Міф про небезпеку WordPress? Як захистити свій сайт на WordPress?
1. Тримайте WordPress у актуальному стані
Наша головна та важлива рекомендація – підтримувати WordPress в актуальному стані! WordPress – дуже активна платформа і для неї регулярно з’являються оновлення. Оновлення включають безліч нових функцій і змін в бекенді. Крім того, виправляють багато помилок та експлойтів, виявлені командою WordPress. Просто погляньте на релізи та нотатки про патчі на wordpress.org. Ви відразу зрозумієте, скільки роботи проводиться на пошук та виправлення цих проблем! Питання не в тому, що сама система вразлива і її чинять. Сьогодні прогрес не стоїть на місці, технології розвиваються та вигадуються нові способи злому. Якщо на самописному сайті це тільки ваш головний біль, то для WordPress працює ціла спільнота програмістів!
Не встановивши навіть однієї чи двох версій, ви можете залишити свій сайт відкритим для хакерів. Вони ж аналізують оновлення, створюють експлойти та шукають застарілі сайти в Інтернеті. Чим довше сайт не оновлюється, тим більше можлива наявність уразливостей та проблем з безпекою. А це підвищує ймовірність того, що ваш сайт може бути зламаний.
Те ж правило застосовується до ваших плагінів та тем, переконайтеся, що всі вони оновлені! Що призводить нас до другого пункту у нашому списку!
2. Перегляньте ваші плагіни та теми!
WordPress чудовий. Оскільки плагіни можуть швидко та легко надавати нові функції (розробка яких з нуля коштує чималих грошей). Таким чином, фахівець швидко налаштує ваш сайт, а теми (темплейти) можуть надати вашому сайту дуже професійний стилістичний вигляд. Але завжди важлива якісна техпідтримка, а якщо проектом не займаються належним чином, це може призвести до проблем. Як бути?
По-перше, просто видаліть усі плагіни та теми, які вам не потрібні. Ви можете залишити їх вимкненими, але їх повне видалення є безпечнішим варіантом, оскільки файли не будуть перебувати на вашому сервері. Навіть якщо він вимкнений, він може бути досягнутий, якщо експлойт зможе отримати доступ до файлів.
Побічний ефект видалення плагінів є те, що це може також прискорити наш сайт!
Після видалення будь-яких плагінів і тих, які вам не потрібні, не забувайте оновлювати ті, що залишилися у вас. WordPress зазвичай може перевіряти наявність оновлень прямо на адміністративній панелі. Якщо ви купили плагін зі стороннього джерела, обов’язково повірте з ним на предмет будь-яких оновлень. Також рекомендуємо відвідати веб-сайт кожного плагіна та теми. Або навіть перевірити відгуки на інших сайтах, щоб переконатися, що розробка, як і раніше, активна на ньому і що немає відомих уразливостей.
3.Захистіть свої логіни!
Публічний доступ до вашого сайту в Інтернеті означає, що власники та потенційні клієнти можуть отримати доступ до вашого сайту, а також боти та хакери! За промовчанням WordPress дозволяє перейти на yourdomain.com/wp-login.php або yourdomain.com/wp-admin і відкрити сторінку входу. Якщо ви спробуєте та побачите сторінку входу, рекомендуємо використовувати плагін, щоб приховати цей вхід.
А якщо тисячі ботів намагаються увійти в систему та вгадати паролі, що їм завадить? Переконайтеся, що ви використовуєте надійні паролі, не використовуйте те саме ім’я користувача та паролі в декількох місцях, влаштуйте ревізію користувачів WordPress. Часто буває, щоб неактивні облікові записи все ще дійсні. Наприклад, якщо ви надали розробнику кілька років тому доступ, можливо, вам не потрібно, щоб цей користувач сидів без діла. Також перевірте FTP та доступи до вашого хостингу, адже це найкоротший шлях до втрати даних.
4.Встановіть захисні плагіни
Ми раніше радили зменшити кількість плагінів. Але це правило завжди має винятки як must have плагінів. Наприклад, щоб блокувати шкідливі скрипти, відстежувати підозрілу активність та сканувати файли сайту на наявність шкідливих програм. Ми рекомендуємо iThemes Security, оскільки він пропонує безліч різних функцій в одному плагіні. Але ви можете подивитися, що популярно і прочитати інші огляди. Наприклад, якщо у вас є сайт, на який користувачі можуть завантажувати дані, було б непогано сканувати ці файли в міру їхнього завантаження і блокувати або, принаймні, повідомляти про підозрілі.
Залежно від того, який рівень захисту вам необхідний, вам рекомендуватимуться платні опції, щоб підвищити можливість блокування нових експлойтів, а також розширення можливостей і нових визначень вірусів.
5.Переконайтеся, що у вас є хороші резервні копії
Наявність хороших резервних копій – це не зовсім активний крок до того, як захистити ваш сайт. Але Ви скажете їм спасибі, коли в реактивному режимі потрібно буде відновити сайт. Це хороша ідея для будь-якого бізнесу, який має важливі дані на сайті. Подумайте про всі замовлення, профілі, записи, журнали та іншу важливу інформацію. І уявіть, що це все зникло. Часто це буває не через зло, а через помилку співробітника. Якщо у вас немає резервних копій для відновлення, то, залежно від характеру вашого бізнесу, це може бути сотні робочих годин для команди, щоб відновити сайт, втрачений дохід, втрачені клієнти, і, безумовно, буде серйозним ударом для вашої репутації.
Якщо у вас були резервні копії, залежно від частоти створення резервних копій та від того, як швидко проблема була помічена та усунена, втрата даних може бути невеликою або незначною, клієнти можуть не помітити, і сайт може швидко відновитись.
Ми рекомендуємо зробити кілька резервних копій за певний період часу. Чим більше резервних копій, тим більше контроль над контентом сайту. Наявність лише однієї щоденної резервної копії може викликати проблеми, адже проблема може бути непомічена протягом кількох днів після її виникнення. Активні сайти можуть потребувати постійного резервного копіювання порівняно зі статичними сайтами, який, можливо, не змінювався протягом кількох місяців.
Зберігання резервних копій у різних місцях допоможе розподілити ризик втрати. Наприклад, якщо вибраний резервний жорсткий диск вийшов з ладу, ви можете зберегти резервні копії в іншому місці, яке не буде порушено. Думайте про це як про те, щоб не класти всі яйця в один кошик!
У результаті після виконання вищевказаних кроків ми отримуємо сайт, який повністю захищений від загроз автоматичного злому. Питання цілеспрямованого злому – вирішуються двофакторною авторизацією та нашою кваліфікованою техпідтримкою.
