от успешна хакерска атака се увеличава.

Силно ви препоръчваме да промените префикса на вашата база данни с цел подобряване на сигурността!

Важно! Промяната на префикс може да счупи сайта ви, ако не се изпълни правилно! Не правете промени, ако не се чувствате сигурни!

Автоматично отписване на потребители

Самото вписване на потребителите, може да представлява риск за сигурността. Много често те се логват и започват да вършат нещо друго, далеч от екрана, което е предпоставка за хакерска атака. Най-често тя се изразява в хакване на сесията, промяна на паролата и акаунта на атакувания потребител.

В такъв случай, подходящ метод за защита срещу неактивни потребителите е да ги отписвате автоматично.

Това може да го постигнете като инсталирате плъгин на сайта си. Добър такъв е Inactive Logout, който ви позволява в няколко лесни стъпки да настроите времето, след което потребителят ще бъде отписан, и да добавите съобщение, което да го уведоми, че му е изтекла сесията!

Сканиране на WordPress сайта

Ако забележите драстично понижаване на трафика към сайта ви или класирането ви в търсачки, то е добре да сканирате сайта си за зловредни скриптове!

В интернет можете да откриете много сайтове за сканиране на уебсайта ви. Нужно е само да въведете своя URL адрес и започва сканирането за зловреден код или софтуер, прикачен на сайта ви.

Имайте предвид, че този тип услуги само сканират сайта ви. Те не мога да премахнат проблема.

За да сме сигурни, че сте напълно защитени от качване на зловредни скриптове на сайта ви, ние от хостинг компания ICN.Bg сме внедрили Malware Scanner на всичките ни хостинг планове. Заедно с ActiveWAF искаме да предотвратим евентуален пробив още в началото, за да не се стига до задълбочаване на проблема!

Ограничаване на XMLRPC.php файла

XML-RPC е по подразбиране активиран в WordPress. Това е така, защото файлът спомага за свързването на вашия WordPress сайт с мрежата и различни мобилни приложения.

Въпреки това, активирането на XML-RPC е предпоставкa да станете жертва на Brute Force атака. Обикновено, ако хакер реши да пробва 500 различни пароли, то той ще трябва да направи 500 отделни вписвания и ще бъде блокиран.

С активиран XML-RPC, хакерът може да използва функцията system.multicall и да изпробва хиляди пароли, правейки около 20-30 заявки.

Затова ви съветваме да изключите XML-RPC функциите, за да се предпазите!

Разбира се, ако сайтът ви е разположен на нашите сървъри, то няма нужда да се притеснявате. Както вече споменахме, ActiveWAF ще засече опита за хакерска атака и ще блокира IP адреса, от който се извършва!

Използвайте последната PHP версия

PHP е скриптов език с отворен код, който е създаден за уеб програмиране и е широко използван за създаването на приложения и динамично уеб съдържание.

Една от най-големите платформи, която е написана с помощта на PHP е именно WordPress. Затова е важно сайтът ви да използва последнатана достъпна версия.

В момента това е PHP 8!

PHP 8 е последния голям ъпдейт на скриптовия език и като такъв идва с много на брой и важни подобрения и промени.

Научи повече: PHP 8: Новата версия е вече достъпна за клиентите на ICN.Bg

Tук е много важно да внимавате!

Не бързайте да преминавате към PHP 8!

Наистина е важно редовно да актуализирате компонентите на вашия WordPress сайт. Но не на всяка цена и не когато това ще навреди на сайта ви!

PHP 8 и WordPress 5.6 бяха пуснати почти едновременно. Към момента WordPress 5.6 е само "бета" съвместима с последната версия на скриптовия език.

Също така, голям брой от плъгините и темите все още не са актуализирани за работа с PHP 8. В случай че преминете към използването на последната версия на скриптовия език и същевременно използвате несъвместими плъгини и теми - ще се появат грешки на сайта ви!

Затова ви съветваме да изчакате!

За момента използвайте PHP версия не по-стара от 7.3. Всички предишни версии вече не се поддържат и използването им ще направи сайта ви уязвим!

PHP Supported Versions

Обобщение: WordPress е най-популярната и използвана система за управление на съдържание и като такава е чест обект на хакерски атаки. За да защитите сайта си, е добре да предприемете нужните мерки, като може да започнете от сигурен хостинг доставчик. След това е много важно редовно да актуализирате WordPress версията си, темите и плъгините, които използвате. Една от най-честите атаки е т.нар. Brute Force, затова ви съветваме да подсигурите логин частта си, като използвате сложна парола, промените заложеното по подразбиране потребителско име, добавите двустъпкова версификация, управлявате правата за достъп, ограничите опитите за вписване и изключите XML-RPC. За допълнителна защита можете да инсталирате плъгини за сигурност и SSL сертификат, активирате „защитна стена“, промените префикса на WordPress базата данни и деактивирате възможността за редактиране на файлове. Преди да предприемете което и да е от тези действия, е добре да направите Backup на целия сайт!

Надявам се статията да ви е била полезна! Ако искате първи да получавате още полезни статии, материали и промоционални оферти, абонирайте се за нашия бюлетин!

Етикети: #wordpress #security #wordpress-hosting #сигурност #wordpress-хостинг #хостинг

Абонирай се и вземи веднага 15% отстъпка

Получаваш винаги специални оферти, само за абонати и най-полезната и актуална информация за твоя онлайн бизнес.

Изпращане... Грешка по време на изпращането! Моля опитайте отново!

С въвеждане на вашия мейл, вие се съгласявате с условията за ползване на ICN.Bg. Този сайт е защитен от reCAPTCHA и се прилагат правилата за поверителност и общите условия на Google

Благодарим Ви.

Заявката ви е изпратена успешно!

Обратно най-горе