10 способов защитить свой сайт WordPress
WordPress — безусловный лидер в области бесплатных CMS. По данным Torquemag.io, 27% веб-сайтов в Интернете работают на этом движке. Он бесплатный, функциональный, очень простой в использовании и, прежде всего, идеально подходит для масштабирования. Мы можем найти в Интернете миллионы плагинов, которые значительно увеличивают возможности чистого WordPress. К сожалению, в конце этих многочисленных преимуществ появляются недостатки и проблемы. Один из них — безопасность.
Полагаю, многие читатели этой статьи однажды слышали комментарий: «Wordpress полон дыр! Быть осторожен! «. Это верно. Работая на этой CMS, стоит подумать об эффективной защите нашего сайта от хакерских атак или спам-ботов. Сегодня я представляю 10 способов эффективной защиты.
1. Используйте электронную почту как логин
По умолчанию, чтобы войти в систему, вы должны ввести свое имя пользователя, обычно это «admin». По очевидной причине это небезопасное решение, которое подвергает опасности наш веб-сайт. Я бы начал защищать свой веб-сайт, загрузив плагин WP Email Login, который автоматически изменит логин с имени пользователя на назначенный ему адрес электронной почты.
Установите плагин, затем выйдите с сайта и войдите снова, но на этот раз используйте адрес электронной почты, с которым вы создали учетную запись.
2. Используйте двухфакторную аутентификацию
Еще один очень эффективный способ защиты панели администрирования — это использование двухфакторной авторизации (2FA) в панели входа. 2FA — это дополнительный уровень безопасности, известный как «многофакторная аутентификация», который требует не только пароля и имени пользователя, но и информации, доступной только доверенному пользователю. Например, это может быть физический токен.
С полной ответственностью в этом случае я рекомендую плагин Google Authenticator, настройка которого займет несколько минут.
После установки плагина на свой сайт вам также необходимо будет установить приложение на свой смартфон (уникальный токен будет отображаться там каждый раз, когда вы входите на сайт).
Google Authenticator — двухфакторная аутентификация (2FA)
3. Скрыть страницу входа
Всем известен URL-адрес входа в WordPress. Доступ к панели администрирования можно получить после ввода логина и пароля в путь /wp-login.php или /wp-admin.
Теперь, когда вы знаете, как изменить логин на электронную почту и как добавить двухэтапную проверку, пришло время изменить URL-адрес для входа. К счастью, изменить URL-адрес для входа очень просто.
На этот раз мы будем использовать плагин Custom Login URL
Настройки плагина доступны в «настройках» -> «прямые ссылки».
• Измените wp-login.php на что-нибудь уникальное; например super_login
• Измените /wp-admin / на что-нибудь особенное; например, admin_tomek
• Измените /wp-login.php?action=register на что-нибудь уникальное; например new_super_user
Помните, что путь должен выглядеть так: domen.com/wp-login.php/super_login
4. Настройте блокировку веб-сайта
Функция блокировки страницы после неудачных попыток входа в систему может решить основную проблему; гарантирует, что вашему сайту никогда не будут угрожать так называемые атаки bruteforce. Каждый раз, когда будет засчитана попытка входа с неверным паролем *, сайт будет заблокирован, и вы получите уведомление об этом, мягко говоря, несанкционированном доступе.
* Конечно, вы можете установить, например, 3 попытки входа в систему без блокировки сайта
iThemes Security — один из лучших плагинов безопасности WordPress, я сам очень давно им пользуюсь. Благодаря ему вы сможете: определить количество неудачных попыток входа в систему, после чего плагин заблокирует IP-адрес злоумышленника, защитит сайт от спама и многое другое!
5. Удалите номер версии WordPress.
Ваш текущий номер версии WordPress очень легко найти. Это видно всем в исходном коде страницы. Если хакеры знают, какую версию WordPress вы используете, им будет проще провести идеальную атаку.
Чтобы удалить номер версии WordPress, вставьте приведенный ниже фрагмент кода в файл functions.php.
// удаляем версию
removeustain (‘wp_head’, ‘wp_generator’);
// удалить версию из rss
add_filter (‘the_generator’, ‘__return_empty_string’);
// удаляем версию из скриптов и стилей
функция shapeSpace_remove_version_scripts_styles ($ src) {
if (strpos ($ src, ‘ver =’)) {
$ src = remove_query_arg (‘вер’, $ src);
}
return $ src;
}
add_filter (‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
add_filter (‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
И это все! Готово
6. Используйте SSL для шифрования ваших данных
Внедрение сертификата SSL (Secure Socket Layer) — это простой, быстрый и разумный шаг, который действительно повышает безопасность веб-сайта. Протокол SSL обеспечивает безопасную передачу данных между браузером пользователя и сервером, что затрудняет хакерам отключение или фальсификацию информации.
Получить такой сертификат — не проблема. Вы можете попросить об этом своего хостинг-провайдера или — если вы технически опытны — использовать бесплатный метод Let’s Encrypt.
https://letsencrypt.org.
Более того, сертификат SSL положительно влияет на позицию вашего сайта в Google 🙂
7. Следите за своими файлами
Я также рекомендую вам посмотреть файлы, которые вы храните на ftp-сервере. Для этой цели я рекомендую бесплатный плагин Wordfence, который, если в каком-либо из файлов есть дополнительная строка кода, сообщит вам об этом.
Wordfence Security — брандмауэр и сканирование на вредоносное ПО
8. Создавайте резервную копию. Регулярно.
Помните, что иногда может случиться что-то менее неожиданное, чем хакерская атака — ваша ошибка. Если вы по ошибке удалили код страницы, установили несовместимый плагин или удалили шаблон — ваша страница может «вылететь». Поэтому создавайте резервную копию перед каждым изменением сайта!
С такой резервной копией вы всегда можете восстановить свой сайт WordPress до рабочего состояния в любое время. Есть несколько плагинов, которые могут вам в этом помочь.
9. Защитите файл wp-config.php
Файл wp-config.php содержит очень важную информацию об установке WordPress и фактически является самым важным файлом в корне вашего веб-сайта. Защита означает защиту ядра вашего веб-сайта.
Хакерам сложно взломать безопасность веб-сайта, если wp-config.php становится для них недоступным.
Хорошая новость в том, что это действительно легко сделать. Просто возьмите wp-config.php и переместите его на более высокий уровень, чем корневой каталог.
В текущей архитектуре WordPress настройки файла конфигурации стоят первыми в списке приоритетов. Таким образом, даже если он хранится выше корневого каталога, WordPress все равно его видит.
10. Регулярно обновляйте сайт.
Каждое программное обеспечение необходимо обновлять. WordPress не исключение, и обновленная версия появляется почти каждую неделю. Не забудьте обновить сам WordPress, а также плагины и шаблоны! Отсутствие обновленных файлов — очень распространенный способ попасть на страницу.
Резюме
Хотя приведенные выше советы требуют времени, я считаю, что выгоднее действовать, чем лечить. Помните, что в случае атаки вы можете потерять ВСЕ страницу, что займет гораздо больше времени, чтобы создать ее с нуля.