Необходимая защита WordPress сайта (блога)

Приветствую Вас, уважаемые посетители и мои постоянные читатели! Итак, защита WordPress! Многие новички просто забивают на мероприятия по защите WordPress сайта от взлома, думая что их скромный ресурс, не интересен злоумышленникам... Уже сколько раз такое замечал...

Я Вам говорю - угроза взлома может коснуться любого сайта... и чем хуже защищен ресурс, тем проще, быстрее, вероятнее его взломают... последствия бывают страшными =]

Прочитайте так же:

Как Вы могли догадаться тема этой статьи - необходимая защита wordpress и я Вам настоятельно рекомендую не забивать на безопасность Вашего сайта, а сделать все как я говорю...
Вордпресс является хорошо защищенной системой. Но любая система, какой бы защищенной она не была, имеет свои уязвимые места. Разработчики конечно регулярно обновляют систему безопасности, но хакеры тоже не бездействуют.

Поэтому, чтобы защитить свой сайт или блог от взлома, вам нужно провести некоторые мероприятия, о которых поговорим ниже...

Конечно 100% гарантии безопасности сайта от взлома нет и никогда не будет, но это не означает что надо опускать руки... Один раз все установили, настроили и можете спать спокойно! Во всяком случае если Вас и взломают, то настоящий профи, а не новичок недоучка ;)

Кстати, я не забыл и о ежемесячном конкурсе комментаторов и сейчас быстренько подведем итоги!

Хотите поучаствовать тоже в моих конкурсах?! Без проблем, Вам сюда...

Сердечно поздравляю участников с победой, готовьте Ваши кошельки =) Буду переводить деньги 10 числа, а мы пока вернемся к теме статьи...

Какие сайты и блоги чаще взламывают?
Многие начинающие вебмастеры думают, что если у них новый сайт, который ещё не раскручен и имеет маленькую или вообще нулевую посещаемость, то вряд ли хакеры захотят заниматься его взломом. Ведь для них намного интереснее взламывать уже раскрученные сайты, хорошо наполненные контентом, которые занимают первые места в топе поисковиков.

На самом деле ситуация выглядит не совсем так. Под угрозой находятся абсолютно все сайты. Большинство злоумышленников — обычные любители, которые хотят понять, как взломать сайт, и только учатся это делать. Поэтому они могут тренироваться на молодых и особо — на незащищенных веб-ресурсах.

Самый простой и популярный способ взлома — это метод подбора логина и пароля для входа в админпанель.

Защита WordPress сайта

1. У многих новичков логин для входа в панель - «admin», а пароль может быть легким и состоять из одних цифр. Адрес панели управления сайтом стандартный - «сайт.ru/wp-admin». Этой ситуацией и пользуются взломщики. Поэтому первым делом нужно изменить эти данные, чем мы сейчас и займемся.

После того, как вы установите WordPress на ваш хостинг, вам обязательно нужно изменить логин для входа в административную панель, который по умолчанию «admin». В своей админке вы его изменить не сможете.

Для изменения логина, вам нужно зайти в панель управления хостингом, перейти в «Mysql», а там найти вкладку «Php My Admin» и открыть её. С левой стороны кликнете по базе данных, после чего перед вами откроется перечень таблиц, в котором нужно выбрать «wp_users». На панели, находящейся вверху экрана, должна появиться вкладка «Обзор». Далее выбираем «Изменить» в пункте «админ» и меняем старый логин на новый, после чего нажимаем «Ок». Запишите его куда нибудь, только не храните логины и пароли в компьютере...

Теперь создадим сложный пароль для входа в административную панель WordPress и чем он длиннее и разнообразнее (буквы, цифры, знаки, черточки), тем лучше =)
Чтобы осуществить смену пароля, вам нужно зайти в административную панель Вордпресс. Слева выбрать пункт «Пользователи» и кликнуть по нему. Из предложенного списка выбрать «Ваш профиль». Перед вами откроется новое окно. Опустившись в самый низ меню, вы увидите строку для изменения пароля. Дважды введите новый пароль и нажмите на кнопку «Обновить профиль», которая расположена в самом низу слева.

Еще Вам стоит придумать надежный пароль для входа в вашу базу данных и панель управления на хостинге. Все четко! Идем дальше...

Скачайте плагин защиты wordpress «Rename wp-login.php» - он нужен для того, чтобы поменять стандартный путь админки, вида «сайт.ru/wp-admin» на какой захотите - чем сложнее, тем лучше =)

После установки плагина, перейдите в Настройки --> Постоянные ссылки и придумайте путь до админки. Посмотрите скрин!

Кстати, как то раз я тестировал один плагин и выслал данные входа на мой блог разработчику - Его реакция меня порадовала :razz:

2. Удалите все ненужные файлы с хостинга. Например в движке Вордпресс можно удалить license.txt и readme.html. Никакой пользы нам от этих файлов нет, а вот взломщику пригодятся...

Так же, удалите не используемые плагины! В будущей статье опубликую список плагинов которые использую я, подпишитесь на мой блог если Вам интересно...

Удаляем информационный мусор, который может сообщить злоумышленникам Вашу версию Вордпресс и прочие радости. Идите в свою админпанель --> «Внешний вид» --> «Редактор» --> Функции темы и пропишите такие команды:

[sociallocker]

[button style="blue" target="_blank" url="https://savme.ru/wp-content/uploads/2015/10/udalenie_ifo_musor.txt"]= Скачать коды =[/button]

[/sociallocker]

Возможно у кого то не попрет, темы разные и все индивидуально! Если не получается, наймите фриланса, например на https://www.fl.ru.

3. Не забывайте обновлять действующие плагины и версию Вордпресс. Об их обновлении к вам придет уведомление. Если конечно не отключали данную функцию...

Боязнь обновления! Есть такая тема правда?! Я не понимаю чего тут страшного? Сделали резервную копию, обновились! Если все окей, то замечательно... Если нет откатились назад и попросили спеца разобраться, в чем может быть дело...

Запомните! Обновление - это главная защита wordpress движка!

4. Установите лицензионный антивирус на Ваш ПК! Работа в интернете невозможна без хорошей защиты от вирусов... А это еще один способ получить доступ к Вашей информации...

Какой устанавливать решать Вам, выбор довольно большой. Лично я использую AVG и меня все устраивает! Помните как я боролся с вирусом URL:Mal, который сынуля подхватил? Вот после этого случая поставил AVG и почти год радуюсь безопасности =)

5. Резервное копирование сайта и баз данных. Это САМАЯ ВАЖНАЯ защита WordPress!!! В жизни бывает всякое правда?! Полиция конфисковала жесткие диски у хостера, где лежит Ваш сайт например или любая другая неприятность... Да мало ли что может быть!

Всегда нужно иметь полную копию сайта, которую в случае непредвиденных моментов - можно восстановить! Резервное копирование можно осуществить с помощью специальных плагинов (например, Database backup, Online Backup, BackWPup) или сервисов (VaultPress, WP Remote), а можно самостоятельно с Php MyAdmin...

Об этом у меня написана целая статья, прочитайте...

6. Выделенный IP адрес - хороший способ защититься от подозрительных, под фильтрами, зараженных соседских сайтов... Ходят слухи что выделенный IP улучшает ранжирование сайта, но это только не обоснованные догадки. Представьте себе, у меня и на эту тему есть целый пост, читайте!

Популярные плагины защиты WordPress

Сегодня есть масса плагинов, которые помогут обезопасить Ваш сайт. Например, плагин Anti-XSS attack, установленный на вашем сайте, поможет предотвратить попытки взломать его.

А благодаря модулю Login LockDown или Limit Login Attempts попытки зайти в административную панель, набрав более трёх раз неправильно пароль, будут блокированы.

  • Wordfence Security - лучший плагин поиска вирусов и других сторонних вмешательств в Ваш блог. Периодически включаю, проверяю и выключаю!
  • Invisible Captcha - Лучшая защита от СПАМА, которая совсем не напрягает реальных посетителей! Почему? Потому что ее не видно и не нужно вводить всякую хрень... За целый год ведения блога, плагин показал себя просто отлично...
  • Login LockDown - Защита wordpress админки! Плагин ограничивает количество попыток ввести логин или пароль, что практически сводит к нулю взломать вордпресс методом перебора!
  • Rename wp-login.php (unmaintained) - Как я уже писал выше, плагин меняет стандартный адрес на вход в админпанель.
  • WordPress Database Backup - Плагин который ежедневно мне высылает на почту резервную копию базы данных.
  • Yoast SEO - Про этот плагин слышали многие, он универсальный и имеет множество настроек. Помимо SEO, есть и настройки, которые повышают уровень безопасности сайта.

Чтобы установить эти плагины, зайдите в свою административную панель, в пункт «плагины», нажмите на кнопку «Добавить новый» и в строку поиска скопируйте названия плагина, который вы желаете скачать.

После того, как система предложит вам список, выберите нужный и нажмите «загрузить». Далее произойдет активация плагина, и он будет готов к работе...

Админ спрячь свой логин!

Существует много способов узнать логин администратора и использовать его во вред, мне известно лишь два из них... Первый способ это просмотреть код комментария автора и второй с помощью команды - http://Ваш_домен.ru?author=1.

Наша задача исправить ситуацию и скрыть реальный логин! Давайте с Вами этим и займемся! Совсем запутаем взломщика =)

Меняем настоящий логин админа коммента на вымышленный, надо записать команду в functions.php:

/* Подмена логина в комментариях */
function del_login_css($css) {foreach($css as $key => $class) {
if(strstr($class, "comment-author-впишите_действующий_логин")) {
$css[$key] = 'comment-author-впишите_вымышленный_логин'; } }
return $css; }
add_filter('comment_class', 'del_login_css');

Чтобы не показывать свой логин при команде http://Ваш_домен.ru?author=1, нужно настроить переадресацию на главную страницу.

Берем такую строчку:

RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru

и помещаем ее сразу после:

RewriteRule . /index.php [L]

В файле .htaccess, который лежит в корневой директории на хостинге. Если его там нет, то создайте, вот Вам стандартный образец.

Заключение

После всех этих несложных манипуляций у вас будет стоять надежная защита wordpress. Все мои советы и рекомендации "основа" которая должна быть на каждом сайте.

Но если Вам все равно кажется что Ваш ресурс не достаточно защищен и Вы плохо спите по ночам, обратитесь за помощью к соответствующему специалисту =) А если не хватает денег на спеца, то хочу порекомендовать курс, благодаря которому, Вы и сами все легко настроите... Если честно, по защите сайтов и блогов на WordPress, я еще не встречал такой информации в Рунете... Смотрите сами...

А я закругляюсь! Пишите свои комментарии к статье, задавайте интересующие вопросы, всегда буду рад на них ответить. До встречи!