10 советов по безопасности WordPress, которые вы, вероятно, не знаете
Взломать блог и потерять годы за годами работы с блогами – грустная реальность, через которую люди действительно прошли. По факту, исследования показывают, что Каждый день взламывается 37 000 веб-сайтов, а благодаря тому, что WordPress обеспечивает примерно 25,4% всех веб-сайтов, вы можете быть уверены, что многие WordPress-блоги взломаны каждый день.
Безопасность WordPress – это совершенно другая игра. если у вас есть блог на WordPress, таких советов, как имя пользователя, которое трудно угадать, и пароль, такой же жесткий, как рок, больше не достаточно. Одна тема с ошибками, неправильный плагин или неправильно защищенный файл могут привести к тому, что ваш блог будет взломан за одну ночь.
Если у вас нет опыта работы с WordPress или вы используете платформу с момента ее существования, в этой статье есть 10 практических и эффективных способов защитить ваш блог WordPress, которые может реализовать любой. Вы не найдете большинство этих советов в популярных статьях «Как обезопасить свой блог», но они вполне могут спасти ваш блог однажды!
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)
Подробнее: 60+ самых популярных советов, хитростей и приемов WordPress
- Отключите редактор тем и плагинов WordPress
WordPress имеет удобную функцию, которая дает владельцам сайтов больше гибкости, позволяя им настраивать и редактировать свои темы и плагины прямо с панели управления WordPress, но эта функция была отменена большинством блогов.
С помощью этой функции небольшая ошибка может привести к сбою вашего сайта и заблокировать ваш собственный сайт. Хакеры могут легко вставить вредоносный код в вашу тему, чтобы предоставить им доступ к вашему сайту, или даже полностью захватить ваш сайт, получив контроль над учетной записью, у которой достаточно прав для использования редактора тем и плагинов.
Вы можете защитить себя, отключив плагин и редактор тем, что делает невозможным изменение ваших тем и плагинов без доступа по FTP.
Сделайте это, добавив следующий код в ваш файл wp-config.php:
define (‘DISALLOW_FILE_EDIT’, true);
Подробнее: 9 плагинов WordPress для обнаружения вредоносного кода на вашем сайте
- Включить двухфакторную аутентификацию
Двухфакторная проверка подлинности быстро становится одним из самых надежных способов защиты ваших учетных записей в Интернете, и большинство надежных веб-сайтов будут настаивать на том, чтобы их включили их пользователи.Хотя в WordPress необязательно встроена двухфакторная аутентификация, вы можете включить двухфакторную аутентификацию в своем блоге, установив следующие плагины:
- Ограничить логины на основе количества неудачных попыток
Есть много способов, которыми хакеры пытаются получить доступ к вашему блогу, и одним из наиболее распространенных методов является атака грубой силы: хакер снова и снова пытается комбинировать имена пользователей и пароли, пока не сможет успешно получить доступ к вашему блогу.
По умолчанию WordPress не защищен от этой атаки. Установив плагины, ограничивающие входы в систему после определенного количества неудачных попыток с определенного IP, вы можете значительно усложнить хакерам доступ к вашему блогу.
Jetpack Защитный модуль Плагин также может защитить вас от атак грубой силы.
- Ограничить логины на основе количества неудачных попыток
Регулярно сканируйте свой блог
Файлы тем, плагины, ссылки и другие, казалось бы, безвредные элементы могут быть использованы для получения доступа к вашему блогу. Не ждите, пока ваш сайт не будет полностью заражен, прежде чем принимать меры. Вместо этого установите плагины сканирования безопасности, чтобы регулярно сканировать ваш веб-сайт и уведомлять вас об изменениях ваших файлов.Хороший пример плагина для сканирования безопасности: Wordfence, Помимо предоставления вам возможности вручную / автоматически сканировать ваш блог WordPress, он также мгновенно уведомляет вас о подозрительной активности в вашем блоге.
Он также отправляет информацию о потенциально вредоносных комментариях и сравнивает вашу тему и файлы плагинов с репозиторием WordPress, чтобы сообщить вам, была ли изменена ваша версия плагина или темы и может ли она служить бэкдором для хакеров на вашем сайте.
Другие плагины безопасности, которые могут помочь вам сканировать ваш блог на наличие вредоносных программ и эксплойтов:
Подробнее: 20 бесплатных инструментов SEO, которые должен знать каждый блоггер
- Сменить хост
Хотя это звучит как упрощенный совет, на самом деле он имеет большой вес. Исследование показывает что 41% взломанных сайтов WordPress были взломаны уязвимостью безопасности на их хостинговой платформе. Это намного больше, чем из других источников, в том числе со слабым паролем.Ваш хост может играть важную роль в том, будут ли вы взломаны или нет; Убедитесь, что вы пользуетесь только надежными веб-хостами, которые выдержали испытание временем и соответствуют лучшим отраслевым практикам.
Подробнее: 10 важных факторов, которые следует учитывать перед выбором веб-хостинга
- Скрыть ваш номер версии WordPress
По умолчанию WordPress отображает номер вашей версии WordPress; Это позволяет WordPress легко отслеживать, сколько блогов WordPress активно во всем мире. Тем не менее, это также может быть огромным источником проблем; хакеры и боты могут сканировать блоги на наличие блогов, используя номер версии WordPress с известной уязвимостью, что делает вас легкой целью.
Вы можете легко решить эту проблему, скрыв свой номер версии WordPress. Чтобы скрыть номер версии WordPress, просто добавьте следующий код в файл functions.php:
add_filter (‘the_generator’, ‘__return_null’);
Подробнее: Как вы помогаете хакерам украсть ваши данные
- Отключите отчеты об ошибках PHP
Если плагин или тема не работают должным образом в вашем блоге WordPress, отчеты об ошибках PHP могут помочь, показывая вам сообщение, раскрывающее причину ошибки. Однако в этом преимуществе заключается недостаток: когда сообщается об ошибке PHP, он включает полный путь к ошибке сервера, раскрывая информацию, которую хакеры могут использовать против вас.
Вы можете защитить себя, отключив отчеты об ошибках PHP. Просто добавьте следующий код в ваш файл wp-config.php:
error_reporting (0);
@ini_set (‘display_errors ‘, 0);
Подробнее: 10 самых распространенных ошибок WordPress (с решениями)
- Работайте над своими правами доступа к файлу WordPress
Когда дело доходит до предотвращения вашего сайта WordPress от угроз безопасности, важно убедиться, что у вас есть необходимые права доступа к файлам. Это мешает хакеру манипулировать плагинами, темами или файлами на вашем сервере, чтобы захватить ваш веб-сайт.Убедитесь, что WordPress папка разрешения установлены на 755 или 750; файл разрешения установлены на 640 или 644; и что разрешение wp-config.php установлено на 600.
Подробнее: Стандарты кодирования для WordPress [Guide]
- Обеспечить регулярное резервное копирование
Даже большие веб-сайты с командой экспертов по безопасности и консультантов подвергаются хакерской атаке, и, следуя лучшим рекомендациям, вы можете сделать свой веб-сайт сильнее, чем 99,9% веб-сайтов, но все равно все может сломаться.
Лучшая защита от хакерских атак WordPress – это хорошая резервная копия; убедитесь, что вы делаете резервные копии своего сайта на регулярной основе – если возможно, ежедневно. Таким образом, если ваш сайт взломан, у вас есть ваши файлы на месте и вы можете сразу же их восстановить.
Вот некоторые из лучших плагинов для резервного копирования WordPress:
Подробнее: Решения для резервного копирования баз данных и файлов WordPress – лучшие из
- Ограничить доступ к вашей странице входа
Когда толчок наступает, вам, возможно, придется предпринять какие-то решительные действия. Очень надежный способ защитить ваш блог от попыток взлома – полностью заблокировать доступ к вашей странице wp-admin и wp-login.php.
Это рекомендуется только в том случае, если вы используете один IP-адрес, который не меняется (вы не хотите блокировать себя из своего блога!). Вы все еще можете использовать эту опцию, если вы используете более одного IP-адреса, но отслеживаете эти адреса.
Чтобы ограничить доступ к вашей странице входа, добавьте следующий код в ваш файл .htaccess:
ПереписатьEngine на
RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login .php (. *) $ [OR]
RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $
RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 1 $
RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 2 $
RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 3 $
RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 4 $
RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 5 $
RewriteRule ^ (. *) $ – [R=403,L]
Обязательно отредактируйте свой IP-адрес с 1 по Ваш IP-адрес 5 с разными IP-адресами, к которым вы хотите предоставить доступ; Вы можете просто добавить или удалить строку, чтобы разрешить или запретить доступ к вашему сайту большему количеству IP-адресов.
Подробнее: Как развернуть SSL и HTTPS в WordPress бесплатно
Вывод
Конечно, вы не должны игнорировать базовые советы по безопасности, такие как не использовать предсказуемое имя пользователя, иметь надежный пароль, регулярно обновлять установку WordPress и т. Д. Однако, выше приведены некоторые малоизвестные, часто игнорируемые советы по безопасности, которые могут сделать ваш Блог WordPress чуть более безопасен.
Примечание редактора: Этот пост гостя написан для Hongkiat.com Джоном Стивенсом. Джон WordPress и эксперт по хостингу. Он является основателем и генеральным директором HostingFacts.com, портал, где он просматривает и оценивает веб-хосты на основе производительности.
Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)