Як захистити WordPress від злому. Прості поради щодо захисту вашого блогу

  1. 1. Видаліть користувача Admin
  2. 2. Використовуйте добротні паролі
  3. 3. Вчасно оновлюйте движок WordPress
  4. 4. Регулярно робіть резервні копії бази даних
  5. 5. Обмежте кількість спроб входу в адмінку
  6. 5.1 Сховайте сам вхід в панель адміністратора
  7. 6. Приховайте версію WordPress
  8. 7. Перевіряйте

Як думаєте, багато приділяють увагу своїй інформаційній безпеці? Навіть якщо ви ніколи не задавалися цим питанням, запевняємо вас - вони в меншості. Але ж досить витратити всього пару хвилин на те, щоб налаштувати менеджер паролів або переконатися, що ви робите грошові операції по зашифрованому протоколу https. Це дуже просто - і це в рази збільшує вашу інтернет-безпеку.

1. Видаліть користувача Admin

Почнемо з азів: за замовчуванням адміністратор вашого блогу носить ім'я Admin, яке, по суті, є половиною необхідної для хакерів інформації. Дізнавшись ім'я користувача, зловмисникові залишається зламати пароль. Не виключено, що і тут все піде як по маслу - навряд чи людина, яка не спромігся змінити ім'я користувача, буде вигадувати складний пароль, а тим більше - використовувати для цього будь-які додаткові інструменти.

Отже, перш за все вам слід створити нового користувача з осудним ім'ям і передати йому адміністраторські повноваження, а оригінального Admin просто видалити.

2. Використовуйте добротні паролі

Як би там не було, дізнатися ім'я користувача - нікчемна справа. Саме тому вся відповідальність лягає на ваш пароль.

Проблема простих паролів виходить далеко за межі сайтів на «Вордпресі», проте вирішується вона так само просто, як і попередня. Щоб не ламати собі голову, вигадуючи надійний пароль, а потім, в разі його «пропажі», не рвати на собі волосся, гарячково згадуючи заповітну комбінацію або хоча б адресу електронної пошти , На яку був зареєстрований аккаунт, використовуйте менеджери паролів типу LastPass або 1password. Вони генерують по-справжньому надійні комбінації, позбавляють вас від необхідності ці комбінації запам'ятовувати, а також мають високий рівень захисту від злому.

Якщо у вас на сайті кілька авторів, зробіть подібну практику обов'язковою. В іншому випадку, навіть якщо ви захистите свій аккаунт усіма можливими способами, а логін і пароль вашого колеги буде max і max123, відповідно, то нічого доброго з цього не вийде. До слова, менеджери паролів мають масу інших переваг. Судіть самі:

3. Вчасно оновлюйте движок WordPress

Кожне оновлення даної CMS - це не тільки візуальні доопрацювання або нові функціональні можливості, а й постійні поліпшення безпеки. Те ж саме стосується плагінів і навіть теми, яку ви використовуєте на своєму сайті.

Апдейт - це також суща дрібниця. По-перше, вам не потрібно стежити за оновленнями на спеціалізованих форумах або нишпорити в їх пошуках по іншим сайтам - повідомлення про нові версії з'являються прямо у вашій панелі адміністратора. По-друге, далі від вас буде потрібно рівно два кліка: активувати і підтвердити виконання оновлення.

4. Регулярно робіть резервні копії бази даних

Бекапи - ще одна важлива складова вашої безпеки. Наслідки злому бувають різні: може постраждати ваша репутація, можна позбутися домену, можуть зникнути дані, які зберігалися на сайті в єдиному екземплярі, не кажучи вже про те, що всі ті години, витрачені на оформлення та публікацію сторінок і матеріалів, просто втратять сенс.

Резервне копіювання успішно вирішує половину з цих проблем, причому WordPress підтримує різні сценарії як платних, так і безкоштовних бекапів. плагін WP-DB-Backup - один з найпопулярніших інструментів у своєму роді. Крім іншого, він дозволяє настроїти автоматичне створення резервної копії, яка потім буде відправлена ​​вам на пошту.

Крім іншого, він дозволяє настроїти автоматичне створення резервної копії, яка потім буде відправлена ​​вам на пошту

Якщо ви користуєтеся хмарним сховищем даних Dropbox, то WordPress Backup to Dropbox - ще один відмінний спосіб прикрити тили. Плагін підключається до Dropbox по протоколу авторизації OAuth, який забезпечує обмежений доступ до захищених ресурсів користувача без використання його чутливих даних (логін-пароль).

5. Обмежте кількість спроб входу в адмінку

Limit Login Attempts - відмінний плагін, який призначений для захисту від brute-force (англ. «Метод грубої сили») хакерських атак. Він обмежує кількість неправильних спроб введення логіна і пароля (точка входу: http://example.ua/ wp-login .php), що значно підвищує стійкість вашого сайту до злому.

Плагін відрізняється простими налаштуваннями, які дозволять регулювати кількість невдалих спроб, а також визначити, за яких умов і на який час невдалий зломщик буде «ізольований».

5.1 Сховайте сам вхід в панель адміністратора

Вхід в адмінку можна замаскувати, встановивши WordPress в директорію з яким-небудь хитромудрою назвою. Це може бути і дівоче прізвище вашої матері, і яке-небудь iloveseoverymuch. Ім'я не має значення, головне - змінити адресу точки входу.

Важливо: якщо ви змінили шлях установки «Вордпресс», необхідно зайти в «парамет - Загальні» і вказати в графі «Адреса WordPress (URL)» новий шлях до CMS-системі, а в «Адресі сайту (URL)» - реальну адресу http : //exаmple.ua/, який і будуть бачити ваші відвідувачі.

6. Приховайте версію WordPress

Версія вашої CMS-системи - дуже цінна інформація для зловмисників. За умовчанням вона доступна всім і кожному, але це легко виправити. Якщо ви розробник, найпростіше внести зміни в файл functions. php, якщо ж програмування не для вас, можна встановити популярний плагін Better WP Security і приховати версію «Вордпресс» з його допомогою.

До слова, Better WP Security вміє «з коробки» робити практично все, про що ми говорили вище, а також багато іншого. Але плагіни, як відомо, час від часу барахлить, конфліктують із собі подібними і навіть гальмують роботу всього ресурсу, тому ми рекомендуємо убезпечити свій сайт своїми ж руками. Благо, це дійсно просто.

7. Перевіряйте

Нарешті, ніколи не встановлюйте плагіни з неперевірених джерел. З плагінів виходять відмінні троянські коні, чим і користуються зломщики. Переконайтеся, що ви інсталюєте саме те, що вам потрібно, і обов'язково перегляньте відгуки на WordPress.org. Природно, немає ніякої потреби збирати докладне досьє на кожного з розробників, але і сліпо вірити кожному, хто пропонує вам чергову утиліту, не варто.

А які заходи з безпеки приймаєте ви? І чи стикалися ви зі спробами злому вашого сайту?

А які заходи з безпеки приймаєте ви?
І чи стикалися ви зі спробами злому вашого сайту?