Как только мы в первый раз задумываемся о защите WordPress сайта, мы еще не осознаем до конца о том, что существует много различных шагов, которые мы можем предпринять в качестве превентивных мер по защите сайта, интернет-магазина или просто блога.

Последнее, что вам нужно, это проснуться однажды утром и обнаружить сайт в руинах. Сегодня мы собираемся поделиться множеством советов, стратегий и методов, которые вы сможете применить и тем самым улучшить безопасность WordPress сайта, да и просто спокойно спасть.

А безопасен ли WordPress по умолчанию?

Первый вопрос, который вас наверняка интересует, безопасен ли сам посебе WordPress? В целом – Да. Тем не менее, владельцы WordPress сайтов часто сталкиваются со взломами, крашами и утечкой данных. Чаще всего это происходит из-за того, что пользователи продолжают следовать наихудшим методам обеспечения безопасности.

Использование устаревшего ядра WordPress, обнуленных (nulled) плагинов, не качественного системного администрирования, управления учетными данными и отсутствия необходимых знаний в Интернете и безопасности держат хакеров, так сказать, всегда в тонусе ?. Даже лидеры отрасли не всегда уделяют достаточно внимания, такой важной составляющей, как безопасность их WordPress сайта.

Сайт агенства «Reuters» был взломан, из за использования устаревшей версию ядра WordPress!

Это было в далёком 2012 году.

Согласно исследованию, проведенному компанией Sucuri за 2019 год, WordPress, как платформа, продолжает лидировать среди всех зараженных веб-сайтов, над которыми они работали (94%). А рост по сравнению с 2018 годом составил 4%. Ждем отчета за 2020, но принципиально картина не изменится.

WordPress, как CMS, используют более 35% всех веб-сайтов и неудивительно, что существует сотни тысяч комбинаций различных, как бесплатных, так и премиальных тем и плагинов и что уязвимости существуют и постоянно обнаруживаются.

Но к счастью, существует большое сообщество вокруг платформы WordPress, что гарантирует, что вновь обнаруженные уязвимости буду исправлены в кратчайшие сроки. По состоянию на 2020 год в состав WordPress команды по обеспечению безопасности вошли 50 экспертов, в том числе ведущие разработчики и исследователи в области цифровой защиты – около половины из них являются сотрудниками «Automattic».

Уязвимости в WordPress

Вот список из самых распространённых типов уязвимостей/методов, которыми пользуются злоумышленники нацеленные на WordPress:

1. Backdoors

Backdoor(бэкдор) – уязвимость, которая предоставляет злоумышленникам скрытые проходы, обходящие протоколы безопасности для получения доступа к веб-сайтам на WordPress не стандартным методом – wp-admin, SFTP, FTP и так далее. Использования этой уязвимости позволяют хакерам нанести ущерб серверам хостинга с последующем «межсайтовым» заражением – компрометация нескольких сайтов, размещенных на одном сервере.

В четвёртом квартале 2019 года, «Sucuri» сообщили, что бэкдоры по-прежнему являются одним из самых, часто используемых действий, предпринимаемых злоумышленниками для взлома, при этом почти 47% зараженных сайтов имеют ту ил иную форму бэкдора.

Бэкдоры часто маскируются и выглядят как легитимные файлы WordPress ядра или темы/плагина, дают доступ, как к файловой системе, так и базе данных, используя слабые места и ошибки в устаревших (вовремя не обновлённых) версиях. Провал TimThumb (PHP скрипт, который часто используется авторами тем для работы с изображениями), более известный как «Уязвимость нулевого дня» был ярким тому примером. Бэкдор использовал скрытые скрипты и устаревшее ПО, которое скомпрометировало миллионы сайтов, в уже далёком, 2013 году.

Профилактика и лечение этого типа уязвимости довольна проста. Вы можете выполнить проверку вашего WordPress сайт с помощью SiteCheck, который легко обнаружит этот и другие бэкдоры.

Двухфакторная аутентификация, блокировка IP-адресов, ограничение доступа администратора и предотвращение несанкционированного выполнения файлов PHP легко устраняет распространенные бэкдор-угроз, о которых мы поговорим подробнее ниже.

2. Pharma Hacks

Эксплойт «Pharma Hack» используется, как метод для вставки вредоносного кода в устаревшие версии сайтов и плагинов для WordPress, а как следствие происходит подмена мета-тэгов. В SERP (результат выдачи поисковых систем) вместо вашего сайта, пользователи видят рекламу фармацевтических компаний. Уязвимость представляет собой скорее угрозу спама, чем традиционное вредоносное ПО, но дает поисковым системам достаточно оснований для блокировки сайта.

Движущий силой «Pharma Hack» являются бэкдоры в плагинах, темах и базах данных, которые можно очистить, следуя инструкциям из этого, старого, но полезного поста от Sucuri. Вы можете легко предупредить «Pharma Hacks», регулярно обновляя ядро, темы и плагины WordPress.

3. Brute-force

Brute-force – это, в первую очередь, попытка авторизации методом перебора. Используются скрипты перебирают пароли, а в случае успеха, злоумышленники получают доступ к вашему сайту. Ограничение кол-ва возможных попыток авторизации, двухэтапная аутентификация, логирование, использование белых и черных списков IP-адресов, а так же надежных паролей – являются одними из самых простых и высокоэффективных способов предотвращения такого рода атак.

Но, к сожалению, некоторые владельцы веб-сайтов WordPress не выполняют эти меры безопасности, тогда как хакеры легко могут скомпрометировать до 30 000 веб-сайтов за один день, используя атаки методом «Brute-force».

4. Перенаправление (Redirect)

Перенаправления создаются благодаря бэкдорам и внедряют код в файлы сайта. На зараженных субъектах, сценарии для перанаправления, часто расположены в файле.htaccess , но также часто можно встретить как в ядре WordPress, так и в файлах темы (например в index.php). Действуя скрытно и направляя ваш трафик на вредоносные или рекламные сайты. Мы расскажем о некоторых способах их предотвращения в наших шагах по защите WordPress ниже.

5. Межсайтовый скриптинг (XSS)

XSS – метод, при котором скрипт внедряется в тело веб-сайт или приложения. Обычно это JS-скрипты которые работают на стороне браузера конечного пользователя без его ведома и без ведома владельца сайта. Целью обычно является получение файлов cookie или данных сеанса или, возможно, даже перезапись HTML на странице.

6. Отказ в обслуживании (DoS)

Одна из самых опасных уязвимостей, которая вызывает отказа в обслуживании (Denial of Service или просто DoS) – использует ошибки в коде, просто сжырая оперативную память ОС на которой работает сайт. Миллионы сайтов, изо дня в день, подвергаются атакам, что вызывает полную остановку сервера. В широком кругу такой метод называют – DDos (Distributed Denial-of-Service).

Даже актуальные версии WordPress не могут всесторонне защитить от крупных DDoS-атак. Но, по крайней мере, помогут вам не попасть под перекрестный огонь финансовых учреждений и владельцем бот-нетов.

21 октября 2016 года – это был день, когда в Европе и Северной Америке интернет просто отключился из-за DNS DDoS-атаки. Если интересно и в качестве «ликбеза» можно подробнее прочитать про это значимое событие более известно как Кибератака на Dyn.

? Ничего себе предисловие получилось. Пора двигаться дальше и полностью погрузиться в безопасность WordPress.

Безопасность WordPress сайта. Полное руководство 2020

Согласно интернет-статистике, каждый день взламывается более 100 000 сайтов. Вот почему так важно уделить некоторое время и ознакомиться со следующими рекомендациями, приведенными ниже, о том, как лучше укрепить безопасность WordPress сайта.

Мы постараемся обновлять этот пост и актуализировать информацию, поскольку мир меняется, а WordPress не исключение.

Погружаемся ?

1. Безопасный хостинг для сайта на WordPress

Когда речь заходит про общую сетевую безопасность или, как в нашем случае, организацию защиты WordPress сайта важно понимать, что одним из ключевых факторов здесь является безопасность на уровне сервера.

Выбрав ту или иную хостинг-компанию, вы, в первую очередь, доверяете им свой бизнес. Однозначно, мелочиться тут не стоит и если есть фин. возможность выбрать «VPS», а не «Shared». Обычно у каждой хостинг-компании есть линейка, так называемых, «Shared» тарифов, купив который за 200-300 рублей в месяц, ваш сайт будет работать на одном сервере, вместе с десятком других сайтов. Уровень угрозы множится кратно!

Так же нужно обратить внимание на ОС и ПО-безопасности, которые предлагает компания.

2. Используйте PHP 7.4+

PHP – это основа любого сайта на WordPress. Трудно переоценить важность использования актуальной версии! Каждый основной релиз PHP полностью поддерживается разработчиками языка в течении следующих 2-х лет. Т.е есть гарантия, что в течении этого срока все ошибки будут исправлены. На данный момент все, кто работает с версией PHP 7.1 или ниже, больше не имеют поддержки в плане безопасности WordPress и подвержены угрозе.

И угадайте, что? Согласно официальной статистики WordPress и на момент написания этой статьи, более 24% WordPress сайтов используют PHP версии 5.6 и ниже, а количество пользователей которые используют PHP 7.2, которая активно не поддерживается (безопасность будет поддерживаться до 1 декабря 2020 года) и ниже составляет более 67%. Это страшно!

Более 67% WordPress сайтов работают на устаревшие версию PHP! ?

Да, разработчикам и компаниям требуется какое то время для отладки и обеспечения полной совместимости актуальной PHP версий с их кодом, но нет ни каких оправдания для запуска чего-либо без поддержки в плане безопасности. Не говоря уже об огромном влиянии на производительность, которое оказывают старые версии.

Не знаете, на какой версии PHP работает ваш сайт? Быстрый способ проверить это – Pingdom. Проверка начнется сразу после того как вы введете URL в строку поиска. По-завершении прокрутите вниз до блока «File requests». Нажмите на первый запрос и найдите параметр «X-Powered-By». Обычно это покажет версию PHP, которую использует ваш веб-сервер. Однако некоторые хостинг-компании удаляют этот заголовок по соображениям безопасности.

Обязательно обновите PHP на вашем сервере до версии 7.4+ как можно скорее!

3. Имена пользователей и их пароли

Один из лучших и самых простых способов укрепить защиту вашего WordPress сайта – это использовать не стандартный подход к выбору логина и пароля. Посмотрите ежегодный список самых популярных паролей года. Вот в далёком 2014 году «Лаборатория Касперского» опубликовала список из 25 худших паролей.

Вот топ 5:

Офигеть! ? Самый популярный пароль – «123456», за которым следует удивительный «pasword».

А сейчас что? Вот данные 2020 года в материалах газета.ru и как видно особых изменений нет!

Основная функция wp_hash_password WordPress использует хеширования на основе MD5. Некоторые из лучших мер безопасности начинаются с основ. У Google есть несколько отличных рекомендаций по созданию надежного пароля.

Также важно использовать разные пароли для каждого сайта. Лучший способ их хранения – локально в зашифрованной БД на вашем компьютере. Даже если ваши данные надежно хранятся в облаке, они обычно более безопасны, поскольку вы не используете один и тот же пароль на нескольких сайтах. Это также убережет вас от стикеров на углах монитора. ?

А если говорить про WordPress, то самое плохое, что можно сделать – это использовать логин «admin» для авторизации. Если у вас так и есть то срочно примите меры. Создайте нового пользователя нажав на ссылку «Добавить нового» в меню «Пользователи» и установив ему роль «Администратор»!

Логин, так же можно сменить используя phpMyAdmin, но обязательно сделайте резервную копию вашей БД перед началом.

				
					UPDATE wp_users SET user_login = 'UserThatCanDoThings' WHERE user_login = 'admin';

4. Всегда используйте последнюю версию ядра WordPress, плагинов и вашей темы

Еще один способ укрепить защиту вашего WordPress сайта – постоянно обновлять его. Это включает в себя ядро WordPress, плагины и темы (как из репозитория WordPress, так и премиум). Авторы обновляют свои детища не просто так, на всё есть причина. Часто обновления идут рука об руку с исправлением ошибок и улучшениями в плане общей безопасности.

К сожалению, миллионы компаний используют устаревшие версии плагинов, тем и ядра WordPress и все еще верят, что они на правильном пути к успеху. Они приводят причины отказа от обновления, такие как «их сайт сломается» или «модификации пропадут» или «плагин X не будет работать» или им якобы « не нужны новые функции».

А Фактически, сайты ломают в основном из-за ошибок в старых версиях WordPress. Модификация ядра WordPress изначально не рекомендуются командой WordPress и опытными разработчиками, которые понимают связанные с этим риски. А обновления WordPress в основном включают обязательные патчи безопасности и дополнительные функции, необходимые для запуска последних версий плагинов.

Знаете ли вы, что уязвимости в плагинах представляют это более 60% точек входа для хакеров? Обновляя свои плагины, вы можете лучше убедиться, что вы не одна из этих жертв. Если вы новичок, то советуем прочитать нашу инструкцию по работе с плагинами – конечно это базовые знания, но а вдруг?

5. Защита панели администратора в WordPress

Часто, безопасность в WordPress, как стратегия «скрытности» подходит как для интернет-магазина, так и для обычного сайта или блога. Если хакерам будет сложнее найти определенные бэкдоры, то у вас меньше шансов на атаку. Блокировка вашей админ-панели WordPress для входа в стистему – это хороший способ повысить вашу безопасность.

Стратегия «скрытности» – простой и эффективный способом повысить безопасность WordPress. ?

Два способа сделать это – изменить URL-адрес входа в wp-admin по умолчанию, а потом ограничить количество возможных попыток входа.

Как изменить URL для входа в панель администратора WordPress

Если ни кто не лазил в код вашего сайта, то URL для авторизации выглядит так – domain.ru/wp-admin. Проблем состоит в том, что все знают об этом. Изменяя URL-адрес, вы можете сделать себя менее привлекательной мишенью и лучше защитить себя от атак методом «Brute-force». Это не решение всех проблем, это просто один маленький трюк, который определенно может помочь защитить вас.

Чтобы изменить URL-адрес входа в WordPress, мы рекомендуем использовать бесплатный плагин WPS Hide login. Плагин добаляет простое поле ввода нового URL. Просто не забудьте выбрать что-то уникальное, чего еще не будет в списке, который бот или скрипт может попытаться просканировать.

Как ограничить количество возможных попыток авторизации

Хотя приведенное выше решение по изменению URL-адреса входа для администратора может помочь уменьшить большинство несанкционированных попыток входа в систему, ограничение количеству может также оказаться очень эффективным. Бесплатный плагин Cerber Limit Login Attempts – это отличный способ легко настроить продолжительность блокировки, попытки входа в систему, а также белые и черные списки IP-адресов.

Если вы ищете более элегантное решение для безопасности вашего WordPress сайта, то обратите внимание на плагин Login Lockdown и он совместим с WPS Hide, о котором мы писали ранее.

Базовая HTTP аутентификация (htpasswd)

Еще один способ защиты входа в админку – это добавить HTTP-аутентификацию. Потребуется авторизоваться, прежде чем вы сможете получить доступ к стандартной странице входа в панель WordPress. Т.е. получается, что авторизоваться нужно будет дважды.

Этот метод не должен использоваться на интерент-магазинах или сайтах на которых организованы платные подписки. Но это может быть очень эффективным способом противодействия злоумышленникам.

Apache

На серверах с установленной панелью cPanel можно включить такой, дополнительный метод аутентификации через саму панель. А для ручной настройки необходимо создать файл .htpasswd и положить его в папку wp-admin//

				
					home/user/.htpasswds/public_html/wp-admin/htpasswd/

Потом, нужно будет создать или отредактировать файл .htaccess , добавив в него строки, которые вы видите ниже и также положить его в /wp-admin/. Убедитесь, что вы обновили путь к каталогу и «username» – имя пользователя.

				
					AuthName "Admins Only"
AuthUserFile /home/somefolder/.htpasswds/public_html/wp-admin/htpasswd
AuthType basic
require user username

Важно всё сделать правильно, в противном случае поломается AJAX (admin-ajax) на внешнем интерфейсе вашего сайта. Если что-то пошло не так, то добавляем код, который вы видите ниже, в .htaccess.

				
					<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>

Nginx

На серверах Nginx, так же можно добавить базовой HTTP-аутентификации. Для этого просто следуйте официальному руководству, правда знания Английского языка тут будут не лишними ?

6. Воспользуйтесь преимуществами двухфакторной аутентификации

Независимо от того, насколько надежен ваш пароль, всегда есть риск, что кто-то его обнаружит. Двухфакторная аутентификация – это своего рода двухэтапный процесс, при котором вам потребуется не только связка логин/пароль, но и что-то дополнительное. Обычно это SMS, телефонный звонок или одноразовый пароль на основе времени (TOTP). В большинстве случаев это на 100% эффективно для предотвращения атак методом перебора на ваш сайт WordPress потому, что почти невозможно, чтобы у злоумышленника был и ваш пароль, и ваш смартфон одновременно.

Что касается плагинов двухфакторной авторизации для WordPress, то их достаточно много, но один самых простых и понятных – 2FAS Light – Google Authenticator. Достаточно установить приложение от Google для смартфонов на Andriod или на iOS, и следуя простейшей инструкции в плагине – отсканировать QR-код и подтвердить авторизацию. Всё, теперь даже если ваш пароль пойдет в свободное плавление, злоумышленникам потребуется доступ к смартфону чтобы авторизоваться на сайте.

Этот метод можно легко комбинировать со всеми, выше перечисленными, методами. Так что не только URL самой авторизации в панель WordPress является чем-то, что известно только вам, но теперь для входа требуется дополнительная аутентификация. ?

7. Использование HTTPS для зашифрованных соединений – SSL-сертификат

Пожалуй, одним из самых недооцененных методов повысить защиту сайта на WordPress является установка SSL-сертификата и запуск сайта по HTTPS. HTTPS (Hyper Text Transfer Protocol Secure) – это протокол, который позволяет вашему браузеру или веб-приложению безопасно подключаться к веб-сайту.

Давайте объясним несколько причин, почему HTTPS важен не только для сферы электронной коммерции.

1. Безопасность

Конечно, главной причиной для использования HTTPS является дополнительная безопасность, и да, это в первую очередь касается интернет-магазинов. Но подумайте, насколько сильно вы цените частную информацию ваших пользователей? При регистрации или авторизации на сайтах с HTTP все персональные данные передаются на сервер в виде простого текстового сообщения. HTTPS абсолютно необходим для поддержания безопасного соединения между веб-сайтом и браузером. Таким образом, вы сможете предотвратить доступ к персональным данным пользователей вашего веб-сайта хакеров или их посредников.

Итак, есть ли у вас блог, новостной сайт, агентство и т.д., вы всегда можете извлечь выгоду из HTTPS, поскольку это гарантирует, что ничто и никогда не передается в виде простого текста.

2. SEO

Google, еще в 2014 году, официально заявил, что HTTPS является фактором ранжирования. Хотя это всего лишь небольшой фактор ранжирования, большинство из вас, вероятно, воспользуются любым преимуществом, которое вы можете получить в результатах поисковой выдачи, чтобы обыграть своих конкурентов. C Яндексом дела обставят так же.

3. Доверие

Согласно опросу GlobalSign, около 77% пользователей обеспокоены тем, что их данные могут быть перехвачены или неправильно использованы в Интернете. Увидев замочек в строке браузера, клиенты сразу чувствуют себя спокойнее, зная, что их данные более защищены.

4. Реферальные данные

Многие люди не понимают, что реферальные данные HTTPS на HTTP заблокированы в Google Analytics. Так что же происходит с данными? Ну, большинство из них просто смешаны с разделом «прямой трафик». Если кто-то переходит с HTTP на HTTPS, реферер по-прежнему передается.

5. Предупреждения в браузерах

С июля 2018 года браузер Google Chrome версии 68 и выше начал помечать все сайты без HTTPS как «Незащищенные». Независимо от того, собирают они данные или нет. Вот с тех пол HTTPS стал важнее, чем когда-либо!

Google делает понятным для посетителей, что ваш сайт WordPress может не работать по защищенному соединению.

В след за Google этому примеру последовали и другие браузеры, в качеств примера, вот таким значком: Яндекс браузер — WordPress безопасность браузер от Яндекс помечает сайты без SSL сертификата, а при наведении на Yandex браузера — SSL пользователи видят, что сайт использует незащищенный протокол HTTP ?. Вот и думайте – будет ли хоть какое-то доверие вашему сайту.

6. Производительность

Из-за протокола HTTP/2, часто те, кто работает с должным образом оптимизированными сайтами по HTTPS, могут даже увидеть улучшения скорости. HTTP/2 требует HTTPS. Повышение производительности происходит из-за множества причин, так например HTTP/2, способен поддерживать лучшее мультиплексирование, параллелизм, сжатие HPACK с кодированием Хаффмана, расширение ALPN.

А с TLS 1.3 HTTPS-соединения становятся еще быстрее.

Инструкцию по установке, равно как и сам SSL-сертификат, можно получить у вашего хостинг-провайдера, а после того как все установлено нужно будет добавить следующий код в wp-config.php:

				
					define('FORCE_SSL_ADMIN', true);

8. Защита файла wp-config.php

wp-config.php: – это сердце и душа WordPress, а также, самый важный файл на вашем сайте, когда речь идет о безопасности WordPress. Он содержит информацию для входа в БД и, так наказываемые, ключи безопасности, которые обеспечивают шифрование в файлах cookie.

1. Перемещение wp-config.php

После установки, файл wp-config.php: хранится в корневой папке. Но его можно переместить в каталог, который будет структурно выше каталога www.

Для этого, скопируйте содержимое файла wp-config.php: в новый файл. Затем в wp-config.php: нужно будет подключить ваш новый файл:.

				
					<?php
include('/home/somefolder/onemorefolder/wp-config.php');

2. Обновление ключей безопасности WordPress

КБ в WordPress – это как шифр, набор различных, случайно сгенерированных, символов которые используются при шифровании пользовательских cookie-файлах.

Когда вы устанавливаете WordPress, ключи генерируются автоматически. Однако, иногда их стоит обновлять.

На официальном сайте есть бесплатный инструмент, с помощью которого можно создать новые КБ и заменить их в файле wp-config.php:.

3. Права доступа

Обычно для файлов в корневом каталоге сайта WordPress устанавливается значение прав 644, что означает, что файлы доступны для чтения и записи для владельца файла и для чтения пользователями в группе, владеющей этим файлом, и для чтения всеми остальными. Согласно документации WordPress, разрешения для файла wp-config.php должны быть установлены 440 или 400, чтобы другие пользователи на сервере не могли его прочитать. Вы можете легко изменить права, используя FTP-клиент, ISP Manger или cPanel (зависит от типа вашего хостинга).

На некоторых хостинг-платформах разрешения могут отличаться, поскольку у пользователя, работающего с веб-сервером, нет прав на запись файлов. Если вы не уверены в этом, обратитесь к вашему хостинг-провайдеру.

9. Отключение XML-RPC

В последние годы XML-RPC становится все более часто целью для атак методом перебора (Brute-force). Одна из скрытых возможностей XML-RPC заключается в том, что вы можете использовать метод system.multicall для выполнения нескольких процедур внутри одного запроса. Это очень полезно, поскольку позволяет приложению передавать несколько команд в одном HTTP-запросе. Но так же, именно это особенность и используется злоумышленниками.

Существует несколько плагинов WordPress, таких как Jetpack, которые используют XML-RPC, но большинству людей это не нужно, и может быть полезно просто отключить доступ к нему.

Не уверены, работает ли XML-RPC на вашем сайте? Воспользуйтесь бесплатных инструментом XML-RPC Validator от «Automattic».

Чтобы полностью отключить XML-RPC, вы можете воспользоваться плагинами из официального репозитория. Стоит отметить, что большинство плагинов для оптимизации производительности так же включают возможность отключения XML-RPC в своих бесплатных версиях. У нас есть отдельная статья про историю xmlrpc.php в WordPress и как отключить этот протокол.

10. Скрытие WordPress версии

Скрытие версии WordPress вашего сайта так же затрагивает тему безопасности WordPress. Чем меньше других людей узнают о конфигурации вашего сайта, тем лучше. Если они увидят, что вы используете устаревшую версию, то это может быть отличным сигналом для злоумышленников. По умолчанию версия WordPress отображается в заголовке исходного кода вашего сайта.

				
					<meta name="generator" content="WordPress 5.4.2" />

Опять же, мы рекомендуем всегда обновлять ядро WordPress до актуальной версии.

Вы можете использовать следующий код, чтобы скрыть версию вашего WordPress. Просто добавьте его в файл functions.php вашей WordPress темы:

				
					function wp_version_remove_version() {
return '';
}
add_filter('the_generator', 'wp_version_remove_version');

Внимание!

Редактирование исходного кода темы WordPress может привести к поломке сайта, если это сделано неправильно. Обратитесь к разработчикам если вы сомневаетесь в своих силах!

11. HTTP заголовки безопасности

Еще один шаг, который вы можете предпринять, чтобы укрепить безопасность WordPress – воспользоваться преимуществами заголовков безопасности HTTP. Они обычно настраиваются на уровне веб-сервера и сообщают браузеру, как вести себя при работе с контентом вашего сайта.

Существует множество различных заголовков безопасности HTTP, но ниже приведены наиболее важные из них:

Вы можете проверить, какие заголовки в настоящее время работают на вашем сайте WordPress, запустив инспектор в Chrome браузере и посмотрев «Headers» во вкладке «Network» в первоначальном ответе вашего сайта.

Вы также можете просканировать веб-сайт с помощью бесплатного инструмента securityheaders.io. Вы всегда можете спросить своего хоста, могут ли они вам помочь с заголовками.

12. Использование плагинов для повышение безопасности WordPress сайта

Конечно мы должны упомянуть некоторые плагины безопасности WordPress. Есть много отличных разработчиков и компаний, которые предлагают отличные решения, которые помогут лучше защитить ваш сайт WordPress.

Вот некоторые типичные функции которые входят в плагины перечисленные выше:

Генерация и применение надежных паролей при создании профилей пользователей.
Принудительное истечение срока действия паролей и их регулярный сброс.
Регистрация действий пользователя.
Обновления ключей безопасности WordPress.
Сканирование на предмет наличия вредоносных программ.
Двухфакторная аутентификация.
reCAPTCHA
Брандмауэры безопасности WordPress.
Белый и черный списки IP.
Журнализация изменений (Сhangelog).
Отслеживать изменения DNS.
Блокировать вредоносные сети.
Просмотр WHOIS информации о посетителях.

Очень важная особенность – многие плагины безопасности включают утилиту контрольной суммы. Это означает, что они проверяют вашу установку WordPress и ищут изменения в основных файлах, предоставленных WordPress.org (через API). Любые изменения или модификации этих файлов могут указывать на взлом. Вы также можете использовать WP-CLI для создания своей собственной контрольной суммы.

13. Безопасность WordPress базы данных

Есть несколько способов повысить безопасность вашей базы данных WordPress. Первый заключается в использовании умного имени базы данных. Изменение имени базы данных на более неясное помогает защитить ваш сайт, затрудняя хакерам идентификацию и доступ к деталям вашей базы данных.

Вторая рекомендация – использовать префикс таблицы базы данных, отличный от того, который WordPress рекомендует по умолчанию. По умолчанию WordPress использует wp_. Изменение префикса на что-то вроде m09_xp_ поможет значительно обезопасить WordPress БД.

14. Безопасное соединение с сервером

Убедитесь, что ваш хост принимает меры предосторожности, такие как SFTP или SSH. SFTP или защищенный протокол передачи файлов (также известный как протокол передачи файлов SSH) – это сетевой протокол, используемый для передачи файлов. Это более безопасный метод по сравнению со стандартным FTP.

Также важно убедиться, что ваш домашний маршрутизатор настроен правильно. Если кто-то взломает вашу домашнюю сеть, он может получить доступ ко всем видам информации, в том числе, возможно, где хранится ваша важная информация о ваших сайтах WordPress.

Вот несколько простых советов:

Не включайте удаленное управление (VPN). Обычные пользователи никогда не используют эту функцию, и, отключив ее, вы сможете не подвергать свою сеть воздействию внешнего мира.
Маршрутизаторы по умолчанию используют IP-адреса в диапазоне, таком как 192.168.1.1. Используйте другой диапазон, например 11.5.3.8.
Включите самый высокий уровень шифрования на вашем Wi-Fi.
Используйте белый список IP для Wi-Fi, так что только люди с паролем и определенным IP-адресом могут получить к доступ к вашей сети.
Постоянно обновляйте прошивку на своем роутере.

И всегда будьте осторожны при входе на ваш сайт WordPress в публичных местах. Примите меры предосторожности, такие как проверка SSID сети перед нажатием кнопки «Подключиться». Вы также можете использовать стороннюю службу VPN для шифрования вашего интернет-трафика и скрытия вашего IP-адреса от хакеров.

15. Файлы и права доступа к серверу

Права доступа к файлам имеют решающее значение для повышения WordPress безопасности. Если ограничения слишком слабые, кто-то может легко получить доступ к вашему сайту и нанести ущерб. С другой стороны, если ваши ограничения слишком строгие, это может нарушить функциональность вашего сайта. Поэтому важно иметь правильные настройки.

1. Права доступа к файлам и директориям

Права на чтение (Read) назначаются, если у пользователя есть права на чтение файла или просмотр содержимого директории.
Права на запись (Write) назначаются, если у пользователя есть права на запись или изменение отдельного файла или на запись и удаление чего либо в конечной директории.
Разрешения на выполнение (Execute) назначаются, если у пользователя есть права на запуск файла и / или выполнение его в виде сценария.

Вот несколько типичных рекомендаций для прав доступа к файлам и папкам в WordPress:

Все файлы должны быть с правами 644 или 640. Исключение: wp-config.php должен быть 400 или 440, чтобы другие пользователи на сервере не могли его прочитать. Все каталоги должны обладать правами 755 или 750. Не нужно давать права 777, даже для директории /uploads/.

16. Отключение возможности редактирования файлов из панели администратора WordPress

У многих сайтов на WordPress несколько пользователей и администраторов одновременно, что может усложнить безопасность WordPress. Плохая практика – предоставлять авторам или редакторам доступ администратора, но, к сожалению, это происходит постоянно. Важно дать пользователям правильные роли, чтобы они ничего не нарушали. По-этому может быть полезно просто отключить «Редактор тем» в WordPress.

Большинство из вас, вероятно, пользовались редактором. Вы идете, чтобы быстро отредактировать что-то в редакторе внешнего вида, и вдруг у вас остается белый экран смерти. Гораздо лучше отредактировать файл локально и загрузить его через FTP. И, конечно же, в наилучшей практике вы должны сначала тестировать подобные вещи на сайте разработки.

Кроме того, если ваш сайт скомпрометирован, самое первое, что могут сделать злоумышленники – это попытаться отредактировать PHP-файлы или тему с помощью этого редактора. Для них это быстрый способ внедрить вредоносный код. Поместите следующий код в свой файл wp-config.php, чтобы возможность Front-End редактирования файлов:

				
					define('DISALLOW_FILE_EDIT', true);

17. Hotlinking

Концепция хотлинкинга очень проста. Вы где-то находите изображение в Интернете и используете URL-адрес изображения прямо на своем сайте. Да, это изображение будет отображаться на вашем сайте, но оно будет загружаться напрямую с источника. По большому счету это расценивается как кража, так как отображение этой картинки на вашем сайте использует пропускную способность сайта донора. Это может показаться не таким уж большим делом, но это может привести к большим дополнительным расходам.

Ну а что касается безопасности вашего WordPress сайта – просто знайте, что если сегодня файл с расширением *.JPG, сегодня, действительно таковым является, то не факт, что завтра в него не зашьют вредоносный код. Так же может быть обратная ситуация когда *.PHP файл, сегодня показывает картинку, а завтра исполняет другой PHP код у вас на сайте.

1. Отключение возможности Hotlinking на серверах Apache

Для предотвращения хотлинкинга в Apache просто добавьте следующий код в ваш файл .htaccess.

				
					RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?domain.ru [NC]
RewriteRule \.(jpg|jpeg|png|gif)$ http://dropbox.com/placeholder.jpg [NC,R,L]

где, domain.ru – имя вашего домена, а placeholder.jpg – изображение которое будет выводиться по умолчанию вместо вставленных извне.

2. Отключение на NGINX серверах

Чтобы предотвратить хотлинкинг на NGINX, просто добавьте следующий код в ваш файл конфигурации.

				
					location ~ .(gif|png|jpe?g)$ {
valid_referers none blocked ~.google. ~.bing. ~.yahoo domain.ru *.domain.ru;
if ($invalid_referer) {
return 403;
}
}

18. Резервное копирование

Резервные копии – это то, что всем нужно делать в обязательном порядке. Большинство из приведенных выше рекомендаций являются мерами безопасности, которые вы можете предпринять, чтобы лучше защитить себя. Но независимо от того, насколько безопасен ваш сайт, он всё же может быть взломан, ну или просто сломаться.

Таким образом, создавайте и храните резервные копии на случай, если случится худшее. В рамках этого гайда мы не будет описывать процесс более развернуто, так как резервное копирование в WordPress достойно отдельной темы. Стоит лишь отметить, что создание бэкапов – это не мера борьбы со злоумышленниками, а мера безопасности в плане устранения последствий?‍?

19. Защита от DDoS

DDoS – это тип атаки DOS, когда несколько систем используются для нацеливания на одну, вызывая атаку типа «отказ в обслуживании». DDoS-атаки не являются чем-то новым – первый документированный случай относится к началу 2000 года. В отличие от тех, кто взламывает ваш сайт, эти типы атак обычно не наносит вреда вашему сайту, а просто «гасит» его на несколько часов или дней.

Что вы можете сделать, чтобы защитить себя? Одна из лучших рекомендаций – использовать авторитетную стороннюю службу безопасности, такую как Cloudflare или Sucuri. Если вы управляете бизнесом, имеет смысл инвестировать в их премиальные планы.

Продвинутая защита от DDoS-атак может быть использована для смягчения атак DDoS всех форм и размеров, включая те, которые нацелены на протоколы UDP и ICMP, а также SYN/ACK.

Заключение

Как видите, существует множество способов повысить безопасность WordPress. Использование умных паролей, поддержание актуальности ядра и плагинов, а также выбор надежного хостинга – вот лишь некоторые из них, которые обеспечат безопасную работу вашего сайта на WordPress. Для многих из вас ваш сайт WordPress – это и ваш бизнес, и доход, поэтому важно потратить некоторое время и внедрить некоторые из рекомендаций по безопасности, упомянутых выше, раньше, чем позже.

Если у вас есть вопросы или просто хотите поделиться своим мнением, то оставляйте комментарии. Мира и спокойствия вашему сайте ✌️

Спасибо.

[powerkit_toc title=»Содержимое статьи» depth=»3″ min_count=»0″ min_characters=»1000″]

На WordPress работает более 35% всех сайтов в интернете. Не удивительно, что тысячи из них ежедневно «ложатся» под натиском «кул-хацкеров», как доярка, пару лет общавшаяся только с коровами, а тут вдруг новый председатель «Сельпо», да еще и молодой, красиавый. Любовь ❤️ в общем у них.

Ну, а что касается вашего сайта, то WordPress BackUp (резервное копирование) — это то, чему однозначно стоит уделить внимание!

О-о-о, поверьте, Интернет, а тем более Даркнет, пестрят всевозможными статьями о «правильных методах взлома сайтов на WordPress», да еще структурированных по WP версиям, актуальности и сложности для новчиков.

Плагины WordPress для BackUp важны, потому что если что-то подобное произошло с вашим сайтом — ваши важные данные защищены или не защищены если вы проигнорируете эту статью и пустите все на самотёк. В любом случае — решать вам!

Подбираем плагин для резвоногого копирования

Исправить проблему легко, если вы регулярно создаете BackUp своего WordPress сайта, и как один из достаточно эффективных способов сделать — использовать плагины для создания копий.

1. VaultPress

Сервис, предоставляемый непосредственно Automattic Inc., силой, стоящей за WordPress. О многом говорит, да? Еще раз, для тех, кто не совсем понял: VaultPress сейчас в руках людей, которые создали и поддерживает всю экосистему WordPress, а доверие к ним почти безграничное. Отдельно из плюсов стоит отметить:

Теперь, чтобы использовать VaultPress, вам нужно установить Jetpack и подписаться на план. Всего за $ 3.95 в месяц или $39 в год вы получите первоклассную службу резервного копирования и безопасности, где копии хранятся вне офиса. Если вы хотите, вы можете скачать копию используя панель администратора WordPress.

Пред тем как пойти дальше, следует уточнить, что JetPack — это не только решение в сфере создания резервных копий, но и куча других полезных функций. Подробнее читайте в нашем полном обзоре плагина JetPack.

2. UpdraftPlus WordPress Backup

Если бы UpdraftPlus WordPress Backup плагин, входил в установочный пакет WordPress вместо «Akismet» и «Hello Dolly», то стал бы идеальным выбором для многих пользователей. Более 2-х миллионов активных установок и почти идеальный рейтинг (4,8 из 5 звезд), классно да?

С помощью UpdraftPlus вы можете хранить ваши копии в облаке, так как плагин поддерживает Amazon S3, Dropbox и Google Drive. У вас также есть возможность хранить резервных копий на сервере по вашему выбору через FTP-протокол.

Как и все крутые решения, плагин имеет премиум-версию, за которую придется раскошелится. В платной версии вы получаете больше возможностей для хранения, таких как Microsoft OneDrive, SCP, WebDAV и OpenStack Swift, а также 1ГБ свободного места в Updraft Vault — специализированном хранилище от авторов плагина. Функции защищенного FTP (SFTP). Поддержка по электронной почте и на форуме и некоторые другие плюшки.

Цена зависит от того, сколько сайтов вы планируете использовать, и варьируется от 70 до 399 долларов США в год. Для подавляющего большинства пользователей «Персональный» тариф за 70 баксов в год — это все что нужно для того, чтобы забыть про резервное копирование WordPress сайта (До поры, до времени. Тьфу-Тьфу-Тьфу). Заплатил, настроил и спи себе спокойно.

3. BackWPup

Популярный плагин, или как говорится stand—alone решение в сфере резервного копирования для WordPress сайтов с более чем 600 000 активных установок. Плагин создаёт полную физическую копию вашего сайта, включая все содержимые элементы и базу данных. Копии будут храниться на внешних ресурсах, таких как: Dropbox, S3, FTP и т.д. Процесс восстановления прост — нужен только *.zip файл, созданный вами ранее.

BackWPup бесплатен, но авторы плагина утверждать, что бесплатная версия не будет столь же эффективной, как профессиональная. Профессиональные функции включают в себя резервное копирование на Google Drive и Amazon Glacier и другие сервисы.

К сожалению функция резервного копирования базы данных реализована только «PRO» версии, а тарифы начинаются от 69 долларов США в год (1 сайт) и до 349, в тарифе для агентств (100 сайтов). Но тут нужно еще понимать, что ваша база дынных должна быть в формате

Практика и оценка рисков

После того, как резервная копия вашего сайта была сделана с помощью одного из вышеупомянутых плагинов, вы прошли первый этап в обеспечении безопасности вашего сайта. Риск-менеджмент крайне важен, если вы хотите, чтобы данные вашего сайта не пропали.

Вот лучшие методы борьбы с рисками, которым вы должны следовать:

Делайте резервные копии вашего сайта WordPress

К настоящему времени вы, должно быть уже поняли важность резервного копирования вашего сайта. Независимо от того, делаете ли вы это с помощью плагинов или вручную, частый BackUp вашего WodPress сайта должен быть в верхней части списка приоритетов.

У вас также должна быть рабочая резервная копия вашего веб-сайта на жестком диске, даже если вы сохранили эту резервную копию в самых безопасных местах, таких как Amazon S3. Потому, что у вас обязана быть рабочая резервная копия на случай абсолютного наихудшего случая.

Заменить файлы, а не восстановить

Белый экран смерти WordPress — одна из распространенных проблем в WordPress, вызванная проблемами в файле fuctions.php. Ваша первая мысль будет восстановить весь ваш сайт. Тем не менее, существует гораздо более удобный способ вернуть ваш сайт к жизни, а именно заменить испорченный файл functions.php.

Все, что вам нужно сделать, это просто получить доступ к вашим личным резервным копиям, найти файл functions.php (когда он еще не содержал ошибок) и перезаписать его файлом резервной копии с помощью FTP, SFTP или WP-CLI.

Думайте, прежде чем начать процесс

Восстановление всего вашего сайта должно быть последним, что вы должны сделать для того, чтобы ваш сайт вернулся к жизни. Обычно хостинг-провайдеры создают ежедневные резервные копию вашего сайта. В этом случае вы в максимум потеряете изменения за последние 24 часа.

Храните копии под рукой

Не страшно быть осторожным. Создайте копии своих сайтов и делайте их столько, сколько хотите, но никогда не храните их на серверах, где размещены сами сайты. Вы должны хранить их в облачных хранилищах, таких как Dropbox или Google Drive. Если можете, храните одни и те же копии на разных сетевых дисках. Этот процесс может быть автоматизирован.

Таким образом, вы уменьшаете вероятность потери резервных копий практически до нуля.

Заключение

WordPress BackUp данных вашего веб-сайта имеет решающее значение для обеспечения бесперебойной работы вашего сайта. В этой статье мы рассмотрели лучшие плагины, а также пролили свет на то, почему резервное копирование важно для любого веб-сайта.

Если вы знаете какие-либо другие и одновременно стоящие внимание плагины для этой цели, которых нет в этом списке, сообщите мне об этом в комментариях.

Желаете создать блог на WordPress?

WordPress – прекрасная база для создания блога или сайта, но далеко не все знают как пользоваться этим благом с максимальной пользой. Начиная работать с WordPress, вы можете столкнуться с массой вопросов, тем более, если у вас нет профессиональной подготовки. Однако в этом нет ничего страшного, и начало работы с WordPress почти у всех проходит по аналогичному сценарию. По этой причине было решено создать полноценное руководство для тех, кого заинтересовало данное направление. Даже если у вас нет специальных знаний в этой сфере, вы без труда сможете создать свой персональный блог на WordPress.

Совершенно не важно сколько вам лет, ведь в инструкции все изложено просто и понятно.

Что потребуется для начала?

Есть три вещи, которые вам нужны для создания блога на WordPress:

Полчаса свободного времени.
Хостинг (нужен, чтобы сайт где-то физически существовал в интернете)
Доменное имя – это будет название вашего блога, например wordpresslab.ru.

Готовы? Давайте начнем!

Шаг 1. Начинаем с подготовки

Наиболее часто допускаемой новичками ошибкой является выбор неправильного хостинга и платформы. Многие пользователи делают выбор в пользу WordPress и не спроста. Он является бесплатным сервисом, позволяющим веб-мастеру получить уйму возможностей:

Для большинства успешных блогов выбирают именно решение WordPress.org, в качестве CMS. Это касается не только персональных страничек, но и крупнейших новостных порталов. Бесплатным сервис остаётся, чтобы владельцы проектов могли сами разобраться со всем остальным, в том числе и настройками, вплоть до мельчайших деталей.

Но, тут важно понимать разницу между *.com и *.org, в связи с этим советуем ознакомиться со статьей – Что выбрать WordPress.com или WordPress.org.

Если мы обратимся к истории создания WordPress, то будет ясно, что изначально CMS позиционировалась исключительно как платформа для ведения блога, но это уже давно не так.

Более 37% всех сайтов в мире работают на WordPress!

Официальные данные на 2020 год.

Вы может быть удивляетесь, почему WordPress бесплатный? В чем подвох?
Да нет никого подвоха. Бесплатно, потому что вы должны самостоятельно выполнить настройку и разместить ваш блог в интернете.

Другими словами, вам нужно доменное имя и веб-хостинг.

Шаг 2. Регистрация домена и покупка хостинг для WordPress блога

Доменное имя – по-другому, адрес, на котором располагается сайт. В качестве примера – yandex.ru или wordpresslab.ru.

Регистрация предполагает не покупку имени насовсем. Наоборот, оформляется аренда на определённый срок. Минимальное время для такого действия – 1 год. После приобретения пользователь становится администратором, получает адрес во временное владение. На домене создают сайты или почтовые платформы, выставляют на продажу, при необходимости – продлевают регистрацию. Но всеми доменами, в конечном счёте, владеет организация под названием ICANN. Это международная компания, которая отвечает за управление подобными ресурсами.

Веб-хостинг – другое дело. Здесь живут все файлы, связанные с сайтом. В нём тоже нуждается каждый проект без исключения.

Наш совет при выборе хостинг провайдера и регистратора доменных имен однозначен – REG.RU

За одну только тех.поддержку им нужно выдать медаль, не говоря уже об остальных особенностях и преимуществах!

2.1 Доменное имя и хостинг

Первое, что нужно сделать это подобрать домен.

Затем, к выбранному домену добавить услугу хостинга.

Вот вам действующий купон на 5% скидку – 80FD-94D2-1F81-A44B

Копейка рубль бережет!

Оплатить выбранные услуги и после активации перейти к установке.

2.2 Установка WordPress

Тут ничего сложного – устанавливаем WordPress (можно выбрать как автоматическую установку, так и произвести ее вручную).

Шаг 3. Выбор и установка WordPress темы

То, как будет выглядеть ваш блог WordPress, зависит от выбранной темы. Сразу, после установки ваш блог будет выглядеть так:

Маловероятно, что вам понравится стартовая тема, так как она не сможет заинтересовать посетителей.

Безусловно, настройка внешнего вида персонального блога станет одним из наиболее увлекательных и важных моментов создания блога на базе WordPress.

Есть масса готовых шаблонов, которыми вы можете воспользоваться: некоторые из них можно получить бесплатно, за некоторые же придется заплатить.

У нас есть отдельная подборка лучших шаблонов для блога WordPress.

Сменить тему просто, достаточно перейти на панель инструментов ВордПресс и нажать «Внешний вид», а затем – «Темы».

Жмем кнопку «Добавить».

На экране, который появится после этих действий, у вас будет возможность выбрать любую из предоставленных в официальном каталоге бесплатных тем WordPress (а их там более 8 тысяч). При выборе темы есть возможность сортировки тем по таким критериям, как: рекомендуемые, новые, популярные и прочие.

Важно! При предварительном просмотре темы стоит учитывать, что она может выглядеть иначе, чем на скриншоте, однако в этом нет ничего страшного, ведь позже у вас будет возможность настроить шаблон. Внимание стоит обратить на тип шрифта, цвет, дизайн и прочие элементы.

Лучшая рекомендация, которую можно дать при выборе идеальной темы для блога – стремитесь к простоте дизайна.

Определившись с темой, наведите на нее курсор мыши, после чего вы увидите кнопку «Установить». Жмем на нее и ждем завершение установки. Кнопка установки сменится надписью: «Активировать», жмем на нее для активации.

После установки темы, у вас появляется возможность ее настройки. Для этого переходим в графу меню «Внешний вид», а затем жмем «Настроить».

Если вы уже запутались или нужна помощь в выборе темы, ознакомьтесь с нашем крутым руководством – 9 вещей, которые следует учитывать при выборе темы для WordPress.

После того, как тема была выбрана, переходим к созданию своего первого поста в блоге.

Шаг 4. Публикуем первый пост в блоге

На панели инструментов ВордПресс находим в меню графу «Записи», а затем «Добавить новую».

Вы окажетесь в области редактора, где можно создать свой первый пост. В WordPress используется редактор, основанный на блоках.

Каждый элемент – называется блок, что позволяет упорядочить статьи и сделать их более приятными для восприятия.

Чтобы ознакомиться с редактором, см. Наш учебник по редактору блоков WordPress.

После того, как вы окончите свой пост и будете довольны написанным, в правом верхнем углу жмете «Опубликовать», после чего он будет опубликован.

В редакторе вы также найдете несколько других разделов, среди которых «Метки» и «Рубрики». Их использование поможет вам упорядочить посты в блоге по разделам. У нас есть отличное описание различий между рубриками и метками, с которыми мы настоятельно рекомендуем вам ознакомиться.

Шаг 5. Плагины и общие настройки

После написания первого поста вам, скорее всего, захочется облагородить свой сайт с помощью таких полезных элементов, как галерея, форма подписки на рассылку, контактная форма и прочих. Для их добавления вам понадобятся плагины. Что же такое плагины для WordPress?

Плагины в WordPpress – это приложения, с помощью которых можно добавить на свой сайт новые функции (для этого не потребуется знание кода).

В каталоге плагинов WordPress, предоставляемых бесплатно, вы сможете найти более 57 тысяч плагинов. А значит для любого вашего каприза имеется плагин!

А вдогонку, вот руководство по установке плагинов на WordPress, если вы уж совсем новичок.

Давайте рассмотрим использование плагинов для добавления в ваш блог определенных важных функций

5.1 Как работают плагины на примере Google Analytics или как отслеживать посещения вашего WordPress-блога

С помощью Google Analytics вы сможете видеть количество посетителей блога, откуда они пришли и чем занимаются на вашем сайте.

Правильным решением будет установка Google Analytics вместе с запуском блога, что позволит вам проследить рост вашего блога с течением времени.

Для начала стоит посетить сайт Google Analytics и осуществить вход в систему с помощью своего аккаунта Gmail. После того, как вход будет осуществлен, вы можете создать бесплатную учетную запись Google Analytics.

От вас потребуются ваши данные и адрес веб-сайта. Затем вы получите код отслеживания Google Analytics.

Запоминать его вам не придется, так как мы воспользуемся плагином, позволяющим автоматически загружать и добавлять данный код в ваш блог (в комплекте с настройкой правильного отслеживания WordPress).

Переключаемся в панель администратора WordPress, где устанавливаем и активируем плагин MonsterInsights. Это наиболее простой способ добавления на ваш сайт Google Analytics, причем версия плагина бесплатна.

После того, как плагин будет активирован, переходим на страничку Insights, а затем – «Настройки», где производим настройку плагина.

Для подключения Google Analytics к сайту WordPress жмем кнопку «ConnectMonsterInsights».

Чтобы завершить настройку, воспользуйтесь подсказками, которые будут появляться на экране. После того, как настройка будет завершена, вы сможете следить за аналитикой сайта на вкладке MonsterInsights прямо на панели инструментов WP.

5.2 Оптимизация блога для SEO целей

Новички редко заморачиваются SEO оптимизацией при создании блога. Поисковая оптимизация, она же SEO, помогает пользователям отыскать в поисковых системах ваш блог. Для увеличения трафика, важно не откладывать оптимизацию своего блога.

Сначала нужно уделить время установке и активации плагина Yoast SEO. Данный плагин является прекрасным решением для ВордПресс, с помощью которого вы сможете оптимизировать блог.

После того, как плагин будет активирован, в меню появится новый пункт «SEO». После нажатия на него, вы будете перенаправлены на страничку настроек плагина. Настроить плагин будет несложно, так как у него имеется мастер быстрой настройки.

У плагина есть мастер быстрой настройки, который поможет вам пройти через настройку. Вы также можете настроить плагин самостоятельно следуя нашему руководству по Yoast SEO для ручной настройки.

Мы также рекомендуем вам следовать нашему полному пошаговому руководству по WordPress SEO, чтобы максимально оптимизировать ваш блог для поисковых систем.

5.3 Важные плагины и специфика работы с WordPress

Существует масса WordPress плагинов, которые предоставят вам новые возможности. Но, как правило, новички не знают, какие именно плагины им нужны. Но не стоит огорчаться, мы поделимся с вами информацией о том, на какие плагины стоит обратить внимание.

Вот наш экспертный выбор лучших плагинов WordPress, которые вы должны проверить.

Бэкап – Вам необходимо систематически создавать резервные копии блога, во избежание потери информации в случае сбоя. Обратите внимание на список лучших плагинов для этой цели, и это на самом деле крайне важно!

Безопасность – Немалое внимание стоит уделить безопасности WordPress.

Дизайн и настройка – Прекрасным решением станет плагин Elementor либо же стандартный редактор блоков, который поможет настроить дизайн домашней странички, создать целевые странички либо же даже пользовательских тем.

Шаг 6. Как сделать так, чтобы блог приносил доход?

Существует несколько способов заработка денег с помощью вашего блога, и о некоторых из лучших мы расскажем.

6.1. Google AdSense

Большинство блогеров зарабатывает на показе рекламы. Если цель ведения вашего блога – монетизация, то лучшим помощником станет Google AdSense.

Это огромная рекламная площадка для издателей и блогеров. Google выполняет роль посредника между рекламодателем и блогером, позволяя первым делать ставки на ключевые слова, которые соответствуют вашему контенту.

6.2 Партнерские программы (Affiliate Marketing)

Участие в партнерке можно смело назвать вторым по популярности вариантом заработка среди блогеров. Тут все просто: вы советуете услуги / продукты, которые вам нравятся, своим посетителям, а в случае, если они их приобретают, вам начисляются комиссионные.

Важным моментом партнерского маркетинга является рекомендация качественных товаров, которыми вы на самом деле пользуетесь.

6.3 Интернет-магазин

Нередко блогеры продают всякие штуки прямо из своего блога, и зарабатывают благодаря этому. Продавать можно все, что угодно: картины, музыку, цифровые товары, реальные продукты и прочее. Лучшим плагином электронной коммерции для WP является WooCommerce.

Три метода заработка, описанные выше, не являются единственными возможными вариантами. Блоги WordPress могут быть созданы для публикации обзоров, кулинарных рецептов, разговоров о моде и прочего. Выбрав определенное направление, вы сможете получить уникальные возможности для заработка.

Также можно использовать свой блог в качестве членского сайта, посредством которого будете предлагать премиум-контент или курсы по подписке.

Мы описали главные шаги создания блога на базе WordPress, но если у вас остались вопросы, не стесняйтесь задавать их в комментариях!

Если у вас есть вопросы – спрашивайте в комментариях и мы обязательно вам ответим.

Спасибо.

Хорошие новости … С недавних пор сделать это стало гораздо проще! Нет необходимости вручную верстать каждую страницу с нуля или нанимать студию веб дизайна.

Визуальное редактирование в нашей теме

Приятный и простой процесс редактирования страниц и записей. 60+ дополнительных блоков для Elementor!

В наши дни все, что вам действительно нужно – это плагин под названием Elementor, один из самых универсальных и доступных конструкторов страниц для WordPress. Более того, не нужно платить ни копейки, чтобы начать им пользоваться!

В этом посте мы расскажем о том, как использовать Elementor, и рассмотрим некоторые из его лучших функций. К концу у вас обязательно сложится представление как этот плагин работает, из чего он состоит и всё такое.

ВНИМАНИЕ!

Для Elementor существует множество дополнений и готовых шаблонов страниц. Например, в нашем шаблоне есть дополнительные 60 блоков для бесплатной версии Elementor!

Начало работы с Elementor

В рамках этого гайда мы не будет углубятся в теорию установки и активации плагинов, так как это у на есть отдельное руководство.

Elementor – это самый популярный конструктор страниц, который полностью раскрывает свой потенциал только при использование максимально легких WordPress тем. Отличным примером считается тема «Hello», а скачать её можно в официальном репозитории.

Конструктор страниц позволяет вам контролировать каждый аспект визуального оформления и макетов страниц или записей вашего сайта с помощью десятков различных элементов.

Итак, в переходим в раздел Плагины → Добавить новый, в строке поиска вводим «Elementor». Самый первый из найденных плагинов нам и потребуется. Нажимаем «Установить», а когда процесс завершиться – «Активировать».

Поздравляем, вы сделали первый шаг на правильном пути!

Изучение возможностей плагина

Чуть позже мы рассмотрим создание наших собственных страниц и шаблонов с помощью плагина, но сначала давайте взглянем на его основные особенности!

Одной из самых важных отличительных черт любого конструктора является простота использования. Пользователь должен воплотить свое видение в реальность без большого количества головокружительных и бешеных поисков уроков на YouTube.

К счастью, Elementor – это самый простой из когда-либо созданных конструкторов. Это интерфейсный редактор, который даём возможность видеть все вносимые на страницы изменения непосредственно на этапе создания или редактирования.

Когда вы привыкнете к перетаскиванию элементов по странице, то поймете, что он настолько интуитивно понятен, насколько это возможно в принципе!

Большинство параметров настройки, которые вы найдете, основаны на виджетах (элементах) и даже в бесплатной версии их много.

Настройки Elementor

У плагина есть несколько настроек базового уровня, которые расположены в разделе Elementor → Настройки. Тут можно выбрать с каким типом записей плагин будет работать, установить размеры контейнера которые будет использоваться по умолчанию и так далее. На то они и базовые настройки, так как влияют сразу на весь сайт!

Также есть удобный менеджер ролей, который позволяет определить, какие типы пользователей могут иметь доступ к Elementor, а какие останутся сидеть на стандартном редакторе блоков (контроль над ролями доступен только в PRO версии).

Какие виджеты (элементы) доступны в бесплатной версии?

В целом, плагин построен на методе Drag-and-drop, и содержит много различных элементов структурированных по разделам.

В общей сложности вы получаете около 30 базовых элементов (все вкладки, кроме PRO), которые дают вам все необходимое для создания страниц.

Если базовых элементов недостаточно, можно получить дополнительные виджеты путем обновления до Elementor Pro.

Наконец, Elementor поддерживает виджеты, созданные сторонними разработчиками. Вы можете найти множество сторонних дополнений для плагина, которые еще больше расширяют библиотеку доступных элементов, или даже создать свой собственный виджет, используя API плагина.

Сравнение версий. А нужно ли покупать Elementor PRO?

Если вам нужен удобный, мощный бесплатный конструктор, то бесплатная версия – отличный выбор!

Но весь потенциал плагина раскрывается только с переходам на PRO версию.

Давайте посмотрим на сравнительную таблицу и продолжим:

	FREE	PRO
Цена	Бесплатно	От $49 в год
Кол-во виджетов	~ 25	~ 50
Конструктор страниц	X	✓
Конструктор темы	X	✓
Поддержка	X	✓
Динамичный контент	X	✓
PRO шаблоны и элементы	X	✓
Интеграция	X	✓

Чуть позже мы вернемся к PRO, а сейчас продолжим знакомство с бесплатной версией плагина Elementor

Использование бесплатной версии конструктора

Elementor работает с пользовательскими типами постов и имеет множество шаблонов, готовых для использования, но в рамках этого гайда, давайте все делать по порядку и с нуля. Вы можете ознакомиться с нашей подбокой топовых шаблонов Elementor

Шаг 0. Выбор правильной темы (шаблона) для сайта на базе Elementor

Шаг 1. Создание новой страницы или записи

Мы будет создавать страницу, а для этого перейдите во вкладку Страницы → Добавить новую на панели инструментов. Откроется, всем уже знакомый, редактор блоков (Гутентберг). Печатаем название страницы и нажимаем синюю кнопку «Редактировать в Elementor»

Шаг 2. Начало работы в редакторе

Откроется редактор Elementor. Первое с чем мы будет работать это строки и столбцы, которые позволят разделить страницу на отдельные логические элементы.

В качестве примера мы создали две строки, первая строка содержит один, полно-размерный столбец, а вторая – 2 столбца.

В первую строку добавим заголовок:

Вы неверное уже заметили, что не смотря на то, что страницы была создана с названием «Моя страница в Elementor» – заголовок не отображается. Добиться этого можно используя родительскую тему «Hello» и её дочернюю тему.

В functions.php дочерней темы следует добавить следующий фильтр:

				
					function wplb_disable_page_title( $return ) {
   return false;
}
add_filter( 'hello_elementor_page_title', 'wplb_disable_page_title' );

Продолжаем…

Важной особенность плагина Elementor являются его глобальные настройки. Поменять цвет заголовка можно используя вкладку «Стиль».

Но это крайне не рациональное использование редактора, так как эти действия нужно будет выполнять для каждого заголовка на каждой странице.

Шаг 3. Глобальные настройки

Для создания общей стилевой направленности сайта необходимо задать некоторые глобальные настройки:

В качестве примера была выбрана одна из доступных по умолчанию палитр, но её всегда можно отредактировать или создать собственную.

Шаг 4. Строки, колонки, элементы и их настройки

Даже, используя бесплатную версию плагина у вас есть тонна инструментов для воплощения вашего видения. Каждая строка, колонка и отельный элемент может быть настроен. Вот где раскрывается настоящая сила Elementor как WordPress плагина.

Сейчас нет смысла описывать все доступные строкам и элементам настройки. Но в качестве примера давайте визуально отделим шапку сайта от заголовка.

Не дурно, да? Но давайте двигаться дальше и разбираться с шаблонами которые доступны в бесплатной версии плагина Elementor.

Шаг 5. Шаблоны страниц в Elementor

Нажав на иконку с изображение папки Открыть библиотеку шаблонов открывается библиотека доступных и заранее сверстанных макетов, которые можно использовать при создание страниц и записей:

Тут все просто – выберем понравившийся шаблон и вставляем его в тело контента. Большинство самых “вкусных” шаблонов доступно только в PRO версии.

Elementor PRO

Несмотря на то, что благодаря бесплатной версии плагина вполне можно создать сайт, PRO версия поможет максимально раскрыть весь творческий потенциал и даст доступ к эффективным маркетинговым инструментам, таким как PopUp (всплывающие окна).

Создание форм, также доступно только в Elementor PRO, а ведь благодаря им можно полностью избавиться от сторонних, жрущих тонны ресурсов, плагинов типа «Contact Form 7».

Но всё же начать стоит возможности создания шапки и подвала сайта.

Редактор тем в PRO версии

Elementor – это особый случай, который одновременно прост в использовании и невероятно универсален, во многом благодаря своему конструктору тем.

Конструктор тем меняет правила игры для всех, кто знаком с созданием собственных тем, поскольку он позволяет создавать собственные верхние и нижние колонтитулы (Header и Footer), а также другой динамический контент для вашего веб-сайта. Он позволяет вам переопределять важнейшие аспекты используемой WordPress темы!

Перейдите во вкладку Шаблоны → Theme Builder на панели инструментов, затем выберите «Header» и нажмите кнопку «Добавить новый Header».

Дальше потребуется ввести название шаблона, пусть он так и называется «Header». А после нажатия большой зеленой кнопки «Создать шаблон» начинается самое интересное.

Выберите один из понравившихся шаблонов и нажмите «Опубликовать», так как к редактированию мы вернемся чуть позже.

Будет предположено добавить условия отображения. Нажимаем «Add Condition», а так как там по умолчанию выбрана опция «Entire Site», что означает – показывать на всех страницах сайта, то нажимаем «Save & Close». Как вы уже поняли можно создавать и совмещать различные условия отображения динамических элементов, но в рамках этого руководства это рассматриваться не будет.

Прежде чем продолжить убедитесь, что вы загрузили свой логотип, а если нет то перейдите во вкладку Внешний вид → Настроитьна панели инструментов, выберите вкладку «Свойства сайта» и загрузите логотип.

Возвращаемся к редактированию страницы, которую мы создали ранее. И что мы видим? Правильно, нашу созданную шапку. Давайте дополнительно стилизуем её, а для этого нужно нажать «Редактировать Header»

Как видно, всё достаточно просто и на интуитивно понятном уровне. Тем же способом можно создать подвал сайта (Footer) и различные всплывающие окна, но об этом в другой раз.

Часто задаваемые вопросы

Что такое Elementor?

Elementor – это лучший и бесплатный конструктор для WordPress, который позволяет создавать красивые веб-сайты самым простым и быстрым способом.

Elementor работает со всеми темами?

Плагин работает со всеми темами, которые соответствуют стандартам WordPress.

Совместим ли он с другими плагинами WordPress?

Плагин совместим практически со всеми плагинами.

Что такое Elementor PRO

Elementor PRO расширяет набор инструментов, необходимых веб-разработчикам для создания профессиональных веб-сайтов. Он включает в себя лучший в отрасли конструктор тем, виджет визуальных форм, настраиваемый CSS и многие другие революционные функции.

Могу ли я редактировать страницы своего блога с помощью Elementor?

Да, но Вам понадобится “конструктор тем”, который входит в Elementor PRO.

Могу ли я редактировать страницы WooCommerce?

Вы можете редактировать страницу товара и страницы архивов с помощью конструктора WooCommerce Elementor. Скоро появится возможность редактировать страницу оформления заказа и страницу корзины с этой функцией.

Подведем итог

С точки зрения основных выводов, надеемся, вы понимаете, почему Elementor – фантастический конструктор, который берет на себя большую часть по верстке макетов. Он обеспечивает идеальный баланс между простотой использования и широкими функциональными возможностями, что делает его одним из самых доступных конструкторов, доступных для WordPress.

Надеемся, это мини-руководство дало вам отличную отправную точку для успешного использования плагина Elementor и его PRO версии.

Если у вас есть какие-либо вопросы или комментарии, пожалуйста, поделитесь ими с нами ниже!

Спасибо.