Веб-безопасность превратилась в одну из самых важных проблем, с которыми мы сталкиваемся — прямо там с дизайном и разработкой. И те из нас, кто использует систему управления контентом с открытым исходным кодом, такую как WordPress, находятся под еще большим давлением для ужесточения безопасности. Несчастный факт состоит в том, что с течением времени задача будет только осложняться.
WordPress сам по себе является объектом множества автоматических атак. Боты пытаются выполнить логические операции с грубой силой, инъекции скриптов и баз данных, а также множество других вредоносных действий. Но, предотвращая бот-атаки, жизненно важно, они далеки от единственной угрозы, с которой нужно иметь дело.
Действительно, есть и другие основания, которые нам нужно покрыть. Помимо автоматизированных угроз, изменение человеческого поведения может стать еще более важным шагом в обеспечении безопасности сайта WordPress. Имея это в виду, вот 5 вещей, которые мы можем сделать сейчас, чтобы улучшить безопасность.
Содержание статьи
1. Обучить пользователей лучшим практикам
Часть описания работы дизайнера часто включает в себя обучение клиентов. Но в то время как мы склонны сосредотачиваться на основах управления контентом, это также прекрасная возможность поговорить о безопасности. Я знаю, это звучит как потенциально сложная дискуссия, но это не обязательно.
То, что действительно нужно знать пользователям, — это основа безопасности в Интернете. Это означает:
- Использование сложных паролей, которые трудно взломать.
- Обеспечить доступ к исходному коду только тем, кто в ней нуждается.
- Обновляйте основное программное обеспечение, плагины и темы (если это их ответственность).
- Не устанавливайте плагины без необходимости взвешивания против риска.
- Еще лучше, оставьте плагиновые решения профессионалам.
Эти предметы относятся к WordPress, но они также могут применяться более широко. Идея состоит в том, чтобы заставить пользователей задуматься о том, что они делают, чтобы предотвратить любые ненужные риски.
2. Выберите плагины и внимательно следите за ними
Если вы потратите достаточно времени на создание сайтов WordPress, вы обнаружите, что не все плагины созданы одинаково. Поскольку любой может (возможно, по крайней мере) написать плагин, качество может сильно различаться. Поэтому очень важно немного изучить, прежде чем устанавливать плагин. Посмотрите, как часто он обновляется, посмотрите на форумы поддержки и, если есть, номера использования. Это даст вам хотя бы некоторое представление о том, как хорошо все это работает.
Но как только вы решили использовать плагин, это не гарантирует плавного перехода отсюда. Скорее, подумайте о каждом подключаемом модуле, который вы устанавливаете, как о своей собственной текущей проблеме обслуживания. Плагины могут устареть или отказаться, поскольку у авторов больше нет времени или интереса к их поддержанию. Мы также видели, как плагины были невольно проданы злоумышленникам.
Чтобы помочь бороться с этими возможностями, стоит оставаться на высоте. Это означает знать, какие плагины вы используете, оставаясь в курсе новых версий и обычно обращая внимание на новости, связанные с WordPress.
Наконец, потребуется некоторое время, чтобы регулярно проверять сайты, которые вы поддерживаете. Один простой способ уменьшить риск — просто удалить любые плагины, которые неактивны или больше не нужны. Это само по себе поможет сократить потенциальные проблемы.
3. Использовать SSL
Раньше было, что SSL был только для сайтов электронной торговли или тех, которые обрабатывали конфиденциальную информацию. В эти дни он стал стандартом. В последнее время как браузеры, так и поисковые системы считают, что это достаточно важно, чтобы предупредить пользователей о сайтах, которые все еще работают через http.
Проблема, с которой мы сталкиваемся как дизайнеры, заключается в том, что, хотя достаточно легко добавить SSL на сайт WordPress, мы не всегда принимаем решения, когда речь заходит о приобретении сертификата. В этих случаях мы должны защищать SSL и информировать клиентов о том, почему его больше нельзя считать необязательным.
Если нам повезет, наш веб-хост предоставляет доступ к бесплатным сертификатам через службу, например, Let's Encrypt. Если нет, тогда нам решать, по крайней мере, недорогую альтернативу.
4. Используйте руку помощи
Мы, люди, не можем следить за нашими сайтами каждую минуту каждого дня. Но есть инструменты, которые будут держать бдительный глаз, 24/7. Плагины безопасности, такие как Wordfence или iThemes Security, являются отличными вариантами, так как они ищут подозрительный код и поведение.
Например, эти типы плагинов могут ограничивать неудачные попытки входа в систему, предотвращать запуск вредоносного кода и предупреждать вас, когда у вас устаревшее программное обеспечение. Премиум-версии добавляют лакомства, такие как блокирование по странам и двухфакторная аутентификация.
Значение этих плагинов заключается в том, что они обрабатывают общие угрозы как ботов, так и людей. Они не сделают ваш сайт 100% пуленепробиваемым, но они предлагают дополнительный уровень защиты. Более важно то, что они могут предоставить вам полезную информацию, которая может привести к более безопасному сайту.
5. Отключить ненужные функциональные возможности
Новая версия WordPress поставляется с множеством встроенных функций. Но есть хороший шанс, что вы не будете использовать каждую отдельную функцию. Поэтому нет смысла оставлять их включенными.
Комментарии были бы самым большим виновником здесь. Не все сайты должны активировать их, и те, кто это делает, должны использовать некоторую тяжелую защиту от спама. Если сайт, который вы строите, не нуждается в этой функции, используйте параметры обсуждения в WordPress, чтобы отключить его.
Кроме того, посмотрите на другие функции, которые вы не можете использовать, такие как REST API, Gravatars и XML-RPC как потенциальные элементы для отключения.
Угроза нашей собственной безопасности
Возможно, самая большая угроза безопасности сайта WordPress — это не какое-то автоматическое нападение, а наше собственное поведение. Поэтому, изменяя наши действия, мы можем сделать наши сайты намного труднее компрометировать.
У ступеней выше всего, похоже, есть одна общая нить — проактивная. Поделившись знаниями, исследуя основы используемого нами программного обеспечения и применяя безопасные методы до возникает проблема, мы используем менталитет безопасности. Хотя это не позволит нам остановить все мыслимые угрозы, это ставит нас в наилучшее возможное положение для боя.