Перед прочтением данной статьи вы должны четко понимать, что 100% гарантии безопасности вашего сайта (независимо от CMS) не может дать никто. Дело лишь за тем, сколько стоит информация на сайте. И если она стоит миллионы, для защиты сайта понадобится опытная команда программистов, а если несколько тысяч долларов, то следующие советы помогут здорово улучшить безопасность вашего Wordpress-сайта.
Внимание! Посмотрите основные правила безопасности, которые предназначены для большинства сайтов и не зависят от того, на каком движке они сделаны. Тем более в этой статье они не повторяются, т.к. в ней мы сосредоточились на особенностях Вордпресса.
Главное не забывайте все обновления, модули и т.д. скачивать только с оф.сайта.
Но не смотря на то, что вы этого не делаете, все равно компьютер надо регулярно проверять на вирусы и поддерживать антивирус в актуальном состоянии.
Источник статьи: https://ru.hostings.info/schools/bezopasnost-wordpress-saytov.html
Внимание! Посмотрите основные правила безопасности, которые предназначены для большинства сайтов и не зависят от того, на каком движке они сделаны. Тем более в этой статье они не повторяются, т.к. в ней мы сосредоточились на особенностях Вордпресса.
Как защитить WordPress от взлома?
1. Обновляйте движок.
Постоянно проверяйте обновления вашего WordPress, т.к. разработчики с помощью патчей устраняют уязвимости системы. Вот простой пример - хакер находит уязвимость в движке и взламывает его. Учитывая, что этот движок стоит на тысячах сайтов, то используя этот способ можно почти в автоматическом режиме взломать и остальные сайты. Сюда также можно добавить темы и плагины. Поэтому не ленитесь и обновляйте все, что можно обновить.Главное не забывайте все обновления, модули и т.д. скачивать только с оф.сайта.
2. Не используйте подозрительные плагины.
Не устанавливайте себе на сайт всякую чепуху. Сейчас появляется огромное количество горе-разработчиков, которые пишут различные плагины на тяп-ляп, или же с целью взломать сайты на WordPress намеренно внедряют в плагин вредоносный код. Потом такие “разработчики” будут требовать с вас денег или продавать конфиденциальную информацию с вашего сайта на черном рынке. Такие плагины имеют большое количество дыр в безопасности и являются лакомым кусочком для хакеров. Поэтому устанавливайте на свой сайт только те расширения, которые действительно нужны и смогут улучшить его. Смотрите отзывы об этих расширениях и проверяйте того, кто их разрабатывает.3. Используйте надежный хостинг.
Если смотреть на безопасность сайта в целом, то ее можно обозначить как связку CMS и ПО, которое установлено на сервере Вашего хостинг-провайдера. Да-да-да, именно это ПО тоже имеет дыры и его нужно постоянно обновлять. К сожалению, не все хостеры делают это. Также при DDoS-атаках на сайты, которые находятся на том же сервере, что и Ваш сайт, у плохого хостера будет долгое время недоступен и Ваш ресурс тоже. В общем выбирайте качественную хостинг-компанию с хорошими отзывами и большим количеством клиентов. На нашем сайте есть рейтинги, которые составлены под конкретные задачи сайта, найти их можно в футере.4. Установите надежные логин и пароль.
Не используйте логин admin, т.к. это помогает хакеру подобрать пароль к Вашей админке. Также следите за тем, чтобы пароль был сложным (используйте цифры, специальные символы, заглавные буквы). Не передавайте данные для авторизации в административную часть сайта не проверенным людям. К сожалению, на сегодняшний день очень много недобросовестных людей. Если нужно что-то настроить в админке сайта - ищите инструкции в сети или на оф.сайте CMS и сами это делайте. Это не сложно и не надо отмахиваться “я не программист”, тем более, что для изменения настроек в админке сайта не нужно быть программистом.5. Ограничьте количество попыток входа.
Если хакер осуществляет попытку взломать сайт путем подбора логина и пароля, то теоретически когда-нибудь он это сделает. Помешать этому можно путем ограничения попыток неверного ввода с одного IP-адреса. Для этого используют плагины Limit Login Attempts и Login LockDown. Главное сами не попадитесь на данное ограничение.6. Используйте надежные темы.
Перед установкой темы обязательно посмотрите кто ее сделал, старайтесь чтобы это была известная и опытная команда. Почитайте отзывы об этой теме и поспрашивайте пользователей сети, которые уже ее использовали, не возникало ли каких проблем с сайтом после установки темы, и как долго они ее используют. Также следует запретить редактирование файлов вашей темы из админ.панели. Это поможет в том случае, если хакер получит доступ к админке. Чтобы это сделать в файле wp-config.php добавляем следующее:define( 'DISALLOW_FILE_EDIT', true );
7. Измените ключи шифрования.
Следует поменять ключи шифрования, т.к. стандартные могут быть известны взломщикам. Для этого переходим на специальный сервис на официальном сайте WordPress и в свой wp-config.php вставляем значения указанных там переменных. Или же придумайте сами любые сочетания букв.8. Установите компоненты защиты.
Используйте следующие компоненты, которые помогут улучшить безопасность сайта на Wordpress:- Better WP Security - один из самых популярных плагинов по безопасности с мощным функционалом.
- WP Security Scan - проверяет множество параметров безопасности вашего сайта. Но обратите внимание на то, что в последний раз он был обновлен 4 года назад - потому это полезный плагин, но не последняя инстанция по закрытию “дыр” вашего сайта.
- WP Antivirus - постоянно сканирует файлы сайта на наличие взлома и при обнаружении присылает сообщение на имейл. Плагин тоже последний раз был обновлен 3 года назад. Мы с вами прекрасно знаем сколько вредоносных сигнатур создается каждую минуту и можем предположить сколько вирусов этот плагин не увидит.
- Sucuri Scanner - сканер сайта на наличие взлома и уязвимостей. Этот плагин еще поддерживается в актуальном состоянии и на момент написания статьи был обновлен 3 недели назад. Потому можно более-менее спокойно его использовать и доверять результатам его работы.
9. Перенесите wp-config.php.
Следует вынести этот файл за пределы папки public_html (или ее аналога, в которой установлен Wordpress), например поднять на один уровень вверх. О том как это сделать можно прочитать здесь.10. Заблокируйте админ.панель для чужих.
Сделайте так, чтобы пользоваться вашей админ.панелью могли только вы. Для этого блокируется доступ к папке wp-admin для всех, у кого IP-адрес отличается от вашего. Чтобы так сделать нужно добавить в эту папку файл .htaccess и добавить в него:где "xxx.xx.xxx.xx" - это IP-адрес, с которого можно зайти в админ-панель.order deny,allow
allow from xxx.xx.xxx.xx
deny from all
11. Установите нужные права на папки.
В классическом варианте нужно установить на все папки - 755, на все файлы - 644. Иногда на папку wp-content ставят права 777, но лучше - 755 (хотя это, как правило, запрещает добавлять контент для сторонних пользователей).12. Удаляйте вирусы со своего компьютера.
Не заходите на подозрительные сайты, не скачивайте подозрительное ПО и не открывайте письма от подозрительных отправителей.Но не смотря на то, что вы этого не делаете, все равно компьютер надо регулярно проверять на вирусы и поддерживать антивирус в актуальном состоянии.
Источник статьи: https://ru.hostings.info/schools/bezopasnost-wordpress-saytov.html