Безопасность WordPress - как защитить WordPress от взлома

Опубликовано: 06.09.2018

Здравствуйте, мои бесценные читатели! Рад приветствовать Вас на страницах блога FairHeart.ru. К сожалению, от своих читателей я очень часто слышу о взломах блогов на WordPress. Это очень печально, ведь люди теряют то, во что годами вкладывали все свои силы и кучу времени. В этой статье я дам советы по увеличению безопасности WordPress . Они помогут вам избежать подобных неприятностей.

Как защитить сайт на WordPress? Безопасность WordPress.

К вопросу безопасности WordPress ни в коем случае нельзя подходить узко, как к замкнутой изолированной системе. Обязательно нужно следить за безопасностью компьютера, с которого вы заходите в админку WordPress, рабочей почты, используемых сторонних сервисов и программ.

Защищаем сайт WordPress от роботов-взломщиков

Советы по безопасности в целом

Первые мои советы коснуться вопросу работы с паролями. Это основа основ, фундамент! Не ленитесь следовать изложенным ниже правилам:

используйте пароль длинной не менее 8 символов с буквами в разном регистре, числами и по возможности другими символами; старайтесь обновлять его раз в пол года; никогда не используйте в качестве пароля слово из словаря или сочетание таких слов; никогда не сохраняйте пароли в браузере и ftp клиентах; используйте разные пароли для почты, панели администратора WP, хостинга и так далее; для второстепенных форумов и сайтов, с которых вы хотите получить только обратную ссылку, создайте отдельный пассворд, который нигде на основных интернет ресурсах не будет использоваться и специальную почту под спам; не храните пароли в текстовом документе на компьютере, если не можете запомнить их все — прибегнете к помощи специальных программ ( где хранить пароли ?); никогда не и используйте свой пассворд на незнакомом компьютере. Например, в интернет-кафе.

Любые меры, направленные на увеличение безопасности WordPress , могут оказаться бесполезными, если ваш компьютер в целом не защищен. По защите компьютеров от атак злоумышленников, вирусов, троянов и прочей нечисти написана не одна книга, но углубляться в дебри этого я не буду — только самое простое и важное:

Установите и используйте антивирус. Нет денег на Dr. Web или Касперский — используйте бесплатный . Не посещайте сомнительные интернет ресурсы и не скачивайте сомнительные файлы. Особое внимание уделите электронной почте, там всегда хватает опасного хлама. Перед удалением, отмечайте сомнительные письма как спам — антиспамные механизмы на почте способны обучаться. Обязательно обновляйте программы на компьютере, особенно браузеры.

ТОП-10 советов по безопасности WordPress

Вот 10 основных мер, которые необходимо предпринять любому владельцу блога, дабы свести риск взлома к минимуму:

1. Обязательно своевременно устанавливайте обновления WordPress и всех активных плагинов.

2. Не забывайте делать резервные копии (backup) базы данных и файлов блога .

3. Удалите сторонние ссылки из темы WordPress .

4. Скройте используемую версию WP от глаз посторонних. Для этого откройте на редактирование шаблон header.php и удалите мета тег примерно следующего содержания:

Потом обязательно удалите из корневой папки блога на сервере файлы readme.html и license.txt . На работу блога никакого влияния они не оказывают.

5. Укажите в файле .htaccess IP компьютеров, с которых вы заходите в админку WP. Тогда вход с постороннего компьютера будет запрещен.

< Files wp -login .php > Order deny ,allow Deny from All Allow from 107 .345 .580 .0 </ Files >

Только вместо 107.345.580.0 укажите свой IP. Как узнать IP своего компьютера? Задайте этот вопрос Яндексу — он его вам сразу покажет.

Так же запретите просмотр папок посторонним людям, добавив следующую строчку кода:

6. Используйте надежный пароль .

7. Не используйте стандартную учетную запись admin. Создайте новую и для нее задайте права администратора, привяжите к ней все статьи блога, а старую учетную запись (admin) удалите.

8. Защититесь от XSS атак при помощи плагина Anti-XSS attack.

9. Смените URL адрес страницы входа в панель администратора WP. Для этого используйте плагин Hide Login, который рассмотрен ниже по тексту. Очевидно, что после этого нельзя размещать форму входа в админку на самом блоге.

10. Установите для папок блога на сервере минимально необходимые для работы права доступа (смотрите WP Security Scan ниже).

Anti-XSS attack

Плагин противодействует на блог. Устанавливается стандартно, только обязательно . Начинает работать сразу после активации и никаких настроек не имеет. Если при попытки зайти в админку видите подобную картину:

не пугайтесь, просто перейдите по указанной ссылки, а дальше как обычно.

Login LockDown

Позволяет задать количество возможных попыток ввода пароля для доступа к панели администратора WP за определенное время. Если за отведенное количество попыток, вы так и не ввели правильный пассворд, админка блокируется на указанное в настройках время.

, установите и активируйте. Настроек у него совсем немного, и располагаются они в разделе «Параметры» — «Login LockDown».

Max Login Retries — количество попыток ввода пароля; Retry Time Period Restriction (minutes) — количество минут, за которое считаются попытки ввода пароля; Lockout Length (minutes) — время в минутах, на которое блокируется панель администратора WP; Lockout Invalid Usernames? — учитывается не только ошибочный введенный пассворд, но и логин; Mask Login Errors? — скрывает сообщение об ошибочном вводе логина/пароля.

Не стоит беспокоится, что злоумышленник может намеренно вводить неправильные пароли и блокировать для всех вход в админку. Блокировка идет по IP, поэтому вы со своего компьютера спокойно сможете зайти.

WP Security Scan

С установкой и активацией плагина проблем возникнуть не должно, только обязательно . Под свои настройки создает отдельный пункт в меню — WSD security.

Сразу после активации WP Security Scan просканирует ваш WordPress и выдаст результат в пункте Inital Scan . Красным будут выделены те пункты, которые не соответствуют требованиям к безопасности.

Сканирование производится по следующим пунктом:

последняя ли версия WP у вас установлена; какой префикс используется для таблиц в базе данных — по умолчанию используется wp_, но лучше поменять его на другой. WP Security Scan позволяет задать новый префикс БД в разделе Database своих настроек; Скрыта ли версия WordPress — об этом я уже рассказывал чуть выше; Проверяет базу данных на ошибки; Определяет под каким пользователем вы заходите и публикуете статьи в WordPress. Как я уже говорил выше, использовать стандартную учетную запись admin не безопасно; проверяет настройки файла .htaccess.

Помимо информации по безопасности WordPress, плагин выдает подробную информацию по серверу — System Information Scan .

В разделе Scanner настроек WP Security Scan представлена таблица со списком папок WP, для каждой из которых указаны права доступа, которые необходимо использовать в целях безопасности (Needed Chmod), и текущие права доступа. Для изменения прав доступа можно использовать ftp клиент FileZilla .

В разделе Password Tools можно проверить надежность пароля. Помимо этого предлагается использовать сгенерированный плагином «сильный» пароль. Обязательно прочитайте о том, как сменить пароль в WordPress .

Переходим к настройкам префикса БД — Database . Укажите любой другой префикс вместо стандартного wp_, только не забудьте, что префикс должен оканчиваться знаком _.

В оставшихся пунктах настроек — options и support , ничего стоящего нет.

На этом все! Спасибо за внимание. Подписывайтесь на блога. Берегите себя!

Лучший способ выразить благодарность автору - поделиться с друзьями!

Узнавайте о появлении нового материала первым! Подпишитесь на обновления по email:

Следите за обновлениями в Twitter и RSS.