Выполните руководство по аудиту безопасности WordPress

Опубликовано: 2020-08-25

Начнем с того, что WordPress достаточно безопасен. Однако, если вы считаете, что на вашем веб-сайте есть что-то подозрительное, вам следует провести аудит безопасности WordPress . Правда в том, что, к сожалению, большинство веб-сайтов рано или поздно сталкиваются с какой-либо проблемой безопасности. И это подвергает риску не только ваш веб-сайт, но и потенциально конфиденциальную информацию пользователей. Чтобы предотвратить их, давайте рассмотрим основные этапы проведения аудита безопасности WordPress вашего сайта.

Почему важно регулярно проводить аудит безопасности WordPress на вашем сайте

Многие владельцы веб-сайтов не задумываются о безопасности веб-сайта до тех пор, пока он не будет скомпрометирован. Вы хотите убедиться, что делаете все, что в ваших силах, чтобы предотвратить потенциальное нарушение безопасности. Когда вы проводите аудит безопасности WordPress, вы пересматриваете свои политики и укрепляете их. Было бы хорошо проводить аудит безопасности не реже одного раза в год или чаще, в зависимости от размера вашего веб-сайта и типа пользовательской информации. Однако даже в том случае, если вы недавно проводили аудит, вам может понадобиться повторить его в следующих ситуациях:

  • Вы находите подозрительные учетные записи на своем веб-сайте или подозрительные попытки входа в систему
  • Если вы столкнулись с резким падением трафика
  • Ваш сайт внезапно стал тормозить
  • Вы можете увидеть подозрительные ссылки

Как провести аудит безопасности сайта

Если вы хотите углубиться, аудит безопасности может включать в себя гораздо больше шагов. Однако комплексный аудит безопасности должен включать следующие основные этапы :

  • Убедитесь, что WordPress, плагины и темы обновлены
  • Удалите файлы, темы и плагины, которые вам не нужны
  • Убедитесь, что ваше решение для резервного копирования работает
  • Проанализируйте учетные записи пользователей
  • Повысьте безопасность своего пароля
Безопасность.
Выполняйте аудит WordPress правильно и регулярно

Обновления имеют решающее значение

Убедиться, что ваше основное программное обеспечение WordPress обновлено, очень важно, так же как регулярно обновлять плагины и темы. И дело не только в стабильности вашего сайта, но и в безопасности . В любом ПО могут появляться уязвимости, и разработчики исправляют их, выпуская обновление, содержащее патч безопасности. Процесс прост, вам нужно посетить панель инструментов и выбрать страницу обновлений.

Удалите темы и плагины, которые вы больше не используете

Мы все любим темы и плагины. Но сколько плагинов слишком много? А как насчет плагинов, которые мы установили только для того, чтобы обнаружить, что они нам не очень нравятся? Иногда мы просто деактивируем их и оставляем на сервере. Но, что вы действительно должны удалить их. Старые файлы тем и плагины могут привести к проблемам с безопасностью на вашем сайте, и нет никаких причин, по которым вы не должны это предотвращать. Решение довольно простое — перейдите на вкладки Темы и Плагины и решите, какие из них вам нужны. Если некоторые из них не были активны в течение некоторого времени, есть большая вероятность, что они вам действительно не нужны. Кроме того, после их удаления убедитесь, что не осталось никаких файлов.

Плагины для Вордпресс.
Прежде чем устанавливать другие плагины, удалите те, которые вы не используете.

Настройте и протестируйте резервную копию WordPress

Важная часть аудита безопасности WordPress — убедиться, что у вас есть резервная копия вашего сайта на случай, если что-то пойдет не так. Однако многие новички забывают о резервной заглушке после ее настройки. Первое резервное копирование может занять некоторое время, так как копируется весь ваш сайт. Следующие резервные копии будут намного быстрее, так как будут скопированы только изменения. Но через некоторое время плагины резервного копирования могут перестать работать, поэтому убедитесь, что ваш плагин все еще сохраняет ваши резервные копии . Время от времени проверяйте резервную копию, чтобы убедиться, что все в порядке. Таким образом, если что-то случится, вы сможете восстановить свою резервную копию, и ваш сайт вернется в нормальное состояние.

Два типа веб-сайтов

Нажав на страницу «Пользователи и все пользователи», вы увидите все учетные записи пользователей. В первом случае, если ваш сайт требует регистрации, вы сможете увидеть здесь множество учетных записей пользователей. Если вы выиграли бизнес-сайт или блог, и ваш сайт не требует регистрации, вы можете найти только одну или несколько учетных записей пользователей на этой странице. На этих веб-сайтах вам нужно перейти в «Настройки» и убедиться, что на странице «Общие» опция «Любой может зарегистрироваться» не отмечена. В обоих этих случаях, если вы обнаружите подозрительную или неактивную учетную запись пользователя, вы можете удалить ее.

Проанализируйте учетные записи пользователей

Вы также должны знать, что WordPress позволяет назначать своим пользователям шесть различных ролей: подписчик, участник, автор, редактор, администратор и суперадминистратор. Убедитесь, что вы правильно назначаете эти роли, поскольку не всем пользователям требуется одинаковый уровень разрешений. Проанализируйте учетные записи пользователей:

  • Проверка количества пользователей с правами администратора
  • Когда вы выполняете аудит безопасности WordPress, убедитесь, что пользователям назначены соответствующие роли.
  • Убедитесь, что вы распознаете пользователей на странице и удалите пользователей, которые кажутся подозрительными.
  • Убедитесь, что администраторы не используют имя пользователя «admin», так как хакеры могут использовать это
Автор WordPress, роль, которая не будет проводить аудит безопасности WordPress.
Писателям и другим ролям не обязательно иметь полные права

Вы можете заметить, что очевидное имя пользователя — не лучшая идея. Чтобы изменить его, вам необходимо удалить учетную запись и создать новую учетную запись с теми же предоставленными привилегиями. Поскольку это длительный процесс, проверьте, может ли плагин помочь вам изменить имя пользователя без него. Когда дело доходит до вашего пароля, всегда предпочтительнее сложный пароль, и имейте в виду, что двухфакторная авторизация сделает ваш пароль более надежным. Если вы не знаете, как изменить имя пользователя и пароль WordPress, эта статья будет вам полезна.

Если вы хотите провести еще более тщательный аудит безопасности WordPress, вам потребуется больше шагов. Тем не менее, это основные шаги, которые вы всегда должны включать в методы обеспечения безопасности вашего веб-сайта. Если вы будете уделять пару часов каждый раз, когда выполняете аудит, вы защитите свой веб-сайт более эффективно и предотвратите определенные проблемы с безопасностью.