5 правила, за подобряване на сигурността в WordPress
Съдържание 1. Защо сигурността на WordPress е важна? 2. Защитата на WordPress не е plug-and-play 3. Използването на множество плъгини не е добра идея 4. Следете трафика и линковете (входящи – изходящи) 5. Безопасен ли е WordPress?
В тази статия не искам да говоря за технически подробности, а да дам практически насоки относно сигурността на WordPress. CMS-а който задвижва 43% от всички сайтове в Интернет.
Хакнат WordPress бизнес сайт ще причини сериозни щети на приходите и репутацията на Вашия бизнес. Ако хакерите успеят да получат достъп до админ панела на сайта те могат да откраднат всякаква информация която има стойност, да инсталират злонамерен софтуер за събиране на пароли и данни на банкови карти и да разпространяват зловреден софтуер на Вашите потребители.
За съжаление, хората обикновено се запознават със сигурността на уебсайта им, чак когато той е подложен на атака, или е вече хакнат, напълнен със SEO спам, попаднал в черния списък на антивирусните програми или наказан от Google за разпространение на зловреден софтуер.
За какво ти е сайт?
Защо трябва да повишим сигурността на WordPress сайт?
Няма бизнес вече с този сайт, той е компрометиран и най-доброто решение което можете да направите е да го изоставите и да си купите нов домейн. Но ако сте градили бранд и търговска марка години наред, ще трябва да потърсите специалисти които да Ви помогнат. С правилните хора сайта ще бъде почистен и възстановен в SERP на търсачките като преживяното трябва да Ви остане като обица на ухото, за необходимостта от грижи които трябва да полагате за сайта си.
Има стотици доставчици на сигурност на WordPress, които всички твърдят, че плъгинът им е „най-добрият“, „най-пълен“ и „единственото нещо, от което се нуждаете“. Разбираме маркетинговите усилия, но в този вид послания се крият много сериозни проблеми.
1. Защо проверките за сигурност на WordPress са важни?
WordPress сайтовете се хакват и заразяват всеки ден по света. Можете да прочетете доклада на Sucuri за 2019 hacked website report в който WordPress е любимец на хакерите с впечатляващите 94%. Всеки публичен уебсайт е ресурс и следователно мишена, ако не е защитен.
Независимо дали става дума за GDPR данни на клиенти, (като мейли, лични данни, подробности за доставка и банкови карти, или просто ресурси на сървъра), всичко това е нещо, което хакерите могат да използват за генериране на приходи или за правене на золуми. Вие сте просто способа чрез който да достигнат до целта си.
2. Защитата на WordPress не е set it and forget it
Ако собственика на сайта не разбира от киберсигурност може да наеме специалист който да се грижи за сигурността. Не се доверявайте на услуги, които обещават 100% сигурност, защото сигурността е процес който трябва да се разглежда повече като непрекъснато управление на риска. В Интернет риска е напълно реален и лошите дебнат на всяка крачка за да намерят незащитени или слабо защитени сайтове които да им станат донори.
Ако имате онлайн магазин е задължително да ползвате абонаментни услуги на фирма която се занимава с киберсигурност.
3. Използването на множество плъгини не е добра идея
В началото на съществуването си през 2003 WordPress беше замислен като лична блог платформа. От тогава минаха 20 години и вече на него може да се подкара всякакъв бизнес сайт или e-shop. Чрез плъгини може да се променят и подобряват всякакви нужди на системата но наличието на много плъгини не е добра идея.
Освен очевидното натоварване на сайта и сървъра, и загубата на скорост, всеки допълнителен плъгин е потенциална заплаха за проблем. През компрометиран плъгин хакерите могат да проникнат в сайта.
За това виждате в админ панела си честите подканвания за актуализация на ядрото, плъгините и темите, които гарантират че уязвимостите са запушени. Но ако собственика спи, проблемите растат лавинообразно.
4. Следете трафика и линковете (входящи – изходящи) на сайта
Наблюдавайте трафика, който вашият уебсайт получава, и предприемайте действия срещу злонамерен или подозрителен трафик. Ако количеството на подозрителни боклучави линкове се увеличава с бързи темпове е знак че нещо не е наред. Това може да бъде атака към сайта (negative seo) с цел опетняване на репутацията ви и понижаване в класациите му по ключови думи в google, и ако не се предприемат мерки, сайтът ще губи позиции, клиенти и пари.
Как да класирам сайт в google?
Най-добрия софтуер за следене на линкове е ahrefs. Най-евтиния план почва от 99$, но си струва всеки цент. Ако сте финансово притеснени и тази сума е непосилна за джоба Ви, погледнете Group buy SEO tools което е услуга за предоставяне на споделени ресурси на професионални инструменти на изключително ниски цени. Тук е едно мое старо ahrefs ревю от 2013.
5. Безопасен ли е WordPress?
Самият CMS WordPress е защитен, но това, което го прави уязвим, са теми и плъгини от трети страни, които се използват за подобряване на неговата функционалност. Статистиката показва, че над 90% от уязвимостите на WordPress са свързани с теми и плъгини от независими разработчици които споделят с общността. Ако не актуализирате ядрото при поява на нова версия сайтът Ви също не е защитен.
Можете да видите списък с уязвимости на WordPress тук. Поради тази причина е важно да разберете че сигурността на WordPress е много повече от един плъгин за сигурност или силни пароли. Това е процес.
Съвети за сигурност и поддръжка на WordPress сайт
WordPress е един прекрасен продукт който помага на милиони хора по света да изградят своя сайт. Но след създаването му следва един много дълъг път в който ще научиш толкова много неща като (конфигурация, настройки на хостинг, SSL сертификати, theme and plugin development, security, SEO стратегии, link building и т.н) преди да изкараш първият лев от сайта.
Довери се на професионалисти с които заедно ще следвате мечтите си.
