Практически каждый сайт подвергаются многочисленным и продолжительным атакам. Защита персональных данных является важным аспектом в успешном бизнесе. В статье собрали испытанные шаги по безопасности, которые помогут вам дать сайту надежную защиту.
Двухфакторная аутентификация
Используйте плагины авторизации, в которых есть двухфакторная аутентификация. С ней украденный пароль будет бесполезен для взломщика, ведь ресурс потребует подтверждение входа через e-mail, номер телефона или мессенджер. Обязательно используйте этот способ для доступа сайту администраторов и менеджеров.
Например, модуль авторизации на сайте поможет включить двухфакторную аутентификацию. Установите его как обычный плагин в wordpress и активируйте.
Перейдите в настройки пользователя, которому нужно включить двухфакторную аутентификацию и подключите:
- Подтверждение по SMS
- Подтверждение по почте
- Подтверждение в месенджер
- Подтверждение по IP
Для включения подтверждение по IP укажите IP адреса через запятую. Если проверка по IP будет успешна, то остальные способы не будут проверяться.
Количество попыток входа в систему
Если оставить количество попыток входа в систему неограниченным, злоумышленник сможет проводить долгую атаку для подбора пароля, например, методом полного перебора, называемого “брутфорс-атакой”. И в конце концов найдет совпадение и получит доступ. Снизить атаки на учетную запись вашей CMS и хостинга поможет ограничение количества попыток авторизации.
Активируйте плагины, чтобы ограничить количество попыток авторизации за определенный промежуток времени. Так, при неверном введении пароля несколько раз, доступ к учетной записи на время заблокируется.
Чтобы включить ограничение попыток входа используйте плагин модуль авторизации на сайте. Перейдите в Настройки => Авторизация => Модули и включите Безопасность.
Теперь во вкладке Безопасность вы можете настроить попытки входа.
Чтобы получать уведомления о подозрительных попытках входа в вашу учетную запись, у некоторых плагинов можно подключить функцию отправки неудачных попыток на электронную почту. Это дает возможность быть в курсе атак и реагировать на них в реальном времени.
Ограничение доступов
На сайте можно ограничивать доступы к данным. Важно закрыть доступ к экспорту персональных данных как можно большему числу пользователей. Чтобы настроить права перейдите в Настройки => Универсам => Доступы.
Ограничение доступа к свойствам, хранящим персональные данные.
Вы можете выбрать свойства, к которым нужно ограничить доступ. Например, это могут быть паспортные данные, телефоны и т .д. Перейдите в редактирование свойства, например, свойства контакта. Включите «Ограничить видимость поля» и выберете кто это свойство может видеть.
Важно в разделе CRM закрыть доступ к изменению свойств. Иначе злоумышленник может отменить ограничение. Чтобы настроить доступ к изменению свойств перейдите в Настройки => Универсам => Доступы. Для каждой роли пользователя, кроме администратора, снимите эту возможность.
Эта возможность не позволит редактировать настройки свойств.
Скрыть отображение телефона и почты
Вы можете скрыть отображения отображение телефонов и почты для менеджеров. Они смогу звонить клиентам и отправлять почту, но узнать номер телефона и почты не смогут. Чтобы скрыть для выбранной группы, снимите галочку «Отображение телефонов и почты».
Теперь контакты будут скрыты во всех объектах. Например, так в заказе.
Отключите возможность изменить роли пользователей
Если вы настроили роли, то укажите в файле wp-config константу USAM_DISABLE_CHANGING_CAPABILITIES со значением true, которая не позволит менять права пользователям.
define('USAM_DISABLE_CHANGING_CAPABILITIES', true); Если вы даже для администраторов выключите экспорт персональных данных и оставите возможность менять права, то если злоумышленник, получив доступ к пользователю с правами администратора, сможет их изменить.
SSL-сертификат
SSL-сертификат шифрует данные пользователей и при передаче не дает перехватить их третьим лицам, потому нравится браузеру и не отпугивает посетителей. Как это работает? Сайт с SSL-сертификатом передает данные по защищенному протоколу HTTPS и несет ответственность за свои действия, тем самым обеспечивает защиту онлайн-транзакций и конфиденциальность клиентских данных. Следите, чтобы сертификат установили корректно, и вовремя продлевайте срок его действия.
Обновление модулей сайта
Важно проводить регулярные обновления, чтобы получать новые возможности по защите данных. Нужно обновлять wordpress, платформу и плагины.