Система управления контентом WordPress позволяет создавать веб-ресурсы для решения разносторонних задач – это может быть представительский сайт компании, личный блог пользователя или большой интернет-магазин. По мере увеличения нагрузки на систему и расширения базы данных онлайн-сервиса, возникают вопросы по обеспечению безопасности хранения информации. Учитывая популярность WordPress, мы можем выделить 13 наиболее распространенных мифов об организации безопасности этой системы. Рассмотрим их.
Содержание
Все темы и плагины безопасны, потому что они предоставлены напрямую от WordPress.
На самом деле темы или плагины, добавленные в репозиторий системы, должны быть проверены командой разработчиков WordPress. Только тогда мы сможем быть уверены, что они соответствуют минимальным стандартам безопасности. Проблема заключается в том, что специалисты WordPress не просматривает все обновления. Также играет роль человеческий фактор: обновления создают люди, и они могут допускать ошибки. Поэтому не стоить рассчитывать на то, что все инструменты, которые вы используете, на 100% безопасны. Тем не менее, WordPress-плагины более надежны, чем скачанные из других источников. Но помните о том, что и они не совершенны.
Можно не торопиться с установкой обновлений.
Для администраторов сайта работа с обновлениями – дело хлопотное. Владельцев веб-сервисов раздражает простой по времени, ведь можно заняться чем-то более продуктивным. Например, они предпочтут добавить новые продукты на сайт или обновить текстовый контент. Стоит отнестись к данному вопросу серьезно, ведь обновление плагинов – это ключ к поддержанию безопасности WordPress. Дело в том, что каждый плагин открывает потенциальный “черный ход” на ваш ресурс. Для того чтобы избежать уязвимости системы, разработчики плагинов специально создают обновления. Необходимо помнить, что при запуске обновления хакеры тоже получат немедленное уведомлены о его существовании. Поэтому старые плагины, которые вовремя не обновились, будут уязвимы для взлома. Таким образом, если вы перестанете обновлять плагины на сайте, то веб-ресурс попадет в распоряжение хакеров.
Можно просто отключить плагин WordPress, если он больше не нужен.
Отключение плагина можно использовать в качестве временной меры, пока вы вносите изменения. Эту опцию задействуют, когда устраняют неисправности в системе. Таким образом администратор проверяет, не вызваны ли проблемы работой конкретного плагина. Но отключение не приравнивается к удалению. Так как плагины не обновляются после отключения, они делают уязвимой безопасность сайта. Более надежный вариант – это удаление плагина, если он больше не используется. Тем более, что его легко переустановить, если вы решите, что он снова нужен.
Темы – это всего лишь визуальное оформление сайта, поэтому они не нуждаются в обновлении.
Мы уже разобрались, зачем плагину нужны обновления и почему хакеры получают доступ к некоторым ключевым элементам сайта на WordPress. Но касается ли это обновления тем? Оказывается, да. Темы, также как плагины, могут оставить элементы сайта уязвимыми, если их не обновлять. Часто создатели сайтов WordPress пробуют несколько тем, прежде чем найти подходящую. Но неопытные пользователи совершают ошибку, когда не удаляют старые темы. Таким образом владелец веб-ресурса дает возможность хакерам воспользоваться “черным входом”.
Маленькие сайты не интересны хакерам, поэтому не подвергнуться взлому.
Этот миф в большей степени оправдывает владельцев сайтов, которые не хотят тратить время на обеспечение безопасности своей системы. На самом деле маленькие сайты и блоги – идеальные мишени для хакеров. Маленький сайт на WordPress, скорее всего, будет иметь меньшее количество топовых решений для безопасности. Над таким веб-ресурсом не будет работать команда компетентных системных администраторов, которые могли бы быстро отреагировать на хакерскую атаку. Небольшой сайт с меньшей вероятностью будет иметь ресурсы для поиска и привлечения к ответственности хакера в случае взлома. Владельцы блогов идут на значительные усилия, чтобы их заметили. Если вы работаете над тем, чтобы привлечь внимание к собственному сайту, то и вы привлечете к себе внимание не только целевой аудитории. Еще одна особенность хакерских атак заключается в том, что современные технологии позволяют это делать не живым людям, а ботам. Принцип их действий основан на количестве действий. Боты проверяют тысячи сайтов, пока не найдут тот, который уязвим.
Сложный пароль для входа в систему гарантирует безопасность сайта.
Наличие надежного и уникального пароля к сайту на WordPress является ключом к безопасности. Тем не менее, надежного пароля недостаточно. Например, Twitter обнаружил, что из-за системной ошибки пароли некоторых пользователей хранились в текстовых документах, которые в случае нарушения были бы легко обнаружены. Если бы это произошло, миллионы аккаунтов пользователей Twitter стали доступны хакерам. А для тех пользователей, кто использует одни и те же пароли для нескольких сайтов, в опасности оказались бы и другие их аккаунты. 
Хорошим решением этой проблемы является внедрение двухфакторной аутентификации (2FA) для пользовательского логина WordPress. Это значит, что для входа в вашу учетную запись потребуется не только пароль, но и доступ к номеру телефона для получения смс с кодом.
Добавление SSL-сертификата гарантирует шифровку данных и защиту от хакеров.
SSL-сертификат (Secure Socket Layer) не дает возможность мошенникам подменить или перехватить личные данные пользователей – номера банковских карт, списки контактов и так далее. Этот сертификат создает туннель зашифрованного трафика от сайта к браузеру посетителя. Несмотря на то, что SSL-сертификат – эффективный инструмент защиты, в нем есть существенный недостаток, о котором некоторые администраторы сайтов WordPress не знают. Он шифрует только трафик, а не все данные, хранящиеся на веб-сервисе. Таким образом SSL не обеспечивает полную защиту от взлома хакерами.
В случае взлома WordPress, администратор сайта сразу заметит это и примет меры.
Быстро обратить внимание на то, что веб-ресурс взломан, можно лишь в одном случае. Если ваш сайт стал объектом внимания со стороны хакеров, единственной целью которых является порча контента, то вы наверняка заметите шуточное изображение или заголовок, размещенный на домашней странице. В большинстве случаев хакеры заинтересованы в получении ценной информации, такой как финансовые данные. Поэтому взломщик приложит все усилия, чтобы остаться незамеченным как можно дольше. Вероятнее всего, что вы не узнаете о взломе, пока хакер не начнет активно использовать информацию.
Администратор добавил плагин безопасности, значит сайт защищен на 100%.
Плагины безопасности нужны для защиты сайта, но они не дают стопроцентной гарантии. Система WordPress не может за счет одних плагинов обеспечить полный контроль над взломами. 
Есть несколько инструментов, помимо тех, что входят в WordPress, которые необходимо использовать для обеспечения безопасности сайта. Они включают в себя шифрование файлов, сохранение надежного пароля и использование безопасных инструментов удаленного доступа. Эти инструменты важно использовать, если вы когда-нибудь захотите работать с сайтом на WordPress из-за рубежа.
Из-за широкого использования система WordPress является небезопасной, так как привлекает внимание хакеров.
Некоторые пользователи считают, что популярность WordPress является источником проблемы безопасности. Частично это правда, потому что хакеры сосредоточены на взломе WordPress, ведь эту систему люди часто используют для создания веб-сервисов. Это значит, что для мошенников существует много потенциальных целей. 
Учитывая популярность WordPress веб-разработчики трудятся по всему миру, чтобы просматривая коды и плагины, убедиться в безопасности их использования. Администраторы сайтов могут рассчитывать на оперативное появление обновлений. Это позволит устранить новые уязвимости системы и получить больше полезной информации про обеспечение безопасности сайта.
Используя все возможные инструменты для безопасности работы сайта на WordPress, администратор обеспечивает ресурсу 100% защиту.
Каждый владелец сайта должен понимать, что невозможно обеспечить 100%-ю безопасность. Этот связано с тем, что хакеры не прекращают поиски решений для взломов. Системы защиты совершенствуются, но и деятельность мошенников прогрессирует. Главная цель защиты сайта сводится к тому, что администратор применяет комплекс мер для усложнения возможности взлома ресурса. Обеспечение безопасности WordPress – постоянный процесс. Владелец сайта должны регулярно обновлять плагины, чтобы использовать свежие решения для защиты сайта. Специалист, ответственный за веб-ресурс, должен быть в курсе последних тенденций в области кибербезопасности. Важно помнить, что хакеры не дремлют, даже если владелец сайта сам на некоторое время забудет про обновление контента и функционирование сервиса в целом.
Работа с WordPress поддерживается постоянно, поэтому легко отслеживать все процессы и контролировать безопасность сайта.
В некоторых случаях это действительно так. Если владелец сайта привык работать на своем WordPress постоянно, он всегда будет иметь некоторое представление о том, что происходит с ресурсом. Однако, важно убедиться в том, что к сайту обеспечен безопасный доступ.
Рекомендовано избегать подключения через публичные Wi-Fi. Это облегчает задачу хакерам, поэтому пользователь не должен использовать небезопасные соединения для запуска сайта, проверки банковского счета или загрузки фотографий в Instagram. Для подобных действий лучше использовать на Mac или Windows ВПН с возможностью шифрования трафика и поддержкой безопасности сайта, когда вы получаете доступ к своему ресурсу издалека. Наиболее эффективным методом защиты является сквозное шифрование. Но для этого потребуется особый инструмент безопасности, который будет подделывать зашифрованное соединение между ноутбуком пользователя и WordPress. Как и в случае с SSL-сертификатом, такое соединение не будет обеспечивать полную безопасность сайта. Зато хакер не сможет навредить веб-сервису, используя уязвимое удаленное соединение.
Если спрятать страницу входа на сайт и ограничить количество попыток залогиниться, то хакер не сможет войти на веб-ресурс.
Подобные советы когда-то были актуальны, но хакеры становятся более продвинутыми и изобретательными. Мошенник легко найдет страницу входа в систему. А если у вас слабый пароль, то хакеру не составит большого труда взломать его. В случае, когда администратор сайта установил надежный пароль и предоставил ограниченные попытки входа, хакер будет просто искать любую из многих других потенциальных уязвимостей на вашем ресурсе.
Большинство пользовательских методов защиты сайта дают ложное ощущение безопасности. Для комплексного обеспечения защиты нужно использовать разные веб-инструменты. Ваша ответственность, как владельца ресурса на WordPress, заключается в том, чтобы оставаться информированным о потенциальных уязвимостях сайта и методах борьбы с хакерскими атаками.
