Как защитить сайт на WordPress. Способы обезопасить проект от взлома
WordPress - одна из самых популярных систем управления сайтом. Ее используют много онлайн проектов, но довольно актуальная CMS привлекает не только много новых пользователей, но и злоумышленников, которые ломают подобные сайты. Технические особенности и возможности CMS WORDPRESS подробнее.
Важным аспектом в развитии и поддержки сайта на WordPress является безопасность. В данной статьи рассмотрим главные способы для защиты Вашего сайта от взломов.
Установка вордпресс на хостинг достаточно простая, Вам предлагают стандартный логин по умолчанию - admin. Подобный логин уже повод для взлома. Для обеспечения безопасности стоит создать нового пользователя с более сложным логином, также наделенным полным доступом ко всем функциям сайта, тоесть с полноценными правами администратора. После создания новой учетной записи, пользователя admin стоит удалить.
Обзор 20-ки популярных бесплатных шаблонов для WordPress тут.
Сложный пароль - правильный путь к безопасности сайта. Пароль должен быть уникальным и включать в себя цифры, буквы разных регистров, знаки пунктуации, символы. Чем сложнее пароль, тем лучше для Вашего проекта. Стоит забыть о широко используемых паролях подобных pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234 или дата рождения, номер телефона и тп. Для того, чтобы не потерять и не забыть пароли, стоит использовать специальные программы для их сохранения, к примеру, Password Agent, KeyPass, Roboform. Также следует регулярно обновлять уже заданные пароли.
Вы до сих пор используете устаревшую версию WordPress? Тогда стоит ее незамедлительно обновить к более актуальной. В админ панели сайта переодически появляются сообщения о выходе новых версий, если Вы увидели такое сообщение, обновляйтесь. Каждая новая версия более защищенная в плане безопасности, так как разработчики постоянно работают в данном направлении.
Также не забывайте скрывать номер текущей версии системы. WordPress по умолчанию добавляет такой номер в исходный код своих файлов и страниц. И, к сожалению, не все всегда успевают вовремя обновить версия WordPress, а это уже может стать слабым местом сайта. Взломщик, который знает версию CMS сайта, может нанести намного больше вреда проекту.
Как скрыть текущую версию? В первую очередь, это можно сделать с помощью файла functions.php. Откройте файл functions.php, расположенный в корневой папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_wordpress), и добавьте код:
remove_action(‘wp_head’, ‘wp_generator’);
Другой способ: в папке любой темы WordPress, вы найдете header.php. В нём также указывается версия. Удалив строку из файла, вы избавитесь от этой ненужной информации:
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
Темы и плагины безопаснее скачивать с официальных и проверенных ресурсов. Наиболее распространенный сайт для скачивания дополнений, которые улучшают и облегчают работу с системой, wordpress.org. Новые темы и плагины постоянно разрабатываются и улучшаются разработчиками WordPress, поэтому следите за обновлениями и усовершенствуйте свой сайт вовремя. Неиспользуемые темы/плагины лучше переодически удалять, так как они также могут нанести вред безопасности.
Позаботьтесь также о безопасности Вашего ПК. Установите надежный антивирус, чтобы случайно не загрузить вредоносные файлы на свой компьютер.
Не все хакерские атаки можно предотвратить. На такой случай нужно иметь резервную копию сайта. Например, много хостинговых компаний предлагают услугу резервного копирования, которая уже включена в тариф хостинга. В компании HyperHost резервное копирования сайтов делается регулярно. Также следует иметь свой свежий бекап сайта. Его можно делать самостоятельно или с помощью плагина WordPress Database Backup, который обезопасит базу данных Вашего сайта.
Для загрузки файлов с помощью FTP-клиента, следует использовать протокол SFTP.
Один из способов взлома - подбор паролей доступа к Вашему сайту. Часто таких попыток достаточное количество. Но Вы можете настроить CMS, чтобы IP-адрес был заблокирован на несколько часов после определенного количества неудачных попыток ввода паролей. Для подобных настроек используют специальные плагины Login LockDown или Limit Login Attempts. Вы можете самостоятельно установить количество попыток и время блокировки доступа.
Еще одна полезная рекомендация: файлы readme.html и license.txt находятся в корневой папке WordPress. Вам эти файлы не нужны, а взломщикам могут помочь. Например, для выяснения текущей версии WordPress и тп. Следует удалить их после установки системы.
Использования сертификата безопасноти SSL - особенно актуально для интернет-магазинов. Для того, чтобы начать использовать защищенный протокол, стоит приобрести SSL-сертификат и установить его для вашего доменного имени. Купить SSL можно, например, в компании HyperHost. Что необходимо знать про SSL сертификаты?
Еще один метод обеспечения защиты - двухфакторная аутентификация учетных записей. Используется для усиления безопасности паролей. Вы вводите пароль на сайте, а вам высылается дополнительный запрос на новый одноразовый пароль, который присылается на ваш номер телефона или электронную почту. Популярные плагины двухфакторной верификации WordPress – Google Authenticator и Clef Two-Factor Authentication.
Кроме выше перечисленных методов безопасности для Вашего сайта на WordPress, существуют еще специальные плагины, например, Wordfence Security (бесплатно сканирует сайт на наличие вредоносного кода и вирусов), Acunetix WP Security (проверяет сайт на уязвимости и предлагает методы их “лечения”), All In One WordPress Security ( отвечает за безопасноть пользовательских аккаунтов и логинов, баз данных и файловую систему). 20 популярных плагинов для WordPress по ссылке.
Ускоряем WordPress.14 практических советов для вашего сайта тут.
Мы описали достаточно много методов для обеспечения безопасности Вашего проекта. Но лучше всего применять их одновременно и взаимосвязано, чтобы Ваш сайт на стал жертвой взлома и проделок мошенников. Конечно же, существует и много других способов для обеспечения безопасности. Поделитесь в коментариях под статьей, какие методы защиты сайта используете Вы. В свою очередь, компания HyperHost™ желает Вам безопасной работы в Сети!
WordPress для бизнеса. Какие решения существуют?