Защо и как да защитим нашия WordPress сайт?
Защо е важно да защитим нашия уебсайт?
Когато започвате да правите нов уебсайт, Вие започвате с идея за онлайн бизнес, от който да изкарвате пари, блог, в който да създавате интересно съдържание, или някаква друга уеб платформа. Какъвто и да е случаят с Вашия сайт, то Вие ще инвестирате време, знания и пари, за да стартирате този онлайн проект.
Ако работещият Ви сайт бъде хакнат, това може да нанесе значителни поражения върху Вашия бизнес и репутация.
Хакерите биха могли да получат пълен достъп до Вашата система и да откраднат лична информация за потребителите Ви, пароли. Биха могли да инсталират зловреден софтуер (така наречените вируси, троянски коне и други неприятни програми). В още по-лош сценарий – хакерите биха могли да използват рансомуеър – изнудващ зловреден софтуер, който ще Ви принуди да заплатите немалка сума, за да си върнете сайта обратно.
Всички тези сценарии са причината уеб сайтовете да се защитават стриктно, за да се осигури възможно най-сигурна среда за развитие на Вашия онлайн бизнес, блог, визитка.
WordPress е сред най-предпочитаните платформи за създаване на сайтове. Свободата, която предлага на потребителите, е най-голямото му преимущество. Но за нетехнически хора това може да доведе до множество пропуски в сигурността, ако не се следи внимателно.
Как да защитим нашия WordPress?
Обновявайте WordPress до най-новата версия редовно
WordPress е в постоянно активно разработване. Това означава, че периодично се появяват подобрения с оправени бъгове, премахнати пропуски в сигурността. В официалната страница на WordPress може да следите колко много грешки са оправени във всяка нова версия. Така ще придобиете представа защо е важно да сте винаги с последните промени.
Също така не трябва да забравяте, че WordPress е изграден от множество разширения, които са независими от организацията, която стои зад WordPress. Тези разширения трябва да бъдат поддържани до последните си версии. Може да следите различни новинарски емисии, които публикуват критични пропуски в сигурността на популярните разширения и да проверявате дали не сте засегнати. Wordfence споделят редовно за проблеми в най-разпространените разширения в категория „уязвимости“.
Трябва да внимавате, когато обновявате работещ сайт. Не бихте искали онлайн магазинът, от който набавяте част от приходите си (или целия си приход), да се счупи и да изчезне за няколко часа или дни от интернет пространството. Препоръчваме Ви да правите тестово обновяване на Вашата система, преди реално да обновите публичния сайт.
Използвайте сигурни пароли за администриране на сайта
Всеки WordPress сайт има няколко администраторски потребители – един за хостинг профила и поне един за администриране на WordPress. Тези потребители имат пълни права да променят Вашия сайт. Ако не сте подсигурили добро потребителско име и трудна за налучкване парола, то Вашия сайт лесно може да стане мишена на лоши хакери. Може да разгледате статията, в която даваме съвети за избиране на сложна или дълга парола.
Сменете името на „admin“ потребителя
Често пъти инсталацията на WordPress се случва автоматично с помощта на хостинг доставчика. И тази готова инсталация идва с администраторски профил с потребителско име admin. Това е може би най-лошото, което могат да предложат хостинг доставчиците. Ако имате такъв случай, то незабавно преименувайте този потребител, защото злонамерените хакери ще започнат да налучкват точно неговата парола.
Потребителското име може да бъде сменено посредством разширение или през базите данни на Вашия сайт. Най-лесно ще бъде да си създадете нов администраторски профил и да изтриете стария. Препоръчваме Ви да го изискате от разработчиците, които поддържат технически сайта (освен ако това не сте самите Вие).
Изключете индексирането и разглеждането на файлове
Ако нямате представа какво означава това, то отново ще Ви посъветваме да се обърнете към хората, които поддържат сайта Ви. Ако ползвате Apache HTTP server, има вероятност той да е настроен да показва списък с Вашите директории и файлове. Това може да разкрие прекалено много информация и някой злонамерен хакер да се възползва от нея.
Затова препоръчваме да изключите тази опция от Apache сървъра, като добавите в .htaccess файла следния ред:
Options -Indexes
Това е една малка част от стъпките за подсигуряване на Вашия WordPress сайт. В никакъв случай не е достатъчно да изпълните всички стъпки, но ако сте покрили поне тези точки, то може да кажем, че имате един добре защитен сайт.