все о заработке в интернете
инфо-бизнесе с нуля, электронной коммерции
Мой профиль Вконтакте

10 способов защиты от взлома сайта WordPress в 2014 году

Всем привет. Сегодня решил немного отвлечься от темы заработка на своем блоге и рассмотреть такую тему, как защита от взлома, как это лучше сделать и на 100% обеспечить безопасность своего блога или сайта.

Почему решил это сделать? В моих предыдущих статьях, особенно про плагин Better Wp Security, получил много комментариев, в которых у людей возникали проблемы с использованием данного вида защиты с помощью плагина, т.к. он не очень однозначный. Поэтому используйте его с осторожностью.

В данной статье я расскажу о 10 основных способах защиты от взлома любого ресурса на WordPress даже без использования рекомендация Better WP  Security.

Вообще, любой взлом является противозаконным деянием. Если вы наберете в Google «защита WordPress», то вы увидите несколько миллионов результатов, которые показывают, что людей беспокоит вопрос защиты их блогов от несанкционированного проникновения.

Обратите внимание на следующие способы защиты от взлома блога WordPress.

защита от взлома

Защита от взлома: топ способы

1. Обновляйтесь до последней версии.

WordPress показывает вам в панели управления, когда есть соответствующая обновленная версия движка. Иногда многие из нас склонны игнорировать его, однако, эти обновления важны, потому что они содержат свежие исправления в системе безопасности.

 Не обновляя версию WordPress, вы делаете свой блог уязвимым.

2. Почаще меняйте пароль.

Этот пункт очень часто просто пропускают многие пользователи. Вы должны менять свой WP пароль, по крайней мере, два раза в месяц. Попробуйте сделать пароль трудным для взлома, включив в него буквы как верхнего, так и нижнего регистров, символы, заглавные буквы и цифры.

А здесь вы найдете еще несколько советов, как придумать хороший пароль.

Более того, если на одном блоге зарегистрировано несколько пользователей, то попросите их сделать тоже самое. Воздержитесь от использования имен, дат рождения, названий любимых фильмов и другое в качестве пароля.

Совсем недавно был опубликован отчем, в котором как раз говорилось о том, что самыми небезопасными являются пароли именно такого вида. Например, у меня пароль состоит из 30 символов.

Если вам трудно его придумать, то советую воспользоваться менеджером паролей. Классная штука.

3. Делайте еженедельное копирование.

Чтобы защита от взлома была надежной, у вас обязательно должна быть резервная копия всей базы данных WP до и после внесения изменений в нее. Вы можете сделать это либо вручную, или вы можете использовать специальные плагины, например, WP DB BackUp или BackupWordpress. Найти их вы можете у себя в админ панели блога в поиске плагинов.

А для того, чтобы вручную сделать резервную копию, то вам нужно зайти на свой хостинг, выбрать базы данных, зайти в панель базы данных и сделать ее экспорт.

14.02

14.021

14.022

Но также нам нужно сохранить все файлы. Для этого заходим на хостинг в файловый менеджер и копируем к себе на компьютер корневую папку со всеми файлами. Называться она может public.html или по-другому.

14.024

4. Защита от взлома с помощью плагина WP Security Scan

Это один из лучших доступных плагинов, которые помогают защититься от взлома.  Установите его и сканируйте ваш блог каждую неделю, как это делаю я. Сканер проверяет всю базу данных WP и сообщит вам, если найдет любые вредоносные коды или уязвимости. У вас появится сообщение «У вас установлена последняя стабильная версия WordPress» или  «У вас не установлена последняя стабильная версия WordPress» и будут перечислены на проблемы.

5. Измените имя пользователя

Имя пользователя, которое вы используете для входа админ-панель, должно отличаться от имени пользователя, которое отображается, когда вы публикуете запись.

14.025

Это необходимо, поскольку хакеры всегда будет сначала использовать ваше имя пользователя и пытаться расшифровать правильный пароль. Если имя пользователя отличается, то это затруднит процесс взлома пароля. А это нам и нужно.

Решение заключается в создании двух учетных записей администратора для Вашего пользования. Используйте один сделать бэкэнд деятельности и настройке по другую, которая будет отображаться на вашем блоге. Как и прежде, изменять пароли часто.

Как это сделать. Смотрите скриншот.

14.028

Имя пользователя должно отличаться от отображаемого.

Это были 5 топ способов защиты от взлома.  Теперь еще 5.

6. Не отображайте версию WordPress и плагинов

Никогда не показывайте, какие плагины вы используете или какая версия WP у вас стоит, потому что зная эти факты, взломать блог можно будет легче.

Чтобы закрыть версию от чужих глаз, нужно изменить вот такие строки в коде.

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

<meta name=”generator” content=”Powered by WordPress” />

Найти эти строчки можно в файле header.php: внешний вид – редактор.

Но прежде чем удалять эти строки, обязательно сделайте резервную копию базы данных и сайта, как написано выше!

Если этой строки у вас нет, то все нормально.

Для того, чтобы посмотреть список ваших плагинов, перейдите по следующему адресу: http://yoururl.com/wp-content/plugins или проверить http://yoururl.com/wp-content/

Замените yoururl.com реальной URL вашего сайта. Нажмите Enter и посмотрите, отображается ли список всех плагинов, которые у вас стоят. Если отображаются, то нужно это исправить, так как зная эту информацию, хакеры очень легко взломают сайт.  Как это сделать?

Зайдите в админ-панель блога в корневую папку и создайте файл .htaccess и вставите в него код:

# BEGIN WordPress

RewriteEngine On

RewriteBase /

RewriteCond %{REQUEST_FILENAME} !-f

RewriteCond %{REQUEST_FILENAME} !-d

RewriteRule . /index.php [L]

# Prevents directory listing

IndexIgnore *

# END WordPress

Сохраните файл, обновите браузер и обновите страницу плагинов. Теперь, если вы нажмете на http://yoururl.com/wp-content/, то должны увидеть белый экран.

7. Защита от взлома с помощью плагина  Login Lockdown

Если вы установите плагин Login Lockdown и если хакер пытается взломать пароль, то плагин отключит функцию входа на сайта и заблокирует IP-адрес , с которого хакер пытается взломать.

Но смотрите, не заблокируйте сами себя!

8. Используйте секретные ключи

Секретные ключи используются в файле WP-Config , который хранит каждую деталь, такие как имя и пароль базы данных MySQL. Вы можете ограничить доступ к этим файлам с помощью секретных ключей. Это ключи шифрования, которые защищают информацию в базе данных MySQL. Данные ключи очень длинные, сложные и выбираются случайно. Вы не должны запоминать их.

Некоторые примеры секретных ключей:

t`DK%X:>xy|e-Z (BXb/f (Ur`8#~UzUQG-^_Cs_GHs5U-&Wb?pgn^p8 (2@}IcnCa|’)

‘MGKi8Br (&{H*~&0s;{k0<S (O:+f#WM+q|npJ-+P;RDKT:~jrmgj#/- ,[hOBk!ry^')

'I6`V|mDZq21-J|ihb u^q0F }F_NUcy`l,=obGtq*p#Ybe4a31R,r=|n#=]@]c #’)

9. Ограничьте просмотр каталога файлов

Если хакеры имеют доступ к каталогу файлов вашего сайта, то они могут легко сделать копию структуры каталогов и использовать информацию для взлома.

Для отключения просмотра каталога файлов, откройте файл .htaccess в корневом каталоге и добавьте приведенный ниже код:

# protect wp-config.php

<files wp-config.php>

Order deny,allow

Deny from all

</files>

Этот код запретит любой доступ к файлу wp-config.php.

10. Запретите индексацию админ-панели

Ваша админ-панель содержит конфиденциальную информацию. Если поисковые роботы ее индексируют, то и автоматические боты будут сканировать и индексировать ее.

Как этого избежать? Создайте файл robots.txt в корневом каталоге и вставьте следующий код:

User-agent: *

Disallow: /cgi-bin

Disallow: /wp-admin

Disallow: /wp-includes

Disallow: /wp-content/plugins/

Disallow: /wp-content/cache/

Disallow: /wp-content/themes/

Disallow: */trackback/

Disallow: */feed/

Disallow: /*/feed/rss/$

Disallow: /category/*

После установки кода, поисковые роботы не будет индексировать эти страницы.

Вывод

Защита от взлома WordPress сайта крайне необходима сегодня. Большинство из нас просто не обращают на это внимание, или просто предполагают, что из блог надежно защищен. Но советую вам обязательно использовать вышеописанные действия как можно скорее.

Но обязательно делайте резервные копии всех файлов, прежде чем вносить какие-либо изменения!!!

Еще дополнительные статьи по этой теме:

1. Защита блога

2. Восстановление базы данных

На этом все. С уважением, Александр Пузатых

Понравилась статья? Поделитесь с друзьями!