Здравствуйте, уважаемые посетители!
На сегодняшний день WordPress является наиболее популярной CMS системой для создания персональных сайтов, что делает его привлекательной мишенью для хакеров. Если у вас есть свой интернет-ресурс на WordPress, то вам необходимо приложить некоторые усилия для обеспечения безопасности ваших данный, а так же персональных данных посетителей вашего сайта. Рано или поздно у каждого владельца сайта возникает вопрос: Как защитить сайт на WordPress?
Навигация по статье:
- 1. Следите за обновлениями WordPress и установленных плагинов
- 2. Защитите административную часть своего сайта
- 3. Не используйте стандартный логин «админ»
- 4. Используйте «сильные» пароли
- 5. Не запоминайте пароли
- 6. Используйте двухуровневую авторизацию
- 7. Убедитесь что компьютер не заражен вирусами и вредоносными программами
- 8. Защита сайта WordPress от d-dos атак
- 9. Используйте плагины-антивирусы
- 10. Делайте резервное копирование
Сегодня мы рассмотрим 10 основных методов защиты сайта от вирусов, а так же несанкционированного доступа, которые помогут вам организовать грамотную защиту своего блога на вордпресс. Важно отметить, что эти способы не гарантируют 100% защиту вашего веб-сайта.
Основная причина этого заключается в том, что не существует гарантированной 100% защиты от всех возможных варианто взлома. Поэтому очень важно использовать, перечисленные ниже методы защиты совместно, только так можно добиться лучшего результата что бы оградить свой сайт от большинства способов атак.
1. Следите за обновлениями WordPress и установленных плагинов
Очень важно следить за тем, чтобы система WordPress, а так же все установленные плагины были обновлены до последних версий, т. к. часто обновления WordPress и плагинов содержат патчи безопасности. Разработчики постоянно работаю над усилением защиты своих программных продуктов, устраняя известные уязвимости или «дыры», которыми могут воспользоваться недобросовестные пользователи для получения доступа к вашим данным.
2. Защитите административную часть своего сайта
Очень важно ограничить доступ к административной части. Доступ к «админке» должны иметь только администратор вашего сайта. Для этого вам необходимо получить у вашего провайдера услуги интернет выделенный IP-адрес. Затем, открываем файл .htaccess, который находится в корневой папке веб-сайта на хостинге, нужно прописать следующие команды доступа:
1 2 3 4 5 |
<Files wp-login.php> order deny,allow Deny from all Allow from xx.xxx.xxx.xxx </Files> |
Если необходимо разрешить доступ из нескольких компьютеров (например, домашний ПК, ноутбук на работе, компьютер вашего администратора и т. д.) просто добавьте еще раз с новой строки директиву Allow from xx.xxx.xxx.xxx.
В случае, если вы не хотите ограничивать доступ к «админке» с других IP-адресов можно ограничить число неудачных попыток входа в систему. Такой способ позволяет обезопасить свой блог от взлома с помощью подбора пароля. Для таких целей удобный маленький плагин Limit Login Attempts.
3. Не используйте стандартный логин «админ»
Часто, при подборе пароля к вашему ресурсу будут использовать стандартный логин «admin». Можно легко избежать этой проблемы просто задав уникальный логин для авторизации. При установке вордпресса вам предлагается указать имя пользователя. Если же WP уже установлен, то логин можно поменять через базу данных.
4. Используйте «сильные» пароли
Вероятно, вы будете удивлены, узнав, что тысячи пользователей используют как пароль для входа в панель управления сайта фразы на подобии «пароль» или «12345». Эти пароли очень легко угадать, такие варианты пробуют в первую очередь при подборе пароля. Хороший пароль должен состоять из заглавных букв, строчных букв, чисел и специальных символов.
Так намного сложнее его подобрать методом перебора.
5. Не запоминайте пароли
Практически все браузеры при вводе логина и пароля предлагают сохранить их для того, что бы в дальнейшем, при повторном входе вам не нужно было напрягаться и вводить все заново. НИ КОГДА НЕ ДЕЛАЙТЕ ЭТОГО! Т. к. различного рода вирусы, которыми может быть заражен (или может заразится) компьютер, ищут файлы в которых сохраняются пароли и отправляют их злоумышленникам.
6. Используйте двухуровневую авторизацию
Добавление двухуровневой авторизации эффективно работает как дополнительная мера защиты. Сделать это можно с помощью плагина Clef, который добавляет проверку подлинности с помощью мобильного телефона. Даже если злоумышленнику удастся получить данные для доступа, ему еще придется украсть ваш телефон:)
7. Убедитесь что компьютер не заражен вирусами и вредоносными программами
Так же, злоумышленник может получить доступ к логину и паролю через ваш компьютер, заразив его вирусом. Поэтому, очень важно, что бы у вас был установлен хороший антивирус с «свежей» антивирусной базой.
8. Защита сайта WordPress от d-dos атак
D-dos атака — это хакерская атака с целью доведения интернет-ресурса до отказа, либо затруднения его использования. Другими словами, злоумышленник создает большое количество внешних запросов к интернет-ресурсу, которые не могут быть обработаны сервером вашего хостинга, что приводит к перегрузке и отключению сервера, т. е. к блокировке веб-сайта.
Это очень серьезная тема для обсуждения. Существует много способов противодействия d-dos атакам. Вот наиболее простые из них:
- Пользоваться хостингом с защитой от ddos атак.
- Использовать плагин Wordfence Security.
9. Используйте плагины-антивирусы
Репозиторий WP содержит много плагинов для обеспечения безопасности блога от вирусов и различного рода атак. Они имеют обширный функционал и позволяют организовать комплексную защиту. Одними из таких плагинов является All In One WP Security & Firewall и уже упомянутый выше плагин Wordfence Security.
10. Делайте резервное копирование
Есть много различных вариантов, которые могут привести к потере работоспособности вашего интернет-проекта и было бы очень полезно иметь резервную копию всех данных веб-сайта, что позволит вам без особых затрат все восстановить. Есть несколько вариантов:
- С помощью хостинга — многие хостинги предлагают услугу автоматического резервного копирования через определенные промежутки времени. Если, вдруг, случится какая-то непредвиденная ситуация, вам не составит труда восстановить утерянные, зараженные либо поврежденные файлы. Очень удобная функция, на наличие которой стоит обращать внимание при выборе хостинга.
- Вручную — можно периодически делать резервную копию файловой части и базы данных вашего интернет-проекта вручную. Резервное копирование файловой части делается с помощью FTP-клиента, а БД копируется через приложение phpMyAdmin доступное на панели управления хостингом
- С помощью специальных плагинов — также, вы можете настроить резервное копирования базы данных при помощи специальных плагинов. Например, таких как:
- BackUp WordPress
- WP Remote
- Online Backup for WordPress
Так же, стоит отметить, что архивы с резервными копиями сделанные автоматически хостингом, или при помощи плагина хранятся в корневой папке вашего сайта на хостинге. Поэтому нужно периодически скачивать эти архивы себе на компьютер. Не обязательно сохранять их каждый день, достаточно это делать хотя бы один раз в 1-2 недели, т. к. с сервером вашего хостинга тоже могут произойти различные неприятности.
Сегодня я постаралась вам рассказать про основные, известные мне, методы защиты сайта на WordPress от различного рода хакерских атак. Каждый из приведенных способов — это отдельный повод для написания статьи. Поэтому если у вас возникли какие-то вопросы, или вам хотелось бы узнать о каком-то приеме защиты более подробно, пишите комментарии и задавайте вопросы.
С уважением Юлия Гусарь