WordPress как на ладони
wordpress jino

Безопасность WordPress

Добрый день!

В данный момент изучаю ВордПресс, но столкнулся с тем, что многие уверяют что система небезопасна из-за открытого кода.

Читал о том, что сайты взламываются, также делаются некие SQL-иньекции и много чего еще. Собственно проблема в том, что как я понял нет 100%-ной гарантии защитить ВордПресс. Из-за этого при выборе CMS выбор клиента чаще всего останавливается на Битриксе от 1С просто потому, что они гарантируют безопасность и разного рода поддержку.

Собственно как-то не очень хочется связываться с Битриксом и продолжить работать с ВордПресс.

Исходя из этого у меня вопрос: как максимально защитить ВордПресс не хуже чем платных CMS, чтобы клиент был уверен в бесперебойной работе сайта?

0
Гость год назад
  • 2
    shevan215 cайт: wp-best.ru
    1. настроить базовую безопасность (пароли, доступ к файлам, скрыть версии, отключить ненужное и т.д.) Для базовой настройки можно использовать какой-нибудь плагин, вроде iThemes Security, затем удалить

    2. не ставить никаких дополнительных плагинов, или строго ограничить. WordPress не является настолько дырявым насколько может показаться, а потенциальные уязвимости быстро устраняются. Чаще всего ломают сайты банально просто потому что владельцы забывают обновлять своевременно код движка и плагинов.

    3. настроить файервол, блокировать страны, IP, юзер-агент, ограничить попытки входа, обращение к 404 и т.д.

    4. качественный хостинг и тариф с защитой

    5. подключить прокси, типа Cloudflare, защищает от DDoS атак, имеет собственные правила фильтрации, + возможность подключить бесплатный SSL сертификат

    6. Можно подключить целый стек безопасности, например от Sucuri, правда чтобы спать спокойно придется платить ежемесячную/годовую плату.

    Помнить, что любое несоблюдение правил безопасности приведет к потенциальному взлому. У вас просто могут угнать пароли из дырявого FTP клиента, и вся остальная защита до фени.

    И еще зависит кто использует и админит сайт. Есть ли регистрация/аутентификация, роли пользователей, тип сайта, частота наполнения/динамичность содержания

    100% защиты нет. Захотят - поломают.

    В сети есть руководства по безопасности, в том числе ваш покорный слуга также содержит основную рубрику по безопасности, но следует понимать что ни одно из этих руководств не обеспечит спокойный сон на долгое время. В моей практике видел сайты хорошо защищенные технически, но в то же время постоянно страдающие от взломов и вирусов.

    Нужно учитывать слабые места конкретно на своем сайте. И из его слабых мест подымать безопасность.

    Как правило, иметь хороший антивирус и хороший файервол не повредит. Но желательно не плагинами, а на уровне сервера.

    Если есть потребность побольше в защищенности, тогда используйте сервис-стек предлагающий такую услугу. Вряд ли это будет стоить дороже спеца, которого можно отдельно нанять.

    Ну и разумеется без хорошего админа, сайт не будет устойчивым в своей работе и безопасности. Хороший админ маст хэв, а если его нет, тогда точно сторонний сервис-стек...

    Олег год назад

    Ок. А есть варианты с двухфакторной аутентификацией??? Например доступ в админку WordPress (то-есть пользователь с правами администратора) чтобы осуществлялся только через запрос специального кода, который приходит на мобильный телефон и действует только в течении пары минут. То же самое с хостингом.

    Просто как я понимаю даже хорошо защищая свои сайт - я не гарантирую того, что он будет защищен на 100%. Если кому-то сильно приспичит, то он своего добьется

    В целом постараюсь погуглить и найти еще статьи по поводу защиты сайта на ВордПресс и да - действительно ли Битрикс настолько безопасный что там по этому поводу по сути даже парится не надо? Просто если это так - клиентов будет сложно переубедить)))

    shevan год назад

    В плагине Wordfence есть двухфакторная аутентификация задействуя мобильный телефон, а также есть хороший фаерволл - но это доступно в премиум версии.

    В кодексе https://codex.wordpress.org/Two_Step_Authentication в конце страницы есть ряд других плагинов.

    Комментировать
На вопросы могут отвечать только зарегистрированные пользователи. Регистрация. Вход.