Как защитить WordPress от взлома

Теоретические советы:

Как заставить работать Ваш бизнес в интернете?

1. Совет. Новая версия лучше

Конечно стоит обновить свой движок до новой версии , как только она выходит. Сами производители этого продукта рекомендуют обновлять платформу, но многие утверждают что делать это не стоит , так как новая версия может конфликтовать со старой темой или плагинами , что может привезти к неработоспособности сайта.

Рассмотрим то, как сделать это правильно.

Чтобы все прошло как надо, нужно сначала сделать buck-up файлов и базы данных сайта, то есть ( сделать копии всех файлов и забросить себе на ПК , плюс заказать архив MySQL базы и так же сохранить ее на ПК ).

Затем можно спокойно обновлять движок и после обновления уже смотреть, проверять как работают плагины, не съехала ли тема, виджеты и т.д…

Предположим все прошло гладко, остается только радоваться новой версии и считать что защита стала на уровень выше. В другом случае если что вдруг пошло не так , можно спокойно восстановить buck-up данных и работоспособность сайта.

2. Совет. Хороший Хостинг

В интернете много различных компаний предоставляющие хостинг услуги на бесплатной основе.

Стоит ли им доверять?

Скажу так. Какая цена такое и качество. И лучше всего обходить такие компании стороной или максимум проверить какая присутствует тех поддержка на хостинге , проверить отзывы в интернете.

Хоть сотрудники таких ресурсов и утверждают что у них стоят хорошие системы защиты , для мошенников взлом такого хостинга не составит большого труда. И доступность сайта также страдает, на дешевом хостинге, часто бывают сбои работы сервера.

Подробней о выборе хостинга: Как не ошибиться при выборе хостинга? 10 дельных советов

3. Совет. Длинные и сложные пароли

В первую очередь поменяйте пароль в административной панели движка WP. Пароль вида 1234567890, qwerty с легкостью предоставит взломщику ваш сайт на блюдечке.

Используйте буквы верхнего и нижнего регистра , знаки вида: !@#$%&_ и конечно же цифры делая пароль длинным 15 -20 знаков. В таком случае подобрать пароль будет сложно и почти не возможно.

Это касается и почты под которой привязан WP. Пароли необходимо менять раз в 2 месяца , чем чаще тем лучше! Не используйте пароль от входа в админку на других сайтах

4. Совет. Сканирование на наличие уязвимости

Конечно проверять ручками код страниц не придется. В этот к нам нам на помощь придет отличный плагин WP Security Scan. Данный плагин хорош тем что он показывает администратору какие ошибки есть в данный момент и немного информации по их устранению.

Установили нажали на кнопку указанную на картинке и смотрим какие уязвимости присутствуют на сайте.

5.Совет. Использование SSL сертификата

Так вы сможете повысить доверие к сайту  и немного повысить уровень безопасности. Адрес айта будет https://

 

6. Совет. Ограничение по ip адресам

Можно разрешить определенным ip адресам заходить в админ- панель, для этого нужно только вставить вот такой код в файл .htacceess

AuthUserFile /dev/null

<pre class=”language” style=”color: #110000;”>AuthGroupFile /dev/null

AuthName “WordPress Admin Access Control”

AuthType Basic order deny,allow deny from all

# whitelist Syed’s IP address allow from xx.xx.xx.xxx

# whitelist David’s IP address allow from xx.xx.xx.xxx

# whitelist Amanda’s IP address allow from xx.xx.xx.xxx

# whitelist Muhammad’s IP address allow from xx.xx.xx.xxx

# whitelist Work IP address allow from xx.xx.xx.xxx

В этом способе есть одно неудобство, например вы уехали в другое место , значит ip адрес поменялся и доступ к админке будет закрыт пока вы не добавите ip адрес в файл .htaccess

7. Совет. Антивирусы еще ни кто не отменял

Хороший антивирус будет защищать ваш WordPress от различных атак включая такие как эксплойт и спам инъекции. Плюсы данного чуда в том что он автоматически проверяет раз день ваш сайт и отправляет отчет на e-mail адрес, так же можно проверить в ручную с незамедлительным получением информации о каких либо угрозах.

Антивирус должен стоять на вашем компьютере, чтобы никто не мог украсть ваши пароли. И на сайте, либо хостинг может предоставлять антивирус для сканирования файлов сайта.

Практические советы:

Винтик в системе

1.Совет. Удаляем ненужные файлы

Два файла по которым мошенник сможет узнать версию вашего движка и много чего полезного для взлома. Они не нужны их удаляем — readme.html и license.txt расположены в корневой директории вашего.

Так же для защиты от утечки информации о версии движка рекомендую вам удалить вот эту строку в файле header.php

<meta name=”generator” content=”WordPress 3.9.1″ /> может быть и другая строка в зависимости от темы

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

3. Совет. Смотрим какие папки открыты для взломщиков

В своем браузере набираем такие команды:

http://Ваш домен/wp-content

http://Ваш домен/wp-content/plugins

Если открывается пустая страница, значит все замечательно. Если браузер показывает содержимое папок, это очень и очень плохо. Таким образом мошенник увидит название некоторых главных файлов по которым так может осуществить взлом. Чтобы скрыть эти папки , нужно в обеих директориях создать по одному пустому файлу index.php. После этих манипуляций папки должны быть скрыты.

Ко всему этому прописав такую строчку Options All -Indexes в файл .htaccess вы еще на один шаг выше в плане безопасности своего сайта.

4. Совет. Защита входа в админку

Устанавливаем отличный плагин All In One WP Security он позволит блокировать атаки рода bruteforce(перебор пароля) и обеспечивают хороший уровень защиты. У него много разных интересных настроек.

 

5. Совет. Делаем запрет на посещение вашего сервера различными лицами

Еще два файла через которые злоумышленник сможет проникнуть в ваш сервер и наделать бед Function.php и Search.php. В этих файлах необходимо прописать по одной строчке: function.php в самом низу вставляем :

<!–?php remove_action (’wp_head’, ‘wp_generator’); ?–>

В search.php заменить эту строку:

<!–?php echo $_SERVER [‘PHP_SELF’]; ?–> на вот такую:

<!–?php blog info (’home’); ?–>

Если вы не обнаружили у себя таких файлов , не огорчайтесь значит все нормально и никаких изменений делать не нужно.

6. Совет. Уберем уведомление о не правильно введенном пароле

Зайдите в админку. Посмотрите когда вводишь правильный логин и не правильный пароль о чем вам говорит WordPress ?

Убираем подсказки на входе в админку WordPress

Движок может показать мошеннику (в случае если он угадает логин) что логин правильный, а вот пароль нет. Так же будет в случае если мошенник угадает пароль, то движок ему скажет что пароль правильный, а вот над логином стоит подумать.

Теперь взломщику понадобиться очень много времени чтобы подобрать только пароль или только логин. Усложним его задачу — закроем это уведомление, прописав в файле function.php следующую строчку

<span style=”color: #282828;”>add_filter (‘login_errors’,create_function (‘$a’, «return null;»));</span>

Теперь WordPress не покажет ему подсказок!

В дополнение:

Проверьте все свои плагины , может есть такие которые просто весят в воздухе и вы ими не пользуйтесь-удалите их. Свежие версии лучше тем, что там меньше «дыр» — старайтесь обновлять свой WP и плагины , делая перед этим резервные копии!

Сделайте сложный пароль для входа на хостинг , если туда закрадутся мошенники вся защита пойдет на смарку и старайтесь связываться для закачки файлов и просто работы над сайтом не через ftp клиент, а через панель управления хостингом так намного безопасней!

Ну вот и все!

бокал

Понравилась статья? Поделиться с друзьями:
Подробнее в Полезное
Личные страховые взносы ИП в 2018-2020 годах.
Закрыть