В наши дни запустить собственный сайт WordPress довольно просто, но не стоит забывать сделать сайт WordPress безопасным и надёжным. Иначе, хакерам не понадобится много времени, чтобы начать нацеливаться на ваш сайт.
Лучший способ обезопасить сайт WordPress — это понять все уязвимости, возникающие при запуске сайта WordPress. Затем установите соответствующую систему безопасности, чтобы блокировать хакеров в каждой из этих точек.
В этой статье вы узнаете, как лучше защитить свой домен, логин WordPress, а также инструменты и плагины, доступные для защиты вашего сайта WordPress.
Создать частный домен
В наши дни очень легко найти доступный домен и купить его по очень низкой цене. Большинство людей никогда не покупают дополнительные домены для своего домена. Тем не менее, вы всегда должны учитывать одно дополнение — Privacy Protection.
GoDaddy предлагает три основных уровня защиты конфиденциальности, но они также соответствуют предложениям большинства поставщиков доменов.
- Базовый : скрыть свое имя и контактную информацию из каталога WHOIS. Это доступно только в том случае, если ваше правительство разрешает скрывать контактную информацию домена.
- Полный : замените свою информацию альтернативным адресом электронной почты и контактной информацией, чтобы скрыть свою настоящую личность.
- Ultimate : дополнительная безопасность, которая блокирует сканирование вредоносных доменов и включает мониторинг безопасности вашего реального сайта.
Обычно для обновления домена до одного из этих уровней безопасности достаточно выбрать обновление из раскрывающегося списка на странице со списком домена.
Базовая защита домена довольно дешевая (обычно около 9,99 долларов в год), а более высокий уровень безопасности не намного дороже.
Это отличный способ помешать спамерам соскрести вашу контактную информацию из базы данных WHOIS или другим лицам со злым умыслом, которые хотят получить доступ к вашей контактной информации.
Скрыть файлы wp-config.php и .htaccess
При первой установке WordPress вам необходимо будет указать административный идентификатор и пароль для вашей базы данных WordPress SQL в файле wp-config.php.
Эти данные зашифровываются после установки, но вы также хотите, чтобы хакеры не могли редактировать этот файл и взламывать ваш сайт. Для этого найдите и отредактируйте файл .htaccess в корневой папке вашего сайта и добавьте следующий код в конец файла.
# защита wpconfig.php
<files wp-config.php>
разрешить порядок, запретить
запретить для всех
</files>
Чтобы предотвратить внесение изменений в сам .htaccess, также добавьте следующее в конец файла.
# Защитить файл .htaccess
<Files .htaccess>
порядок разрешить, запретить
запретить для всех
</Files>
Сохраните файл и выйдите из редактора файлов.
Вы также можете щелкнуть правой кнопкой мыши каждый файл и изменить разрешения, чтобы полностью удалить доступ на запись для всех.
Хотя выполнение этого в файле wp-config.php не должно вызывать никаких проблем, выполнение этого в .htaccess может вызвать проблемы. Особенно, если вы используете какие-либо плагины безопасности WordPress, которым может потребоваться отредактировать файл .htaccess за вас.
Если вы получаете какие-либо ошибки от WordPress, вы всегда можете обновить разрешения, чтобы снова разрешить доступ на запись к файлу .htaccess.
Измените URL-адрес входа в WordPress
Поскольку страница входа по умолчанию для каждого сайта WordPress — yourdomain / wp-admin.php, хакеры будут использовать этот URL, чтобы попытаться взломать ваш сайт.
Они будут делать это с помощью так называемых атак «грубой силы», когда они будут отправлять варианты типичных имен пользователей и паролей, которые обычно используют многие люди. Хакеры надеются, что им повезет и они получат правильную комбинацию.
Вы можете полностью остановить эти атаки, изменив URL-адрес для входа в WordPress на что-то нестандартное.
Есть много плагинов WordPress, которые помогут вам в этом. Один из самых распространенных — WPS Hide Login .
Этот плагин добавляет раздел на вкладку « Общие » в разделе « Настройки» в WordPress.
Там вы можете ввести любой URL-адрес для входа и выбрать «Сохранить изменения», чтобы активировать его. В следующий раз, когда вы захотите войти на свой сайт WordPress, используйте этот новый URL.
Если кто-то попытается получить доступ к вашему старому URL-адресу wp-admin, он будет перенаправлен на страницу 404 вашего сайта.
Примечание . Если вы используете подключаемый модуль кеширования, обязательно добавьте новый URL-адрес для входа в список сайтов, которые не следует кэшировать. Затем обязательно очистите кеш, прежде чем снова войти на свой сайт WordPress.
Установите плагин безопасности WordPress
Есть много плагинов безопасности WordPress на выбор. Из всех них Wordfence является наиболее часто загружаемым по уважительной причине.
Бесплатная версия Wordfence включает мощный механизм сканирования, который ищет бэкдор-угрозы, вредоносный код в ваших плагинах или на вашем сайте, угрозы внедрения MySQL и многое другое. Он также включает брандмауэр для блокировки активных угроз, таких как DDOS-атаки.
Это также позволит вам остановить атаки методом грубой силы, ограничив попытки входа в систему и заблокировав пользователей, которые делают слишком много неправильных попыток входа в систему.
В бесплатной версии доступно довольно много настроек. Более чем достаточно для защиты небольших и средних веб-сайтов от большинства атак.
Существует также полезная страница панели инструментов, которую вы можете просмотреть для отслеживания недавних угроз и атак, которые были заблокированы.
Используйте генератор паролей WordPress и 2FA
Меньше всего вам нужно, чтобы хакеры могли легко угадать ваш пароль. К сожалению, слишком многие люди используют очень простые пароли, которые легко угадать. Некоторые примеры включают использование имени веб-сайта или собственного имени пользователя в качестве части пароля или отсутствие использования каких-либо специальных символов.
Если вы обновились до последней версии WordPress, у вас есть доступ к мощным инструментам защиты паролем для защиты вашего сайта WordPress.
Первый шаг к повышению безопасности пароля — это перейти к каждому пользователю вашего сайта, прокрутить вниз до раздела «Управление учетной записью» и нажать кнопку « Создать пароль» .
Это сгенерирует длинный и очень надежный пароль, который включает буквы, цифры и специальные символы. Сохраните этот пароль в надежном месте, желательно в документе на внешнем диске, который можно отключить от компьютера, пока вы в сети.
Выберите « Выйти из системы везде», чтобы закрыть все активные сеансы.
Наконец, если вы установили плагин безопасности Wordfence, вы увидите кнопку Активировать 2FA . Выберите это, чтобы включить двухфакторную аутентификацию для ваших учетных записей пользователей.
Если вы не используете Wordfence, вам необходимо установить любой из этих популярных плагинов 2FA.
- Google Authenticator
- Двухфакторная аутентификация Rublon
- Двухфакторная аутентификация Duo
Другие важные соображения безопасности
Есть еще несколько вещей, которые вы можете сделать, чтобы полностью защитить свой сайт WordPress.
И плагины WordPress, и сама версия WordPress должны постоянно обновляться. Хакеры часто пытаются использовать уязвимости в старых версиях кода на вашем сайте. Если вы не обновите оба этих параметра, вы подвергнете свой сайт опасности.
1. Регулярно выбирайте плагины и установленные плагины в панели администратора WordPress. Проверьте все плагины на наличие статуса, говорящего о наличии новой версии.
Когда вы увидите тот, который устарел, выберите обновить сейчас . Вы также можете рассмотреть возможность выбора Включить автоматические обновления для своих плагинов.
Однако некоторые люди опасаются этого, поскольку обновления плагинов могут иногда нарушать работу вашего сайта или темы. Поэтому всегда рекомендуется тестировать обновления плагинов на локальном тестовом сайте WordPress, прежде чем включать их на своем действующем сайте.
2. Когда вы войдете в свою панель управления WordPress, вы увидите уведомление о том, что WordPress устарел, если вы используете более старую версию.
Опять же, сделайте резервную копию сайта и загрузите ее на локальный тестовый сайт на свой компьютер, чтобы проверить, не нарушает ли обновление WordPress ваш сайт, прежде чем вы обновите его на своем действующем веб-сайте.
3. Воспользуйтесь бесплатными функциями безопасности вашего веб-хостинга. Большинство веб-хостов предлагают различные бесплатные услуги безопасности для сайтов, которые вы там размещаете. Они делают это, потому что это не только защищает ваш сайт, но и обеспечивает безопасность всего сервера. Это особенно важно, когда вы пользуетесь учетной записью общего хостинга, где у других клиентов есть веб-сайты на том же сервере.
К ним часто относятся бесплатные установки безопасности SSL для вашего сайта, бесплатные резервные копии , возможность блокировать вредоносные IP-адреса и даже бесплатный сканер сайтов, который будет регулярно сканировать ваш сайт на наличие вредоносного кода или уязвимостей.
Запуск веб-сайта никогда не бывает таким простым, как установка WordPress и просто публикация контента. Важно сделать ваш сайт WordPress максимально безопасным. Все приведенные выше советы помогут вам сделать это без особых усилий.
