Многие владельцы сайтов на WordPress задаются вопросом безопасности сайта. Ведь каждый думает, хоть иногда, а как себя минимально защитить. Но к сожалению иногда не просто думают, а как говорится "пока петух не клюнет" ... Да и в интернете полно статей, но все они под копирку с неактуальной информацией.
Защита сайт на WordPress
Давайте начнем с того, что сам по себе движок WordPress устойчивый к атакам и уязвимостям при условии актуальной версии и конечно сложного пароля. Ведь движком пользуются миллионы людей и очень много хакеров его ежедневно тестируют и ищут уязвимости. И как только уязвимость найдена, ее быстренько исправляют. Поэтому как описал выше, актуальность версии на первом месте. Но все же какая никакая защита сайта на вордпресс нужна, хотя бы понимать основы не надеясь что "и так сойдет ..."
Плагины и темы
Тоже самое относится и к плагинам и темам. Нужно обязательно поддерживать актуальную версию плагина, особенно если плагин популярный, например ACF или какой либо конструктор сайтов типа Bricks Builder или Elementor .
Например в Elementor в последних версиях то и дело находились уязвимости и их вовремя закрывали. Тоже самое недавно было с Bricks . Как только плагин обрел достаточную популярность, то сразу нашлась критическая уязвимость в версиях ниже 1.9.6 🙁 и на обновление дали времени ровно 24 часа. Т.е кто не успели, то 100% вероятностью загружались шеллы, вирусные скрипты, скрипт спамеры итд. И это не фантастика, лично проверено много раз.
Хостинг
Следующий не мало важный момент в защите сайта это выбор хостинга. Лучше конечно выбирать среди известных хостеров и если знаний мало, то только шаред хостинг, т.е не VPS или VDS . Ведь обычно услуга виртуального хостинга (шаред хостинг) включает в себя множество правил безопасности и защиты от ддос атаки. Мало того, если у Вас несколько сайтов на аккаунте, то обязательно у своего хостера уточните, ваши сайт изолированы друг от друга? Если нет, то вирус может распространится на другие сайты.
Резервные копии
Вроде резервное копирование в безопасности сайта это основное, но многие пренебрегают этим. Нужно сразу проверить, что хостер делает, есть ли достаточные резервные копии и хорошо если есть на пару недель. Но и самому тоже можно позаботиться. Я писал статью про плагины резервных копий.
Плагины для защиты сайта на WordPress
Плагинами можно закрыть часто используемые уязвимые места, особенно когда нет уверенности не в себе , не в хостинге . Ниже покажу удобные плагины для защиты, а так же контроля файловой системы.
Solid Security - комплексная защита
Мой любимый плагин в последнее время. В нем есть все базовые фишки для защиты, а так же он очень удобен в использовании. Из основного, плагин может забанить настойчивых переборщиков паролей, закрыть доступ к директориям и файлам, мониторить файловую систему (ниже покажу как включить) и делать резервную копию базы данных. Но и это не все. Плагин теперь еще и проверяет плагины по базе уязвимостей и если есть такие то он отображает их и отправляет уведомление на почту. Страница плагина
Примеры главного экрана плагина
А ниже как и обещал, инструкция как включить мониторинг файлов. Почему то по умолчанию не включено и всегда нужно на это прямо обращать внимание. Там же можно исключить некоторые директории из сканирования, например директория с кешем.
Если плагин выше излишен
Тут я оставлю два плагина (и услугу), которые тоже можно и нужно использовать, если плагин выше по каким либо причинам излишен.
Melapress File Monitor - плагин мониторинга файловой системы. Аккуратный, удобный и проверенный в работе. До версии 2.0 был совсем хороший, но его полностью переписали и скорость стала вальяжной. Справляется с поставленной задачей. Как только что то поменяется в файлах системы, он пришлет сообщение на почту.
Мониторинг изменений файлов на сайте - это платное решение, но оно хорошее. Контроль изменения файлов с отправкой отчетов. Мониторит важные параметры изменений и помогает вовремя отреагировать на взлом сайта. Сам пользуюсь данным решением, так как разработчик мой знакомый. Рекомендую. 🙂
WPVulnerability - отличный и в тоже время простой плагин для поиска информации о уязвимых плагинах установленных в системе. Как только в базе уязвимостей появится информация, плагин сразу сообщит. И вам останется только принять решение, по обновлению, на основе критичности уязвимости.
.
.
И вот на этом пока все. Думаю теперь вы точно сможете базово защитить свой сайт на wordpress, ведь для этого теперь у вас есть очень удобные плагины в которых можно просто разобраться и использовать.