10 советов по усилению безопасности сайта под управлением WordPress
WordPress стал очень популярной платформой в наши дни (около 8.5% всех веб сайтов работают под управлением WordPress!). Так как данная система имеет открытый исходный код, то любой желающий может исследовать внутренне строение системы и экспериментировать с методами взлома. Более миллиона сайтов WordPress было взломано за прошедший год. Но с помощью небольших усилий вы можете защитить ваш сайт под управлением WordPress и усилить его безопасность.
1. Не используйте имя ‘admin’
Начиная с версии 3.0 WordPress имеет опцию, которая позволяет изменять имя администратора. Те, кто пытаются получить доступ к панели инструментов администратора непременно начнут с имени ‘admin’. Если вы измените его, то потенциальным взломщикам придется подбирать не только пароль, но и имя администратора.
Если вы используете более ранние версии WordPress (что не желательно), то можно изменить имя администратора непосредственно в базе данных. Открывайте ваш phpMyAdmin и выполняйте запрос:
UPDATE wp_users SET user_login = 'новое_имя_администратора' WHERE user_login = 'admin';
2. Установите плагин Login LockDown
Потенциальный взломщик попытается вскрыть комбинацию имя пользователя/пароль или провести словарную атаку экрана входа в систему вашего сайта. Плагин Login LockDown поможет предотвратить попытки взлома.
Плагин Login LockDown записывает IP адрес и время всех неудавшихся попыток входа. Если за короткий период времени будет обнаружено определенное количество попыток из одного диапазона IP адресов, то функция входа в систему будет заблокирована для всех запросов из данного диапазона. Таким методом можно существенно усложнить жизнь взломщику.
По умолчанию плагин блокирует на 1 час блок IP адресов после 3 неудачных попыток входа в течении 5 минут. Установки можно изменить через панель настройки. Также администратор системы в ручную может снять блокировку.
Плагин Login LockDown можно скачать здесь.
3. Установите плагин Secure WordPress
На сайте под управлением WordPress есть много мест, которые могут сообщить взломщику номер версии системы и другую потенциально опасную информацию.
Secure WordPress усиливает безопасность вашего WordPress сайта удаляя информацию об ошибках со страницы входа в систему, добавляя файл index.html в папки плагинов, скрывая номер версии системы и много другое:
- Удаляет информацию об ошибках со страницы входа в систему.
- Добавляет index.php в папку плагинов (виртуально)
- Удаляет информацию о номере версии WordPress.
- Удаляет Really Simple Discovery
- Удаляет Windows Live Writer
- Удаляет информацию об обновлении ядра для пользователей, кроме администратора.
- Удаляет информацию об обновлении плагинов для пользователей, кроме администратора.
- Удаляет информацию об обновлении темы для пользователей, кроме администратора.
- Скрывает номере версии WordPress в панели инструментов для пользователей, кроме администратора.
- Удаляет номер версии из URL скриптов и стилей.
- Блокирует запросы, которые могут нанести вред сайту.
Вы можете загрузить Secure WordPress here.
4. Переместите файл wp-config.php
В файле wp-config.php имеется информация о параметрах соединения с базой данных и другие важные сведения, которые нужно хранить с особенной тщательностью. Начиная с версии WordPress 2.6 вы можете легко переместить данный файл из корневого каталога в другой. WordPress будет автоматически искать данный файл, если не сможет прочесть его в корневом каталоге.
Таким образом, только пользователь с FTP или SSH доступом сможет прочитать данный файл.
5. Измените префикс базы данных
По умолчанию таблицы WordPress используют префикс wp_. Так как система имеет открытый исходный код, то если вы оставите префикс без изменений, любой желающий будет знать точные имена таблиц вашей базы данных.
Вы можете изменить префикс таблиц баз данных в процессе установки. Для изменения префикса на уже работающей системе надо воспользоваться плагином WP Secure Scan.
6. Измените ключи безопасности
Если вы откроете файл wp-config.php вашей системы, то сможете найти 4 ключа безопасности:
define('AUTH_KEY', ''); define('SECURE_AUTH_KEY', ''); define('LOGGED_IN_KEY', ''); define('NONCE_KEY', '');
Очень многие, даже опытные, пользователи оставляют данные ключи без изменений. Ключи безопасности используются при хэшировании паролей, чтобы усилить их.
Просто посетите страницу https://api.wordpress.org/secret-key/1.1 и скопируйте 4 сгенерированных ключа в файл wp-config.php вашей системы.
7. Обновляйте систему
Всегда обновляйте систему до последней версии, так как она имеет более высокий уровень безопасности. Также обязательно следите за обновлениями плагинов и тем.
Обновление системы, плагинов и тем осуществляет очень просто из панели администратора.
8. Защитите папку wp-admin
Плагин AskApache Password Protect добавляет серьёзную защиту для папок wp-admin, wp-includes, wp-content, plugins, и так далее.
9. Используйте более сильные пароли
Самый простейший метод по усилению защиты вашей системы WordPress. Но очень многие пользователи используют слабые пароли, которые легко взламываются.
Существует много рекомендаций в Интернет по усилению паролей.
10. Регулярно делайте резервные копии ваших данных
Данный совет косвенно касается безопасности. если кто-нибудь взломает ваш сайт, а у вас не будет резервной копии, то восстановить систему будет достаточно сложно.
Регулярное резервное копирование просто необходимо. Большой список плагинов WordPress для резервного копирования доступен здесь.
11. Прочие рекомендации
Несколько общих советов:
- Удаляйте незадействованных пользователей из системы.
- Удаляйте неиспользуемые темы.
- Удаляйте неиспользуемые плагины.
Источник: http://feedproxy.google.com/~r/ruseller/CdHX/~3/JVzdCq384Nw/lessons.php
Дайджест новых статей по интернет-маркетингу на ваш email
Новые статьи и публикации
- 2024-11-26 » Капитан грузового судна, или Как начать использовать Docker в своих проектах
- 2024-11-26 » Обеспечение безопасности ваших веб-приложений с помощью PHP OOP и PDO
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-22 » Ошибки в Яндекс Вебмастере: как найти и исправить
- 2024-11-15 » Перенос сайта на WordPress с одного домена на другой
- 2024-11-08 » OSPanel 6: быстрый старт
- 2024-11-08 » Как установить PhpMyAdmin в Open Server Panel
- 2024-09-30 » Как быстро запустить Laravel на Windows
- 2024-09-25 » Next.js
- 2024-09-05 » OpenAI рассказал, как запретить ChatGPT использовать содержимое сайта для обучения
- 2024-08-28 » Чек-лист: как увеличить конверсию интернет-магазина на примере спортпита
- 2024-08-01 » WebSocket
- 2024-07-26 » Интеграция с Яндекс Еда
- 2024-07-26 » Интеграция с Эквайринг
- 2024-07-26 » Интеграция с СДЕК
- 2024-07-26 » Интеграция с Битрикс-24
- 2024-07-26 » Интеграция с Travelline
- 2024-07-26 » Интеграция с Iiko
- 2024-07-26 » Интеграция с Delivery Club
- 2024-07-26 » Интеграция с CRM
- 2024-07-26 » Интеграция с 1C-Бухгалтерия
- 2024-07-24 » Что такое сторителлинг: техники и примеры
- 2024-07-17 » Ошибка 404: что это такое и как ее использовать для бизнеса
- 2024-07-03 » Размещайте прайс-листы на FarPost.ru и продавайте товары быстро и выгодно
- 2024-07-01 » Профилирование кода в PHP
- 2024-06-28 » Изучаем ABC/XYZ-анализ: что это такое и какие решения с помощью него принимают
- 2024-06-17 » Зачем вам знать потребности клиента
- 2024-06-11 » Что нового в работе Яндекс Метрики: полный обзор обновления
- 2024-06-11 » Поведенческие факторы ранжирования в Яндексе
- 2024-06-11 » Скорость загрузки сайта: почему это важно и как влияет на ранжирование
Великие умы обсуждают идеи, средние - обсуждают поступки, а малые - людей Индийская пословица |
Мы создаем сайты, которые работают! Профессионально обслуживаем и продвигаем их , а также по всей России и ближнему зарубежью с 2006 года!
Как мы работаем
Заявка
Позвоните или оставьте заявку на сайте.
Консультация
Обсуждаем что именно Вам нужно и помогаем определить как это лучше сделать!
Договор
Заключаем договор на оказание услуг, в котором прописаны условия и обязанности обеих сторон.
Выполнение работ
Непосредственно оказание требующихся услуг и работ по вашему заданию.
Поддержка
Сдача выполненых работ, последующие корректировки и поддержка при необходимости.