TechBlogSD - Все для WordPress и WEB разработки
WEB и WordPress инструкции, новости, обзоры тем и плагинов

Руководство по безопасности WordPress – 28 советов по защите вашего сайта

18
Содержание
Руководство по безопасности WordPress

WordPress поддерживает более 35% веб-сайтов в Интернете. Из-за высокой популярности и открытого исходного кода сайты WordPress являются одной из основных целей для хакеров и вредоносного ПО. Ваш сайт WordPress может стать легкой мишенью для злоумышленников из-за простого имени пользователя администратора, простых паролей и устаревшей темы или плагинов. Но не беспокойтесь, ваш сайт легко защитить, выполнив несколько простых шагов. Вот пошаговое руководство по безопасности WordPress для начинающих, чтобы понять различные аспекты защиты вашего сайта от злоумышленников и уязвимостей.

Связано: Загрузите руководство по безопасности WordPress в формате PDF.

Руководство по безопасности WordPress

  1. Защитите свой компьютер и мобильный телефон от вирусов
  2. Используйте безопасный хостинг
  3. Держите вашу установку в актуальном состоянии
  4. Используйте надежные пароли
  5. Нет имени пользователя с правами администратора
  6. Безопасное управление ролями
  7. Используйте надежные темы и плагины
  8. Отключить редактор тем и плагинов в интерфейсе администратора
  9. Блокировать выполнение PHP из панели управления
  10. Остановить атаку методом грубой силы
  11. Блокировать подозрительных пользователей, IP и ботов
  12. Отключить просмотр каталогов
  13. Отключить версию WordPress
  14. Изменить префикс таблицы базы данных
  15. Изменить URL-адрес администратора WordPress
  16. Используйте правильные права доступа к файлам
  17. Отслеживайте изменения файлов
  18. Использовать базовые настройки брандмауэра
  19. Запретить доступ к файлу журнала
  20. Отключить XMLPRC и пингбеки
  21. Безопасное обращение с конфиденциальными данными
  22. Предотвратить спам
  23. Периодическое резервное копирование сайта
  24. Проверить сайт на наличие вредоносных программ
  25. Отслеживайте ошибки 404
  26. Защитите файлы «wp-config.php» и «.htaccess»
  27. Обеспечьте безопасный доступ третьих лиц
  28. Используйте плагин безопасности

1 Обеспечьте безопасность вашего компьютера и мобильного телефона

Руководство по безопасности WordPress - 28 советов по защите вашего сайта

Для создания веб-сайта требуется много ресурсов, таких как документы, изображения, сценарии, файлы и видео. Возможно, вам понадобится специальный ноутбук и мобильный телефон, чтобы продолжать создавать контент. Удаленный доступ к серверу через FTP, особенно на автономной платформе WordPress, требуется в большинстве случаев для устранения неполадок и загрузки. Следовательно, установите антивирус на свой компьютер и регулярно проверяйте файлы. Не забудьте просканировать файлы плагинов и тем перед загрузкой на свой сайт WordPress.

Загрузка одного скрипта или файла с вредоносным кодом на ваш сервер испортит вам всю вашу тяжелую работу. Ваша хостинговая компания также, вероятно, заблокирует вашу учетную запись за то, что она создала проблемы для сервера. Кроме того, убедитесь, что вы получаете доступ к панели управления WordPress только через защищенное соединение Wi-Fi и избегайте общедоступных сетей, чтобы защитить свои данные.

2 Защищенный хостинг

Для установки WordPress необходим платный хостинг, который следует покупать у любой из хостинговых компаний. Как новый пользователь WordPress, вы, возможно, склонны тратить меньше денег и в конечном итоге купите дешевый общий хостинг для своего сайта. Несомненно, вы рано или поздно пожалеете о своем решении выбрать плохую хостинговую компанию. Когда вы находитесь на общем сервере, важно, чтобы все сайты на этом сервере работали безопасно и надежно.

Обычно сотни или даже тысячи сайтов используют один IP-адрес сервера. Когда один сайт на вашем сервере взломан, существует больше возможностей, что весь сервер может быть взломан, и вы также пострадаете. В прошлом было много случаев, когда тысячи сайтов на сервере были взломаны, поскольку хакер мог вывести из строя сервер через уязвимость на одном сайте.

WordPress рекомендует несколько защищенных хостинговых компаний, таких как Bluehost, SiteGround и DreamHost. Однако перед покупкой тарифного плана вам необходимо проконсультироваться с компанией.

Руководство по безопасности WordPress - 28 советов по защите вашего сайта

Рекомендуемый хостинг WordPress

Убедитесь, что ваш сайт может периодически получать полную резервную копию, а резервная копия хранится за пределами сервера. С точки зрения безопасности хранение резервной копии на том же сервере действительно бесполезно, когда сам сервер подвергается атаке.

3 Будьте в курсе

WordPress имеет три основных компонента, которые нужно часто обновлять.

  • Тема
  • Плагины
  • Основные файлы WordPress

Поскольку угрозы могут развиваться с течением времени, все эти три компонента следует обновить до последних и защищенных версий. Настоятельно рекомендуется включить автоматическое обновление для ваших версий WordPress, чтобы любые исправления безопасности автоматически устанавливались без вашего вмешательства. Также убедитесь, что на вашем хостинг-сервере обновлены темы и плагины, чтобы они были безопасными и актуальными.

Узнайте больше о том, как работает WordPress.

4 Установите надежный пароль

Обычно пользователи устанавливают WordPress через услуги установки в один клик, предлагаемые хостинговыми компаниями. Это менее чем 5-минутный процесс, и есть вероятность, что вы не сможете предоставить очень надежный пароль во время этого быстрого процесса установки, особенно когда вы делаете это впервые. Также большинство пользователей забывают обновить пароль после первоначальной настройки, а некоторые мудрые пользователи даже используют пароль в качестве «пароля».

Самостоятельному сайту WordPress требуется много паролей по разным причинам. Убедитесь, что у всех ваших учетных записей есть надежные пароли и защитите учетные данные от неизвестных людей.

  • Пароль для входа в админку WordPress
  • Пароль для входа в учетную запись FTP
  • Пароль для вашей базы данных
  • Пароли для разных пользователей вашего сайта, таких как администратор, редакторы, участники и т.д.
  • Пароль для входа в вашу учетную запись хостинга
  • Пароль для доступа к cPanel и phpMyadmin

Вы также можете использовать двухфакторную аутентификацию для входа в свою панель управления WordPress. Это помогает иметь два пароля, например, один для первоначального входа в панель управления, а дополнительный пароль будет отправлен на ваш мобильный телефон для окончательного входа в систему. Немедленно измените пароль, если увидите, что на вашем сайте что-то не так. Воспользуйтесь нашим бесплатным инструментом генератора паролей, чтобы создать сложный пароль и проверить его надежность с помощью нашего бесплатного инструмента проверки надежности пароля.

Связано: Загрузите руководство по безопасности WordPress в формате PDF.

5 Изменить имя пользователя администратора

Как и в случае с паролями, у большинства из нас есть привычка указывать простое имя пользователя, например «admin». Первая попытка любого бота или хакеров войти на ваш сайт будет с именем пользователя «admin» и паролем «password». После завершения установки WordPress не позволит вам изменить имя пользователя. Поэтому во время установки укажите сложное имя пользователя и пароль, чтобы хакеры и боты не могли легко его угадать.

Узнайте больше о том, как изменить admin ваше имя пользователя.

Вы можете оставить псевдоним и отображаемое имя, отличное от имени пользователя, чтобы хакерам было сложно найти имя пользователя администратора. Точно так же постарайтесь, чтобы имена пользователей вашего администратора, редактора и участника были разными. В противном случае хакерам будет легко найти имя администратора на вашем сайте со страницей архивов авторов.

6 Используйте безопасное управление ролями

WordPress предлагает множество ролей для классификации людей, которые работают с вашим сайтом. Администратор, редактор, участник, подписчик – вот некоторые из ролей, которые вы можете назначить. Если на вашем сайте включена функция регистрации, убедитесь, что вы предлагаете подписчика или никакой роли для новых пользователей при регистрации.

Руководство по безопасности WordPress - 28 советов по защите вашего сайта

Включить роль подписчика для новых пользователей

Необходимо предоставить свои учетные данные администратора для получения определенного помощника для ваших коммерческих плагинов или темы. Всегда создавайте отдельного пользователя-администратора и предоставляйте его только в закрытом разделе форумов поддержки, который не виден другим пользователям. Не забудьте удалить пользователя, как только ваш запрос будет решен.

7 Используйте надежную тему и плагины

На момент написания этой статьи в репозитории WordPress было 57 тысяч бесплатных плагинов. Помимо этих бесплатных плагинов, существует эквивалентное количество дополнительных и бесплатных плагинов, предлагаемых через различные сторонние веб-сайты. Точно так же вам доступно огромное количество бесплатных и премиальных тем.

Различные типы бесплатных и платных плагинов всегда соблазняют новичков установить и попробовать на своем сайте WordPress. Обилие тем и плагинов может создать огромную угрозу безопасности для вашего сайта. Нет гарантии, что эти плагины и темы будут поддерживаться и обновляться для защиты от последних уязвимостей. Не покупайте и не устанавливайте плагины и темы из ненадежных ресурсов и всегда сохраняйте привычку тестировать плагины и темы на своем сайте разработки перед их развертыванием на действующем сайте. Всегда выбирайте премиум-версию, чтобы получить соответствующую поддержку, вместо того, чтобы покупать бесплатные версии.

Помимо безопасности, установка дополнительных плагинов также снизит скорость загрузки вашей страницы. Следовательно, удалите ненужные плагины и уменьшите обрезку списка.

Связанный: Как настроить свой блог WordPress с помощью Bluehost?

8 Отключите редактирование файлов в панели администратора.

WordPress позволяет редактировать PHP-файлы тем и плагинов прямо из панели администратора. Когда кто-то имеет несанкционированный доступ к вашей панели администратора, он может легко внедрить вредоносный код из панели управления, не обращаясь к корневому каталогу сервера. Поэтому обязательно удалите доступ редактора, чтобы защитить ваши данные от людей, получающих доступ к вашей панели администратора.

Добавьте приведенный ниже код в файл «wp-config.php», чтобы отключить параметры плагина и редактора тем в интерфейсе администратора.

define('DISALLOW_FILE_EDIT',true);

Узнайте больше о том, как редактировать файл wp-config.php в вашей установке WordPress.

9 Предотвращение выполнения файла PHP

Хакеры запускают файлы PHP на вашем сайте, чтобы вызвать нежелательные действия. Вы можете заблокировать пользователей, запускающих файлы PHP из вашего интерфейса администратора с любого IP-адреса, кроме вашего. Чтобы включить блокировку выполнения PHP, создайте файл «.htaccess» и поместите его в папки «/ wp-content / plugins /» и «/ wp-content / themes /» со следующим содержимым:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Защита от атак грубой силы

Атака методом грубой силы – это попытка войти на ваш сайт путем угадывания имени пользователя и пароля. На любой сайт WordPress можно войти, используя URL-адрес – yoursite.com/wp-admin/ или yoursite.com/wp-login.php/. Тысячи плохих ботов попытаются войти на ваш сайт WordPress, так как URL для входа известен всем.

Важно сохранить надежное имя пользователя и пароль администратора, чтобы боты не могли угадать. С другой стороны, тысячи ботов, попадающих на вашу страницу входа, увеличивают использование ЦП и ОЗУ вашего сервера. Это приведет к тому, что ваша хостинговая компания заблокирует вашу учетную запись, особенно в среде общего хостинга.

Для WordPress доступно множество плагинов безопасности для защиты от атак грубой силы одним или комбинацией следующих методов.

  • Включите максимальное количество попыток входа в систему, чтобы пользователь был заблокирован после нескольких попыток. Вы, как администратор, получите уведомление о блокировке с указанием имени пользователя и IP-адреса.
  • Используйте капчу в формах входа и регистрации, чтобы защитить автоматические попытки входа ботов.
  • Когда известные плохие боты пытаются войти в систему, они будут перенаправлены на сервер localhost, чтобы избежать загрузки на ваш сервер.
  • Измените URL-адрес вашего входа в админ-панель.
  • Ведение белого списка, чтобы только эти IP-адреса могли получить доступ к странице входа. Всем остальным IP-адресам будет отказано в доступе к вашей странице входа.
  • Предотвращение входа в систему на основе файлов cookie, которое позволяет только людям, имеющим специальный файл cookie, установленным в их браузере, входить на ваш сайт.
  • Использование техники приманки для вставки скрытого поля на страницу входа. Поскольку боты, как правило, заполняют все поля на странице входа, им можно легко запретить доступ к вашему сайту.

Подробно узнайте, как предотвратить атаку методом грубой силы на сайте WordPress.

11 Блокировка подозрительных пользователей, ботов и черный список IP-адресов

Еще один важный аспект безопасности – это наблюдение за пользователями и ботами, получающими доступ к вашему сайту. Поскольку большинство платных услуг хостинга основаны на ограничении трафика, необходимо следить за автоматическими ботами, сканирующими ваш сайт. Вы можете найти подробную информацию о трафике, используя один из инструментов статистики, доступных в вашей учетной записи хостинга, например «Awstats». Отдельные пользователи, имя пользовательского агента ботов и IP-адреса могут быть заблокированы для защиты вашего сайта.

Вы также можете легко заблокировать все IP-адреса, кроме вашего, создав файл «.htaccess» и поместив его в папку «/ wp-admin /» со следующим кодом:

order deny,allow allow from "Your IP address" deny from all

Если вы получаете доступ к панели администратора с более чем одного IP-адреса, разрешите несколько IP-адресов, добавив несколько разрешающих команд, как показано ниже:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Вы также можете заблокировать всю страну, используя плагины блокировки страны.

12 Отключить просмотр каталогов

Просмотр каталогов позволяет любому пользователю просматривать структуру каталогов вашего сайта. Например, любой может открыть в браузере папку «/ wp-content / plugins /» и проверить все установленные плагины на вашем сайте. Когда хакер узнает, что на вашем сайте есть проблемный плагин, это будет легким входом для взлома вашего сайта.

Просмотр каталогов можно отключить, добавив указанную ниже директиву в файл «.htaccess», расположенный в корневом каталоге вашего сервера.

Options All -Indexes

Узнайте, как редактировать файл .htaccess на сайте WordPress.

13 Отключить версию WordPress

Сайты WordPress показывают версию WordPress, которую они используют, в исходном коде страниц. Вы можете щелкнуть правой кнопкой мыши и просмотреть исходный код своего сайта WordPress в браузере, чтобы найти информацию о версии, как показано ниже:

<meta name="generator" content="WordPress 5.5" />

В идеале нет необходимости скрывать этот тег мета-генератора, если вы быстро обновляетесь до последней версии. Рекомендуется скрыть эту информацию о версии, если вы не используете последнюю версию или не обновляете периодически.

В старых версиях WordPress есть много известных уязвимостей, которые исправляются с течением времени. Хакеры могут использовать эту информацию о версии для поиска сайтов, использующих старые версии, и могут легко внедрить эти уязвимости. Помимо тега мета-генератора, WordPress также показывает номер версии в большинстве файлов таблиц стилей и скриптов, добавляя суффикс к строке «/?ver=5.5 ″. Используйте плагины безопасности, чтобы полностью удалить информацию о версии из всех исходных кодов.

Предложение SEO: оптимизируйте свой сайт с помощью специальной 14-дневной бесплатной пробной версии Semrush Pro.

14 Изменить префикс таблицы базы данных

При установке WordPress вам будет предложено ввести префикс для таблиц вашей базы данных MySQL. WordPress по умолчанию добавляет «wp_» ко всем таблицам базы данных в качестве префикса. Например, все текстовое содержимое вашего сайта WordPress хранится в таблице «wp_posts». Это упрощает работу хакеров по внедрению вредоносного кода в таблицы вашей базы данных напрямую через несоответствующий доступ.

Обычно установка в один клик от компаний, предоставляющих веб-хостинг, всегда добавляет сложный префикс в вашу базу данных WordPress. Но при установке WordPress вручную, если вы указали простой префикс, мы рекомендуем изменить его сейчас. Вы можете изменить префикс таблицы базы данных с помощью любого плагина безопасности, поскольку изменение вручную – довольно сложная задача для новичков.

Изменяя префикс, вы улучшаете защиту своей базы данных, поскольку хакеры не могут угадать правильные имена таблиц.

15 Изменить URL-адрес входа в WordPress

Изменение URL-адреса для входа снизит количество атак методом грубой силы, поскольку никакие боты и хакеры не найдут способ войти на ваш сайт. Плагины, такие как iThemes Security и All in one WP Security и брандмауэр, предлагают простой способ изменить URL-адрес входа. Вы можете оставить URL-адрес вроде «http://yoursitename.com/dontattack1me4/ », содержащий буквенно-цифровые символы, чтобы сделать его более безопасным.

16 Использование правильных разрешений для файлов

Каждый файл и папка в вашей установке WordPress имеют определенные права доступа к файлам. Это помогает решить, кто может читать, писать или выполнять определенные файлы на сайте. Обычно такие файлы, как «wp-config.php» и «.htaccess», должны быть защищены соответствующими разрешениями, чтобы общедоступная группа не могла получить доступ к этим файлам.

Руководство по безопасности WordPress - 28 советов по защите вашего сайта

Изменить права доступа к файлу с помощью FileZilla

Права доступа к файлам по умолчанию, определенные WordPress, в основном достаточны для защиты ваших данных. Но проблема возникает, когда вы устанавливаете плагины и темы, которые изменят или создадут множество папок в вашей установке. Хорошей практикой является сканирование вашего сайта и обеспечение правильных разрешений для всех важных папок.

17 Отслеживание изменений файлов

Хакеры внедряют вредоносный код в вашу файловую систему и отображают свое содержимое вместо вашего при открытии сайта. Поэтому рекомендуется отслеживать изменения важных файлов на вашем сайте. Как правило, все файлы ядра с расширением .php (например, «wp-config.php») не должны изменяться кем-либо без вашего ведома.

Вы можете добиться этого отслеживания файлов с помощью любого из подключаемых модулей безопасности. Эти плагины позволяют вам выбрать конкретный каталог и файлы на вашем сайте для отслеживания.

18 Использование основных настроек брандмауэра

Существуют базовые и расширенные настройки брандмауэра для повышения безопасности вашего сайта WordPress. Обычно эти элементы управления добавляются в файл «.htaccess» и предотвращают доступ хакеров и ботов к вашему сайту. Некоторые из настроек брандмауэра для повышения безопасности WordPress включают:

  • Запретить доступ к файлам «wp-config.php» и «.htaccess».
  • Ограничить размер загружаемого файла
  • Удалить подпись сервера

19 Запретить доступ к файлу журнала

Устранение неполадок WordPress требует квалифицированного анализа ситуации. WordPress позволяет вам включить ведение журнала отладки, чтобы было легко узнать, что происходит, когда на вашем сайте запускается действие. После включения отладки файл «debug.log» будет сохранен в «/wp-content/debug.log». Это важный файл, который необходимо защитить от хакеров, чтобы избежать утечки конфиденциальной информации. Обязательно отключите отладку после устранения неполадок и удалите файлы журнала.

Также вы можете отключить доступ браузера к файлу «debug.log» и продолжить доступ по FTP.

20 Отключить XMLPRC и Pingbacks

Когда вы отслеживаете трафик на свой сайт, вы будете удивлены, увидев количество ботов, пытающихся получить доступ к странице «/xmlprc.php». Есть много возможностей, которые хакеры могут использовать XMLPRC API для удаления вашего сайта, включая такие уязвимости, как DoS или отказ в обслуживании.

Помимо проблем со взломом, необходимо защитить доступ к странице «xmlprc.php», чтобы снизить нагрузку на ваш хостинг-сервер. Убедитесь, что вы не используете функцию XMLPRC на своем сайте WordPress, и отключите ее, чтобы защитить свой сайт от хакеров.

Предупреждение: обратите внимание, что некоторые плагины и приложения, такие как приложение WordPress iOS, используют этот XMLPRC API. Если вы отключите службу, приложение или плагин работать не будут.

Подобно XMLPRC, пингбеки могут создавать проблемы безопасности для вашего сайта. Вы можете отключить пингбеки из панели администратора и улучшить защиту данных для вашего сайта.

Руководство по безопасности WordPress - 28 советов по защите вашего сайта

Отключить пингбеки в WordPress

21 Безопасное обращение с конфиденциальными данными

В мире безопасности WordPress взлом не обязательно означает захват сайта или сервера. В большинстве случаев взлом осуществляется для кражи конфиденциальных данных, таких как электронная почта и данные кредитной карты, доступные на сайте. Используйте HTTPS на страницах для сбора данных с помощью форм, особенно если данные конфиденциальны по своей природе, например, финансовые данные, номер социального страхования и т.д., И отправляйте данные через защищенные серверы электронной почты для защиты от хакеров. Если у вас есть интернет-магазин, обязательно использовать SSL и применять протокол HTTPS для финансовых транзакций.

Не используйте robots.txt, чтобы скрыть важные страницы и каталоги от поисковых систем. Любой желающий может просмотреть ваш файл robots.txt в браузере и получить доступ к скрытым страницам. Использование директив «.htaccess» может помочь лучше контролировать, но обсудите это с разработчиком плагина или экспертом, если вы не понимаете, как данные хранятся и передаются.

Обычно данные, собранные из форм, хранятся в настраиваемых таблицах в базе данных и используются для различных целей. Следовательно, убедитесь, что никто другой не имеет доступа к вашей учетной записи хостинга и не читает таблицы базы данных.

22 Предотвратить спам

Хотя рассылка спама не является взломом, хакер может быть спамером, чтобы проверить уязвимости вашего сайта с помощью комментариев или отправки форм.

  • Обязательно используйте плагины предотвращения спама, такие как Akismet, для защиты вашего сайта от спамеров.
  • При необходимости вы можете использовать капчу в формах комментариев, входа, регистрации и контактов.
  • Заблокируйте комментарии, исходящие не из вашего домена, чтобы роботы перестали автоматически генерировать комментарии извне вашего сайта.

23 иметь периодическое резервное копирование сайта

С точки зрения безопасности и резервного копирования будут выглядеть две разные темы. Но правда в том, что они взаимосвязаны как два шага единой деятельности. Когда сайт взломан, первое, что вам нужно, – это иметь защищенную резервную копию для восстановления содержимого.

  • Обеспечьте периодическое резервное копирование файлов сайта и базы данных.
  • Храните резервную копию вне хост-сервера.
  • Защитите свою резервную копию от несанкционированного доступа так же, как и ваш действующий сайт.
  • Протестируйте и убедитесь, что резервная копия работает и может быть восстановлена ​​в аварийной ситуации.
  • Уточните у своего хоста, что все содержимое сайта скопировано, и они могут помочь в восстановлении во время аварии.

Регулярно создавайте резервные копии своего сайта, чтобы его можно было восстановить в чрезвычайных ситуациях. Также загрузите резервную копию на свой локальный компьютер и храните ее подальше от хост-сервера. Локальная резервная копия поможет вам восстановить ваш сайт, когда ваш сервер заражен.

Примечание. Вы можете создать локальную среду разработки WordPress с помощью любого другого программного обеспечения MAMP и периодически создавать резервные копии своего действующего сайта на локальный компьютер.

24 Сканирование на наличие вредоносных программ

Вредоносное ПО или вредоносное ПО – это фрагмент кода, который хакер вставляет в ваш обычный код. Вам может быть сложно найти вредоносное ПО на сайте, так как трудно отличить вредоносный код. Периодически проверяйте свой сайт на наличие вредоносных программ с помощью платных служб безопасности, чтобы гарантировать безопасность содержимого вашего сайта. Большинство хостинговых компаний и подключаемых модулей безопасности предлагают функцию сканирования вредоносных программ и отправляют статус сканирования на вашу электронную почту.

Когда ваш сайт заражен вредоносным ПО или возникает какая-либо другая проблема безопасности WordPress, первое, что вы можете заметить, – это падение трафика. Поскольку боты поисковых систем, такие как Googlebot, очень умны, они могут обнаруживать вредоносный код и понижать ваш рейтинг в поиске, чтобы защитить пользователей. Вы можете использовать инструменты безопасности, доступные в Google Search Console, и убедиться, что ваш сайт безопасен для просмотра.

Руководство по безопасности WordPress - 28 советов по защите вашего сайта

Проверьте проблемы безопасности в Google Search Console

25 Мониторинг ошибок 404

Автоматические боты будут пытаться получить доступ к несуществующим страницам вашего сайта, что приведет к ошибке 404. Отслеживание ошибки 404 даст вам представление о том, кто пытается получить доступ к старым или несуществующим URL-адресам на вашем сайте.

Например, бот или пользователь пытается получить доступ к несуществующей странице «… / платеж /», которую следует заблокировать. Это указывает на то, что бот или пользователь пытается угадать потенциальные скрытые страницы на вашем сайте, чтобы получить конфиденциальные данные.

Связано: WordPress SEO руководство по улучшению поискового рейтинга.

26 Защита файлов WP-config и .htaccess

«Wp-config.php» – это файл конфигурации, содержащий важную информацию, такую ​​как имя базы данных и пароль вашего сайта WordPress. Доступ к файлу можно получить через FTP или через учетную запись хостинга, используя такие параметры, как «Диспетчер файлов». Большинство подключаемых модулей безопасности добавляют в этот файл конфигурации параметры для управления поведением. Настоятельно рекомендуется создать резервную копию вашего файла «wp-config.php», прежде чем вы будете делать какие-либо настройки в подключаемых модулях, связанных с безопасностью.

Точно так же файл «.htaccess», расположенный в корневом каталоге вашего сайта, является ключевым файлом, используемым для мер безопасности. Перед изменением файла с помощью подключаемых модулей безопасности убедитесь, что у вас есть резервная копия.

27 Обеспечение безопасного доступа третьих лиц

Когда вы покупаете тему или плагин на стороннем веб-сайте, может потребоваться предоставить к ним доступ администратора для устранения неполадок. Следуйте приведенным ниже рекомендациям при работе со сторонними разработчиками:

  • Проверьте все аспекты устранения неполадок и подтвердите необходимость совместного использования учетных данных администратора.
  • Никогда не делитесь своим административным доступом к сторонним веб-сайтам.
  • Создайте новое имя пользователя с правами администратора и предоставьте им.
  • Когда вы предлагаете доступ по FTP, убедитесь, что вы ограничили доступ только для требуемой папки или домена.
  • При удалении учетной записи FTP будьте осторожны, чтобы удалить только учетную запись, а не данные, связанные с учетной записью FTP. Неправильное удаление учетной записи FTP вместе с соответствующими данными уничтожит ваш контент за считанные секунды.

28 Используйте плагины безопасности WordPress

Реализация всех описанных выше мер безопасности будет сложной задачей для владельцев сайтов. К счастью, существует множество бесплатных и премиальных плагинов безопасности WordPress, предлагающих эти функции в виде пакета. Вы можете использовать бесплатные плагины, такие как All in One WP Security и Firewall, или частично бесплатные плагины, такие как iThemes security / Wordfence. Большинство из вышеперечисленных пунктов предлагаются в виде пакета в этом плагине безопасности и облегчают вашу работу.

Ниже приведены некоторые из популярных плагинов безопасности, и мы настоятельно рекомендуем вам протестировать тот, который подходит для ваших нужд, перед установкой на действующий сайт.

Плагины пакета безопасности

Эти плагины предлагают большинство функций безопасности в комплекте.

  • iThemes Security (ранее Better WP Security)
  • Wordfence Безопасность
  • Пуленепробиваемая безопасность
  • Все в одном WordPress Безопасность и брандмауэр

Плагины защиты паролем

  • Принудительно использовать надежные пароли
  • Срок действия пароля WordPress

Защита от грубой силы

  • Решение для безопасности входа
  • Войти LockDown
  • Переименуйте wp-login.php
  • Модуль Jetpack Protect.
  • Блокировка администратора WP
  • Clef – двухфакторная аутентификация.
  • Google Authenticator

Плагин HTTPS

  • WordPress HTTPS (SSL)

Безопасность электронной почты

  • WP Mail SMTP

Заключительные слова

Хотя список длинный, необходимо следовать всем этим советам по безопасности WordPress, чтобы защитить свой сайт. Как уже упоминалось, вы можете использовать любой бесплатный или расширенный плагин для реализации большинства этих функций. Кроме того, мы рекомендуем сохранить безопасность как свою привычку делать регулярные резервные копии и своевременно обновлять свой сайт.

Источник записи: webnots.com

Этот веб-сайт использует файлы cookie для улучшения вашего опыта. Мы предполагаем, что вы согласны с этим, но вы можете отказаться, если хотите. ПринимаюПодробнее