Приветствую вас дорогие читатели. При ведении своего блога, нужно думать и о его безопасности, ведь хакеры не будут ждать пока у вас проявится бдительность, они незамедлительно наносят атаку!
Не стоит откладывать на потом эти советы по безопасности сайта, а вообще, их нужно реализовать сразу после того, как вы создали сайт!
Данные советы не защитят ваш сайт на все 100 %, да это и невозможно, но они существенно снизят вероятность проникновения злоумышленника в администраторскую часть сайта!
О некоторых из них вы уже наверняка слышали, а с некоторыми, думаю, познакомитесь сегодня.
В большинстве случаев вам придется устанавливать плагины, поэтому для кого-то будет полезна статья: Как устанавливать плагины wordpress на свой сайт или блог?
И так, перейдем непосредственно к советам!
1. Создание своей ссылки для входа
Для того, чтобы попасть в панель администратора, вы заходите по следующей ссылке:
адрес вашего сайта/wp-login.php
А это значит, что взломщики тоже будут заходить по этой ссылке – очевидно, что нужно изменить эту ссылку на ту, о которой будете знать только вы!
Для этого нам понадобится плагин:
Stealth Login
2. Ограниченное количество попыток входа
Если вас хотят взломать, то, скорее всего, взломщик не сможет этого сделать с первого, второго, да и с третьего раза, поэтому, если поставить ограничения на попытки входа, то у злоумышленника сразу отпадет интерес к вашему сайту!
Это можно сделать при помощи плагина, название которого вы найдете в конце второго совета.
Вы можете поставить количество попыток, например, если поставить три, то мошенник, введя неправильно пароль три раза, увидит вот это:
Запись, на которую указывает стрелочка на картинке, означает что-то вроде: Вход заблокирован.
Название плагина:
Login Lockdown
Также, это можно сделать с помощью плагина Limit Login Attempts, для этого читайте статью: Как ограничить количество попыток авторизации в WordPress?
3. Использование антивируса для wordpress
Данный плагин-антивирус является умным и очень эффективным решением по защите вашего блога от вирусов, спама и вредоносного кода.
После установки, он будет сканировать ваш сайт, и в случае угрозы или заражения, непременно сообщит об этом вам по электронной почте!
Название антивируса:
AntiVirus
4. Удаление сообщения об ошибке при входе
При неправильно введенном пароле вылезает ошибка, а зачем мошеннику знать о том, что он ввел неправильный пароль? Правильно -ни к чему!
Чтобы удалить это сообщение, вам нужно зайти: Дизайн ? Редактор ? Функции темы (functions.php) , после чего добавить следующую строчку:
define(’FORCE_SSL_ADMIN’, true);
Также, альтернативой этому, служит плагин, который делает тоже самое.
Плагин:
Secure WordPress
5. Одноразовый пароль
Плагин, название которого представлено чуть ниже, позволяет зайти на свой блог, использую пароль, который действителен в течении одной сессии.
Данная хитрость позволит предотвратить кражу вашего основного пароля.
Это очень удобно, если вы находитесь, например, в интернет кафе.
Имя плагина:
One Time Password
6. Безопасный пароль
Здесь думаю объяснять не нужно – чем сложнее пароль, тем лучше защищен ваш интернет ресурс.
В пароле я рекомендую использовать как можно большее разнообразие символом, знаков, цифр и букв.
Впрочем, читайте эту статью и тогда поймете о чем я: Какой пароль выбрать для сайта WordPress – самый надежный!
7. Своевременное обновление WordPress
C каждый выходам новой версии движок wordpress становится более безопасным для использования.
На официальном сайте вы можете следить за всеми ошибками и дырами, которые были найдены в той или иной версии.
После выхода новой версии, рекомендую подождать недельки две, чтобы узнать о возможных недочетах, ну а потом уже и скачивать.
Также, советую проводить все тестирования на демо сайте, установленном при помощи программы Denwer.
8. Защита паролем каталога WP-Admin
Защитить wp-admin каталог следует по той причине, что если хакер проникнет на ваш хостинг (в менеджер файлов), то попасть в этом нужный для него каталог не сможет.
Это делается с помощью плагина, которые генерирует пароль и создает текстовый файл с расширением .htpasswd, а также устанавливает правильные права к доступу файлов.
Вот плагин: AskApache
9. Ограничение доступа через IP-адрес
Вы можете ограничить доступ к вашей панели администрирования и сделать её доступной только определенным ip-адресам.
Для этого необходимо создать файл под названием .htaccess и поместить его в папку (каталог) wp-admin.
Содержимое файла .htaccess должно быть таким:
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny,allow deny from all # whitelist Syed's IP address allow from xx.xx.xx.xxx # whitelist David's IP address allow from xx.xx.xx.xxx # whitelist Amanda's IP address allow from xx.xx.xx.xxx # whitelist Muhammad's IP address allow from xx.xx.xx.xxx # whitelist Work IP address allow from xx.xx.xx.xxx </LIMIT>
В вышеприведенном коде ip-адрес нужно заменить соответственно на свой.
Минусом данного средства защиты является то, что если вы захотите зайти в свою админ-панель из другого места, например, вы находитесь в другом городе, то в файл вам придется добавлять еще один ip-адрес.
10. Изменение стандартного логина – admin
Очень часто, при создании сайта, люди оставляют стандартный логин – admin, что, согласитесь, лучше исправить, так как вредителю, который хочет взломать ваш блог, придется подбирать не только пароль, но и логин.
Для смены стандартного логин существует несколько способов, сейчас я приведу вам один из них:
В админ панели слева выбираем: Пользователи ? Добавить
Теперь заполняем все поля с Вашими данными:
Первое поле – это и есть логин, вообще, суть данного способа заключается в том, что вы создаете нового пользователя (себя) с правами администратора.
Дважды вводим сложный пароль, выбираем роль и жмем ? Добавить нового пользователя:
Никогда не забывайте о безопасности собственного сайта, ведь даже один неприятный случай может поставить крест на поисковом продвижении сайта.
На этом все, надеюсь вышеизложенные советы будут полезными для вас.
Подписывайтесь на обновления, с вами был Виталий Admin, до новых встреч!
Если вам нужна помощь в создании какого-либо функционала, сайта, сервиса, тестов или калькуляторов, то готов помочь, подробнее на странице услуг.
Не плохо так, основная часть сайтов у меня на Dle, и я вам скажу… Лучше бы я делал на WP, хоть DLE проще, но WP как-то надёжнее мне кажется.
C DLE не разу не встречался если честно, но, думаю WP попроще будет. На счет надежности не знаю, если захотят, то могут любой сайт взломать, а так в умелых руках WordPress надежный движок.
Здравствуйте Виталий, у меня такой вопрос. Как можно ограничить доступ к сайту только по определенным паролям. В не зависимости от IP. И допустим если зашли под этим паролем то вторую параллельную сессию под тем же паролем уже запретить.
Добрый день, для каких целей хотите так сделать?