Как защитить свой блог WordPress

Плагин выполняет следующие действия:

• Останавливает атаки грубой силы.
• Включает двухфакторную аутентификацию.
• Скрывает вашу страницу входа от ботов.
• Принудительный выход из системы для пользователей, которые любят постоянно оставаться в системе.
• Помогает повысить надежность пароля.
• Улучшает соли WordPress (часть процесса хэширования для шифрования паролей) за счет добавления 64 новых символов, которые меняются еженедельно.
• Добавляет защиту брандмауэром.
• Включает защиту от вредоносного ПО (только премиум-класс).
• Уменьшает количество спам-комментариев.

Это лишь малая часть того, что включено. Настройка всего может занять некоторое время, но управлять одним плагином лучше, чем несколькими.

2. Остановите атаки грубой силы

Хакеры могут легко взломать ваш пароль для входа и учетные данные с помощью грубой силы. Чтобы этого не произошло, установите плагин Блокировка входа . Этот плагин записывает IP-адрес и временную метку каждой неудачной попытки входа в WordPress. Как только будет обнаружено определенное количество неудачных попыток, функция входа в систему будет отключена для всех запросов из этого диапазона.

Он также добавляет две другие удобные функции: двухфакторную аутентификацию и CAPTCHA. Это также значительно снижает количество атак методом грубой силы.

Совет: вы также можете установить плагины уведомлений для своего сайта WordPress.

3. Используйте надежный пароль

Убедитесь, что вы используете надежный пароль, который другим будет сложно угадать. Для создания пароля используйте комбинацию цифр, специальных символов и букв верхнего/нижнего регистра. Вы также можете использовать средство проверки пароля в WordPress 2.5 и более поздних версиях, чтобы проверить надежность вашего пароля.

Другой вариант — использование менеджер паролей для создания совершен

2. Остановите атаки грубой силы

4. Защитите свою папку WP-Admin

Ваша папка «wp-admin» содержит всю важную информацию о вашем сайте и является последним местом, к которому вы хотите предоставлять доступ другим. Самый простой способ защитить его — добавить дополнительный пароль. Даже если хакер проникнет на ваш сайт с учетными данными пользователя, ему все равно придется узнать учетные данные вашей папки wp-admin. К этому моменту вы, возможно, уже знаете о взломе и сможете изменить пароль взломанного пользователя и свой пароль wp-admin для дополнительной безопасности.

Это можно сделать несколькими способами. Первое зависит от вашего веб-хостинга. Многие предлагают cPanel. Действия могут незначительно отличаться в зависимости от хостера.

1. Войдите в раздел cPanel вашего сайта. У вашего веб-хостинга будут инструкции, как это сделать.
2. Прокрутите вниз до раздела «Безопасность» и выберите «Каталоги, защищенные паролем».

3. Выберите «Конфиденциальность каталога».

4. Выберите каталог, который хотите защитить паролем, и следуйте инструкциям. Обычно есть руководство, в котором подробно расск

   3. Используйте надежный пароль

   алоги с помощью этого метода.

Второй метод выполняется вручную и обычно не рекомендуется, так как если вы сделаете это неправильно, вы можете потерять доступ к своему сайту.

1. Создайте текстовый файл с помощью вашего любимого текстового редактора и назовите его «.htaccess».
2. Добавьте в файл следующее, но измените путь AuthUserFile туда, куда вы будете загружать файл паролей (на следующем шаге), и измените «ваше имя пользователя» на свое имя пользователя.

AuthName "Admins Only"
AuthUserFile /home/user/public_html/example.com/wp-admin/.htpasswd
AuthGroupFile /dev/null
AuthType basic
require user yourusername

3. Создайте еще один текстовый файл с именем «.htpasswd».
4. Используйте генератор htpasswd для создания содержимого файла. Хостинг Канады , веб2генераторы и СпроситеApache имеют простые в использовании генераторы

   4. Защитите свою папку WP-Admin

   полученный текст в созданный вами файл.htpasswd.
5. Скопируйте оба файла в папку wp-admin, и все готово.

Полезно знать: вы можете использовать хитрости wp-configдля изменения базы данных WordPress и других параметров конфигурации.

5. Удалить информацию о версии WordPress

Многие темы WordPress включают информацию о версии WordPress в метатег. Хакеры могут быстро получить эту информацию и спланировать конкретные атаки, нацеленные на уязвимость безопасности этой версии.

Чтобы удалить информацию о версии WordPress:

1. Войдите в свою панель управления WordPress.
2. Перейдите в «Дизайн ->Редактор тем».
3. Найдите файл «Заголовок» справа.
4. Найдите следующую строку кода:

<meta name="generator" content="WordPress versionnumber"/>

5. Удалите эту строку и нажмите «Обновить файл».

Вы также можете использовать плагин безопасности WordPress, например Сукури Секьюрити , чтобы скрыть эту информацию.

6. Скройте папку с плагинами

Если вы перейдете по URL-адресу своего веб-сайта: https://yourwebsite.com/wp-content/pluginsи увидите весь список плагинов, которые вы использовали, то ваш сайт WordPress не является очень безопасно. Вы можете легко скрыть эту страницу, загрузив пустой «index.html» в каталог плагина.

1. Откройте текстовый редактор. Сохраните пустой документ как index.html.
2. Загрузите «index.html» в папку «/wp-content/plugins» с помощью программы FTP.

Также полезно: используйте эти Плагины статистики WordPress для оценки вашего веб-сайта.

7. Измените свое имя для входа

Имя пользователя по умолчанию — «admin». Простой способ защитить WordPress — изменить это. В противном случае хакерам уже известна половина ваших данных для входа.

1. Войдите в свою панель управления WordPress и выберите «Пользователи».
2. Выберите «Новый пользователь».

3. Установите роль «Администратор» и отправьте приглашение на нужную учетную запись электронной почты. Как только приглашение будет принято, вы сможете войти в систему, создать пароль и стать новой учетной записью администратора.

4. После настройки нового пользователя вернитесь в раздел «Пользователи».
5. Найдите учетную запись «admin» и удалите ее.
6. Выберите «Атрибутировать все публикации и ссылки» и выберите свое имя пользователя.
7. Нажмите «Подтвердить удаление».

8. Обновите до последних версий

WordPress, а также темы и плагины регулярно получают обновления. Это добавляет новые функции, устраняет ошибки и устраняет уязвимости безопасности. Последняя часть является самой важной. Если хакеры поймут, что у вас старая версия с недостатками безопасности, они немедленно воспользуются этой уязвимостью.

Каждый месяц запланируйте один день для обновления. Хотя у вас может не быть новых обновлений для всего, выполняйте обновления для того, что доступно. Это включает в себя вашу основную установку WordPress. Это простой, но очень эффективный способ защитить WordPress.

Прежде чем выполнять какие-либо существенные обновления, на всякий случай сделайте полную резервную копию вашего сайта.

Совет: если вы заметили какие-либо проблемы на своем веб-сайте WordPress, воспользуйтесь этими исправления распространенных ошибок WordPress , чтобы исправить ситуацию.

9. Регулярное сканирование безопасности

Каждой установке WordPress необходим плагин безопасности. All-In-One Security (AIOS) и Sucuri Security, о которых мы уже упоминали, — отличные варианты. Вы также можете

5. Удалить информацию о версии WordPress

10. Создайте резервную копию вашего сайта WordPress

Независимо от того, насколько безопасен ваш сайт, все равно стоит быть готовым к худшему. Установите плагин резервного копирования WordPress и запланируйте ежедневное резервное копирование вашей базы данных.

У вас есть из чего выбрать, но вот некоторые из лучших вариантов:

• Jetpack VaultPress Backup
• АпдрафтПлюс
• БэкапБадди
• БлогХранилище
• 6. Скройте папку с плагинамилексная миграция WP

11. Определить права пользователя

Если в вашем блоге несколько авторов, вы можете установить плагин Редактор ролей пользователей , чтобы определить возможности для каждой группы пользователей. Это даст вам, владельцу блога, возможность контролировать, что пользователи могут и чего не могут делать в блоге.

Полезно знать: если на ваш сайт WordPress заходят несколько пользователей, вам нужно добавить эти функции безопасности на вашей странице входа в WP .

12. Перейти на SSL

Если у вас нет сертифик

7. Измените свое имя для входа

Давайте зашифруем  — это организация, которая помогает защитить Интернет, предоставляя бесплатные сертификаты SSL. Ознакомьтесь с нашим списком других бесплатные варианты SSL . Вы также можете получить платные SSL-сертификаты:

• SSL-магазин Comodo
• ГлобалСайн
• ДигиСерт
• SSL-магазин

13. Отключить редактирование файлов

Вы можете редактировать код своего плагина и темы прямо из административной области вашего сайта. Представьте, если бы кто-то другой начал возиться с кодом без вашего разрешения. Чтобы избежать неприятных сюрпризов, отключите редактирование файлов.

Хотя вы можете использовать такой плагин, как Sucuri,

8. Обновите до последних версий

1. Найдите файл «wp-config.php» в корневой папке вашего сайта. Вы можете использовать любой FTP-клиент для доступа к своим файлам.
2. Загрузите файл и откройте его в своем любимом текстовом редакторе, например в Блокноте.
3. Добавьте в код следующее:

// Disable file edit
define( 'DISALLOW_FILE_EDIT', true );

4. Замените существующий файл «wp-config.php» новой версией, чтобы отключить редактирование файла.

Также полезно: если вы добавляете на свой сайт много медиа, рассмотрите эти Советы по оптимизации изображений WordPress .

14. Использовать двухфакторную аутентификацию

Даже если хакеры получат доступ к данным для входа пользователя, двухфакторная аутентификация (2FA) означает, что хакеру все равно потребуется доступ к другому паролю. В этом случае код обычно отправляется на телефон пользователя. Вы можете использовать плагины безопасности, например упомянутые ранее в этом посте, или специальный плагин 2FA, например miniOrange Google Аутентификатор или W

9. Регулярное сканирование безопасности

10. Создайте резервную копию вашего сайта WordPress

11. Определить права пользователя

12. Перейти на SSL

13. Отключить редактирование файлов

14. Использовать двухфакторную аутентификацию