В статье Уязвимости сайта и как их можно использовать о безопасности сайта мы говорили о сайте в целом. Теперь мы также рассмотрим некоторые способы защиты вашей базы данных от компрометации.

В этой статье мы сосредоточимся на некоторых вещах, над которыми большинство администраторов веб-сайтов WordPress имеют полный контроль, но, вероятно, не настраивают их должным образом. Большинство из нас в тот или иной момент виновны в плохой практике обеспечения безопасности, причем из-за причин, о которых вы, вероятно, даже не подозревали. Считайте, что это ваша программа из восьми шагов по улучшению безопасности базы данных WordPress.

Вы слышали это тысячу раз, но повторим еще раз - всегда обновляйте свой WordPress до последней версии. Это один из самых важных шагов, которые вы можете предпринять. Чтобы еще раз подчеркнуть важность этого шага отметим, что недавно было обнаружено более миллиона взломанных устаревших веб-сайтов WordPress. Если вы отключили автоматические обновления, включите их снова!

Это очень просто, просто загрузите и откройте файл wp-config.php вашей установки WordPress в вашем любимом текстовом редакторе и добавьте в него эту строку:

define( 'WP_AUTO_UPDATE_CORE', true );

Все больше и больше людей используют решения для резервного копирования, но базы данных слишком часто упускаются из виду при рассмотрении решений для резервного копирования. Первое, что вы должны сделать, это поговорить с вашим хостинг-провайдером, чтобы узнать, какие услуги резервного копирования предлагаются, если таковые имеются. Если доступные решения для резервного копирования не включают резервные копии базы данных, существует множество решений для WordPress, которые делают это. В дополнение к простому резервному копированию вам необходимо убедиться, что вы выполняете проверку целостности этих резервных копий.

Если вы не знаете, о чем спросить, вот удобный контрольный список:

- Вы хотите, чтобы резервные копии выполнялись ежедневно — как минимум.

- Вы хотите, чтобы ваши резервные копии включали ваши файлы и ваши базы данных.

- Вы хотите хранить данные как минимум за 30 дней, но желательно как можно ближе к 60 дням, насколько это возможно.

- Вам нужен простой метод для специального резервного копирования и специального восстановления.

- Вы хотите иметь возможность выборочной проверки целостности резервных копий.

- Вы хотите, чтобы резервные копии хранились на сервере, отличном от вашего веб-сервера.

Хотя технически возможно запускать несколько приложений, даже отдельные установки WordPress, из одной и той же базы данных — не делайте этого! Существует множество причин, по которым вам никогда не следует использовать одну и ту же базу данных для нескольких приложений, не последней из которых является совершенно неэффективный барьер безопасности. Уязвимость в одном приложении может привести к раскрытию всей базы данных. Помните, что, поскольку никакие методы безопасности не являются полностью надежными, вы всегда должны помнить об ограничении степени любого ущерба, который может последовать за компрометацией. Одной из важных частей этого являются эффективные барьеры между приложениями и уровнями доверия. Эти барьеры служат для ограничения ущерба, подобно водонепроницаемым переборкам военного корабля, которые помогают ограничить затопление между отсеками.

Ваш файл wp-config.php содержит важную информацию, включая ваши уникальные хеш-соли, а также учетные данные в виде открытого текста для доступа к вашей базе данных с правами администратора. Обеспечьте безопасность этого файла, установив для wp-config.php права доступа 0600 ( –rw–––––– ). Этот тип разрешения означает, что владелец может читать и писать в этот файл, но все остальные не имеют доступа. Если вы не знакомы с настройкой прав доступа к файлам, обратитесь к своему хостинг-провайдеру, чтобы внести это изменение.

Некоторые хостинг-провайдеры разрешают удаленные подключения к базам данных SQL в своей сети. Для WordPress это не только не нужно, но и создает дополнительный риск для базы данных, позволяя ей прослушивать запросы от внешних объектов. Точно так же, как наши родители говорили нам, чтобы мы не разговаривали с незнакомцами, когда мы росли, мы должны сказать нашей базе данных, чтобы она не разговаривала с ненадежными источниками. В большинстве случаев ваш хостинг-провайдер может отключить эту опцию от вашего имени.

Возможно, пароли, которые чаще всего упускают из виду в день обновления паролей, — это пароли базы данных. Вы никогда не используете их сами и забываете, что они существуют. А ваш сайт WordPress использует эти учетные данные каждый день. При обновлении пароля к базе данных убедитесь, что вы также обновляете строку подключения в файле wp-config.php, чтобы гарантировать, что WordPress по-прежнему может подключаться к базе данных и избежать простоев. Ваш хостинг-провайдер должен помочь вам найти, как обновить пароли вашей базы данных.

Хотя это, вероятно, не выполняет большинство людей, вам следует дважды проверить, что никакие дополнительные пользователи базы данных не имеют доступа к вашей базе данных WordPress. Бывают моменты, когда неожиданный пользователь базы данных выполнял произвольный SQL для базы данных WordPress, и это было особенно сложно отследить, потому что не предполагалась возможность другого пользователя. Дважды проверьте пользователей вашей базы данных и их привилегии у вашего хостинг-провайдера, чтобы исключить любых случайных пользователей.

Сканирование вашего веб-сайта на наличие вредоносных программ и уязвимостей надежной антивирусной программой играет важную роль в вашей общей безопасности. Хотя в настоящее время не существует методов прямого сканирования содержимого вашей базы данных на наличие проблем, вы можете сканировать содержимое, которое база данных передает на ваш работающий веб-сайт, с помощью внешнего сканера как на наличие вредоносных программ, так и на наличие уязвимостей. В сочетании с надежным решением для сканирования файлов ваша защита значительно улучшится.

Следуя этим рекомендациям по обеспечению безопасности базы данных WordPress, вы станете хорошим администратором WordPress и более эффективным хранителем данных на своем веб-сайте. Даже в худшем из сценариев ущерб будет значительно ограничен этими мерами предосторожности, а восстановление будет намного менее стрессовым.

Какова бы ни была причина, по которой страница сайта не открывается, например проблемы с базой данных, важно контролировать доступность сайта для посетителя. Ситуация, при которой пользователь не может открыть страницу вашего сайта, отрицательно влияет на поднятие сайта в поиске (поисковой выдаче) и оставляет негативное впечатление о вашем сайте у посетителя. Вы теряете потенциальных клиентов, а значит и деньги. Используйте хороший сервис, например BAILRY для постоянного контроля (проверки) доступности сайта. Сервис предоставляет как бесплатную регулярную (периодическую) проверку доступности сайта, так и платную услугу - для постоянного контроля доступности сайта.

Компания Mainton - разработка программного обеспечения под заказ, SEO и реклама в интернете с 2004 года.