Защита сайта на WordPress
CMS WordPress остается одной из самых популярных систем управления сайтом в мире. Разработка сайта любого типа - от личного блога до интернет-магазина, простое и понятное управление сайтом, легкость в администрировании, большое количество учебных материалов по любому вопросу, возможность легко изменять вид страниц и функциональные возможности ресурса с помощью плагинов (среди которых множество бесплатных) - все это делает эту систему управления контентом незаменимой в мире веб-разработки.
Но перед тем, как создать сайт на Вордпресс, стоит позаботиться о безопасности будущего ресурса и защиту данных, ведь с каждым днем злоумышленники осваивают новые методы взлома сайта - возникают новые вирусы, СПАМ-атаки, вредоносные скрипты, программы подбора паролей, которым под силу не только похитить данные, но и полностью исключить работу сайта.
Поэтому если вы являетесь владельцем сайта на популярной CMS или планируете его разработку, вам стоит ознакомиться со следующими советами для защиты сайта на WordPress.
1. Безопасность хостинга
При выборе хостинга, на котором будут храниться данные вашего ресурса, обращайте внимание не только на выделенную память и стоимость тарифа обслуживания, но и на следующие параметры:
поддержка последних версий PHP и MySQL;
регулярные и частые автоматические бэкапы сайта;
сканирования на наличие вирусов и угроз;
обновление версий программного обеспечения.
В качестве качественного хостинга можно использовать https://hostkoss.com/deshevyj-hosting.html или другой подобный хостинг провайдер.
2. CMS WordPress
Не забывайте обновлять версию Вордпрес при выходе обновления, и предварительно сделайте бэкап сайта - часто возникают проблемы с совместимостью новой версии системы с устаревшими темами и плагинами. Обновление до последней версии позволяет обойти множество угроз для ресурса, которые могли повредить сайта с более старой версии.
3. Скрытая версия Вордпрес
По определенным причинам не всегда удается вовремя обновить версию CMS, поэтому стоит запретить передачу действующей версии с кода файлов и страниц - такая информация может упростить работу для злоумышленников. Скрыть информацию можно добавив следующий код в файл functions.php:
REMOVE_ACTION ( 'WP_HEAD "," WP_GENERATOR');
Также следует удалить файлы, которые могут содержать информацию о WordPress - readme.html и license.txt.
надежный вход
Как свидетельствует статистика, 8-10% взломов сайта на Вордпресс состоялись из-за слабого вход в систему. Для защиты личного кабинета следует принять следующие меры.
4. Нестандартный логин
Самый популярный логин - admin, именно его по умолчанию предлагает система. При попытке взлома боты сразу "разоблачат" стандартный логин, поэтому им останется только подобрать пароль.
Для того чтобы изменить стандартный логин на более надежный, выполните следующие действия:
Добавьте в админ-панели нового пользователя - его имя и будет новым надежным именем. Предоставьте ему все права на сайт с ролью "Администратор".
После создания нового пользователя войдите в кабинет под новым аккаунтом и удалите пользователя admin.
Эти действия лучше выполнить еще перед созданием любого контента на сайте - записи, которые ранее опубликованные от имени admin, останутся под его авторством. Чтобы это исправить, нужно запросить к базам данных:
UPDATE WP_POSTS SET POST_AUTHOR = 'ВАШ НОВЫЙ ЛОГИН' WHERE POST_AUTHOR = 'ADMIN';
5. Уникальный пароль
Не медлите сразу создать надежный пароль, без отговорок "потом изменю". При этом, для его генерации лучше использовать специальный инструмент, который создаст сложную комбинацию букв, символов, цифр, например Ctr0455H46mvr. Запомнить такой пароль, конечно сложно, поэтому для его сохранения стоит воспользоваться надежным расширением браузера для сохранения паролей, например, LastPass для Google Chrome.
6. Ограничение попыток входа в CMS
Как правило, при попытке подбора паролей осуществляется большое количество попыток входа. Для блокировки возможности входу таких действиях на несколько часов можно воспользоваться специальными плагинами, например, Login Lockdown. При этом, у вас будет возможность самостоятельно определить после стольких попыток блокировать вход.
7. Двойная аутентификация
Для надежного входа на сайт можно воспользоваться плагином для двойной аутентификации Google Authenticator. Он работает таким образом, что при входе вам дополнительно нужно будет ввести код, который поступит на ваш смартфон.
8. Изменение адреса входа
Стандартно осуществить вход в систему управления можно по адресу:
HTTP://DOMEN.COM/WP-ADMINHTTP://DOMEN.COM/WP-LOGIN.PHP
HTTP://DOMEN.COM/WP-LOGIN.PHP
Для большей безопасности URL входа можно изменить. Для этого необходимо осуществить замену в файле wp-login.php всех вариантов с wp-login.php на новый адрес.
9. Защита файла wp-config.php
Данный файл содержит много важной информации о вебсайте, поэтому его защита является очень важным. Для запрета доступа к нему в файл .htaccess нужно добавить:
<FILES WP-CONFIG.PHP>
ORDER ALLOW,
DENY DENY FROM ALL
</ FILES>
10. Защита сайта на WordPress от спама в комментариях
Если на ресурсе есть множество информационных материалов с возможностью оставлять комментарии, стоит защитить сайт от спам-ботов, которые размещают в комментариях ссылки на сторонние ресурсы. Для этого можно воспользоваться плагинами Вордпрес, например, Akismet.
11.Использование надежных плагинов и тем
Устанавливайте только надежные и проверенные темы и плагины, которые часто обновляются. Для проверки можно воспользоваться плагинами Theme Check и Plugin Detective plugin соответственно. Если информация о плагин отсутствует или ее мало, лучше его не устанавливать. Также не забывайте удалять ненужные плагины и те, которые не обновляются в течение длительного периода.
12. SSL сертификат
Используйте сертификат SSL для шифрования данных между браузером и сервером, особенно это необходимо для сайтов с использованием платежных систем. Кроме того, сегодня наличие сертификата безопасности является одним из весомых факторов для продвижения сайтов в Google.