Безопасность WordPress- 10 простых шагов.

Автор: · Опубликовано · Обновлено

Безопасность WordPress

Как показывает мировая статистика, на сайты Вордпресс каждую секунду производится около 100 000 атак в секунду. Для злоумышленников совершенно не имеет значения размер вашего сайта, его содержание, трафик или возраст. Главная цель таких взломов — ресурсы сети. Такая статистика ставит под сомнение безопасность WordPress. Для того чтобы быть уверенным в безопасности, нужно выполнить 10 простых шагов или установить всего один плагин.

О Безопасности WordPress

CMS WordPress самая популярная система управления контентом в настоящее время. Больше половины всех сайтов пользуются именно этой платформой. 

Важно помнить, что WP является безопасной уже из коробки и основные несанкционированные проникновения происходят из-за человеческого фактора: слабые пароли, а также их хранение в ненадежных местах, пиратское ПО, незащищенные темы и некачественные плагины.

Все действия по обеспечению безопасности довольно рутинные, поэтому существует множество плагинов, которые сэкономят время и сделают этот процесс максимально комфортным, а главное простым.

TItan Anti-span & Secirity

Titan Security & Anti-spam

Titan это мощный инструмент, который включает в себя защиту от спама, брандмауэр, сканер вирусов, проверку доступности сайтов, и аудит угроз для веб-сайтов и другие методы безопасности WordPress.

Помимо комплексных решений безопасности, Титан имеет набор дополнительных функций в виде надстроек, который помещен в простой и интуитивно понятный интерфейс. 

В бесплатной версии доступны все основные функции для обеспечения безопасности сайта.

TItan Anti-span & Secirity обнаружит уязвимости и уведомит о потенциальных проблемах.

Практически все действия описанные далее можно выполнить с помощью Титана, потратив всего несколько минут на его установку и настройку. Более 100 000+ скачиваний и средняя оценка в 4.5 баллов не дают сомнений в выборе именно этого инструмента. 

скачать

Разработчики WP регулярно исправляют найденные уязвимости системы и выпускают обновления. Всего несколько простых шагов позволит вам быть уверенным в безопасности сайта:

Перед любыми манипуляциями обязательно сделайте бэкап вашего сайта. 

1.Скрыть данные WP 

Необходимо скрыть данные версии ядра, а также изменить адрес админ-панели, чтобы существенно усложнить возможность взлома. 

Для скрытия версии добавьте код в functions.php

  • function remove_version_info() {
  • return ‘’;
  • }
  • add_filter(‘the_generator’, ‘remove_version_info’);
  • function remove_wp_version_strings( $src ) {
  • global $wp_version;
  • parse_str(parse_url($src, PHP_URL_QUERY), $query);
  • if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) {
  • $src = remove_query_arg(‘ver’, $src);
  • }
  • return $src;
  • }
  • add_filter( ‘script_loader_src’, ‘remove_wp_version_strings’ );
  • add_filter( ‘style_loader_src’, ‘remove_wp_version_strings’ );

 

Боты, которые беспристрастно обходят большинство сайтов, действуют по простому механизму — просматривают доступность ссылки на админку, а если его не получают, то просто уходят на другой сайт.

 

2. Сложные имя пользователя и пароль

Не стоит использовать стандартное имя пользователя admin или login. Это самые стандартные имена, которые используют боты при попытке входа. 

Выберите имя с регистром и специальными символами, чтобы усложнить процесс подбора логина и пароля.

Для полной уверенности используйте генератор паролей и регулярно меняйте его каждые пару месяцев.

 

3. Измените префикс базы данных 

Стандартный префикс базы данных “wp_”. Лучше сделать это при первой установке WordPress. В случае, если сайт уже создан:

  • Войдите в phpMyAdmin из панели вашего хостинга и откройте базу данных WP.
  • Внизу таблицы нажмите на “Отметить все”.
  • В фильтре действий выберите “Изменить префикс таблицы”.
  • Придумайте свой префикс используя латинские буквы и цифры.
  • Теперь в таблицах БД нужно найти все таблицы с прошлым именем префикса и заменяете на новый.

 

4. Изменение ключей безопасности.

В wp-config имеются ключи безопасности, которые требуются для шифрования. Если вы давно не меняли, то стоит это сделать, используя генератор ключей WordPress. После изменений cookies пользователей станет не действительным и для входа потребуется повторная авторизация. 

 

5.Выпустите SSL сертификат.

Сегодня большинство хостинг-площадок автоматически выпускают SSL сертификат для вашего сайта, но если этого не произошло, необходимо это сделать самостоятельно, чтобы все пользователи подключались по безопасному соединению.

Для шифрования логина и пароля при авторизации, необходимо добавить следующую строчку в wp-config:

  • define(‘FORCE_SSL_LOGIN’, true);

Для шифрования админской панели: 

  • define(‘FORCE_SSL_ADMIN’, true);

 

Чтобы использовать SSL на пользовательской стороне в файле .htaccess: 

  • <IfModule mod_rewrite.c>
  • RewriteEngine On
  • RewriteCond %{SERVER_PORT} 80
  • RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]
  • </IfModule>

 

6. Пользуйтесь SFTP

Если ваш хостинг поддерживает SFTP, не стоит её игнорировать: 

 

  • define (‘FS_METHOD’, ‘ssh2’);

 

7.Отключите режим debug

Во время разработки сайта debug очень помогает выявлять ошибки, но с полным запуском он может показывать лишнюю информацию пользователям.

Переведите define(‘WP-DEBUG’, true); на define(‘WP-DEBUG’, false);

 

8.Обновляйте WordPress 

Регулярно проверяйте наличие обновлений WP, чтобы быть в безопасности от уже известных уязвимостей.

Важно помнить, что переход на новую версию может вызывать ошибки из-за несовместимости версий, поэтому следует делать резервные копии сайта и при необходимости делать откат.

 

9. Не пользуйтесь подозрительными плагинами.

Не стоит устанавливать плагины из неизвестных источников. Некоторые из них могут содержать вредоносный код, а другие напротив могут иметь дыры, через которые возможен взлом сайта.

 

10. Отключите редактор файлов WordPress

В панели администратора WP имеется возможность редактировать файлы установленных тем и плагинов, что может быть опасно по мнению большинства разработчиков. В случае проникновения на сайт, злоумышленник сможет легко вставлять вредоносный код в тело сайта, полностью забирая на ним контроль. 

Чтобы этого избежать, необходимо отключить эту функцию в файле wp-config, следующей строчкой 

  • define(‘DEFINE_FILE_EDIT’, true);

 

Заключение

 Как видите, обезопасить ваш сайт не так сложно, но важно понимать, что все эти меры не дают стопроцентной гарантии защиты, однако значительно усложнит процесс взлома. Вкупе с регулярными манипуляциями, шанс взлома будет неумолимо стремиться к нулю.

 

Читайте также:

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *