Если у вас есть сайт на WordPress, скорее всего, ваш сайт постоянно подвергается атакам хакеров.
Они постоянно ищут слабые места, которые позволят им войти, будь то устаревший плагин или тема или простой для понимания пароль. Оказавшись внутри, они, очевидно, могут нанести ущерб.
Чтобы доказать то, о чем я говорю, вот что прямо сейчас говорит моя панель управления WordPress.
Вот почему ваш сайт WordPress должен быть абсолютно надежным. Вот лучшие способы сделать это, основанные на моих консультационных беседах с представителями бизнеса.
Получите лучшее имя пользователя и пароль
Если я видел это один раз, то видел тысячу раз. Люди настраивают веб-сайты WordPress, используя имя пользователя и пароль «admin», а затем задаются вопросом, почему их взломали.
Ваша страница входа — это, по сути, входная дверь вашего веб-сайта. Поэтому имеет смысл максимально затруднить проникновение злоумышленника. Вы ведь не оставили бы входную дверь своего дома открытой?
Многие веб-хостеры автоматизируют настройку WordPress для вас, и когда они это сделают, вам следует указать другое имя пользователя, чем «admin». Если вы используете «admin», вы слишком облегчаете им работу хакера.
Получите имя пользователя, которое невозможно угадать кому-то другому. Не используйте имя пользователя, которое вы используете где-либо еще в Интернете. Кому-то достаточно будет ввести вас в Google, чтобы найти эти имена пользователей.
Что касается пароля, сделайте себе огромную услугу и приобретите менеджер паролей. Я настоятельно рекомендую бесплатную версию с открытым исходным кодом — KeyPass. Затем сделайте свой пароль WordPress длиной не менее 30 символов, добавив в него специальные символы. Да все верно. 30 символов.
Установить плагин AnAnti-Brute-Force
Подкрепляя эту метафору двери, имеет смысл добавить несколько защитных замков. На мой взгляд, для WordPress у вас есть четыре варианта – Google Аутентификатор, Аути, Блокировка входа или реКАПЧА.
Для ясности: Google Authenticator и Authy делают то же самое. Вы получаете код на свой смартфон и вводите его..на странице входа. Без него вам будет отказано во въезде.
Login Lockdown — это плагин, который ограничивает количество неправильных попыток входа в систему, прежде чем IP-адрес человека будет заблокирован на определенный период времени, который вы укажете. Вы даже можете установить его вместе с Authenticator для обеспечения супер-безопасности.
reCAPTCHA мне не нравится, но это лучше, чем ничего. Он также не является надежным, поскольку его уже взломали. Но, как я уже сказал, лучше, чем ничего. reCAPTCHA заставляет пользователя вводить последовательность слов или нажимать на определенные картинки.
Убедитесь, что все темы и плагины обновлены
Следующий шаг — убедиться, что все ваши темы и плагины регулярно обновляются. Опять же, любые уязвимости – как известные, так и неизвестные – могут быть использованы хакером для проникновения на сайт.
Вам следует следить за страницей «Обновления», где перечислены все доступные обновления. Это следует делать ежедневно. Страницу «Обновления» можно найти в виде вкладки на вкладке «Панель мониторинга».
Отключить все ненужные темы и плагины
Точно так же, как вам следует обновлять все темы и плагины, вам также следует отключать все, что вам не нужно.
Нет причин оставлять активными неиспользуемые темы и плагины, и это только увеличивает риск обнаружения уязвимости, достаточно большой, чтобы позволить злоумышленнику войти. Поэтому удалите все темы, которые вы не используете. Их всегда можно будет переустановить позже.
Что касается плагинов, либо удалите их полностью, либо хотя бы деактивируйте.
Не разрешать никому создавать учетные записи пользователей
Если сайт WordPress используется компанией или какой-либо командой, то учетные записи пользователей, очевидно, потребуются. Но если вы являетесь единственным пользователем сайта, не позволяйте никому создавать учетные записи пользователей. Особенно люди, которых вы не знаете.
Вы можете запретить людям делать это, перейдя в Настройки –>Основные . Прокрутите вниз до пункта «Членство» и снимите флажок «Любой может зарегистрироваться». .
Понизить версию всех других авторизованных пользователей
Если вам необходимо предоставить людям учетные записи пользователей, убедитесь, что у них есть соответствующая роль доступа..
Например, владелец сайта должен быть администратором. Но если кто-то ведет ваш гостевой блог, его нужно указать только как автора. Не давайте кому-либо повышенных привилегий, если они им не нужны.
Просто перейдите в раздел Пользователи–>Все пользователи и выберите, для какого человека вы хотите изменить роль. Затем выберите из раскрывающегося списка.
Остановить все доступы к каталогам с помощью файла Index.HTML
Возможно, вы этого не знаете, но если вы создадите новый каталог на своем веб-сайте, добавите в него файлы и не добавите в него файл index.html, все содержимое этого каталога станет общедоступным. .
Чтобы этого не произошло, создайте пустой текстовый файл и назовите его index.html . Затем загрузите его в новый каталог. Любые попытки просмотреть каталог теперь будут возвращать человека обратно на пустую индексную страницу.
Получить сертификат SSL
Одна из лучших вещей, которые вы можете сделать для своего веб-сайта, — это получить для него сертификат SSL. Google теперь придает сайтам SSL более высокий приоритет в результатах поиска и, конечно же, обеспечивает безопасность вашего сайта.
SSL просто защищает соединение между браузером пользователя и веб-сервером, на котором находится веб-сайт. Поэтому хакерам чрезвычайно сложно взломать соединение и украсть данные.
Существует два способа получения сертификата SSL. Вы можете купить его, а также получить его бесплатно от Давайте зашифруем. Многие веб-хостеры теперь предлагают Let’s Encrypt в качестве бесплатной автоматизированной услуги.
Резервное копирование веб-сайта WordPress КАЖДЫЙ день
Наконец, если худшее случается и вас взломали, вам нужен способ восстановить работоспособность вашего сайта как можно быстрее. Вот почему вам необходимо ежедневно создавать резервные копии всех установочных файлов.
Самым простым решением для этой проблемы является Реактивный ранец, которым управляют те же люди, которые создали WordPress. Стоимость одного сайта составляет всего 3,5 доллара США в месяц. Это определенно самый экономичный вариант.
Вывод
Есть много других способов заблокировать ваш сайт, но многие из них требуют сложного написания кода или установки плагинов со сложными параметрами. Если вы только начинаете изучать эту тему, то лучше сначала охватить основы, и именно это я и попытался рассказать здесь..сегодня.
.