10 малоизвестных, супер эффективных советов по защите блога на WordPress
Взломать блог и потерять годы за годами работы с блогами в одночасье - печальная реальность, через которую люди действительно прошли. На самом деле, исследования показывают, что каждый день взламывается 37 000 веб-сайтов, а благодаря тому, что WordPress обеспечивает примерно 25,4% всех веб-сайтов, вы можете быть уверены, что каждый день взламывается большое количество блогов на WordPress..
Безопасность WordPress - это совершенно другая игра. если у вас есть блог на WordPress, таких советов, как имя пользователя, которое трудно угадать, и пароль, такой же жесткий, как рок, больше не достаточно. отдельная тема с ошибкой, неверный плагин или неправильно защищенный файл может привести к тому, что ваш блог будет взломан за одну ночь.
Если вы не знакомы с WordPress или используете платформу с момента ее существования, эта статья 10 практичных и эффективных способов защитить ваш блог на WordPress что любой может реализовать. Вы не найдете большинство этих советов в популярных статьях «Как обезопасить свой блог», но они вполне могут спасти ваш блог однажды!
1. Отключите редактор тем и плагинов WordPress
В WordPress есть удобная функция, которая дает владельцам сайтов больше гибкости, позволяя им настраивать и редактировать свои темы и плагины прямо с панели инструментов WordPress, но эта функция отменила большинство блогов..
С этой функцией небольшая ошибка может привести к сбою вашего сайта и заблокировать ваш собственный сайт. Хакеры могут легко вставить вредоносный код в вашу тему, чтобы предоставить им доступ к вашему сайту, или даже полностью захватить ваш сайт, получив контроль над учетной записью, которая имеет достаточно прав для использования редактора тем и плагинов..
Вы можете защитить себя, отключив плагин и редактор тем, делает невозможным изменение ваших тем и плагинов без доступа по FTP.
Сделайте это, добавив следующий код в ваш файл wp-config.php:
define ('DISALLOW_FILE_EDIT', true);
2. Включить двухфакторную аутентификацию
Двухфакторная аутентификация быстро становится одним из самых надежных способов защиты ваших учетных записей в Интернете, и большинство надежных веб-сайтов будут настаивать на том, чтобы их пользователи включали ее..
Хотя в WordPress необязательно встроена двухфакторная аутентификация, вы можете включить двухфакторную аутентификацию в своем блоге, установив следующие плагины:
- Google Authenticator
- Authy
- Ключ
- Rublon
3. Ограничить логины на основе количества неудачных попыток
Есть много способов, которыми хакеры пытаются получить доступ к вашему блогу, и один из самых распространенных методов - атака грубой силы: хакер снова и снова пытается комбинировать имена пользователей и пароли, пока не сможет успешно получить доступ ваш блог.
По умолчанию WordPress не защищен от этой атаки. Установив плагины, ограничивающие входы в систему после определенного количества неудачных попыток с определенного IP, вы можете значительно усложнить хакерам доступ к вашему блогу..
Плагин Jetpack Protect Module также может защитить вас от атак грубой силы.
4. Регулярно сканируйте свой блог
Файлы тем, плагины, ссылки и другие, казалось бы, безвредные элементы могут быть использованы для получения доступа к вашему блогу. Не ждите, пока ваш сайт не будет полностью заражен, прежде чем принимать меры. Вместо этого установите плагины сканирования безопасности, чтобы регулярно сканировать ваш сайт и уведомлять вас, если ваши файлы изменяются.
Хорошим примером плагина для сканирования безопасности является Wordfence. Помимо предоставления вам возможности вручную / автоматически сканировать ваш блог WordPress, он также мгновенно уведомляет вас о подозрительной активности в вашем блоге..
Он также отправляет информацию о потенциально вредоносных комментариях, и это сравнивает вашу тему и файлы плагинов с хранилищем WordPress для сообщить, была ли изменена ваша версия плагина или темы и может потенциально послужить бэкдором для хакеров на ваш сайт.
Другие плагины безопасности, которые могут помочь вам сканировать ваш блог на наличие вредоносных программ и эксплойтов:
- Sucuri Security Scanner
- Acunetix WP Security
- iThemes Security (ранее известная как «Лучшая безопасность WP»)
5. Сменить хост
Хотя это звучит как упрощенный совет, на самом деле он имеет большой вес. Исследования показывают, что 41% взломанных сайтов WordPress были взломан уязвимостью безопасности на их хостинговой платформе. Это гораздо больше, чем из других источников, в том числе со слабым паролем.
Ваш хост может сыграть важную роль в том, будете ли вы взломаны или нет; убедитесь, что вы только перейти на надежные веб-хосты, которые выдержали испытание временем и это соблюдать лучшие отраслевые практики.
6. Скрыть ваш номер версии WordPress
По умолчанию WordPress отображает номер вашей версии WordPress; Это позволяет WordPress легко отслеживать, сколько блогов WordPress активно во всем мире. Однако это также может быть огромным источником проблем; хакеры и боты могут сканировать в Интернете блоги с помощью номер версии WordPress с известной уязвимостью, делая вас легкой целью.
Вы можете легко решить эту проблему, скрытие вашего номера версии WordPress. Чтобы скрыть номер версии WordPress, просто добавьте следующий код в файл functions.php:
add_filter ('the_generator', '__return_null');
7. Отключите отчеты об ошибках PHP
Когда плагин или тема плохо работают в вашем блоге WordPress, отчеты об ошибках PHP могут помочь, показывая вам сообщение, которое раскрывает причину ошибки. Однако в этом преимуществе заключается недостаток: когда сообщается об ошибке PHP, он включает полный путь сервера к ошибке, раскрывающий информацию что хакеры могут использовать против вас.
Вы можете защитить себя отключение отчетов об ошибках PHP. Просто добавьте следующий код в ваш файл wp-config.php:
error_reporting (0); @ini_set ('display_errors', 0);
8. Работайте над своими правами доступа к файлу WordPress
Когда дело доходит до предотвращения вашего сайта WordPress от угроз безопасности, важно убедитесь, что у вас есть права доступа к файлам. Это мешает хакеру манипулировать плагинами, темами или файлами на вашем сервере, чтобы захватить ваш сайт.
Убедитесь, что WordPress папка разрешения установлены на 755 или 750; файл разрешения установлены на 640 или 644; и что разрешение wp-config.php установлено на 600.
9. Обеспечить регулярное резервное копирование
Даже большие веб-сайты с группой экспертов по безопасности и консультантов подвергаются хакерской атаке, и, следуя лучшим рекомендациям, вы можете сделать свой веб-сайт сильнее, чем 99,9% веб-сайтов, но все равно все может сломаться..
Лучшая защита от хакерских атак WordPress - это хорошая резервная копия; убедитесь, что вы делаете резервные копии своего сайта на регулярной основе - если это возможно, ежедневно. Таким образом, если ваш сайт взломан, у вас есть файлы на месте и может восстановить вещи немедленно.
Вот некоторые из лучших плагинов для резервного копирования WordPress:
- BackUpWordPress
- Готовы! Резервное копирование
- VaultPress
- BackupBuddy
10. Ограничить доступ к вашей странице входа
Когда наступает пуш, вам, возможно, придется предпринять какие-то решительные действия. Очень надежный способ защитить свой блог от попыток взлома полностью блокирует доступ к вашей странице wp-admin и wp-login.php.
Это рекомендуется только если вы использовать один IP-адрес, который не меняется (Вы не хотите блокировать себя от своего блога!). Вы все еще можете использовать эту опцию, если вы используете более одного IP-адреса, но отслеживаете эти адреса.
Чтобы ограничить доступ к вашей странице входа, добавьте следующий код в ваш файл .htaccess:
RewriteEngine для RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 1 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 2 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 3 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 4 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 5 $ RewriteRule ^ (. *) $ - [R = 403, L]
Обязательно отредактируйте Ваш IP-адрес 1 Через Ваш IP-адрес 5 с разными IP-адресами, к которым вы хотите предоставить доступ; Вы можете просто добавить или удалить строку, чтобы разрешить или запретить доступ к вашему сайту большему количеству IP-адресов..
Заключение
Конечно, вы не должны игнорировать базовые советы по безопасности, такие как не использовать предсказуемое имя пользователя, иметь надежный пароль, регулярно обновлять установку WordPress и т. Д. Однако, выше приведены некоторые малоизвестные, часто игнорируемые советы по безопасности, которые могут сделать ваш WordPress блог чуть более безопасен.
Примечание редактора: Этот гостевой пост написан для Hongkiat.com Джон Стивенс. Джон WordPress и эксперт по хостингу. Он является основателем и генеральным директором HostingFacts.com, портал, где он просматривает и оценивает веб-хосты на основе производительности.