6 советов по решению проблем безопасности WordPress

Добро пожаловать в самую популярную CMS на Земле

WordPress является одной из крупнейших целей для кибератак. Это потому, что WordPress на сегодняшний день является самой популярной системой управления контентом (CMS) в мире: по данным W3Techs, она поддерживает 43,1% всех веб-сайтов и имеет долю рынка CMS в 63,6%. Для сравнения, на втором месте Shopify, который поддерживает 3,8% веб-сайтов и имеет долю рынка CMS 5,6%.

Его бесплатная платформа электронной коммерции WooCommerce также является крупным игроком сама по себе — это самое популярное решение для электронной коммерции с открытым исходным кодом в мире.

Это поднимает очевидный вопрос: что вы должны делать, когда речь идет о защите WordPress на вашем сайте и предотвращении или устранении уязвимостей WordPress? Из наших собственных передовых методов кибербезопасности в Coalition Technologies, вот наши лучшие 6 советов по решению проблем безопасности WordPress.

Почему выбирают WordPress?

WordPress чрезвычайно гибкий и мощный, а поскольку он имеет открытый исходный код, он также очень экономичен и популярен. Поскольку WordPress является крупнейшей платформой в Интернете, есть много экспертов по кибербезопасности, которые могут помочь с безопасностью веб-сайта WordPress за небольшую часть стоимости, которая может быть для пользовательской платформы.

1. Защитите свои учетные данные для входа

Самый действенный шаг, который вы можете предпринять для решения проблем с безопасностью WordPress, — это вообще не иметь этих проблем, а защита ваших учетных данных для входа может сократить утечку данных более чем наполовину.

Согласно отчету Verizon о расследованиях утечек данных за 2021 год, 61% утечек данных каким-либо образом связаны с использованием учетных данных для входа. Чаще всего это происходит из-за:

• Кража пароля
• Атаки грубой силы
• Внутреннее неправильное использование учетных данных

Защита от кражи паролей

Хакеры любят хвататься за легко висящие плоды, и устранение уязвимостей WordPress начинается с удаления всех этих низко висящих плодов до того, как хакеры смогут добраться до них.

• Регулярно обновляйте все пароли. 90 дней (один раз в квартал) — хорошее значение по умолчанию.

• Используйте уникальные пароли и никогда не используйте их повторно. PurpleSec говорит, что 25% сотрудников используют один и тот же пароль для всего, что должно беспокоить любого.

• Храните пароли правильно. WordPress со своей стороны обрабатывает все безопасно, но если ваши сотрудники записывают свои пароли на стикерах или в Google Docs, они могут утечь.

• Рассмотрите возможность истечения срока действия паролей. Это вынуждает людей обновлять свои пароли, но также может привести к тому, что некоторые сотрудники будут небрежно относиться к хранению своих паролей. Решение проблем безопасности WordPress в долгосрочной перспективе означает устранение этой уязвимости с помощью ваших политик паролей.

Усиление против атак грубой силы

Хакеры также могут использовать атаки грубой силы для кражи учетных данных. Это означает угадывание паролей наугад, миллионы раз, пока не будет найдена работающая перестановка.

• Ограничьте количество разрешенных попыток входа в систему. Хороший плагин безопасности WordPress справится с этим за вас, а также исправит уязвимости WordPress по мере их обнаружения.

• Используйте уникальные пароли. Как и прежде, решение проблем с безопасностью WordPress подразумевает использование уникальных паролей, причем только один раз.

• Используйте надежные пароли. Пароли должны состоять не менее чем из 8 символов, а в идеале они должны состоять из цифр, букв и специальных символов. Вот несколько советов. Вы также можете использовать запоминающиеся пароли, что помогает уменьшить проблемы с памятью. Национальный центр кибербезопасности правительства Великобритании поддерживает идею трех случайных слов, хотя четыре или пять слов еще лучше.

• Заблокируйте определенные страны или IP-адреса, которые генерируют много неудачных попыток входа в систему. В частности, заблокируйте этим источникам доступ к конфиденциальным учетным записям с доступом к админ-панелям с помощью брандмауэров.

Используйте передовые политики защиты паролей

В Coalition Technologies мы неустанно работаем над обеспечением безопасности учетных данных наших клиентов. За прошедшие годы мы создали гордый послужной список передовых политик защиты паролей. Точно так же решение проблем безопасности WordPress требует наличия собственных правил защиты паролей. Вот несколько рекомендаций по устранению уязвимостей WordPress на уровне человеческих ресурсов:

• Ограничьте доступ для входа в систему по мере необходимости. Предоставляйте сотрудникам только минимальный уровень разрешений, который им необходим, и предоставляйте им доступ только к тем вкладкам и системам, которые им нужны. Ограничьте «админские» учетные записи с универсальным доступом минимально возможным количеством людей.

• Проведите эффективное обучение сотрудников. Иногда неправильное использование паролей недовольными сотрудниками является злонамеренным (в этом случае вы можете ограничить ущерб, ограничив доступ, как указано выше). Но чаще это неправильное использование является непреднамеренным, и решение проблем безопасности WordPress с утечками паролей можно предотвратить с помощью хорошей подготовки. Убедитесь, что ваш процесс адаптации включает модуль безопасности паролей, и рассмотрите возможность развертывания модулей периодического обновления каждые 12–24 месяца.

2. Установите хороший плагин безопасности WordPress и следуйте рекомендациям

Ядро WordPress очень безопасно, а специалисты по кибербезопасности мирового класса работают над обеспечением безопасности миллионов веб-сайтов. Но WordPress также позволяет использовать плагины. Эти плагины значительно расширяют функциональность WordPress, но также представляют новые потенциальные уязвимости безопасности.

Однако существует целая индустрия, построенная вокруг защиты плагинов WordPress, и эти продукты сами по себе являются плагинами WordPress. Известные как «плагины безопасности», это обязательные утилиты для решения проблем безопасности WordPress и исправления уязвимостей WordPress в режиме реального времени. Ваша первая остановка после установки или обновления основного программного обеспечения WordPress должна состоять в том, чтобы выбрать хороший плагин безопасности WordPress и правильно его настроить.

Наши рекомендации по плагинам безопасности

Существует множество хороших плагинов безопасности WordPress. Наши клиенты полагаются на архитектуру WordPress для получения миллионов долларов дохода. Безопасность веб-сайта абсолютно важна.

Когда мы сотрудничаем с нашими клиентами, чтобы предложить наши обширные услуги веб-дизайна WordPress, мы особенно рекомендуем эти два плагина для решения проблем безопасности WordPress:

• Wordfence Security — брандмауэр, сканирование на наличие вредоносных программ и безопасность входа
• Defender Security — сканер вредоносных программ, защита входа и брандмауэр

Мы регулярно используем эти плагины безопасности для наших клиентов при управлении их сайтами WordPress.

Обеспечьте правильную настройку подключаемого модуля безопасности

Эксперты по исследованию ключевых слов в Semrush рекомендуют следующие важные шаги для упреждающего решения проблем безопасности WordPress:

• Ограничьте количество разрешенных попыток входа в систему. Мы уже рассмотрели это, но стоит повторить как отличный способ упреждающего исправления уязвимостей WordPress.

• Скройте свою страницу входа от общего доступа. Посетители вашего сайта не должны иметь возможности попасть на страницу входа через навигацию по сайту или угадать URL-адрес. URL-адрес страницы входа должен быть скрытым и не связанным с другими страницами.

• Удалите страницы бэкенда, администратора и корзины покупок из индексации поисковой системы. Эти страницы, очевидно, гораздо более уязвимы для взлома, поэтому в этом случае решение проблем безопасности WordPress означает, что эти страницы не будут отображаться в результатах поиска.

• Регулярно делайте резервную копию вашего сайта. Вы можете сделать это как вручную, так и автоматически, но делайте это регулярно. Все, для чего нет резервной копии, следует считать потерянным, потому что это то, к чему это приведет, например, при атаке программы-вымогателя. Резервные копии должны быть размещены на другом сервере и использовать другие учетные данные для доступа. Когда это возможно, также разумно хранить локальные «холодные» резервные копии. Это особенно важно для малого бизнеса.

3. Тщательно проверьте темы и плагины перед установкой

Когда дело доходит до других плагинов WordPress (кроме плагинов безопасности) и тем WordPress, очень важно понимать, что вы имеете дело с очень широким спектром продуктов и качеством. Любая хорошая стратегия исправления уязвимостей WordPress подразумевает тщательную проверку этих приложений.

Многие плагины и темы являются надежными и предлагают основные функции и параметры макета, которые необходимы вашему веб-сайту. Другие плагины и темы плохо спроектированы и уязвимы для взлома системы безопасности хакерами. И некоторые из них являются прямыми вредоносными программами.

WordPress внимательно относится к решению проблем безопасности WordPress с помощью плагинов и тем, блокируя вредоносное ПО и спам, но иногда некоторые из этих плохих яиц проходят. Вот несколько рекомендаций по аудиту плагинов и тем, которые вас интересуют:

• Большое число загрузок обычно безопаснее. Вредоносное ПО обнаруживается на ранней стадии, а плохие темы и плагины никогда не становятся популярными, поэтому только то, что работает, может иметь большое количество загрузок.

• Большое количество положительных отзывов пользователей является надежным показателем. Если многие люди поставили плагину или теме идеальную или почти идеальную звездную оценку, это хороший знак. Но убедитесь, что вы также прочитали несколько посредственных и отрицательных отзывов, чтобы увидеть, какие жалобы есть у людей.

• Поищите в Интернете компании и новостные организации, рассказывающие о своем опыте использования этих плагинов. Когда дело доходит до решения проблем безопасности WordPress и устранения уязвимостей WordPress для вашего бизнеса, отзывы пользователей могут не иметь той глубины и достоверности, которые вы ищете. Так что выходите в интернет и ищите имена, которым вы доверяете. Посмотрите, что они говорят об этих приложениях.

Где взять плагины?

Если вы сомневаетесь, выбирайте плагины WordPress из авторитетных источников:

• Официальный репозиторий плагинов WordPress — ваш лучший выбор, и если вы получаете плагины только из одного источника, получите их здесь.

• Уважаемые сторонние торговые площадки для плагинов, например CodeCanyon, являются еще одним хорошим источником плагинов. Авторитетные торговые площадки уделяют большое внимание решению проблем безопасности WordPress, потому что от этого зависит их репутация.

• Сайты разработчиков плагинов WP, такие как WPMU DEV, являются еще одним высококачественным источником плагинов. Эти сообщества профессиональных разработчиков плагинов WordPress собираются, чтобы повысить узнаваемость и надежность своих продуктов.

У хороших плагинов хорошие команды разработчиков, и уязвимости в этих плагинах обычно быстро исправляются независимыми разработчиками или агентствами, которые их создали. А когда это не так, обычно есть много разных альтернативных плагинов, которые безопасно предлагают ту же функциональность.

4. Обновите все и повторите аудит

Допустить отставание вашего программного обеспечения легко из-за времени, которое требуется для обновления (и времени, необходимого для исправления вещей, сломанных обновлениями), но это ужасно, потому что многие из этих обновлений содержат исправления для исправления уязвимостей WordPress или уязвимостей в плагинах WordPress или темы. Вот почему такие организации, как Search Engine Journal, рекомендуют обновлять плагины и темы.

Это не приукрашивание: это один из наших самых трудоемких советов по решению проблем безопасности WordPress. Но вы должны потратить время, потому что в противном случае вы открываете дверь для кибератак.

Это включает в себя основное программное обеспечение WordPress, версию PHP, на которой оно работает, а также все темы и плагины. Это ВСЕ необходимо обновлять, когда становятся доступны новые обновления, и, когда вы обновляете его, все затронутые плагины и функции должны быть снова проверены, чтобы убедиться, что все работает правильно.

Распределить текущую рабочую силу

Отслеживание обновлений ядра WordPress и обновлений плагинов должно быть частью чьей-то должностной инструкции. Если решение проблем безопасности WordPress с помощью профилактического обновления не находится на чьем-то радаре, об этом обычно забывают.

Обновление программного обеспечения и исправление уязвимостей WordPress не приводит к продажам напрямую, но действует для предотвращения потенциально катастрофических расходов и должно быть соответствующим образом заложено в бюджете. Обязательно настройте свою компанию на успех, убедившись, что у вашего системного администратора или ИТ-отдела есть пропускная способность, чтобы оставаться в курсе обновлений.

В Coalition Technologies мы следим за обновлениями в рамках нашей стратегии успеха, направленной на то, чтобы настроить клиентов на устойчивый долгосрочный рост.

Будьте осторожны с обновлениями

Одна вещь, которую нужно знать о решении проблем безопасности WordPress путем тщательной установки обновлений по мере их выпуска: WordPress проверяет все плагины, отправленные в его официальный репозиторий, чтобы отфильтровать спам, обнаружить распространенные серьезные ошибки и убедиться, что плагины соответствуют WordPress. методические рекомендации.

Однако, как только плагин одобрен и добавлен в список, WordPress не имеет возможности снова проверять все эти сторонние плагины каждый раз, когда плагин обновляется. Кодовая база плагина может значительно измениться после первоначального обзора, и WordPress об этом не узнает.

Обычно это происходит по законным причинам — например, обновления UX, исправление уязвимостей и ошибок WordPress и добавление новых функций. Но хакеры могут обмануть систему, установив первоначальную версию своего плагина, которая проходит проверку, а затем добавляя вредоносное ПО с последующими обновлениями. Это также может произойти, когда существующий плагин заброшен или продан, а злонамеренная третья сторона берет его на себя и добавляет вредоносное ПО. Это означает, что часть работы по решению проблем безопасности WordPress ложится на вас.

Всегда просматривайте примечания к обновлению при обновлении плагина и не спешите становиться первым пользователем без внешней проверки: сначала посмотрите, что говорят другие.

Используйте службы поиска уязвимостей

Вы также можете воспользоваться такими сервисами, как база данных уязвимостей WPScan, которая может помочь вам в решении проблем безопасности WordPress, заранее уведомляя о недавно обнаруженных угрозах безопасности.

Если вы сотрудничаете с Coalition Technologies для управления своим сайтом WordPress, мы сами проверяем темы и плагины WordPress, а также берем на себя ответственность за исправление уязвимостей WordPress, которым подвергается ваш сайт, давая вам душевное спокойствие и разгружая трудоемкую задачу. .

5. Определите фишинговые атаки

Основным источником уязвимости кибербезопасности является фишинг, и хотя это явление распространено в Интернете, его все же следует обсуждать в контексте вариантов использования WP и решения проблем безопасности WordPress. Фишеры часто подделывают сам WordPress или электронные письма клиентов. У фирмы по кибербезопасности Varonis есть хороший учебник по работе с фишингом.

Все, что содержит гиперссылки, которые вы не контролируете, может быть фишинговой атакой — веб-сайты, цифровые документы и т. д. — но особенно электронная почта.

Остерегайтесь входящей электронной почты

Почти все фишинговые атаки начинаются с электронной почты. (По данным CyberTalk.org, это примерно 90%.) Это означает, что компаниям необходимо обучать сотрудников передовым методам самозащиты по электронной почте. Речь идет не столько об устранении уязвимостей WordPress, сколько о том, чтобы поведение вашей команды не стало вектором для кибератак.

Убедитесь, что у вас настроены правильные записи DMARC и SPF для вашего DNS, что не позволит людям использовать ваш домен в электронных письмах, потому что они либо окажутся в мусоре, либо никогда не будут отправлены, в зависимости от установленной политики DMARC. .

Остерегайтесь поддельных ссылок

Фишеры используют поддельные ссылки, которые иногда маскируются под обычные сайты, такие как Google. Одним из способов решения проблем безопасности WordPress путем защиты от фишинга является изменение заголовков безопасности X-Frame-Options вашего сайта, что не позволит использовать ваш веб-сайт в iframe внешними веб-сайтами.

Используйте реальные URL-адреса

Наконец, не используйте сокращатели ссылок, которые не раскрывают пользователю конечный целевой веб-сайт.

6. Защитите свою сеть

Еще один важный совет для решения проблем с безопасностью WordPress — обезопасить свою сеть. В эту эпоху пандемии, связанной с увеличением удаленной работы и глобальных рабочих мест, компании регулярно передают критически важную информацию через Интернет, создавая множество возможностей для уязвимостей в системе безопасности.

WordPress — очень гибкая платформа, а это означает, что вы можете исправлять часто используемые методы с помощью простых фрагментов кода, найденных в Интернете, таких как отключение XMLRPC и требование аутентификации для доступа к WP-JSON. Устранить уязвимости WordPress часто так же просто, как установить и использовать соответствующие плагины.

Кроме того, с использованием плагинов WordPress доступны варианты многофакторной аутентификации.

Практикуйте твердую готовность и профилактику

Брандмауэры веб-приложений, такие как Cloudflare и многие другие, специально разработали свой WAF для защиты приложений WordPress от различных распространенных типов и шаблонов атак. Многие хостинг-провайдеры предлагают бесплатную услугу ежедневного резервного копирования, например WP Engine.

Партнер с Coalition Technologies для дизайна и разработки WordPress

В Coalition мы предлагаем полный спектр услуг по дизайну и разработке WordPress, как отдельно, так и в сочетании с нашими отмеченными наградами услугами SEO и цифрового маркетинга. Все, что мы обсуждали сегодня о решении проблем безопасности WordPress и устранении уязвимостей WordPress, включено в наши услуги, когда вы сотрудничаете с нами.

См. часто задаваемые вопросы по службам WordPress. Мы будем рады работать с вами! Свяжитесь с нами, чтобы обсудить потребности вашего сайта.