Запустить собственный сайт WordPress в наши дни довольно просто. К сожалению, хакерам не понадобится много времени, чтобы начать атаковать ваш сайт.
Лучший способ обеспечить безопасность сайта WordPress — это понять каждую точку уязвимости, возникающую при запуске сайта WordPress. Затем установите соответствующие меры безопасности, чтобы блокировать хакеров в каждой из этих точек.
В этой статье вы узнаете, как лучше защитить свой домен, свой логин WordPress, а также инструменты и плагины, доступные для защиты вашего сайта WordPress.
Создать частный домен
В наши дни слишком легко купить найти доступный домен и купить его по очень низкой цене. Большинство людей никогда не покупают какие-либо дополнения для своего домена. Однако вам всегда следует учитывать одно дополнение — защиту конфиденциальности.
GoDaddy предлагает три основных уровня защиты конфиденциальности, но они также соответствуют предложениям большинства поставщиков доменов.
Обычно для обновления вашего домена до одного из этих уровней безопасности достаточно выбрать обновление из раскрывающегося списка на странице списка доменов.
Базовая защита домена стоит довольно дешево (обычно около 9,99 доллара США в год), а более высокий уровень безопасности стоит не намного дороже.
Это отличный способ помешать спамерам удалить вашу контактную информацию из базы данных WHOIS или другим злонамеренным лицам, желающим получить доступ к вашей контактной информации.
Скрыть файлы wp-config.php и .htaccess
При первом использовании установить WordPress вам необходимо включить административный идентификатор и пароль для вашей базы данных WordPress SQL в файл wp-config.php.
Эти данные шифруются после установки, но вы также хотите заблокировать хакерам возможность редактировать этот файл и взломать ваш сайт. Для этого найдите и отредактируйте файл .htaccess в корневой папке вашего сайта и добавьте следующий код внизу файла..
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Чтобы предотвратить изменение самого .htaccess, добавьте также следующее в конец файла.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Сохраните файл и выйдите из редактора файлов.
Вы также можете щелкнуть правой кнопкой мыши каждый файл и изменить разрешения, чтобы полностью удалить доступ на запись для всех.
Хотя выполнение этого в файле wp-config.php не должно вызвать никаких проблем, выполнение этого в .htaccess может вызвать проблемы. Особенно, если вы используете какие-либо плагины безопасности WordPress, которым может потребоваться отредактировать файл .htaccess.
Если вы получаете какие-либо ошибки от WordPress, вы всегда можете обновить разрешения, чтобы снова разрешить доступ на запись к файлу .htaccess.
Измените URL-адрес входа в WordPress
Поскольку страницей входа по умолчанию для каждого сайта WordPress является yourdomain/wp-admin.php, хакеры будут использовать этот URL-адрес, чтобы попытаться взломать ваш сайт.
Они будут делать это с помощью так называемых атак «грубой силы», когда они отправляют варианты типичных имен пользователей и паролей, которые обычно используют многие люди. Хакеры надеются, что им повезет и они получат правильную комбинацию.
Вы можете полностью остановить эти атаки, изменив свой URL-адрес входа в WordPress на что-то нестандартное.
Существует множество плагинов WordPress, которые помогут вам в этом. Одним из наиболее распространенных является WPS Скрыть вход.
Этот плагин добавляет раздел на вкладку Общие в разделе Настройки в WordPress.
Здесь вы можете ввести любой URL-адрес для входа и выбрать Сохранить изменения , чтобы активировать его. Когда в следующий раз вы захотите войти на свой сайт WordPress, используйте этот новый URL.
Если кто-то попытается получить доступ к вашему старому URL-адресу wp-admin, он будет перенаправлен на страницу 404 вашего сайта.
Примечание . Если вы используете плагин кеширования, обязательно добавьте новый URL-адрес для входа в список сайтов, некэшируемых. Затем обязательно очистите кеш, прежде чем снова войти на свой сайт WordPress.
Установить плагин безопасности WordPress
На выбор есть множество Плагины безопасности WordPress. Из всех них наиболее часто загружается Wordfence, и на то есть веские причины.
Бесплатная версия Wordfence включает в себя мощный механизм сканирования, который ищет бэкдор-угрозы, вредоносный код в ваших плагинах или на вашем сайте, угрозы внедрения MySQL и многое другое. Он также включает в себя брандмауэр для блокировки активных угроз, таких как DDOS-атаки..
Это также позволит вам остановить атаки грубой силы, ограничив попытки входа в систему и заблокировав пользователей, которые делают слишком много неправильных попыток входа.
В бесплатной версии доступно довольно много настроек. Более чем достаточно для защиты небольших и средних веб-сайтов от большинства атак.
Существует также полезная страница панели управления, которую вы можете просмотреть, чтобы отслеживать недавние угрозы и заблокированные атаки.
Используйте генератор паролей WordPress и двухфакторную аутентификацию
Меньше всего вы хотите, чтобы хакеры легко угадали ваш пароль. К сожалению, слишком много людей используют очень простые пароли, которые легко угадать. Некоторые примеры включают использование названия веб-сайта или собственного имени пользователя в качестве части пароля или отсутствие каких-либо специальных символов.
Если вы обновили WordPress до последней версии, у вас есть доступ к мощным инструментам защиты паролем для защиты вашего сайта WordPress.
Первый шаг к повышению безопасности вашего пароля — зайти к каждому пользователю вашего сайта, прокрутить вниз до раздела «Управление учетной записью» и нажать кнопку Сгенерировать пароль .
Это позволит создать длинный и очень безопасный пароль, включающий буквы, цифры и специальные символы. Сохраните этот пароль в надежном месте, желательно в документе на внешнем диске, который можно будет отключить от компьютера, пока вы находитесь в сети.
Выберите Выйти везде , чтобы убедиться, что все активные сеансы закрыты.
Наконец, если вы установили плагин безопасности Wordfence, вы увидите кнопку Активировать 2FA . Выберите этот параметр, чтобы включить двухфакторную аутентификацию для ваших логинов пользователей.
Если вы не используете Wordfence, вам необходимо установить любой из этих популярных плагинов 2FA.
Другие важные вопросы безопасности
Есть еще несколько вещей, которые вы можете сделать, чтобы полностью защитить свой сайт WordPress.
Как Плагины WordPress, так и сама версия WordPress должны постоянно обновляться. Хакеры часто пытаются использовать уязвимости в старых версиях кода вашего сайта. Если вы не обновите оба этих параметра, вы подвергнете свой сайт риску.
<р>1. Регулярно выбирайте Плагины и Установленные плагины в панели администратора WordPress. Проверьте все плагины на наличие статуса, говорящего о том, что доступна новая версия..Если вы обнаружите устаревший вариант, выберите обновить сейчас . Вы также можете рассмотреть возможность выбора параметра «Включить автоматические обновления для ваших плагинов».
Однако некоторые люди опасаются этого делать, поскольку обновления плагинов иногда могут привести к поломке вашего сайта или темы. Поэтому всегда полезно тестировать обновления плагинов на локальный тестовый сайт WordPress, прежде чем включать их на своем действующем сайте.
<р>2. Когда вы войдете в свою панель управления WordPress, вы увидите уведомление о том, что WordPress устарел, если вы используете более старую версию.Опять же, сделайте резервную копию сайта и загрузите его на локальный тестовый сайт на своем компьютере, чтобы проверить, не навредит ли обновление WordPress вашему сайту, прежде чем обновлять его на действующем веб-сайте.
<р>3. Воспользуйтесь преимуществами бесплатных функций безопасности вашего веб-хостинга. Большинство веб-хостингов предлагают различные бесплатные услуги по обеспечению безопасности сайтов, которые вы там размещаете. Они делают это, потому что это не только защищает ваш сайт, но и обеспечивает безопасность всего сервера. Это особенно важно, если вы используете учетную запись общего хостинга, где у других клиентов есть веб-сайты на том же сервере.Они часто включают в себя бесплатная SSL-безопасность установок вашего сайта, бесплатные резервные копии, возможность блокировать вредоносные IP-адреса и даже бесплатный сканер сайтов, который будет регулярно сканировать ваш сайт на наличие любой вредоносный код или уязвимости.
Управление веб-сайтом никогда не бывает таким простым, как установка WordPress и просто публикация контента. Важно сделать ваш сайт WordPress максимально безопасным. Все приведенные выше советы помогут вам сделать это без особых усилий.
.