10 советов по безопасности WordPress, которые вы, вероятно, не знаете

Взломать блог и потерять годы за годами работы с блогами – грустная реальность, через которую люди действительно прошли. По факту, исследования показывают, что Каждый день взламывается 37 000 веб-сайтов, а благодаря тому, что WordPress обеспечивает примерно 25,4% всех веб-сайтов, вы можете быть уверены, что многие WordPress-блоги взломаны каждый день.

Безопасность WordPress – это совершенно другая игра. если у вас есть блог на WordPress, таких советов, как имя пользователя, которое трудно угадать, и пароль, такой же жесткий, как рок, больше не достаточно. Одна тема с ошибками, неправильный плагин или неправильно защищенный файл могут привести к тому, что ваш блог будет взломан за одну ночь.

Если у вас нет опыта работы с WordPress или вы используете платформу с момента ее существования, в этой статье есть 10 практических и эффективных способов защитить ваш блог WordPress, которые может реализовать любой. Вы не найдете большинство этих советов в популярных статьях «Как обезопасить свой блог», но они вполне могут спасти ваш блог однажды!

Подробнее: 60+ самых популярных советов, хитростей и приемов WordPress

1. Отключите редактор тем и плагинов WordPress
   WordPress имеет удобную функцию, которая дает владельцам сайтов больше гибкости, позволяя им настраивать и редактировать свои темы и плагины прямо с панели управления WordPress, но эта функция была отменена большинством блогов.

С помощью этой функции небольшая ошибка может привести к сбою вашего сайта и заблокировать ваш собственный сайт. Хакеры могут легко вставить вредоносный код в вашу тему, чтобы предоставить им доступ к вашему сайту, или даже полностью захватить ваш сайт, получив контроль над учетной записью, у которой достаточно прав для использования редактора тем и плагинов.

Вы можете защитить себя, отключив плагин и редактор тем, что делает невозможным изменение ваших тем и плагинов без доступа по FTP.

Сделайте это, добавив следующий код в ваш файл wp-config.php:

define (‘DISALLOW_FILE_EDIT’, true);

Подробнее: 9 плагинов WordPress для обнаружения вредоносного кода на вашем сайте

1. Включить двухфакторную аутентификацию
   Двухфакторная проверка подлинности быстро становится одним из самых надежных способов защиты ваших учетных записей в Интернете, и большинство надежных веб-сайтов будут настаивать на том, чтобы их включили их пользователи.

   Хотя в WordPress необязательно встроена двухфакторная аутентификация, вы можете включить двухфакторную аутентификацию в своем блоге, установив следующие плагины:

   1. Ограничить логины на основе количества неудачных попыток
      Есть много способов, которыми хакеры пытаются получить доступ к вашему блогу, и одним из наиболее распространенных методов является атака грубой силы: хакер снова и снова пытается комбинировать имена пользователей и пароли, пока не сможет успешно получить доступ к вашему блогу.
      По умолчанию WordPress не защищен от этой атаки. Установив плагины, ограничивающие входы в систему после определенного количества неудачных попыток с определенного IP, вы можете значительно усложнить хакерам доступ к вашему блогу.

   Jetpack Защитный модуль Плагин также может защитить вас от атак грубой силы.

2. Регулярно сканируйте свой блог
   Файлы тем, плагины, ссылки и другие, казалось бы, безвредные элементы могут быть использованы для получения доступа к вашему блогу. Не ждите, пока ваш сайт не будет полностью заражен, прежде чем принимать меры. Вместо этого установите плагины сканирования безопасности, чтобы регулярно сканировать ваш веб-сайт и уведомлять вас об изменениях ваших файлов.

   Хороший пример плагина для сканирования безопасности: Wordfence, Помимо предоставления вам возможности вручную / автоматически сканировать ваш блог WordPress, он также мгновенно уведомляет вас о подозрительной активности в вашем блоге.

Он также отправляет информацию о потенциально вредоносных комментариях и сравнивает вашу тему и файлы плагинов с репозиторием WordPress, чтобы сообщить вам, была ли изменена ваша версия плагина или темы и может ли она служить бэкдором для хакеров на вашем сайте.

Другие плагины безопасности, которые могут помочь вам сканировать ваш блог на наличие вредоносных программ и эксплойтов:

Подробнее: 20 бесплатных инструментов SEO, которые должен знать каждый блоггер

1. Сменить хост
   Хотя это звучит как упрощенный совет, на самом деле он имеет большой вес. Исследование показывает что 41% взломанных сайтов WordPress были взломаны уязвимостью безопасности на их хостинговой платформе. Это намного больше, чем из других источников, в том числе со слабым паролем.

   Ваш хост может играть важную роль в том, будут ли вы взломаны или нет; Убедитесь, что вы пользуетесь только надежными веб-хостами, которые выдержали испытание временем и соответствуют лучшим отраслевым практикам.

Подробнее: 10 важных факторов, которые следует учитывать перед выбором веб-хостинга

1. Скрыть ваш номер версии WordPress
   По умолчанию WordPress отображает номер вашей версии WordPress; Это позволяет WordPress легко отслеживать, сколько блогов WordPress активно во всем мире. Тем не менее, это также может быть огромным источником проблем; хакеры и боты могут сканировать блоги на наличие блогов, используя номер версии WordPress с известной уязвимостью, что делает вас легкой целью.

Вы можете легко решить эту проблему, скрыв свой номер версии WordPress. Чтобы скрыть номер версии WordPress, просто добавьте следующий код в файл functions.php:

add_filter (‘the_generator’, ‘__return_null’);

Подробнее: Как вы помогаете хакерам украсть ваши данные

1. Отключите отчеты об ошибках PHP
   Если плагин или тема не работают должным образом в вашем блоге WordPress, отчеты об ошибках PHP могут помочь, показывая вам сообщение, раскрывающее причину ошибки. Однако в этом преимуществе заключается недостаток: когда сообщается об ошибке PHP, он включает полный путь к ошибке сервера, раскрывая информацию, которую хакеры могут использовать против вас.

Вы можете защитить себя, отключив отчеты об ошибках PHP. Просто добавьте следующий код в ваш файл wp-config.php:
error_reporting (0);
  @ini_set (‘display_errors ‘, 0);

Подробнее: 10 самых распространенных ошибок WordPress (с решениями)

1. Работайте над своими правами доступа к файлу WordPress
   Когда дело доходит до предотвращения вашего сайта WordPress от угроз безопасности, важно убедиться, что у вас есть необходимые права доступа к файлам. Это мешает хакеру манипулировать плагинами, темами или файлами на вашем сервере, чтобы захватить ваш веб-сайт.

   Убедитесь, что WordPress папка разрешения установлены на 755 или 750; файл разрешения установлены на 640 или 644; и что разрешение wp-config.php установлено на 600.

Подробнее: Стандарты кодирования для WordPress [Guide]

1. Обеспечить регулярное резервное копирование
   Даже большие веб-сайты с командой экспертов по безопасности и консультантов подвергаются хакерской атаке, и, следуя лучшим рекомендациям, вы можете сделать свой веб-сайт сильнее, чем 99,9% веб-сайтов, но все равно все может сломаться.
   Лучшая защита от хакерских атак WordPress – это хорошая резервная копия; убедитесь, что вы делаете резервные копии своего сайта на регулярной основе – если возможно, ежедневно. Таким образом, если ваш сайт взломан, у вас есть ваши файлы на месте и вы можете сразу же их восстановить.

   Вот некоторые из лучших плагинов для резервного копирования WordPress:

Подробнее: Решения для резервного копирования баз данных и файлов WordPress – лучшие из

1. Ограничить доступ к вашей странице входа
   Когда толчок наступает, вам, возможно, придется предпринять какие-то решительные действия. Очень надежный способ защитить ваш блог от попыток взлома – полностью заблокировать доступ к вашей странице wp-admin и wp-login.php.

Это рекомендуется только в том случае, если вы используете один IP-адрес, который не меняется (вы не хотите блокировать себя из своего блога!). Вы все еще можете использовать эту опцию, если вы используете более одного IP-адреса, но отслеживаете эти адреса.

Чтобы ограничить доступ к вашей странице входа, добавьте следующий код в ваш файл .htaccess:

ПереписатьEngine на
  RewriteCond% {REQUEST_URI} ^ (. *)? Wp-login .php (. *) $ [OR]
RewriteCond% {REQUEST_URI} ^ (. *)? Wp-admin $
  RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 1 $
  RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 2 $
  RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 3 $
  RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 4 $
  RewriteCond% {REMOTE_ADDR}! ^ Ваш IP-адрес 5 $
  RewriteRule ^ (. *) $ – [R=403,L]

Обязательно отредактируйте свой IP-адрес с 1 по Ваш IP-адрес 5 с разными IP-адресами, к которым вы хотите предоставить доступ; Вы можете просто добавить или удалить строку, чтобы разрешить или запретить доступ к вашему сайту большему количеству IP-адресов.

Подробнее: Как развернуть SSL и HTTPS в WordPress бесплатно

Вывод
Конечно, вы не должны игнорировать базовые советы по безопасности, такие как не использовать предсказуемое имя пользователя, иметь надежный пароль, регулярно обновлять установку WordPress и т. Д. Однако, выше приведены некоторые малоизвестные, часто игнорируемые советы по безопасности, которые могут сделать ваш Блог WordPress чуть более безопасен.

Примечание редактора: Этот пост гостя написан для Hongkiat.com Джоном Стивенсом. Джон WordPress и эксперт по хостингу. Он является основателем и генеральным директором HostingFacts.com, портал, где он просматривает и оценивает веб-хосты на основе производительности.