Защита Wordpress от взлома? Или все про безопасность Worpdress сайта

Как защитить сайт на wordpress? На самом деле это очень актуальный вопрос для владельцев сайтов на wordpress. Каждый день взламываются тысячи сайтов, и чтобы не стать жертвой хакеров, рекомендуем придерживаться советов как защитить сайт от вирусов wordpress и не только. 

Установка сложного пароля

Как бы это не было примитивно, но сложный правильный пароль очень хорошо влияет на безопасность сайта. К сожалению, много пользователей забывают об этом и устанавливают простые пароли к административной части сайта, которые легко ломают специальные программы по подбору паролей. Если ваш сайт вам дорог, то обязательно позаботьтесь о создании сложного пароля.

В этом вам сможет помочь Генератор паролей. Такой пароль, чтобы не потерять, следует сохранить отдельно и как бы это банально не звучало, не передавать третьим лицам. Это базовое правило защиты любого сайта. 

Смена стандартного логина

Стандартный логин к админ части сайта wordpress - Admin. Это, к сожалению, знают все, в том числе хакеры, которым в таком случае еще легче взломать ваш сайт. Данный логин можно поменять и усложнить работу взломщикам.

В настройках системы Пользователи, можно Добавить нового и создать для него творческий логин и задать необходимые настройки. После старую учетную запись с логином Admin необходимо удалить в панели управления. 

Резервное копирование

Если вы решили защитить wordpress от взлома, то следует быть готовым к тому случаю, что ваш сайт все таки взломают. На такой случае у вас всегда должна быть актуальная резервная копия сайта, которую вы сможете восстановить.

Резервное копирование должно быть включено в услугу хостинга сайта, но также следует не забывать время от времени делать копии сайта на локальное устройство. Также есть специальные плагины системы, которые упрощают бекапирование, например, UpdraftPlus WordPress Backup Plugin.

Регулярные обновления

Делать резервное копирование сайта очень полезно при следующем обновлении системы wordpress. Именно с обновлениями уменьшается риск взлома, так как каждая новая версия закрывает выявленные ранее уязвимости системы. Обновление можно сделать с помощью встроенных инструментов WordPress. Как только появляется новая версия, вы получите уведомление в своей панели. 

Установка HTTPS

Безопасное соединение HTTPS на сайте не только защищает передачу данных пользователей, но и повышает уровень доверия от поисковых систем. Поэтому для повышения общего уровня безопасности установить на свой WP сайт сертификат SSL. Это может быть как бесплатный сертификат, так и платный, который обеспечивает более надежный уровень защиты данных на сайте. Купить SSL можно на сайте хостинг-провайдера. 

Официальные источники плагинов и тем

Если вам не нужны проблемы с безопасностью сайта WP, то установку тем и плагинов необходимо проводить исключительно из официальных источников. На разных сайтах в интернете можно найти много полезных на первый взгляд дополнений для WordPress, но не все они безопасны и проверены. Поэтому, чтобы избежать взлома сайта, не стоит устанавливать подобные дополнения на свой сайт. 

Плагины защиты

Для повышения уровня безопасности сайта на WP разработаны специальные плагины.

iThemes Security поможет защитить сайт на wordpress от взлома, а именно предлагает защиту аккаунтов, баз данных, файловой системы сайта и другой полезный функционал. Установка данного плагина доступна прямо из панели управления WP.

Wordfence Security – Firewall & Malware Scan - плагин с бесплатной и платной версией. Для начала работы бесплатного функционала будет достаточно. Так плагин предлагает сканер на вредоносный код сайта. Также есть возможность подключения двухфакторной авторизации и удобные инструменты для изменения стандартных настроек системы и повышения уровня безопасности. Платная версия намного расширенная, но бесплатного функционала достаточно для решения базовых задач. 

All In One WP Security & Firewall  позволяет пользователям WordPress с любым уровнем знаний защищать учетные записи пользователей, информацию для входа в систему, базу данных, файлы и многое другое. Он использует систему подсчета очков безопасности, чтобы сразу сказать, насколько безопасен ваш сайт на основе количества включенных вами функций безопасности. Он разбивает функции безопасности на базовые, промежуточные или расширенные параметры в зависимости от того, какое влияние они окажут на функциональность вашего сайта. Он также содержит механизмы брандмауэра, функции черного списка и включает поиск WHOIS для проверки подозрительных IP-адресов и доменных имен.

All in One WP Security также включает в себя простые функции резервного копирования и восстановления файлов htaccess и wp-config. 

Перечень всех доступных плагинов безопасности есть на официальном сайте wordpress по ссылке.

Защищенные протоколы передачи данных

Как защитить админку wordpress? Для работы с сайтом используйте специальные защищенные протоколы передачи данных - SSH или SFTP. Это протоколы, которые  защищены шифрованием.

Каналы передачи этими способами устойчивы к взлому по сравнению с обычным FTP протоколом. Используйте также специальную утилиту SSHGuard, которая поможет защитить вашу учетную запись SSH от перебора пароля, который так часто используют мошенники. 

Ограничения попыток авторизации

Для того чтобы вас не взломали также можно использовать специальные плагины, которые ограничивают количество попыток авторизации. Это Cerber Limit Login Attempts или Login Lockdown.

Первый вариант плагина позволяет настроить длительность блокировки, а также белые и черные IP адреса, по которым может происходить подключение. 

Двухфакторная авторизация

Кроме выбора сложного и максимально надежного пароля, следует также включить двухфакторную авторизацию. С помощью двухэтапного процесса входа в админку, ее очень сложно будет взломать, разве что при получении доступа к вашему смартфону.

Для подключения этого типа защиты используются специальные плагины, например,  2FAS Light – Google Authenticator или другие. Дополнительный метод аунтефикации прекрасно сочетается с другими методами защиты сайта wordpress и очень усложняет процесс взлома. 

Надежный хостинг

Стабильный и безопасный хостинг - базовая основа для работы каждого сайта, не только на WordPress. Поэтому для сайта всегда следует выбирать хостинг услугу, которая соответствует критериям безопасности. Забудьте про бесплатные хостинги, в них нет намека не надежность, ведь на бесплатной услуге никто никому не обязан. Выбирайте исключительно платные проверенные годами хостинги, у которых много хороших откликов от пользователей. Например, этот хостинг отлично подойдет под Вордпрес сайт. 

Защита wp-config.php

Для того чтобы защитить сайт от взлома wordpress, необходимо в первую очередь позаботиться о защите файла wp-config.php. Данный файл содержит важную информацию для входа в базы данных, в том числе ключи безопасности для cookie файлов.

По умолчанию данный файл хранится в корневой папке. Но его желательно переместить выше каталога www, для этого скопируйте данные в новый файл и подключите его для повышения уровня безопасности. 

Скрытие версии CMS

Прежде всего специалисты рекомендуют всегда обновлять к актуальной версию Вордпресс. Но не следует выставлять на показ, какую именно версию ПО использует ваш сайт, особенно, если она устаревшая. Это с выгодой для себя могут использовать мошенники.

Чтобы скрыть версию от посторонних глаз, нужно добавить специальный код в файл темы functions.php.

Это может по запросу выполнить ваш веб-разработчик, если вы имеете недостаточно опыта для работы с кодом системы. 

Ddos защита

Чем еще защитить сайт на wordpress? Необходимо использовать хотя бы базовую Ddos защиту для своего сайта, не только на wordpress. В отличие от взлома сайта Ddos атака не нарушает файлы сайта, а отключает в целом доступ к сайту для пользователей из сети.

Если ваш сайт ддосят, то лучше подключить базовые планы защиты, например, от Cloudflare.

Если такие атаки вредят развитию вашего бизнеса на wordpress сайте, то лучше всего приобрести платный план защиты сайта от Ddos, ведь подобные атаки могут продолжаться долгое время и значительно навредить репутации сайта. Как защитить сайт на wordpress от doss атак? Только с помощью специально разработанных для этого сервисов защиты. 

Автоматический логаут

Специальный плагин Inactive Logout поможет сделать настройку для автоматического выхода из админки для пользователей, что положительно повлияет на безопасность вашего wp сайта, так как не позволит хакерам перехватывать открытые сессии.

Вы сможете настроить время для разлогирования и предупреждающее сообщение для пользователя системы. 

Отключение редактора файлов

Редактор файлов может использоватся для изменения подключенных плагинов и тем сайта. Представьте, что злоумышленник получил доступ к редактору. Поэтому если вы его не используете в повседенвной работе с сайтом, его лучше полностью отключить. Это можно сделать с помощью добавления специального кода в wp-config.php или  через плагин Sucuri Security в Hardening автоматически. 

Защита от ботов

Как защитить сайт от атаки ботов? Есть ли плагин wordpress для этой цели?

Блокируйте плохих ботов. Плохих ботов можно заблокировать с помощью файла robots.txt. Этот файл состоит из правил, которым должны подчиняться все боты, и одна вещь, которую вы можете сделать, указать ботам, какие страницы на вашем сайте WordPress выходят за рамки допустимого. Если бот не подчиняется правилу и посещает страницу, исключенную файлом robots.txt, будет ясно, что это бот с плохими намерениями. Именно тогда его может заблокировать Blackhole for Bad Bots — плагин с конкретной целью. Плагин добавит скрытые ссылки на страницы вашего сайта, которые могут видеть только боты, а не люди. Как только вы добавите шаблон в файл robots.txt, ботов будет легко обнаружить.

Переместите страницу входа. Боты для атаки неустанно пытаются пройти аутентификацию через страницу входа на сайт. Боты способны совершать сотни попыток входа в систему. Это не только поставит ваш сайт под угрозу, но и поглотит много ресурсов. Большинство этих ботов довольно просты, и простого перемещения страницы входа будет достаточно, чтобы отвлечь их. Хотя есть несколько плагинов, которые могут служить этой цели, например, WP Cerber или Move Login. По сути, оба этих плагина имеют одну и ту же цель — они позволяют вам изменить URL-адрес страницы входа на что угодно.

Используйте WAF (брандмауэр веб-приложений). WAF отслеживает и блокирует HTTP-трафик к приложению и от него. В отличие от обычного брандмауэра, WAF может фильтровать содержимое определенных веб-приложений. Их можно загрузить вместе со списком уже известных плохих ботов, которые будут автоматически блокировать все запросы с этих IP-адресов. Некоторые плагины WordPress,  например, Sucuri, включают в себя WAF, который обновляется в режиме реального времени. Этот метод не обеспечит 100% защиту вашего сайта WordPress, но поможет повысить его безопасность.

Проверка активности

Вы будете знать как защитить в wordpress запись от взлома или весь сайт в целом и когда именно это нужно будет сделать, только в том случае, если вы будете проводить регулярный аудит активности. Таким образом вы будете точно знать, что происходит на вашем сайте, а особенно отслеживать события, который напрямую связаны с безопасностью сайта на WP. Для аудита можно использовать прежде всего Журнал активности WP. Это специальный плагин для ведения журнала активности, у которого много настраиваемых параметров и возможностей для отслеживания действий пользователей сайта. Также еще можно использовать и другие плагины для аудита активности, как Simple Hostory или Activity Log. 

Надеюсь, наша подборка советов поможет обезопасить ваш сайт на WP и сделать его работу еще более стабильной. Для заказа надежного хостинга для Вордпресс, обращайтесь в компанию ГиперХост.