Как узнать, безопасен ли ваш сайт? Вы хотите провести тщательный аудит безопасности, чтобы выяснить это?
WordPress очень безопасен прямо из коробки. Однако если вы подозреваете, что что-то не так, то аудит безопасности поможет вам выявить все проблемы, которые необходимо решить.
В этой статье мы расскажем вам, как легко провести аудит безопасности WordPress, не выводя сайт из строя.
Что такое аудит безопасности WordPress?
Проведение аудита безопасности на вашем сайте WordPress означает проверку вашего сайта на наличие признаков нарушения безопасности. Вы можете выполнить проверку WordPress для поиска подозрительной активности, вредоносного кода или необычного падения производительности.
Мы покажем вам, как провести базовый аудит безопасности, выполнив простые шаги, которые можно выполнить вручную. Мы также покажем вам, как использовать инструменты и службы аудита безопасности WordPress для автоматической проверки безопасности.
Если вы обнаружили что-то подозрительное, то вы можете изолировать, удалить и исправить это.
Когда следует проводить аудит безопасности WordPress
Вы должны проводить аудит безопасности WordPress не реже одного раза в квартал. Это позволит вам оставаться на вершине всего и закрыть лазейки в системе безопасности еще до того, как они вызовут какие-либо проблемы.
Тем не менее, вы должны немедленно провести аудит безопасности, если заметили что-то подозрительное:
- Ваш сайт внезапно стал медленным и неповоротливым
- Вы наблюдаете падение посещаемости сайта
- На вашем сайте появились подозрительные новые учетные записи, запросы забытого пароля или попытки входа в систему
- Вы видите, что на вашем сайте появляются подозрительные ссылки
Учитывая это, давайте рассмотрим, как легко выполнить аудит безопасности WordPress.
Выполнение базового аудита безопасности WordPress вручную
Вот контрольный список некоторых шагов, которые вы можете предпринять для выполнения базового ручного аудита безопасности WordPress на вашем сайте.
1. Обновляйте ядро WordPress, плагины и темы
Обновления WordPress действительно важны для безопасности и стабильности вашего сайта. Они устраняют уязвимости в системе безопасности, добавляют новые функции и улучшают производительность.
Убедитесь, что ваше основное программное обеспечение WordPress, все плагины и темы обновлены. Вы можете легко сделать это, посетив Панель инструментов » Обновления страница в области администратора WordPress.
WordPress проверит, доступны ли какие-либо обновления, и затем перечислит их для установки. Если вам нужна дополнительная помощь, ознакомьтесь с нашими руководствами о том, как правильно обновлять WordPress и как правильно обновлять плагины WordPress.
2. Проверьте учетные записи пользователей и пароли
Далее необходимо проверить учетные записи пользователей WordPress, зайдя в раздел Пользователи » Все пользователи страница. Следите за подозрительными учетными записями пользователей, которых там быть не должно.
Если вы управляете интернет-магазином, сайтом членства или продаете онлайн-курсы, то у вас могут быть учетные записи пользователей для входа ваших клиентов.
Однако если у вас блог или бизнес-сайт, то вы должны видеть только учетные записи пользователей для себя или любого другого пользователя, которого вы добавили вручную.
Если вы видите подозрительные учетные записи пользователей, то вам необходимо их удалить.
Если ваш сайт не требует от пользователей создания учетной записи, то вам необходимо посетить Настройки » Общие страницу и убедитесь, что галочка напротив опции «Любой может зарегистрироваться» снята.
В качестве дополнительной меры предосторожности, вам необходимо изменить пароль администратора WordPress. Мы настоятельно рекомендуем добавить двухфакторную авторизацию для усиления безопасности паролей на вашем сайте.
3. Запустите проверку безопасности WordPress
Следующим шагом будет проверка вашего сайта на наличие уязвимостей безопасности. К счастью, существует несколько онлайн-сканеров безопасности, которые вы можете использовать для проверки на наличие вредоносных программ.
Мы рекомендуем использовать IsItWP Security Scanner, который проверяет ваш сайт на наличие вредоносных программ и других уязвимостей безопасности.
Эти инструменты хороши, но они могут сканировать только общедоступные страницы вашего сайта. Мы покажем вам, как проводить более глубокий аудит далее в этой статье.
4. Проверьте аналитику вашего сайта
Аналитика сайта поможет вам отслеживать посещаемость вашего сайта. Они также являются довольно хорошим индикатором здоровья вашего сайта.
Если ваш сайт был внесен в черный список поисковых систем, то вы увидите резкое падение посещаемости вашего сайта. Если ваш сайт работает медленно или не реагирует на запросы, то общее количество просмотров страниц снизится.
Мы рекомендуем использовать MonsterInsights для отслеживания трафика вашего сайта. Он не только показывает общие просмотры страниц, но вы также можете использовать его для отслеживания зарегистрированных пользователей, ваших клиентов WooCommerce, конверсий форм и т.д.
5. Настройте и проверьте резервные копии WordPress
Если вы еще не сделали этого, то вам необходимо немедленно установить плагин резервного копирования WordPress. Это гарантирует, что у вас всегда есть резервная копия вашего сайта на случай, если что-то пойдет не так.
Многие новички забывают о плагине резервного копирования WordPress после его установки. Иногда плагины резервного копирования могут перестать работать без какого-либо уведомления. Неплохо бы убедиться, что ваш плагин резервного копирования все еще работает и сохраняет резервные копии.
Выполнение автоматического аудита безопасности WordPress
Приведенный выше контрольный список позволит вам пройтись по наиболее важным аспектам аудита безопасности. Однако это не очень тщательный процесс, что означает, что ваш сайт все еще может быть уязвим.
Например, сложно вести ручной учет всех действий пользователей, различий в файлах, подозрительных кодов и прочего. Вот где вам нужен плагин для автоматизации аудита безопасности и ведения записей обо всем.
Вы можете автоматизировать этот процесс с помощью нескольких плагинов безопасности WordPress.
1. Автоматическое выполнение аудита безопасности с помощью WP Activity Log
Она позволяет отслеживать всю активность пользователей на вашем сайте. Вы можете просматривать все логины пользователей, IP-адреса и то, что они делали на вашем сайте.
Вы можете отслеживать пользователей WooCommerce, редакторов, авторов и других участников, имеющих учетную запись на вашем сайте.
Вы также можете включить любые события, которые вы хотите отслеживать, и выключить события, которые вы не хотите отслеживать.
Плагин также показывает вам живой вид всех пользователей, вошедших на ваш сайт. Если вы видите подозрительную учетную запись, вы можете сразу же завершить ее сеанс и заблокировать ее.
Вы можете узнать больше в нашем руководстве о том, как отслеживать активность пользователей в WordPress с помощью WP Activity Log.
2. Автоматическое выполнение аудита безопасности с помощью Sucuri
Sucuri — это лучший плагин брандмауэра WordPress на рынке, а также лучшее решение безопасности WordPress «все-в-одном», которое вы можете получить для своего сайта.
Обеспечивает защиту от DDoS-атак в режиме реального времени, блокируя подозрительную активность еще до того, как она достигнет вашего сайта. Он снимает нагрузку с вашего сервера и улучшает скорость/производительность вашего сайта.
Он поставляется со встроенным плагином безопасности, который проверяет ваши файлы WordPress на наличие подозрительного кода. Вы также получите подробный обзор активности пользователей на вашем сайте.
Самое главное, Sucuri предлагает бесплатное удаление вредоносных программ во всех своих платных тарифных планах. Это означает, что даже если ваш сайт уже пострадал, их эксперты по безопасности очистят его для вас.
Надеемся, что эта статья помогла вам узнать, как провести аудит безопасности WordPress на вашем сайте. Вы также можете узнать, как улучшить SEO WordPress, или ознакомиться с нашим списком лучших плагинов для целевых страниц WordPress.
Источник: www.wpbeginner.com