В связи с тем, что WordPress является самым популярным бесплатным движком в среде веб-разработки, вопросы, связанные с безопасностью ресурсов, функционирующих на его основе, все чаще обсуждаются в сети. В статье рассматриваются основные проблемы, сопряженные с безопасностью сайта, которые в большинстве случаев можно решить собственными силами.
Эта проблема действительно актуальна на данный момент. Хотя вокруг нее возникает немало мифов, которые на самом деле связаны не со слабыми местами в платформе WordPress, а в большей степени зависят от того, насколько серьезно и тщательно вы подходите к вопросу безопасности вашего ресурса и его своевременного обслуживания.
Уверенность в том, что ваш ресурс не представляет никакой ценности для злоумышленников.
Это большое заблуждение. Даже в том случае, если контент вашего сайта не интересен хакерам, то он с успехом может быть использован ими в других целях:
- перенаправление вашего входящего трафика на другие ресурсы;
- распространение спама;
- размещение на вашем сайте вредоносного кода с целью сбора личных данных его посетителей.
Сто процентной защитой не обладает ни один ресурс в Интернете.
Всегда помните об этом и регулярно производите резервное копирование всех файлов вашего сайта и базы данных. Периодичность такой процедуры должна быть ежедневной, так как от резервной копии базы данных двух месячной давности будет мало пользы. Все веб-ресурсы в сети имеют уязвимости в безопасности, поэтому вопрос взлома определенного сайта зависит от его ценности.
Вы используете wp-плагины только из репозитория WordPress.org.
Этот фактор хотя и является существенным, повышающим уровень безопасности вашего сайта, но все же не дает сто процентной гарантии. Причина в том, что плагины, находящиеся в базе данных официального разработчика проходят проверку модераторами только на начальном этапе добавления их на ресурс. В процессе эксплуатации плагина могут быть выявлены уязвимости, с которыми можно ознакомиться на сайтах, специализирующихся на освещении вопросов безопасности программных продуктов и различных форумах. Старайтесь не использовать сомнительные плагины. На официальном сайте WordPress.org размещено множество плагинов для реализации любой функциональности на вашем ресурсе, применение которых в разы повысит защиту сайта.
Вы выполняете обновление WordPress при каждом заходе в административную панель.
Все верно, поступая таким образом вы исправляете ошибки допущенные разработчиками программных продуктов ранее, но важным моментом в этом вопросе является своевременность выполнения обновлений. Для того, чтобы как можно быстрее реагировать на выход новых обновлений для движка WordPress, нужно воспользоваться специальным плагином (Update Notifier), уведомляющим о выходе обновлений мгновенно, присылая сообщения на вашу почту. Даже в том случае, если у вас нет необходимости входить в админ панель вашего сайта длительное время (нет новых публикаций или ваш ресурс статический) — уделяйте внимание своевременному обновлению платформы вашего сайта.
В безопасности сайта есть моменты, требующие вашего прямого участия.
WordPress плагины, предназначенные для защиты сайтов лишь помогают вам повысить безопасность ресурса. Они справляются со своей задачей очень хорошо, но существует множество мест, которые им не подвластны. Обратите на них особое внимание:
- мощная антивирусная защита;
- защита сетевого соединения протоколом SFTP (SecureFTP);
- сложные и надежные пароли;
- дополнительная защита контактной информации и конфиденциальных файлов;
Уделяйте внимание не активным плагинам.
Многие полагают, что неактивные плагины, которые на данный момент отключены, но все еще находятся на сайте, ни каким образом не влияют на безопасность веб-узла. В действительности это не так. Даже отключенный плагин доступен извне и если вы знаете, что он может стать причиной проблем, то лучше его удалить. А для обеспечения соответствующих функций воспользуйтесь более надежной альтернативой или дождитесь обновления проблемного плагина. Даже отключенные плагины должны обновляться вовремя.
Факт взлома сайта может обнаружиться не сразу.
В случае применения грубого метода взлома, например дефейса, его результаты вы увидите сразу, но если на ваш ресурс вторглись с целью получения находящейся на нем информации, то факт такого проникновения может быть скрыт от вас длительное время. В таком случае злоумышленники не заинтересованы в обнаружении и стараются как можно незаметнее делать свое дело, а именно:
- помещение скрытого текста и кода на страницы вашего сайта;
- перенаправление входящего трафика на сторонний ресурс;
- рассылка спама в умеренных количествах;
По этой причине необходимо постоянно тщательно анализировать все события, происходящие на вашем сайте, которые регистрируются в соответствующих логах и отражаются в статистических данных. И при необходимости принимайте срочные меры.
Уделите особое внимание паролю.
Даже если используемый вами пароль, по вашему мнению, очень надежен, то необходимо придерживаться важных правил, предотвращающих его кражу. Вот они:
- не пользуйтесь одним паролем доступа к различным сервисам и ресурсам;
- длина пароля должна быть не меньше 8 символов;
- он должен содержать буквы различного регистра, цифры и специальные символы;
- никогда не включайте в состав пароля ваши личные данные (имена членов семьи, клички, адреса, даты и т.д.);
- по возможности меняйте пароль каждые полгода, а если сфера деятельности вашего сайта касается банковских операций и т.п., то делайте это не реже одного раза в месяц.
Резюме.
Все, рассмотренные выше моменты дают нам понять, что вопрос безопасности веб-узла является многосторонним. И необходимо в равной степени уделять максимум внимания каждому из них. Только при таком, комплексном подходе можно свести вероятность взлома вашего сайта к минимуму, тем самым сберечь не только ваши средства и усилия, но и нервы.
С уважением Автор.