Веб-безопасность должна быть постоянной и постоянной заботой всех веб-сайтов. Независимо от предпринятых вами мер предосторожности всегда есть возможности для улучшения. Это потому, что не существует надежной защиты. Кроме того, хакеры бродят круглосуточно и без выходных, поэтому вам нужно постоянно быть начеку. Хостинг, слабые пароли, старые версии WordPress или хитрые темы / плагины – возможные точки входа для ботов на ваш сайт.
Один из способов усложнить задачу хакерам – усилить защиту вашего администратора WordPress или страницы входа. Это шлюз на ваш веб-сайт, и вы можете остановить большинство махинаций прямо у двери, усилив безопасность на этой странице.
Некоторые способы защиты вашей страницы администратора,
Изменение имени пользователя
Имя пользователя по умолчанию в WordPress – «Admin», и боты это знают. Теперь, если они могут угадать ваш пароль, вы буквально вручите им приглашение войти. Так что измените свое имя пользователя на что-нибудь уникальное и не поддающееся расшифровке. Например, для New York Soccer Club «NY Soccer» не является подходящим именем пользователя.
Вы можете изменить имя пользователя, выполнив следующие простые шаги:
- Войдите в WordPress с существующей учетной записью администратора.
- Добавьте нового пользователя, нажав Пользователи> Добавить.
- Выберите роль «Администратор» для этого нового пользователя. Выберите здесь уникальное имя пользователя, поскольку этот недавно добавленный пользователь станет новым пользователем-администратором.
- Выйдите из старой учетной записи «Admin».
- Пожалуйста, войдите снова с новым уникальным именем пользователя, которое вы создали.
- Удалите исходного пользователя «Admin». Вам нужно будет переназначить все ваши старые сообщения от старого пользователя «Администратор» новому пользователю.
Вы также можете изменить имя пользователя, войдя в phpMyAdmin. Об этом читайте на SiteGround.
Надежный пароль
Смена имени пользователя – это только половина пути. Укрепите свой пароль, чтобы роботы не могли его угадать. Можно правильно угадать дни рождения, имя питомца, любимого спортсмена. Атаки методом перебора – это частые и повторяющиеся попытки угадать пароль методом проб и ошибок. И они обязательно добьются успеха, если пароль слабый. Поэтому важны надежные пароли.
В идеале надежный пароль должен использовать комбинацию цифр и букв, как в верхнем, так и в нижнем регистре. Добавьте один или два символа вроде “!” Или “@”. WordPress предлагает возможность создать надежный пароль, и вы тоже можете его использовать. Или воспользуйтесь помощью генератора паролей. Проверьте надежность вашего пароля в разделе Насколько надежен мой пароль. И регулярно меняйте пароль.
Проблемы с запоминанием пароля? Взгляните на менеджеры паролей, такие как LastPass, DashLane, KeePass, 1Password и RoboForm. Менеджер паролей хранит все ваши пароли в зашифрованном виде, и вы можете получить к ним доступ с любого устройства.
Если я не выступал за надежный пароль, этот отчет SplashData, в котором перечислены худшие пароли 2015 года, мог бы вас убедить.
Ограничить доступ пользователей
Если вы единственный, кто имеет доступ к администратору, это не для вас. Но если вы разрешаете нескольким пользователям доступ к бэкэнду, вы должны строго контролировать их привилегии. Разрешить доступ и привилегии только областям и в той степени, в которой они должны выполнять свои задачи.
Мало того, пользователи вашего сайта также должны использовать надежные пароли. Чтобы гарантировать это, вы можете установить плагин Force Strong Passwords. Этот плагин позволяет пользователям получить доступ к сайту, только если они установили для себя надежный пароль. Или вы можете обратиться к решению безопасности входа в систему, которое также проверяет и обеспечивает безопасность паролей, не беспокоя настоящих пользователей.
Ограничить попытки входа
Боты получают доступ к вашему сайту, пробуя различные комбинации имени пользователя и пароля. Может потребоваться много попыток, прежде чем они смогут попасть внутрь. Ограничивая количество попыток, которые могут быть сделаны с одного IP-адреса, мы можем значительно снизить шансы на получение доступа ботами.
Существуют специализированные плагины, которые могут выполнить эту задачу:
-
Ограничение попыток входа: ограничение количества попыток входа для каждого IP-адреса. Это часто используемый плагин, хотя он давно не обновлялся.
-
Защита входа в систему методом грубой силы – Защитите свой сайт от атак методом грубой силы с использованием .htaccess.
-
Jetpack Protect – для защиты сайтов WordPress от атак бот-сетей.
Также стоит отметить, что некоторые веб-хосты предлагают эту встроенную функцию. WP Engine, например, добавил это к своей платформе хостинга в начале 2015 года, чтобы сделать веб-сайты, которые они размещают, более безопасными (в дополнение к бесплатному SSL, двухфакторной аутентификации, автоматическому резервному копированию, нескольким брандмауэрам, сканированию безопасности, вредоносное ПО и многое другое).
Измените URL-адрес для входа
URL-адрес для входа на все веб-сайты WordPress по умолчанию является основным URL-адресом вашего сайта, за которым следует wp-login.php или wp-admin. – например, mywebsite.com/wp-login.php. Хакеры это знают, и если вы сможете изменить этот URL, им будет сложнее войти на ваш сайт.
Вы можете установить Protect WP-Admin, чтобы изменить URL-адрес вашей панели администратора и заблокировать ссылки по умолчанию. Вы можете изменить его на все, что захотите, например mywebsite.com/allow_admin_access. Когда запрос mywebsite.com/wp-login.php или mywebsite.com/wp-admin достигает сайта, он будет перенаправлен на домашнюю страницу. И только пользовательский URL будет разрешен в админку.
Совершенно надежный способ защитить вашу страницу администратора – полностью заблокировать доступ к вашим страницам wp-admin и wp-login.php. Но это можно использовать только в том случае, если вы используете IP-адрес, который не меняется. Или вы рискуете попасть на свой веб-сайт. Если вы можете отслеживать несколько IP-адресов, вы все равно можете выбрать этот вариант.
Вы также можете ограничить доступ к вашему файлу wp-login.php, используя базовую аутентификацию HTTP. Это внешний уровень безопасности, который пользователь должен преодолеть, чтобы попасть на страницу входа. Вам нужно будет создать файл .htpasswd, чтобы перечислить все авторизованные имена пользователей и их соответствующие зашифрованные пароли. Атака методом перебора также может быть запущена против базовой аутентификации HTTP, но хакерам потребуется вдвое больше усилий, чтобы сломать оба уровня.
Добавьте SSL на свой сайт
SSL – стандартная технология безопасности. HTTP – это протокол передачи гипертекста для передачи данных между сервером и браузером. Безопасная версия HTTP – HTTPS, буква S означает Secure. Вместе они проверяют идентичность веб-сайта для пользователя и гарантируют пользователю конфиденциальность между веб-сайтом и браузером пользователя.
После настройки SSL / HTTPS сервер шифрует данные, и только браузер пользователя может их расшифровать. Для любых нежелательных третьих лиц данные будут бессмысленными и будут отображаться только в виде строки символов. В качестве бонуса вы обнаружите, что Google отдает предпочтение HTTPS при ранжировании веб-сайтов.
Получение сертификата SSL больше не может быть необязательным, особенно если вы используете браузер Chrome. Это связано с тем, что Google отмечает все сайты, не использующие HTTPS, как «небезопасные».
В настоящее время все сайты, не использующие HTTPS, просто нейтральны в отношении индикации статуса SSL, но это изменится в январе 2017 года. Все веб-сайты, которым требуются пароли или собирают информацию о кредитных картах, должны стать безопасными или рискуют быть отмеченными Google как небезопасные.
Есть много компаний, таких как Comodo, DigiCert и SSL.com, которые предлагают услуги по сертификации. Сертификаты можно недорого приобрести в SSLMate и бесплатно в Lets Encrypt. Некоторые поставщики услуг хостинга предлагают бесплатный SSL в своих тарифных планах. Вы можете узнать больше об установке SSL в нашем бесплатном руководстве по HTTPS и SSL.
Двухфакторная аутентификация
Двухфакторная аутентификация – один из самых безопасных способов защитить ваш сайт от хакеров. Он работает в дополнение к стандартному имени пользователя и паролю, которые у вас уже есть. После ввода этих учетных данных на имеющемся у вас устройстве, часто на смартфоне, создается код. Только после ввода этого кода вы получаете доступ к сайту.
Многие бесплатные и платные плагины доступны для установки на их веб-сайтах. Этот метод безопасности существует уже довольно давно, но теперь все чаще применяется для доступа к веб-сайтам. Вы можете узнать больше о двухфакторной аутентификации в нашем предыдущем посте.
Надстройки безопасности
Многие веб-сайты устанавливают плагины, которые всесторонне заботятся о безопасности WordPress. Они включают в себя защиту брандмауэром, сканирование вредоносных программ, черные и белые списки IP-адресов, мониторинг активности пользователей, контрольный журнал и, в целом, усиление общей безопасности. Доступны как бесплатные, так и премиальные варианты.
Некоторые плагины, которые включают защиту входа в систему,
-
Wordfence: используйте надежные пароли и избегайте атак грубой силы.
-
iThemes – борьба с автоматическими атаками и ограничение количества попыток входа в систему. Он также реализует более строгие учетные данные пользователя.
-
Универсальный брандмауэр и безопасность: предотвращает атаки методом грубой силы и включает блокировку на уровне IP, блокируя пользователя через определенный период времени. Другие функции защиты входа в систему включают блокировку входа и IP-адреса в белом и черном списках.
-
Bulletproof Security – грубая сила и защита входа в систему.
-
McAfee Secure – предлагает несколько уровней защиты, включая брендирование надежных сайтов, сканирование вредоносных программ и защиту личных данных для магазинов электронной коммерции (отличный актив).
Последние мысли
Методы, перечисленные в этом посте, в основном простые, но очень эффективные способы, с помощью которых вы можете предотвратить проникновение ботов, вредоносных программ и шутников на ваш сайт. Вы также можете добавить капчи или другие небольшие тесты, чтобы проверить, совершена ли попытка входа в систему человеком, и избежать ботов. Если вам нужны дополнительные советы по безопасности WordPress, прочтите, что говорит Фредди в этом посте.
