admin / 15.10.2018
Содержание
Системное администрирование, Серверное администрирование, Блог компании HOSTING.cafe, Антивирусная защита
Онлайн-маркетинг и ведение блогов не получили бы столь широкого распространения без таких систем управления содержимым (CMS), как WordPress.
Считается, что WordPress — это самая простая и при этом многофункциональная CMS. С помощью нее все от любителей до крупных компаний могут создавать, публиковать, управлять и следить за веб-контентом.
На сегодняшний день на WordPress работает примерно 76,5 миллионов блогов, или 27% всех страниц в интернете. Каждый день создается еще 50000 веб-сайтов (источник: WordPress).
Из-за такого объема операций WordPress становится мишенью для злоумышленников. Взломщики проникают в систему, чтобы распространять вирусы, раскрывать данные или мешать работоспособности WordPress-сайта в целом.
Кто должен задуматься о безопасности WordPress?
Обеспечение безопасности на WordPress начинается с администратора. Он отвечает за организацию системы безопасности для защиты данных пользователей и сайта от возможных угроз.
К мерам повышения безопасности вашего WordPress-сайта относятся:
При применении двухфакторной аутентификации появляется дополнительный уровень безопасности: помимо логина и пароля для получения доступа необходимо ответить на дополнительный контрольный вопрос или ввести данные.
Как правило при ДФА на мобильный телефон пользователя отправляется одноразовый пароль или секретный код. Иногда ДФА реализуется через контрольный вопрос, который пользователь выбирает при создании учетной записи.
Двухфакторная аутентификация обеспечивает защиту учетной записи WordPress так, что даже если логин и пароль окажутся в руках злоумышленников, доступа к аккаунту пользователя они не получат. Можете воспользоваться предложением Clef для двухфакторной аутентификации.
Ненадежные пароли и логины по прежнему остаются слабым звеном, обеспечивающим взломщикам легкий доступ в систему. По данным Nakedsecurity 55% пользователей используют одинаковый пароль на всех веб-сайтах, таким образом подвергая себя угрозе.
Важно, чтобы требования безопасности соблюдали как пользователи, так и администраторы. Например, некоторые администраторы WordPress имеют дурную привычку использовать слово «admin» одновременно в качестве логина и пароля, что делает их сайты очень уязвимыми.
Вместо этого следует задать минимальные требования надежности логина и пароля, чтобы снизить возможные угрозы со стороны взломщиков.
Кибератаки зачастую имеют форму перехвата закрытой или личной информации в момент ее передачи между пользовательской системой и сервером.
Поскольку WordPress — это CMS, которая часто используется для создания интернет-магазинов, информация о кредитных картах, персональные данные покупателей и т.д. могут быть перехвачены и похищены.
Шифрование данных интернет-магазина с помощью SSL-сертификата, например, от GeoTrust, снизит вероятность перехвата данных. Передаваемые по сети данные шифруются, и взломщик уже не сможет заполучить данные целиком. Даже если он получит доступ к части информации, он увидит лишь совершенно бессмысленный набор символов.
Обновления ПО, патчи, обновления ОС — все это предоставляется в том числе и для обеспечения безопасности. Они закрывают существовавшие в предыдущих версиях изъяны. WordPress также периодически выпускает обновления системы безопасности, чтобы CMS-платформа отражала возможные кибератаки.
WordPress — это CMS, к которой можно подключить множество плагинов и расширений, призванных повысить эффективность работы с ней. Существует множество платных и бесплатных плагинов, которые помогут усилить безопасность.
К плагинам для повышения безопасности вашего WordPress-сайта относятся:
Когда речь заходит о плагинах безопасности на WordPress в первую очередь в голову приходит Wordfence. Плагин набрал целых 4,9 звезд из 5, так что если вы теряетесь при выборе, плагин с таким впечатляющим результатом заслуживает внимания. Он завоевал признание пользователей благодаря множеству функций:
Более 30 инструментов iThemes Security превратят ваш WordPress-сайт в настоящую цифровую крепость. Он идеально подходит для защиты сайтов на WordPress от обыденных атак и уязвимостей, которые большинство администраторов пропускают или к которым они не готовятся.
К самым интересным инструментам относятся:
SUCURI — еще один сервис с хорошей репутацией в обеспечении защиты сайтов. Плагин для безопасности на WordPress от SUCURI отлично справляется с проверкой целостности файлов, усилением безопасности, аудитом действий, поиском вредоносного кода и многим другим.
BulletProof Security — это плагин безопасности WordPress, в который входит файервол, защита регистрации, защита баз данных и множество других инструментов для безопасности в сети. Это полноценный плагин безопасности для защиты сайта на WordPress от кибератак.
WordPress — это простая в настройке и использовании CMS-система. Благодаря удобству в использовании ей отдает предпочтение существенная доля пользователей. Вместе с тем, в связи с широкой пользовательской базой она становится легкой жертвой для взломщиков. Ко всему прочему большинство пользователей и компаний — непрофессионалы и не разбираются в мерах безопасности, которые могли бы оградить их от угроз.
Однако, с помощью приемов и плагинов, которые мы перечислили, вы сможете обезопасить свой сайт и личные данные. Берегите себя. Берегите пользователей. Берегите покупателей.
HOSTING.cafe предлагает инструменты для поиска виртуальных и выделенных серверов, виртуального хостинга и SSL-сертификатов.
Мощная защита сайта на WordPress реализована в плагине BulletProof Security, который выполняет следующие функции:
Все очень просто – файлы с расширением .htaccess обрабатываются в первую очередь, а затем остальной код, содержащийся на сайте. Другими словами, плагин BulletProof Security изолирует вредоносный код хакера, не позволяя системе запускать его на начальном этапе загрузки. Данный плагин использует .htaccess файлы, применяемые на серверах Apache, работающих наLinux. Поэтому для нормальной работы плагина необходимо учитывать вопросы, связанные с его совместимостью с используемым вами сервером:
Если вы не знаете, на каком сервере работает ваш сайт, то эту информацию можно увидеть на панели настроек плагина в строке «Server Type» и «Operating System».
Этот плагин разработан с целью обеспечения оперативной, максимально простой .htaccess защиты WordPress сайта. Активация этой защиты и переключение сайта в режим технического обслуживания происходит мгновенно, одним щелчком мыши, при этом не требуется FTP соединение. Простой интерфейс программы позволяет создавать, копировать, переименовывать, перемещать или модифицировать управляющие .htaccess файлы (master files), создаваемые данным плагином.
BulletProof Security помимо встроенной .htaccess защиты корневого каталога сайта и папки wp-admin, позволяет создавать дополнительную, расширенную защиту ресурса. Все, связанные с добавлением дополнительных .htaccess файлов на ваш сайт, действия можно производить непосредственно из административной панели WordPress, и для этого вам не потребуется входить в панель управления сайтом на хостинге или создавать FTP соединение для загрузки необходимых файлов на сайт.
Плагин позволяет применять следующие режимы обеспечения безопасности ресурса:
BulletProof Security позволяет вам после активации режима технического обслуживания веб-узла производить необходимые работы по настройке, модернизации или доработке вашего сайта. Этот режим допускает вход на ресурс только его владельцев и разработчиков, тогда как пользователям в ответ на их запрос будет предоставлена страница, информирующая о временной недоступности ресурса по техническим причинам (503 Website Under Maintenance). Доступ на сайт при включенном режиме обслуживания сайта можно регулировать, добавляя или запрещая необходимые IP адреса прямо из административной панели платформы WordPress.
Доступен перевод на литовский язык: автор – Vincent G, ресурс http://www.host1free.com/. Если вы пожелаете заняться переводом плагина на ваш родной язык, то для этого ознакомьтесь с Руководством по переводу плагина BulletProof Security.
Несмотря на то, что BulletProof Security сам по себе обеспечивает достаточную защиту, он позволяет использовать расширенные методы реализации безопасности. Дополнительные инструменты применяются в зависимости от конкретных ситуаций и позволяют обеспечить полную защиту сайта, за счет внедрения .htaccess файлов и кода в необходимые места, а также ряда других методов.
Кроме того BulletProof Security содержит некоторые другие не менее полезные функции:
Система управления контентом WordPress, в силу своей громадной популярности, также привлекает к себе и недоброжелателей. Кроме того, “движок” распространяется бесплатно, поэтому еще больше подвержен риску нарушения безопасности. Сам WordPress является довольно безопасным программным продуктом. “Дыры” начинают открываться, когда пользователь устанавливает плагины и темы.
К сожалению, не всегда можно быть уверенными в безопасности и безобидности тем или плагинов.
Их платные версии имеют вполне конкретных разработчиков, которые дорожат своей репутацией. В итоге их продукты более высокого качества, и вероятность получить вместе с ними какой-либо зловредный код довольно низка.
Но, как подсказывает наш жизненный опыт, из любого правила есть исключения. Некоторые добавляют вполне безобидный код для обеспечения обратной связи, а другие делают это совсем для других целей. Даже в самом “движке” иногда выявляют уязвимости, которые позволяют злоумышленнику внедрить свой код в ее ядро.
К счастью, для WordPress существует и целый ряд полезных решений, способных полностью просканировать Ваш ресурс на предмет всякого рода уязвимостей и зловредного кода и в случае обнаружения указать конкретное место их “обитания” или полностью обезвредить. Рассмотрим несколько довольно качественных и надежных плагинов для защиты Вашего WordPress-сайта.
Бесплатный плагин Sucuri Security является лидирующим инструментом в области безопасности, благодаря чему используется огромным количеством WordPress-пользователей. Решение обеспечивает сайтам несколько видов и уровней защиты, среди которых можно выделить следующие:
Плагин в целом зарекомендовал себя как надежная защита для всего сайта.
Wordfence Security — решение, выполняющее глубокую проверку веб-ресурса на предмет уязвимостей и вредоносного кода не только в файлах тем и плагинов, но и в самом ядре “движка”.
Плагин использует WHOIS-сервисы для мониторинга соединений. Благодаря встроенному фаерволу, он способен блокировать целые сети. Как только будет обнаружена сетевая атака, мгновенно происходит автоматическое обновление набора правил брандмауэра для наиболее эффективного противостояния угрозам.
Плагин AntiVirus занимается тем, что ежедневно сканирует все файлы сайта (включая темы, базу данных) и отправляет email-отчет на заданный адрес. Кроме того, AntiVirus проводит сканирование и очистку следов также при удалении плагинов.
В список сканирования и обнаружения мощного сканера Quttera Web Malware Scanner входят следующие уязвимости:
Помимо этого списка, плагин проверяет на предмет наличия сайта в черных списках.
Дополнение Anti-Malware Security and Brute-Force Firewall призвано сканировать и обезвреживать известные на сегодняшний день уязвимости, включая скрипты backdoor. Антивирусные базы плагина автоматически обновляются, что позволяет обнаруживать самые свежие вирусы и эксплойты.
Плагин имеет встроенный файерволл, блокирующий сетевые угрозы.
Особенностью плагина является предоставление дополнительной защиты для сайта (защита от brute-force-, DDoS-атак, а также проверка целостности ядра WordPress). Для этого необходимо просто зарегистрироваться на сайте gotmls.net.
Антивирус WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы сайта, включая темы, плагины и загружаемые файлы в папке uploads. Найденный вредоносный код и вирусы будут немедленно удалены или перемещены в карантин.
Плагин Exploit Scanner занимается исключительно выявлением подозрительного кода (файлы сайта и база данных). Как только что-либо будет обнаружено, администратор сайта сразу будет уведомлен об этом.
Комплексное решение Centrora WordPress Security является многогранным инструментом защиты веб-ресурса от всех типов угроз. Оно включает в себя следующие функции:
Задай их экспертам в нашем телеграм канале «WordPress сообщество»
Если Вам понравилась статья — поделитесь с друзьями
.
FILED UNDER : IT