Меню Затваряне

Защита на уебсайт: как да се предпазите от атаки през 2020

Искате да осигурите добра защита на уебсайт?

В тази статия ще разгледаме няколко ефективни техники за предпазване от популярни онлайн заплахи.

WordPress захранва около една трета от всички сайтове в интернет. Затова ще се съсредоточим върху защита на сайтове, създадени с тази система за управление на съдържание. Повечето от съветите обаче са валидни и за други платформи.

Базова защита на уебсайт: започнете с това

защита на уебсайт

Ще започнем с няколко правила, които всеки може да спазва без усилия и разходи.

1. Използвайте силна парола

Омръзна ми да го повтарям, но просто е неизбежно.

Спрете да използвате лесни за отгатване пароли. Наскоро анализирах 25000 хакнати акаунти на българи.

Знаете ли какво открих?

Над 5% от тях използват 123456 за парола.

Използвайте трудни за отгатване пароли, които съдържат комбинация от малки и големи букви, числа и символи. Или още по-добре: използвайте фрази, които са трудни за отгатване, но са лесни за запомняне.

Не използвайте една и съща парола за достъп до вашия уебсайт и други онлайн услуги (например профил във Facebook).

Още полезни съвети при избора на парола.

2. Активирайте двуфакторна автентикация

Дори и някой да знае паролата за администраторския панел на сайта, двуфакторната автентикация ще осуети опита му да се логне.

Какво се случва, когато автентикацията е налице? Някой е научил паролата, прибира се вкъщи, открива логин панела на сайта ви и се опитва да се логне от ваше име.

Но двуфакторната автентикация засича, че опитът за влизане е от непознато устройство. Затова системата изпраща на мобилния ви телефон втори код, който трябва да се въведе, преди да позволи влизането. Тъй като натрапникът не разполага с мобилния ви телефон, той не може да влезе в администраторския панел на сайта.

За да защитите WordPress сайта си с двуфакторна автентикация, ще трябва да инсталирате плъгин. Можете да използвате Google Authenticator, който се инсталира лесно и е безплатен. Освен плъгина, ще трябва да си инсталирате и мобилното приложение Google Authenticator, което ще генерира кодове за достъп.

3. Инсталирайте спам филтър

Най-известният такъв е Akismet, но можете да си изберете и друг. Дори и да не ви се занимава с това, рано или късно ще ви се наложи.

Щом спамърите ви надушат, сайтът ви ще започне да се пълни с хиляди коментари, които го забавят и превръщат разглеждането му в ад. Много коментари съдържат линкове към сайтове с нисък ранк или забранено съдържание, което може да ви издейства наказание от Google.

Някои коментари съдържат зловреден код (или линкове към такъв), което може да навреди на вас и посетителите на сайта.

Добрият спам филтър ви защитава от всичко това.

4. Обновявайте WordPress

Много хора подценяват тази мярка за защита на уебсайт. WordPress се амортизира, в кода му се появяват уязвимости.

Обновяването на WordPress ви предпазва от тези уязвимости.

Разработчиците са го измислили така, че можете да обновите до най-новата версия на WordPress с един клик.

И не забравяйте: Винаги правете бекъп преди да обновите WordPress. Рядкост е, но се случва: при обновяване на версията е възможно да изгубите базата данни на сайта си. Затова е добре да имате предварително запазено копие.

5. Обновявайте плъгините

Същото важи за плъгините, които сте инсталирали на уебсайта. В някой от тях може да има уязвимост, която се отстранява чрез обновяване до най-новата версия на плъгина.

Ето един пример как уязвимост в плъгина CodeSnippets позволява на чужди лица да превземат сайта ви. Проблемът се решава като обновите разширението до най-новата му версия.

Как да постигнете още по-добра защита

Минаваме към някои по-сложни за изпълнение мерки за сигурност.

6. Инсталирайте SSL сертификат

Той ще криптира връзката между потребителите на сайта и сървъра, на който се намира. Когато връзката е некриптирана, изпращаните между потребителя и сайта данни (например пароли, кодове за достъп) могат да бъдат „прихванати“ от злонамерени лица.

Липсата на SSL сертификат на сайта на Висшия съдебен съвет например може да доведе до теч на чувствителни данни. Статията е писана преди почти 5 години и от тогава няма никаква промяна: сайтът още няма SSL.

Можете да си вземете безплатен SSL сертификат от Let’s Encrypt и да го инсталирате на сайта си чрез подходящ плъгин като Really Simple SSL.

7. Създайте уникален URL адрес за логин страницата

Когато искате да администрирате вашия сайт, вие вероятно отивате на vashiatsait.com/wp-login.php. Това е адресът за логване в сайта, който е зададен по подразбиране от WordPress.

Не е добра идея да използвате този адрес, тъй като той е всеизвестен. Можете да го смените сравнително лесно с плъгин. Примери за такъв: Custom Login URL, WPS Hide Login, Rename wp-login.php.

8. Ограничете IP адресите, които имат достъп до админ панела

Можете да ограничите IP адресите, които имат достъп до администраторския панел на сайта. Така непознати IP адреси няма да могат да бърникат из настройките.

Неудобството е, че и вие ще сте ограничени: например няма да може да влизате в админ панела от чужди компютри.

За да филтрирате IP адресите, които имат достъп, влезте в .httaccess файла на вашата WordPress инсталация. (Ако не знаете какво е това, намерете човек, който може да го направи вместо вас!)

Добавете към файла следния код:

order deny, allow

allow from NAPISHETE VASHIA IP ADRES

deny from all

Заключение

Тази статия разглежда само част от проблемите, които могат да възникнат със сайта ви. Заплахите са много пвече: SQL инжекции, XSS уязвимости, DDOS атаки…

Считайте посочените тук съвети като първа стъпка към изграждането на по-сигурна и работеща интернет страница.

Related Posts

Вашият коментар

Вашият имейл адрес няма да бъде публикуван. Задължителните полета са отбелязани с *