» » Як захистити сайт на WordPress. Способи убезпечити проект від злому

Як захистити сайт на WordPress. Способи убезпечити проект від злому

WordPress - одна з найпопулярніших систем управління сайтом. Її використовують багато онлайн проектів, але досить актуальна CMS приваблює не тільки багато нових користувачів, а й зловмисників, які ламають подібні сайти. Важливим аспектом у розвитку і підтримки сайту на WordPress є безпека. У даній статті розглянемо основні методи для захисту Вашого сайту від зломів.
Як захистити сайт на WordPress. Способи убезпечити проект від злому


Під час установки системи управління WordPress Вам пропонують стандартний логін за замовчуванням - admin. Подібний логін вже привід для злому. Для забезпечення безпеки варто створити нового користувача з більш складним логіном, також наділеним повним доступом до всіх функцій сайту, тобто з повноцінними правами адміністратора. Після створення нового облікового запису, користувача admin варто видалити.

Складний пароль - правильний шлях до безпеки сайту. Пароль повинен бути унікальним і включати в себе цифри, букви різних регістрів, знаки пунктуації, символи. Чим складніше пароль, тим краще для Вашого проекту. Варто забути про широко використовуваних паролі подібних pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, тисяча двісті тридцять чотири або дата народження, номер телефону і тп. Для того, щоб не втратити і не забути паролі, варто використовувати спеціальні програми для їх збереження, наприклад, Password Agent, KeyPass, Roboform. Також слід регулярно оновлювати вже задані паролі.

Ви до сих пір використовуєте застарілу версію WordPress? Тоді варто її негайно оновити до більш актуальною. В адмін панелі сайту періодично з'являються повідомлення про вихід нових версій, якщо Ви побачили таке повідомлення, оновлюйтеся. Кожна нова версія більш захищена в плані безпеки, так як розробники постійно працюють в даному напрямку.

Також не забувайте приховувати номер поточної версії системи. WordPress за замовчуванням додає такий номер у вихідний код своїх файлів і сторінок. І, на жаль, не всі завжди встигають вчасно оновити версія WordPress, а це вже може стати слабким місцем сайту. Зломщик, який знає версію CMS сайту, може нанести набагато більше шкоди проекту.

Як приховати поточну версію? В першу чергу, це можна зробити за допомогою файлу functions.php. Відкрийте файл functions.php, розташований в кореневій папці поточної теми вашого веб-сайту (wp-content / themes / текущая_тема_wordpress), і додайте код:
remove_action ( 'wp_head', 'wp_generator');


Інший спосіб: в папці будь-якої теми WordPress, ви знайдете header.php. У ньому також вказується версія. Видаливши рядок з файлу, ви позбудетеся від цієї непотрібної інформації:

<Meta name = "generator" content = "WordPress <? Php bloginfo ( 'version'); ?> "/>

Теми і плагіни безпечніше завантажувати з офіційних і перевірених ресурсів. Найбільш поширений сайт для скачування доповнень, які покращують і полегшують роботу з системою, wordpress.org . Нові теми і плагіни постійно розробляються і поліпшуються розробниками WordPress, тому слідкуйте за оновленнями і удоскональте свій сайт вчасно. Невикористані теми / плагіни краще періодично видаляти, так як вони також можуть завдати шкоди безпеці.

Подбайте також про безпеку Вашого ПК. Встановіть надійний антивірус, щоб випадково не завантажити шкідливі файли на свій комп'ютер.

Не всі хакерські атаки можна запобігти. На такий випадок потрібно мати резервну копію сайту. Також слід мати свій свіжий бекап сайту. Його можна робити самостійно або за допомогою плагіна WordPress Database Backup, який убезпечить базу даних Вашого сайту.

Для завантаження файлів за допомогою FTP-клієнта, слід використовувати протокол SFTP.

Один із способів злому - підбір паролів доступу до Вашого сайту. Часто таких спроб достатню кількість. Але Ви можете налаштувати CMS, щоб IP-адреса був заблокований на кілька годин після певної кількості невдалих спроб введення паролів. Для подібних налаштувань використовують спеціальні плагіни Login LockDown або Limit Login Attempts. Ви можете самостійно встановити кількість спроб і час блокування доступу.

Ще одна корисна рекомендація: файли readme.html і license.txt знаходяться в кореневій папці WordPress. Вам ці файли не потрібні, а хакерам можуть допомогти. Наприклад, для з'ясування поточної версії WordPress і тп. Слід видалити їх після установки системи.

Використання сертифіката безпеки SSL - особливо актуально для інтернет-магазинів. Для того, щоб почати використовувати захищений протокол, варто придбати SSL-сертифікат і встановити його для вашого доменного імені. Купити SSL можна, наприклад, в компанії HyperHost.

Ще один метод забезпечення захисту - двухфакторная аутентифікація облікових записів . Використовується для посилення безпеки паролів. Ви вводите пароль на сайті, а вам висилається додатковий запит на новий одноразовий пароль, який надсилається на ваш номер телефону або електронну пошту. Популярні плагіни двухфакторной верифікації WordPress - Google Authenticator і Clef Two-Factor Authentication .

Крім вище перерахованих методів безпеки для Вашого сайту на WordPress, існують ще спеціальні плагіни , наприклад, Wordfence Security (безкоштовно сканує сайт на наявність шкідливого коду і вірусів), Acunetix WP Security (перевіряє сайт на уразливості і пропонує методи їх "лікування"), All In One WordPress Security (відповідає за безопасноть користувальницьких акаунтів і логінів, баз даних і файлову систему).

Ми описали досить багато методів для забезпечення безпеки Вашого проекту. Але найкраще застосовувати їх одночасно і взаємопов'язано, щоб Ваш сайт на став жертвою злому і витівок шахраїв. Звичайно ж, існує і багато інших способів для забезпечення безпеки. Поділіться в коментарях під статтею, які методи захисту сайту використовуєте Ви.


wordpress
376 03.12.16



Напівжирний Нахилений текст Підкреслений текст Перекреслений текст | Вирівнювання по лівому краю По центру Вирівнювання по правому краю | Вставка смайликів Вибір кольору | Прихований текст Вставка цитати Перетворити вибраний текст з транслітерації в кирилицю Вставка спойлеру