10 способов мгновенно защитить WordPress на вашем сайте от хакеров

WordPress отвечает за управление более чем 27% веб-сайтов в мире (по состоянию на февраль 2017 года) и является платформой для многих известных высококлассных сайтов. Так что это делает его целью номер один для хакеров во всем мире. Если у вас есть сайт WordPress, высока вероятность того, что в какой-то момент кто-то ковырялся в поисках уязвимостей, так же, как грабитель проверяет вашу заднюю дверь, чтобы убедиться, что вы оставили ее незапертой.

Существуют меры, которые вы можете предпринять, чтобы хакеру было намного сложнее получить доступ к вашему сайту WordPress. Очевидно, что если бы правительство или высококвалифицированный хакер захотели принять участие, вероятно, вы ничего не могли бы сделать, чтобы остановить это.

10 советов по обеспечению безопасности WordPress

Следующие 10 предложений, тем не менее, будут сдерживать, как я называю, «оппортуниста» — человека, который самопроизвольно решает попробовать и попытать счастья. Сценарий «подросток в их спальне».

Вам не нужно быть большим программистом. Просто тот, кто знает, как разбираться в WordPress, а также как использовать FTP-клиент. Есть больше технических вариантов, но я постарался ограничить их до самых простых в реализации. Нет необходимости заново изобретать колесо.

Удалить Admin Войти

Когда вы устанавливаете WordPress в первый раз, он дает вам серьезную уязвимость в безопасности — вход в систему с правами администратора.

Имя пользователя по умолчанию всегда «админ”, За которым следует временный пароль, установленный WordPress (который затем нужно изменить на более сильный). Но многие люди становятся ленивыми и продолжают использовать это имя администратора.

Хакеры используют эту лень и видят, используете ли вы имя пользователя с правами администратора. Если это так, они уже отработали половину комбинации имени пользователя и пароля.

Так что вам нужно избавиться от имени администратора, что очень просто. Сначала создайте новый идентификатор пользователя, который будет сложно угадать тем, кто вас не знает.

Затем зайдите в настройки и сделайте этот ID пользователя администратором.

Наконец, удалитеадминИмя пользователя. Кроме того, если вы не хотите удалять его, вы можете понизить имя администратора до «подписчик«Таким образом, если кто-то взломает имя пользователя с правами администратора, он будет иметь только привилегии подписчика (что, по сути, ничто).

Другой вариант — установить плагин Jetpack и войти в WordPress с помощью учетной записи WordPress.com. Но как бы вы ни решили, нейтрализуйте это имя администратора прямо сейчас.

Включить защиту от перебора

Когда хакер пытается выяснить пароль, он полагается на так называемые методы «грубой силы». Другими словами, они проходят через все различные пароли, пока не получат правильный. Многие онлайн-пользователи ленивы, поэтому у них могут быть пароли, такие как admin, 123456, пароль, 654321, их имя, имя их питомца, имя их супруга, их день рождения, что угодно.

Сначала я предполагаю, что вы достаточно разумны, чтобы не использовать ни один из этих чрезвычайно слабых и глупых паролей. Если это так, вы можете замедлить работу хакера, включив грубую защиту.

Тот, который я использовал в течение многих лет и который работает как чудо, — это «Блокировка входа в систему», которая закрывает вашу страницу входа в течение указанного периода после указанного числа попыток входа в систему.

Добавить Google Authenticator

Помимо пароля и входа в систему, мне нравится иметь еще один уровень защиты на моей странице входа. Для этого я обращаюсь к Google Authenticator.

Google Authenticator — это, пожалуй, лучшее приложение для смартфонов, которое генерирует коды двухфакторной аутентификации для входа на веб-сайты. Теперь вы можете использовать его на WordPress, но, очевидно, помните, что все, кому нужно войти на ваш сайт (например, сотрудники), должны будут также установить приложение.

Если по какой-то причине вы не хотите идти по пути двухфакторной аутентификации (и я настоятельно рекомендую вам его использовать), вы можете вместо этого использовать ReCaptcha. Но ReCaptcha не самая сильная защита в мире, и она была взломана в прошлом. Это все же лучше, чем ничего.

Автоматизировать ежедневные резервные копии

Если хакеру удастся преодолеть вашу защиту, он может нанести большой ущерб вашему сайту. Файлы будут удалены или повреждены, а ваш сайт испорчен. Поэтому, если вы заботитесь о своем сайте, вы будете вкладывать несколько долларов в месяц, делая автоматические ежедневные резервные копии.

Jetpack недавно представил базовый план резервного копирования под названием VaultPress, который автоматизирует ежедневное резервное копирование вашего сайта всего за $ 3,50 в месяц. Если вы обнаружите, что хакер пришел и разрушил это место, вы можете войти в VaultPress, перейти к предыдущей резервной копии и нажать «Восстановить».

Если вы ранее предоставили VaultPress FTP-доступ к вашему сайту, он автоматически восстановит ваш сайт за считанные минуты.

ВСЕГДА обновляйте версию WordPress, если она доступна

Есть веская причина, почему WordPress постоянно обновляется. Очевидно, что разработчики пытаются улучшить продукт, но главная причина заключается в том, что преступники и хакеры всегда находят, раскрывают и эксплуатируют уязвимости. Эти дыры должны быть исправлены, и единственный способ сделать это — обновить версию WordPress до последней.

Поэтому, если WordPress сообщает вам, что доступно обновление, не рассматривайте его как необязательную вещь. Это HAS быть сделано. Это займет всего пару минут. Сделайте себе кофе или проверьте Facebook, пока это делается.

Удалить ненужные метатеги

Если мы вернемся к аналогии с грабителем, пытающимся открыть заднюю дверь, чтобы убедиться, что он разблокирован, их, очевидно, привлекут к дверям действительно старые замки на двери. Или двери с действительно устаревшей сигнализацией. Это имеет смысл, потому что зачем пытаться взломать новый современный замок, если вместо этого вы можете заменить старый ржавый?

Такая же аналогия может быть применена к WordPress. Хакеры будут искать сайты, на которых установлены действительно старые не исправленные версии WordPress, а не те, которые были обновлены до последних версий.

Хакеры могут узнать, какую версию вы используете, потому что так сказано в метаданных WordPress (доступ к которым можно получить, щелкнув правой кнопкой мыши на вашей странице и выбрав «Просмотр источника страницы»). Но вы можете легко скрыть свой номер версии (и другие несущественные), открыв functions.php файл и скопировать / вставить этот фрагмент.

remove_action ('wp_head', 'wp_generator');
remove_action ('wp_head', 'wlwmanifest_link');
remove_action ('wp_head', 'rsd_link');

Остановите людей, которые видят содержимое ваших папок WP

Последнее, что вы хотите, чтобы люди могли просматривать содержимое ваших папок на WordPress. Чтобы помешать им сделать это, вставьте пробел index.php файл в каждой папке, особенно в WP-содержание / темы папка и WP-содержание / плагины папка.

Сделать бланк index.php файл, откройте Блокнот (или эквивалентную программу), запустите новый текстовый файл и, не помещая ничего в файл, сохраните его как index.php (не забывая удалить текст, который будет автоматически вставлен в конце).

Теперь, когда кто-то пытается просмотреть папку, он увидит вашу пустую страницу индекса.

Кроме того, откройте свой .Htaccess файл (который находится в корневой папке вашего сайта), и добавьте это:

Опции Все Индексы

Постоянно просматривайте права доступа к файлам

Если вы знакомы с работой вашей FTP-программы, вы будете знать, что у каждой папки и файла есть «разрешение». Номер, назначенный этому файлу или папке, будет указывать, кто имеет право вносить в него изменения, а кто нет.

Разрешения по умолчанию должны быть 0755 для папок и 0644 для файлов. Вы можете изменить их при необходимости для выполнения определенных функций, но только если вы знаете, что делаете. В противном случае, вы бы впустили этого гипотетического грабителя.

Что бы вы ни делали, НИКОГДА не устанавливайте файл или папку в 0777. Это число позволяет всем погромить это место.

Ограничьте, кто получает доступ к вашему WordPress Back-End

Чем больше людей имеют доступ к области панели инструментов WordPress на вашем веб-сайте, тем слабее ваша общая безопасность. Поэтому постарайтесь сократить количество зарегистрированных пользователей до минимально возможного уровня.

Это означает, что вы просматриваете список пользователей и удаляете всех, кто не нуждается в регистрации. Вы также должны противостоять искушению настроить учетные записи пользователей для рецептов IFTTT и автоматических пост-ботов.

Наконец, отключите функцию, которая позволяет пользователям регистрировать учетную запись подписчика на вашем сайте (доступно по адресу WP-администратор / опция-general.php). Хотя подписчики не имеют никаких привилегий, когда дело доходит до внесения каких-либо изменений в сайт, они все еще частично проходят через эту дверь.

Отключить подсказки для входа в WordPress

Когда вы вводите неверное имя пользователя на странице входа, WordPress обычно показывает это.

НО, если вы введете правильное имя пользователя и неверный пароль, вы увидите это:

Если кто-то пытается выяснить, какое у вас имя пользователя, WordPress только что подтвердил его.

Чтобы этого не происходило, введите следующий код в поле functions.php файл.

function no_wordpress_errors () {
вернуть 'Что-то не так!«;
}
add_filter ('login_errors', 'no_wordpress_errors');

Теперь он будет говорить «что-то не так!» Вместо подтверждения имени пользователя. Если вы хотите сказать что-то другое, просто измените формулировку, в которой я выделил это выше.

Заключение

В мире много не очень хороших людей, которые любят разрушать вещи просто потому, что могут. Наличие хорошего решения для резервного копирования, такого как VaultPress, является вашим самым большим страховым полисом, но имеет смысл убедиться, что оно не зашло так далеко. Эти 10 советов помогут укрепить крепость.