Какво е по-добре от добре изграден уебсайт? Добре изграден уебсайт със здрава сигурност.


Придържайте се към мен, тъй като ще разкрия някои от най-добрите практики за сигурност за вашия уебсайт WordPress. Не само, че са начинаещи, но и тези практики са много достъпни, ако не и безплатни.

В края на тази статия ще имате план за действие, за да защитите сайта си срещу всички видове кибер заплахи. Така че, закопчайте и нека започнем!

Безопасен ли е вашият WordPress сайт?

Докато WordPress се счита за най-популярната CMS до момента, тази репутация идва с някои последствия. Използва се от над 35% от уебсайтовете в интернет WordPress се превръща в любима цел за атаки на злонамерен софтуер. Само през 2018 г. Sucuri съобщи, че около 23 000 уебсайта на WordPress стават жертва на нарушения на сигурността.

Това означава ли, че WordPress има ужасна система за сигурност?

Въобще не! Напротив, основната причина за нарушаване на сигурността на уебсайта е липсата на информираност на потребителите за сигурност.

Като реномиран CMS, WordPress изпълнява своята роля, като публикува редовно кръпки за сигурност и актуализации на софтуера. Въпреки това, тези ъпгрейди ще имат малка разлика, освен ако не знаете какво да направите от тях.

Накратко, вие играете значителна роля в осигуряването на уебсайта си.

Сега, когато знаете вашата роля и отговорност като уеб администратор, е време да проучите какво можете да направите, за да подобрите сигурността на уебсайта си. Разгледайте най-добрите практики за сигурност по-долу и се опитайте да ги приложите на вашия уебсайт.

Използвайте силни потребителски имена и пароли

Създаването на силни идентификационни данни за вход може да бъде най-лесната практика за сигурност, която всеки може да изпълнява, но въпреки това много потребители все още не успяват да го направят. Вярваш или не, 23,2 милиона сметки все още използват „123456“ като своя парола. Същият проблем се отнася за потребителските имена, където много потребители използват стандартните потребителски имена като „администратор“ и „администратор“.

Ако имате нужда от помощ при създаването на силни пароли, има много генератори на пароли там можете да използвате безплатно. Що се отнася до потребителските имена, можете да включите числа и специални знаци в ключовите думи, за да ги направите по-уникални.

Използването на слаби идентификационни данни за вход ще направи уебсайта ви уязвим за груби атаки. Този тип кибератака използва подход за проба и грешка, за да отгатне вашите идентификационни данни за вход. Затова е най-добре да избягвате използването на общи ключови думи за вашата информация за вход.

Ако имате навик да забравяте паролата, тогава може да помислите да използвате LastPass за да го запомните и да го използвате с едно щракване. Що се отнася до потребителските имена, можете да включите числа и специални знаци в ключовите думи, за да ги направите по-уникални.

Скриване на Вход за WordPress

Този прост трик може да защити вашите WP сайтове от нападатели, насочени срещу груби атаки. употреба WPS Скриване на вход безплатен плъгин, за да промените URL адреса за вход на нещо уникално.

Активиране на двуфакторна автентификация

След като осигурите идентификационните си данни за вход на администратора, можете да подобрите процеса на влизане още повече, като активирате двуфакторната автентификация. Този процес на защита създава допълнителен слой защита, който изисква от потребителите да получат уникален код от приложение за удостоверяване. Реализирайки го на уебсайта си, само потребители с правилните идентификационни данни и код за вход могат да влизат в акаунта си.

WordPress има много двуфакторни плъгини за удостоверяване, от които да избирате. Някои от най-добрите включват Google Удостоверител, Двуфакторна автентификация, и Две Фактор.

Промяна на префикс на база данни на WordPress

Базата данни на уебсайта е най-любимата цел за SQL инжекционни атаки. Тези типове cyberattack принуждават базата данни да изпълнява злонамерен код, което позволява на хакерите да променят или елиминират данните в нея свободно. Тъй като SQL инжекционните атаки съдържат около 80% от опитите за хакване стартирайте на месец, не бива да приемате тази заплаха леко.

Един от факторите, които правят вашата база данни предразположена към SQL инжекционни атаки, е използването на префикс на база данни wp_ по подразбиране. Използвайки предвидима база данни, префиксът позволява на хакерите да отгатнат имената на вашата таблица и да предизвикат хаос във вашата база данни. Затова горещо ви препоръчвам да го промените при най-бърза възможност.

Ето подробно ръководство за това как да промените вашия префикс на база данни WordPress. Можете също да опитате Промяна на приставка за таблица.

Деактивирайте докладването за грешки в PHP

Функцията за докладване на грешки в PHP ви помага да намерите грешки в PHP файловете много по-бързо. Той обаче позволява и на други хора да видят уязвимостите на вашия сайт. Затова ви препоръчвам да деактивирате напълно тази функция.

WordPress деактивира функцията за докладване на грешки по подразбиране. Ако е активиран по някаква причина, трябва да го деактивирате ръчно от промяна на файла wp-config.php. В зависимост от вашата уеб хостинг услуга, няколко хостинг доставчици също ви позволяват да управлявате тази настройка от контролния панел.

Поддържайте актуална версия на WordPress

За да бъде в крак с непрекъснато увеличаващите се видове кибератаки, WordPress периодично пуска актуализации, заедно с най-новите лепенки за сигурност. Това подобрение не се отнася само за ядрото на WordPress, но и за плъгините и темите. Както се казва, използването на остарял софтуер е рецепта за бедствия.

Докато WordPress автоматично внедрява незначителни актуализации на софтуера, все пак трябва да извършвате големи актуализации ръчно. Така че, не забравяйте да потърсите нови актуализации в Актуализациите секция на вашия административен панел WordPress редовно, за да избегнете уязвимости в сигурността на вашия сайт.

Има и безплатен плъгин Лесен мениджър за актуализации, които можете да използвате, за да контролирате как искате да актуализирате вашето ядро, теми и приставки за WordPress.

Деактивиране на сърфирането в указатели

Преглеждането на директории може да ви даде бърз достъп до структурата на сайта и отделните директории. Въпреки това, той може да се превърне в меч с две остриета, ако други хора също могат да получат достъп до него. Хакерите често го използват, за да намерят уязвими файлове, плъгини и теми, след което ги използват, за да получат достъп до вашия уебсайт.

Ако хоствате вашия WP сайт на премиум платформа, тогава може да не е необходимо да се притеснявате, тъй като те ще се погрижат за тези оптимизации. Ако обаче сте самостоятелно хостинг или трябва да го деактивирате ръчно, проверете това статия за да знаете как да деактивирате сърфирането в директория в WordPress.

Премахване на номер на версията на WordPress

WordPress непрекъснато пуска актуализации, за да закърпи уязвимостите в предишната версия. По-старите версии обикновено са поразени с повече уязвимости. Следователно, публикуването на вашата версия на WordPress не е най-добрата идея за вашата система за уеб сигурност.

По подразбиране вашата версия на WordPress се вижда в долната дясна част на вашия администраторски панел и източника на страницата. Той се появява и на по-малко очевидни места като RSS, CSS и скриптове на сайта. Има страхотно статия което предоставя стъпка по стъпка ръководство за това как да премахнете версията на WordPress от тези места.

Деактивиране на редактирането на файлове

Вграденият файлов редактор на WordPress ви позволява да променяте скриптове за приставки и теми много по-лесно. Въпреки това, тази функция може да застраши вашия уебсайт, ако попадне в грешни ръце. Поради тази причина е най-добре напълно да деактивирате редактирането на файлове. Можете да го направите, като добавите по-долу във файла wp-config.php.

define (‘DISALLOW_FILE_EDIT’, вярно);

Извършвайте редовни резервни копия

Създаването на архиви е също толкова важно, колкото и сигурността на уебсайта. В най-лошия сценарий, архивирането може да ви спести от необходимостта да възстановите сайта от основи.

Процесът може да изглежда досаден, но има много резервни приставки като VaultPress и BlogVault това може да го направи безпроблемно. Protip, използвайте приставката, която има функция за автоматично създаване на резервно копие, за да спестите времето си и да избегнете остаряването на резервни копия, запушващи вашата система.

Ако не искате да използвате твърде много плъгини, тогава можете да помислите да използвате iThemes Security Pro които се грижат преди всичко и повече.

Спрете спама и отрицателните SEO

Спамът е навсякъде и никой не го харесва.

Ако управлявате популярен сайт и нямате подходяща система за предотвратяване на спам, тогава може да привличате хиляди спам всеки ден. Прекалено много спам е лошо за SEO и потребителското изживяване. Представете си, че имате стотици неуместни коментари на публикация в блог.

Кажете не за спам, като използвате CleanTalk анти-спам решение.

Използвайте WAF

Една от най-добрите инвестиции, които можете да направите, за да защитите вашия сайт, е като използвате WAF (защитна стена на уеб приложение). Той помага да защитите сайта си от най-добрите 10 уязвимости на OWASP, известни и неизвестни пропуски в сигурността, злонамерен код, DDoS атаки и много други.

Има няколко варианта – SUCURI, Malcare, Cloudflare.

Управление на теми и приставки

Едно от най-големите предимства на използването на WordPress е огромната му колекция от плъгини и теми. По ирония на съдбата, WordPress плъгини и теми представляват като най-големият източник на уязвимост това може да изложи на сайта ви риск. Така че, трябва да направите своя избор разумно и внимателно да управлявате тези, които сте инсталирали.

Най-лесният начин да попречите на хакерите да имат достъп до уебсайта ви чрез дефектен софтуер е чрез използване на приставки и теми с отлични отзиви и оценки. Това са страхотни индикатори, които ще ви кажат, че са добре поддържани и функционират правилно. Освен това, не забравяйте периодично да проверявате за актуализации, за да подобрите тяхната ефективност.

Обобщавайки

Тъй като киберзаплахите по целия свят не планират да се оттеглят съвсем скоро, важно е да защитите уебсайта си на WordPress от потенциална опасност. За щастие има много лесни, но ефективни практики за сигурност, които можете да извършите, за да подобрите цялостната сигурност на сайта си.

Тази статия доказва, че не е необходим голям бюджет или напреднали технически познания, за да изпълните някои от най-добрите практики за сигурност. Въпросът е дали сте готови за предизвикателството?

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me