WordPress — одна из самых популярных платформ. От блогов до веб-страниц, программное обеспечение одинаково подходит как опытным разработчикам, так и новичкам. Но есть и уязвимости в коде. К счастью, есть способы свести к минимуму эти проблемы безопасности и создать красивые и функциональные страницы, которые люди могут безопасно посещать снова и снова.
Следующие советы должны помочь преодолеть более распространенные уязвимости WordPress.
1. Обновляйте свои плагины
Плагины, пожалуй, самая захватывающая вещь в WordPress. С ними ваш сайт может предложить возможности и функции, возможно, на пределе вашего воображения. Настолько функциональный, что в руках опытного создателя веб-сайтов можно использовать правильную комбинацию плагинов для создания страниц, которые работают так же, как приложение.
Следует помнить, что плагины содержат уязвимости, о которых на момент выпуска обычно ничего не известно. Проблемы возникают только после того, как хакеры нажимают и тестируют код, пока не найдут уязвимость, а затем не разработают вредоносное ПО. Как правило, исправления создаются и включаются в следующий выпуск для компенсации и защиты владельцев сайтов.
Сказав это, в ваших интересах следить за новыми версиями плагинов, которые вы используете. Более того, вы должны заменить старые версии, как только станут доступны более свежие версии. Даже если вы не заметили проблем, сделайте обновления.
2. Используйте плагины только из надежного источника
WordPress — не единственное место, где можно найти совместимые плагины. Они также разрабатываются и выпускаются другими сторонами бесплатно или за дополнительную плату.
Лучше всего использовать плагины только из надежного источника. Доверенный означает, что разработчик принимает те же меры предосторожности, что и при создании фирменных плагинов WordPress. Разработчик также должен активно отслеживать устройство в случае обнаружения проблем с безопасностью, которые необходимо решить в виде новой версии.
Если вы не видите доказательств того, что создатель плагина постоянно выявляет и исправляет уязвимости, не доверяйте ему и, конечно же, не устанавливайте его. Если у вас уже есть, немедленно удалите этот плагин со своего сайта.
3. Избавьтесь от плагинов, которые вы больше не используете
У вас установлены плагины, которые больше не используются? Если да, то немедленно избавьтесь от них. Мы говорим это по нескольким причинам:
- Старые плагины, которые вы никогда не используете, — это старые версии со старой защитой; они могут не предотвратить заражение вашего сайта вирусами или вредоносными программами.
- Они занимают место, которое вы могли бы использовать для чего-то более практичного.
- Управлять страницами проще, если у вас установлены только необходимые плагины.
Возьмите за правило проверять свои плагины не реже одного раза в квартал. Может быть, даже ежемесячно, если вам больше нечем заняться. Найдите несколько, которыми вы больше не пользуетесь? Избавься от них. Помните, что если они понадобятся вам в будущем, достаточно просто переустановить самую последнюю версию.
4. Защитите свой сайт от SQL-инъекций и взлома URL-адресов
Язык структурированных запросов важен, но внедрение злоумышленником SQL-кода может нанести ущерб вашим страницам. Они могут изменять, добавлять или заменять содержимое этих страниц и наносить значительный ущерб. Взлом вашего унифицированного указателя ресурсов (URL) позволяет изменить адрес ваших страниц и перенаправить читателей на страницы, созданные хакером. Вы не только потеряете бизнес, но и ваша репутация может серьезно пострадать.
Правильный тип инструмента WP Config помогает предотвратить обе эти возможные проблемы. Как и в случае со всеми инструментами, убедитесь, что вы используете последнее поколение.
5. Измените префикс по умолчанию для базы данных вашего сайта
После установки WordPress создает префикс по умолчанию для таблиц вашей базы данных. Это хорошая идея, чтобы потратить время на настройку этих префиксов, поскольку распространенный хакерский трюк состоит в том, чтобы использовать специализированное программное обеспечение для их идентификации и изменения, а затем использовать SQL-инъекции, чтобы взять на себя управление.
Изменить префиксы базы данных не так уж и сложно. На самом деле, это можно сделать довольно быстро. Воспринимайте это как еще один способ гарантировать, что ваша тяжелая работа не будет повреждена или использована без вашего разрешения.
6. Используйте двухфакторную аутентификацию
В последние годы двухфакторная аутентификация стала очень популярной. По сути, это двухэтапный процесс входа в систему, который, в дополнение к обычному имени пользователя и паролю, требует дополнительного кода, отправленного вам по телефону или каким-либо другим альтернативным способом.
Этот процесс добавляет дополнительный шаг, но затрудняет получение доступа неавторизованными сторонами, поскольку они, скорее всего, не смогут одновременно взломать ваш компьютер и телефон.
7. Не выходите в интернет без виртуальной частной сети (VPN)
Если вы впервые столкнулись с этой идеей, персонализированные инструменты шифрования в форме VPN принесли в массы конфиденциальность и анонимность на уровне спецслужб. После установки это программное обеспечение создает зашифрованное соединение (некоторые считают его туннелем) каждый раз, когда вы выходите в интернет, даже если вы пьете кофеин в местной кофейне, используя общественный Wi-Fi.
VPN, используемая в сочетании с другими инструментами конфиденциальности с открытым исходным кодом, является, по крайней мере, попыткой решить проблему хакерских атак, утечки данных и государственного шпионажа, которые беспрестанно охватывают Интернет. VPN работает совместно с вашим интернет-провайдером и должна стоить не более 7–15 долларов в месяц.
8. Используйте выделенный, а не виртуальный хостинг
Общий хостинг — это хорошо и может хорошо работать для многих людей, но для бизнес-сайтов, и особенно если вы собираете данные о клиентах (необходимо знать о новых правилах GDPR), вы можете подумать о дополнительных расходах на выделенный хостинг.
Большинство экспертов сходятся во мнении, что среда выделенного хостинга обеспечивает более надежную защиту, и это хорошо.
8. Регулярно отслеживайте и обновляйте административные привилегии
Одной из наиболее распространенных задач, упускаемых из виду в WordPress, является обновление административных привилегий, которое требует большего внимания, чем просто удаление привилегий, когда сотрудник покидает бизнес.
Вы также должны обновить привилегии в таких ситуациях, как продвижение по службе, изменение рабочих заданий и все остальное, что может оставить сотрудника с доступом к данным, которые ему больше не нужны.
Старые и неиспользованные привилегии увеличивают вероятность раскрытия информации, если вирус найдет способ их использовать. Убедитесь, что права уровня администрирования ограничены активными сотрудниками, которым действительно нужен доступ к этому уровню контроля.
Заключительная мысль
Помните, что WordPress продолжает разрабатывать и выпускать инструменты безопасности, которые вы можете использовать с пользой. Просмотрите эти ресурсы по мере их появления. Один или несколько из них могут быть именно тем, что вам нужно, чтобы сделать вашу безопасность еще лучше. И всегда… ВСЕГДА… обновляйте основную установку каждый раз, когда вам будет предложено сделать это в области панели инструментов. Хакеры всегда пытаются раскрыть новые методы проникновения, и именно так их можно остановить.