Защита вашего веб-сайта WordPress — обзор

Опубликовано: 2020-08-25
Securing Your WordPress Website

Введение

WordPress — это инструмент для создания веб-сайтов, известный как система управления контентом ( CMS ), который упрощает создание красивых и мощных веб-сайтов без необходимости знать что-либо о HTML, PHP или каких-либо веб-технологиях. Эта гибкость и мощь сделали WordPress безумно популярным. Теперь это CMS номер один, на которой работают более 455 000 000 веб-сайтов или 35% всего Интернета! Если вы хотите, чтобы ваш веб-сайт выглядел стильно, обладал всеми функциями, которые вам могут когда-либо понадобиться, и использовал самые мощные доступные инструменты SEO, тогда WordPress предлагает.

Популярность WordPress создала невероятно богатую экосистему тем, плагинов и инструментов, которые с легкостью расширяют и улучшают каждый аспект вашего сайта WordPress. К сожалению, эта популярность также делает WordPress привлекательной мишенью для хакеров. Это происходит по нескольким связанным причинам. Во-первых, с 455 миллионами сайтов, использующих WordPress, если хакер сможет обнаружить эксплойт, он потенциально может взломать почти полмиллиарда веб-сайтов и получить то, что хочет.

Во-вторых, среди огромного количества аддонов и плагинов некоторые не очень хорошо написаны, плохо поддерживаются или вовсе заброшены их авторами. Это обеспечивает хакерам гораздо более легкую точку входа на веб-сайт WordPress, чем защищенное ядро ​​WordPress. Огромное количество сайтов WordPress означает, что даже относительно непопулярный плагин все еще можно использовать на многих сайтах WordPress.

В этой статье мы рассмотрим основы защиты веб-сайта WordPress, чтобы вы могли наслаждаться мощью WordPress, не страдая от каких-либо недостатков.

Быть в курсе

Мир технологий развивается невероятно быстро, и это включает в себя WordPress и технологии, которые его поддерживают. Когда вы посещаете сайт WordPress, вы видите огромное количество программ, которые работают согласованно, чтобы обеспечить работу сайта, который вы просматриваете. Эти программные пакеты можно грубо сгруппировать в следующие уровни:

  1. Операционная система
  2. Ядро WordPress
  3. Плагины и темы WordPress

Каждый из этих уровней зависит от уровня с более низким номером для правильного и безопасного функционирования. Ни одно программное обеспечение не написано идеально, а это означает, что в развернутых пакетах постоянно обнаруживаются ошибки. Кроме того, новые и улучшенные версии программных пакетов создаются их авторами для добавления функций и возможностей.

Все это означает, что администраторы WordPress должны быть в курсе всех обновлений, доступных для их операционной системы и установки WordPress. Как вы понимаете, на это уходит много времени и, к сожалению, иногда очень технических знаний, когда что-то идет не так. Есть инструменты, которые делают часть этого проще, но ненадежны.

Взгляните на нашу статью «Будьте в безопасности и обновляйте свой WordPress», чтобы узнать много информации о том, как поддерживать ваш веб-сайт WordPress в актуальном состоянии.

Блокировка хакеров и ботов

Веб-сайт почти по определению должен «разговаривать» с Интернетом. Это означает, что в идеальном мире любой может сделать вежливый и правильно оформленный запрос на веб-страницу, и ваш веб-сайт WordPress ответит, вернув страницу. Вы, возможно, заметили, что мы живем не в идеальном мире, и в результате хакеры, преступники и детишки со сценариями будут пробовать все способы, которые только могут придумать, чтобы злоупотреблять вашим сайтом WordPress, чтобы взломать или испортить его.

Точно так же, как у вас есть прочная запертая входная дверь в вашем доме, чтобы предотвратить взлом грабителей, вы можете создать прочный сетевой барьер перед своим веб-сайтом WordPress, который не позволит хакерам разрушить ваш сайт.

Преимущество, которое у вас есть как у администратора, заключается в том, что злоумышленники могут точно контролировать, какой сетевой трафик может получить доступ к вашему сайту WordPress. Вы можете развернуть эффективные инструменты для проверки трафика, поступающего на ваш сервер, а также для фильтрации и отклонения любого вредоносного трафика и, таким образом, для защиты вашего веб-сайта WordPress.

Следующие три инструмента фильтрации трафика будут отслеживать различные свойства сетевого трафика, поступающего на ваш сайт WordPress:

  1. Брандмауэр с фильтром пакетов.
  2. Брандмауэр веб-приложений.
  3. Брутфорс и мониторинг ботов.

Первый инструмент, пакетный фильтр, — это то, о чем большинство людей думают, когда слышат слово «брандмауэр». Этот инструмент безопасности проверяет свойства сетевого трафика на самом базовом уровне. Этими свойствами являются такие вещи, как порт, для которого предназначен пакет, откуда он был отправлен, протокол пакета и многое другое. Брандмауэр хранит список разрешенных и заблокированных свойств и будет отбрасывать любые пакеты, которые нарушают эти правила. Вы можете точно настроить эти правила для защиты вашего сервера от любых угроз.

Второй инструмент, брандмауэр веб-приложений (WAF), работает, проверяя входящие веб-запросы и гарантируя, что никакие злонамеренно искаженные запросы не будут обработаны WordPress. Многие атаки основаны на создании преднамеренно нестандартных запросов или запросов на получение конфиденциальных файлов WordPress. WAF отклонит эти запросы и разрешит только подлинные и правильно отформатированные запросы.

Последние инструменты, брутфорс и детектор ботов, остановят брутфорс-атаки на ваш сайт WordPress. Атака грубой силы — это когда злоумышленник пытается войти на ваш веб-сайт WordPress, отправляя тысячи комбинаций имен пользователей и паролей в надежде угадать рабочую пару. Защита от брутфорса заметит эти многочисленные неудачные попытки входа в систему и автоматически заблокирует человека или бота, делающего больше попыток.

Если у вас есть веб-сайт WordPress, вы обязательно должны установить, настроить и поддерживать все три инструмента сетевой безопасности. Получение максимальной отдачи от этих инструментов и достижение высочайшего уровня безопасности для вашего сайта является сложной задачей.

Сканирование вредоносных программ

Вредоносное ПО — это общее название для любого программного обеспечения, которое имеет злонамеренные или преступные намерения. Вредоносное ПО бывает разных форм и размеров и может легко попасть на ваш сайт WordPress. Сложность WordPress означает, что вредоносное ПО может попасть на ваш сайт различными способами. Однако наиболее популярными среди хакеров являются плагины или темы. Это может быть связано с преднамеренным включением вредоносного кода хакером, но, скорее всего, это просто ошибка кодирования. Небольшие, трудно обнаруживаемые ошибки в коде могут позволить злоумышленникам использовать PHP-скрипт для размещения вредоносного кода на вашем сайте.

Очевидно, что поддержание всего кода вашего веб-сайта WordPress в актуальном состоянии необходимо для блокировки этих атак, поскольку ошибки будут исправлены, а вредоносный код удален, если он будет обнаружен. Однако обновления могут помочь только при выявленных проблемах. Это по-прежнему оставляет много проблем, которые активно используются преступниками, которые еще не исправлены или вы еще не применили обновление.

Вот почему эффективное сканирование вредоносных программ имеет важное значение. Хорошее сканирование на наличие вредоносных программ будет работать так же, как антивирусный сканер на вашем ноутбуке. Он должен постоянно сканировать ваш веб-сайт WordPress и проверять каждый найденный файл по актуальному списку вредоносных программ и помещать в карантин все обнаруженные вредоносные программы.

Установка, настройка и обслуживание эффективного сканера вредоносных программ не является тривиальной задачей. Он эффективен только в том случае, если поддерживается в актуальном состоянии и часто запускается. Если позволить устаревать, ваш веб-сайт WordPress может быть скомпрометирован.

Взгляните на нашу статью о сканировании вредоносного ПО «Вредоносное ПО и WordPress — поддержание чистоты», чтобы получить исчерпывающую информацию о том, как вредоносное ПО заражает WordPress и что с этим можно сделать.

Как мне все это делать?

Если вы используете свой веб-сайт WordPress в качестве хобби, то установка, настройка, обслуживание и исправление инструментов, решающих эти проблемы безопасности, могут стать отличным опытом обучения. В конце концов, вы не так уж много теряете, если что-то испортите.

Однако, если ваш веб-сайт WordPress является критически важным, и у вас нет опыта и знаний в предметной области, чтобы обеспечить безопасность, вам следует искать экспертное управляемое решение для хостинга WordPress, такое как Rocket. Rocket автоматически и постоянно развертывает ведущие в отрасли инструменты безопасности и берет на себя безопасность вашего сайта WordPress для вас на каждом уровне своих экземпляров WordPress.

Просто зарегистрируйтесь, раскрутите веб-сайт WordPress и сразу приступайте к созданию красивого сайта WordPress.