Защита WordPress от взлома. Как защитить сайт на WordPress

Содержание материала:

Плагин для защиты WordPress от взлома

WordPress очень популярная CMS, это не несомненно ее плюс, есть множество плагинов под любые задачи, но это одновременно и является ее слабостью, ведь чем популярнее CMS для сайта, тем больше на нее атак, точнее она более интересна для взломщика, так как найдя уязвимость в WordPress, злоумышленникам становятся доступны сотни тысяч сайтов, поэтому защите вашего сайта на WordPress нужно уделать особое внимание.

Зачем взламывают сайты на WordPress?

Взламывают все популярные CMS (движки для сайтов), и Вордпресс не исключение, взламываю в основном с помощью так называемых программ (скриптов) — эксплоитов, для получения контроля над сайтом, делается это в основном для создания ссылок с вашего сайта на другие ресурсы, и для создания BotNet, который занимается DDoS атаками на другие сервера, причем сайт остается в рабочем состоянии, и вы никогда не увидите не «вооруженным» глазом что он заражен. В любом случае взлом плохо отразится на вашем сайте, и возможно вы даже пропадете из выдачи.

Как я уже говорил, взлом происходит в автоматическом режиме, определить CMS сайта не составляет труда, для этого есть много онлайн сервисов, часто атакующая программа пытается подобрать пароль от административной части сайта, т.е. переходит по адресу your-site.ru/wp-admin и пробует подобрать пароль к вашему пользователю, узнать имя пользователя не составляет труда, вы ведь пишите статьи именно под ним, поэтому логин будет виден ботам, они знают где его посмотреть. если вы конечно не закрыли его при помощи плагина, об одном из которых мы поговорим ниже. Пароль от администратора сайта должен быть очень сложным, но даже при выполнении этого условия, нельзя давать ботам перебирать (брутить) пароль от «админки», потому что это не нужная нагрузка на сервер, представьте если этим занимаются несколько десятков ботов с разных концов света.

Плагин для защиты WordPress от атак

Перейдем сразу к плагину, достойных внимая несколько, поговорим о более простом и понятном, я использую его на многих своих проектах, для заказчиков, он очень хорошо справляется с поставленными задачами по охране сайта — All In One WP Security & Firewall

Это плагин достаточно прост в освоении, и руссифицирован на 90%, устанавливается как и любой плагин из репозитория WordPress, после установки его нужно активировать и сделать основные настройки. Он появляется в основном меню в админке WordPress

Панель управления плагина WP Security

После перехода к настройкам плагина, попадаем в панель управления. Тут можно сделать основные важные настройки.

  1. Показывает 5 последних авторизаций в вашей админке, указан пользователь и IP адрес, я например сразу вижу свои IP, их всего два, поэтому у меня не возникает сомнений что мой пароль от административной части знает кто то еще.
  2. Раздел самых важных функций, тут все нужно включить, и со всем согласиться.
  3. Плагин, способен отслеживать изменения файлов на хостинге, причем он может отправлять отчет вам на почту, и вы всегда в курсе какие файлы у вас изменились, это очень полезно, если вам подгрузили какой то скрипт или любой файл с вредоносным кодом, вы это сразу увидите в отчете, единственный минус, после обновления каких либо других установленных у вас плагинов или самого движка WordPress, WP Security увидит все эти изменения и пришлет вам огромный список, но к этим отчетам можно привыкнуть, ведь вы знаете когда обновляли файлы сами.
  4. Этот пункт меняет стандартный адрес админки сайта yoursite.ru/wp-admin , на yoursite.ru/luboe-slovo , это спасет вашу админку от некоторых горе-хакеров и ботов, но к сожалению не от всех, особо продвинутые ее все равно находят, об этом я могу судить глядя в раздел «Авторизации», но об этом позже.
  5. Этот пункт должен быть выключен, как на скриншоте, он нужен только тогда, когда вы хотите поставить сайт на обслуживание, для посетителей будет выдаваться табличка с сообщением, о том что на сайте ведутся технические работы, иногда это полезно, например при смене дизайна сайта, или при каких то глобальных изменениях, не забывайте, что в этом режиме поисковые роботы тоже не могут просматривать ваш сайт, не закрывайте его на долго.

Защита админки WordPress от подбора пароля

Теперь перейдем в пункт меню — Авторизация, на мой взгляд очень полезный пункт, и его стоит настроить, так как на одном из моих сайтов. с посещаемостью около 1000 человек, плагин отлавливает в день десятки попыток подобрать парль к админке, и добавляет IP адреса взломщиков в черный список, т.е. блокирует его совсем, сайт перестает отвечать этому IP адресу, тем самым сводя на нет попытки подобрать пароль, на скрине настройки которые делаю я.

  1. Число попыток «ошибиться» оставляю -3, не делайте меньше, можете сами неверно набрать пароль, и попасть в черный список со своим IP, придется отключать плагин через FTP
  2. Это время, через которое сбрасывается счетчик не верных попыток залогиниться
  3. Период блокировки IP адресов, с которых были не верные попытки авторизации, я ставлю побольше, в минут, т.е. баню на долго, на скрине стоит 6 000 000 минут, это примерно 11 лет, думаю хватит

Всем заблокированным IP будет закрыт доступ не только к админке, но и ко всему сайту, имейте это в виду

Список заблокированных IP адресов

После активации блокировок ошибочных авторизаций, спустя некоторое время, в зависимости от посещаемости вашего блока, можно увидеть список заблокированных IP, на скриншоте видно заблокированные IP

  1. айпи адрес злоумышленника
  2. логин к которому подбирали пароль, кстати правильный
  3. дата когда была сделана автоматическая блокировка

Белый список адресов для админки

Что бы разрешить доступ в административную часть сайта на WordPress только с определенных IP адресов, можно активировать белый список адресов в настройках плагина.

  1. активация этой опции
  2. тут ваш текущий IP адрес
  3. в этом поле введите все IP адреса, с которых разрешен доступ в админку

Если нужно указать диапазон IP адресов, то вместо цифры, используйте звездочку, к примеру 192.168.5.* — такая конструкция даст доступ в админку wordpress со всех ip начинающихся на эти цифры, такой способ может быть полезен тем, у кого нет выделенного ip адреса, и он постоянно меняется, к примеру при работе с мобильного интернет, как правило диапазон будет оставаться в пределах двух первых цифр, вот так к примеру 192.168.*.*

Подборка плагинов WordPress для безопасности сайта

В статье:

Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.

WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.

Статистика заражений за 2020 год

Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.

Плагины для защиты сайта на WordPress

All In One WP Security & Firewall

Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.

Что делает плагин:

  • добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
  • блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
  • дает просматривать активности учетных записей пользователей;
  • делает резервные копии базы данных автоматически;
  • создает резервные копии исходных файлов .htaccess и wp-config.php;
  • обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
  • генерирует сложные пароли;
  • отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
  • закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
  • устанавливает межсетевые экраны для защиты от вредоносных скриптов.

Подробнее о функциях безопасности на странице плагина.

Панель управления плагином

Понятно о настройке плагина:

All In One WP Security & Firewall переведен на русский язык, установка бесплатна.

BulletProof Security

Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.

Что делает плагин:

  • защищает файлы wp-config.php, php.ini и php5.ini через файл .htaccess;
  • включает режим технических работ;
  • проверяет права на редактирование папок и файлов в админке;
  • не пропускает спам с помощью функции JTC-Lite;
  • создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
  • ведет журналы ошибок и журнал безопасности.

Подробнее о функциях безопасности на странице плагина.

Сканер вредоносного кода

Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.

Wordfence Security

Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.

Что делает плагин:

  • сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
  • выполняет функции антивируса, проверяет сайт на уязвимости;
  • проверяет сообщения и комментарии на подозрительный контент и ссылки.

В бесплатной версии доступны и другие функции.

Премиум версия дает чуть больше:

  • проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
  • включает двухфакторную идентификацию для входа;
  • составляет черный список и блокирует все запросы от IP из базы.

Подробнее о функциях безопасности на странице плагина.

Не переведен на русский, базовую версию можно скачать бесплатно.

Disable XML-RPC Pingback

Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.

Что делает плагин:

  • Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
  • удаляет X-Pingback из HTTP-заголовков.

Плагин на английском языке, установка бесплатна.

iThemes Security

Старое название — Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.

Что делает плагин:

  • включает двухфакторную авторизацию при входе в администраторскую панель;
  • сканирует код сайта и сигнализирует, если находит подозрительные изменения;
  • мониторит сайт на автоматизированные атаки и блокирует их;
  • генерирует сложные пароли;
  • отслеживает активность аккаунтов пользователей;
  • включает Google reCAPTCHA при входе на сайт;
  • дает возможность создавать временные доступы в админке;
  • ограничивает редактирование файлов в админке.

Подробнее о функциях безопасности на странице плагина.

Переведен на русский язык и доступен бесплатно.

Sucuri Security

Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.

Что делает плагин:

  • проверяет код сайта на подозрительные изменения и присылает уведомления;
  • сканирует вредоносные программы и запрещает доступ;
  • создает черный список IP и запрещает им взаимодействие с сайтом;
  • фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
  • автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.

В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.

Сообщения о подозрительных активностях

Плагин не переведен на русский язык, доступен для бесплатного скачивания.

Keyy Two Factor Authentication

Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.

Что делает плагин:

  • защищает сайт от взломов;
  • хранит защищенный пароль на устройстве, его не нужно вводить при входе;
  • позволяет ходить в админку по отпечатку пальца;
  • администраторам нескольких сайтов дает переключаться между панелями в один клик.

Плагин не переведен, доступен бесплатно.

WWPass Two-Factor Authentication

Плагин для защиты от проникновения злоумышленников в панель администратора.

Что делает плагин:

  • добавляет QR-код для сканирования при попытке войти в админку;
  • дает доступ к бесплатному использованию менеджера паролей PassHub.

Пример работы плагина

Доступно бесплатное скачивание версии на английском.

Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.

Плагины для бэкапов сайта на WordPress

BackWPup – WordPress Backup Plugin

Плагин для создания резервных копий и восстановления прежних версий сайта.

Что делает плагин:

  • делает бэкапы полного сайта с контентом;
  • экспортирует XML WordPress;
  • собирает установленные плагины в файл;
  • проверяет и восстанавливает базы данных;
  • отсылает копии на внешние облачные хранилища, email или передает по FTP.

Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.

Управление архивами резервных копий

Доступен бесплатно, есть платная PRO-версия, не переведен на русский.

UpdraftPlus WordPress Backup Plugin

Что делает плагин:

  • копирует и восстанавливает данные в один клик;
  • делает автоматические резервные копии по расписанию;
  • проверяет и восстанавливает базы данных;
  • отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.

Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.

Настройка хранения резервных копий

Не переведен на русский, доступен бесплатно.

VaultPress

Еще один плагин для резервного копирования и надежного хранения копий.

Что делает плагин:

  • ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
  • восстанавливает сайт из копии по клику;
  • защищает сайт от атак и вредоносного ПО.

Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.

Плагин не переведен на русский язык, доступен для установки бесплатно.

Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.

WordPress админка — как защитить сайт от взлома и вирусов

Практические советы как защитить сайт WordPress от взлома и проверить блог на вирусы. Не могу зайти в админку wordpress – значит, мне взломали сайт. О безопасности вордпресс или других cms нужно подумать до того, как вам взломают административную панель входа. Проверить на вирусы файлы шаблона можно при выборе тем.

Не ждите, пока взломают ваш сайт на вордпресс. Когда вам придется дважды восстанавливать доступ к админке, то приятных ощущений не получите. Пока сайт не особо посещаем, то и на крючок к взломщикам может и не попасть. Но только авторитет интернет проекта вырастет, а посещаемость начнет расти семимильными шагами, то тут и начинаются проблемы. Так случилось и со мной. После первого взлома я благополучно восстановила доступ к админке WordPress и успокоилась. Пронесло, так показалось… Но после повторного взлома подумалось, а что ж защиту не выставила тогда? Поэтому сегодня решила собрать всевозможные советы по защите сайтов от хакеров, а в частности вордпресс админок.
Советов по защите много, есть целые сайты, посвященные безопасности веб-ресурсов. Я соберу все лучшие рекомендации на этой странице.

Найдем слабые места в защите вордпресс блога с помощью плагинов:

AntiVirus for WordPress, скачать http://wordpress.org/extend/plugins/antivirus/
Устанавливаем и проверяем шаблон на наличие вирусов. Жмем «Scan the templates now». В результате чистые файлы будут показаны зеленым цветом, а желтым и красным подозрительные.

TAC (Theme Authenticity Checker) – проверяем темы wp на наличие вредоносного кода перед установкой. Скачать http://wordpress.org/extend/plugins/tac/

WP Security Scan, скачать http://wordpress.org/extend/plugins/wp-security-scan/
Настройка плагина. Во вкладке «Scanner» смотрим правильность прав доступа. Для папок права доступа — 755, папки cache и uploads — 777, для файлов – 644, wp-config.php — 644).
Еще этот плагин может переименовать префикс wp_ без вашего входа в базу данных. Для этого идем на вкладку «Database» и вписываем собственный префикс. Но проверить префикс лучше и в БД.

После того, как вы отсканируете и исправите все слабые места, то можете удалить сам плагин.
Если возникнет проблема с входом в админку, то удалите виновный плагин.

Совет первый – установка плагинов для защиты WordPress сайта.

Плагин WordPress Anti-XSS attack — предупреждение и защита от XSS-атак wp блога. Это означает защиту от хакерских запросов с адресной строки.
Скачать русскую версию Anti-XSS attack http://mywordpress.ru/plugins/anti-xss-attack/
Установка стандартная: залейте файл anti-xss-attack.php в папку wp-content/plugins/, затем активировать и все. Он будет работать.
На заметку по работе плагина: если в браузере пользователя отключена передача referer, то все действия пользователя вордпресс будет воспринимать как XSS-атаку.

Плагин Login LockDown (Limit Login Attempts) – заблокирует ботов, которые попытаются совершить взлом адинки вордпресс. Выглядит это так: бот пытается попасть в административную часть блога с помощью подборов пароля. Плагин можно настроить на конкретный интервал времени таких попыток с одного ip. При его превышении бот будет заблокирован. Настраивается и время блокировки, и отмена ее.
Скачать Login LockDown http://wordpress.org/extend/plugins/login-lockdown/
Устанавливаем как обычно. Залили на сервер, активировали и настроили время. Можете оставить и по умолчанию.

Stealth Login – меняет адрес страницы авторизации, которая по умолчанию имеет адрес WP-login.php. Можно придумать любой адрес типа «сайт/Любой_логин». Также он может запретить вход на сайт по адресу WP-login.php – для этого отметьте «Stealth Mode».

Secure WordPress
Удаляет информацию об ошибке входа.
Добавляет index.php в папки плагинов и тем. Не даст злоумышленнику посмотреть список установленных плагинов. Такие файлы, как index.php и index.html лучше вставить во все папки. Иначе может произойти вот что: читайте ниже.
Закрывает возможность хакеру просмотреть какие плагины установлены на блоге с помощью добавления пустого файла index.html.
При запросе http://сайт.ru/index.html можно обнаружить, что ваш блог все-таки поражен вредоносным кодом. Например, я обнаружила множество страниц не со своим контентом из несуществующей директории своего домена, типа http://сайт.ру/drivers/. Ответ сервера при этом код 200.

Удаляет WP-версии, кроме как в админ зоне. ]]> ]]>
Удаляет Really Simple Discovery. (RSD) — это формат XML и издательское соглашение, создающие сервисы, используемые блогами, а также иными web-приложениями.
Удаление Windows Live Writer — это программа (редактор), c помощью которой можно писать и публиковать свои сообщения в блог.
Удаляет ядро обновления информации для не администраторов (т.е. всем, кроме админа).
Удаляет информацию обновления плагинов для не администраторов.
Удаляет тему обновления информации для не администраторы (только WP 2.8 и выше)
Скрывает WP-версию на доске объявлений для не администраторов.
Удаляет версию на URL-адресов из скриптов и таблиц стилей только на интерфейсе.
Блокирует любые подозрительные запросы, которые могут быть вредны для вашего сайта WordPress.
Скачать плагин Secure WordPress http://wordpress.org/extend/plugins/secure-wordpress/
Скачать Secure WordPress на русском языке http://blogproblog.com/wp-content/uploads/2009/10/secure-wordpress.zip

Chap Secure Login защищает процесс авторизации путем шифрования. Это полезно в случае, когда хакерская программа отслеживает и перехватывает вашие данные.

Скачать Chap Secure Login http://wordpress.org/extend/plugins/chap-secure-login/

Еще подборка плагинов для усиления безопасности wp блога:
belavir (php MD5) — с его помощью сразу увидите в каких файлах произведены изменения.
bs-wp-noerrors
WordPress File Monitor – сканирование и отслеживание измененных файлов.

Полезно использовать защиту от спама, спамер может рассылать невидимые глазу ссылки:
WP-SpamFree на русском.

Попробовала плагин Better WP Security по совету в комментариях. Да, возможностей много и его можно ставить вместо нескольких. Но нужно осторожно пробовать все предлагаемые возможности. Не пренебрегайте бекапом базы данных при работе с ним и файлов. Например, при разрешении ему писать в файлах и смене плагином папки wp-content сайт перестал работать, а вход админа был заблокирован. Вылечилось удалением таблиц плагина в MySQL и заливанием прежних корневых файлов.

Топ-пост этого месяца:  Оптимизация и SEO-продвижение сайтов

Второй совет для защиты вордпресс блога.

Зачищаем код, убирая или изменяя мета гег generator в header.php темы.

” />
Вместо вордпресс можно написать свое придуманное название

Не получилось, то в wp-includes/general-template.php комментируем содержимое функции (то, что находится внутри функции):
function get_the_generator( $type ) ……. */
>
Или закрываем мета тэг генератор. Для этого в файле function.php установленной темы добавьте вверху после ]]> http://codex.wordpress.org/ЧАВО/Белый_экран на сайте ]]>

2. В файл wp-config.php добавляем строки:

// Включить рапортирование ошибок для WP
define(‘WP_DEBUG’, 1);
// НЕ показывать ошибки в браузере
define(‘WP_DEBUG_DISPLAY’, 0);
// Сказать WP чтобы тот создал файл
define(‘WP_DEBUG_LOG’, 1);

Затем логи просмотрите в /wp-content/debug.log

3. Еще способ включить показ ошибок — сделать следующую запись в .htaccess

php_value error_reporting E_ALL

5. Быстро определить, есть ли проблема с плагинами или нет можно, переименовав на сервере папку с плагинами wp-content/plugins

    • Не обязательно, но можно изменить данные администратора через phpmyadmin в таблице wp-users, здесь же мы и восстанавливаем доступ к сайту в случае взлома. Прописываем количество попыток авторизации.
    • Полезно удалять не нужные файлы сразу после установки. В них имеется служебная информация, как версия движка и т.д.. Удалите из корня сайта файлы readme.html и license.txt. Не оставляйте возможности повторно установить блог – удалите файл install.php.
    • Эти способы скроют лишь версию cms, т.к. используемый движок можно легко вычислить по стандартным папкам (например, наберите в поисковой строке http://сайт.ру/wp-admin или http://сайт.ру/wp-login.php), по пути к файлам, скриптам, листу стилей, картинкам – в адресах увидите «wp-content», в сервисах автоматического определения движков сайта типа http://2ip.ru/cms/ тоже легко определите cms. Если взломщик не определит версию вордпресс, то жизнь его усложнится при поиске слабых мест сайта. А для того, чтобы скрыть сам тип движка, как видите, нужно повозиться.
    • Вбейте в адресную строку http://ваш_сайт.ру /wp-content/ и http://ваш_сайт.ру /wp-content/plugins/. Чистый лист – хорошо, но если вы увидели содержимое, то срочно запретите доступ к каталогам в файле htaccess.
    • Делайте бекап блога, установив плагин WordPress Database Backup. Скачать русифицированный http://mywordpress.ru/plugins/wordpress-database-backup/
    • Запрещение регистрации пользователей на сайте тоже укрепит безопасность интернет проекта.
    • Простой и быстрый способ защиты блога от взлома – настройки пользователя, вы там как admin и есть возможность добавления ника. Воспользуйтесь этим. Сделайте себе ник и отметьте его «отображать как». Плюс и пароль сделайте сложным. Хакер в этом случае будет подбирать пару ник-пароль вместо логин-пароль.
    • Удаление с темы вордпресс ссылки на административный вход тоже усложнит жизнь хакерам.

А если wp блог уже взломали, то читайте инструкцию, как восстановить доступ к админке.

Как защитить сайт на WordPress

Система управления сайтом WordPress приобретает все большую популярность. Сегодня, свыше 30 % сайтов в интернете работает на Вордпресс. Такую популярность система завоевала за счет своей простоты и удобства. Именно поэтому WordPress стала одной из самых взламываемых CMS. В этой статье Вы узнаете простые способы, как защитить сайт wordpress от взлома, и оградится от внедрения вредоносного кода.

Написать статью я решил после хакерской атаки на свой блог. Подробно о принципе взлома системы я написал в этой статье. После восстановления корректной работы блога, я пришел к выводу о необходимости построения надежной защиты сайта. Все советы, которые озвучены в статье, испытаны мною лично, и не требуют особых знаний в использование CMS WordPress.

1 совет – устанавливайте только проверенные плагины

Первый совет, как защитить сайт – это тщательно проверять устанавливаемые плагины. Перед установкой необходимо проверить количество скачиваний и отзывы о плагине. Это не даст 100% защиты от взлома, но снизит риск от хакерской атаки. Желательно свести количество установленных плагинов к минимуму, дорабатывая сайт путем установки дополнительного кода.

Использование плагина повышает уязвимость сайта WordPress

В настоящее время, именно через плагины взламывается большинство сайтов WordPress. Сторонний код плагина интегрируется в систему кода сайта, и злоумышленники получают возможность установить вредоносное дополнение. Именно поэтому актуально минимизировать количество установленных плагинов и дорабатывать сайт с помощью php-кода.

Из собственного опыта перечислю те виды плагинов, которые желательно установить на сайт WordPress:

  • Плагины кеширования – для быстрой загрузки страниц сайта
  • Плагин SSL сертификата – для дополнительной защиты передачи информации
  • Плагин AMP страниц – для создания быстрых страниц и повышения ранжирования в Google
  • Плагин защиты от спама
  • Плагин защиты системы от взлома
  • Плагин для SEO оптимизации сайта.

Это минимально – необходимый набор плагинов, устанавливаемый на сайт WordPress, и позволяющий обеспечить его эффективную работу. Про некоторые плагины из этого списка мы поговорим далее.

2 способ – устанавливаем плагин защиты WordPress

Установка плагина защиты помогает значительно повысить защищенность сайта. В первую очередь, плагин защищает от уязвимого кода и файлов. Сканируя систему, он предлагает удалить те фрагменты, через которые можно внедрить вредоносный код. Например, безопасность блога обеспечивает популярный плагин Wordfense.

Wordfense — один из лучших плагинов по защите WordPress

Плагин Wordfense не обеспечивает полную защиту сайта от взлома, а указывает на потенциальные проблемы системы. Сканируя сайт, Вы находите уязвимости и ненужные файлы в системе. Это один из самых корректных плагинов для защиты, тк он заточен на работу с сайтами WordPress. Стоит учитывать, что плагин создает дополнительную нагрузку на хостинг, поэтому перед установкой необходимо учитывать данный фактор.

3 способ – использование сложного пароля

При входе в систему необходимо использовать сложный пароль. Это аксиома, которую должен знать каждый вебмастер. Для решения этой задачи можно прочитать статью, как создать надежный пароль от компании Google. Главный принцип сложного пароля – это отсутствие какой либо последовательности и большое число символов. Как правило, надежным считается от количество от 12 знаков и букв.

4 способ – ограничение попыток входа на сайт

Один из самых эффективных способов защиты от прямого взлома сайта – это установка плагина, ограничивающего количество попыток авторизации. Благодаря этому, человек, который ввел логин и пароль ограниченное количество раз, теряет доступ к панели входа. Обычно разрешается авторизоваться 3 раза. Вы можете увеличить это числе до 4 или 5.

Вы можете ограничить число авторизаций на WordPress с помощью плагина

Чтобы активировать данную функцию, необходимо установить специальный плагин Limit Login Attempts Reloaded. Установка данного плагина имеет смысл, если Ваш сайт посещают большое количество пользователей в конкурентной тематике и есть опасность взлома со стороны конкурентов. Установка плагина сделает прямой взлом практически невозможным, и защитит сайт на 99 %.

5 способ – скрываем файлы wp-config.php и .htaccess

Еще один популярный путь попадания злоумышленников в систему WordPress – это файлы wp-config.php и .htaccess. Получив доступ к директории без взлома, и внеся небольшие изменения в данные файлы, хакеры могут добавить в систему вредоносный файл. Как правило, изменениям подвергается файл .htaccess. Взломав этот файл, злоумышленники делают перенаправления на фишинговые сайты или «мусорные» ресурсы.

Самый простой способ защитить от взлома wp-config.php и .htaccess – скрыть их из директории. Если Вы хотите воспользоваться данным шагом, то сначала необходимо сделать резервную копию сайта. После этого, чтобы скрыть файл wp-config.ru внесем в него такую часть кода:

Чтобы скрыть файл .htaccess в него необходимо добавить код:

После установки данного кода необходимо проверить работу сайта. Если Все сделано правильно, то сайт будет работать в штатном режиме.

6 способ – не использовать бесплатные премиум темы

Еще один важный способ защиты – это отказаться от использования бесплатных «премиум» шаблонов. Очень часто, злоумышленники предлагают бесплатную установку премиум шаблонов на сайт WordPress. Самое безобидное, что может быть в таком шаблоне – это вшитые ссылки на сторонние ресурсы. Однако зачастую, кроме внешних ссылок в таком шаблоне присутствует вредоносный код.

Популярные премиум темы на WordPress

В последнее время такой способ взлома получает все большее распространение. В надежде получить бесплатную премиум тему, вебмастера устанавливают шаблон с вредоносным кодом. В данном случае, все вышеперечисленные способы защиты будут бесполезны и для восстановления необходимо откатить сайт до предыдущего шаблона. Защититься от такого взлома можно только одним способом – устанавливать платные темы только от самих разработчиков.

7 способ защиты – обновлять сайт WordPress

На сайтах WordPress постоянно выходят новые обновления, которые устраняют различные недостатки. Бывают обновления, в которых разработчики совершают ошибки и такие версии WordPress необходимо обновить как можно скорее. Если Вы давно пользуетесь WordPress, то наверняка помните критические ошибки в 3 и 4 версии, исправить которые можно было через установку обновления.

Обновление сайта WordPress

Можно не устанавливать обновление на Вордпресс сразу после выхода. Подождав некоторое время, почитайте отзывы вебмастеров о работе актуальной версии. Если текущая версия имеет проблемы, то можно не торопиться с установкой. Если устанавливать обновление спусти 2-3 месяца после выхода, это не несет существенного урона сайту. Главное – чтобы текущая версия сайта работала корректно.

Вместо заключения

В статье я озвучил 7 основных способов, как защитить сайт WordPress от взлома. В интернете имеются статьи в которых даются другие способы защиты. Рассмотрим наиболее популярные способы, не вошедшие в данную статью, но требующие рассмотрения. Начнем с наиболее часто встречающего совета – изменение URL адреса для входа в админку.

Данный способ защиты подразумевает дополнительную защиту от прямого взлома, и не способен предотвратить установку вредоносного кода на сайт. Именно поэтому я не рассматриваю его в данной статье. Кроме того, если Вы опасаетесь взлома сайта, рекомендую Вам подробно ознакомиться с двух факторной авторизацией на WordPress.

Установка SSL сертификата. SSL сертификат изначально разработан как способ защиты при совершении денежных транзакций через сайт. Сам сертификат не является способом защиты от установки кода или взлома сайта, а шифрует информацию при передаче данных от пользователя к сайту (и наоборот). В то же время, в настоящее время желательно использовать сертификат для повышения ранжирования в Google и доверия со стороны поисковых систем.

Отключение доступа к панели редактора. Очень популярный совет для защиты сайта вордпресс – это отключить доступ к панели редактора. Считается, что злоумышленники, взломав Ваш сайт, внедрят через редактор вредоносный код. Данный сценарий защиты уже предусматривает взлом сайта, и только ограничивает функционал админки, который нетрудно восстановить. Именно поэтому не вижу необходимости описывать представленный способ как защиту сайта.

Отключение редактора в админке WordPress

Теперь Вы знаете, как защитить сайт WordPress от взлома и установки вредоносного кода. Если Вам известны эффективные способы противостоять угрозе, не представленные в обзоре – обязательно пишите в комментариях. Желаю Вашему сайтам бесперебойной работы и надежной защиты от хакерских атак.

Кстати, на моем блоге есть другие интересные статьи про Вордпресс:

Как защитить сайт на WordPress — 17 способов

На сегодняшний день WordPress – это одна из самых популярных и распространенных систем управления контентом в мире. На основе этого удобного и простого движка строится множество блогов, сайтов, порталов. Но такая простота и распространенность привлекают внимание не только честных пользователей, но и злоумышленников. Сделать сайт сейчас может любой школьник, а вот чтобы грамотно его защитить, потребуются знания и хотя бы небольшой опыт.

Именно поэтому защищенность и безопасность WordPress – это один из главнейших аспектов работы над вашим веб-сайтом. Защита WordPress от взлома включает в себя множество способов, которые важно применять всем, кто не хочет, чтобы их сайт пострадал.

Сегодня мы рассмотрим ряд простейших, но в то же время очень важных способов защиты сайта на WordPress.

Из статьи вы узнаете:

1. Используйте хороший логин.

Защита сайта на WordPress начинается с элементарного — создания хорошего логина. Устанавливая WordPress, пользователи часто используют логин, который программа установки предлагает по умолчанию, а именно – admin. Это то, что проверяют боты, ищущие дыры в безопасности вашего сайта, в первую очередь. Используя этот логин, вы уже предоставляете половину необходимой информации для хакеров, и им остается только подобрать пароль.

Если вы уже установили платформу и работаете над вашим сайтом, то вряд ли вам захочется удалять установку и начинать всё с чистого листа, чтобы использовать более надежный логин. Выход есть:

Шаг 1 – Создание нового пользователя

Войдите в административную панель WordPress и создайте новую учётную запись с более сложным логином, наделенную полным доступом ко всем функциям сайта, то есть правами администратора.

В главном меню слева выберите Пользователи >> Добавить нового.

Введите всю необходимую информацию для нового пользователя, определив его роль как «Администратор» и нажмите «Добавить нового пользователя».

Шаг 2 – Удаление пользователя admin

После этого выйдите из системы управления, войдите под новой учетной записью и удалите пользователя admin из системы одним из способов:

Способ 1 – В главном меню слева выберите Пользователи >> Все пользователи. Наведите на имя пользователя admin, и вы увидите функцию «Удалить».

Способ 2 — В главном меню слева выберите Пользователи >> Все пользователи. Найдите пользователя admin, отметьте его галочкой и из выпадающего меню «Действия» выберите «Удалить». После этого нажмите на опцию «Применить» под списком пользователей. Эта опция удобна, если вам необходимо удалить сразу несколько пользователей.

Так же вы можете изменить имя пользователя admin через запрос к базе данных:
UPDATE wp_users SET user_login = ‘новый_логин’ WHERE user_login = ‘admin’;

У данного способа есть минус: автор для постов, написанных пользователем admin, не будет изменен. Для того, чтобы это исправить, необходимо сделать еще один запрос к базе данных:
UPDATE wp_posts SET post_author = ‘новый_логин’ WHERE post_author = ‘admin’;

2. Используйте сложный и уникальный пароль.

Защита админки WordPress, конечно, невозможна без сложного хорошего пароля. Важно, чтобы он был уникальным и включал в себя цифры, буквы разных регистров, знаки пунктуации, символы и прочее. Пароли типа: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, дата вашего рождения и т.д. – не являются надежными, но многие пользователи продолжают их использовать. Пример хорошего пароля: pcVaOF8r39. Конечно, вам сложно будет запомнить такой пароль, но для этого существует ряд программ, которые хранят и генерируют пароли, а также могут быть интегрированы в интерфейс вашего браузера (например, Password Agent, KeyPass, Roboform и т.д.)

Если вы все же хотели бы помнить свои пароли наизусть, рекомендуем создавать комбинированный пароль из хорошо знакомого вам названия/слова с несколькими большими буквами/цифрами в случайных местах и несколькими специальными символами в начале или конце. Такой пароль также будет сложен для подбора, но его будет достаточно легко запомнить.

Не забывайте регулярно обновлять свои пароли.

3. Обновляйте версию WordPress.

WordPress заботится о своих пользователях, и поэтому в административной панели управления вы можете найти уведомления о выходе новой версии. Рекомендуем совершить обновление, как только вы увидите его, поскольку одной из самых распространенных брешей в защищенности вашего сайта является использование устаревшей версии платформы.

4. Скрывайте версию WordPress.

WordPress по умолчанию добавляет номер текущей версии в исходный код своих файлов и страниц. И поскольку довольно часто не всегда удается вовремя обновлять версию WordPress, это может стать слабым местом вашего веб-сайта. Зная, какая у вас версия WordPress, хакер может принести много вреда.

С помощью файла functions.php можно запретить вывод информации о версии вашей платформы. Для этого вам необходимо открыть файл functions.php, расположенный в корневой папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_wordpress), и добавить следующий код:
remove_action(‘wp_head’, ‘wp_generator’);

Или же можно добавить следующий код в файл functions.php:

/* Hide WP version strings from scripts and styles
* @return $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) <
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) <
$src = remove_query_arg(‘ver’, $src);
>
return $src;
>
add_filter( ‘script_loader_src’, ‘fjarrett_remove_wp_version_strings’ );
add_filter( ‘style_loader_src’, ‘fjarrett_remove_wp_version_strings’ );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() <
return »;
>
add_filter(‘the_generator’, ‘wpmudev_remove_version’);

Помимо вышесказанного, в папке любой темы WordPress, вы найдете header.php файл. В нём также указывается версия вашей установки, что для хакера является очень интересным, как упоминалось ранее. Удалив следующую строку из файла, вы избавитесь от этой лишней информации:

5. Скачивайте темы и плагины с надежных ресурсов.

WordPress является настолько распространенным, что всё больше разработчиков создают для него готовые темы и плагины. В то время как большинство из них облегчат работу с вашим сайтом и расширят его функциональность, некоторые могут скрывать в себе весьма неприятные последствия в виде вирусов и открывать двери для хакеров. Используйте только проверенные ресурсы для скачивания тем и плагинов, например, wordpress.org, а также обращайте внимание на все появляющиеся предупреждения о вредоносности файлов. Как и в случае с самим WordPress, важно вовремя обновлять плагины до последних версий.

6. Не храните ненужные файлы.

Неактивные расширения могут представлять серьезную угрозу для безопасности вашего сайта. Поэтому смело удаляйте все неиспользуемые плагины и темы. Например, вы устанавливали woocommerce-плагины, чтобы потестировать и выбрать тот, который будете использовать. После выбора не забудьте удалить все ненужные.

7. Регулярно проверяйте свой локальный компьютер на наличие вирусов.

Осуществление различных шагов по обеспечению безопасности сайта на WordPress – это хорошо, но и за компьютером необходимо следить. У вас должен быть установлен постоянно обновляемый антивирус. В противном случае, вы рискуете заразить ваш веб-сайт, загрузив на него вирусные файлы.

8. Делайте резервные копии сайта.

Не все атаки злоумышленников возможно предупредить, но всего лишь одна успешная атака может уничтожить все усилия по работе над вашим сайтом. Советуем делать регулярные резервные копии веб-сайта. Многие хостинговые компании предоставляют опцию серверных резервных копий и в случае чего, вы сможете восстановить сайт из копии, которая доступна на сервере.

Но рекомендуем не ограничиваться такими серверными резервными копиями, поскольку важно позаботиться о бекапах и с вашей стороны. Вы можете вручную создавать копии вашего сайта с определенной периодичностью или перед важными обновлениями, но также существует ряд плагинов, которые помогут автоматически создавать копии WordPress. Вы можете ознакомиться с различными вариантами здесь: wordpress.org/plugins/tags/backup

Установив плагин WordPress Database Backup, вы дополнительно сможете обезопасить базу данных вашего сайта. Настройки плагина позволяют установить опцию ежедневной отправки резервной копии базы данных на ваш контактный почтовый ящик.

9. Используйте защищенное соединение.

Если вы предпочитаете загружать ваши файлы с помощью FTP-клиента, используйте защищенный протокол соединения к серверу SFTP.

10. Создайте .htaccess файл.

.htaccess файл — это главный конфигурационный файл веб-сервера, который находится в корневой папке вашего веб-сайта. Если у вас нет этого файла, просто создайте его с помощью текстового редактора. Расширения у файла нет, поэтому вам достаточно будет назвать новый файл .htaccess.

Это вид стандартного WordPress файл .htaccess:

Важно: Все изменения в .htaccess необходимо вносить только после #END WordPress.

Добавляя в этот файл различные вариации кода, можно значительно обезопасить ваш сайт:

Код, блокирующий доступ к вашему wp-config.php файлу, который содержит важную информацию, необходимую для соединения к серверу MySQL и базе данных:

order allow, deny
deny from all

Код, который ограничит доступ к самому .htaccess файлу:

order allow, deny
deny from all

Таким же образом можно защитить любой другой файл, просто заменив в коде «.htaccess» на название необходимого файла.

Код, который ограничивает доступ пользователей с определенным IP-адресом к вашему сайту:

order allow,deny
allow from all
deny from X.X.X.X

Так вы можете запретить доступ подозрительных пользователей, спамеров и ботов, поскольку их IP-адреса часто повторяются. Тем самым вы также снизите нагрузку на сервер.

Код, который дает доступ к вашему сайту только пользователям с определенным IP-адресом:

order deny,allow
deny from all
allow from X.X.X.X

Код, который ограничивает доступ к админ-панели управления вашего сайта (это удобно, если у вас статический IP-адрес, и вы можете установить доступ только для себя):

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName «Access Control»
AuthType Basic
order deny, allow
deny from all
allow from X.X.X.X

Код, запрещающий отслеживание HTTP заголовков:

RewriteEngine On
RewriteCond % ^TRACE
RewriteRule .* — [F]

Код, защищающий от SQL-инъекций – самый распространенный вид атак на WordPress сайты:

RewriteCond % (\ |%3E) [NC, OR]
RewriteCond % GLOBALS(=|\[|\%[0 — 9A-Z]<0, 2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0 — 9A-Z] <0,2>)
RewriteRule ^(.*)$ index.php [F.L]

Код, который не даст просмотреть папки на вашем сервере, набрав их полный путь:

Например, набрав в браузере http://yourdomain.com/wp-includes, вы увидите всё содержимое папки «wp-includes», что, конечно же, не является безопасным. С этим кодом пользователи увидят ответ от сервера — 403 Forbidden.

Альтернативным методом скрытия подпапок, является создание пустого index.php файла в каждой директории. Таким образом, при открытии http://yourdomain.com/wp-includes браузер отобразит пустую страницу.

Код, который защищает от использования XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST:

Options +FollowSymLinks
RewriteEngine On
RewriteCond % (\ |%3E) [NC,OR]
RewriteCond % GLOBALS(=|\[|\%[0-9A-Z]<0,2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0-9A-Z]<0,2>)
RewriteRule ^(.*)$ index.php [F,L]

Для этой же цели можно использовать ряд WordPress плагинов, которые вы сможете найти здесь: wordpress.org/plugins/tags/xss

Код, защищающий от хотлинкинга:

RewriteEngine On
RewriteCond % !^http://(.+\.)?yourdomain\.com/ [NC]
RewriteCond % !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Хотлинкинг – это вставка изображения с вашего сервера на чужой сайт\блог. Трафик же при этом идет непосредственно на ваш сервер.

При помощи кода, указанного выше, вы можете заставить сервер проверить, откуда именно пришел запрос: если со страниц вашего веб-сайта, то сервер отдает изображение пользователю без проблем; если же с чужого веб-сайта – то показывает изображение с ошибкой.

11. Измените префикс таблиц базы данных.

Защита WordPress от хакеров также усилится, если убрать первоначальный префикс wp_ — это усложнит поиск для злоумышленников. Рассмотрим несколько способов:

Способ 1 – Подходит для новых установок через Softaculous
Если ваш хостинг-провайдер предоставляет вам возможность использования скрипта Softaculous для установки WordPress, то изменить префикс вы можете во время первоначальной установки: в секции Advanced Options вам необходимо будет внести требуемые изменения.

Способ 2 – Для уже работающих сайтов и свежих установок WordPress
Если ваш WordPress давно установлен и сайт работает, то вы можете поменять префикс базы данных с помощью программы phpMyAdmin.

Топ-пост этого месяца:  После обновления Telegram стал принимать платежи

Выберите необходимую базу данных из списка и сделайте следующий запрос к базе данных:

RENAME table `wp_commentmeta` TO `newprefix_commentmeta`;
RENAME table `wp_comments` TO `newprefix_comments`;
RENAME table `wp_links` TO `newprefix_links`;
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

где «newprefix_» необходимо заменить на новый префикс, который вы хотите использовать вместо префикса «wp_».

После этого вы увидите новый префикс в таблицах базы данных:

Чтобы убедиться, что все изменения прошли успешно и префикс wp_ больше не используется в таблице _options и _usermeta, вам необходимо будет сделать еще один запрос к базе данных:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE ‘%wp_%’

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE ‘%wp_%’

В результате вы можете найти ряд префиксов, которые вам необходимо будет переименовать вручную с помощью кнопки Изменить:

Количество изменений, которые вам необходимо будет внести, может различаться. Но все префиксы wp_ вы должны изменить на ваш новый префикс для нормального функционирования веб-сайта.

После этого не забудьте также внести изменения префикса в wp-config.php файле:

Вы также можете использовать специальные плагины для изменения префикса базы данных: Change DB prefix или Change table prefix.

12. Ограничивайте количество попыток доступа.

Чаще всего злоумышленники делают огромное количество попыток входа на ваш сайт, подбирая пароль. Вы можете настроить систему таким образом, чтобы IP-адрес был заблокирован на несколько часов после определенного количества неудавшихся попыток входа.

Для этого вы можете использовать дополнительные плагины, например, Login LockDown или Limit Login Attempts. В настройках этих плагинов, вы можете самостоятельно установить количество попыток входа и время блокировки.

Дополнительно существует возможность убрать отображение сообщения о том, что введенный логин и пароль неверен. Ведь это тоже информация, которая может помочь злоумышленнику.

Чтобы убрать вывод этого сообщения, необходимо открыть файл functions.php, расположенный в папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_WordPress) и добавить такой код:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));

13. Удалите readme.html и license.txt.

Файлы readme.html и license.txt присутствуют в корневой папке любой установки WordPress. Вам эти файлы ни к чему, а хакерам они могут облечить их злодеяния. Например, чтобы выяснить текущую версию вашего WordPress и много чего другого полезного для взлома веб-сайта. Рекомендуем удалить их сразу же после установки WordPress.

14. Используйте SSL-сертификат.

Для передачи защищенной информации и конфиденциальности обмена данными, рекомендуем использовать SSL-протокол. Особенно это актуально для интернет-магазинов, если вы не хотите, чтобы личные данные о ваших клиентах передавалась незащищенным путем.

Прежде всего вам необходимо будет приобрести SSL-сертификат и установить его для вашего доменного имени.

После этого вы сможете установить обязательное использование SSL-протокола при входе в панель управления вашим сайтом. Для этого откройте wp-config.php файл, расположенный в корневой папке вашего веб-сайта, и добавьте следующую строку:
define(‘FORCE_SSL_ADMIN’, true);

15. Измените файл wp-config.php.

Добавив такой код в wp-config.php файл, вы так же сможете укрепить защиту вашего веб-сайта:

Ограничение на изменения темы и плагинов:
define( ‘DISALLOW_FILE_EDIT’, true );

Отключение возможности установки и удаления плагинов:
define( ‘DISALLOW_FILE_MODS’, true );

Добавление salt-ключей или так называемых ключей безопасности: сначала необходимо будет найти такие строки в wp-config.php файле:

Вы увидите, что ключи уже установлены и их можно поменять. Либо вы увидите строки такого типа: ‘put your unique phrase here’, что говорит о том, что ключи пока не установлены:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the <@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service>
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

Просто перейдите по ссылке api.wordpress.org/secret-key/1.1/salt/, где будут сгенерированны новые ключи. Скопируйте их и вставьте в wp-config.php файл.

Такие salt-ключи используются для усиления защищенности информации, хранящейся в cookie пользователей. Они усложняют процесс взлома пользовательских паролей.

16. Используйте двухфакторную аутентификацию учетных записей.

Для усиления безопасности ваших паролей все чаще используется метод нескольких видов аутентификации. После того, как вы вводите пароль на сайте, вам высылается запрос на новый одноразовый пароль, который вы получаете на контактный номер телефона или электронную почту (возможен переход по определенной ссылке из письма). Поэтому даже если ваш основной пароль был взломан, хакеру не удастся войти в аккаунт без доступа к вашему телефону или электронной почте.

Одни из самых популярных плагинов двухфакторной верификации WordPress – это Google Authenticator и Clef Two-Factor Authentication.

17. Используйте плагины, обеспечивающие безопасность.

Помимо всех перечисленных способов обезопасить свой веб-сайт, существует так же большое количество специальных плагинов, разработанных для WordPress. Вы можете найти их здесь: wordpress.org/plugins/tags/security

О некоторых плагинах хочется упомянуть отдельно:

Это плагин безопасности WordPress, который позволяет сканировать ваш веб-сайт с целью поисков вредоносного кода, брешей и лазеек, оставленных хакерами, показывая аналитику сайта и трафика в реальном времени. Также существует возможность настройки автоматического сканирования и многое другое.

Этот плагин проверяет ваш веб-сайт на различные уязвимости в безопасности и предлагает ряд методов по их устранению. Например, пароли, разные права доступа к файлам, защита баз данных, защита информации о версии WordPress, защита администратора и прочее.

Этот плагин позволяет обезопасить пользовательские аккаунты и логины, базы данных и файловую систему, предотвратить брутфорс атаки (атаки, связанные с подбором пароля), сканировать сайт и прочее.

Также рекомендуем плагин для защиты админки на WordPress LoginLockDown, который защищает от подбора пароля и логина.

Как бы грустно это ни звучало, но защита WordPress — вещь сложная, и описанные в этой статье способы не гарантируют на 100%, что ваш сайт будет полностью защищен от каких-либо действий мошенников. Однако, пренебрегать ими не стоит, так как они значительно уменьшат возможность взлома сайта злоумышленниками.

Читайте также другие статьи по теме WordPress:

Как обеспечить безопасность сайта на WordPress

Неважно, сколько работы вы потратили на создание своего сайта, он всегда может оказаться в опасности, даже если вы сами, возможно, не сделали ничего плохого. Это Интернет, и это реалии жизни.

Но большинство угроз можно предотвратить, если вы просто потратите немного времени на эти 10 простых шагов, для того, чтобы обезопасить свой сайт на WordPress.

10 шагов на пути к безопасности

Безопасность сайта, это то, чем нужно постоянно заниматься. Но это не значит, что вы должны каждый день заниматься ею. Достаточно, один раз настроить свой сайт, и потом, время от времени, следить за ним.

В чем-то, сайт похож на организм. Поражая всего одну часть сайта, злоумышленники (вирусы, бактерии), поразят весь сайт. Защита каждой из этих отдельных ключевых элементов, и составляет комплексную защиту вашего сайта. И вот эти ключевые шаги, которые вы должны делать.

1. Регулярно обновляйте WordPress

С каждым новым обновлением, сам WordPress улучшается, и его безопасность тоже улучшается. Многие ошибки и уязвимости исправляются каждый раз, когда выходит новая версия. Кроме того, если обнаружена какая-либо особо опасная уязвимость, ребята из WordPress сразу же позаботятся об этом и быстро создадут новую, безопасную версию. Если вы не обновляетесь, вы рискуете.

Чтобы обновить WordPress, вам сначала нужно перейти на свою панель инструментов. В верхней части страницы вы увидите объявление каждый раз, когда выходит новая версия. Нажмите, чтобы обновить, а затем нажмите синюю кнопку «Обновить сейчас». Это займет всего несколько секунд.

2.Обновите свои темы и плагины.

То же самое касается плагинов и тем. Вы должны обновить текущую тему и плагины, которые вы установили на своем сайте. Это поможет избежать уязвимостей, ошибок и потенциальных точек нарушения безопасности.

Как и в большинстве других программных продуктов, в плагинах, время от времени обнаруживают дыры в безопасности. Например, в прошлом плагины, такие как Ninja Forms и WooCommerce, были поражены довольно неприятными проблемами.

Итак, как обновить свои темы и плагины?

Начнем с плагинов. Перейдите в раздел Плагины / Установленные плагины; появится список всех ваших плагинов. Если какой-либо плагин нуждается в обновлении, WordPress сообщит вам об этом:

Например, на SEO плагин Yoast, который у меня стоит, вышло обновление. И все, что мне нужно сделать, чтобы его обновить, это нажать «обновить сейчас» под ним, и спустя буквально несколько секунд, он обновится.

Чтобы обновить свою тему, перейдите в «Внешний вид / Темы», и вы увидите все установленные вами темы. Устаревшие будут отмечены так же, как и плагины. Просто нажмите «Обновить сейчас».

Помимо обновления всех тем и плагинов, нужно удалить все темы и плагины, которые вы не используете в данный момент. Это просто лишний вес. Считайте это бонусным советом.

3. Регулярно создавайте резервную копию своего сайта

Вам необходимо постоянно создавать резервные копии своего сайта. Один неправильно установленный плагин, одна внезапная хакерская атака, вполне может привести к сбою всего сайта. И причин, которые могут привести к сбою, который нарушит работу всего сайта – тысячи, а может и больше.

Мне самому уже приходилось восстанавливать сайт из резервной копии, и это именно то, что может спасти вас от потери вашего сайта. Резервное копирование вашего сайта связано с созданием копии всех данных сайта и его безопасным хранением. Таким образом, вы можете восстановить сайт, если произойдет что-то плохое.

Есть различные методы резервного копирования, как платные, так и бесплатные. Например, у моего хостинг провайдера, уже есть автоматическое резервное копирование. Но можно установить и плагин. Есть как платные решения, так и бесплатные. Вот например, одно из бесплатных решений – плагин UpdraftPlus WordPress Backup Plugin

4. Ограничьте попытки входа и часто меняйте свой пароль.

Не позволяйте вашей форме для входа, разрешать неограниченный ввод имени пользователя и пароля, потому что это именно то, что помогает хакеру добиться успеха. Если вы позволите им пробовать вводить новые логины и пароли бесконечное количество раз, то в конечном итоге, злоумышленники откроют вашу админку. Ограничение количества доступных попыток — это первое, что вы должны сделать.

Вы можете использовать специальные плагины, для ограничения возможных попыток входа в систему. Есть два очень популярных и при этом, бесплатных решения: Login LockDown и WP Limit Login Attempts

Кроме того, часто изменяя свои пароли, вы также уменьшаете шансы хакера взломать ваш сайт. Хотя, «часто» я не имею в виду каждый день … раз в 2-3 месяца было бы достаточно.

5. Установите firewall (брандмауэр)

Еще один из советов по безопасности WordPress касается установки файервола.

На ваш компьютер

Брандмауэры обычно защищают ваш компьютер от различных онлайн-угроз. Таким образом, любая подозрительная активность, которая попытается сделать не то, что надо, будет поставлена ​​под сомнение ей будет отказано в доступе к системе.

Это не имеет никакого отношения к вашему сайту WordPress, но установка брандмауэра на ваш компьютер, по-прежнему стоит усилий по одной важной причине:

  • Вы используете свой компьютер для подключения к административной панели вашего сайта. Таким образом, если ваш собственный компьютер будет взломан, ваше подключение к вашему сайту, тоже может оказаться под угрозой.

Есть несколько брандмауэров, которые вы можете использовать. Платные: Bitdefender Internet Security, Kaspersky Internet Security, Norton Security Standard. Бесплатные: TinyWall и ZoneAlarm Free Firewall

На вашем сайте WordPress

Помимо установки брандмауэра на вашем компьютере, вы можете установить файервол прямо на свой сайт WordPress. Этот брандмауэр защитит ваш сайт от вирусов, вредоносных программ, хакерских атак и т.д.

Для защиты сайта, вы можете использовать бесплатные плагины файерволы: Wordfence Security – Firewall & Malware Scan и iThemes Security (formerly Better WP Security)

6. Ограничьте доступ пользователей к вашему сайту

Если вы не единственный пользователь, который имеет доступ к вашему сайту, будьте осторожны при добавлении новых учетных записей пользователей. Вы должны держать все под контролем и вы должны максимально возможно ограничить доступ к вашему сайту пользователей, которые в этом не нуждаются.

Если у вас много пользователей, вы можете ограничить их функции и разрешения. Они должны иметь доступ только к тем функциям, которые необходимы для выполнения ими своей работы.

Использование сильных паролей, может помочь вам в этой ситуации. Да, по умолчанию, WordPress рекомендует сильный пароль, но он не заставит вас изменить его, если вы выбираете слабый. Плагин Force Strong Passwords

Исправит это. Он не даст установить вашим пользователям, слабый пароль. По сути, это ваш единственный способ убедиться, что они используют надежные пароли, также, как и вы.

7. Переименуйте свой логин и адрес входа.

Когда вы ставите WordPress на свой сайт, логин по умолчанию, дается admin. Вы должны изменить его на такой логин, который не смогут подобрать злоумышленники. Для этого, добавьте новую учетную запись, дайте на эту учетную запись права администратора. Затем, войдя под новой учеткой, удалите пользователя admin.

Кроме того, для написания статей, желательно ввести еще одну учетную запись. Дело в том, что добавляя статьи с админской учетной записью, у вас может произойти утечка вашего логина.

По умолчанию URL-адрес, который вы используете для входа в панель управления, — это wp-login.php или wp-admin, добавленный после основного URL вашего сайта. Например,YOURSITE.com/wp-login.php Если вы измените этот URL-адрес, вы уменьшите шансы взлома вашего сайта. Угадать адрес URL который вы задаете сами, является более сложной задачей для хакеров.

Плагин IThemes Security, может сделать такое. Например, ваш URL-адрес для входа в панель управления, может превратиться во что-то вроде YOURSITE.com/I_love_my_site.

Так же я уже писал про защиту админки в этой статье.

8. Включите проверку безопасности

С помощью специальных программ, вы должны сканировать ваш сайт в поисках чего-то подозрительного. Если что-то будет найдено, оно будет немедленно удалено. Эти сканеры работают так же, как антивирусы. Для простого и доступного решения вы можете использовать плагин Jetpack. Кроме него, вы можете использовать Sucuri SiteCheck.

9. Используйте SSL-сертификаты

SSL (Secure Socket Layer) – протокол, который позволяет шифровать все подключения к сайту. То есть, он будет защищать подключения всех посетителей вашего сайта, включая защиту подключения самого вебмастера. SSL делает передачу данных между браузером пользователя и сервером безопасным. Существует три способа получить сертификат SSL:

  • a) Купить его у сторонней компании, такой как RapidSSL.
  • b) Подключить бесплатный сертификат Let’s Encrypt
  • c) Спросить у своего хостинг-провайдера. Зачастую, хостинг провайдеры предлагает установку SSL либо уже в составе выбранного вами тарифа, либо, могут предоставлять его в качестве недорогой дополнительной услуги.

Как правило, самый простой вариант, это заказать его напрямую у хостинг провайдера, поскольку в этом случае, всю техническую сторону, специалисты провайдера возьмут на себя.

Помимо непосредственно защиты, использование SSL позволит вам занимать более высокие позиции в поисковой выдаче Google, поскольку SSL является одним из факторов ранжирования сайтов у этого поисковика.

10. Защитите свой wp-config.php

Файл wp-config.php файл является одним из наиболее важных, и следовательно, одной из главных мишеней хакеров. Он содержит важные данные про весь ваш сайт WordPress. Технически, это ядро ​​вашего сайта WordPress. И если с ним случится что-то плохое, вы не сможете нормально использовать свой сайт.

Одна простая вещь, которую вы можете сделать, это взять файл wp-config.php и просто переместить его на один уровень выше вашего корневого каталога WordPress. Этот сайт не затронет ваш сайт WordPress, но хакеры больше не смогут его найти.

Правда этот прием работает не со всеми хостинг провайдерами. В этом случае, вам нужно будет проконсультироваться с вашей службой поддержки.

Вот и все. Теперь вы знаете 10 шагов, которые вам позволят значительно усилить защиту вашего сайта.

А какие еще шаги по защите сайта, вы знаете, какие из них реально используете? Расскажите об этом в комментариях.

Как защитить сайт на WordPress от взлома

Всем привет! Сегодня я расскажу о том, как защитить сайт на WordPress от взлома. Очень надеюсь, что эта статья поможет вам обезопасить свое творение и спать спокойно. К слову, если вы вдруг нашли какие-нибудь неточности или знаете крутые способы, как защитить сайт от взлома, милости прошу в комментарии.

Итак, что же нам необходимо предпринять, дабы обезопасить сайт и админку от посягательства злобных хакеров?

  • Изменить стандартный логин и пароль от админки.

Банальный, но крайне важный пункт. По умолчанию, у вас может быть создан логин admin, о котором знают все хакеры и подбирать пароли будут именно к нему. Чтобы такого не происходило, заходите в панель управления вашего хостинг-провайдера, переходите в базу MySQL, авторизуйтесь в phpMyAdmin, найдите таблицу базы, нажмите на wp_users. В строке admin нажмите изменить и впишите новый логин. Скрины не прикладываю, как показала практика расположение может отличаться и я вас только больше запутаю.

Пароль от админки меняется из этой самой админки. Просто перейдите «Пользователи» — «Ваш профиль» и пролистайте вниз. Там увидите необходимые поля и дальше уже следуйте подсказкам системы.

Старайтесь раз в полтора – два месяца менять пароль.

  • Поставьте плагин, ограничивающий количество попыток входа в админку.

Чтобы хакеры не могли заняться перебором ваших паролей, стоит установить плагин Login LockDown или Limit Login Attempts. В настройках выставляем количество попыток ввода логина и пароля, а так же время, на которое будет заблокирована попытка повторного входа в систему.

  • Установите плагин для защиты вашей базы.

Установите плагин WP Database Backup – он позволяет делать резервные копии вашей базы на случай ЧП. Лично я делаю дополнительные резервные копии 1-го числа каждого месяца и скидываю их себе на флешку и переносной жесткий диск.

  • Измените логин и пароль для вашей учетной записи хостинг-провайдера.

Даже потрать вы кучу времени на защиту админки сайта, если взломают личный кабинет хостинг-провайдера все труды пойдут насмарку.

Если ваш IP статичен, можно поставить вход только по нему. Если нет — настройте двухфакторную аутентификацию для входа.

  • Удалите файлы readme.html и license.txt.

Зайдите в корень вашего сайта, найдите там файлы readme.html и license.txt и удалите их. Лично я на всякий случай сделал копии к себе на компьютер, но они так и не пригодились.

  • Проверяйте компьютер на вирусы

Иногда вирусы приходят как раз с компьютера. Так что регулярно проверяйте его антивирусом.

  • Своевременно обновляйте плагины и версию движка WordPress.

При обновлении плагинов и движка часто закрывают некоторые дыры в защите.

Никогда не скачивайте плагины и темы из непроверенных источников, они могут содержать вредоносный код!

  • Не используйте FTP.

Это соединение не защищено. Используйте только SFTP соединение.

  • Уберите возможность регистрации пользователей.

Для этого перейдите в «Настройки» — «Общие» и уберите галочку «Любой может зарегистрироваться».

  • Сделайте двухфакторную аутентификацию для входа в админку.
  • Проверьте видимость файлов и плагинов.

Попробуйте набрать в адресной строке http://ваш блог/wp-content/plugins/ или http://ваш блог/wp-content/. Если у вас открылись файлы или какие-нибудь папки, необходимо в каждой из директорий создать пустой файл index.php. Файлик создается в любом текстовом редакторе, после чего сохраняете его и меняете расширение. Затем проверяете. Если все хорошо, должны открыться пустые страницы.

Вот такие вот шаги. Выполнив все эти рекомендации вы защитите свой блог. Не на 100% конечно, но просто так с наскока его будет уже не взять. Для тех, кто хочет подойти к теме защиты сайта более обстоятельно и готов вложить в это деньги, могу предложить приобрести вот этот видеокурс – Тотальная защита WordPress от Александра Борисова .

На этом у меня все. Буду рад, если в комментариях вы напишите, какие средства используете для защиты своих детищ. Может даже добавлю их в список. Я же прощаюсь с вами и до встречи в следующих статьях!

Защита WordPress от взлома

Дата публикации: 2020-02-26

От автора: приветствую вас, уважаемые читатели сайта WebForMyself. В этой статье мы остановимся на некоторых моментах безопасности сайта WordPress и рассмотрим такую важную тему, как защита WordPress от взлома. Защита WordPress от взлома и спама – это, пожалуй, одни из важнейших вопросов при работе с сайтом.

Если вы поищите в сети, то найдете сотни статей с названием типа 10 шагов для защиты WordPress от взлома или как защитить сайт на WordPress. Статьи эти фактически копируют друг друга не только по содержанию, но зачастую даже и по названию. И это неудивительно, поскольку все советы, касающиеся безопасности WordPress и предотвращения взлома, по большому счету, универсальны и что-то новое здесь придумать сложно.

Собственно, данная статья вряд ли будет исключением, и если вы уже знакомы с подобными статьями, тогда вряд ли найдете в этой что-то новое для себя. Однако для новичков статья будет безусловно полезна, поскольку для нее я решил взять, на мой взгляд, один из наиболее важных советов, следуя которому вы сможете защитить сайт на WordPress и сделать его работу значительно безопаснее.

Итак, для начала следует понять, какими способами могут взломать сайт WordPress, ведь зная способ атаки, проще защититься от нее. Наиболее распространенным способом взлома WordPress, как и любого другого сайта, является подбор пароля администратора. Научный термин данного вида взлома носит название брутфорс (с английского – грубая сила).
Это действительно довольно образное название, поскольку суть метода заключается в простом переборе паролей до тех пор, пока не будет достигнут результат в виде пароля администратора. Метод прост, но весьма действенен. Как же защитить сайт на WordPress от метода «грубой силы»? Один из наиболее простых и действенных способов защиты является уникальный логин администратора.

Топ-пост этого месяца:  Администрирование Joomla

Все. Уже одно только это решение значительно усилит защиту WordPress от взлома. Дело в том, что при установке WordPress большинство пользователей не заморачиваются и в качестве логина администратора выбирают незамысловатый логин admin. Это ошибка. Потенциальные хакеры, конечно же, прекрасно осведомлены об этом и поэтому фактически полдела за них сделал уже администратор сайта, выбрав небезопасный логин. Взломщику остается лишь перебирать пароль для этого логина.

Бесплатный курс «Основы создания тем WordPress»

Изучите курс и узнайте, как создавать мультиязычные темы с нестандартной структурой страниц

Именно поэтому, если вы используете для администратора логин admin – срочно смените его. Как это сделать? На самом деле логин в WordPress изменить нельзя. Однако можно создать нового пользователя с правами администратора, а прежнего просто удалить. Перейдем в меню Пользователи – Добавить нового и регистрируем нового администратора. В качестве логина я для примера указал admin111, такой логин вполне безопасен. Можете придумать удобный для вас логин, но при его выборе старайтесь руководствоваться следующими правилами:

не используйте в качестве логина слова admin или administrator

логин не должен совпадать с именем, которое добавляется после поля E-mail

логин не должен совпадать с доменным именем сайта

При выборе пароля старайтесь руководствоваться одним простым правилом – это не должен быть пароль из словаря, т.е. в качестве пароля не стоит выбирать значимое слово. Также не стоит в качестве пароля выбирать дату рождения или просто набор цифр. Создаваемый пароль в идеале должен состоять не менее чем из шести символов и включать в себя маленькие и большие буквы, цифры и другие знаки.

После добавления нового администратора выйдем из админки и зайдем заново, но уже под новой админской учетной записью. Перейдем в раздел Все пользователи и удалим прежнюю администраторскую запись. При удалении все записи, сделанные прежним администратором, связываем с новым администратором.

Теперь у нас на сайте есть новый администратор, логин которого известен только вам.

Это значительно усилит защиту сайта на WordPress. Однако возможен вариант, когда логин все равно может стать известен потенциальному взломщику. В этом случае он может подбирать пароль к вашему логину. Чтобы вы были в курсе данной проблемы, рекомендую воспользоваться плагином Limit Login Attempts.

Плагин предельно прост в настройке и использовании, но вместе с тем очень полезен. Его основное предназначение – пресечь подбор пароля. Если для учетной записи подбирается пароль, тогда после трех неудачных попыток IP, с которого подбирается пароль, будет заблокирован и плагин уведомит вас о проблеме.

Это очень удобно, поскольку в этом случае вы будете знать, что логин уже дискредитирован и можете просто создать нового администратора с новым логином, удалив прежний.

Вот, собственно, все, что я хотел вам рассказать в данной статье. Это всего-навсего один совет по тому, как защитить WordPress от взлома, однако, как я отмечал выше, это один из наиболее важных советов. На этом я с вами прощаюсь. Удачи!

Бесплатный курс «Основы создания тем WordPress»

Изучите курс и узнайте, как создавать мультиязычные темы с нестандартной структурой страниц

Основы создания тем WordPress

Научитесь создавать мультиязычные темы с нестандартной структурой страниц

Защитите свой сайт на wordpress от вирусов, взлома, ddos-атак, воровства контента и других неприятных ситуаций

Ребята, скажите, Вас когда-нибудь взламывали, а быть может Ваш сайт подвергался хакерским атакам? Если да, то эта статья предназначена именно для Вас.

Сегодня дам вам ответы на вопрос, как защитить сайт на WordPress?

В предыдущих статьях я уже очень много рассказал о создании сайта на вордпресс, сейчас необходимо подумать и о его защите.

Хотели бы Вы иметь на своем сайте только уникальную информацию? Чтобы на других сайтах не встречалось информации, идентичной вашей? Задумывались ли Вы над защитой вашего контента от воровства? Да — тогда немедленно прочитайте данный материал.

На интернет-ресурсах чаще всего предусматривается защита от:

Защита от копирования текста

Как же защитить сайт от копирования текста? Это под силу каждому, в том числе и новичкам.

Но сначала определитесь, действительно ли Вы хотите ограничить доступ к копированию текстов. Зачастую многих пользователей это раздражает. Если Вы все-таки решились, установите плагин «WP Content Copy Protection». Для этого перейдите по ссылке .

Скачайте с сайта плагин, затем установите его и активируйте. Нет ничего сложного в настройках. В случае если Вы выбираете базовый, т.е бесплатный функционал, тогда Вам ничего не придется делать. Что же гарантирует установленный плагин:

  1. Защита контента от выделения и копирования;
  2. Невозможно сохранить рисунки;
  3. При нажатии правой кнопки мыши отсутствует контекстное меню;
  4. Блокировка комбинаций клавиш: CTRL+A, CTRL+C, CTRL+X, CTRL+S, CTRL+V.

Кроме того существуют и другие аналоги, подобные описанному выше плагину:

Лично я не сторонник защиты контента. Ведь много вполне нормальных адекватных читателей просто хотят скопировать инструкцию или интересную мысль, чтобы не забыть. А недобросовестные «воры» всё равно найдут способ скопировать.

Защита от вирусов

Инструменты по защите от вирусов делятся на два типа:

К внешним относят сервисы, которые постоянно проверяют ваши страницы на наличие чужих скриптов и вредоносных кодов. Один из таких сервисов « На замок ».

Принцип работы заключается в том, что робот индексирует сайт, запоминает для каждой страницы все ссылки, скрипты, определяет количество проиндексированных страниц. Все эти данные будут являться исходными, затем он проверяет сайт и сравнивает его с исходными данными.

В случае обнаружения вредоносных ссылок, скриптов Вы будете оповещены по смс или по почте после окончательной проверки. Далее вам предстоит убрать вредоносный код со страниц сайта. Проделать это можно самостоятельно или обратится за помощью к специалистам.

Сервис платный, но цены очень адекватные. Тариф «Начальный» — всего 25 рублей в месяц

К внутренним инструментам защиты относят такие плагины, как:

  • WordPress Antivirus;
  • Wordfence Security.

В WordPress Antivirus подвергаются сканированию файлы только активной темы, в то время как Wordfence Security сканирует все файлы в том числе и картинки.

Оба плагина работают одинаково, особых различий нет. Можете выбрать любой.

Принцип работы заключается в сканировании файлов на вредоносный код. В случае если плагин найдет что-то подозрительное, то Вы получите уведомление. У плагинов может встречаться ложное срабатывание, тогда Вам необходимо каждое предупреждение проверять вручную.

Данные плагины устанавливаются быстро и легко. Работа с ними доступна в разделе «Настройки». Предоставляется возможность ежедневно сканировать файлы, для этого установите флажок в поле «Daily malware scan». Для сканирования достаточно нажать на кнопку «Scan the theme templates now».

В поле «Email addres for notification» введите свою почту, для того чтобы получать оповещения о результатах проверки.

Лично я использую эти оба плагина, но в основном они в отключенном состоянии. Периодически включаю их и проверяю блог на вирусы.

В данный момент плагин как раз нашел что-то похожее на вирус. Сейчас посмотрю что это. Нашел я этот код в файле functions.php — к счастью ничего страшного в нем нет. Когда настраивал скрипт Лайнбро для продажи рекламных строчек на своем блоге, я добавил этот код для работы php кода в виджетах.

Защита от спама

Желаете ли Вы защитить свой сайт от спама? Если да, то смело используйте антиспам-плагины, ведь спам создает некоторые неудобства и многие болезненно реагируют на него.

Предлагаю установить плагин «Invisible capture». Плагин используют миллионы людей, к тому же для персонального использования он бесплатный.

Установка и активация стандартна и проста. После активации плагина перейдите в его настройки. Затем выберите действие, когда комментарий уже определен как спам:

  • Пометить как спам,
  • Модерировать комментарий,
  • Удалить комментарий.

После выбора действия нажмите на кнопку «Сохранить настройки».
Ну что же, Вы сумели настроить плагин, теперь вы надежно защищены от спама.

Помимо Invisible capturet имеются и аналоги:

  • Anti Spam Bee;
  • Spam Free WordPress;
  • WordPress Bruiser.

На своем блоге я использую невидимое поле для защиты от спама. Смысл в том, что читатели его не видят, а роботы-спамеры видят и заполняют на автомате. Если это поле заполнено, значит это спам. У плагина Invisible capture тот же принцип.

Защита от взлома и хакеров

Многие владельцы сайтов иногда сталкиваются со взломами и хакерскимми атаками. Если Ваш сайт / блог набирает популярность, то необходимо подумать о средствах защиты. Если Вы сможете обезопасить себя всеми возможными способами, тогда шанс взломать Вас будет намного ниже.

Существует несколько полезных способов обезопасить Ваш сайт:

  • Смените логин admin и придумайте новый пароль, желательно длинный и включающий буквы и цифры и даже знаки препинания. Как подобрать сложный пароль читайте здесь.
  • Установите плагин Login LockDown для ограничения попыток ввода пароля;
  • Удалите файлы readme.html и license.txt из корня сайта, так как они Вам не нужны, а их наличие поможет мошенникам узнать версию WordPress и много другого очень полезного.
  • Установите плагин wordpress database backup. Он необходим для создания резервных копий вашей базы данных.
  • Замените стандартный префикс базы данных «wp_» на любой другой (подробнее в этой статье)
  • Создавайте резервные копии Вашего сайта.
  • Установите плагин Anti-XSS attack, предназначенный для защиты от XSS-атак.

Защита от Ddos-атак

Приходилось ли Вам когда-нибудь бороться с ddos-атаками? Говорят, весьма неприятно.

Но можно всего этого избежать, если заранее позаботиться о средствах защиты.

Многие используют метод Блэкхолинг — метод, который позволяет защитить не только объект, который подвергается атаке, но и весь ресурс в целом.

Смысл в том, что весь поступающий на атакуемый ресурс трафик перенаправляется на несуществующий сервер, как принято называть, в «чёрную дыру».

Второй распространенный метод — Фильтрация. Суть данного метода заключается в том, что трафик фильтруется согласно правилам, которые задаются при установке фильтров.

В таком сложном вопросе лучше довериться специалисту. Один из таких помощников — StormWall.pro. Предлагаются тарифы, которые обеспечивают надежную защиту от Ddos-атак.

Защита от рекламы

Установите программы по ее блокировке. Ниже представлен список программ:

  • Adguard работает во всех браузерах;
  • Adblock Plus блокирует баннеры, всплывающие окна.

Эти программы, конечно же, защищают не конкретно ваш сайт от рекламы. Их действие распространяется на все страницы, открытые в браузере.

Если Вы желаете, чтобы ваш сайт работал в бесперебойном режиме, то вы просто обязаны использовать необходимые средства защиты.

Если Вам понравилась статья, рекомендуйте прочитать друзьям в социальных сетях, а также не забывайте подписываться на обновления блога.

Как защитить от взлома файлы сайта на WordPress — важные правила…

Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками))

…перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт…

А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога…

Конечно, стопроцентной защиты (как и ничего 100%, впрочем) не существует, но, однако, процентность взлома блога должна быть как можно ниже и к этому — нужно стремиться стремглав) А посему всякая информация безопасности интернет-ресурсов лишней не бывает.

некоторые правила безопасности блога на WordPress

Новичкам рекомендую перво-наперво, конечно же, установить плагин iThemes Security (Better WP Security) в интернет много информации относительно его настроек — впрочем, вот некоторые из них — взгляните Как изменить url страницы админпанели этим вы скроете адрес (ссылку) на страничку «входа», о котором будете знать только вы!

И более общая информация Better WP Security

К стати же — плагин замечательным образом настраивается на сохранения копий Базы Данных: по дням и т. п.

Коли есть новички, то вам замечательным образом поможет избежать многих нелепых начальных ошибок да и сохранить массу полезнейшего времени вот этот пост необходимые настройки сайта

Я сейчас не стану говорить о пользе/не пользе статических и динамических ip-адресов, с ними разберётесь постепенно, так сказать, в процессе личной практики… )

А пока, настоятельно предлагаю поближе познакомиться с вашим хостингом !! — рекомендую написать в поддержку, чтобы они разъяснили настоящие возможности вашего аккаунта, а в том числе и возможные вариации защиты.

Всякий приличный хостер (группа поддержки — Support)) обязательно предложат пояснительное письмо.

…стоит поинтересоваться у поддержки, есть ли возможность установить двухфакторную аутентификацию при заходе к себе во владения…

Подобный принцип работы наглядно демонстрируется, к примеру, в Google — когда добавляете аккаунт требуется подтверждение по SMS.

Что жж, пока ждёте ответ хосто-братьев, как правило, нерасторопной тех-поддержки… времени не теряйте:

попристальнее изучите регулировки панели управления хостом

Будет нелишним отключить доступ по FTP, ну или как-то это дело регулировать: когда хостомеханика сайта не требуется, вряд ли «включенный доступ» оправдан, — если у вас динамический ip и вы не можете запретить вход в аккаунт всем ип адресам, окромя вашего…

Ну и касаемо этой темы, вероятно, будет небесполезно отключить возможность редактирования файлов корня шаблона из админки.

Ведь как, когда уже сайт боле-менее настроен и работает, доступ к регулировкам файлов только в тягость личным нервам… К слову, на сайтах под моим управлением «редактирование из консоли» отключено всегда!

Открываете файл wp-config.php что в корне сайта (не темы) и куда-то ближе книзу… рядышком со строкой «пожелания удачи» от разработчиков, дописываете строки данные ниже:

Ну и кому нужно, там же можно запретить автоматическое обновление системных файлов WordPress. Это полезно !! — ко всем обновлениям нужно быть подготовленным.

Не подвергайте свой сайт тестированию cms разработчиков ! —

существуют так называемые «мажорные» и «минорные» обновления, попросту — важные и не очень важные, в которых осуществляется отлов и исправление ошибок обновлённого функционала текущей версии WordPress.

Посему логичнее обновить на уже «безошибочный» минорный вариант (хотя ошибки были и будут всегда) — однако, думаю, информация пригодится для личных практических знаний.

Итак, после использования файла wp-config.php для нашей же защиты, научимся:

как обезопасить файлы wp-config.php и .htaccess

После наших редакций конфигурационного файла открываем не менее легендарный файл .htaccess — в нём мы кстати защитим и сам файл конфигурации wp-config.php …

1 — код: защищаем файл конфигурации.

2 — код: защитим сам файл .htaccess — (один из вариантов) чтобы защитить от хакеров — их несанкционированного доступа — важнейший системный файл нашего сайта.

У которых статический ip — будет полезно защитить файл wp-login.php — страничку входа в админку.

запрет доступа к странице всех ip-адресов, кроме вашего: где ххх.ххх. ваш личный IP.

Ну а для тех, которые статическим айпи адресом пока ещё не обзавелись, постулат:

Поймите ! если у вас отсутствует возможность запретить доступ к администрированию ресурса всем, кроме своего IP адреса — это не значит плюнуть на защиту!

как обезопасить от мошенников медиа-папку uploads

…папка с картинками одно из уязвимых и дырявых мест корня сайта.

Внутри папки uploads создаём новый независимый файл .htaccess и прописываем в нём следующие кодированные строки (этими параметрами запретим выполнение сторонних скриптов и внешний доступ к папке uploads, а также исключим загрузку неизвестных файлов):

Позволим загрузку только лишь картинок определённого формата — пропишем следующие строки в созданный файл.

Как это работает: просто и замечательно… посмотрите на вторую строку (выделена жёлтый), видите. Это расширения файлов, которые разрешены к загрузке в папку (это коротко)…

Дополню, пожалуй, только тем, что вы можете на своё усмотрение добавить «разрешённое» расширение. Например, в этом случае будет целесообразно дописать и формат (или расширение, кому как удобнее) jpeg — попробуйте отредактировать сами…

А я покажу ещё один, на мой взгляд, симпатичный способ — кстати, не так давно на одном из сайтов закрыл огромную лазейку — прямо дыру ко взлому (к великой неожиданности администратора) но обо всём по порядку:

как защитить важные файлы ядра вордпресс и корня шаблона…

Поместите вот этот лихой файлик .htaccess в наиважнейшие папки своего сайта: это полезная заготовка и настраиваемый инструмент защиты в дальнейшем пути развития блога/сайта…

Права на запись можно задать и 444 — это в файловом менеджере… (Конечно же, не забывайте тестировать итог проделанных работ)

Итак — в папку темы поместите, скопировав, следующий чудо код… (замените .htaccess второй строки на имя другого защищаемого файла или оставьте как есть).

Выделенная строка 7 — как вы понимаете, обезопасит индексный файл (во многих темах он отвечает за формирование заглавной страницы сайта) — это очень важно!!

На одном из сайтов получилось так: подстроив кое-какие огрехи и убрав некоторые прорехи… Я решил для пущей строгости тестить далее…

…набираю в адресной строке браузера такой чудо-адресок:

Секунды соединения… ужас-интернет-коллапса… и — браузер преподнёс неожиданное окно, короче…

В самом верху красовалась строка гласившая о фатал еррор.

Чем это плохо !? — если у вас получается то же самое, взгляните на сообщение в вашем окне внимательнее.

Среди прочей тех-составляющей лабуды, более менее продвинутый пользователь, разглядит логин для входа в админку файлового менеджера — это очень и очень.

Взломщику останется только подобрать пароль — и ваш акк на хостинге открыт. О какой защите сайта или аккаунта файлового менеджера здесь можно толковать?

Не знаю, за все хостинги утверждать не берусь, но во многих — описанная выше строка имеет опасную информацию. Имейте ввиду это други.

А вообще — напоминаю, проконсультируйтесь в поддержке, имеет ли возможность ваш хостер предоставить вам двухфакторную авторизацию. На приличных хостах, этого дела хоть отбавляй)

Кстати, это одна из проверочек компетентности качества площадки хостинга, ибо как ни крути, а и хостер должен быть заинтересован в вашей защищённости. Реноме, знаете ли…

Вот ещё экзерсис:

…ради эксперимента уж коли коснулись защиты сайта, попробуйте прописать в адресной строке браузера, например так:

!! После прогрузки окно браузера должно быть пустым !! …и если у вас не так… …исправьте это!

В этих случаях, при адресном запросе файла, должна открываться пустая страничка! …ну, на худой конец, сообщение о том, что «…доступ к файлу ограничен администратором…»

Никакой технической «белиберды» понятной взломщику быть не должно! Это и будет одним из многих способов защиты сайта от взлома.

Добавьте в папки plugins (плагинов) и основную пользовательскую wp-content такой файлик:

Это почти пустой индексный файл — с расширением .php — имея его в нужных директориях, доступ к просмотру файлов будет запрещён — пустая беленькая страничка.

Не правда ли, очень философично и многозначительно — как картина белый квадрат.

Пусть взломщик наслаждается искусством… и парится.

Запись в фале лаконичная:

Не забудьте при тестировании директорий своего сайта поменять имя моего домена на свой)

А напоследок я спою вот о чём:

Внимательнее относитесь к скриптам из сети, коих сейчас достаточное разнообразие и, расширяя всевозможные сайтовые улучшали, избегайте необдуманной прописки кода в файлы своего сайта. Скрипт может содержать, мягко скажем, нежелательные «программки сканирования» и т. п. Бывает так, что автор, переопубликовавший какое-то полезное решение, ничего о вредоносном коде в скрипте и не подозревает!

!! потратьте несколько времени на проверку кодо-решения…

2: backup сайта и Базы Данных !! — и если мне нынче удастся кого-то заставить запомнить это важнейшее правило, уже будет здорово.

Вы должны довести свои действа до автоматической отработки: как только собираетесь вносить изменения в файлах системы — всегда перед этим делайте полный бекап сайта.

А сэкономленное время на всякие восстановления блогоресурса, целесообразнее потратить на полезные дела.

Материальный импульс этому напоминанию исключительно личный опыт…

Для тех , которые желают создать серьёзную веб площадку, приносящую автору не только удовольствие, но и заработок ! советую выкинуть из головы идею «бесплатного» — бесплатное, это проигрыш! А исключение, подтверждающее это правило, только одно: максимально бесплатно удастся создать площадку только в одном случае, если вы готовы к самоотверженному труду и стойкости во времени… работе…

Осторожнее относитесь к плагинам ! не устанавливайте непроверенные архивы…

Не пользуйтесь бесплатными темами (шаблонами) у которых нет явного авторства! но в избытке положительные отзывы: вся эта благодать, как правило, купленная декорация!!

не покупайтесь же, как индейцы, на бусы.

!! Поймите !! все перечисленные требования, есть средства защиты вашего сознания от обработки сетевых мошенников) и это ни чуть не менее важно самой защиты сайта.

Присматривайтесь к сайтам, на которых черпаете информацию: сайт должен быть живой, с ведущим автором или сетевым администратором, который охотно предоставляет информацию о себе и команде в сторонних социальных сетях.

Такие авторы всегда будут рады вам помочь как при знакомстве, так и в дальнейшем, ибо живой диалог обеим сторонам только на пользу!

И ещё: усвойте правило минусов «платного» — покупая какой-то плагин, шаблон… вы становитесь на вечный путь покупателя, ибо сиюминутные удобства крадут ваши личные знания!

А ведь только на личные же знания и до́лжно полагаться в сайтостроении, до и не только в веб индустрии.

Плюс платного в том, что, изучение материальной части по правилам создания сайтов, начинается от более верной стартовой точки профессионала, но не хаотично и разрозненно, а, зачастую, основываясь на ошибочной идее бесплатных проб и ошибок разработчиков…

Итог: главное без фанатизЬма защищайтесь…

Желаю вам удачного ведения дел в вашем бизнесе… )

А теперь самое время защититься и от себя! …чтобы при оказии самим-с не взламывать сайт свой… полезный менеджер для «незабывчивости» паролей. Рекомендую.

На этом у меня на сегодня решительно всё.

…а в комментариях давайте поделимся личными способами защиты… Всем будет полезно!!

А я ещё что-то найду для новичков: в общем у меня есть кое-что новенькое, но несколько сложновато… да и пока что тестирую лично-с. Так что нелишне будет подписаться))

…в обновлённом вордпресс 4.6… и т.д. стало крайне неудобно редактировать записи сайта — пропадают наработки, правки статей затираются…

Михаил ATs — владелец блога запросто с Вордпресс — в сети нтернет давным-давно.

. веб разработчик студии ATs media: помогу в создании, раскрутке, развитии и целенаправленном сопровождении твоего ресурса в сети. — заказы, вопросы. разработка.

Добавить комментарий