Как защитить блог от взлома. Рекомендации западных специалистов

Здравствуйте, уважаемые читатели!

Буржунет меня не отпускает. На этот раз представляю вам перевод статьи известного индийского блогера Джитендры Васвани. Он является признанным специалистом в Seo и продвижении сайтов. Им основаны маркетинговые компании BloggersIdeas и Digiexe. Так же он является автором WordPress Plugin SchemaNinja.

Васвани неоднократно говорил, что ведение блога для него не более, чем хобби, а так же возможность передать читателям свой опыт и знания.

В данной статье речь пойдет о мерах профилактики, направленных против хакерских атак и попыток взломать блог. Согласитесь, тема очень актуальная.

b1-1

Немного печальной статистики. 

Для чего мы делаем сайты и ведем свои блоги? Наверное, у каждого есть на то своя причина. Но уж явно не затем, чтобы в один момент все потерять. Представляете, на сколько это грустно в миг лишиться того, над чем работал годами.

b4-4

А вы в курсе, что по данным Гугла в 2015-м году 86% всех сайтов имели хотя бы одну серьезную уязвимость? И что за этот год было взломано в 1.8 раза больше сайтов, чем за предыдущий. А по данным Forbes в мире ежедневно взламывается 30 тысяч сайтов. Наверняка вы не хотите, чтобы однажды в это число попал и ваш.

В 2015-м году 75% всех взломанных сайтов были на платформе WordPress. Но это не говорит о ее особой уязвимости. Просто она очень популярна у блогеров, и большинство сайтов делают на ней. А раз популярна у блогеров, то популярна и у хакеров.

А теперь рассмотрим рекомендации, выполняя которые можно практически гарантированно защитить сайт на WordPress от взлома.

1! Поменяйте логин Admin. 

При установке WordPress такой логин дается по умолчанию. Первым делом замените его на любой другой. В подавляющем большинстве случаев подбор пароля производится именно для логина Admin. Когда же известен логин, подбор пароля это уже дело времени.

2! Ограничьте права других пользователей. 

Если с вашим блогом работает несколько человек, то давать всем права админа будет большим риском. Сделайте для всех отдельные учетные записи, ограничив до нужного уровня права администрирования.

Про линейку администрирования в WordPress и управление ролями пользователей подробнее читайте в этой статье.

3! Используйте надежный хостинг. 

 

Конечно, на сам хостинг вы повлиять не можете, но выбор хостинга целиком и полностью в ваших руках. Статистика говорит, что 41% взломов сайтов стали возможными из-за уязвимостей на стороне хостинга.

Как определить надежность? Наверное лучше пользоваться услугами тех хостингов, которые работают давно и у которых много пользователей. Лично я пользуюсь TimeWeb и Sprinthost, нареканий к ним у меня не было.

4! Установите плагин, отвечающий за безопасность. 

b2-2

Таких плагинов много. Мне пришелся по душе iThemes Security. У вас могут оказаться другие предпочтения. На западе в плане безопасности популярны  Sucuri и Word Fence. Подробные инструкции по их установке и настройке можно легко найти в интернете.

5! Выберите сложный пароль. 

Тоже одна из банальностей, которой многие пренебрегают. Никогда не используйте для пароля слова из словаря, имена, географические названия, дату своего рождения, потому что хакеры в первую очередь начинают подбор с таких баз.

Длина пароля не должна быть меньше 8 символов. В нем лучше смешать в произвольном порядке прописные и заглавные буквы, цифры, знаки препинания, другие символы.

Никогда не оставляйте записанный пароль в общедоступном месте, не сохраняйте его на компьютер и не держите в письмах электронной почты.

6! Ограничьте количество попыток входа в аккаунт. 

Нужно установить специальный плагин, который после нескольких неудачных попыток ввода пары логин-пароль блокирует аккаунт на определенное время. Этим мы защитимся от попытки взлома путем перебора. 

7! Обновляйте WordPress. 

Вовремя устанавливайте новые версии движка. Не секрет, что большинство обновлений связано как раз с безопасностью.

Об этом же говорит и статистика. В 2015-м году 55% всех взломанных сайтов на WP имели устаревшие модели движка. Даже сами разработчики признают, что все версии движка до 3.9.2 включительно имели значительные уязвимости.

8! Вовремя обновляйте плагины. 

Обновления плагинов так же обычно касаются безопасности, поэтому используйте самые последние версии.

9! В комментариях применяйте капчу. 

b3-3

Она не должна быть сложной, чтобы ее приходилось разгадывать всей семьей. Достаточно просто попросить поставить галочку и выполнить простейшее арифметическое действие. Роботы, какими бы умными они не были, не смогут сделать и это.

Капча защитит ваши комментарии от спама, а значит боты не смогут наставить вредоносных ссылок, что тоже будет плюсом к общей безопасности.

10! Делайте резервные копии. 

И не просто делайте, а делайте их регулярно. Резервировать нужно все данные, и обязательно базы. Это позволит вам в случае взлома восстановить сайт.

Способов резервного копирования много. В последнее время стали популярны плагины, которые автоматически с заданной периодичностью сами делают копирование, а файл с копией всех данных по сайту высылают на почту.

11! Удаляйте все лишнее. 

Часто бывает, что у нас на WP стоит куча тем оформления и плагинов, которыми мы давно не пользуемся и пользоваться не планируем. Их лучше удалить. Дело в том, что они устаревают, не обновляются, в них могут быть найдены уязвимости.

12! Регулярно проводите мониторинг сайта на предмет взлома. 

Возьмите за правило хотя бы раз в неделю проверять, нет ли на вашем сайте признаков взлома. Более подробно читайте про это в моей статье «Как узнать, что вас взломали».

13! Используйте хороший антивирус. 

b5-5

Не буду растекаться мыслью по дереву и лить воду. Заголовок говорит сам за себя. Надежная защита компьютера, за которым вы работает, это часть общей защиты вашего сайта.

14! Ограничьте доступ в wp-admin. 

Доступ к каталогам, находящимся в wp-admin лучше запаролить. При этом пара логин-пароль должна отличаться от этой пары для доступа в админку.

15! Измените префиксы баз данных. 

По умолчанию все базы и каталоги начинаются с wp. Но этот префикс можно поменять на другой. Эффект в усилении уровня защиты примерно такой же, как замена логина admin на другой.

Сама процедура детально описана в интернете. Но если боитесь делать сами, то попросите программиста, для него это будет пустяковым заданием.

16! Используйте SSL-протокол.

Данный протокол осуществляет шифрование между сервером, на котором расположен ваш сайт и браузером пользователя. Он защищает от перехвата файлы в момент отправки их с компьютера на сервер.

Вам нужно получить сертификат такого протокола, а потом интегрировать его в WP.

Заключение. 

Конечно, в статье изложены не все рекомендации по обеспечению безопасности сайта. Но эти 16 наиболее просто реализовать даже новичкам. Если вы выполните хотя бы часть из них, это создаст злоумышленникам определенные проблемы.

От себя и от всех читателей моего блога благодарю Джитендру Васвани за полезную статью. Обсудить ее предлагаю в комментариях. На этом заканчиваю. Желаю всем благополучия.

С уважением, Владислав Заболотный.

Поделитесь статьей в соцсетях.

Оставить комментарий

Свежие комментарии
Хотите зарабатывать?