Полезное

Как защитить сайт на WordPress от хакеров

Автор Freelance.Today

Сайты на WordPress часто подвергаются взлому. Хакеры обычно нацеливаются на тему, основные файлы WordPress, плагины и даже страницу входа. 

Сегодня поговорим о том, как можно защитить ваш сайт от взлома.

Как хакеры атакуют WordPress

Все сайты в сети постоянно подвергаются атакам, будь то форум phpBB или сайт WordPress. Практически все сайты проверяются хакерами. Для хакера нет ничего необычного в том, чтобы сканировать тысячи страниц или пытаться войти в систему сотни раз в день.

И это всего лишь один хакер. Сайты подвергаются атакам нескольких хакеров одновременно.

Обычно это не человек, который пытается вас взломать. Хакеры используют автоматизированное программное обеспечение для сканирования сети в поисках конкретных слабых мест на сайте.

Эти автоматизированные программы, сканирующие Интернет, называются ботами. Их еще называют хакерскими ботами, чтобы отличить их от парсеров (программного обеспечения, которое пытается копировать контент).

Защитите свой сайт WordPress с помощью брандмауэра

Брандмауэр — это программа, которая блокирует злоумышленника. На мой взгляд, лучший брандмауэр WordPress — это плагин Wordfence.

Wordfence проверяет, соответствует ли поведение посетителя веб-сайта поведению хакерского бота. Если бот нарушает определенные правила, например запрашивает слишком много веб-страниц за короткий промежуток времени, Wordfence автоматически блокирует бота.

Wordfence также запрограммирован таким образом, чтобы не мешать работе других ботов, таких как Google и Bing.

Существуют расширенные функции, которые позволяют владельцу сайта видеть, какие боты атакуют сайт, и видеть, откуда этот бот, например, из Amazon Web Services или Bluehost, например. Wordfence предоставляет возможность блокировать бота по его IP-адресу, всему диапазону IP-адресов или даже с помощью поддельного пользовательского агента браузера, который использует бот.

О пользовательских агентах (UA)

Агент пользователяидентифицирует информацию, которую передает браузер: какой это браузер (Chrome, Firefox, Вивальди), и на какой операционной системе он работает (Windows 10, Mac OS X).

Например, это строка пользовательского агента для браузера Safari 11 на компьютере Mac OS X:

Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, как Gecko) Версия / 11.1.2 Safari / 605.1.15

Боты используют множество различных пользовательских агентов, чтобы обмануть веб-сайты и проникнуть внутрь. Например, некоторые боты выдают себя за браузер в Windows XP.

Фактическое количество реальных пользователей Win XP близко к нулю, поэтому можно создать правило в Wordfence для блокировки всех пользовательских агентов с Windows XP в качестве операционной системы, и с помощью этого правила у заблокировать тысячи плохих ботов, независимо от страны или IP-адреса.

Плохие боты иногда реагируют, переходя на другой пользовательский агент, поэтому, объединив эти правила, вы имеете шанс заблокировать широкий спектр плохих хакерских ботов.

И это с бесплатной версией Wordfence.

Платная версия может блокировать целые страны. Поэтому, если у вас нет законных посетителей сайта из определенных стран, вы можете заблокировать каждого посетителя из этих стран.

Повышение безопасности веб-сайтов

Еще один бесплатный плагин, обеспечивающий дополнительный уровень защиты, называется Sucuri Security. Sucuri (принадлежит GoDaddy) помогает укрепить безопасность WordPress, чтобы блокировать использование плохими ботами определенных видов атак. Он также имеет функцию сканирования вредоносных программ, которая проверяет все файлы на предмет изменений.

Sucuri будет предупреждать вас каждый раз, когда кто-то входит на ваш сайт, помогая определить, входит ли в систему хакер. Sucuri также может предупреждать об изменениях в файлах.

Особенности бесплатной версии Sucuri:

  • Аудит охранной деятельности
  • Мониторинг целостности файлов
  • Удаленное сканирование на вредоносное ПО
  • Мониторинг черного списка
  • Эффективное усиление безопасности
  • Действия по обеспечению безопасности после взлома
  • Уведомления безопасности 

Платная версия Sucuri включает брандмауэр веб-сайта.

Ограничьте входы на свой сайт

WordFence может блокировать ботов, которые неоднократно вводят имена пользователей и пароли на странице входа в WordPress.

Но если вы хотите сосредоточиться на ограничении этих входов в систему, есть плагин под названием Limit Login Attempts Reloaded, который позволяет издателям автоматически блокировать всех хакеров, которые вводят заданное количество неудачных комбинаций имени и пароля. Например, вы можете настроить блокировку хакеров после трех попыток угадать пароль.

Это особенности блокировщика входа в систему:

  • Ограничение количества повторных попыток при входе в систему (на каждый IP). Это полностью настраивается.
  • Информирует пользователя об оставшихся попытках или времени блокировки на странице входа.
  • Дополнительное ведение журнала и дополнительное уведомление по электронной почте.
  • Можно занести в белый / черный список IP-адреса и имена пользователей.
  • Совместимость с Sucuri Website Firewall.
  • Защита шлюза XMLRPC.
  • Защита страницы входа в Woocommerce.
  • Многосайтовая совместимость с дополнительными настройками MU.
  • Соответствует GDPR. 
  • Поддержка настраиваемых источников IP (Cloudflare, Sucuri и т. д.) 

Плагин Limit Login Reloaded предоставляет быстрый способ отключить ботов, пытающихся угадать пароль.

Сделайте резервную копию вашего сайта 

Важно автоматически создавать ежедневную резервную копию вашего сайта. Любое катастрофическое событие, приводящее к остановке сайта, может быть восстановлено с помощью резервной копии.

Существует множество решений для резервного копирования, но одно, которое может быть полезным, называется UpdraftPlus WordPress Backup Plugin. UpdraftPlus доверяют более двух миллионов пользователей, это хорошо зарекомендовавший себя выбор.

Его можно настроить на отправку резервных копий по электронной почте каждый день или их отправку в облачное хранилище, например в Dropbox.

Обновите все темы и плагины

Важно всегда обновлять все темы и плагины. WordPress предоставляет возможность автоматически обновлять все плагины, что удобно для владельцев или компаний, которые не часто входят в систему.

Включив функцию автоматического обновления, издатель может быть уверен в том, что у него самое последнее программное обеспечение. Наличие устаревшего плагина — одна из основных причин взлома.

Скриншот функции автообновления WordPress

Есть причины не включать функцию автообновления, но такие проблемы случаются редко. Например, обновленный плагин может быть несовместим с другими плагинами.

Но для сайтов, которые не часто меняются, вероятно, стоит включить функцию автообновления.

Остерегайтесь брошенных плагинов

Последнее предупреждение о брошенных плагинах. Некоторые плагины могут продолжать работать спустя годы после того, как их разработчик отказался от них. Может случиться так, что эти старые плагины могут содержать уязвимость. Но поскольку они заброшены, это никогда не будет исправлено.

Другая проблема заключается в том, что хакеры иногда покупают старые плагины и обновляют их вредоносными программами и вирусами.

Проверьте все свои плагины WordPress, чтобы убедиться, что они не заброшены и обновляются довольно часто.

Защитите свой сайт на WordPress от хакеров

Для многих сайтов достаточно просто предпринять эти небольшие шаги для защиты сайта, чтобы предотвратить взлом. Бесплатные версии этих плагинов обеспечивают исключительную защиту, а премиум-версии — еще больше.

Источник 

 
  • 1659