Безопасность WordPress
Добрый день!
В данный момент изучаю ВордПресс, но столкнулся с тем, что многие уверяют что система небезопасна из-за открытого кода.
Читал о том, что сайты взламываются, также делаются некие SQL-иньекции и много чего еще. Собственно проблема в том, что как я понял нет 100%-ной гарантии защитить ВордПресс. Из-за этого при выборе CMS выбор клиента чаще всего останавливается на Битриксе от 1С просто потому, что они гарантируют безопасность и разного рода поддержку.
Собственно как-то не очень хочется связываться с Битриксом и продолжить работать с ВордПресс.
Исходя из этого у меня вопрос: как максимально защитить ВордПресс не хуже чем платных CMS, чтобы клиент был уверен в бесперебойной работе сайта?
настроить базовую безопасность (пароли, доступ к файлам, скрыть версии, отключить ненужное и т.д.) Для базовой настройки можно использовать какой-нибудь плагин, вроде iThemes Security, затем удалить
не ставить никаких дополнительных плагинов, или строго ограничить. WordPress не является настолько дырявым насколько может показаться, а потенциальные уязвимости быстро устраняются. Чаще всего ломают сайты банально просто потому что владельцы забывают обновлять своевременно код движка и плагинов.
настроить файервол, блокировать страны, IP, юзер-агент, ограничить попытки входа, обращение к 404 и т.д.
качественный хостинг и тариф с защитой
подключить прокси, типа Cloudflare, защищает от DDoS атак, имеет собственные правила фильтрации, + возможность подключить бесплатный SSL сертификат
Помнить, что любое несоблюдение правил безопасности приведет к потенциальному взлому. У вас просто могут угнать пароли из дырявого FTP клиента, и вся остальная защита до фени.
И еще зависит кто использует и админит сайт. Есть ли регистрация/аутентификация, роли пользователей, тип сайта, частота наполнения/динамичность содержания
100% защиты нет. Захотят - поломают.
В сети есть руководства по безопасности, в том числе ваш покорный слуга также содержит основную рубрику по безопасности, но следует понимать что ни одно из этих руководств не обеспечит спокойный сон на долгое время. В моей практике видел сайты хорошо защищенные технически, но в то же время постоянно страдающие от взломов и вирусов.
Нужно учитывать слабые места конкретно на своем сайте. И из его слабых мест подымать безопасность.
Как правило, иметь хороший антивирус и хороший файервол не повредит. Но желательно не плагинами, а на уровне сервера.
Если есть потребность побольше в защищенности, тогда используйте сервис-стек предлагающий такую услугу. Вряд ли это будет стоить дороже спеца, которого можно отдельно нанять.
Ну и разумеется без хорошего админа, сайт не будет устойчивым в своей работе и безопасности. Хороший админ маст хэв, а если его нет, тогда точно сторонний сервис-стек...
Ок. А есть варианты с двухфакторной аутентификацией??? Например доступ в админку WordPress (то-есть пользователь с правами администратора) чтобы осуществлялся только через запрос специального кода, который приходит на мобильный телефон и действует только в течении пары минут. То же самое с хостингом.
Просто как я понимаю даже хорошо защищая свои сайт - я не гарантирую того, что он будет защищен на 100%. Если кому-то сильно приспичит, то он своего добьется
В целом постараюсь погуглить и найти еще статьи по поводу защиты сайта на ВордПресс и да - действительно ли Битрикс настолько безопасный что там по этому поводу по сути даже парится не надо? Просто если это так - клиентов будет сложно переубедить
В плагине Wordfence есть двухфакторная аутентификация задействуя мобильный телефон, а также есть хороший фаерволл - но это доступно в премиум версии.
В кодексе https://codex.wordpress.org/Two_Step_Authentication в конце страницы есть ряд других плагинов.