Общие вопросы, Пользователи

Безопасность

Безопасности вашего сайта и персональных данных всегда уделяется приоритетное внимание.  На этой странице описано, что мы делаем для защиты вашего сайта и персональных данных, а также предложены дополнительные действия, которые мы вам рекомендуем выполнить.  

Содержание

Как мы защищаем ваш сайт и ваши данные
Шифрование, по умолчанию
Брандмауэры
Мониторинг подозрительных действий
Тестирование безопасности
Резервное копирование и восстановление данных
Наша служба безопасности

Как вы можете защищать свой сайт и свои данные
Храните ваши секреты в секрете
Как выбрать надежный пароль
Выход из учётной записи
Контроль доступа к сайту
Двухэтапная аутентификация

Как выбрать надежный пароль
Традиционные пароли утратили надежность
Испольуйте современный метод
Лучший метод: Менеджер паролей
Хороший метод: Кодовые фразы
Дополнительные рекомендации для обоих методов защиты паролем


Как мы защищаем ваш сайт и ваши данные

Шифрование, по умолчанию

Надёжное шифрование имеет очень большое значение для обеспечения вашей конфиденциальности и безопасности. Мы шифруем (используя SSL) все сайты WordPress.com, включая пользовательские домены, размещённые на WordPress.com. Мы считаем, что надёжное шифрование является настолько важной функцией, что не даём вам возможности её отключить. В противном случае безопасность вашего сайта WordPress.com может быть поставлена под угрозу. Мы также перенаправляем (301 redirect) все незащищённые HTTP-запросы на защищённую версию HTTPS. Узнайте больше о HTTPS и SSL для своего сайта.

Мы автоматически устанавливаем для вашего сайта сертификат SSL. В очень редких случаях конфигурация, заданная для сайта, может нарушать корректную работу сертификата SSL. Если проблема связана с сертификатом SSL, свяжитесь с нами.


↑ Содержание ↑

Брандмауэры

Мы применяем брандмауэры и специальные процессы, чтобы обнаруживать несанкционированные попытки доступа к учётным записям WordPress.com.


↑ Содержание ↑

Мониторинг подозрительных действий

Мы постоянно наблюдаем за веб-трафиком и контролируем любые подозрительные действия. Мы также применяем определённые меры безопасности для защиты от DDoS-атак (распределённых атак типа «отказ в обслуживании»).


↑ Содержание ↑

Тестирование безопасности

Мы регулярно проверяем безопасность наших услуг и анализируем потенциальные уязвимости. Мы также выплачиваем премии за обнаруженные уязвимости в программном обеспечении в рамках программы на HackerOne и поощряем людей, которые находят ошибки и помогают нам повышать уровень безопасности наших услуг.


↑ Содержание ↑

Резервное копирование и восстановление данных

Наши системы регулярно создают резервные копии данных вашего сайта WordPress.com. Таким образом, в случае, когда случается потеря данных (например, отказ источника питания или стихийное бедствие), мы можем восстановить все данные.


↑ Содержание ↑

Наша служба безопасности

У нас есть специальная служба безопасности, которая отвечает за защиту ваших данных. Сотрудники этой службы работают непосредственно с нашими группами разработчиков продуктов над устранением потенциальных угроз безопасности и стремятся обеспечить максимальный уровень защиты ваших данных.

Ни один из способов передачи данных по Интернету и хранения данных на электронном носителе не может быть абсолютно защищённым. Мы не можем гарантировать абсолютную безопасность вашего сайта или учётной записи, и никто не может.Однако надёжная защита вашего сайта и персональных данных является очень важной задачей для нас.


Как вы можете защищать свой сайт и свои данные

Вот еще несколько рекомендаций по защите данных (прочтите до конца!).

↑ Содержание ↑

Храните ваши секреты в секрете

Слабейшее звено при обеспечении безопасности любых действиях в Интернете — это ваш пароль. Это ключ к вашему блогу, вашей электронной почте, вашим учётным записям в социальных сетях или любой иной онлайн-услуге, которую вы используете. Если ваш пароль довольно просто угадать, вы очень уязвимы.

Что может произойти? Кто-то угадает ваш пароль и сможет удалить любую вашу запись. Злоумышленник может стереть ваш сайт. Он может читать ваши электронные письма, либо украсть ваш адрес и выдавать себя за вас. Злоумышленник может разрушить все то, что вы с таким трудом создали.


↑ Содержание ↑

Как выбрать надежный пароль

Каждый пароль, который вы используете, должен быть простым для запоминания, но сложным для подбора. Произвольный набор цифр и символов усложняет процедуру угадывания пароля, но в то же время делает сложным его запоминание. Вы вряд ли забудете свою дату рождения или кличку первого домашнего питомца. Однако такой пароль очень ненадежен, поскольку злоумышленникам несложно его угадать.

На WordPress.com позволяет использовать очень длинный пароль, состоящий из любой комбинации букв, цифр и символов. Таким образом, надежность пароля, а следовательно и безопасность блога, зависят только от вас. Изучите наши рекомендации по созданию надежных паролей.


↑ Содержание ↑

Выход из учётной записи

Для большей безопасности учётной записи выходите из системы по окончании работы. Это особенно важно для случая, когда вы работаете на совместно используемом или общедоступном компьютере. Если вы не выйдите из системы, кто-то сможет получить доступ к вашей учётной записи путём просмотра истории браузера и возвращения на вашу консоль WordPress.com.

Для большей безопасности учётной записи выходите из системы по окончании работы.

Для выхода из учётной записи WordPress.com щёлкните ваш граватар в верхнем правом углу. Затем слева под граватаром нажмите Выйти.


↑ Содержание ↑

Контроль доступа к сайту

WordPress.com предоставляет многофункциональную многопользовательскую платформу. В то время как каждый сайт имеет только одного владельца, у вас может быть любое количество пользователей. Это идеальные условия для групповых блогов с большим числом авторов, для медийных сайтов, где применяется рабочий процесс редактирования, или для любого другого крупного сайта, где вы хотите распределять часть административной нагрузки.

Однако разделение нагрузки также означает и разделение ответственности. Именно поэтому, на WordPress.com можно настроить разные Роли для каждого пользователя, которого вы добавляете на своём сайте. Уровень доступа пользователей устанавливается с помощью ролей.

  • Участник: роль с максимальными ограничениями; может только сохранять черновики записей, но не публиковать их.
  • Автор: может публиковать записи и загружать изображения, но не может редактировать записи других авторов.
  • Редактор: может не только редактировать или публиковать записи любых пользователей, но еще и модерировать комментарии, а также настраивать рубрики и теги.
  • Администратор: получает полный контроль над сайтом и даже может его удалить.

Добавляя пользователей, подбирайте ту роль, которая лучше всего подходит для их предполагаемых действий на вашем сайте. Если вы создаете учётную запись для пользователя, который будет только соавтором небольшого количества записей, назначьте ему роль «Участник». Назначайте роли «Автор» и «Редактор» только доверенным пользователям, которые будут долгое время работать с вашим сайтом.

Наконец, будьте особенно внимательны с ролью «Администратор». Если вы делаете другого пользователя Администратором на своём сайте, вы фактически создаёте отдельный набор ключей для сайта и вручаете их кому-то ещё. Такой человек может не только воспринимать ваш сайт как некую авантюру. Отдавая дополнительный набор ключей плохо знакомому вам человеку, вы даёте ему возможность украсть ваш сайт.

По сути, мы предлагаем вам вообще не использовать роль «Администратор». В подавляющем числе случаев роль «Редактор» будет оптимальным вариантом.

См. дополнительную информацию на страницах поддержки в разделах Добавление пользователей и Роли пользователей.


↑ Содержание ↑

Двухэтапная аутентификация

Благодаря двухэтапной аутентификации вы можете использовать любое мобильное устройство iOS, Android, Blackberry или поддерживающее SMS в качестве уникального ключа к своему блогу. После подписки на услугу вам будет нужно вводить специально генерируемый одноразовый код при каждой попытке входа в ваш блог. Это означает, что даже в том случае, если кто-то узнает ваш пароль, он не сможет войти в систему, не располагая вашим мобильным устройством.

Дополнительную информацию об этой услуге см. на странице поддержки Двухэтапная аутентификация.


Как выбрать надежный пароль

Самым слабым звеном в любой системе безопасности ваших учётных записей в Интернете обычно является пароль. На WordPress.com мы прилагаем все усилия, чтобы обеспечить безопасность вашего содержимого и оградить его от постороннего доступа.

Но если кто-то угадает или подберет ваш пароль, он сможет обойти практически все наши барьеры защиты, поскольку WordPress.com будет считать, что этот человек — вы. Взломщик сможет внести любые изменения в ваш блог или учётную запись WordPress.com  и даже удалить ваши материалы.

Чтобы исключить такую возможность, следуйте данным указаниям, чтобы создавать надежные пароли, которые трудно подбирать и взламывать. Прочитайте эти рекомендации и перепроверьте ваш пароль. Если вы полагаете, что он недостаточно надежен, мы настоятельно рекомендуем вам поменять его.


↑ Содержание ↑

Традиционные пароли утратили надежность

Методики взлома паролей за последние несколько десятилетий настолько усовершенствовались, что любые наши рекомендации по созданию паролей быстро устаревают. Поэтому большинство традиционных правил сегодня смело можно назвать устаревшими и бесполезными.

Пароль, соответствующий всем обычным рекомендациям, например, jal43#Koo%a, легко взламывается компьютером, хотя человеку сложно его запомнить и ввести.

В новейших высокоэффективных атаках с подбором паролей используется до 350 млрд попыток ввода в секунду, и в ближайшие несколько лет, несомненно, эта скорость значительно вырастет.

Сегодня для подбора надежного пароля требуется использовать современные методики. Две из них описаны в следующем разделе.


↑ Содержание ↑

Выберите современный метод

Сформировать надежный пароль можно несколькими способами. Эффективнее всего использовать менеджеры паролей и кодовые фразы. Выберите тот вариант, который вам подходит, и прочитайте соответствующий раздел этой статьи.


↑ Содержание ↑

Лучший метод: Менеджер паролей

Менеджер паролей — это программа для компьютера или мобильного устройства, которая формирует очень надежные пароли и хранит их в защищенной базе данных. Для доступа к ней используется одна кодовая фраза, после ввода которой менеджер автоматически вводит ваше имя пользователя и пароль в форму входа в систему. Когда нужно помнить только один пароль, его можно сделать совершенно случайным и сложным для угадывания.

Вам не потребуется подбирать, запоминать и заново вводить другие надежные пароли. Это простейший и самый надежный из доступных сегодня методов, и мы настоятельно рекомендуем вам его использовать.

Как использовать менеджер паролей

Существует много различных менеджеров паролей. Выберите подходящий вариант и установите его на ваш компьютер. Здесь описана общая процедура. Подробную информацию вы найдете в описании выбранного приложения.

  1. Выберите менеджер паролей. Популярные варианты:
    • 1Password (платный продукт с закрытым исходным кодом)
    • LastPass (бесплатный/платный продукт с закрытым исходным кодом)
    • Dashlane (бесплатный/платный продукт с закрытым исходным кодом)
    • KeePass (бесплатный продукт с открытым исходным кодом)
    • RoboForm (платный продукт с закрытым исходным кодом)
    • Вы можете найти в Интернете и другие варианты.
  2. Установите приложение на компьютер.
  3. Установите расширения или плагины для браузера, которым вы пользуетесь.
  4. Задайте надежный главный пароль для доступа к базе данных, в которой будут храниться пароли. Прочитайте рекомендации в разделе этого документа Как задать кодовую фразу .
  5. (необязательно) Храните копию главного пароля, записанную на бумаге, в надежном месте, например, в сейфе. Очень полезно сохранить резервную копию на случай, если вы забудете главный пароль.
  6. (необязательно) Предоставьте другим устройствам доступ к базе паролей, используя встроенные инструменты приложения или специальную службу, например,  SpiderOak. Если вы пользуетесь внешним устройством, обязательно задайте для него надежный пароль и (если возможно) включите двухфакторную аутентификацию для учётной записи.

Настроив менеджер паролей, вы можете использовать его для формирования надежных паролей. Настройте во встроенном инструменте формирования паролей подбор 30–50 случайных символов с сочетанием букв в верхнем и нижнем регистре, цифр и специальных символов.

генератор-паролей

Вы получите последовательность, выглядящую так: N9}>K!A8$6a23jk%sdf23)4Q[uRa~ds{234]sa+f423@

Выглядит устрашающе. Однако вам не требуется её запоминать или вводить. Менеджер паролей выполнит эти действия автоматически.


↑ Содержание ↑

Хороший метод: Кодовые фразы

Кодовая фраза похожа на пароль, но в ней используется не одно слово, а случайный набор слов. Например, копировать указка ловушка яркая.

Поскольку один из важнейших факторов надежности пароля — это его длина, кодовые фразы гораздо надежнее традиционных паролей. При этом их значительно проще запоминать и вводить.

Они не настолько надежны, как пароли, генерируемые менеджером паролей, но вполне приемлемы, если вы не хотите использовать менеджер паролей. Также с их помощью удобнее всего вручную, а не автоматически формировать главный пароль для менеджера паролей или для учётной записи операционной системы.

Как задать кодовую фразу

Правила для кодовых фраз в целом аналогичны правилам для традиционных паролей, за исключением требования к сложности. Надежность в этом случае гарантируется не сложностью, а длиной.

  1. Выберите 4 случайных слова. Если хотите, вы можете использовать генератор кодовых фраз xkcd , но желательно, чтобы вы составили собственную фразу.
  2. По желанию разделите слова пробелами.

На этом этапе у вас есть фраза, выглядящая примерно так: копировать указка ловушка яркая

Вы можете на этом остановиться или, если хотите, выполнить следующие действия, чтобы повысить надежность:

  1. Выборочно перевести буквы в верхний регистр.
  2. Добавить цифры и символы.

Применив эти дополнительные правила, вы получите примерно следующее: Копировать указка 48 Ловушка (#) яркая

Чего не следует делать:

  • Не располагайте слова в предсказуемом порядке и не составляйте из них фразу, которая имеет смысл и угадать которую значительно легче.
  • Не используйте слова из песен, цитаты и другие общеизвестные выражения. Хакеры используют для подбора паролей обширные базы опубликованных источников.
  • Не используйте никакую персональную информацию. Даже если она дополнена буквами и цифрами, тот, кто вас знает или может найти ваши данные в Интернете, без труда сможет угадать такой пароль.

↑ Содержание ↑

Дополнительные рекомендации для обоих методов защиты паролем

Составляя пароли для учётных записей всех остальных приложений, учитывайте и другие важные правила защиты информации.

  • Не используйте один и тот же пароль дважды. Многие популярные веб-сайты не обеспечивают в своих системах адекватную безопасность паролей. Хакеры легко могут их взломать, получив доступ к сотням миллионов учётных записей. Если вы используете одинаковый пароль на нескольких сайтах, взломщик сможет получить доступ к нескольким вашим учётным записям. Как минимум, используйте отдельный пароль на каждом сайте, где хранятся финансовые или конфиденциальные данные или информация, от которой зависит ваша репутация.
  • Ваш пароль к электронной почте также должен быть надежным. Многие сайты Интернета, включая и WordPress.com, используют адрес электронной почты как ваше имя пользователя. Если злоумышленник получит доступ к вашей электронной почте, он сможет сбросить ваши пароли и войти в вашу учётную запись.
  • Никому не сообщайте ваши пароли. Даже если вы доверяете другому человеку, возможно, злоумышленник подслушает вашу беседу, перехватит вашу корреспонденцию или взломает компьютер вашего собеседника. Если вы подозреваете, что ваш пароль стал известен кому-то еще, немедленно его поменяйте.
  • Не пересылайте пароли по электронной почте. Как правило, электронная корреспонденция не шифруется, и поэтому довольно легко взламывается. Сотрудники WordPress.com никогда не запрашивают у пользователей пароли. Если требуется сообщить кому-либо пароль, используйте безопасный канал передачи, например, pwpush.com, и настройте ссылку на пароль так, чтобы она прекращала действие после первого просмотра.
  • Не храните пароли в веб-браузере. Как правило, они не обеспечивают сохранность данных. Лучше используйте менеджер паролей. Подробнее о нем рассказано в соответствующем разделе выше.
  • Не сохраняйте пароли и не используйте опции «Запомнить меня» на общедоступных компьютерах. Если вы это сделаете, человек, который воспользуется таким компьютером после вас, сможет получить доступ к вашей учётной записи. Закончив работу, обязательно выйдите из системы или закройте браузер.
  • Не записывайте пароли. Если пароль где-то записан, то кто-то может его прочитать. Поэтому такой пароль ненадежен. Храните пароли в зашифрованной форме в менеджере паролей. Подробнее о нем рассказано в соответствующем разделе выше. Отход от этого правила допустим для паролей, которые невозможно восстановить (например, для главного пароля к менеджеру паролей или к учётной записи операционной системы). Пароль, записанный на бумаге, целесообразно хранить в сейфе или в ящике стола под замком.
  • Не меняйте пароли, если нет подозрений, что ваши данные скомпрометированы. Если вы задали надежный пароль согласно нашим рекомендациям, то его частая смена ненамного снизит риск его взлома. Частая смена паролей надоедает, и пользователи начинают испытывать соблазн нарушить строгие правила, чтобы упростить процесс. В результате этого они становятся более уязвимыми для атак. Если вы подозреваете, что кто-либо получил доступ к вашей учётной записи, измените пароль, чтобы обезопасить себя.
Still confused?

Contact support.