Безопасность wordpress сайтов — 10 советов по защите.

Приветствую вас дорогие читатели. При ведении своего блога, нужно думать и о его безопасности, ведь хакеры не будут ждать пока у вас проявится бдительность, они незамедлительно наносят атаку!

советы по безопасности wordpress

Не стоит откладывать на потом эти советы по безопасности сайта, а вообще, их нужно реализовать сразу после того, как вы создали сайт!

Данные советы не защитят ваш сайт на все 100 %, да это и невозможно, но они существенно снизят вероятность проникновения злоумышленника в администраторскую часть сайта!

О некоторых из них вы уже наверняка слышали, а с некоторыми, думаю, познакомитесь сегодня.

В большинстве случаев вам придется устанавливать плагины, поэтому для кого-то будет полезна статья: Как устанавливать плагины wordpress на свой сайт или блог?

И так, перейдем непосредственно к советам!

1. Создание своей ссылки для входа

Для того, чтобы попасть в панель администратора, вы заходите по следующей ссылке:

адрес вашего сайта/wp-login.php

А это значит, что взломщики тоже будут заходить по этой ссылке – очевидно, что нужно изменить эту ссылку на ту, о которой будете знать только вы!

Для этого нам понадобится плагин:

Stealth Login

2. Ограниченное количество попыток входа

Если вас хотят взломать, то, скорее всего, взломщик не сможет этого сделать с первого, второго, да и с третьего раза, поэтому, если поставить ограничения на попытки входа, то у злоумышленника сразу отпадет интерес к вашему сайту!

Это можно сделать при помощи плагина, название которого вы найдете в конце второго совета.

Вы можете поставить количество попыток, например, если поставить три, то мошенник, введя неправильно пароль три раза, увидит вот это:

Вход блокированЗапись, на которую указывает стрелочка на картинке, означает что-то вроде: Вход заблокирован.

Название плагина:

Login Lockdown

Также, это можно сделать с помощью плагина Limit Login Attempts, для этого читайте статью: Как ограничить количество попыток авторизации в WordPress?

3. Использование антивируса для wordpress

Данный плагин-антивирус является умным и очень эффективным решением по защите вашего блога от вирусов, спама и вредоносного кода.

После установки, он будет сканировать ваш сайт, и в случае угрозы или заражения, непременно сообщит об этом вам по электронной почте!

Название антивируса:

AntiVirus

4. Удаление сообщения об ошибке при входе

При неправильно введенном пароле вылезает ошибка, а зачем мошеннику знать о том, что он ввел неправильный пароль? Правильно -ни к чему!

Чтобы удалить это сообщение, вам нужно зайти: Дизайн ? Редактор ? Функции темы (functions.php) , после чего добавить следующую строчку:

define(’FORCE_SSL_ADMIN’, true);

Также, альтернативой этому, служит плагин, который делает тоже самое.

Плагин:

Secure WordPress

5. Одноразовый пароль

Плагин, название которого представлено чуть ниже,  позволяет зайти на свой блог, использую пароль, который действителен в течении одной сессии.

Данная хитрость позволит предотвратить кражу вашего основного пароля.

Это очень удобно, если вы находитесь, например, в интернет кафе.

Имя плагина:

One Time Password

6. Безопасный пароль

Здесь думаю объяснять не нужно – чем сложнее пароль, тем лучше защищен ваш интернет ресурс.

В пароле я рекомендую использовать как можно большее разнообразие символом, знаков, цифр и букв.

Впрочем, читайте эту статью и тогда поймете о чем я: Какой пароль выбрать для сайта WordPress – самый надежный!

7. Своевременное обновление WordPress

C каждый выходам новой версии движок  wordpress становится более безопасным для использования.

На официальном сайте вы можете следить за всеми ошибками и дырами, которые были найдены в той или иной версии.

После выхода новой версии, рекомендую подождать недельки две, чтобы узнать о возможных недочетах, ну а потом уже и скачивать.

Также, советую проводить все тестирования на демо сайте, установленном при помощи программы Denwer.

8. Защита паролем каталога WP-Admin

Защитить wp-admin каталог следует по той причине, что если хакер проникнет на ваш хостинг (в менеджер файлов), то попасть в этом нужный для него каталог не сможет.

Это делается с помощью плагина, которые генерирует пароль и создает текстовый файл с расширением .htpasswd, а также устанавливает правильные права к доступу файлов.

Вот плагин: AskApache

9. Ограничение доступа через IP-адрес

Вы можете ограничить доступ к вашей панели администрирования и сделать её доступной только определенным ip-адресам.

Для этого необходимо создать файл под названием .htaccess и поместить его в папку (каталог) wp-admin.

Содержимое файла .htaccess должно быть таким:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
<LIMIT GET>
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx
</LIMIT>

В вышеприведенном коде ip-адрес нужно заменить соответственно на свой.

Минусом данного средства защиты является то, что если вы захотите зайти в свою админ-панель из другого места, например, вы находитесь в другом городе, то в файл вам придется добавлять еще один ip-адрес.

10. Изменение стандартного логина – admin

Очень часто, при создании сайта, люди оставляют стандартный логин – admin, что, согласитесь, лучше исправить, так как вредителю, который хочет взломать ваш блог, придется подбирать не только пароль, но и логин.

Для смены стандартного логин существует несколько способов, сейчас я приведу вам один из них:

В админ панели слева выбираем: Пользователи ? Добавить

добавление нового пользователя в wordpress

Теперь заполняем все поля с Вашими данными:

Заполняем данные о новом пользователе

Первое поле – это и есть логин, вообще, суть данного способа заключается в том, что вы создаете нового пользователя (себя) с правами администратора.

Дважды вводим сложный пароль, выбираем роль и жмем ? Добавить нового пользователя:

выбираем роль и нажимаем добавить

Никогда не забывайте о безопасности собственного сайта, ведь даже один неприятный случай может поставить крест на поисковом продвижении сайта.

На этом все, надеюсь вышеизложенные советы будут полезными для вас.

Подписывайтесь на обновления, с вами был Виталий Admin, до новых встреч!

Если вам нужна помощь в создании какого-либо функционала, сайта, сервиса, тестов или калькуляторов, то готов помочь, подробнее на странице услуг.

Безопасность wordpress сайтов — 10 советов по защите.: 4 комментария

  1. Виталий Монеткин

    Не плохо так, основная часть сайтов у меня на Dle, и я вам скажу… Лучше бы я делал на WP, хоть DLE проще, но WP как-то надёжнее мне кажется.

    1. Виталий Admin

      C DLE не разу не встречался если честно, но, думаю WP попроще будет. На счет надежности не знаю, если захотят, то могут любой сайт взломать, а так в умелых руках WordPress надежный движок.

  2. Владимир

    Здравствуйте Виталий, у меня такой вопрос. Как можно ограничить доступ к сайту только по определенным паролям. В не зависимости от IP. И допустим если зашли под этим паролем то вторую параллельную сессию под тем же паролем уже запретить.

    1. Виталий Admin

      Добрый день, для каких целей хотите так сделать?

Обсуждение закрыто.