Як НЕ захистити свій веб-сайт WordPress

Як НЕ захистити свій сайт WordPress

Що перше, що ви зробите, коли хочете захистити свій сайт WordPress? Дізнайтеся про п’ять найкращих плагінів безпеки, подумайте, наскільки вони доступні, а потім продовжте і встановіть один. Що зроблено, тепер ви можете сісти і відпочити, правда? Неправильно!


Використання плагіна безпеки не забезпечує безпеку. Безпека – це не абсолютна річ, і ніхто не може гарантувати повну безпеку. Найкраще, що ми можемо зробити, це зменшити ризик зламу. І всупереч поширеній думці, власник сайту повинен бути залучений до збереження веб-сайту. Знання того, що ви повинні робити, а що не слід, є важливим.

Хоча існує кілька посібників щодо того, що вам слід зробити, щоб захистити ваш сайт WordPress, ми пропонуємо вам посібник щодо того, що вам слід робити ЗАМЕШЕННЯ замість цього. Ви зауважите, що поради тут суперечать загальній вірі. Але, з нашого досвіду, багато порад там застаріли і пропонують помилкове почуття безпеки.

Якщо питання безпеки WordPress набридає вам настільки ж, як і нам, погляньте на наступне.

1. Не використовуйте занадто багато плагінів безпеки

Враховуючи широкий спектр плагінів, доступних там, з різними наборами функцій, спокушати використовувати більше ніж один плагін безпеки WordPress. Якщо чесно, це надмірність. Занепокоєння безпекою вашого веб-сайту є нормальним, але ви повинні запитати себе, чи дійсно вам потрібно більше ніж один плагін безпеки? Які функції мають важливе значення для вашого сайту? Чи будуть функції наступати на пальці ніг один одного?

Наприклад, конфлікт може виникнути, коли плагіни починають змінювати файли, такі як wp-config.php або htaccess. Плагіни можуть легко зіткнутися з цими файлами, але вони не змінюють їх одностайно. Це може створити конфлікти і зробити ваш веб-сайт повільним.

З сайтами WordPress все час від часу може піти не так. Усі ненавидять жахливий Білий екран смерті. Наявність декількох плагінів, які глибоко впливають на ваш веб-сайт, може ускладнити проблеми налагодження. Тепер, якби був лише один плагін, знайти та виправити причину помилки було б простіше та менш складно.

2. Не змінюйте префікс БД

Існує декілька способів, яким можна порушити сайт WordPress. Хакер може отримати доступ до бази даних сайту через атаку ін’єкцій SQL. Уразливість у плагіні або темі може бути використана для проникнення в базу даних сайту (саме тому ми пропонуємо вам замість цього використовувати Плагін резервного копіювання бази даних WordPress щоб уникнути подібних падінь). Один популярний метод запобігання хакерам заглиблюватися на ваш сайт – це зміна префікса таблиці за замовчуванням. Як ви бачите на зображенні нижче в WordPress, префікс таблиці за замовчуванням – “wp_”. WordPress дозволяє змінювати префікс таблиці (сказати, “xzy_”), щоб приховати певні таблиці.

Префікси бази даних WordPress

На поверхні це виглядає як гарна ідея. Якщо хакери не знають назви таблиці, вони не можуть отримати дані з неї. Це, однак, помилкові міркування. Після того, як хтось заходить у вашу базу даних, все ще є способи дізнатися таблиці. Тому зміна імен префікса не приносить користі. Крім того, зміна префікса за замовчуванням може призвести до неправильного поводження декількох плагінів.

Крім того, зміна середнього польоту префікса бази даних важко здійснити і може призвести до збою вашого веб-сайту. Це тому, що є багато змін, які потрібно внести на кожному рівні. Будь-яка помилка в процесі виявиться катастрофічною для вашого сайту.

3. Уникайте приховування вашої сторінки для входу

Завжди хтось намагається прорватися на ваш сайт, зламавши ваш пароль. Під час нападів грубої сили хакери намагаються увійти на ваш веб-сайт за допомогою комбінації популярних імен користувачів та паролів. То що робити, якщо ми заховаємо сторінку входу? Це вб’є двох птахів одним каменем, правда? Хакер не зможе знайти сторінку входу, і завантаження вашого сервера буде зменшено.

У WordPress є сторінка для входу за замовчуванням. URL-адреса сторінки зазвичай виглядає так: example.com/wp-login.php. Один із відомих способів врятувати ваш веб-сайт від грубої атаки – це приховати або змінити сторінку входу за замовчуванням на щось інше, наприклад example.com/mylogin.php. Хоча це звучить як нерозумний план, давайте з’ясуємо, наскільки ефективним є цей метод для захисту вашого сайту WordPress.

Зменшення завантаження сервера

Після того, як ви приховати або змінити розташування своєї сторінки входу, кожен раз, коли хтось намагається її відкрити, вони стикаються з помилкою 404 Однак спроби входу є важким процесом. Щоразу, коли завантажується сторінка помилки 404, вона з’їдає багато ваших ресурсів сервера. І закінчується сповільненням вашого веб-сайту. Отже, поширена думка, що приховування вашої сторінки входу призведе до зменшення навантаження на сервер, є неправильним.

Альтернативна URL-адреса не важко здогадатися

Частина успіху WordPress як CMS пояснюється плагінами, які спрощують зміни веб-сайту. Не дивно, що популярним способом приховування сторінки входу на сайт є використання плагіна. Ці плагіни мають набір альтернативних URL-адрес для входу за замовчуванням, таких як xzy.com/wplogin.php тощо. Нас навчили просто працювати з налаштуваннями за замовчуванням. Щойно ми встановимо плагін і змінимо нашу URL-адресу, ми не будемо над цим багато думати. Але є лише стільки URL-адрес, які плагін може запропонувати. Дізнатися ці налаштовані URL-адреси для входу не так вже й складно. Тому використання альтернативної URL-адреси в більшості випадків може бути неефективним.

Питання юзабіліті

Краса WordPress полягає в тому, що ним легко користуватися. Це знайома платформа. Для сайту з безліччю користувачів зміна або приховування сторінки для входу може викликати певні проблеми. Кілька разів ми стикалися з повідомленнями на форумах WordPress, де користувачі закриваються із сайту через зміну URL-адреси входу. У більшості випадків зміни вносилися за допомогою плагіна, і користувачі не усвідомлювали ситуацію, що спричиняє хаос.

4. Не блокуйте адреси IP вручну

Якщо на вашому веб-сайті встановлений плагін безпеки, ви отримуватимете повідомлення, коли хтось спробує увійти на ваш веб-сайт. Ви можете легко отримати IP-адресу, що надсилає ці шкідливі запити та заблокуйте їх, використовуючи файл .htaccess. Це вручну інтенсивна робота і не дуже зручна практика.

Не зручний для користувачів

Нетехнічна особа, яка намагається змінити файли .htaccess, – це рецепт катастрофи. Така система управління вмістом, як WordPress, має дуже суворе форматування. Навіть використовувати найпопулярніші інструменти, такі як FTP / SFTP, дуже ризиковано. Незначна помилка або неправильне розміщення команди можуть призвести до збою сайту.

Забагато IP-адрес для блокування

Щоб уникнути потрапляння у чорний список, хакери використовують IP-адреси з усього світу. Раніше ми обговорювали питання блокування IP-адрес вручну, які постійно намагаються проникнути на ваш сайт. Робота (як ми вже згадували раніше) вимагає багато часу та зусиль, але це не дуже ефективне використання часу. Але якщо ви використовуєте будь-який із найкращих плагінів безпеки WordPress, наприклад, Malcare, ви можете автоматизувати процес блокування. Такі плагіни безпеки опікуються усіма лазівками безпеки WP.

5. Приховування WordPress

Є загальне припущення, що приховування вашої CMS ускладнює людям з мерзенним наміром проникнути на ваш сайт. Що робити, якщо ми зможемо приховати той факт, що ваш веб-сайт працює на WordPress. Це захистить ваш сайт від хакерів, які хочуть використовувати загальні вразливості. Простий спосіб зробити це шляхом (ви здогадалися) за допомогою плагіна. Але метод не вдається, коли хакерам неважливо, на якій платформі працює ваш веб-сайт. Крім того, існує безліч способів дізнатися, чи працює сайт на WordPress.

Окрім використання плагіна, ви можете зробити роботу вручну. Але це трудомісткий процес. Одне оновлення WordPress може скасувати все, що ви працюєте, протягом декількох секунд. Це означає, що вам доведеться повторювати процес знову і знову або ухилятися від оновлень WP. Пропуск оновлень WordPress – це як відкриття вхідних дверей, щоб хакер зайшов прямо у ваш будинок.

6. Захист паролем wp-admin не працює

Сторінка входу в WordPress за замовчуванням (виглядає приблизно так – example.com/wp-admin) є шлюзом для вашого сайту. Типова сторінка для входу виглядає як на малюнку нижче.

Тут вам потрібно буде використовувати свої облікові дані для доступу до інформаційної панелі WordPress. Захист паролем сторінки входу допомагає приховати або захистити цей шлюз на панелі приладів. Це гарна ідея, але не без її лазівки.

LookLinux Приклад захисту паролем

З люб’язності: LookLinux

По-перше, важко зберегти або навіть змінити пароль, якщо ви випадково його втратите. Окрім того, що неефективні у наданні додаткової безпеки, такі зміни на вашому сайті можуть виявитись дуже небезпечними. Наприклад, коли ви захищаєте паролем сторінку адміністратора, такий запит, як /wp-admin/admin-ajax.php, не може обійти захист. Є плагіни, які можуть залежати від функціональності Ajax вашого сайту. І коли вони не в змозі отримати доступ до цієї функціональності, вони починають погано себе вести. Отже, це може призвести до порушення веб-сайту.

До вас

Якщо у вас є якісь запитання чи пропозиції щодо того, що потрібно уникати, щоб захистити сайт WordPress, повідомте нас у коментарях.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map