Инструкции о том, как повысить безопасность вашего сайта WordPress, чтобы вы были защищены от вредоносного программного обеспечения и хакеров. Защитите свой сайт.
Знаете ли вы, что каждый день взламываются до 30 000 веб-сайтов? Безопасность сайта важна для каждого владельца. WordPress — самая широко используемая CMS-система в мире. Поэтому он часто становится объектом хакерских атак.
безопасность сайта вордпресс
Хорошо защищенный сайт также важен для бизнеса. Если хакеры украдут информацию и пароли и установят вредоносное ПО, оно может попасть к вашим клиентам через ваш сайт.
Мы проведем вас через шаги, которые вы должны выполнить, чтобы обеспечить безопасность вашего сайта.
Выберите безопасный шаблон
Šablóna tvorí podstatnú časť celej stránky. Zabezpečuje množstvo funkcií a preto štandardne obsahuje množstvo kódu. Je podstatné vybrať si overenú, kvalitnú šablónu. Niektoré z nich si dokonca platia bezpečnostný audit a získavajú bezpečnostný certifikát.
? Tip: Odporúčam vsadiť na overené multifunkčné šablóny Divi a Avada. Výborné skúsenosti mám taktiež so šablónami StudioPress.
Výber bezpečného hostingu
Выбор качественного хостинга важен для обеспечения безопасности сайта WordPress. Хостинг должен иметь SSL-сертификат и гарантировать доступность на уровне 99,9% . Кроме того, убедитесь, что администрирование выбранного вами хостинга зашифровано с помощью HTTPS.
Используйте хостинг, который подходит для сайтов WordPress. Такой хостинг предлагает резервное копирование вашего сайта, автоматические обновления WordPress и поддерживает безопасность вашего сайта. Существенным преимуществом является качественная техническая поддержка. Я сосредоточусь на теме выбора хостинга в своей статье «Как выбрать лучший хостинг для WordPress».
? Совет: для быстрого веб-сайта WooCommerce очень важно выбрать правильный хостинг. Рекомендую делать ставку на проверенное качество: WebSupport , Webglobe-Yegon или Wedos .
Nastavte zálohovanie dát
Все данные должны быть скопированы. Не просто используйте свой хостинг. Вам нужно создать резервную копию еще одного места. Вы можете использовать Dropbox или Amazon. Настройте систему резервного копирования всей базы данных, всех плагинов и используемого шаблона. После резервного копирования проверьте работоспособность резервной копии. Не пропускай этот шаг.
Убедитесь, что резервную копию можно использовать. Необходимо выполнять резервное копирование не реже одного раза в день или через регулярные промежутки времени. Бэкап также можно настроить в специальном плагине резервного копирования или в плагине безопасности.
? Совет: я использую плагин UpdraftPlus для резервного копирования. Так же я написал точную инструкцию как сделать автоматический бэкап через этот плагин
Установите плагин безопасности
Безопасность сайта WordPress также требует установки плагина безопасности. Популярный плагин Sucuri защитит вас от распространенных типов атак. Эффективно защищает сайт от вредоносных программ. После его установки пройдите все необходимые настройки.
? Совет: аналогичные плагины есть в свободном доступе Wordfence Security или премиальные iThemes Security . Преимуществом последнего является автоматическое резервное копирование страницы, которое плагин создает в случае взлома вашей страницы.
Регулярно обновляйте страницу
Регулярное обновление шаблона и всех плагинов — важная часть безопасности сайта WordPress. Разработчики WordPress постоянно работают над улучшением шаблонов и плагинов. Их обновления могут устранять некоторые уязвимости в системе безопасности .
Выполните этот шаг вручную. В меню администрирования перейдите в раздел «Доска объявлений и обновления». Проверьте, какие плагины нуждаются в обновлении, и обновите их.
Не используйте устаревшие плагины
При выборе подходящих плагинов для вашего сайта используйте только те, которые были недавно обновлены. Не используйте те, которые не обновлялись более двух лет. Вы рискуете не только безопасностью сайта, но и совместимостью плагина с вашим шаблоном.
Используйте надежные пароли
Важным моментом в обеспечении безопасности веб-сайта WordPress является использование надежных паролей . Вы должны использовать такие пароли для собственного доступа к Сайту, а также для доступа других пользователей. Наиболее распространенной хакерской атакой является кража вашего пароля. В ваших силах усложнить им этот шаг. Также используйте надежные пароли для хостинга, адреса электронной почты и учетных записей FTP.
Не используйте везде одинаковые пароли, пароли не должны содержать ваше имя, простую последовательность цифр и тому подобное. Выберите комбинацию прописных и строчных букв, цифр и символов. Лучший пароль тот, который невозможно запомнить.
Используйте менеджер паролей, чтобы запомнить их самостоятельно. Менеджер паролей поможет вам создать надежные пароли и сохранит их все. Вы можете получить доступ к этим паролям с помощью одного пароля.
Для повышения безопасности сайта WordPress также важно, чтобы вы предоставляли другому лицу доступ к его администрированию только в случае необходимости. Также важно, чтобы каждый, кто получает такой подход, понимал свои компетенции в создании и поддержании сайта.
SFTP-шифрование
Для безопасности веб-сайта WordPress важно, чтобы при редактировании страницы вы отправляли данные по FTP в зашифрованном виде. Используйте шифрование SFTP.
Защитите свой SSL-сертификат
Сертификат SSL (Secure Socket Layer) обеспечивает безопасную зашифрованную связь с серверами. Это сообщение также относится к вашему паролю. Без SSL-сертификата ваш пароль отправляется через Интернет в незашифрованном виде.
Удалить лишний контент на сервере
Контент, который находится в веб-пространстве (FTP), представляет опасность. Например, риск могут представлять резервные копии всего сайта в каталоге wp-content/backup, в котором хранятся настройки страницы и содержимое базы данных. Лишние и опасные файлы должны быть удалены из пространства сайта.
Изменить префикс
Во время установки шаблона WordPress WordPress спросит вас, какой префикс вы хотите использовать. WordPress использует префикс по умолчанию. Выбор префикса wp_ по умолчанию облегчит работу хакерам. Поэтому я рекомендую настроить его на что-нибудь еще.
Изменить префикс после установки (только для продвинутых пользователей)
Перед внесением изменений сделайте резервную копию всей базы данных сайта. Затем откройте файл wp-config.php. Вы можете найти его в корневом каталоге WordPress.
Настройки по умолчанию $ table_prefix = 'wp_'; изменить, например: $ table_prefix = 'новый префикс_';
Если вы сделали эту настройку во время установки WordPress, вам больше не нужно ничего делать. Если у вас уже был установлен WordPress, вам также необходимо обновить базу данных. Вы можете сделать это с помощью плагина iThemes Security, который сделает это за вас, или через PHPMyAdmin:
ПЕРЕИМЕНОВАТЬ таблицу `wp_links` В`newprefix_links`;
Вы также должны запустить эту команду для каждой таблицы базы данных и таблицы плагинов. Если вы используете хостинг cPanel WordPress, найдите phpMyAdmin и измените имя каждой таблицы. Этот процесс может быть немного длительным. Вы можете сделать это проще, используя следующие команды:
ПЕРЕИМЕНОВАТЬ таблицу `wp_commentmeta` В` newprefix_commentmeta`; ПЕРЕИМЕНОВАТЬ таблицу `wp_comments` В`newprefix_comments`; ПЕРЕИМЕНОВАТЬ таблицу `wp_links` В`newprefix_links`; ПЕРЕИМЕНОВАТЬ таблицу `wp_options` В`newprefix_options`; ПЕРЕИМЕНОВАТЬ таблицу `wp_postmeta` В` newprefix_postmeta`; ПЕРЕИМЕНОВАТЬ таблицу `wp_posts` В`newprefix_posts`; ПЕРЕИМЕНОВАТЬ таблицу `wp_terms` В`newprefix_terms`; ПЕРЕИМЕНОВАТЬ таблицу `wp_termmeta` В`newprefix_termmeta`; ПЕРЕИМЕНОВАТЬ таблицу `wp_term_relationships` В` newprefix_term_relationships`; ПЕРЕИМЕНОВАТЬ таблицу `wp_term_taxonomy` TO`newprefix_term_taxonomy`; ПЕРЕИМЕНОВАТЬ таблицу `wp_usermeta` В`newprefix_usermeta`; ПЕРЕИМЕНОВАТЬ таблицу `wp_users` В`newprefix_users`;
Вы можете добавить дополнительные строки для других плагинов, у которых есть собственные таблицы в вашей базе данных.
Чтобы завершить процесс, вам нужно найти любые дополнительные файлы, которые используют префикс wp_. Этот процесс облегчит вам этот процесс:
SELECT * FROM `newprefix_options` WHERE` имя_опции` LIKE ' %wp_% '
Измените имена поиска.
Включить брандмауэр (WAF)
Чтобы лучше защитить свой сайт WordPress, используйте брандмауэр (WAF), который блокирует вредоносные программы до того, как они попадут на ваш сайт. Я рекомендую использовать Sucuri для этой цели. Гарантирует защиту от вредоносных программ.
Не используйте имя пользователя «admin»
Для безопасности веб-сайта WordPress необходимо изменить основное имя пользователя. Создайте новую учетную запись администратора и удалите учетную запись по умолчанию. Сделайте это сразу после установки шаблона WordPress.
Выберите имя пользователя, которое нельзя угадать. Если у вас уже установлен WordPress и вы используете имя «admin», это можно изменить. Создайте нового пользователя и удалите старого. Решение также состоит в том, чтобы использовать плагин для изменения имени пользователя.
Отключить редактирование шаблонов и плагинов
WordPress включает встроенную функцию редактирования кода, которая позволяет редактировать шаблон и плагины в меню администрирования . Желательно его отключить, чтобы эта опция не попала в чужие руки. Для этого добавьте следующий код в файл wp-config.php :
// Запретить редактирование файла определить ('DISALLOW_FILE_EDIT', правда);
Отключить файл PHP (дополнительно)
В некоторых каталогах WordPress необходимо отключить файл PHP. Например, в /wp-content/uploads/ . Вы делаете это в текстовом редакторе. Вы можете использовать Блокнот. Введите этот код:
отрицать от всех
На следующем шаге сохраните его как .htaccess и загрузите в папку /wp-content/uploads/ files.
Это также обеспечивает функция Hardening в плагине Sucuri .
Редактирование файла .htaccess (дополнительно)
Редактирование файла .htaccess также повысит безопасность сайта WordPress. Если у вас нет хотя бы минимальных знаний в области программирования, пропустите этот шаг. Сделайте резервную копию вашего сайта перед редактированием. Используйте следующую процедуру, чтобы разрешить доступ к панели администрирования только определенным IP-адресам. Для остальных доступ будет заблокирован.
Основной тип авторизации приказ запретить, разрешить отрицать от всех # ваш домашний IP-адрес разрешить от xxx.xxx.xxx.xxx # ваш IP-адрес на работе разрешить от xxx.xxx.xxx.xxx
Вставьте измененный .htaccess в каталог wp-admin.
Проверяйте файлы, которые вы загружаете на сайт
Загружайте на сайт только невирусные файлы. Регулярно проверяйте свой компьютер на наличие антивирусного программного обеспечения.
Убедитесь, что вы вошли в меню администрирования
WordPress допускает неограниченное количество попыток входа в меню администрирования. Вы можете установить максимально допустимое количество ошибок для безопасного входа в систему. Например, три неверных логина.
Кроме того, вы можете установить период времени для некорректных входов в систему — три входа за три минуты. Если кто-то неправильно войдет в систему в четвертый раз, вы заблокируете его IP-адрес на несколько минут. Сделайте это, установив плагин Login LockDown . После его активации перейдите в «Настройки» »Login LockDown.
Используйте двухэтапную проверку
Один из надежных способов обезопасить сайт WordPress — двухэтапная проверка. Это позволит защитить доступ к сайту паролем и по телефону.
Скрыть страницу входа
Безопасность сайта WordPress также увеличит скрытие страницы входа. WordPress использует адрес www.name-domain.com/wp-admin или www.name-domain.com/wp-login.php для входа в администрацию. Вы можете переименовать его с помощью плагина WPS Hide Login .
Остерегайтесь спама в комментариях
СПАМ в комментариях часто содержит ссылки на сайты, содержащие вредоносное ПО. Если вы не хотите отключать все комментарии, вам необходимо просмотреть их. Наиболее известным средством проверки комментариев является плагин Akismet , который оценивает комментарии и фильтрует их. Akismet устанавливается в каждый шаблон WordPress. В меню шаблона найдите Akismet и установите флажок «активировать».
Внимание: плагин akismet бесплатен только для некоммерческих сайтов.
Не входите в незащищенную сеть Wi-Fi
Для безопасности сайта WordPress также важно, чтобы вы не использовали небезопасную сеть для входа в систему. Хакер, находящийся в той же сети, может узнать ваши данные для входа или файл cookie для постоянного входа.
Переместите wp-config.php
Чтобы повысить безопасность сайта WordPress, я рекомендую переместить файл wp-config.php в каталог выше. Выполняйте этот шаг только в том случае, если он не мешает работе вашего сайта и если вы размещаете только один домен. В этом файле вы сохранили такие данные, как имя базы данных, пароль и так далее. Переместите его, чтобы скрыть от хакеров.
Настройки прав
Следующим шагом для повышения безопасности сайта WordPress является установка прав доступа к папкам и файлам. Вы должны использовать эту настройку прав для страницы:
Все каталоги — 755 или 750
Все файлы — 644 или 640
wp-config.php — 600
Отключить отчеты об ошибках PHP
В сообщении об ошибке также может быть указан путь к вашему файлу. Но вы можете отключить его. Добавьте следующее в файл wp-config.php:
@ini_set('display_errors','Off');
@ini_set('error_reporting',0);
Отключить XML-RPC Pingback
Функция XML-RPC Pingback позволяет связать страницу с обратными дорожками и пингбэками. Тем не менее, это также возможность для хакеров. Защита XML-RPC Pingback обеспечивается, например, плагином iThemes Security .
Удалить номер версии WordPress
В исходном коде WordPress есть метатег с используемой версией WordPress. Эта информация может быть использована хакерами. Вы можете легко скрыть его с помощью плагина Meta Generator and Version Info Remover или добавив код в файл functions.php , который находится в вашем шаблоне:
remove_action('wp_head', 'wp_generator');
Настройте неактивных пользователей на автоматический выход из системы
Некоторые пользователи надолго покидают экран, даже если они все еще вошли в систему. Чтобы повысить безопасность вашего сайта WordPress, вы можете настроить их на автоматический выход из системы. Вы могли заметить, что банки используют похожие настройки. Это связано с тем, что хакеры могут вносить изменения в свои пароли или учетные записи, когда вошедший в систему пользователь отсутствует.
Вы можете автоматически отключать неактивных пользователей с помощью плагина Inactive Logout .
Краткое изложение советов по безопасности WordPress
Считаю выбор качественного хостинга самым важным. Хостинг должен иметь SSL-сертификат . Рекомендую делать ставку на проверенное качество: WebSupport , Webglobe-Yegon или Wedos .
Также не забывайте использовать надежные пароли и установить/настроить один из проверенных плагинов безопасности — Sucuri , Wordfence Security или iThemes Security .
Was this article helpful for you? Support me by sharing, please. 👍