Безопасность WordPress - как защитить WordPress от взлома
Опубликовано: 06.09.2018
Здравствуйте, мои бесценные читатели! Рад приветствовать Вас на страницах блога FairHeart.ru. К сожалению, от своих читателей я очень часто слышу о взломах блогов на WordPress. Это очень печально, ведь люди теряют то, во что годами вкладывали все свои силы и кучу времени. В этой статье я дам советы по увеличению безопасности WordPress . Они помогут вам избежать подобных неприятностей.
Как защитить сайт на WordPress? Безопасность WordPress.
К вопросу безопасности WordPress ни в коем случае нельзя подходить узко, как к замкнутой изолированной системе. Обязательно нужно следить за безопасностью компьютера, с которого вы заходите в админку WordPress, рабочей почты, используемых сторонних сервисов и программ.
Защищаем сайт WordPress от роботов-взломщиков
Советы по безопасности в целом
Первые мои советы коснуться вопросу работы с паролями. Это основа основ, фундамент! Не ленитесь следовать изложенным ниже правилам:
используйте пароль длинной не менее 8 символов с буквами в разном регистре, числами и по возможности другими символами; старайтесь обновлять его раз в пол года; никогда не используйте в качестве пароля слово из словаря или сочетание таких слов; никогда не сохраняйте пароли в браузере и ftp клиентах; используйте разные пароли для почты, панели администратора WP, хостинга и так далее; для второстепенных форумов и сайтов, с которых вы хотите получить только обратную ссылку, создайте отдельный пассворд, который нигде на основных интернет ресурсах не будет использоваться и специальную почту под спам; не храните пароли в текстовом документе на компьютере, если не можете запомнить их все — прибегнете к помощи специальных программ ( где хранить пароли ?); никогда не и используйте свой пассворд на незнакомом компьютере. Например, в интернет-кафе.Любые меры, направленные на увеличение безопасности WordPress , могут оказаться бесполезными, если ваш компьютер в целом не защищен. По защите компьютеров от атак злоумышленников, вирусов, троянов и прочей нечисти написана не одна книга, но углубляться в дебри этого я не буду — только самое простое и важное:
Установите и используйте антивирус. Нет денег на Dr. Web или Касперский — используйте бесплатный . Не посещайте сомнительные интернет ресурсы и не скачивайте сомнительные файлы. Особое внимание уделите электронной почте, там всегда хватает опасного хлама. Перед удалением, отмечайте сомнительные письма как спам — антиспамные механизмы на почте способны обучаться. Обязательно обновляйте программы на компьютере, особенно браузеры.ТОП-10 советов по безопасности WordPress
Вот 10 основных мер, которые необходимо предпринять любому владельцу блога, дабы свести риск взлома к минимуму:
1. Обязательно своевременно устанавливайте обновления WordPress и всех активных плагинов.
2. Не забывайте делать резервные копии (backup) базы данных и файлов блога .
3. Удалите сторонние ссылки из темы WordPress .
4. Скройте используемую версию WP от глаз посторонних. Для этого откройте на редактирование шаблон header.php и удалите мета тег примерно следующего содержания:
<meta content="WordPress <?php bloginfo ( 'version' ) ; ?> " /> |
Потом обязательно удалите из корневой папки блога на сервере файлы readme.html и license.txt . На работу блога никакого влияния они не оказывают.
5. Укажите в файле .htaccess IP компьютеров, с которых вы заходите в админку WP. Тогда вход с постороннего компьютера будет запрещен.
< Files wp -login .php > Order deny ,allow Deny from All Allow from 107 .345 .580 .0 </ Files > |
Только вместо 107.345.580.0 укажите свой IP. Как узнать IP своего компьютера? Задайте этот вопрос Яндексу — он его вам сразу покажет.
Так же запретите просмотр папок посторонним людям, добавив следующую строчку кода:
6. Используйте надежный пароль .
7. Не используйте стандартную учетную запись admin. Создайте новую и для нее задайте права администратора, привяжите к ней все статьи блога, а старую учетную запись (admin) удалите.
8. Защититесь от XSS атак при помощи плагина Anti-XSS attack.
9. Смените URL адрес страницы входа в панель администратора WP. Для этого используйте плагин Hide Login, который рассмотрен ниже по тексту. Очевидно, что после этого нельзя размещать форму входа в админку на самом блоге.
10. Установите для папок блога на сервере минимально необходимые для работы права доступа (смотрите WP Security Scan ниже).
Anti-XSS attack
Плагин противодействует на блог. Устанавливается стандартно, только обязательно . Начинает работать сразу после активации и никаких настроек не имеет. Если при попытки зайти в админку видите подобную картину:
не пугайтесь, просто перейдите по указанной ссылки, а дальше как обычно.
Login LockDown
Позволяет задать количество возможных попыток ввода пароля для доступа к панели администратора WP за определенное время. Если за отведенное количество попыток, вы так и не ввели правильный пассворд, админка блокируется на указанное в настройках время.
, установите и активируйте. Настроек у него совсем немного, и располагаются они в разделе «Параметры» — «Login LockDown».
Max Login Retries — количество попыток ввода пароля; Retry Time Period Restriction (minutes) — количество минут, за которое считаются попытки ввода пароля; Lockout Length (minutes) — время в минутах, на которое блокируется панель администратора WP; Lockout Invalid Usernames? — учитывается не только ошибочный введенный пассворд, но и логин; Mask Login Errors? — скрывает сообщение об ошибочном вводе логина/пароля.Не стоит беспокоится, что злоумышленник может намеренно вводить неправильные пароли и блокировать для всех вход в админку. Блокировка идет по IP, поэтому вы со своего компьютера спокойно сможете зайти.
WP Security Scan
С установкой и активацией плагина проблем возникнуть не должно, только обязательно . Под свои настройки создает отдельный пункт в меню — WSD security.
Сразу после активации WP Security Scan просканирует ваш WordPress и выдаст результат в пункте Inital Scan . Красным будут выделены те пункты, которые не соответствуют требованиям к безопасности.
Сканирование производится по следующим пунктом:
последняя ли версия WP у вас установлена; какой префикс используется для таблиц в базе данных — по умолчанию используется wp_, но лучше поменять его на другой. WP Security Scan позволяет задать новый префикс БД в разделе Database своих настроек; Скрыта ли версия WordPress — об этом я уже рассказывал чуть выше; Проверяет базу данных на ошибки; Определяет под каким пользователем вы заходите и публикуете статьи в WordPress. Как я уже говорил выше, использовать стандартную учетную запись admin не безопасно; проверяет настройки файла .htaccess.Помимо информации по безопасности WordPress, плагин выдает подробную информацию по серверу — System Information Scan .
В разделе Scanner настроек WP Security Scan представлена таблица со списком папок WP, для каждой из которых указаны права доступа, которые необходимо использовать в целях безопасности (Needed Chmod), и текущие права доступа. Для изменения прав доступа можно использовать ftp клиент FileZilla .
В разделе Password Tools можно проверить надежность пароля. Помимо этого предлагается использовать сгенерированный плагином «сильный» пароль. Обязательно прочитайте о том, как сменить пароль в WordPress .
Переходим к настройкам префикса БД — Database . Укажите любой другой префикс вместо стандартного wp_, только не забудьте, что префикс должен оканчиваться знаком _.
В оставшихся пунктах настроек — options и support , ничего стоящего нет.
На этом все! Спасибо за внимание. Подписывайтесь на блога. Берегите себя!
Лучший способ выразить благодарность автору - поделиться с друзьями!
Узнавайте о появлении нового материала первым! Подпишитесь на обновления по email:
Следите за обновлениями в Twitter и RSS.