Захист сайту на wordpress від злому

Приклади безпеки і захист сайту на WordPress від злому шляхом простих, але маловідомих або ігнорованих 10 способів збереження даних.

Злом блогу і втрата результатів багаторічної праці за одну ніч - сумна реальність, з якою деяким доводилося стикатися особисто. Дослідження показують, що щодня зламуються 37 тисяч веб-сайтів, а оскільки на системі управління WordPress працюють приблизно 25,4% всіх сайтів, можна не сумніватися, що кожен день зламуються тисячі сайтів на WordPress.

Коли у вас є блог на WordPress, рад по складним іменами користувачів і паролів вже недостатньо. Одна заглючила тема, неправильний плагін, неправильно захищений файл можуть привести до злому блогу.

WordPress має зручну функцію, яка дає власникам сайтів велику гнучкість, дозволяючи їм налаштовувати і редагувати свої теми і плагіни прямо з дашборда-панелі WordPress, але ця функція усунена в більшості блогів. З цією функцією найменша помилка може призвести до збою сайту і позбавити вас же доступу до нього.

2. Увімкніть двухфакторную аутентифікацію

Двухфакторная аутентифікація швидко стає одним з найнадійніших способів захисту облікових записів в Інтернеті, і найнадійніші сайти будуть наполягати, що користувачі використовували її. Хоча WordPress не володіє вбудованою двухфакторной аутентификацией, можна включити її в своєму блозі, встановивши наступні плагіни:

  • Google Authenticator;
  • Authy;
  • Clef Two-Factor Authentication;
  • Rublon.

Про установки плагінів можна прочитати в Інтернеті скориставшись пошуком. Про них дуже багато детальних інструкцій в Рунеті.

3. Обмежте логіни на основі кількості невдалих спроб входу

Є багато способів, якими хакери намагаються отримати доступ до блогу, і один з найбільш поширених методів - метод підбору перебором (bruteforce). Хакер знову і знову намагається знайти комбінацію імен користувачів і паролів, поки не знайде правильне поєднання.

4. Регулярно перевіряйте блог

Файли тим, плагінів, посилання і інші начебто нешкідливі елементи можуть бути використані для отримання доступу до вашого блогу. Не чекайте, поки він не буде повністю заражений, перш ніж вживати заходів.

Замість цього встановіть плагіни сканування безпеки і регулярно перевіряйте веб-сайт. Вони будуть повідомляти вас, якщо файли були змінені.

Інші плагіни безпеки, які можуть допомогти сканувати блог на наявність шкідливих програм і експлойтів:

  • Sucuri Security Scanner;
  • Acunetix WP Security;
  • iThemes Security (раніше відомий як Better WP Security).

5. Захист WordPress сайту шляхом зміни хостингу

Хоча це звучить як занадто простий рада, насправді він важливий. Дослідження показують, що 41% зламаних сайтів на WordPress були зламані через уразливості їх хостингу. Це набагато більше, ніж з інших причин, в тому числі з-за слабкого пароля.

Ваш хостинг може відігравати важливу роль в тому, чи будете ви зламані чи ні; переконайтеся, що ви використовуєте тільки надійні веб-хости, які витримали випробування часом і які використовують передові методи захисту.

6. Приховайте номер версії WordPress

За замовчуванням WordPress показує номер версії, що дозволяє відстежувати, скільки блогів на WordPress працює по всьому світу. Це ж може бути джерелом великих проблем: хакери і боти можуть переглядати мережу в пошуках блогів з певними уразливими на певних версіях WordPress, що робить вас легкою мішенню.

Ви можете легко вирішити цю проблему, приховавши номер версії WordPress. Щоб сховати версію, додайте наведений нижче код в файл functions.php:

7. Вимкніть доповіді про помилки PHP

Коли плагін або тема не працюють на вашому блозі на WordPress як годиться, звіти про помилки PHP можуть допомогти, показавши повідомлення з описом причин помилок. У цьому є і недолік: при повідомленні про помилку PHP показаний повний шлях на сервері до джерела помилки, що відкриває інформацію, яку хакери можуть використовувати проти вас.

Ви можете захистити себе шляхом відключення звітності PHP про помилки. Додайте наступний код в ваш файл WP-config.php:

8. Попрацюйте над вирішенням доступу до файлів WordPress

Коли мова йде про захист вашого сайту на WordPress від експлойтів, важливо встановити права доступу до файлів. Це ускладнить хакерам маніпулювання плагінами, темами або файлами на сервері в спробах отримати контроль над сайтом.

Переконайтеся, що дозволу на папки WordPress встановлені на 755 або 750; на файли 640 або 644; дозвіл WP-config.php встановлено на 600.

Навіть великі сайти з командою експертів з питань безпеки та консультантів бувають зламані, і хоча проходження кращим практикам може зробити ваш сайт сильніше 99,9% інших сайтів, повної гарантії невразливості немає.

Ось одні з кращих плагінів для резервного копіювання WordPress:

  • BackUpWordPress
  • Ready! Backup
  • VaultPress BackupBuddy
10. Обмежте доступ до своєї сторінки реєстрації

Для захисту можуть знадобитися і радикальні заходи. Надійним способом захистити ваш блог від спроби злому є повне блокування доступу до сторінки wp-адміністратора і wp-login.php.

Щоб обмежити доступ до сторінки входу в систему, додайте наступний код в ваш файл .htaccess:

висновок

Ви не повинні ігнорувати прості поради з безпеки, на зразок використання складних імен користувачів і паролів, регулярного оновлення WordPress і т.д. Однак зазначені вище маловідомі і часто ігноровані поради з безпеки можуть зробити ваш WordPress-блог трохи більш надійним.