10 порад щодо поліпшення базової безпеки сайту на WordPress
- Встановіть унікальний і надійний логін і пароль
- Активуйте двофакторну аутентифікацію
- Переконайтеся в людській ідентифікації користувача
- Захистіть файл wp-login.php паролем
- Постійно оновлюйте WordPress
- Обачно вибирайте теми та плагіни
- Розробляйте теми і плагіни з обережністю
- Використовуйте керований хостинг
- Переконайтеся, що права доступу до файлів і папок правильні
- Проводьте посилення безпеки на стороні сервера
Після того, як ви купили хостинг, зареєстрували домен і створили сайт, настав час задуматися про його захист, адже від кібератак не застрахований ніхто. Безпека сайту, створеного на Wordpress, стає дедалі актуальнішою з огляду на популярність цієї CMS і розвиток кібератак. Ми поділимося з вами десятьма порадами, які допоможуть її поліпшити.
Встановіть унікальний і надійний логін і пароль
Без належного захисту ваш акаунт стає легкою здобиччю для хакерів, а логін і пароль – це перший і найважливіший крок до запобігання такого сценарію. Тому дотримуйтеся простих правил:
- Виберіть унікальне ім’я користувача, яке складно вгадати. Уникайте загальних імен, таких як “admin” або ваше власне ім’я. Використовуйте комбінацію букв у різному регістрі, цифр і спеціальних символів.
- Виберіть складний та унікальний пароль. Комбінація повинна складатися з 8, а краще – 10 і більше символів, і містити в собі літери у верхньому і нижньому регістрі, числа і спеціальні символи. Такий пароль буде складно зламати.
Використання унікального і надійного логіна та пароля – простий, але ефективний спосіб захисту. Важливо регулярно оновлювати облікові дані та не використовувати один і той самий пароль на різних сайтах.
Активуйте двофакторну аутентифікацію
Двофакторна (двофазна) автентифікація – це метод безпеки, який вимагає від користувачів підтвердити свою особистість двома різними способами, перш ніж вони зможуть отримати доступ до свого облікового запису. Простими словами, двофакторна автентифікація включає в себе те, що ви знаєте (наприклад, пароль) і те, що у вас є (наприклад, ваш телефон).
Активувати її ви можете в такий спосіб:
- Увійдіть у свій акаунт.
- Перейдіть у розділ налаштувань безпеки.
- Знайдіть опцію “Двофакторна аутентифікація” або “2FA”.
- Дотримуйтесь інструкцій на екрані. Зазвичай це включає в себе скачування додатка для аутентифікації на ваш телефон і сканування QR-коду.
- Після налаштування ви вводитимете код із застосунку щоразу, коли входите у свій акаунт.
Активація двофакторної автентифікації підвищує рівень безпеки акаунта, роблячи його важчим для злому.
Переконайтеся в людській ідентифікації користувача
Ідентифікація користувача як людини, а не бота, – важливий захід безпеки, особливо під час реєстрації нових користувачів або надсилання запитів через форми на вашому сайті. Використання системи CAPTCHA допоможе в цьому.
У WordPress є безліч плагінів, які можна використовувати для додавання CAPTCHA на ваш сайт. Наприклад, Google’s reCAPTCHA, Really Simple CAPTCHA і WPBruiser.
Встановлення та активація CAPTCHA зазвичай досить проста:
- Увійдіть у свій акаунт Вордпрес.
- Перейдіть у розділ “Плагіни”.
- Натисніть “Додати новий” і знайдіть бажаний плагін CAPTCHA (можете використати ті, що згадані вище).
- Встановіть і активуйте плагін.
- Дотримуйтесь інструкцій налаштування плагіна.
CAPTCHA – це лише один із багатьох кроків для поліпшення безпеки вашого сайту WordPress. Щоб максимально убезпечити проєкт, необхідно використовувати цілий комплекс заходів, до якого можна включити всі рекомендації з цієї статті.
Захистіть файл wp-login.php паролем
Захист файлу wp-login.php паролем – це ще один спосіб посилити безпеку вашого сайту на WordPress. Це можна зробити за допомогою основних HTTP-авторизацій у файлі .htaccess. Для цих цілей вам слід створити прихований файл під назвою .htpasswd всередині директорії з налаштуваннями /etc/apache2. Файл із паролями можна створити утилітою htpasswd.exe. У цьому файлі зберігатимуться імена користувачів і паролі. Якщо на сервері встановлено Apache, утиліта міститься в директорії Apache в підкаталозі bin. Для роботи з htpasswd.exe використовується інтерфейс роботи з командним рядком.
Також можна використовувати онлайн-генератори .htpasswd для створення вмісту файлу.
- Створіть файл .htpasswd. У цьому файлі зберігатимуться імена користувачів і паролі.
- Завантажте файл .htpasswd у каталог, вищий за кореневу директорію сайту – відвідувачі не мають до неї доступу.
- Додайте наступний код до файлу .htaccess, який міститься в кореневому каталозі вашого сайту WordPress:
AuthType Basic
AuthName “Приватний доступ”
AuthUserFile /path to/.htpasswd
Вимога valid-user
“AuthName” в цьому коді позначає назву аутентифікації, а “/path to/” – шлях до файлу .htpasswd.
Тепер щоразу, коли хтось спробує отримати доступ до файлу wp-login.php, браузер зажадає ввести ім’я користувача і пароль.
Постійно оновлюйте WordPress
Не всі користувачі регулярно оновлюють WordPress, а даремно. Адже це важливий крок для забезпечення безпеки сайту. Оновлення часто містять виправлення вразливостей, які можуть бути використані хакерами для атаки на сайт. Оновити Вордпрес досить просто:
- Створіть резервну копію сайту. Це дасть можливість швидко відновити його, якщо щось піде не так під час оновлення.
- Перевірте оновлення. Увійдіть в адмінку WordPress і перейдіть у розділ “Оновлення”. Тут ви побачите, чи є доступні оновлення для WordPress, тем або плагінів.
- Оновіть WordPress. Якщо оновлення доступне, натисніть кнопку “Оновити зараз”. Цей процес зазвичай займає всього кілька хвилин.
- Оновіть теми та плагіни. Після оновлення WordPress перевірте, чи є оновлення для ваших тем або плагінів. Це можна зробити в тому ж розділі “Оновлення”.
Після оновлення перевірте основні функції сайту і переконайтеся, що немає жодних проблем і все працює коректно.
Обачно вибирайте теми та плагіни
Під час вибору тем і плагінів для WordPress важливо бути обачним, оскільки вони можуть становити потенційні загрози для безпеки. Тому важливо дотримуватися наведених нижче порад:
- Завантажуйте теми і плагіни тільки з надійних джерел, таких як офіційний каталог WordPress. Уникайте “безкоштовних” версій платних тем і плагінів, які пропонуються на недобросовісних сайтах – вони можуть містити шкідливий код.
- Перш ніж встановити тему або плагін, перевірте відгуки та рейтинги. Якщо у них є багато негативних відгуків або низький рейтинг, це може бути червоним прапором.
- Перевірте, коли тема або плагін востаннє оновлювалися. Якщо це було давно, це може вказувати на те, що їх більше не підтримують і вони можуть містити вразливості.
Також бажано мінімізувати кількість використовуваних плагінів. Що більше плагінів ви використовуєте, то більше у вас “точок входу” для потенційних хакерів. Тому використовуйте тільки ті, які дійсно необхідні для вашого сайту. До того ж, перевантажений плагінами сайт працює повільніше.
Розробляйте теми і плагіни з обережністю
Під час розробки тем і плагінів для WordPress важливо дотримуватися найкращих практик, щоб забезпечити безпеку і продуктивність сайту. Якщо ви самостійно створюєте теми або плагіни, дотримуйтеся кількох правил:
- Дотримуйтесь стандартів кодування WordPress. WordPress надає офіційні стандарти кодування, які допомагають забезпечити сумісність і безпеку коду. Дотримання цих стандартів допоможе уникнути поширених помилок і вразливостей.
- Використовуйте перевірені функції безпеки. WordPress пропонує низку вбудованих функцій для забезпечення безпеки, як-от утиліти для очищення даних і перевірки призначених для користувача привілеїв. Використання цих функцій допоможе захистити сайт.
- Тестуйте код. Перед публікацією нової теми або плагіна переконайтеся, що ви ретельно протестували їх на різних конфігураціях WordPress.
- Оновлюйте теми та плагіни. Після публікації теми або плагіна важливо продовжувати випускати оновлення для виправлення помилок, які можуть бути виявлені в майбутньому. Найкращі теми та плагіни розробники продовжують розвивати роками.
Ну і, звісно, не забувайте золоте правило – перед внесенням будь-яких змін у теми або плагіни завжди створюйте резервні копії сайту. Це забезпечить безпеку ваших даних, якщо щось піде не так.
Використовуйте керований хостинг
Керований хостинг WordPress чудово підійде тим, хто хоче зосередитися на зростанні свого бізнесу, а не на технічному управлінні сайтом. Ось кілька основних переваг, завдяки яким варто розглянути використання керованого хостингу:
- Безпека. Керовані хостинги пропонують посилені заходи безпеки, включно з автоматичними оновленнями, резервним копіюванням і захистом від DDoS-атак. Це допоможе убезпечити ваш сайт від кібератак.
- Продуктивність. Керовані хостинги, як правило, оптимізовані для роботи з WordPress, що може підвищити швидкість завантаження сторінок і загальну продуктивність вашого сайту.
- Підтримка. Більшість керованих хостингів пропонують підтримку WordPress 24/7. Це означає, що ви завжди можете звернутися до служби підтримки й отримати допомогу, коли вам це потрібно.
- Зручність. З керованим хостингом вам не потрібно турбуватися про технічне обслуговування сайту. Усі серверні оновлення, резервне копіювання та інші завдання виконуються без вашої безпосередньої участі. Ви можете зосередитися на розвитку проєкту.
Під час вибору керованого хостингу важливо врахувати кілька чинників, включно з вартістю, функціями безпеки, якістю підтримки та відгуками інших користувачів.
Переконайтеся, що права доступу до файлів і папок правильні
Правильне налаштування прав доступу до файлів і папок на сервері WordPress – це найважливіша частина забезпечення безпеки вашого сайту. Неправильно встановлені права доступу можуть дати хакерам можливість змінювати вміст сайту або навіть отримати повний контроль над ним. Тому розглянемо рекомендовані права доступу для WordPress:
- Усі файли мають бути встановлені на 644 або 640. Це означає, що власник файлу може читати і редагувати його, а всі інші користувачі – тільки читати.
- Усі папки та директорії мають бути встановлені на 755 або 750. Це означає, що власник може читати, редагувати і переглядати вміст папки, а всі інші користувачі – тільки переглядати вміст.
- Файл wp-config.php має бути встановлений на 400 або 440. Цей код доступу передбачає те, що тільки власник може переглядати і редагувати цей файл.
Для перевірки та зміни прав доступу до файлів і папок ви можете використовувати FTP-клієнт, наприклад FileZilla. Пам’ятайте, що зміна цих налаштувань може вплинути на працездатність вашого сайту, тому завжди робіть резервну копію перед внесенням будь-яких змін.
Проводьте посилення безпеки на стороні сервера
Підвищення рівня захисту на стороні сервера – ще один ключовий аспект у забезпеченні безпеки. Нижче наведено кілька стратегій, які допоможуть вам убезпечити ваш сервер:
- Регулярно оновлюйте операційну систему та програмне забезпечення сервера. Оновлення часто містять виправлення вразливостей, які можуть використовуватися хакерами.
- Налаштуйте фаєрвол. Він допоможе захистити сервер від небажаного трафіку й атак. Увімкніть його і переконайтеся, що він правильно налаштований.
- Використовуйте SSL. Він шифрує дані, що передаються між вашим сервером і браузерами відвідувачів. Переконайтеся, що у вас встановлено чинний SSL-сертифікат від перевіреного видавця.
- Обмежте доступ до сервера. Використовуйте складні паролі та двофакторну аутентифікацію для посилення безпеки.
- Проводьте моніторинг і аудит. Регулярно перевіряйте логи сервера на предмет підозрілої активності. Це допоможе вам швидко виявити потенційні загрози та відреагувати на них.
І куди ж без резервного копіювання? Важливо регулярно створювати резервні копії всього вмісту вашого сервера. У разі атаки або збою ви зможете швидко відновити свій сайт. Резервні копії – це як збереження в іграх, тільки на кону стоїть не доля вашого віртуального персонажа, а цілком реальний сайт, що містить цінну інформацію і приносить вам прибуток.
Забезпечити безпеку сайту – процес досить складний і багатоступеневий, але водночас необхідний. Сподіваємося, що з цієї статті ви краще дізналися, як захистити сайт на Wordpress. Використовуючи вищеописані поради та комбінуючи їх, ви можете захиститися від хакерських атак та інших загроз.