Защита сайта на WordPress от взлома
WordPress – это одна из самых популярных CMS (система управления контентом). Именно благодаря своей простоте и удобности в использовании (как бесплатное ПО) она привлекает к себе внимание как обычных пользователей, так и злоумышленников. Поэтому защита сайта на WordPress — всегда актуальная тема.
Для обеспечения безопасности вашего сайта необходимо провести базовые настройки по защите и использовать возможности самой CMS.
Для начала – несколько советов по установке данной CMS
1. Используйте логин, отличный от стандартного “admin”. При установке CMS вы имеете возможность указать, какое словосочетание использовать в качестве логина.
2. Используйте надежный пароль. Не используйте в нем имена, название вашей компании или сайта, а также словарные слова – только буквы или только цифры. Избегайте коротких паролей. Рекомендуем использовать генераторы паролей и регулярно проводить обновление пароля для доступа к административной части сайта.
3. При установке измените префикс таблиц базы данных. Можно придумать уникальное словосочетание из 2 или 3 символов, которые будут отличаться от стандартного префикса “wp_”.
4. Удалите файлы формата .txt и .html, если в них есть информация об установленной CMS, или переместите эти файлы из корневой директории сайта в директорию пользователя, чтобы они не были доступны в сети.
В большинстве случаев взлом сайта происходит двумя способами:
– Brute-force (последовательный перебор символов в логине и пароле за огромное количество попыток);
– через уязвимости в CMS | плагинах | темах.
Защита от Brute-force
Если использовать логин, отличный от стандартного “admin”, и уникальный пароль, который будет ещё и регулярно меняться – это уже неплохая защита от Brute-force.
Дополнительно можно использовать файл .htaccess, в котором есть возможность настроить ограничение доступа к административной панели сайта по IP. Чаще всего такой дополнительный метод защиты используют те пользователи, у которых есть выделенный статический IP-адрес, предоставленный интернет-провайдером, а на сервере есть предустановленные Apache / Litespeed / связка Apache + Nginx. Представленные веб-сервера используются на всех тарифных планах в ветке Linux-хостинга.
В файле .htaccess корневой директории сайта добавьте следующее:
# Block access to wp-admin.
<Files wp-login.php>
Require ip x.x.x.x
</Files>
x.x.x.x – ваш IP-адрес (узнать свой IP-адрес вы можете на сайте 2ip.ua).
Дополнительно можно прибегнуть к установке специализированных плагинов для контроля количества попыток входа в административную панель вашего сайта или настройке двухфакторной авторизации.
Популярные плагины для контроля количества входов:
Одним из самых популярных плагинов для настройки двухфакторной авторизации является плагин “Google Authenticator” .
Уязвимости в CMS, плагинах или темах
С уязвимостями в CMS, плагинах или темах ситуация несколько сложнее. К сожалению, на текущий момент не существует единой системы, которая обеспечивала бы стопроцентную гарантию, что сайт не будет взломан. Существуют только алгоритмы действий, следуя которым можно снизить риск взлома сайта:
1. Регулярно обновляйте версию CMS. Важно понимать, что в каждой версии CMS регулярно обнаруживаются уязвимости. Разработчики, выпуская новую версию CMS, стараются максимально быстро исключать найденные уязвимости. Если уж мы говорим о безопасности сайта, обновление – это первое, на что стоит обратить внимание.
2. Регулярно обновляйте плагины. В данном случае, помимо новых возможностей плагина, в связи с новой версией, также проводятся работы по устранению возможных уязвимостей. Это же правило касается и темы, которая используется на сайте.
3. Не стоит доверять непроверенным ресурсам. В файлах установленного плагина или темы может находиться вирус или, что чаще всего встречается, эмулятор FTP в php-файле. Это даст полный доступ к структуре вашего сайта. Скачивайте плагины и темы только с официальных ресурсов. Официальный сайт CMS – https://wordpress.org/
4. Рекомендуем регулярно проводить сканирование сайта на наличие вредоносного ПО. Это даст понимание того, есть ли уязвимости на сайте. Эта информация очень важна, поскольку вредоносное ПО в виде файлов может находиться в структуре сайта длительный период, но не проявиться.
С вопросом сканирования сайта вам может помочь наша техническая поддержка.
Дополнительные меры предосторожности
Также время от времени необходимо проводить сканирование и локального ПК, на котором вы работаете с сайтом. Не исключено, что уязвимость, через которую можно будет получить данные доступа к сайту, размещается на локальном ПК.
1. Создавайте резервные копии сайта в виде архивов на разных этапах разработки или наполнения сайта. В случае необходимости у вас будет возможность развернуть сайт из резервной копии.
2. Используйте на сайте протокол https://. Для его использования на сайте должен быть установлен SSL-сертификат. Данный протокол работает по принципу защитного канала передачи данных. Он не сможет защитить сайт от прямого взлома, но сможет защитить передаваемые данные в сети.
3. Удаляйте все плагины и темы, которые не используются на сайте. Если тема или плагин не используются, их очень редко обновляют. При отключении плагина или темы файлы с сервера не удаляются, вследствие чего есть возможность получить доступ к уже найденным ранее уязвимостям.
4. Используйте плагины, которые могут повысить безопасность вашего сайта. На текущий момент есть большое количество плагинов, которые разработаны с данной целью. Их перечень и описание вы можете найти здесь – wordpress.org/plugins/tags/security
Плагины, которые нам встречались чаще всего:
– iThemes Security .
Позаботьтесь о защите содержимого ваших сайтов на WordPress вместе с Hostpro!
Возможно, вас заинтересует
В этом гайде вы узнаете, как установить Google Analytics на WordPress сайт за несколько...
Клиенты HostPro имеют возможность управлять всеми инсталляциями WordPress прямо из личного кабинета. В этой...
WordPress – самая популярная CMS в мире. Несмотря на это, большинство взломов и уязвимостей...
Наш телеграм
с важными анонсами, розыгрышами и мемами
Присоединиться