22 совета, как предотвратить взлом вашего блога на Wordpress

Как избежать взлома вашего сайта WordPress

Независимо от того, используете ли вы меры безопасности на своем веб-сайте или в блоге прямо сейчас или нет, факт в том, что…

Разумные блоггеры серьезно относятся к безопасности веб-сайтов и делают все возможное, чтобы предотвратить взлом их блога WordPress.

Онлайн-безопасность — очень реальная проблема.

Многие люди забывают обновлять плагины и не используют последнюю версию WordPress. Невыполнение этого требования может привести к катастрофе, если вы не предпримете шаги для предотвращения взлома вашего блога.

Потеря контента вашего блога или веб-сайта может разрушить бизнес, репутацию или просто присутствие в Интернете, которое вы пытались увеличить; представьте себе, что у вас есть блог с сотнями постов, комментариев и даже партнерских ссылок, но на следующий день он оказывается уничтоженным! Не приятное чувство. Однако есть способы сделать безопасность вашего сайта сильнее, чем лучше.

Вы можете добавлять плагины, обновлять структуру вашего блога, в основном, есть много способов обеспечить безопасность вашего блога или веб-сайта. Поэтому, чтобы помочь вам, я написал эту короткую, но информативную статью. Я надеюсь, что это поможет некоторым из вас.

Этот пост был составлен, конечно же, мной, а также моим гениальным другом-блоггером Юлиусом, который работает And Break! Проверьте его блог для моих замечательных советов.

Как уберечь свой сайт WordPress от взлома

Сделайте резервную копию своего блога

Прежде чем вносить какие-либо изменения в свой блог, обязательно сделайте его резервную копию. Проблема с большинством бесплатных плагинов заключается в том, что они не создают резервные копии всех ваших данных. Например, если ваш блог WordPress будет удален, и вы восстановите резервную копию с помощью бесплатного плагина, вы все равно потеряете много своих данных, таких как изображения, поскольку они не поддерживаются этими плагинами. Вот почему я бы рекомендовал использовать Backup Buddy, который создает резервную копию всего вашего блога WordPress и позволяет легко восстановить его позже.

Если у вас есть опасения, что ваш блог может быть взломан, обязательно загляните на Backup Buddy.

Используйте надежные пароли

Надежные пароли необходимы для пользователей с высоким уровнем привилегий, таких как администраторы. Без них ваш блог будет уязвим для атак грубой силы. По сути, это атаки, при которых злоумышленник пытается угадать пароль, перебирая множество паролей — пользовательских комбинаций. Если вы используете безопасные пароли, то шансы на успешную атаку грубой силы становятся крайне низкими.

Вот несколько советов о том, что должны включать в себя безопасные пароли:

• используйте как минимум 1-2 цифры используйте символы верхнего и нижнего регистра
• используйте специальные символы, такие как !@#…

Вы также не должны использовать пароли, такие как дата вашего рождения или хобби. Такие пароли очень ненадежны, поскольку хакеры могут легко найти личную информацию.

Еще один важный шаг, который вы должны сделать, это иметь много разных паролей. Хорошо иметь только один пароль и получать доступ ко всему через него, но представьте, что произойдет, если кто-то узнает этот пароль. Он может в основном получить доступ ко всем вашим учетным записям.

По этой причине используйте много разных паролей.

Будьте в курсе исправлений и обновлений

Это еще один важный шаг в обеспечении безопасности вашего блога. Патчи и обновления создаются для того, чтобы исправить дыры в безопасности и расширить функциональные возможности программного обеспечения. Нет причин не устанавливать их.

По сути, вы также должны быть в курсе изменений в WordPress и уязвимостей в целом. Поэтому я советую вам следовать этим двум каналам:

• WordPress разработка
• БлогSecurity.net

Первый — это лента разработки WordPress, где публикуются новые выпуски и последние обновления для WordPress. Другой канал от BlogSecurity.net. Эти ребята часто публикуют уязвимости, существующие в плагинах WordPress или в самом WordPress.

Используйте SSH вместо FTP

FTP в целом не так безопасен, как многие думают. Ваши учетные данные FTP обычно не зашифрованы и их легко перехватить.

Очень безопасной альтернативой FTP является SSH. SSH использует простой алгоритм для шифрования всех передаваемых через него данных, включая файлы. Прочтите эту статью, и вы, возможно, передумаете использовать FTP для загрузки!

Используйте поддерживаемые темы WordPress

Большинство людей думают, что темы WordPress сами по себе не представляют угрозы безопасности, но некоторые все же это делают. Темы могут представлять угрозу безопасности, потому что не каждый веб-разработчик знает, как писать безопасный код.

По этой причине хорошо придерживаться темы, которая поддерживается и время от времени обновляется. Поддерживаемые темы WordPress, как правило, доступны за небольшие деньги, но лучше перестраховаться, чем потом сожалеть. Эти платные темы называются премиальными темами. Такие темы предлагаются такими веб-сайтами, как Woo Themes или Thesis.

Еще одно преимущество профессиональных шаблонов заключается в том, что когда вы сталкиваетесь с проблемами, у вас есть место, куда вы можете обратиться.

Сканировать плагины на вирусы после загрузки

Сегодня вы можете так легко загружать плагины и устанавливать их в свой блог за считанные секунды. Но вы должны быть осторожны с тем, какие расширения вы загружаете. Плагины могут содержать вредоносный код. Из-за этого имеет смысл сканировать вредоносные программы сразу после их загрузки.

Вам особенно нужно сделать это с плагинами, которые вы загрузили в некоторых местах, отличных от каталога плагинов WordPress.

Для этой задачи лучше всего использовать антивирусное программное обеспечение. Новые операционные системы автоматически проверяют наличие вирусов после загрузки файлов. Если вы используете старую операционную систему, я бы порекомендовал сканировать каталог загрузки, может быть, раз в неделю или сразу после загрузки новых файлов.

Изменить префикс таблицы базы данных

Чтобы сделать вашу базу данных более безопасной, вам следует изменить префикс таблицы базы данных. Префикс по умолчанию — wp_ , и его следует изменить на что-то другое, что-то более сложное и трудно угадываемое, например 5rt30k_ .

Вот где полезно WP Security Scan, поскольку он сделает это за вас. В любом случае вам следует установить плагин WP Security, так как он покажет вам потенциальные риски безопасности в вашем блоге.

Ограничить доступ к каталогу Wp-Content

Wp-content — важный каталог Wordpress. Пользователи должны иметь доступ только к определенным типам файлов в этом каталоге. Эти типы файлов включают изображения ( .jpeg , .gif , .png ), Javascript ( .js ), CSS ( .css ) и XML ( .xml ).

Поэтому имеет смысл запретить доступ ко всем другим типам данных. Приведенный ниже код разрешает доступ к изображениям, файлам Javascript, CSS и XML, но не разрешает доступ к каким-либо другим данным. Приведенный ниже код следует поместить в файл .htaccess в папке wp-content .

Отклонить заказ, разрешить
Запретить от всех
<Файлы ~ “.(xml|css|jpe?g|png|gif|js)$”>
Разрешить от всех
</файлы>

Это все, что вам нужно сделать.

Безопасный wp-config.php

Wp-config.php — очень важный файл, поскольку он содержит всю информацию о доступе и ключи, необходимые для защиты вашего блога. Мы можем защитить файл, добавив эти строки в файл .htaccess в корневом каталоге WordPress (где находится файл wp-config ):

# защитить wp-config.php
<файлы wp-config.php>
Заказать запретить, разрешить
Запретить от всех
</файлы>

Этот код запрещает всем доступ к файлу wp-config.php .

Нет просмотра каталогов

Еще одно важное изменение, касающееся безопасности WordPress, — запретить людям просматривать структуру каталогов вашего сайта. Если вы хотите увидеть, как это выглядит, просто введите «индекс» в Google, и Google выведет список всех веб-сайтов, которые позволяют просматривать каталоги.

Чтобы остановить это поведение, все, что вам нужно сделать, это добавить строку кода ниже в ваш файл .htaccess в корневом каталоге WordPress.

Опции Все -Индексы

Это остановит поведение раз и навсегда.

Не позволяйте поисковым системам индексировать раздел администратора

Сканеры поисковых систем индексируют почти любой контент, если им говорят этого не делать. Ваш раздел администратора, индексируемый поисковыми системами, может представлять серьезную угрозу безопасности.

Поэтому хорошо просто держать сканеры подальше от всех каталогов WordPress. Самый простой способ сделать это — создать файл robots.txt в корневом каталоге. Затем поместите в файл следующий код:

Запретить: /wp-*

Защитите свой каталог плагинов

Плагины, которые вы используете, могут многое рассказать злоумышленнику о вашем веб-сайте, поэтому разумно скрыть их.

Вы можете легко скрыть плагины. Прежде всего, откройте текстовый редактор и просто создайте пустой файл с именем index.html . Затем загрузите этот файл в каталог wp-content/plugins/ .

Удалить учетную запись администратора по умолчанию

Удалив учетную запись администратора , злоумышленники не смогут так легко узнать ваше имя пользователя. Поскольку каждая установка WordPress поставляется с учетной записью администратора, хакерам будет легче взломать вашу учетную запись, поскольку они уже знают имя пользователя.

Вы не можете сразу удалить свою учетную запись администратора, если у вас нет новой учетной записи администратора, поэтому выполните следующие действия:

1. Создайте новую учетную запись администратора (с именем пользователя, которое труднее угадать)
2. Выйти
3. Войдите, используя новую учетную запись администратора и пароль
4. Удалить старый аккаунт

Изменить права доступа по умолчанию для пользователей

Права доступа по умолчанию довольно безопасны, но если вы хотите быть в безопасности и иметь больший контроль над правами, которые есть у каждого пользователя в вашем блоге, то это важно.

Это довольно просто настроить. Все, что вам нужно сделать, это:

1. Загрузите подключаемый модуль диспетчера ролей
2. Загрузите его в свой блог WordPress.
3. Активировать его

Затем перейдите в раздел « Пользователи » вашего блога. Там вы можете настроить плагин Role Manager в соответствии с вашими потребностями.

Удалить неактивные учетные записи пользователей

Неактивные учетные записи пользователей раздражают, а также представляют угрозу безопасности. Некоторые люди выбирают слабые пароли, когда регистрируются в вашем блоге. Если учетная запись неактивна, но все еще находится в вашем блоге, злоумышленники могут использовать ее для получения доступа к вашему блогу.

Поэтому лучше всего просто удалить неактивные учетные записи пользователей в WordPress (хотя вам нужно убедиться, что это ничего не сломает). Для этого перейдите на панель инструментов WordPress и нажмите «Пользователи ». Это приведет вас на страницу, где будут перечислены все пользователи.

Затем продолжайте и удалите те, которые, как вы знаете, неактивны.

Добавьте ключи аутентификации WordPress в wp-config.php

Добавление ключей WordPress — еще одна важная мера безопасности. Эти ключи должны быть случайными и работать как соли для файлов cookie WordPress, тем самым обеспечивая лучшее шифрование пользовательских данных.

Используйте генератор ключей Wordpress, чтобы сгенерировать эти ключи, и просто замените в файле wp-config.php строки ниже сгенерированными:

define('AUTH_KEY', 'поместите здесь свою уникальную фразу');
define('SECURE_AUTH_KEY', 'поместите здесь свою уникальную фразу');
define('LOGGED_IN_KEY', 'поместите здесь свою уникальную фразу');
define('NONCE_KEY', 'поместите здесь свою уникальную фразу');

Это все, что вам нужно сделать.

Предотвратите взлом блога WordPress — установите брандмауэр WordPress

Существует плагин под названием WordPress Firewall 2, который фактически защищает ваш блог от злоумышленников. Что он делает, так это предупреждает вас всякий раз, когда кто-то пытается взломать ваш блог. Это также, конечно, заблокирует попытку хакера.

Проблема с этим плагином в том, что он слишком хорошо выполняет свою работу. Это означает, что обычно он также блокирует внесение каких-либо изменений в ваш блог. Если вы отредактируете файл темы WordPress, а затем нажмете «Сохранить», плагин брандмауэра заблокирует его. Это также произошло со мной при использовании плагина Smush.it вручную.

Это очень раздражает, но, по крайней мере, показывает, что плагин действительно работает. Единственное, что вы можете сделать, если хотите редактировать такие файлы, — это отключить плагин и снова включить его позже.

Отбросьте строку версии Wordpress

<мета-контент=”Wordpress 2.5″ />

Строка версии, которую WordPress автоматически добавляет в вашу тему, важна, потому что она дает злоумышленнику информацию о том, исправлен ли блог или нет. Если это устаревшая версия, злоумышленник немедленно начнет искать дыры в безопасности, которые были обнародованы в этой конкретной версии WordPress.

WordPress обычно автоматически добавляет эту строку версии в вашу тему. Строка кода ниже укажет WordPress не добавлять строку версии в ваш заголовок. Все, что вам нужно сделать, это добавить код в файл functions.php .

<?php remove_action('wp_head', 'wp_generator'); ?>

Теперь взгляните на исходный код вашего сайта. Если метатег генератора все еще там, вам следует проверить, содержит ли ваш header.php такую ​​строку:

<meta name=”generator” content=”WordPress <?php bloginfo('version'); ?>» />

Если это так, то вперед и удалить его.

Предотвратите взлом блога WordPress — всегда используйте HTTPS при входе в свою панель управления

HTTPS — это безопасная версия HTTP. При использовании HTTPS ваши данные, т. е. пароли и имена пользователей, не передаются в открытом виде, а шифруются. Это затрудняет перехват и правильное расшифровывание вашего пароля и имени пользователя.

Если вы хотите использовать HTTPS при входе в панель управления WordPress, вы можете использовать один из приведенных ниже кодов и добавить их в wp-config.php .

определить('FORCE_SSL_LOGIN', правда);

Приведенный выше код заставляет WordPress использовать SSL при входе в вашу административную панель, но только при входе в систему. Он не требует использования SSL при использовании вашей панели управления.

Вместо того, чтобы делать это вручную, вы также можете просто добавить плагин, такой как WordPress HTTPS (SSL)

Чтобы предотвратить взлом блога WordPress — заблокируйте попытки доступа к каталогу wp-admin

Папка wp-admin — один из самых важных каталогов в вашем блоге. Через него вы можете получить доступ к панели управления. Блокирование доступа других людей к этому каталогу является важным шагом в обеспечении безопасности вашего блога.

Вы можете сделать это, создав файл .htaccess в каталоге wp-admin . Добавьте в него приведенный ниже код, но измените IP-адреса на свои. Если вы не знаете, какой у вас IP-адрес, просто посетите WhatIsMyIP.

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName «Контроль доступа»
Основной тип авторизации
запретить заказ, разрешить
отрицать от всех
# белый список домашних IP-адресов
разрешить от 64.233.169.99
# белый список рабочих IP-адресов
разрешить от 69.147.114.210
разрешить от 199.239.136.200

Нет смысла использовать этот код, если в вашем блоге пишет много людей, особенно если они постоянно меняются. Проблема в том, что вам всегда нужно добавлять/удалять IP-адреса, исходя из того, кому нужен доступ к вашему блогу в данный момент.

Еще одним недостатком является то, что ваш интернет-провайдер назначает вам динамический IP-адрес, а это означает, что ваш IP-адрес постоянно меняется. Если это так, не добавляйте код в файл .htaccess .

Чтобы предотвратить взлом блога WordPress — ограничьте количество неудачных попыток входа в WordPress

Ограничение количества неудачных попыток не позволяет пользователям использовать методы грубой силы в вашей учетной записи WordPress. Атака полным перебором — это попытка узнать пароль пользователя путем перебора всех возможных паролей.

В качестве контрмеры существуют плагины, которые автоматически банят пользователя на час, если он три раза подряд неправильно ввел пароль. Login Lockdown — один из этих плагинов WordPress.

Скрыть ошибки входа в панель управления

Вы когда-нибудь замечали, что когда вы пытаетесь войти в систему с существующим именем пользователя и неправильным паролем, вы получаете сообщение « Ошибка: неверный пароль» . Если вы входите в систему с несуществующим именем пользователя и каким-либо паролем, появляется другое сообщение с сообщением об ошибке: неверное имя пользователя .

Это помогает злоумышленникам выяснить, какие имена пользователей существуют.

Поэтому я советую вам добавить следующую строку в ваш файл functions.php :

add_filter('login_errors',create_function('$a', "вернуть ноль;"));

Теперь каждый раз, когда возникает ошибка, появляется пустая строка. Попробуйте.

Рекомендуемая статья: 10 способов улучшить безопасность блога