Как защитить блог на wordpress от взлома

CMS WordPress на сегодняшний день является лидером в списке движков для создания и работы блога, и такая популярность стала причиной волны атак злоумышленников на ресурсы, работающие на этой платформе.

Как защитить блог на wordpress от взлома

Поэтому владельцам сайтов и блогов на WordPress необходимо уделять достаточно внимания вопросам безопасности, чтобы предотвратить всевозможные попытки несанкционированного проникновения на ресурс, которые, как правило, заканчиваются плачевно.

Давайте рассмотрим несколько вопросов, соблюдая которые вы сможете значительно улучшить защиту своего блога.

Дополнительная защита для вашего Логина

Когда вы авторизуетесь, входя на свой сайт под административной учетной записью, данные, вводимые вами (логин и пароль) передаются на сервер в незашифрованном виде.

Вход а админку сайта на wordpress

Этим могут воспользоваться злоумышленники и перехватить ваши данные авторизации, используя специальные хакерские программы отслеживания и захвата данных, передаваемых по сетевому интерфейсу.

Чтобы этого не случилось, следует установить wp-плагин:

Chap Secure Login, разработанный специально для защиты процесса авторизации на сайте путем шифрования пароля. Для этого применяется протокол CHAP, подразумевающий взаимную аунтификацию, кодируя при этом данные вашего аккаунта.

Логин, используемый вами для входа в систему, ни в коем случае не должен совпадать с вашим именем, которое вы указываете при публикации статей.

Подбирайте надежный пароль

Даже в том случае, если вы используете рекомендуемый в предыдущем пункте плагин для шифровки учетных данных,  всегда используйте комбинацию цифр, букв разных регистров, спецсимволы для создания пароля  на доступ к вашей учетной записи. Это значительно усилит степень надежности защиты вашего ресурса.

Хоть данная рекомендация и банальна, но она упомянута здесь по той причине, что многие ей, все таки, зачастую пренебрегают. И делают это по нескольким причинам, из-за лени или неопытности, но после того как столкнутся с проблемами, связанными с надежностью пароля, отношение к этому вопросу кардинально меняется.

Удалите учетную запись «admin»

Всем известно, а хакерам и подавно, что по умолчанию во многих системах и устройствах используется учетная запись с логином «admin», платформа WordPress не является исключением.

Помимо замены логина на новый, что очевидно, необходимо избавиться от встроенной в систему учетной записи «admin». Для этого наделите ваше новое пользовательское имя административными правами, выйдете и зайдите в систему под новым логином.

Теперь снова войдите в панель управления и, установив флажок напротив учетной записи «admin», удалите ее. При этом будет запрошено подтверждение ваших намерений.

Удаление учетной записи-admin

В появившемся окне вы увидите надпись «Приписать все сообщения и ссылки к:», справа от которой из выпадающего списка доступных в системе учетных записей нужно выбрать вашу, вновь созданную с админ правами.

Подтверждение удаления учетной записи

Только после этой процедуры вы будете получать все сообщения на свой аккаунт. Если на вашей платформе предусмотрено несколько пользователей, то обязательно ограничьте их права до требуемого уровня путем настройки привилегий пользователей.

Следите за последними обновлениями

Разработчики системы управления контентом WordPress постоянно выпускают обновления для своего продукта. Большинство таких обновлений связано с улучшением безопасности системы.

Поэтому  регулярно обновляйте вашу платформу до последней версии . Кроме того  следите за наличием обновлений для плагинов , которые вы используете в рамках вашего сайта.

Скройте версию вашей WordPress платформы

Для того, чтобы создать как можно больше препятствий на пути у злоумышленника, пытающегося взломать ваш ресурс, нужно использовать все возможные способы защиты сайта.

Информация о используемой версии WordPress, попав в руки хакера может лишь навредить вам. Для ее удаления необходимо через админ панель системы зайти в редактор и в заголовке страницы (header.php) текущей темы найти строку кода, если она есть:

Исходный код:

<meta name="generator" content="WordPress<?php
bloginfo('version'); ?>" />

Которая, как можно догадаться, содержит информацию о версии WordPress. Ее, то и нужно удалить, а затем нажать кнопку обновления системы.

Если первый способ не подходит, можно попробовать другой способ- изменить файл functions.php, который расположен в папке с вашей темой. И в конце файла написать новый код:

Исходный код:

<?php remove_action ('wp_head', 'wp_generator'); ?>

Регулярно проводите резервное копирование базы данных

Резервная копия базы данных вашего сайта, в случае его отключения по каким либо причинам, в том числе и аварийным сбоям, позволит вам сделать его откат к последнему рабочему состоянию.

Лучшим решением будет, если вы воспользуетесь услугами хостинг провайдера, который без вашего участия периодически производит резервное копирование данных вашего сайта.

Но это не всегда так, и в противном случае вам придется воспользоваться соответствующими wp-плагинами (BackUpWordPress или WordPress Database Backup), которые будут отправлять копии базы данных на указанный вами адрес электронной почты. Эти модули создают резервную копию всякий раз, когда в базу данных вносятся изменения.

Защитите все важные папки

На вашем блоге, в корневом каталоге, где установлены все компоненты WordPress, находятся важнейшие папки, которым необходимо уделить особое внимание: wp-admin и wp-content.

Они содержат важнейшую информацию о вашем сайте и с их помощью можно получить полный контроль над ресурсом, поэтому они должны быть надежно защищены.

На настоящий момент имеется несколько эффективных плагинов, способных выполнять функции защиты – AskApache Password Protect, BulletProof Security и др. К тому же, вы можете выполнить более гибкую настройку безопасности своего сайта с помощью создания одного или нескольких файлов с расширением .htaccess (файл настройки доступа сервера Apache).

Регулярно проверяйте безопасность системы

Для того, чтобы определить слабые места в безопасности вашей системы, необходимо периодически выполнять проверки при помощи плагина Wp-security-scan. Именно он путем тщательного анализа может обнаружить все прорехи в безопасности сайта и поможет принять соответствующие меры.

Во избежание конфликтных ситуаций и замедления работы ресурса, после устранения проблем, связанных с безопасностью, данный плагин можно деактивировать (отключить) до следующей проверки.

Как не допустить взлом сайтаПредотвращайте попытки взломов сайта

Когда хакеры всерьез возьмутся за взлом вашего ресурса, то в ход пойдут любые методы, в том числе и грубые, которые проявляются как многократно повторяющиеся попытки входа на сайт с административными правами.

Для своевременного обнаружения таких ситуаций предназначен wp-плагин Login lockdown, который регистрирует все попытки взлома, сохраняя IP адрес, используемый злоумышленником.

После определенного числа попыток входа, возможность доступа с этого IP будет заблокирована. Пороговое значение количества неудачных входов, а также время блокировки можно менять в настройках плагина.

Запретите индексацию административного раздела

Имейте в виду, что проиндексированные файлы значительно облегчают несанкционированный доступ к ним. Поэтому индексации поисковых систем должны подвергаться только документы, содержащие контент для пользователей, но ни в коем случае не документы, находящиеся в административных каталогах.

Для запрещения индексации необходимых компонентов сайта, нужно создать текстовый файл с именем robots.txt, в котором прописать инструкции запрета индексации нужных ресурсов сайта. Сам файл должен находиться в корневом каталоге сайта. Приведу пример фрагмента файла robots.txt:

#
User-agent: *
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /wp-admin
Disallow: /wp-includes
…

Список файлов и папок можно продолжить. В результате чего, установив директивы, запрещающие индексацию жизненно важных документов вашего сайта поисковыми роботами, вы существенно повысите уровень безопасности сайта в целом.

Резюме

Хотя последнее время в сети появляется все больше публикаций на тему безопасности веб-ресурсов, большинство владельцев сайтов на WordPress, и не только, просто пренебрегают этими предостережениями. Зачастую это связанно с недостаточным уровнем технических знаний или с полной уверенностью в том, что мой ресурс не будет атакован.

Но зачем рисковать своим проектом, в который заложены немалые усилия, потрачена масса времени и средств. Не лучше ли выделить некоторое время на проведение всех описанных выше мер безопасности в рамках вашего ресурса, что позволит избежать проблем в будущем.

Хотелось бы узнать, как вы относитесь к вопросам безопасности ваших блогов и сайтов. Оставляйте Ваши отзывы в комментариях.


А сейчас предлагаю немного отвлечься и поиграть в игрушку про инопланетянина и алмаз. Очень увлекает:)

 

Поделитесь с друзьями и подпишитесь на свежие новости!


Вам также может понравиться ...

Комментарии:

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>