Без рубрики

Як захистити сайт WordPress від злому?

Posted on by Promov
Время чтения: 5 мин.

Прочитавши цю статтю, ви точно будете знати, що вам потрібно зробити на сайті WordPress для його максимального захисту від злому. Стаття написана експертом, який керує сотнями сайтів WP, а не копірайтером, тому все буде строго на точці.

Знову. Виконайте так, як написано в цій статті. За цими лініями знаходиться величезний досвід. Навіть якщо здається, що деякі моменти банальні, занадто прості або недостатньо складні. Це саме те, що працює.

Коротка відповідь

Нікому не подобається, коли в статті багато слів і мало речовини, тому справа негайна:

  1. Оновлення CMS
  2. Оновлення плагінів
  3. Автоматична інсталяція оновлень
  4. Замініть піратські плагіни або придбайте ліцензію
  5. Підключіть SSL і перейдіть на HTTPS
  6. Оновлення версії PHP
  7. Змінити пароль
  8. Двоетапна авторизація на електронну пошту
  9. Підключення CloudFlare

Тепер розберемося, як його правильно реалізувати.

У чому небезпека?

Так як WordPress є найпопулярнішою CMS в світі – вона також є основною мішенню для злому. Після злому трафік сайту може бути перенаправлений в деякі казино або сайти для дорослих, реклама може несподівано з'явитися на сайті, якого раніше не існувало, а в деяких випадках на сайт можуть вливатися шкідливі скрипти, для чого сайт буде заблокований на рівні домену і ICANN.

Розподіл CMS за популярністю:

У нас були ситуації, коли старий сайт, яким ніхто не займався, був зламаний, на нього виливалися шкідливі скрипти і сам сайт став становити небезпеку, в результаті чого був відправлений запит в міжнародний сервіс доменних імен ICANN, щоб зупинити роботу сайту і він був просто стертий з інтернету. Відновлення сайту зайняло близько 9 місяців, позиція сайту в результатах пошуку не відновилася.

Створення резервної копії

Кроки, описані в цій статті, в рідкісних випадках можуть привести до несправності сайту, тому перед початком роботи потрібно зробити резервну копію. Швидше за все, все пройде без проблем, але повинна бути резервна копія.

Як ви це робите? Найкраще написати в технічну підтримку хостингу і дізнатися, чи є у них резервна копія. Ось як виглядає цей розділ на прикладі хостингу Beget:

А сама сторінка інструменту резервного копіювання:

 

Оновлення сайту – основа безпеки

Головне, щоб сам сайт і всі його плагіни були оновлені. Оновлення – це не інформація на сайті, а саме скрипти, движок і самі шаблони. Оновлення є патчем безпеки в першу чергу, а не розширенням функціональності.

Як інсталювати всі оновлення? Давайте перейдемо сюди: Адмін-панель WordPress – Консоль – Оновлення, в https://promov.one/wp-admin/update-core.php тільки замість promov.one адреса вашого сайту.

Ось як виглядає сторінка під час інсталяції всіх оновлень:

І ось сторінка, де інстальовано не всі оновлення:

Відповідно, нам потрібно оновлюватися. Це може відбуватися в кілька етапів:

  1. Оновлення плагінів до останньої сумісності з CMS
  2. Оновлення CMS
  3. Нове оновлення плагіна
  4. Оновлення тем

Важливо! Оновлення зміненої теми призводить до втрати всіх змін. Щоб зберегти зміни, потрібно створити дочірні теми.

Увімкнення автоматичного оновлення

Після оновлення CMS WP в ньому буде доступна функція автоматичної установки всіх оновлень. Він повинен бути включений для:

  • Для CMS у розділі Оновлення
  • Для плагінів у розділі Плагіни

Ось як ви можете ввімкнути його в розділі плагінів:

Таким чином, ви можете включити його для всіх плагінів одночасно:

В результаті сторінка плагіна повинна виглядати так:

А сторінка розділу оновлень виглядає так:

Що робити, якщо він не оновлюється?

Ви можете зіткнутися з двома проблемами:

  1. Налаштування хостингу не дозволяють оновлюватися
  2. Плагіни не ліцензуються і тому не оновлюються

Якщо він не оновлюється через налаштування хостингу, ви можете отримати таке повідомлення:

Відомості про підключення

Для виконання запитуваної дії WordPress потрібен доступ до вашого сервера. Будь ласка, введіть координати доступу FTP. Якщо ви не пам'ятаєте координати, ви можете знайти їх в службі підтримки вашого хостинг-провайдера.

Це виглядає так:

У такій ситуації досить буде вказати дані FTP, які можна взяти у хостинг-провайдера:

Якщо плагіни не мають ліцензійного ключа, буде отримана помилка:

Сталася помилка під час оновлення Advanced Custom Fields PRO: Архів оновлення недоступний.

Сталася помилка під час оновлення All In One SEO Pack Pro: Архів оновлень недоступний.

Що це значить? Це означає, що плагін піратський. Тобто забудовник взяв його без ліцензії і встановив на сайті. А якщо ви запитаєте його про це, то він почне розповідати казки і вішати на вуха локшину про те, що плагін ліцензований просто немає ключа і т.д., але це все нісенітниця. Немає ключа = піратський плагін. Що робити? Два варіанти:

  1. Придбання ліцензійного ключа та оновлення
  2. Видаліть плагін і замість цього використовуйте безкоштовний з подібною функціональністю, якщо це можливо

Піратський плагін = немає оновлень = сайт рано чи пізно буде зламаний. Точки. Не підлягає обговоренню.

Підключіть SSL і перейдіть на HTTPS

Все просто, якщо на сайті немає HTTPS, то його трафік передається по старому відкритому протоколу HTTP і будь-яке проміжне посилання може перехопити всі дані. Включаючи паролі адмін-панелі.

Як ви це робите? Існує два способи:

  1. Інсталюйте сертифікат самостійно
  2. Підключення CDN CloudFlare

Найпростіший варіант – через з'єднання CloudFlare CDN, ось наша стаття про отримання безкоштовного SSL, а також є інструкції про те, як його встановити.

Встановіть нову версію PHP

Детальніше про це у нас є стаття про php версії для WordPress, в двох словах: потрібно встановити не менше 7,4, а краще 8.0. Ви можете перевірити, який з них встановлений зараз через інструменти – сайт здоров'я розділу:

А потім перейдіть на вкладку Сервер:

Якщо версія нижче 7.4, то ви повинні оновити. Принаймні, версія 7.4 повинна бути. Але якщо можна піднятися до версії 8.0 – це ще краще.

Оновлення паролів

  1. Адміністратор. Все просто – змініть пароль на новий, складний. Хіба не достатньо, де старий пароль вже встиг просочитися, поки сайт був без оновлень
  2. Усі редактори та користувачі з правами на публікацію
  3. FTP & Хостинг
  4. З вашої пошти

Увімкнути двоетапну авторизацію в пошті

Через пошту можна скинути пароль адміністратора. Хто володіє поштою, має доступ до сайту. Пошта повинна мати авторизацію з підтвердженням за кодом, SMS або будь-яким іншим другим фактором.

Перевірте розділ здоров'я сайту

Перейдіть до адмін-панелі, розділу Інструменти та там Здоров'я сайту. Вкладка Стан містить ряд керівних принципів, які іноді корисно реалізувати. На скріншоті нижче немає нічого критичного:

Але якщо є важливі зауваження, вони будуть позначені як обов'язкові для реалізації і виділені червоним кольором.

Окремі сайти на різних серверах

Якщо ви розмістите 20 сайтів на WP на одному хостинг-акаунті і вони не будуть ізольовані один від одного, то коли один зловмисник зламає, у нього буде доступ відразу до всіх сайтів. Тому або потрібно зберігати сайти на хостингу, які дозволяють ізолювати їх між собою або на різних рахунках.

Сохраняйте эту статью в закладки, мы постоянно актуализируем все материалы на сайте с обновлением поисковых алгоритмов. Любые вопросы и дополнения будем рады видеть в комментариях. А еще у нас есть отличные статьи на темы:

Оценка статей помогает нам становиться еще лучше и радует авторов материала
[Всего: 0 Средняя оценка: 0]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *