Защита WordPress сайта – 10 простых способов

0

WordPress, на данный момент, является самой популярной системой управления контентом (CMS) в Интернете. Работающий на PHP и используюя базы данных MySQL, WordPress используется на 8,5 % сайтах во всем интернете. Вредоносных программ и веб-сайт крекинга, становится все больше, а с таким большим процентом использования WordPress’а как CMS, любые уязвимости в его кодировании или фреймворке, могут повлиять на миллионы веб-сайтов. Защита wordpress сайта, по этой причине, должна является приоритетом при установке и использовании этой платформы.

Эта статья объяснит, как можно лучше защитить свой WordPress сайт от вредоносных программ и недочетов, не обладая глубокими знаниями о безопасности.

1. Делайте аудит общей безопасности вашей рабочей станции

Прежде всего, убедитесь, что все ПК и веб-серверы, которые вы используете, защищены должным образом. Убедитесь в том, что вы работаете с самой последней версией вашего любимого веб-браузера, и что он настроен на автоматическое обновление. Сделайте то же самое с антивирусной программой и операционной системой. Проверьте, у всех ли сертификатов аутентификации, которые вы используете есть пароль безопасности. Делайте частое сканирование ПК и серверов на наличие вредоносных программ. Убедитесь, что вы используете правильный firewall, на уровне операционной системы, маршрутизатора и провайдера (ISP), если это вообще возможно. Любые дыры в безопасности за пределами WordPress, программном и аппаратном обеспечение, используемого с ней, может повлиять на сам CMS. Было бы обидно, создать надежный пароль для админа WordPress, только чтобы узнать, что кейлоггер превзошел все ваши усилия.

2. Обновляйте WordPress

Следующий шаг, это убедится, что у вас всегда  установлена самая последняя версия Вордпресс. Его обновление, является относительно быстрым и легким, и может быть сделано через панель WordPress в вашем веб-браузере. Если последняя версия WordPress несовместима с версиями PHP и MySQL установленных в вашем веб-сервере или веб-хостинге, тогда мы настоятельно рекомендуем вам пройти через усилие модернизировать их, чтобы обеспечить актуальность версии WordPress. WordPress защита от спама будет также усилена, при автоматическом обновлении фреймоврка и установки Akismet

2_ Keep WordPress updated

 

3. Сообщайте об ошибках и уязвимостях

Если вы обнаружили уязвимость, сделайте одолжение сообществу, отправив подробное письмо на [email protected] Если уязвимость в плагине, то тогда пишите на [email protected] Вам, наверняка хотелось, чтоб другие веб-разработчики сообщали вам о лазейках, которые могут повлиять на ваш сайт; так что относиться к другим так, как вы хотели, чтоб относились к вам! Только не пишите об этих недавно обнаруженных уязвимостях в интернете или социальных сетях, чтобы информация, случайно, не попала в плохие руки.

4. Проверка на эксплоиты (exploits)

Через раз, запускайте Exploit Scanner плагин, для проверки наличия признаков вредоносной активности. Exploit Scanner непосредственно не устраняет проблему, но он оставит вам подробный лог для устранения неполадок.

4_ Check for Exploits

 5. Отключайте свой HTML, когда это возможно

WordPress может использовать пользовательский HTML для различных функций. Если это не абсолютная необходимость для форума и функции вашего сайта,тогда вам стоит отключить нефильтрованный HTML, добавив следующие строки кода в ваш wp-config.php файл:

 6. Не смотритесь слишком новыми

Удалите все  записи и комментарии по умолчанию. Если хакер найдет их на вашем сайте, это может указывать на то, что ваш WordPress сайт новый, а их зачастую легче взломать.

Легче взломать WordPress сайт тогда, когда вы знаете, какая версия установлена​​, так что убедитесь, что эта инфо скрыта. Это делается в двух местах. Первым из них является генератор мета-тегов в шаблоне, который находится в wp-content/{name of your WordPress theme}/header.php. Найдите что-то вроде этого  “”  и удалить его. Вторым элементом будет ваш RSS канал. Откройте wp-includes/general-template.php  и посмотреть в области 1858 линии. Найдите:

Убедитесь, что хеш (решетка) применяется рядом с “echo” командой так, чтобы оно выглядело следующим образом:

Кроме того, удалите все экземпляры ‘Powered by WordPress’ в футере, так как хакеры используют эту фразу для поиска сайтов для взлома, через поисковые системы.

Удаляйте /wp-admin/install.php and /wp-admin/upgrade.php после каждой установки или обновления WordPress. Такие скрипты используются только во время установки и обновления процессов, и не задействованны в повседневном развитии вашего сайта. Вы можете обновлятся без этих файлов, так как обновления содержат эти скрипты.

Изменить пару имен файлов и каталогов по умолчанию. Перейдите в раздел Настройки > Разное в вашем консоли администратора и измените имена wp-content/directory и wp-comments-post.php. Убедитесь в том, что вы не забыли изменить URL  шаблона и wp-comments-post.php соответственно, для поддержания функционирования вашего сайта.

7. Скрытие индексов

По мере возможности, не забудьте отключить доступ общественности к индексам. Если люди могут найти файлы в каталоге wp-content/plugins/ сайта, без проверки подлинности, тогда намного проще, взломать ваш сайт через уязвимости плагина. Если ваш веб-сервер работает на Apache или другой ОС, которая использует.htaccess файлы, тогда это легко сделать. Найдите .htaccess файл конфигурации в главном каталоге вашего сайта. Это каталог, который содержит index.php. Вставьте текст Options -Indexes в любой части файла. Кроме того, если вы не можете изменить .htaccess файл, загрузить файл index.html  в основной каталог. Вы могли бы сделать так, что веб-страница выглядела подобно PHP странице вашего сайта и вставить гиперссылку в файл index.php. Но очевидно, что на сайте, который использует WordPress в качестве CMS, посетители не увидят вашего файла index.html, только если ввести определенный путь к нему в адресной строке веб-браузера.

В случае если у вашего веб-сервера будут проблемы вычисления PHP файлов, важно блокировать каталоги, которые доступны только вашему серверу. Если источник PHP кода постоянно отображается в веб-браузере посетителя, нежели на веб-странице, которую должен рендерировать, они могут найти учетные данные или подробную информацию о PHP / MySQL программирование вашего сайта. wp-includes/каталог сайта является наиболее важным элементом, который нужно заблокировать. Найдите в нем .htaccess файл и вставьте следующие:

Если там есть или будут подкаталоги wp-includes/, тогда вставьте следующий код для каждого из них в тот же конфигурационный файл .htaccess:

8.  Резервное копирование (бэкап)

WP-DB Manager, отлично подходит для резервного копирования всего WordPress сайта. Он, также предупреждает о MySQL уязвимостях и сообщает вам, когда части базы данных были доступны для общественности.

Всегда следите за тем, чтобы правильно сделать резервное копирование содержимого сайта. В худших случаях, сохраненные резервные копии, позволят вам легко восстановить сайт. С WP-DB менеджер, вы также можете использовать Online Backup для WordPress. Резервное копирование, которое создает плагин, может быть сохранено в вашем электронном ящике или на компьютере, или вы можете использовать 100 Мб свободного пространства на безопасных Backup Technology серверах разработчиков.

BackUp

9. Плагины для защиты WordPress

Мы уже упоминали ранее Exploit Scanner плагин, который необходимо периодически запускать на сайте, чтобы проверить наличие уязвимостей и попыток взлома . Есть ряд других WordPress плагинов, которые мы рекомендуем вам установить и использовать . При правильном использовании , они могут очень эффективно укрепить ваш WordPress веб-сайт.

С Exploit Scanner, вы также можете использовать WP Security Scan. Плагин не только находит уязвимые места, но и также дает вам конкретные рекомендации для их блокирования.

Обязательно зашифруйте ваш логин с помощью Login Encryption. Это плагин использует DEA и RSA алгоритмы для обеспечения повышенной безопасности .

10 . Дополнительные плагины для защиты wordpress и их установка из панели администратора

  • Установить Limit Login Attempts (лимит попыток входа) плагин, чтобы предотвратить атаку грубой силы. С этим плагином, вы можете установить максимальное количество попыток входа в систему, а также установить длительность локаутов между ними.
  • User Locker плагин работает аналогичным образом . С его помощью вы можете установить максимальное количество неудачных попыток аутентификации , прежде чем учетная запись будет заблокирована .
  • Также есть превосходный плагин для обеспечения безопасности всей панели администратора. Попробуйте Admin SSL Secure плагин для шифрования вашей панели с SSL.
  • Еще одним сильным плагином, который обеспечивает безопасность входа на сайта, является Chap Secure Login. С помощью него, все ваши учетные данные для входа , за исключением пользовательского имени (username), будут зашифрованы с Chap протоколом и SHA-256 алгоритмом.
  • Как упоминалась ранее, отличной идеей будет изменить как  можно больше функций WordPress по умолчанию. С Stealth Login, вы сможете создавать собственные URLs для входа и выхода из вашего сайта.
  • Block Bad Queries (блокирование нежелательных запросов) будет пытаться блокировать вредоносные запросы, сделанные на ваш сайт. Оно ищет  eval( или “base64″ в запрошенных URL, а также строки, которые подозрительно длинные.
  • Anti-malware щит может быть применен ко всему сайту с помощью AntiVirus плагина.

Помните, когда вы устанавливаете плагины на вашем сайте, выбирайте их только из предлагаемых через вашу панель администратора или из каталоге плагинов на WordPress.org. Официально выпущенные плагины, проверены на безопасность и вирусы.

9_ Install Other___

И помните – защита сайта на wordpress, это, в первую очередь, ваша ответственность как пользователя и/или администратора, и не стоит забывать об этом никогда!

Источник фото – Fotolia.ru

Поделиться: