Теоретические советы:
1. Совет. Новая версия лучше
Конечно стоит обновить свой движок до новой версии , как только она выходит. Сами производители этого продукта рекомендуют обновлять платформу, но многие утверждают что делать это не стоит , так как новая версия может конфликтовать со старой темой или плагинами , что может привезти к неработоспособности сайта.
Рассмотрим то, как сделать это правильно.
Чтобы все прошло как надо, нужно сначала сделать buck-up файлов и базы данных сайта, то есть ( сделать копии всех файлов и забросить себе на ПК , плюс заказать архив MySQL базы и так же сохранить ее на ПК ).
Затем можно спокойно обновлять движок и после обновления уже смотреть, проверять как работают плагины, не съехала ли тема, виджеты и т.д…
Предположим все прошло гладко, остается только радоваться новой версии и считать что защита стала на уровень выше. В другом случае если что вдруг пошло не так , можно спокойно восстановить buck-up данных и работоспособность сайта.
2. Совет. Хороший Хостинг
В интернете много различных компаний предоставляющие хостинг услуги на бесплатной основе.
Стоит ли им доверять?
Скажу так. Какая цена такое и качество. И лучше всего обходить такие компании стороной или максимум проверить какая присутствует тех поддержка на хостинге , проверить отзывы в интернете.
Хоть сотрудники таких ресурсов и утверждают что у них стоят хорошие системы защиты , для мошенников взлом такого хостинга не составит большого труда. И доступность сайта также страдает, на дешевом хостинге, часто бывают сбои работы сервера.
Подробней о выборе хостинга: Как не ошибиться при выборе хостинга? 10 дельных советов
3. Совет. Длинные и сложные пароли
В первую очередь поменяйте пароль в административной панели движка WP. Пароль вида 1234567890, qwerty с легкостью предоставит взломщику ваш сайт на блюдечке.
Используйте буквы верхнего и нижнего регистра , знаки вида: !@#$%&_ и конечно же цифры делая пароль длинным 15 -20 знаков. В таком случае подобрать пароль будет сложно и почти не возможно.
Это касается и почты под которой привязан WP. Пароли необходимо менять раз в 2 месяца , чем чаще тем лучше! Не используйте пароль от входа в админку на других сайтах
4. Совет. Сканирование на наличие уязвимости
Конечно проверять ручками код страниц не придется. В этот к нам нам на помощь придет отличный плагин WP Security Scan. Данный плагин хорош тем что он показывает администратору какие ошибки есть в данный момент и немного информации по их устранению.
Установили нажали на кнопку указанную на картинке и смотрим какие уязвимости присутствуют на сайте.
5.Совет. Использование SSL сертификата
Так вы сможете повысить доверие к сайту и немного повысить уровень безопасности. Адрес айта будет https://
6. Совет. Ограничение по ip адресам
Можно разрешить определенным ip адресам заходить в админ- панель, для этого нужно только вставить вот такой код в файл .htacceess
AuthUserFile /dev/null
<pre class=»language» style=»color: #110000;»>AuthGroupFile /dev/null
AuthName «WordPress Admin Access Control»
AuthType Basic order deny,allow deny from all
# whitelist Syed’s IP address allow from xx.xx.xx.xxx
# whitelist David’s IP address allow from xx.xx.xx.xxx
# whitelist Amanda’s IP address allow from xx.xx.xx.xxx
# whitelist Muhammad’s IP address allow from xx.xx.xx.xxx
# whitelist Work IP address allow from xx.xx.xx.xxx
В этом способе есть одно неудобство, например вы уехали в другое место , значит ip адрес поменялся и доступ к админке будет закрыт пока вы не добавите ip адрес в файл .htaccess
7. Совет. Антивирусы еще ни кто не отменял
Хороший антивирус будет защищать ваш WordPress от различных атак включая такие как эксплойт и спам инъекции. Плюсы данного чуда в том что он автоматически проверяет раз день ваш сайт и отправляет отчет на e-mail адрес, так же можно проверить в ручную с незамедлительным получением информации о каких либо угрозах.
Антивирус должен стоять на вашем компьютере, чтобы никто не мог украсть ваши пароли. И на сайте, либо хостинг может предоставлять антивирус для сканирования файлов сайта.
Практические советы:
1.Совет. Удаляем ненужные файлы
Два файла по которым мошенник сможет узнать версию вашего движка и много чего полезного для взлома. Они не нужны их удаляем — readme.html и license.txt расположены в корневой директории вашего.
Так же для защиты от утечки информации о версии движка рекомендую вам удалить вот эту строку в файле header.php
<meta name=»generator» content=»WordPress 3.9.1″ /> может быть и другая строка в зависимости от темы
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
3. Совет. Смотрим какие папки открыты для взломщиков
В своем браузере набираем такие команды:
http://Ваш домен/wp-content
http://Ваш домен/wp-content/plugins
Если открывается пустая страница, значит все замечательно. Если браузер показывает содержимое папок, это очень и очень плохо. Таким образом мошенник увидит название некоторых главных файлов по которым так может осуществить взлом. Чтобы скрыть эти папки , нужно в обеих директориях создать по одному пустому файлу index.php. После этих манипуляций папки должны быть скрыты.
Ко всему этому прописав такую строчку Options All -Indexes в файл .htaccess вы еще на один шаг выше в плане безопасности своего сайта.
4. Совет. Защита входа в админку
Устанавливаем отличный плагин All In One WP Security он позволит блокировать атаки рода bruteforce(перебор пароля) и обеспечивают хороший уровень защиты. У него много разных интересных настроек.
5. Совет. Делаем запрет на посещение вашего сервера различными лицами
Еще два файла через которые злоумышленник сможет проникнуть в ваш сервер и наделать бед Function.php и Search.php. В этих файлах необходимо прописать по одной строчке: function.php в самом низу вставляем :
<!—?php remove_action (’wp_head’, ‘wp_generator’); ?—>
В search.php заменить эту строку:
<!—?php echo $_SERVER [‘PHP_SELF’]; ?—> на вот такую:
<!—?php blog info (’home’); ?—>
Если вы не обнаружили у себя таких файлов , не огорчайтесь значит все нормально и никаких изменений делать не нужно.
6. Совет. Уберем уведомление о не правильно введенном пароле
Зайдите в админку. Посмотрите когда вводишь правильный логин и не правильный пароль о чем вам говорит WordPress ?
Убираем подсказки на входе в админку WordPress
Движок может показать мошеннику (в случае если он угадает логин) что логин правильный, а вот пароль нет. Так же будет в случае если мошенник угадает пароль, то движок ему скажет что пароль правильный, а вот над логином стоит подумать.
Теперь взломщику понадобиться очень много времени чтобы подобрать только пароль или только логин. Усложним его задачу — закроем это уведомление, прописав в файле function.php следующую строчку
<span style=»color: #282828;»>add_filter (‘login_errors’,create_function (‘$a’, «return null;»));</span>
Теперь WordPress не покажет ему подсказок!
В дополнение:
Проверьте все свои плагины , может есть такие которые просто весят в воздухе и вы ими не пользуйтесь-удалите их. Свежие версии лучше тем, что там меньше «дыр» — старайтесь обновлять свой WP и плагины , делая перед этим резервные копии!
Сделайте сложный пароль для входа на хостинг , если туда закрадутся мошенники вся защита пойдет на смарку и старайтесь связываться для закачки файлов и просто работы над сайтом не через ftp клиент, а через панель управления хостингом так намного безопасней!
Ну вот и все!
необходимо обезопасить сайт от хакерских атак, установить специальные плагины и следить за обновлениями CMS.
«Статья содержит полезные советы по обеспечению безопасности вордпресс-сайта. Важно следовать рекомендациям, чтобы избежать уязвимостей и защитить свой сайт от взлома.»
в статье много полезной информации о защите сайта на вордпресс, рекомендую всем!
Важно обеспечить безопасность сайта на WordPress. Много полезных советов в статье.
Безопасность сайта на Вордпрессе – важная тема для веб-разработчиков и владельцев ресурсов. Хорошая статья!