20 простых приемов для обеспечения безопасности WordPress-сайта
Раньше взлом сайта, к сожалению, не был сюрпризом. Это связано с тем, что до 2012 года более 70% WordPress-сайтов были чрезвычайно уязвимы.
- Почему безопасность WordPress важна для сайта
- Регулярно обновляйте WordPress
- Роль хостинга для WordPress
- Приемы для защиты сайта на WordPress
- Используйте электронную почту в качестве логина
- Измените URL-адрес страницы авторизации
- Настройте пароли
- Мониторинг файлов
- Регулярно создавайте резервную копию сайта
- Установите надежный пароль для базы данных.
- Скройте номер версии WordPress
- Правильно подключитесь к серверу
- Запретите редактирование файлов
- Измените имя администратора
- Включайте учетные записи пользователей с максимальной осторожностью
- Измените секретные ключи, используемые по умолчанию
- Обновляйте темы и плагины до актуальных версий
- Удалите плагины и темы, которые вы не используете
- Лимит по количеству попыток входа в систему
- Принудительное использование SSL для входа в систему
- Удалите сообщения об ошибках со страницы авторизации
- Скрывайте имена пользователей
- Установите эффективные плагины безопасности
- Всегда выбирайте плагины и темы, которые регулярно обновляются
- Заключение
Почему безопасность WordPress важна для сайта
Взлом WordPress-сайта может нанести большой урон. Таким образом, хакеры могут получить доступ к конфиденциальной информации, распространить вредоносное программное обеспечение. А также украсть ваши денежные средства.
Регулярно обновляйте WordPress
WordPress - это программное обеспечение с открытым исходным кодом. Следовательно, нужно предпринять все возможные меры безопасности. К счастью, в вашем распоряжении есть тысячи плагинов, которые можно использовать для защиты своего сайта.
Также залогом безопасности ресурса является регулярное обновление используемых плагинов и тем.
Роль хостинга для WordPress
Нужно воспользоваться преимуществами таких хостинг-провайдеров, как Siteground или Bluehost. Они применяют дополнительные меры для защиты своих серверов.
В случае с публичными хостинг-провайдерами не все так безоблачно, поскольку их ресурсы совместно используют большое количество клиентов. Поэтому лучше перейти на управляемый хостинг для WordPress.
Этот вид хостинга предлагает максимально безопасную платформу для сайта. Все поставщики подобных услуг предлагают огромный набор «защитных» функций: резервное копирование, автоматические обновления и расширенные конфигурации безопасности.
Теперь рассмотрим 20 простых приемов для обеспечения безопасности своего WordPress-сайта.
Приемы для защиты сайта на WordPress
1. Используйте электронную почту в качестве логина
Используйте электронную почту в качестве своего логина. Так вы сможете легко защитить свой WordPress-сайт. Имена пользователей являются легкой добычей для хакеров, поскольку они весьма предсказуемы. С другой стороны, адреса электронной почты трудно идентифицировать.
Кроме этого можно использовать WP Email Login, чтобы получить расширенный набор функций. При этом настройка авторизации осуществляется автоматически сразу после активации плагина.
2. Измените URL-адрес страницы авторизации
Для этого не нужна «высшая математика». Вы можете открыть страницу авторизации в WordPress через wp-login.php или wp-admin. Это один из самых простых способов защиты сайта.
3. Настройте пароли
Применяя в пароле различные комбинации символов, прописных и строчных букв, цифр, вы максимально затрудните подбор его значения. Также нужно регулярно менять используемые пароли.
4. Мониторинг файлов
Нужно следить за изменениями, внесенными в файлы вашего сайта. Для этого используйте такие плагины, как Wordfence или iTheme Security.
5. Регулярно создавайте резервную копию сайта
Регулярно создавая актуальные резервные копии, вы всегда сможете восстановить свой WordPress-сайт.
6. Установите надежный пароль для базы данных.
7. Скройте номер версии WordPress
Злоумышленники могут легко отслеживать номер версии WordPress, используемой на вашем сайте. Поэтому лучше скройте его. Это можно сделать с помощью любого специализированного плагина.
8. Правильно подключитесь к серверу
Когда вы настраиваете сайт, необходимо подключиться к серверу с помощью SSH или SFTP. Правильный метод подключения защищает передачу файлов с помощью безопасного канала. Кроме этого не нужно игнорировать значимость SFTP.
9. Запретите редактирование файлов
После запрещения редактирования файлов хакеры не смогут изменять ваши файлы, даже если получат доступ к панели управления WordPress. Также отключите приведенную ниже команду в файле wp-config.php:
define('DISALLOW_FILE_EDIT', true);10. Измените имя администратора
Не стоит выбирать «admin» в качестве логина учетной записи администратора. Это легко угадываемое имя пользователя.
11. Включайте учетные записи пользователей с максимальной осторожностью
Если вы ведете блог или сайт, созданный на WordPress, то должны с большой осторожностью добавлять учетные записи пользователей. Лучше воспользоваться Force Strong Passwords – плагином для генерации сложных паролей для отдельных учетных записей.
12. Измените секретные ключи, используемые по умолчанию
Когда вы устанавливаете WordPress, в файле wp-config.php создаются четыре ключа безопасности. Они повышают защищенность информации, хранящейся в файлах cookie. Также эти ключи усложняют процесс взлома паролей.
13. Обновляйте темы и плагины до актуальных версий
Обновление тем и плагинов делает сайт более безопасным и недоступным для хакеров. Таким образом, вы минимизируете вероятность использования уязвимостей для взлома.
14. Удалите плагины и темы, которые вы не используете
Удалить неиспользуемые плагины и темы. Это уменьшит риск использования их уязвимостей злоумышленниками.
15. Лимит по количеству попыток входа в систему
Хакеры всегда стараются получить доступ к сайту. Поэтому нужно дать им как можно меньше времени для взлома, ограничивая количество попыток входа в систему.
16. Принудительное использование SSL для входа в систему
Всегда следите за тем, чтобы ваши пользователи получали доступ через безопасные страницы входа в систему. Для этого используйте подход принудительного применения SSL.
17. Удалите сообщения об ошибках со страницы авторизации
Сообщения об ошибках на странице авторизации могут предоставить хакерам ценную информацию о сайте. Вы можете легко скрыть сообщения об ошибках с помощью кода, приведенного ниже:
add_filter('login_errors',create_function('$a', "return null;"));Добавьте указанную выше команду в файл functions.php.
18. Скрывайте имена пользователей
При входе в панель администрирования вам всегда нужно вводить имя пользователя и пароль. Скрывая имена авторов, вы усложните задачу хакерам.
Для этого нужно указать приведенную ниже команду в файле functions.php.
add_action(‘template_redirect’, ‘bwp_template_redirect’);
functionbwp_template_redirect()
{
if (is_author())
{
wp_redirect(home_url() ); exit;
}
}19. Установите эффективные плагины безопасности
Отдавайте предпочтение плагинам, предлагающим большой набор настроек безопасности. Вы можете использовать Wordfence или iThemes Security, так как они обеспечивают необходимый уровень защиты.
20. Всегда выбирайте плагины и темы, которые регулярно обновляются
Используйте расширения, которые регулярно обновляются. Устаревшие плагины и темы создают угрозу безопасности вашего сайта.
Заключение
Мы надеемся, что вам понравилось руководство. После выполнения изложенных в нем рекомендаций вы сможете надежно защитить свой WordPress.
Помните, что защита сайта не является разовой задачей. Поэтому нужно следовать этим рекомендациям постоянно.