Домашняя » WordPress » 10 малоизвестных, супер эффективных советов по защите блога на WordPress

    10 малоизвестных, супер эффективных советов по защите блога на WordPress

    Взломать блог и потерять годы за годами работы с блогами в одночасье - печальная реальность, через которую люди действительно прошли. На самом деле, исследования показывают, что каждый день взламывается 37 000 веб-сайтов, а благодаря тому, что WordPress обеспечивает примерно 25,4% всех веб-сайтов, вы можете быть уверены, что каждый день взламывается большое количество блогов на WordPress..

    Безопасность WordPress - это совершенно другая игра. если у вас есть блог на WordPress, таких советов, как имя пользователя, которое трудно угадать, и пароль, такой же жесткий, как рок, больше не достаточно. отдельная тема с ошибкой, неверный плагин или неправильно защищенный файл может привести к тому, что ваш блог будет взломан за одну ночь.

    Если вы не знакомы с WordPress или используете платформу с момента ее существования, эта статья 10 практичных и эффективных способов защитить ваш блог на WordPress что любой может реализовать. Вы не найдете большинство этих советов в популярных статьях «Как обезопасить свой блог», но они вполне могут спасти ваш блог однажды!

    1. Отключите редактор тем и плагинов WordPress

    В WordPress есть удобная функция, которая дает владельцам сайтов больше гибкости, позволяя им настраивать и редактировать свои темы и плагины прямо с панели инструментов WordPress, но эта функция отменила большинство блогов..

    С этой функцией небольшая ошибка может привести к сбою вашего сайта и заблокировать ваш собственный сайт. Хакеры могут легко вставить вредоносный код в вашу тему, чтобы предоставить им доступ к вашему сайту, или даже полностью захватить ваш сайт, получив контроль над учетной записью, которая имеет достаточно прав для использования редактора тем и плагинов..

    Вы можете защитить себя, отключив плагин и редактор тем, делает невозможным изменение ваших тем и плагинов без доступа по FTP.

    Сделайте это, добавив следующий код в ваш файл wp-config.php:

    define ('DISALLOW_FILE_EDIT', true);

    2. Включить двухфакторную аутентификацию

    Двухфакторная аутентификация быстро становится одним из самых надежных способов защиты ваших учетных записей в Интернете, и большинство надежных веб-сайтов будут настаивать на том, чтобы их пользователи включали ее..

    Хотя в WordPress необязательно встроена двухфакторная аутентификация, вы можете включить двухфакторную аутентификацию в своем блоге, установив следующие плагины:

    • Google Authenticator
    • Authy
    • Ключ
    • Rublon

    3. Ограничить логины на основе количества неудачных попыток

    Есть много способов, которыми хакеры пытаются получить доступ к вашему блогу, и один из самых распространенных методов - атака грубой силы: хакер снова и снова пытается комбинировать имена пользователей и пароли, пока не сможет успешно получить доступ ваш блог.

    По умолчанию WordPress не защищен от этой атаки. Установив плагины, ограничивающие входы в систему после определенного количества неудачных попыток с определенного IP, вы можете значительно усложнить хакерам доступ к вашему блогу..

    Плагин Jetpack Protect Module также может защитить вас от атак грубой силы.

    4. Регулярно сканируйте свой блог

    Файлы тем, плагины, ссылки и другие, казалось бы, безвредные элементы могут быть использованы для получения доступа к вашему блогу. Не ждите, пока ваш сайт не будет полностью заражен, прежде чем принимать меры. Вместо этого установите плагины сканирования безопасности, чтобы регулярно сканировать ваш сайт и уведомлять вас, если ваши файлы изменяются.

    Хорошим примером плагина для сканирования безопасности является Wordfence. Помимо предоставления вам возможности вручную / автоматически сканировать ваш блог WordPress, он также мгновенно уведомляет вас о подозрительной активности в вашем блоге..

    Он также отправляет информацию о потенциально вредоносных комментариях, и это сравнивает вашу тему и файлы плагинов с хранилищем WordPress для сообщить, была ли изменена ваша версия плагина или темы и может потенциально послужить бэкдором для хакеров на ваш сайт.

    Другие плагины безопасности, которые могут помочь вам сканировать ваш блог на наличие вредоносных программ и эксплойтов:

    • Sucuri Security Scanner
    • Acunetix WP Security
    • iThemes Security (ранее известная как «Лучшая безопасность WP»)

    5. Сменить хост

    Хотя это звучит как упрощенный совет, на самом деле он имеет большой вес. Исследования показывают, что 41% взломанных сайтов WordPress были взломан уязвимостью безопасности на их хостинговой платформе. Это гораздо больше, чем из других источников, в том числе со слабым паролем.

    Ваш хост может сыграть важную роль в том, будете ли вы взломаны или нет; убедитесь, что вы только перейти на надежные веб-хосты, которые выдержали испытание временем и это соблюдать лучшие отраслевые практики.

    6. Скрыть ваш номер версии WordPress

    По умолчанию WordPress отображает номер вашей версии WordPress; Это позволяет WordPress легко отслеживать, сколько блогов WordPress активно во всем мире. Однако это также может быть огромным источником проблем; хакеры и боты могут сканировать в Интернете блоги с помощью номер версии WordPress с известной уязвимостью, делая вас легкой целью.

    Вы можете легко решить эту проблему, скрытие вашего номера версии WordPress. Чтобы скрыть номер версии WordPress, просто добавьте следующий код в файл functions.php:

    add_filter ('the_generator', '__return_null');

    7. Отключите отчеты об ошибках PHP

    Когда плагин или тема плохо работают в вашем блоге WordPress, отчеты об ошибках PHP могут помочь, показывая вам сообщение, которое раскрывает причину ошибки. Однако в этом преимуществе заключается недостаток: когда сообщается об ошибке PHP, он включает полный путь сервера к ошибке, раскрывающий информацию что хакеры могут использовать против вас.

    Вы можете защитить себя отключение отчетов об ошибках PHP. Просто добавьте следующий код в ваш файл wp-config.php:

     error_reporting (0); @ini_set ('display_errors', 0);

    8. Работайте над своими правами доступа к файлу WordPress

    Когда дело доходит до предотвращения вашего сайта WordPress от угроз безопасности, важно убедитесь, что у вас есть права доступа к файлам. Это мешает хакеру манипулировать плагинами, темами или файлами на вашем сервере, чтобы захватить ваш сайт.

    Убедитесь, что WordPress папка разрешения установлены на 755 или 750; файл разрешения установлены на 640 или 644; и что разрешение wp-config.php установлено на 600.

    9. Обеспечить регулярное резервное копирование

    Даже большие веб-сайты с группой экспертов по безопасности и консультантов подвергаются хакерской атаке, и, следуя лучшим рекомендациям, вы можете сделать свой веб-сайт сильнее, чем 99,9% веб-сайтов, но все равно все может сломаться..

    Лучшая защита от хакерских атак WordPress - это хорошая резервная копия; убедитесь, что вы делаете резервные копии своего сайта на регулярной основе - если это возможно, ежедневно. Таким образом, если ваш сайт взломан, у вас есть файлы на месте и может восстановить вещи немедленно.

    Вот некоторые из лучших плагинов для резервного копирования WordPress:

    • BackUpWordPress
    • Готовы! Резервное копирование
    • VaultPress
    • BackupBuddy

    10. Ограничить доступ к вашей странице входа

    Когда наступает пуш, вам, возможно, придется предпринять какие-то решительные действия. Очень надежный способ защитить свой блог от попыток взлома полностью блокирует доступ к вашей странице wp-admin и wp-login.php.

    Это рекомендуется только если вы использовать один IP-адрес, который не меняется (Вы не хотите блокировать себя от своего блога!). Вы все еще можете использовать эту опцию, если вы используете более одного IP-адреса, но отслеживаете эти адреса.

    Чтобы ограничить доступ к вашей странице входа, добавьте следующий код в ваш файл .htaccess:

      RewriteEngine для RewriteCond% REQUEST_URI ^ (. *)? Wp-login \ .php (. *) $ [OR] RewriteCond% REQUEST_URI ^ (. *)? Wp-admin $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 1 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 2 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 3 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 4 $ RewriteCond% REMOTE_ADDR! ^ Ваш IP-адрес 5 $ RewriteRule ^ (. *) $ - [R = 403, L] 

    Обязательно отредактируйте Ваш IP-адрес 1 Через Ваш IP-адрес 5 с разными IP-адресами, к которым вы хотите предоставить доступ; Вы можете просто добавить или удалить строку, чтобы разрешить или запретить доступ к вашему сайту большему количеству IP-адресов..

    Заключение

    Конечно, вы не должны игнорировать базовые советы по безопасности, такие как не использовать предсказуемое имя пользователя, иметь надежный пароль, регулярно обновлять установку WordPress и т. Д. Однако, выше приведены некоторые малоизвестные, часто игнорируемые советы по безопасности, которые могут сделать ваш WordPress блог чуть более безопасен.

    Примечание редактора: Этот гостевой пост написан для Hongkiat.com Джон Стивенс. Джон WordPress и эксперт по хостингу. Он является основателем и генеральным директором HostingFacts.com, портал, где он просматривает и оценивает веб-хосты на основе производительности.