Всем привет! Сегодня я решил затронуть такую важную тему, как защита сайта на WordPress. Она достаточно актуальна, учитывая, что многие новички об этом забывают или ставят пару плагинов и думают, что сделали все от них зависящее. Поэтому, я решил расписать все доступные способы, которыми пользуюсь сам и о которых узнал от других блогеров. Готовы? Тогда начнем.
Как защитить сайт на WP от взлома
Итак, что же необходимо предпринять, чтобы обезопасить сайт и админку от посягательства злобных хакеров?
- Изменить стандартный логин и пароль от админки.
Банальный, но крайне важный пункт. По умолчанию, у вас может быть создан логин admin, о котором знают все хакеры и подбирать пароли будут именно к нему. Чтобы такого не происходило, заходите в панель управления вашего хостинг-провайдера, переходите в базу MySQL, авторизуйтесь в phpMyAdmin, найдите таблицу базы, нажмите на wp_users. В строке admin нажмите изменить и впишите новый логин. Скрины не прикладываю, как показала практика расположение может отличаться и я вас только запутаю.
Пароль от админки меняется из этой самой административной панели. Просто перейдите Пользователи Ваш профиль и пролистайте вниз. Там увидите необходимые поля и дальше уже следуйте подсказкам системы.
Старайтесь раз в полтора – два месяца менять пароль.
- Поставьте плагин, ограничивающий количество попыток входа в админку.
Чтобы хакеры не могли заняться перебором ваших паролей, необходимо установить плагин Login LockDown или Limit Login Attempts. В настройках выставляем количество попыток ввода логина и пароля, а так же время, на которое будет заблокирована попытка повторного входа в систему.
- Поставьте плагин iThemes Security.
Еще один плагин для защиты сайта на WordPress. Он очень мощный и используется многими известными блогерами.
После установки и грамотной настройки, он запрещает перебор логина и пароля в админку, следит за изменениями файлов в системе, убирает подсказки при ошибках ввода логина и пароля, шлет уведомления о подозрительной активности, делает бекабы и присылает их на электронку. И это только малая часть доступного функционала.
- Установите плагин для защиты вашей базы.
Установите плагин WP Database Backup – он позволяет делать ежедневные резервные копии базы на случай ЧП. Лично я делаю дополнительные копии 1-го числа каждого месяца и скидываю их себе на флешку и переносной жесткий диск.
- Измените логин и пароль для вашей учетной записи хостинг-провайдера.
Даже потрать вы кучу времени на защиту админки сайта, если взломают личный кабинет хостинг-провайдера, все труды пойдут насмарку.
Кстати, если ваш IP статичен, можно поставить вход только по нему. Если нет настройте двухфакторную аутентификацию.
- Удалите файлы readme.html и license.txt.
Зайдите в корень вашего сайта, найдите там файлы readme.html и license.txt и удалите их. Лично я на всякий случай сделал копии к себе на компьютер, но за два года они так и не пригодились.
- Проверяйте компьютер на вирусы.
Иногда вирусы приходят как раз с компьютера. Так что регулярно проверяйте его антивирусом.
- Своевременно обновляйте плагины и версию движка WordPress.
При обновлении плагинов и движка часто закрывают некоторые дыры в защите.
Никогда не скачивайте плагины и темы из непроверенных источников, они могут содержать вредоносный код!
- Избавляйтесь от неиспользованных плагинов.
Как я сказал чуть выше – в них могут быть дыры в защите, которыми недоброжелатели с радостью воспользуются.
- Не используйте FTP.
Это соединение не защищено. Используйте только SFTP-соединение.
- Уберите возможность регистрации пользователей.
Для этого перейдите в Настройки Общие и уберите галочку Любой может зарегистрироваться.
- Сделайте двухфакторную аутентификацию для входа в админку.
Она выглядит, как еще одно окно для ввода логина и пароля. В итоге, если кто-то захочет вас взломать, ему придется справиться сначала с одной авторизацией, а потом штурмовать вторую.
- Проверьте видимость файлов и плагинов.
Попробуйте набрать в адресной строке http://ваш блог/wp-content/plugins/ или http://ваш блог/wp-content/. Если у вас открылись файлы или какие-нибудь папки, необходимо в каждой из директорий создать пустой файл index.php. Файлик создается в любом текстовом редакторе, после чего сохраняете его и меняете расширение. Затем проверяете. Если все хорошо, должны открыться пустые страницы.
- Регулярно проверяйте сайт на вирусы.
Это делается довольно просто. Можно поставить специальный плагин AntiVirus, а после проверки его удалить, чтобы не грузить лишний раз сайт. Ну, или воспользоваться специальной услугой у хостинг-провайдера. Единственное, не уверен, что все хостеры её предоставляют.
- Проверьте шаблон темы на вредоносный код и ссылки.
Это делается при помощи специального плагина Theme Authenticity Checker (TAC). Ставите его на сайт, активируете и перейдите «Внешний вид» «TAC». Если все окей, то вы увидите следующее:
Есть и аналог с более подробной информацией – VIP Scanner. Можете опробовать оба и выбрать тот, что вам больше понравится.
Кстати, как и в случае с антивирусом, держать его установленным смысла нет. Достаточно поставить один раз в месяц для проверки.
Заключение
Выполнив эти шаги, защита вашего сайта на движке WordPress будет максимально эффективной. Конечно шанс, что взломают все равно останется, но он будет очень близок к нулю. Если вы вдруг знаете другие эффективные способы защиты делитесь ими в комментариях. Уверен, читатели моего блога скажут вам за это спасибо.
На этом все. Подписывайтесь, рассказывайте друзьям и до встречи в следующих статьях! Пока-пока!