Будь в курсе
Первая и самая основная мера для защиты вашей установки WordPress — поддерживать ее до последней версии. Это помогает исправлять уязвимости безопасности. Процесс обновления WordPress прост и быстр.
С выпуском каждой новой версии WordPress информация об исправлении ошибок безопасности становится общедоступной. Панель управления WordPress обновляется автоматически, или можно выполнить обновление вручную, перезаписав старые файлы недавно загруженными файлами с веб-сайта. Устаревшие старые версии WordPress не имеют доступа к исправлениям безопасности. Вы не хотите пропустить расширенные функции и возможности.
То же самое относится и к плагинам. Всякий раз, когда доступна новая версия плагина, обязательно обновляйте. Если вы не используете ни один из установленных плагинов, лучше удалить их с панели инструментов.
Настройте свой логин
Имя пользователя по умолчанию для установки WordPress всегда «admin». Если вы не измените имя пользователя, вы дадите хакерам преимущество — им нужно только взломать ваш пароль, чтобы получить доступ к вашей панели. Вы можете использовать следующие шаги для создания нового имени пользователя:
- Сначала войдите под своим логином. Когда вы находитесь в панели управления WordPress, нажмите «Пользователи»> «Добавить новый».
- Введите новое имя и предоставьте ему полный административный доступ.
- Выйдите из системы, а затем войдите в систему с использованием только что созданной учетной записи администратора.
- Убедитесь, что все предыдущие посты и страницы имеют авторство для новой учетной записи. Это сделано для того, чтобы все ваши сообщения и страницы не удалялись при удалении учетной записи администратора, а просто переносились на другое имя пользователя.
- Удалить исходную учетную запись администратора.
Рекомендуется использовать другое имя пользователя для создания новых сообщений и страниц со статусом Автор. Используйте вашу учетную запись администратора, когда вам нужно обновить WordPress и плагины.
Пароль, который вы устанавливаете, должен быть сложным, состоять из букв, цифр и символов. Использование надежного пароля необходимо во всех точках входа для полной защиты вашего сайта.
Скрыть версию WordPress
Устаревшие версии WordPress проще взломать, а знание номера версии стимулирует хакеров. Даже если по какой-то причине вы используете более старую версию WordPress, вам не нужно рекламировать этот факт.
Версия WordPress по умолчанию отображается в блоге и видна общественности. Есть плагины, которые удаляют версию WordPress из вашего исходного кода. Одним из таких плагинов является Sucuri Security , другим — Secure WordPress , оба доступны в репозитории плагинов WordPress. Хакеры угадывают!
Если вы предпочитаете сводить использование плагинов к минимуму, вы можете включить строку кода в файл functions.php
/ * Удалить номер версии WordPress * / function nm_remove_wp_version () { возвращение ''; } add_filter ('the_generator', 'nm_remove_wp_version');
Приведенный выше код гарантирует полное удаление номера версии WordPress отовсюду, будь то заголовочный файл или RSS-каналы.
Ограничить права доступа к файлам
Права доступа к файлам должны быть ограничены во избежание нарушения безопасности вашего сайта. Права доступа к файлам должны быть минимальными.
Установка значения CHMOD для 755 для папок означает, что только владелец имеет права на запись, а другие будут иметь права на чтение и выполнение. Установка значения CHMOD для файлов 644 означает, что владельцы имеют права на чтение и запись, а другие могут только читать файлы.
Резервный
Вы должны хранить резервные копии всех важных файлов. Сохранение резервной копии данных и файлов WordPress может сыграть решающую роль в чрезвычайных ситуациях. Резервные копии могут положить конец многим вашим неприятностям и успокоить ваш разум.
WP-DB Manager — хороший вариант для резервного копирования всего сайта WordPress. Варианты резервного копирования в Интернете также являются хорошим выбором. Регулярное резервное копирование гарантирует, что ваш сайт будет восстановлен в минимально возможное время на случай, если он будет скомпрометирован. WordPress Database Backup — это еще один плагин, который можно использовать как хороший вариант. Это позволяет сохранить базу данных на сервере или загрузить ее на свой компьютер. Вы также можете отправить резервную копию по электронной почте на выбранный вами идентификатор электронной почты. Вы можете запланировать резервное копирование ежечасно, ежедневно или еженедельно.
Ограничить доступ к вашим плагинам
Вы должны обязательно ограничить или просто запретить доступ к каталогу плагинов WordPress. Посещение www.your-domain.com/wp-content/plugins/ Эти плагины могут содержать уязвимости, которые могут поставить под угрозу безопасность сайта и привлечь хакеров.
Чтобы запретить доступ к каталогам, проще всего использовать файл .htaccessindex.html Если файлы index.phpindex.html.htaccess
Options –Indexes
Это предотвратит публичный доступ к вашим файлам в каталогах.
Изменить префиксы таблиц базы данных
При первой установке WordPress с использованием значений и параметров по умолчанию таблицы WordPress используют префиксы таблиц, такие как Wp_ Поскольку хакеры могут использовать эту функцию, рекомендуется изменить префикс таблицы по умолчанию Wp_ Чтобы изменить префиксы таблицы базы данных после установки, вы можете использовать плагин WP Secure Scan . Если вы используете другой плагин с именем плагин Изменить префикс БД , он может переименовать префикс таблицы в другую строку.
Изменить секретные ключи по умолчанию
Когда вы впервые устанавливаете WordPress, в вашем файле wp-config.php Перейдите сюда и скопируйте все шесть ключей и используйте их для замены четырех ключей, присутствующих в файле wp-config.php Это случайные ключи, сгенерированные WordPress и меняющиеся каждый раз при обновлении страницы. Это помогает сделать ваши пароли более безопасными, и если кто-то войдет в WordPress в то время, они сразу же выйдут из панели мониторинга, когда файлы cookie станут недействительными.
Защитите свою страницу входа
Ваша страница входа в WordPress доступна всему миру, и вы должны защитить ее, чтобы никто не мог получить доступ к установке. Сообщения об ошибках на страницах входа могут дать подсказки хакерам.
Чтобы удалить сообщения об ошибках на странице входа, добавьте следующую строку кода в файл темы functions.php
add_filter ('login_errors', create_function ('$ a', "return null;"));
Это удалит сообщение об ошибке, отображаемое над полем имени пользователя и пароля.
Вы можете использовать плагины, такие как Google Authenticator и Login Dongle, для дополнительного уровня безопасности. Google Authenticator — отличный плагин, который добавляет двухэтапную проверку к вашему блогу WordPress, как следует из названия, — аналогично безопасности аккаунта Google. Введите пароль и код, отправленный на ваш мобильный телефон. Плагин входа Dongle генерирует букмарклет с секретным вопросом.
Защитите свое устройство
Убедитесь, что ваша рабочая станция, ПК, мобильный телефон, планшет или другое устройство полностью защищены и автоматически обновлены. Антивирусное программное обеспечение и операционные системы также должны быть обновлены до последней версии. Установите безопасные пароли для всех векторов аутентификации. Эти пароли должны быть сложными и также должны часто меняться.
ПК и серверы должны быть оснащены новейшим и лучшим антивирусным программным обеспечением и защищены от всех вредоносных программ. Это должно включать периодическую очистку от вредных насекомых. Брандмауэры должны быть установлены на каждом уровне: на уровне операционной системы, на уровне маршрутизатора и даже на уровне протокола интернет-сервиса. Это должно обеспечить безопасность всех компьютеров и веб-серверов вашей рабочей станции.
Не делитесь своим логином
Как и в любых других защищенных сетях или учетных записях, вы должны быть осторожны, чтобы не сообщать имя пользователя или пароль кому-либо, кому вы не полностью доверяете. Даже в худшем случае, когда вы наняли веб-мастера для управления вашим сайтом, убедитесь, что вы не сообщаете свое имя пользователя или пароль. Вы можете создать отдельные учетные записи для них с настроенными разрешениями.
Защитите свой контент
При загрузке контента на сайт убедитесь, что сам контент аутентичен и загружен из безопасных / надежных источников. Даже когда вы загружаете скрипт, вы должны быть осторожны, так как могут быть вредоносные программы, специально предназначенные для нанесения вреда вашему сайту.
Это не является исчерпывающим списком всех возможных способов обеспечения безопасности вашей установки WordPress, но он дает вам удобный список проблем безопасности WordPress для рассмотрения и способы их решения, будь то с помощью специальных плагинов или простых действия, которые вы можете предпринять.
Не стесняйтесь добавлять больше методов в комментариях ниже.