В предыдущей части этой мини-серии мы рассмотрели некоторые советы и приемы, которые повышают уровень безопасности ваших WordPress проектов. В этой части мы представим одни из лучших WordPress плагинов по безопасности и поделимся несколькими жизненно важными советами.
Смотрите также:
Давайте приступим!
Усиление мер безопасности в WordPress с помощью плагинов
В этой статье мы расскажем о некоторых вещах, которые спасали наши сайты от хакерских нападений на протяжении многих лет. Очень надеемся, что эта информация окажется полезной и для вас.
Выбор плагина
Существует много разных действительно полезных советов и трюков, которые помогут повысить уровень безопасности вашего сайта, но иногда их будет недостаточно. Манипуляции с .htaccess и wp-config.php файлами, к сожалению, не смогут вас защитить от атак методом "грубой силы" (подборка пароля), вредоносных запросов и т.д. Для решения проблем такого типа вам понадобится плагин по безопасности.
Мы не сможем детально написать обо всех возможных вариантах, но постараемся лаконично описать самые популярные из них.
iThemes Security
Про iThemes Security (ранее Better WP Security) можно с уверенностью сказать, что это один из лучших бесплатных плагинов по безопасности во всей экосистеме WordPress (разработчики также предлагают Pro-версию, но честно говоря, у нас никогда не возникала необходимость в обновлении).
Плагин проверяет вашу установку WordPress , ищет слабые места и предлагает их исправление. Кроме того, там есть несколько дополнительных интересных функций: бан определенных пользовательских агентов, предотвращение атак "грубой силы", мониторинг файлов на наличие несанкционированных изменений и т.д. В декабре 2014 года мы делали детальный обзор этого плагина, в котором вы можете более подробно познакомиться с этим инструментом.
Wordfence Security
Wordfence Security — также один из самых популярных бесплатных плагинов с прекрасным рейтингом 4,9 из 5 (самый высокий рейтинг среди всех плагинов по безопасности в каталоге WordPress.org). Он предоставляет самые различные функции, начиная от мониторинга и блокирования, заканчивая сканированием и кэшированием (да-да, функция кэширования тоже есть). Pro-версия предлагает еще больше возможностей, которые помогут сделать ваш сайт просто невероятно защищенным.
All In One WP Security & Firewall
Это еще один замечательный плагин с рейтингом 4,9 из 5, но с меньшим количеством загрузок. В нем также представлен широкий спектр функций и настроек таких как безопасный вход и регистрация, защита файловой системы, firewall функциональность и т.д.
Sucuri Security
Sucuri — один из самых известных брендов в мире безопасности WordPress, во многом благодаря их первоклассным отчетам о недостатках безопасности в ядре WordPress и популярных плагинах. Они помогли многим разработчикам исправить свои программы и помогают многим пользователь увеличить уровень защищенности их сайтов с плагином Sucuri Security. Прежде, чем принимать какое-либо решение, обязательно ознакомьтесь с основными функциями плагина на их странице в WordPress.org. Также можете почитать наш обзор.
Поскольку это всего лишь часть нашего урока, мы постарались максимально лаконично описать самые популярные плагины. Если вы хотите узнать больше о каждом из них, обязательно переходите на их страницы и проводите свои собственные исследования, прежде чем принимать какое-либо решение.
Другие советы по безопасности в WordPress
Оптимизация файлов .htaccess и wp-config.php и использование плагинов — это отлично, но далеко не предел ваших возможностей. Нам всегда есть куда стремиться, особенно в плане безопасности. Мы надеемся, что следующие советы в конечном итоге помогут вам получить на 99,999% защищенный сайт.
Установка SSL на WordPress
Безопасное соединение HTTPS всячески помогает вам приблизиться к желаемому уровню безопасности на WordPress. Соединение будет зашифровано, поэтому в большинстве случаев подключение к каналам связи будет бесполезным. Для интернет-магазинов подобная вещь является необходимостью: вы же не хотите, чтобы платежная информация ваших клиентов передавалась по незащищенному соединению.
Для того, чтобы получить больше информации о SSL в WordPress, обратите внимание на наш урок Как использовать SSL и HTTPS на WordPress.
Двух-факторная аутентификация для учетной записи
Взламывать пароли становится все проще, поэтому рассчитывать только на них не приходится. К счастью, существуют более надежные методы, которые требуют от пользователя несколько видов аутентификации (используется не только в WordPress).
Это работает следующим образом: система запрашивает пароль, после чего высылает запрос на новый "одноразовый" пароль, который приходит через SMS, или присылает ссылку для перехода по электронной почте. Поэтому, даже если хакер сможет подобрать пароль, он все равно не сможет получить доступ к учетной записи.
Два самых популярных плагина для добавления двух-факторной аутентификации в WordPress — Google Authenticator и Clef Two-Factor Authentication. На сайте Envato Tuts+ есть отличный обзор плагина Google Authenticator, который может оказаться полезным для вас.
Выбор хорошего хостинга
К сожалению, если хакер взламывает WordPress сайт, который находится на незащищенном сервере, многие по-прежнему считают, что это вина самой платформы WordPress. Как бы то ни было, выбирая веб-хостинг, обращать внимание на его безопасность — всегда хорошая идея.
Мы не будем рекомендовать какие-либо компании, но можем подсказать, на что стоит обращать внимание: хорошая хостинговая компания держит серверное программное обеспечение в актуальном состоянии, отслеживает необычную активность с фаерволом и регулярно делает резервные копии вашего аккаунта, не требуя какую-либо дополнительную плату за это. Самостоятельно проведите исследования и определите, какой хостинг вам подходит лучше всего.
Развивайте в себе правильное мышление
Вы знаете, что FileZilla, один из самых популярных FTP клиентов в мире, хранит учетные данные сервера в незашифрованном файле XML? А знаете, что любой человек в вашей беспроводной сети может подключиться к вашим HTTP-соединениям? Или что большинство провайдеров VPN услуг должны передавать вашу информацию органам разведки, когда те нуждаются в какой-то информации о вас?
Немного паранойи нам не помешает. Поэтому, даже если вы установите лучшие плагины безопасности и оптимизируете файлы .htaccess и wp-config.php, но будете рассказывать о своем домашнем питомце и девичьей фамилии матери незнакомым людям, то, возможно, вся ваша кампания по увеличению безопасности сайта провалится с треском. Поэтому запомните раз и навсегда: здравый смысл — это лучший инструмент для обеспечения безопасности.
Заключение
Надеемся, вам понравились советы и приемы, которыми мы поделились с вами в этой мини-серии. Конечно, некоторые из них вы могли уже знать, но, скорее всего, вы согласитесь, что подобные обобщающие статьи бывают очень полезными. Поэтому те, кто уже пользуется подобными приемами, большие молодцы! А кто еще о них не знал — мы рады, что смогли вам помочь!
Возможно, у вас есть собственные приемы, которыми вы бы могли поделиться с остальными? Если да, обязательно оставляйте свои комментарии и не забывайте делиться полезной информацией с друзьями.
Комментарии к записи: 3
Недавно один из сайтов клиента был заражен, не понятно как и откуда, но не суть, вроде бы Wordfence Security отреагировал должны образом и даже помог почистить, НО! как оказалось он пропустил ровно столько же зараженных файлов, сколько он обнаружил. Помог только «AI-BOLIT»! Только он обнаружил все зараженные и подозрительные файлы и скрипты.
Спасибо за серию статей о безопасности WP!
Здравствуйте!
1. Спасибо за интересную статью на такую важную и актуальную тему обеспечения безопасности и защиты сайта, об аспектах которой многие начинают задумываться только после того, как столкнутся с негативными последствиями воздействия на него злоумышленников!
2. Но, как говорится в известной пословице «умный учится на ошибках других, а дурак — на своих», в связи с чем, будьте добры, подскажите, пожалуйста, как и чем именно обеспечить безопасность и защиту сайта на платформе WordPress на персональном домене и платном хостинге, предназначенном специально для таких сайтов, непосредственно при его создании?
3. А также возможно ли во время или после создания сайта предпринять необходимые превентивные меры обеспечения безопасности и защиты сайта на уровне кода, в связи с чем надо ли нанимать программиста для того, чтобы он постоянно следил за сайтом и обеспечивал его защиту и безопасность?
Для защиты личного сайта на shared хостинге достаточно мер по защите .htaccess и wp-config, описанных в первой части этого руководства, а также бесплатного плагина iThemes Security, упомянутого в этой статье выше.
За превентивные меры во время создания сайта как правило отвечает хостинг, ваша ответственность начинается с того момента, как WordPress установлен и вы вошли в его админку первый раз.
Нанимать программиста чтобы он регулярно следил за защитой сайта нет никакого смысла. Достаточно принять разовые меры, а потом обращаться в случае непредвиденных ситуаций по мере необходимости.