10 советов по усилению безопасности сайта под управлением WordPress
WordPress стал очень популярной платформой в наши дни (около 8.5% всех веб сайтов работают под управлением WordPress!). Так как данная система имеет открытый исходный код, то любой желающий может исследовать внутренне строение системы и экспериментировать с методами взлома. Более миллиона сайтов WordPress было взломано за прошедший год. Но с помощью небольших усилий вы можете защитить ваш сайт под управлением WordPress и усилить его безопасность.
1. Не используйте имя ‘admin’
Начиная с версии 3.0 WordPress имеет опцию, которая позволяет изменять имя администратора. Те, кто пытаются получить доступ к панели инструментов администратора непременно начнут с имени ‘admin’. Если вы измените его, то потенциальным взломщикам придется подбирать не только пароль, но и имя администратора.
Если вы используете более ранние версии WordPress (что не желательно), то можно изменить имя администратора непосредственно в базе данных. Открывайте ваш phpMyAdmin и выполняйте запрос:
UPDATE wp_users SET user_login = 'новое_имя_администратора' WHERE user_login = 'admin';
2. Установите плагин Login LockDown
Потенциальный взломщик попытается вскрыть комбинацию имя пользователя/пароль или провести словарную атаку экрана входа в систему вашего сайта. Плагин Login LockDown поможет предотвратить попытки взлома.
Плагин Login LockDown записывает IP адрес и время всех неудавшихся попыток входа. Если за короткий период времени будет обнаружено определенное количество попыток из одного диапазона IP адресов, то функция входа в систему будет заблокирована для всех запросов из данного диапазона. Таким методом можно существенно усложнить жизнь взломщику.
По умолчанию плагин блокирует на 1 час блок IP адресов после 3 неудачных попыток входа в течении 5 минут. Установки можно изменить через панель настройки. Также администратор системы в ручную может снять блокировку.
Плагин Login LockDown можно скачать здесь.
3. Установите плагин Secure WordPress
На сайте под управлением WordPress есть много мест, которые могут сообщить взломщику номер версии системы и другую потенциально опасную информацию.
Secure WordPress усиливает безопасность вашего WordPress сайта удаляя информацию об ошибках со страницы входа в систему, добавляя файл index.html в папки плагинов, скрывая номер версии системы и много другое:
- Удаляет информацию об ошибках со страницы входа в систему.
- Добавляет index.php в папку плагинов (виртуально)
- Удаляет информацию о номере версии WordPress.
- Удаляет Really Simple Discovery
- Удаляет Windows Live Writer
- Удаляет информацию об обновлении ядра для пользователей, кроме администратора.
- Удаляет информацию об обновлении плагинов для пользователей, кроме администратора.
- Удаляет информацию об обновлении темы для пользователей, кроме администратора.
- Скрывает номере версии WordPress в панели инструментов для пользователей, кроме администратора.
- Удаляет номер версии из URL скриптов и стилей.
- Блокирует запросы, которые могут нанести вред сайту.
Вы можете загрузить Secure WordPress here.
4. Переместите файл wp-config.php
В файле wp-config.php имеется информация о параметрах соединения с базой данных и другие важные сведения, которые нужно хранить с особенной тщательностью. Начиная с версии WordPress 2.6 вы можете легко переместить данный файл из корневого каталога в другой. WordPress будет автоматически искать данный файл, если не сможет прочесть его в корневом каталоге.
Таким образом, только пользователь с FTP или SSH доступом сможет прочитать данный файл.
5. Измените префикс базы данных
По умолчанию таблицы WordPress используют префикс wp_. Так как система имеет открытый исходный код, то если вы оставите префикс без изменений, любой желающий будет знать точные имена таблиц вашей базы данных.
Вы можете изменить префикс таблиц баз данных в процессе установки. Для изменения префикса на уже работающей системе надо воспользоваться плагином WP Secure Scan.
6. Измените ключи безопасности
Если вы откроете файл wp-config.php вашей системы, то сможете найти 4 ключа безопасности:
define('AUTH_KEY', ''); define('SECURE_AUTH_KEY', ''); define('LOGGED_IN_KEY', ''); define('NONCE_KEY', '');
Очень многие, даже опытные, пользователи оставляют данные ключи без изменений. Ключи безопасности используются при хэшировании паролей, чтобы усилить их.
Просто посетите страницу https://api.wordpress.org/secret-key/1.1 и скопируйте 4 сгенерированных ключа в файл wp-config.php вашей системы.
7. Обновляйте систему
Всегда обновляйте систему до последней версии, так как она имеет более высокий уровень безопасности. Также обязательно следите за обновлениями плагинов и тем.
Обновление системы, плагинов и тем осуществляет очень просто из панели администратора.
8. Защитите папку wp-admin
Плагин AskApache Password Protect добавляет серьёзную защиту для папок wp-admin, wp-includes, wp-content, plugins, и так далее.
9. Используйте более сильные пароли
Самый простейший метод по усилению защиты вашей системы WordPress. Но очень многие пользователи используют слабые пароли, которые легко взламываются.
Существует много рекомендаций в Интернет по усилению паролей.
10. Регулярно делайте резервные копии ваших данных
Данный совет косвенно касается безопасности. если кто-нибудь взломает ваш сайт, а у вас не будет резервной копии, то восстановить систему будет достаточно сложно.
Регулярное резервное копирование просто необходимо. Большой список плагинов WordPress для резервного копирования доступен здесь.
11. Прочие рекомендации
Несколько общих советов:
- Удаляйте незадействованных пользователей из системы.
- Удаляйте неиспользуемые темы.
- Удаляйте неиспользуемые плагины.
Источник: http://feedproxy.google.com/~r/ruseller/CdHX/~3/JVzdCq384Nw/lessons.php
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-04-17 » 23 сервиса для эффективного экспресс-аудита любого сайта
- 2024-04-08 » Яндекс переходит на новую версию Wordstat
- 2024-04-08 » Яндекс интегрировал в свой облачный сервис эмпатичную нейросеть
- 2024-04-08 » Новая версия нейросети Claude превзошла по мощности аналоги Google и OpenAI
- 2024-04-08 » Как пользоваться GPT 4 и Claude бесплатно и без VPN
- 2024-03-13 » Стратегии SEO на 2024 год
- 2024-03-13 » Как использовать анимацию с помощью JavaScript-библиотеки GSAP
- 2024-03-13 » Использование GSAP 3 для веб-анимации
- 2024-03-13 » Cогласование топографической съёмки с эксплуатирующими организациями
- 2024-02-19 » Теряются лиды? Как настроить сквозную аналитику
- 2024-02-17 » Мерч и IT: на что обратить внимание в 2024 году
- 2024-02-16 » Копируем с RSync: основные примеры синхронизации файлов
- 2024-02-15 » Лучшие noCode AI платформы для создания диалоговых ботов
- 2024-02-14 » Факторы ранжирования Google 2024 — исследование Semrush
- 2024-02-12 » Перенос сайта на другой хостинг
- 2024-02-05 » В России сформирован реестр хостинг-провайдеров
- 2024-02-04 » Использование SSH для подключения к удаленному серверу Ubuntu
- 2024-02-03 » Подключаемся к серверу за NAT при помощи туннеля SSH. Простая и понятная инструкция
- 2024-02-02 » Настройка CI/CD для Gitlab-репозитория: схемы и гайд по шагам
- 2024-02-01 » GitLab CI Pipeline. Запуск сценария через SSH на удаленном сервере
- 2024-01-29 » Introduction to GitLab’s CI/CD for Continuous Deployments
- 2024-01-26 » Настройка GitLab CI/CD
- 2024-01-25 » Установка shell gitlab runner
- 2024-01-25 » Установка и регистрация gitlab-runner в docker контейнере
- 2024-01-25 » Переменные Gitlab-Ci
- 2024-01-25 » Настройка CI/CD в GitLab для синхронизации проекта с веб-серверами
- 2024-01-25 » Копирование файлов scp
- 2024-01-21 » Бездепозитные бонусы от казино: обзор условий и правил использования
- 2024-01-18 » Современная обработка ошибок в PHP
- 2024-01-18 » Пример шаблона проектирования MVC в PHP
Если ты рождён без крыльев, не мешай им расти. (Коко Шанель / ЖИТЕЙСКАЯ МУДРОСТЬ ) |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.