TechBlogSD - Все для WordPress і WEB розробки
WEB і WordPress інструкції, новини, огляди тем та плагінів

Посібник із безпеки WordPress – 28 порад щодо захисту вашого сайту

2
Зміст
Посібник із безпеки WordPress

WordPress забезпечує більше 35% веб -сайтів в Інтернеті. Завдяки високій популярності та природі з відкритим кодом, сайти WordPress є однією з основних мішень для хакерів та шкідливого програмного забезпечення. Ваш сайт WordPress може стати легкою мішенню для зловмисників через просте ім’я користувача адміністратора, прості паролі та застарілу тему чи плагіни. Але не варто хвилюватися, легко захистити свій сайт, дотримуючись кількох простих кроків. Ось покроковий посібник із безпеки WordPress для початківців, щоб зрозуміти різні аспекти захисту вашого сайту від зловмисників та вразливостей.

Пов’язані: Завантажте посібник із безпеки WordPress у форматі PDF.

Посібник із безпеки WordPress

  1. Захистіть свій комп’ютер та мобільний телефон від вірусів
  2. Використовуйте безпечний хостинг
  3. Оновлюйте інсталяцію
  4. Використовуйте надійні паролі
  5. Немає імені користувача адміністратора
  6. Безпечне управління ролями
  7. Використовуйте надійні теми та плагіни
  8. Вимкніть редактор тем і плагінів в інтерфейсі адміністратора
  9. Заблокувати виконання PHP з інформаційної панелі
  10. Припиніть грубу силу
  11. Блокуйте підозрілих користувачів, IP та ботів
  12. Вимкнути перегляд каталогів
  13. Вимкніть версію WordPress
  14. Змінити префікс таблиці бази даних
  15. Змініть URL -адресу адміністратора WordPress
  16. Використовуйте правильні дозволи на файли
  17. Відстеження змін файлу
  18. Використовуйте основні параметри брандмауера
  19. Заборонити доступ до файлу журналу
  20. Вимкніть XMLPRC та відправку
  21. Безпечно обробляйте конфіденційні дані
  22. Запобігання спаму
  23. Періодичне резервне копіювання сайту
  24. Перевірити сайт на наявність шкідливого програмного забезпечення
  25. Монітор помилок 404
  26. Захистіть файли “wp-config.php" та “.htaccess”
  27. Забезпечте безпечний доступ третіх сторін
  28. Використовуйте плагін безпеки

1 Бережіть комп’ютер та мобільний телефон у безпеці

Посібник із безпеки WordPress - 28 порад щодо захисту вашого сайту

Створення веб -сайту потребує великої кількості ресурсів, таких як документи, зображення, сценарії, файли та відео. Можливо, вам знадобиться спеціальний ноутбук і мобільний телефон, щоб продовжувати створювати свій вміст. Особливо на платформі WordPress, що розміщується самостійно, віддалений доступ до сервера через FTP більшість разів потрібен для усунення несправностей та завантаження. Тому встановіть антивірус на комп’ютер і регулярно скануйте файли. Не забудьте відсканувати файли плагінів і тем, перш ніж завантажувати їх на свій сайт WordPress.

Завантаження одного сценарію або файлу зі шкідливим кодом на ваш сервер зіпсує всю вашу важку роботу. Ваша хостинг -компанія також, ймовірно, заборонить ваш обліковий запис за те, що він спричинив проблеми з сервером. Крім того, не забудьте отримати доступ до інформаційної панелі WordPress лише через захищене з’єднання Wi -Fi та уникайте загальнодоступних мереж для захисту ваших даних.

2 Захищений хостинг

Для встановлення WordPress потрібен платний хостинг, який слід придбати у будь -якої з хостинг -компаній. Як новий користувач WordPress, ви можете витратити менше грошей і в кінцевому підсумку купити дешевий спільний хостинг для свого сайту. Безсумнівно, ви рано чи пізно пошкодуєте про своє рішення обрати погану хостинг -компанію. Коли ви перебуваєте на спільному сервері, важливо, щоб усі сайти на цьому сервері працювали безпечно.

Поширено, що сотні або навіть тисячі сайтів мають одну IP -адресу сервера. Коли один сайт на вашому сервері зламано, існує більше можливостей зламати весь сервер, і ви також постраждаєте. Раніше було багато випадків, тисячі сайтів на сервері були зламані, оскільки хакер міг зламати сервер через вразливість на одному веб -сайті.

WordPress рекомендує кілька захищених хостинг -компаній, таких як Bluehost, SiteGround і DreamHost. Однак перед тим, як придбати план хостингу, необхідно уточнити у компанії.

Посібник із безпеки WordPress - 28 порад щодо захисту вашого сайту

Рекомендований хостинг WordPress

Переконайтеся, що ваш сайт може періодично повністю підтримуватись, а резервна копія зберігатиметься поза сервером. З точки зору безпеки, зберігати резервну копію на одному сервері насправді немає ніякої користі, коли сам сервер піддається атаці.

3 Будьте в курсі подій

WordPress має три основні компоненти, які потрібно часто оновлювати.

  • Тема
  • Плагіни
  • Основні файли WordPress

Оскільки загрози можуть розвиватися з плином часу, усі ці три компоненти слід оновити до найновіших та захищених версій. Настійно рекомендується ввімкнути автоматичне оновлення для ваших версій WordPress, щоб будь -які виправлення безпеки автоматично встановлювалися без вашого втручання. Також переконайтеся, що оновили теми та плагіни на вашому сервері хостингу, щоб вони були безпечними та оновленими.

Дізнайтеся більше про те, як працює WordPress.

4 Встановіть надійний пароль

Як правило, користувачі встановлюють WordPress за допомогою послуг установки одним клацанням миші, які пропонують хостинг-компанії. Це менш ніж 5-хвилинний процес, і під час цього процесу швидкої інсталяції ви можете не надати дуже надійний пароль, особливо коли ви це робите вперше. Також більшість користувачів забувають оновити пароль після початкового налаштування, а деякі розумні користувачі навіть використовують пароль як "пароль".

Сайт WordPress, що розміщується самостійно, потребує великої кількості паролів з різних причин. Переконайтеся, що ви маєте надійні паролі для всіх своїх облікових записів і захистіть облікові дані від невідомих людей.

  • Пароль для входу на панель адміністрування WordPress
  • Пароль для входу до облікового запису FTP
  • Пароль для вашої бази даних
  • Паролі для різних користувачів вашого сайту, таких як адміністратор, редактори, автори тощо.
  • Пароль для входу до вашого облікового запису хостингу
  • Пароль для доступу до cPanel та phpMyadmin

Ви також можете використовувати двофакторну автентифікацію для входу на інформаційну панель WordPress. Це допомагає мати два паролі, наприклад один для початкового входу на інформаційну панель, а додатковий пароль буде надіслано на ваш мобільний для остаточного входу. Негайно змініть пароль, якщо побачите, що на вашому сайті щось не так. Використовуйте наш безкоштовний інструмент генератора паролів, щоб створити складний пароль і перевірити надійність вашого пароля, використовуючи наш безкоштовний інструмент перевірки надійності пароля.

Пов’язані: Завантажте посібник із безпеки WordPress у форматі PDF.

5 Змініть ім’я користувача адміністратора

Подібно до паролів, для більшості з нас є звичкою надавати просте ім’я користувача, наприклад "адміністратор". Перша спроба будь -якого бота чи хакерів спробувати увійти на ваш сайт – це ім’я користувача “admin” та пароль як “пароль”. Після завершення інсталяції WordPress не дозволить вам змінити ім’я користувача. Тому вкажіть складне ім’я користувача та пароль під час встановлення, щоб хакери та боти не могли його легко вгадати.

Дізнайтесь більше про те, як змінити ім’я користувача адміністратора.

Ви можете зберігати псевдонім та відображуване ім’я, відмінне від імені користувача, щоб утрудняти хакерам пошук імені користувача адміністратора. Подібним чином намагайтеся відрізняти імена користувачів адміністратора, редактора та автора. В іншому випадку хакерам легко знайти ім’я користувача адміністратора на вашому сайті зі сторінкою архівів авторів.

6 Використовуйте безпечне управління ролями

WordPress пропонує багато ролей для класифікації людей, які обробляють ваш сайт. Адміністратор, редактор, співавтор, абонент – це деякі з ролей, які ви можете призначити. Якщо на вашому веб -сайті увімкнена функція реєстрації, переконайтеся, що пропонуєте підписуватися або не брати участі новим користувачам під час реєстрації.

Посібник із безпеки WordPress - 28 порад щодо захисту вашого сайту

Увімкніть роль підписки для нових користувачів

Необхідно надати облікові дані адміністратора, щоб отримати певного помічника для комерційних плагінів або тем. Завжди створюйте окремого користувача адміністратора та надавайте його лише у приватній частині форумів підтримки, яку не можуть бачити інші користувачі. Не забудьте видалити користувача, як тільки ваш запит буде вирішено.

7 Використовуйте надійну тему та плагіни

На момент написання цієї статті у сховищі WordPress доступно 57 тисяч безкоштовних плагінів. Крім цих безкоштовних плагінів, існує рівна кількість преміальних і безкоштовних плагінів, пропонованих на різних веб -сайтах третіх сторін. Так само велика кількість безкоштовних і преміальних тем доступна для вашого вибору.

Різні типи безкоштовних і платних плагінів завжди спокушають новачків встановити та спробувати на своєму сайті WordPress. Велика кількість тем і плагінів може спричинити величезну загрозу безпеці вашого сайту. Не існує гарантії, що ці плагіни та теми будуть підтримуватися та оновлюватися для захисту від останніх уразливостей. Не купуйте та не встановлюйте плагіни та теми з ненадійних ресурсів і завжди зберігайте звичку перевіряти плагіни та теми на своєму веб -сайті для розробки, перш ніж розгортати його на веб -сайті. Завжди звертайтесь до преміум -версії, щоб отримати відповідну підтримку, а не до безкоштовних версій.

Крім безпеки, інсталяція додаткових плагінів також зменшить швидкість завантаження сторінки. Отже, видаліть непотрібні плагіни та зменшіть обрізку списку якомога менше.

Пов’язані: Як налаштувати свій блог WordPress за допомогою Bluehost?

8 Вимкніть редагування файлів на панелі адміністратора

WordPress дозволяє редагувати теми та вставляти файли PHP прямо з панелі адміністратора. Коли хтось має несанкціонований доступ до вашої панелі адміністратора, він може легко ввести шкідливий код з інформаційної панелі, не маючи доступу до кореневого каталогу сервера. Тому обов’язково видаліть доступ до редактора, щоб захистити ваші дані від людей, які мають доступ до вашої панелі адміністратора.

Додайте наведений нижче код у файл «wp-config.php», щоб вимкнути параметри редактора плагінів і тем у веб-интерфейсі адміністратора.

define('DISALLOW_FILE_EDIT',true);

Дізнайтеся більше про те, як редагувати файл wp-config.php на вашій установці WordPress.

9 Запобігання виконанню файлів PHP

Хакери виконують файли PHP на вашому сайті, щоб викликати небажані дії. Ви можете блокувати користувачів, які виконують файли PHP, з вашого інтерфейсу адміністратора з будь -якої іншої IP -адреси, крім вашої. Щоб увімкнути блокування виконання PHP, створіть файл “.htaccess” та розмістіть його у папках “/wp-content/plugins/” та “/wp-content/themes/” з таким вмістом:

<Files *.php > deny from all allow from "Your IP address" </Files>

10 Захист від атак грубої сили

Атака грубої сили – це спосіб спроби увійти на ваш сайт за допомогою вгадування імені користувача та пароля. Будь-який сайт WordPress можна ввійти за допомогою URL-адреси-“yourite.com/wp-admin/” або “yourite.com/wp-login.php/”. Існують тисячі поганих ботів, які намагатимуться увійти на ваш сайт WordPress, оскільки URL -адреса для входу відома всім.

Збереження надійного логіна та пароля адміністратора є важливим, щоб боти не могли вгадати. З іншого боку, тисячі ботів, які потрапляють на вашу сторінку входу, збільшать використання ЦП та оперативної пам’яті вашого сервера. Це призведе до того, що ваша хостинг -компанія заборонить ваш обліковий запис, особливо у середовищі спільного хостингу.

Для WordPress доступно багато плагінів безпеки для захисту від атак грубої сили одним або кількома з наведених нижче методів.

  • Увімкніть максимальну кількість спроб входу, щоб користувач був заблокований після кількох спроб. Ви як адміністратор отримаєте сповіщення щодо блокування з іменем користувача та IP -адресою.
  • Використовуйте капчу у формах входу та реєстрації, щоб захистити спроби автоматичного входу ботів.
  • Коли відомі погані боти намагаються увійти, вони будуть перенаправлені на локальний сервер, щоб уникнути завантаження на ваш сервер.
  • Змініть URL -адресу для входу на панель адміністратора.
  • Ведення білого списку, щоб дозволити доступ до сторінки входу лише цим IP -адресам. Усі інші IP -адреси не матимуть доступу до вашої сторінки входу.
  • Запобігання входу на основі файлів cookie, що дозволяє входити на ваш сайт лише людям, які мають у своєму веб -переглядачі спеціальні файли cookie.
  • За допомогою техніки honeypot вставити приховане поле на сторінці входу. Оскільки боти, як правило, заповнюють усі поля на сторінці входу, їх можна легко заборонити доступу до вашого сайту.

Детально дізнайтеся, як запобігти атаці грубої сили на веб -сайті WordPress.

11 Заблокувати чорний список підозрілих користувачів, ботів та IP -адрес

Ще один важливий аспект безпеки – це моніторинг користувачів і ботів, які відвідують ваш сайт. Оскільки більшість платних послуг хостингу ґрунтуються на обмеженні відвідуваності, необхідно стежити за автоматизованими ботами, які сканують ваш сайт. Детальні відомості про трафік можна знайти за допомогою одного із інструментів статистики, наявних у вашому обліковому записі хостингу, наприклад “Awstats”. Окремі користувачі, ім’я агента користувача ботів та IP -адреси можуть бути заблоковані для захисту вашого сайту.

Ви також можете легко заблокувати всі IP-адреси, крім вашої, створивши файл “.htaccess” та розмістивши його у папці “/wp-admin/” з таким кодом:

order deny,allow allow from "Your IP address" deny from all

Якщо ви отримуєте доступ до панелі адміністратора з кількох IP -адрес, дозвольте декілька IP -адрес, додавши кілька команд дозволу, як показано нижче:

order deny,allow allow from "Your IP address1" allow from "Your IP address2" allow from "Your IP address3" deny from all

Ви також можете заблокувати всю країну за допомогою плагінів для блокування країни.

12 Вимкніть перегляд каталогів

Перегляд каталогів дозволяє будь -якому користувачу переглядати структуру каталогів вашого сайту. Наприклад, будь-хто може відкрити папку “/wp-content/plugins/” у браузері та перевірити всі встановлені плагіни на вашому сайті. Якщо хакер знає, що на вашому сайті є проблемний плагін, це стане легким входом у викрадення вашого сайту.

Перегляд каталогів можна вимкнути, додавши наведену нижче директиву у файл “.htaccess”, розташований у кореневому каталозі вашого сервера.

Options All -Indexes

Дізнайтесь, як редагувати файл .htaccess на веб -сайті WordPress.

13 Вимкніть версію WordPress

Сайти WordPress показують версію WordPress, яку він використовує у вихідному коді сторінок. Ви можете натиснути правою кнопкою миші та переглянути вихідний код свого сайту WordPress у веб -переглядачі, щоб знайти інформацію про версію, як показано нижче:

<meta name="generator" content="WordPress 5.5" />

В ідеалі не потрібно приховувати цей тег генератора мета, якщо ви негайно оновлюєтесь до останньої версії. Рекомендується приховувати цю інформацію про версію, якщо ви не використовуєте останню версію або не оновлюєте періодично.

Старі версії WordPress мають багато відомих вразливостей, які виправляються з плином часу. Хакери можуть використовувати цю інформацію про версію, щоб знаходити сайти за старими версіями та легко вводити ці вразливості. Крім тегу генератора мета, WordPress також показує номер версії у більшості файлів таблиць стилів та сценаріїв, додаючи суфікс до рядка “/?ver=5.5 ″. Використовуйте плагіни безпеки, щоб повністю видалити інформацію про версію з усіх вихідних кодів.

Пропозиція SEO: Оптимізуйте свій сайт за допомогою спеціальної 14 -денної безкоштовної пробної версії Semrush Pro.

14 Зміна префіксу таблиці бази даних

Під час встановлення WordPress вам буде запропоновано ввести префікс для таблиць вашої бази даних MySQL. WordPress за замовчуванням додає “wp_” до всіх таблиць бази даних як префікс. Наприклад, весь текстовий вміст вашого сайту WordPress зберігається в таблиці “wp_posts”. Це робить роботу хакерів легко вводити шкідливий код у ваші таблиці бази даних безпосередньо через неналежний доступ.

Як правило, інсталяція одним натисканням кнопки від веб-хостингу завжди додає складну префікс до вашої бази даних WordPress. Але при встановленні WordPress вручну, якщо ви надали простий префікс, ми рекомендуємо змінити його зараз. Ви можете змінити префікс таблиці бази даних за допомогою будь -якого плагіна безпеки, оскільки зміна вручну є досить складним завданням для початківців.

Змінюючи префікс, ви покращуєте захист вашої бази даних, оскільки хакери не можуть вгадати правильні назви таблиць.

15 Змініть URL -адресу для входу WordPress

Зміна URL -адреси для входу зменшить кількість атак грубої сили, оскільки жодні боти та хакери не знаходять способу входу на ваш сайт. Такі плагіни, як iThemes Security та «Все в одному» WP безпеки та брандмауер, пропонують простий спосіб змінити URL -адресу для входу. Ви можете зберегти URL -адресу на кшталт ” http://yoursitename.com/dontattack1me4/ “, що містить буквено -цифрові значення, щоб зробити її більш безпечною.

16 Використання правильних дозволів на файли

Кожен файл і папка у вашій установці WordPress мають визначений дозвіл на файли. Це допомагає вирішити, хто може читати, писати або виконувати певні файли на сайті. Як правило, такі файли, як “wp-config.php” та “.htaccess”, повинні бути захищені належним дозволом, щоб публічна група не мала доступу до цих файлів.

Посібник із безпеки WordPress - 28 порад щодо захисту вашого сайту

Змінити дозвіл файлів за допомогою FileZilla

Дозволів на файли за умовчанням, визначених WordPress, переважно достатньо для захисту ваших даних. Але проблема виникає, коли ви встановлюєте плагіни та теми, які змінять або створять багато папок у вашій установці. Радимо сканувати ваш сайт і мати правильні дозволи для всіх важливих папок.

17 Відстеження змін файлу

Хакери впроваджують шкідливий код у вашу файлову систему та відображають їх вміст замість вашого під час відкриття сайту. Тому розумно відстежувати зміни у важливих файлах на вашому сайті. Як правило, усі основні файли з розширенням .php (наприклад, “wp-config.php”) не слід змінювати нікому без вашого відома.

Ви можете досягти цього відстеження файлів за допомогою будь -якого з плагінів безпеки. Ці плагіни дозволяють вибрати конкретний каталог та файли на вашому сайті для відстеження.

18 Використовуйте основні параметри брандмауера

Існують основні та розширені налаштування брандмауера для покращення безпеки вашого сайту WordPress. Зазвичай ці елементи керування додаються до файлу “.htaccess” і запобігають доступу хакерів і ботів до вашого сайту. Деякі налаштування брандмауера для покращення безпеки WordPress включають:

  • Заборонити доступ до файлів “wp-config.php” та “.htaccess”.
  • Обмежте розмір завантаження файлу
  • Видалити підпис сервера

19 Заборонити доступ до файлу журналу

Вирішення проблем WordPress потребує кваліфікованого аналізу ситуації. WordPress дозволяє ввімкнути журнал налагодження, щоб було легко дізнатися, що відбувається, коли на вашому сайті ініціюється дія. Після ввімкнення налагодження файл “debug.log” буде зберігатися у “/wp-content/debug.log”. Це важливий файл, який потрібно захистити від хакерів, щоб уникнути витоку конфіденційної інформації. Після усунення несправностей вимкніть налагодження та видаліть файли журналу.

Також ви можете відключити доступ браузера до файлу “debug.log” і продовжувати доступ за допомогою FTP.

20 Вимкніть XMLPRC та Pingbacks

Коли ви відстежуєте відвідуваність вашого сайту, ви здивуєтесь, побачивши кількість ботів, які намагаються отримати доступ до сторінки “/xmlprc.php”. Хакери мають багато можливостей використовувати API XMLPRC для видалення вашого сайту, включаючи такі уразливості, як DoS або Denial of Service.

Крім проблем зі зломом, необхідно захистити доступ до сторінки “xmlprc.php”, щоб зменшити навантаження на ваш хостинг -сервер. Переконайтеся, що ви не використовуєте функцію XMLPRC на своєму веб -сайті WordPress, і вимкніть її, щоб захистити свій сайт від хакерів.

Попередження. Зверніть увагу: деякі плагіни та програми, такі як WordPress iOS, використовують цей XMLPRC API. Якщо ви вимкнете послугу, програма або плагін не працюватимуть.

Подібно до XMLPRC, зворотний зв’язок також може створити проблеми безпеки вашого сайту. Ви можете вимкнути зворотний зв’язок на панелі адміністратора та покращити захист даних для свого сайту.

Посібник із безпеки WordPress - 28 порад щодо захисту вашого сайту

Вимкніть Pingbacks у WordPress

21 Безпечно обробляйте чутливі дані

У світі безпеки WordPress злом не обов’язково означає завжди захоплення сайту або сервера. Найчастіше хакерство робиться для крадіжки конфіденційних даних, таких як електронна пошта та дані кредитної картки, наявні на сайті. Використовуйте протокол HTTPS на сторінках для збору даних за допомогою форм, особливо якщо дані мають делікатний характер, наприклад фінансові дані, номер соціального страхування тощо, і надсилайте дані через захищені сервери електронної пошти для захисту від хакерів. Особливо, якщо у вас є Інтернет -магазин, обов’язковим є використання протоколу SSL та застосування протоколу HTTPS для фінансових операцій.

Не використовуйте файл robots.txt, щоб приховати важливі сторінки та каталоги від пошукових систем. Будь -хто може переглянути ваш файл robots.txt у веб -переглядачі та отримати доступ до прихованих сторінок. Використання директив “.htaccess” може допомогти краще контролювати, але поговоріть з розробником плагіна або експертом, якщо ви не розумієте, як дані зберігаються та передаються.

Зазвичай дані, зібрані з форм, зберігаються у користувацьких таблицях у базі даних та використовуються для різних цілей. Отже, переконайтеся, що жодна інша особа не має доступу до вашого облікового запису хостингу та не читає таблиці бази даних.

22 Запобігання спаму

Хоча спам не є хакерством, хакер може бути спамером, щоб перевірити вразливі місця вашого сайту за допомогою надсилання коментарів або форм.

  • Обов’язково використовуйте плагіни для запобігання спаму, такі як Akismet, щоб захистити свій сайт від спамерів.
  • Якщо потрібно, ви можете використовувати captcha для коментарів, логіну, реєстрації та контактних форм.
  • Блокуйте коментарі, які не походять з вашого домену, щоб зупинити автоматичну генерацію коментарів з -за меж вашого сайту.

23 Майте періодичне резервне копіювання сайту

З точки зору безпеки та резервного копіювання Outlook будуть виглядати дві різні теми. Але правда в тому, що вони взаємопов’язані як два етапи єдиної діяльності. Коли сайт зламаний, перше, що вам потрібно, – це створити захищену резервну копію для відновлення вмісту.

  • Переконайтеся, що у вас є періодична резервна копія файлів сайту та бази даних.
  • Зберігайте резервну копію поза сервером хостингу.
  • Захистіть резервну копію від несанкціонованого доступу, подібно до захисту вашого веб -сайту.
  • Перевірте та переконайтеся, що резервна копія працює і її можна відновити під час надзвичайної ситуації.
  • Перевірте у свого хоста, чи створено резервну копію всього вмісту сайту, і вони можуть допомогти у відновленні під час катастрофи.

Регулярно створюйте резервні копії свого сайту, щоб його можна було відновити під час надзвичайних ситуацій. Також завантажте резервну копію на свій локальний комп’ютер і тримайте її подалі від сервера хостингу. Локальна резервна копія допоможе вам відновити ваш сайт, коли ваш сервер заражений.

Примітка: Ви можете створити локальне середовище розробки WordPress за допомогою будь -якого іншого програмного забезпечення MAMP і періодично створювати резервні копії вашого веб -сайту на локальному комп’ютері.

24 Сканування на наявність шкідливого програмного забезпечення

Зловмисне програмне забезпечення або шкідливе програмне забезпечення – це фрагмент коду, який хакер вставить у ваш звичайний код. Вам може бути важко знайти шкідливе програмне забезпечення на сайті, оскільки важко відрізнити шкідливий код. Періодично перевіряйте свій сайт на наявність шкідливого програмного забезпечення за допомогою платних послуг безпеки, щоб переконатися, що вміст вашого сайту безпечний. Більшість хостинг -компаній та плагінів безпеки пропонують функцію сканування шкідливого програмного забезпечення та надсилають статус сканування на вашу електронну пошту.

Коли ваш сайт заражений шкідливим програмним забезпеченням або виникає будь -яка інша проблема безпеки WordPress, перше, що ви можете помітити, це падіння трафіку. Оскільки пошукові системи -боти, такі як Googlebot, дуже розумні, вони можуть виявити шкідливий код і знизити ваш рейтинг пошуку, щоб захистити користувачів. Ви можете скористатися засобами безпеки, доступними в Google Search Console, і підтвердити безпечність перегляду вашого сайту .

Посібник із безпеки WordPress - 28 порад щодо захисту вашого сайту

Перевірте проблеми безпеки в Google Search Console

25 Моніторинг помилок 404

Автоматизовані боти намагатимуться отримати доступ до неіснуючих сторінок вашого сайту, що призведе до помилки 404. Моніторинг помилки 404 дасть вам уявлення про те, хто намагається отримати доступ до старих або неіснуючих URL-адрес на вашому сайті.

Наприклад, бот або користувач, який намагається отримати доступ до неіснуючої сторінки “…/платеж/”, слід заблокувати. Це означає, що бот або користувач намагаються вгадати потенційні приховані сторінки вашого сайту, щоб отримати конфіденційні дані.

Пов’язані: Посібник із WordPress SEO для покращення рейтингу пошуку.

26 Захистіть файли WP-config та .htaccess

“Wp-config.php”-це файл конфігурації, що містить важливу інформацію, наприклад ім’я бази даних та пароль вашого сайту WordPress. Доступ до файлу можна отримати через FTP або через обліковий запис хостингу, використовуючи такі параметри, як «Менеджер файлів». Більшість плагінів безпеки додають параметри до цього конфігураційного файлу для контролю поведінки. Настійно рекомендується створити резервну копію файлу “wp-config.php”, перш ніж вносити будь-які налаштування щодо плагінів, пов’язаних із безпекою.

Так само файл .htaccess, розташований у кореневому каталозі вашого сайту, є ключовим файлом, який використовується для заходів безпеки. Перед зміною файлу за допомогою плагінів безпеки переконайтеся, що у вас є резервна копія.

27 Надання безпечного доступу третіх сторін

Коли ви купуєте тему або плагін на веб -сайті третьої частини, може знадобитися надати адміністратору доступ до них для усунення несправностей. Під час роботи зі сторонніми розробниками дотримуйтесь наведених нижче вказівок.

  • Перевірте всі аспекти усунення несправностей та підтвердьте необхідність надання спільного доступу до даних адміністратора.
  • Ніколи не надавайте доступу власного адміністратора до веб -сайтів третіх сторін.
  • Створіть нове ім’я користувача з доступом адміністратора та надайте йому.
  • Коли ви пропонуєте доступ до FTP, обмежте доступ лише до потрібної папки або домену.
  • Видаляючи обліковий запис FTP, будьте обережні, видаляючи лише той обліковий запис, а не дані, пов’язані з обліковим записом FTP. Неправильне видалення облікового запису FTP разом із відповідними даними знищить ваш вміст за лічені секунди.

28 Використовуйте плагіни безпеки WordPress

Впровадження всіх заходів безпеки, про які йшлося вище, буде складним завданням для власників сайтів. На щастя, існує багато безкоштовних і преміальних плагінів безпеки WordPress, які пропонують ці функції як пакет. Ви можете або використовувати безкоштовні плагіни, такі як All in One WP Security та Firewall, або частково безкоштовні плагіни, такі як iThemes security / Wordfence. Більшість із зазначених вище пунктів пропонуються як пакет у цьому плагіні безпеки та полегшують вашу роботу.

Нижче наведено деякі популярні плагіни безпеки, і ми настійно рекомендуємо вам протестувати той, який підходить саме вам, перед установкою на веб -сайт у реальному часі.

Плагіни пакета безпеки

Ці плагіни пропонують більшість функцій безпеки у комплекті.

  • iThemes Security (раніше Better WP Security)
  • Безпека Wordfence
  • Безпека BulletProof
  • Все в одному – безпека та брандмауер WordPress

Плагіни захисту паролем

  • Примусити надійні паролі
  • Термін дії пароля WordPress

Захист від грубої сили

  • Рішення безпеки при вході
  • Увійти LockDown
  • Перейменуйте wp-login.php
  • Модуль Jetpack Protect.
  • Lockdown WP Admin
  • Clef-двофакторна автентифікація
  • Google Authenticator

Плагін HTTPS

  • WordPress HTTPS (SSL)

Безпека електронної пошти

  • SMTP WP Mail

Заключні слова

Хоча список довгий, необхідно дотримуватися всіх цих порад щодо безпеки WordPress, щоб захистити свій сайт. Як уже згадувалося, ви можете використовувати будь -який безкоштовний або преміальний плагін для реалізації більшості цих функцій. Крім того, ми рекомендуємо зберігати безпеку як свою звичку регулярно створювати резервні копії та підтримувати свій сайт із своєчасними оновленнями.

Джерело запису: webnots.com
Залиште відповідь

Цей веб -сайт використовує файли cookie, щоб покращити ваш досвід. Ми припустимо, що з цим все гаразд, але ви можете відмовитися, якщо захочете. ПрийнятиЧитати далі