Главное о безопасности в WordPress
WordPress — популярнейшая платформа, поэтому и отношение у киберпреступников к ней особое. Ежедневно происходят тысячи попыток взлома сайтов на этой CMS с теми или иными целями. И нередко эти попытки заканчиваются успехом — во многом из-за того, что администраторы пренебрегают соблюдением мер безопасности.
Что именно взломщики делают с сайтами? По данным Wordfence и WP WhiteSecurity, в топ-3 самых популярных атак на WordPress-сайты входят межсайтовый скриптинг (XSS), SQL-инъекции и загрузка вредоносных файлов. И в каждом из этих случаев может быть нанесён непоправимый ущерб.
Доля самых популярных видов атак на WordPress-сайты в 2019 году, согласно исследованию Wordfence
Интересно, что 92% случаев взлома произошли в результате работы ботов. То есть атаки на WordPress-проекты сегодня проводятся в автоматическом режиме и носят массовый характер. А всё могло бы быть по-другому, если бы владельцы сайтов соблюдали самое главное правило...
Устанавливайте все обновления, пока не поздно
Едва ли не во всех материалах о безопасности в WordPress советуют следить за обновлениями и своевременно их устанавливать. И не зря: например, по информации WP WhiteSecurity, 73% WordPress-сайтов имеют уязвимости из-за неактуальной версии CMS. Поэтому устанавливайте все приходящие обновления WordPress, ведь они содержат патчи безопасности для защиты вашего сайта.
Регулярно обновлять также необходимо темы и плагины. Если, конечно, обновления для них выпускаются. От компонентов, которые не обновляются больше года или которые уже удалены из каталогов WordPress, лучше отказаться вовсе. Ведь со временем они будут становиться всё уязвимее перед вредоносными атаками. Также следует удалить все неиспользуемые плагины и темы.
По возможности выбирайте популярные плагины, которые имеют большое число активных установок и у которых прошло немного времени с момента последнего обновления. И избегайте установки тем и плагинов из непроверенных источников, пользуйтесь только официальными каталогами, этим и этим. Они также доступны и в панели администратора. И приобретайте платные темы только у надёжных продавцов. Не соблюдая все эти рекомендации, под видом полезной темы или плагина вы можете получить вредоносное ПО.
Соблюдайте общие меры кибербезопасности
У сайтов на WordPress есть своя специфика, но обезопасить их от вредоносных атак можно и с помощью тех рекомендаций, которые относятся ко всем сайтам в целом. Вот лишь некоторые из них:
-
Позаботьтесь о надёжности паролей. Они не должны легко угадываться.
-
Не забывайте о резервном копировании, оно может спасти вас в трудную минуту.
-
Получите SSL-сертификат, если вы ещё этого не сделали.
-
Не используйте анонимное соединение по FTP, а лучше воспользуйтесь SFTP.
-
Обеспечьте регулярное сканирование сайта антивирусным ПО. В случае с WordPress можно подключить специализированный плагин.
-
Проверяйте свой компьютер на наличие угроз и используйте файрвол.
-
Не заходите в панель администратора, присоединившись к открытой сети Wi-Fi. Иначе ваши данные могут быть перехвачены.
Всё это поможет вам значительно повысить безопасность вашего сайта. Но есть и другие способы защититься от вредоносных атак, которые будут полезны непосредственно пользователям WordPress. О них мы расскажем чуть позже, поэтому следите за Джино.Журналом!