В попередньої частини цієї міні-серії ми розглянули деякі поради та прийоми, які підвищують рівень безпеки ваших WordPress проектів. У цій частині ми представимо одні з найкращих WordPress плагінів з безпеки та поділимося кількома життєво важливими порадами.
Дивіться також:
Давайте приступимо!
Посилення заходів безпеки в WordPress за допомогою плагінів
У цій статті ми розповімо про деякі речі, які рятували наші сайти від нападів хакерів протягом багатьох років. Дуже сподіваємося, що ця інформація виявиться корисною і для вас.
Вибір плагіна
Існує багато різних дійсно корисних порад та трюків, які допоможуть підвищити рівень безпеки вашого сайту, але іноді їх буде недостатньо. Маніпуляції з..htaccess и WP-config.php файлами, на жаль, не зможуть вас захистити від атак методом "грубої сили" (підбір пароля), шкідливих запитів і т.д. Для вирішення проблем такого типу вам знадобиться плагін безпеки.
Ми не зможемо детально написати про всі можливі варіанти, але постараємося лаконічно описати найпопулярніші з них.
iThemes Security
Про iThemes Security (раніше Better WP Security) можна з упевненістю сказати, що це один із найкращих безкоштовних плагінів з безпеки у всій екосистемі WordPress (розробники також пропонують Pro-версію, але чесно кажучи, у нас ніколи не виникала потреба в оновленні).
Плагін перевіряє вашу установку WordPress, шукає слабкі місця та пропонує їх виправлення. Крім того, там є кілька додаткових цікавих функцій: бан певних користувальницьких агентів, запобігання атакам "грубої сили", моніторинг файлів на наявність несанкціонованих змін і т.д. У грудні 2014 року ми робили детальний огляд цього плагіна, в якому ви можете детальніше познайомитися з цим інструментом.
Wordfence безпеки
Wordfence Security — також один із найпопулярніших безкоштовних плагінів із чудовим рейтингом 4,9 із 5 (найвищий рейтинг серед усіх плагінів з безпеки в каталозі WordPress.org). Він надає різні функції, починаючи від моніторингу і блокування, закінчуючи скануванням і кешуванням (так-так, функція кешування теж є). Pro-версія пропонує ще більше можливостей, які допоможуть зробити ваш сайт просто неймовірно захищеним.
Все в одному WP Безпека та брандмауер
Це ще один чудовий плагін з рейтингом 4,9 із 5, але з меншою кількістю завантажень. У ньому також представлений широкий спектр функцій та налаштувань таких як безпечний вхід та реєстрація, захист файлової системи, firewall функціональність тощо.
Sucuri безпеки
Sucuri — один із найвідоміших брендів у світі безпеки WordPress, багато в чому завдяки їх першокласним звітам про недоліки безпеки в ядрі WordPress та популярних плагінах. Вони допомогли багатьом розробникам виправити свої програми та допомагають багатьом користувачам збільшити рівень захищеності їхніх сайтів з плагіном Sucuri Security. Перш ніж приймати будь-яке рішення, обов'язково ознайомтеся з основними функціями плагіна на сторінці WordPress.org. Також можете почитати наш огляд.
Оскільки це лише частина нашого уроку, ми постаралися максимально лаконічно описати найпопулярніші плагіни. Якщо ви хочете дізнатися більше про кожного з них, обов'язково переходьте на їхні сторінки та проводьте свої власні дослідження, перш ніж приймати будь-яке рішення.
Інші поради щодо безпеки в WordPress
Оптимізація файлів..htaccess и WP-config.php і використання плагінів - це чудово, але далеко не межа ваших можливостей. Нам завжди є куди прагнути, особливо щодо безпеки. Ми сподіваємося, що наступні поради допоможуть вам отримати на 99,999% захищений сайт.
Встановлення SSL на WordPress
Безпечне з'єднання HTTPS допомагає вам наблизитися до бажаного рівня безпеки на WordPress. З'єднання буде зашифровано, тому в більшості випадків підключення до каналів зв'язку буде марним. Для інтернет-магазинів подібна річ є необхідністю: ви ж не хочете, щоб платіжна інформація ваших клієнтів передавалася незахищеним з'єднанням.
Для того, щоб отримати більше інформації про SSL у WordPress, зверніть увагу на наш урок Як використовувати SSL та HTTPS на WordPress.
Двофакторна автентифікація для облікового запису
Зламувати паролі стає все простіше, тож розраховувати тільки на них не доводиться. На щастя, існують надійніші методи, які вимагають від користувача кілька видів аутентифікації (використовується не тільки WordPress).
Це працює таким чином: система запитує пароль, після чого надсилає запит на новий "одноразовий" пароль, який надходить через SMS, або надсилає посилання для переходу електронною поштою. Тому навіть якщо хакер зможе підібрати пароль, він все одно не зможе отримати доступ до облікового запису.
Два найпопулярніші плагіни для додавання двох-факторної аутентифікації в WordPress. Google Authenticator и Clef Two-Factor Authentication. На сайті Envato Tuts+ є чудовий огляд плагіна Google Authenticatorякий може виявитися корисним для вас.
Вибір хорошого хостингу
На жаль, якщо хакер зламує WordPress сайт, який знаходиться на незахищеному сервері, багато хто, як і раніше, вважає, що це вина самої платформи WordPress. Як би там не було, вибираючи веб-хостинг, звертати увагу на його безпеку завжди гарна ідея.
Ми не рекомендуватимемо будь-які компанії, але можемо підказати, на що варто звертати увагу: хороша хостингова компанія тримає серверне програмне забезпечення в актуальному стані, відстежує незвичайну активність з фаєрволом і регулярно робить резервні копії вашого облікового запису, не вимагаючи якоїсь додаткової плати за це. Самостійно проведіть дослідження та визначте, який хостинг вам найкраще підходить.
Розвивайте у собі правильне мислення
Ви знаєте, що FileZilla, один із найпопулярніших FTP клієнтів у світі, зберігає облікові дані сервера у незашифрованому файлі XML? А знаєте, що будь-яка людина у вашій бездротовій мережі може підключитися до HTTP-з'єднань? Або що більшість провайдерів VPN послуг повинні передавати вашу інформацію органам розвідки, коли ті потребують якоїсь інформації про вас?
Трохи параної нам не завадить. Тому, навіть якщо ви встановите кращі плагіни безпеки та оптимізуєте файли. Тому запам'ятайте раз і назавжди: здоровий глузд — це найкращий інструмент для забезпечення безпеки.
Висновок
Сподіваємося, вам сподобалися поради та прийоми, якими ми поділилися з вами у цій міні-серії. Звичайно, деякі з них ви вже могли знати, але, швидше за все, ви погодитеся, що подібні узагальнюючі статті бувають дуже корисними. Тому ті, хто користується подібними прийомами, великі молодці! А хто ще про них не знав, ми раді, що змогли вам допомогти!
Можливо, у вас є власні прийоми, якими ви могли б поділитися з іншими? Якщо так, обов'язково залишайте свої коментарі та не забувайте ділитися корисною інформацією із друзями.
Коментарі до запису: 3
Нещодавно один із сайтів клієнта був заражений, не зрозуміло як і звідки, але не суть, начебто Wordfence Security відреагував належним чином і навіть допоміг почистити, АЛЕ! як виявилося, він пропустив рівно стільки ж заражених файлів, скільки він виявив. Допоміг лише «AI-BOLIT»! Тільки він виявив усі заражені та підозрілі файли та скрипти.
Дякую за серію статей про безпеку WP!
Доброго дня!
1. Дякую за цікаву статтю на таку важливу та актуальну тему забезпечення безпеки та захисту сайту, про аспекти якої багато хто починає задумуватись тільки після того, як зіткнуться з негативними наслідками впливу на нього зловмисників!
2. Але, як говориться у відомому прислів'ї «розумний вчиться на помилках інших, а дурень — на своїх», у зв'язку з чим, будьте ласкаві, підкажіть, будь ласка, як і чим саме забезпечити безпеку та захист сайту на платформі WordPress на персональному домені та платному хостингу, призначеному спеціально для таких сайтів, безпосередньо при його створенні?
3. А також чи можливо під час або після створення сайту вжити необхідних превентивних заходів забезпечення безпеки та захисту сайту на рівні коду, у зв'язку з чим чи потрібно наймати програміста для того, щоб він постійно стежив за сайтом та забезпечував його захист та безпеку?
Для захисту особистого сайту на shared хостингу достатньо заходів для захисту .htaccess і wp-config, описаних у першій частині цього посібника, а також безкоштовного плагіна iThemes Security, згаданого в цій статті вище.
За превентивні заходи під час створення сайту зазвичай відповідає хостинг, ваша відповідальність починається з того моменту, як WordPress встановлений і ви увійшли в його адмінку перший раз.
Наймати програміста, щоб він регулярно стежив за захистом сайту, немає жодного сенсу. Достатньо вжити разових заходів, а потім звертатися у разі непередбачених ситуацій у міру необхідності.