материали 

Единствената работеща антивирусна програма за WordPress. Най-добрите приставки за защита от вируси на WordPress Инсталиране и конфигуриране на антивирус

Системата за управление на съдържанието на WordPress, поради огромната си популярност, също привлича недоброжелатели. Освен това „двигателят“ се разпространява безплатно, така че е още по-застрашен от пробив в сигурността. Самият WordPress е доста сигурен софтуер. Дупките започват да се отварят, когато потребителят инсталира плъгини и теми.

Несигурност на приставки и теми

За съжаление, не винаги е възможно да сте сигурни в безопасността и безвредността на темите или плъгините. Техните платени версии имат много специфични разработчици, които ценят репутацията си. В резултат на това техните продукти са с по-високо качество и вероятността да получите някакъв злонамерен код заедно с тях е доста ниска. Но, както показва нашият житейски опит, всяко правило има изключения. Някои хора добавят безобиден код, за да предоставят обратна връзка, докато други го правят с напълно различна цел. Дори в самия „двигател“ понякога се разкриват уязвимости, които позволяват на нападателя да инжектира кода си в ядрото му.

Плъгини за защита от вируси

За щастие има редица полезни решения за WordPress, които могат напълно да сканират вашия ресурс за всякакви уязвимости и злонамерен код и ако бъдат открити, да посочат конкретното местоположение на тяхното „обитание“ или напълно да ги неутрализират. Нека да разгледаме някои доста висококачествени и надеждни плъгини за защита на вашия WordPress сайт.

Sucuri Security

Безплатният плъгин Sucuri Security е водещ инструмент за сигурност и се използва от огромен брой потребители на WordPress. Решението предоставя сайтове с няколко вида и нива на защита, сред които са следните:

  • сканиране на всички файлове за злонамерен код;
  • следене на целостта на файловете;
  • регистриране на всички операции, свързани със сигурността;
  • идентифициране и уведомяване за риска сайт да бъде в черен списък ESET, Нортън, AVGи т.н.;
  • автоматично изпълнение на определени действия в случай на откриване на хакване.

Wordfence сигурност

Wordfence Security е решение, което извършва задълбочена проверка на уеб ресурс за уязвимости и злонамерен код не само във файловете на теми и плъгини, но и в самото ядро ​​на „двигателя“.

Плъгинът използва КОЙ Е-услуги за наблюдение на връзки. Благодарение на вградената защитна стена, той е в състояние да блокира цели мрежи. Веднага след като се открие мрежова атака, наборът от правила на защитната стена автоматично се актуализира незабавно за най-ефективните мерки за противодействие.

Антивирус

Приставката AntiVirus извършва ежедневно сканиране на всички файлове на сайта (включително теми, база данни) и изпраща електронна поща- докладвайте на посочения адрес. Освен това, Антивируссканира и почиства следи и при премахване на плъгини.

Quttera уеб скенер за злонамерен софтуер

Списъкът за сканиране и откриване на мощния Quttera Web Malware Scanner включва следните уязвимости:

  • злонамерени скриптове;
  • троянски червеи;
  • шпионски софтуер;
  • задни врати;
  • подвизи;
  • пренасочва;
  • злонамерен вградени рамки;
  • замъгляване и др.

В допълнение към този списък, плъгинът проверява дали сайтът е в черен списък.

Защита срещу злонамерен софтуер и защитна стена за груба сила

Добавяне Защита срещу злонамерен софтуер и защитна стена за груба сила l Проектиран да сканира и неутрализира познатите в момента уязвимости, включително скриптове задна врата. Антивирусните бази данни на приставката се актуализират автоматично, което ви позволява да откривате най-новите вируси и експлойти. Плъгинът има вградена защитна стена, която блокира мрежовите заплахи.

Характеристика на приставката е да осигури допълнителна защита на сайта (защита срещу груба сила, DDoSатаки, както и проверка на целостта на ядрото на WordPress). За да направите това, просто трябва да се регистрирате на уебсайта gotmls.net.

WP Antivirus Защита на сайта

WP Antivirus Site Protection сканира всички свързани със сигурността файлове на сайта, включително теми, плъгини и изтегляния в папка качвания. Откритият злонамерен код и вирусите ще бъдат незабавно премахнати или преместени в карантина.

Скенер за експлоатиране

Приставката Exploit Scanner се занимава единствено с идентифициране на подозрителен код (файлове на уебсайтове и база данни). Веднага щом нещо бъде открито, администраторът на сайта ще бъде незабавно уведомен за това.

Centrora WordPress сигурност

Цялостното решение Centrora WordPress Security е многостранен инструмент за защита на уеб ресурс от всички видове заплахи. Включва следните функции:

  • търсене на злонамерен код, спам, SQL- инжекции;
  • наличието на защитна стена;
  • наличието на скенер за проверка на правата за достъп;
  • извършване на архивиране.

Моля, кликнете върху един от бутоните, за да разберете дали статията ви е харесала или не.

Харесва ми не ми харесва

Има много приставки за сигурност на WordPress, които твърдят, че имат антивирусни функции. И много от тях наистина решават редица потенциални уязвимости в тази CMS. Например Wordfence Security, AntiVirus, Anti-Malware и десетки подобни.

Но като антивирус те са напълно неподходящи. В крайна сметка те са плъгини. Всяка антивирусна "заключване" на определени части от файловата система се справя с тях. Безплатната антивирусна програма обикновено е мит. Постоянното актуализиране на вирусната база данни, сканиране от сървър на трета страна и други нужди очевидно ще изразходват ресурсите на разработчика. Така че всеки, който инсталира друг безплатен антивирусен плъгин за WordPress, очевидно се заблуждава и създава илюзия за сигурност.

Когато сайтовете ми бяха заразени, започнах да ровя в инструментите за лечение. Имаше наистина малко истински, а не плъгини. От тях само един работи за мен. Освен това той малко или много реши проблемите и все още честно провежда ежедневни сканирания. Това е…

VirusDay - защо работи?

  • Това е облачна антивирусна програма, не е в папката с вашия сайт
  • Автоматично лечение на вируси
  • Прави резервни копия на файлове преди лечението и ги съхранява у дома
  • Вградена файлова система
  • Голям проект на живо: правене на бизнес с CloudLinus, Reg.ru и други

Как да свържете сайта към антивирусната програма?

Във формата, която се показва, въведете адреса на домейна и щракнете върху „Продължи“. След това трябва да свържете сървъра VirusDie към вашия собствен, за това ви предлагаме да синхронизирате. Има 2 опции:

  • Ръчно. Изтеглете PHP файла за синхронизация и го добавете в главната папка на сайта сами.
  • Автоматично. Посочете FTP достъп (сървър, вход и парола).
  1. Колко често да обхождате сайта: веднъж на всеки 6 или 12 часа или веднъж на ден
  2. Активиране / деактивиране на защитната стена
  3. Свържете експертна услуга с гаранция без вируси

По принцип всичко започва да сканира веднага. Можете да направите това ръчно, като щракнете върху зеления кръг. Ако по време на сканирането бъдат открити проблеми, ще се опитаме да излекуваме VirusDay. Ако не успее (имах това - 1/50) - ще покаже заразените редове код във файловия мениджър и ще се опита да идентифицира вида на инфекцията.

Ежедневно сканиране

Колко струва сигурността

Свързване на един сайт за една година = 1499 рубли. След 3 сайта на тази цена можете да свържете следващите за 249 рубли. Например: 1499 x 3 + 249 x 7 = 6240 рубли на година за 10 сайта.

Има експертна услуга за 4900 (6 месеца) и 9990 (12 месеца) рубли. Там ще ти измери кръвното налягане и ще се погрижат да не се задавиш с костилка от маслини.

CMS WordPress е добре защитена система, но уязвимостите могат да бъдат намерени във всяка система. Разработчиците на WordPress се опитват да направят CMS сигурността по-стабилна с всяка нова версия, но нападателите не седят със скръстени ръце. Ето защо, за да защитите сайта си от хакване, вируси и атаки, ще трябва сами да вземете някои мерки.

Мога да ви дам няколко практични съвета за сигурност на WordPress, които да ви помогнат. защитете своя WordPress сайт от основни заплахи, вируси и атаки.

Основни мерки за сигурност на WordPress

Защитата на WordPress от основни заплахи не е трудна, всичко, което трябва да направите, е да предприемете някои стъпки. За да опростите задачата, препоръчвам да използвате плъгина "Better WP Security".

След като инсталирате и активирате приставката в WordPress, отидете в административната зона на вашия сайт на страницата с настройки „По-добра WP сигурност“ и архивирайте базата си данни за всеки случай.

След това, за да позволите на приставката да прави промени във вашия сайт и файлове на двигателя, трябва да дадете разрешение, като щракнете върху съответния бутон.


На следващата страница, за да защитете сайта си от основни атаки, трябва да активирате тази опция, като щракнете върху съответния бутон.


Но това не е всичко. След като изпълните първите изисквания на приставката, пред вас ще се отвори таблица, която ще посочи всички потенциални точки на уязвимост на вашия сайт. За да защитите своя WordPress сайт, трябва да поправите всички пропуски в сигурността.

Отстраняване на уязвимости в WordPress

Ще видите приблизително следната таблица с уязвимости, в която критичните уязвимости са подчертани в червено, а некритичните уязвимости са подчертани в жълто и синьо, но те също трябва да бъдат коригирани.

Например взех стандартен несигурен блог на WordPress. Нека заедно поправим всички известни уязвимости в WordPress.


1. Проверете сложността на паролата за всички потребители

За да осигурите силни пароли за всички потребители, трябва да поправите първата уязвимост. Следвайте връзката „Щракнете, за да поправите“ и на страницата, която се отваря, изберете елемента, както е на снимката по-долу „Роля на силна парола – Абонат“. По този начин паролите на всички ваши потребители ще преминат проверката за сложност.


2. Премахване на допълнителна информация от заглавката на WordPress

WordPress по подразбиране публикува много допълнителна информация в заглавката на сайта, която може да бъде използвана от нападателите. За да изтриете такава информация, поставете отметка в съответното квадратче. Но бъдете внимателни, това действие може да доведе до неработоспособност на някои приложения и услуги, които по някакъв начин имат достъп до вашия блог чрез XML-RPC протокола.


3. Скриване на актуализации от неадминистратори

Третата точка е добре за нас, ако не сте, тогава ви препоръчвам да скриете наличните актуализации от неадминистратори. Тази информация все още ще бъде безполезна за вашите потребители, но нападателите могат да я използват.

4. Променете администраторския вход

Администраторският акаунт в WordPress по подразбиране е администратор и всеки знае това. Следователно вашият сайт е по-лесен за хакване. За да усложните хакването на сайта, препоръчвам да преименувате администраторския си акаунт. За да направите това, следвайте връзката „Щракнете тук, за да преименувате администратор“ и въведете ново име на администратор в съответното поле.


5. Променете Admin ID

По подразбиране на администраторския акаунт е присвоен и ID=1, който също е известен на нападателите, така че този параметър трябва да бъде променен. По-добрият плъгин за защита на wp ще промени идентификатора на администратора с едно щракване.

6. Променете префикса на таблицата на базата данни на WordPress

По подразбиране таблиците на базата данни на WordPress са с префикс wp_. Препоръчително е да промените префикса на всеки друг. Дори ако вашата база данни вече е пълна с информация, по-добрият плъгин за защита на wp ще промени префикса на таблиците на вашата база данни, без да губи данни. Препоръчително е да направите резервно копие на базата данни преди това действие, което направихме в самото начало.


7. Планирайте своите архиви

За да създадете редовно архивиране на вашата база данни, задайте някои условия и въведете вашия имейл, където ще бъдат изпратени копията на базата данни. По този начин можете да възстановите базата данни от копие по всяко време, ако е необходимо.


8. Забранете достъпа до административния панел в определено време

Този параметър не е критичен, но въпреки това, ако се притеснявате за сигурността на вашия WordPress сайт, тогава вероятно си струва да деактивирате хаотичния достъп до административния панел и да разрешавате достъп само в определени моменти, например в момента, когато ще работите със сайта.

9. Блокирайте подозрителни хостове

Ако знаете IP адресите на подозрителни хостове, от които може да се извърши атака на вашия сайт, добавете тези IP адреси към списъка за забрана и достъпът до сайта от тези IP адреси ще бъде затворен.

10. Защитете влизането от груба сила

По подразбиране плъгинът защитава входа от груба сила и блокира IP адреса след 3 неуспешни опита.

11. Скрийте администратора на WordPress

Тази точка не е критична, но все пак ще бъде полезно да скриете административната област на WordPress. Скриването на административната област на WordPress става чрез преименуване на директорията с администраторския панел. Физически, администраторският панел ще бъде в същата папка, но няма да е достъпен на http://your_site.ru/wp-admin.


Скрийте административния панел на WordPress, като въведете нови имена на директории в съответните полета и поставите отметка в квадратчето, за да активирате тази опция.


12. Защитете .htaccess файла и скрийте директории от изглед

Препоръчвам ви да скриете директориите на сайта от безплатно сърфиране, както и да защитите файла .htaccess. Можете също да деактивирате различни заявки към сайта чрез адресната лента. Напомням ви, че тези действия могат да доведат до конфликт с някои плъгини и теми.


18. Деактивирайте записването на wp-config.php и .htaccess файлове

Някои от елементите бяха завършени по подразбиране, така че предлагам да завършите най-важния елемент 18 за защита, който ще помогне да се предотврати презаписването на файловете wp-config.php и .htacces. Този момент е много важен, тъй като производителността на вашия сайт може да зависи от безопасността на файловете wp-config.php и .htacces.


20. Преименувайте папката със съдържание wp-content

Можете също да преименувате папката с основното съдържание на сайта wp-content. Нестандартното разположение на файловете ще затрудни достъпа на нападателите до тях.

Бях хакнат. Знаеш ли, харесвам страница във VKontakte. Но те не просят пари, а създадоха много "леви" страници с връзки към различни сайтове. Тогава си помислих да защитя блога си. И намерих идеалното решение.

Първото нещо, което направих, беше да се свържа с техническата поддръжка с молба за възстановяване на сайта ми ден преди хакването и десет минути по-късно имах нормалния си блог.

След това инсталирах много плъгини, за да предпазя WordPress от хакване. Но блогът стана ужасно бавен. Страниците се зареждат за пет до десет секунди. Твърде дълго е.

Започнах да търся плъгини, които не натоварват толкова много системата. Четох рецензии за тези плъгини и все повече започнах да се натъквам на All In One WP Security. Според описанието много ми хареса и реших да го сложа в блога си. И пак ме пази, защото не съм виждал нищо по-добро.

Какво може да направи All In One WP Security (wordpress защита всичко в едно):

  • Прави архивиране на база данни, конфигурационен файл wp-config. и .htaccess файл
  • Промяна на адреса на страницата за оторизация
  • Скрива информацията за версията на WordPress
  • Защита на административния панел - блокиране при неправилно оторизиране
  • Защита на роботи
  • И още много полезни неща

Мога спокойно да кажа, че плъгинът All In One WP Security е най-добрата защита за wordpress сайт.

Настройка на всичко в едно WP сигурност

След като влезете в секцията Настройки, първото нещо, което трябва да направите, е да направите резервни копия:

  • база данни;
  • wp-конфигурационен файл
  • htaccess файл

Това се прави на първата страница от настройките на плъгина All In One WP Security.

Направете резервно копие (резервно копие) преди да започнете работа

Ще мина само през най-важните точки.

всичко в едно елементи за настройки на приставката за защита на wp

Контролен панел

Тук ни среща гишето „Safety Meter”. Показва нивото на защита на сайта. Вашият сайт трябва да е поне в зелената зона. Няма нужда да преследвате максималната лента - допълнителните настройки могат да нарушат функционалността на сайта. Вземете златната среда.


Брояч за защита на сайта на WordPress

Когато промените настройките за сигурност на плъгина, ще видите зелен щит с числа във всеки елемент - това са числата, които се добавят към общия резултат за сигурност.


цифрата се добавя към общия резултат за сигурност

Настройки

Раздел Информация за версията на WP

Поставете отметка в квадратчето Изтриване на метаданни на WP Generator.


Премахване на метаданни на WP Generator

Това се прави, за да не се показва версията на инсталирания от вас WordPress двигател в кода. Нападателите знаят коя версия има уязвимости и знаейки версията на WordPress, която сте инсталирали, ще могат да хакнат вашия сайт по-бързо.

Администратори

WP персонализирано име

Ако имате вход, за да влезете в администраторския панел, тогава не забравяйте да го промените. Admin е най-популярното влизане. Много TsMSki го предлагат по подразбиране и хората просто са твърде мързеливи да го променят.
Нападателите използват различни програми за хакване на уебсайтове. Тези програми избират входове и пароли, докато намерят подходяща комбинация.
Затова не използвайте администраторския вход.

Показвано име

Ако псевдонимът ви съвпада с този за вход, не забравяйте да промените потребителското име или псевдонима.

парола

Ако въведете паролата си тук, плъгинът ще покаже колко време отнема хакването на вашия сайт.
Препоръки за укрепване на силата на паролата:

  • Паролата трябва да се състои от букви и цифри
  • Използвайте главни и малки букви
  • Не използвайте кратки пароли (минимум 6 знака)
  • Желателно е паролата да има специални знаци (% # _ * @ $ и многословно)
Сложност на паролата

Упълномощаване

Раздел за блокиране на упълномощаване

Не забравяйте да включите. Ако в рамките на 5 минути някой въведе паролата неправилно 3 пъти, тогава IP ще бъде блокиран за 60 минути. Можете да поставите повече, но е по-добре да не правите това. Може да се случи да въведете паролата неправилно и след това да чакате месеци или дори години :)
Поставете отметка в квадратчето „Незабавно блокиране на невалидни потребителски имена“.
Да приемем, че вашето влизане е hozyainsayta и ако някой въведе друго потребителско име (например вход), тогава неговият IP адрес ще бъде автоматично блокиран.


опции за заключване на авторизация

Автоматично излизане на потребителите

Поставяме отметка. Ако влезете в администраторския панел на сайта от друг компютър и забравите да излезете от администраторския панел, след определен период от време системата ще ви излезе.
Сложих 1440 минути (това са 24 часа).


Опции за автоматично излизане на потребителите

Регистрация на потребител

Ръчно потвърждение

Поставете отметка до „Активиране на ръчно одобрение на нови регистрации“


Ръчно одобрение на нови регистрации

CAPTCHA при регистрация

Също така поставяме отметка в квадратчето. Това прекъсва опитите за регистриране на бот-робот, тъй като роботите не могат да се справят с captcha.

Регистрация Honeypot (буре с мед)

Ние празнуваме. И ние не оставяме на роботите нито един шанс. Тази настройка създава допълнително невидимо поле (тук въведете Въведете текст). Това поле е видимо само за роботи. Тъй като те автоматично попълват всички полета, те ще напишат нещо и в това поле. Системата автоматично блокира онези опити за регистрация, за които е попълнено това поле.

Защита на базата данни

Префикс на DB таблица

Ако вашият сайт съществува от дълго време и има много информация за него, тогава трябва да промените префикса на базата данни с най-голямо внимание.

не забравяйте да архивирате базата данни

Ако току-що сте създали своя сайт, можете спокойно да промените префикса.


Префикс на таблицата на базата данни

Архивиране на база данни

Активирайте автоматично архивиране.
Изберете честотата на архивиране.
И броя на файловете с тези резервни копия, които ще се съхраняват. След това те ще започнат да презаписват.
Ако искате тези файлове да бъдат изпратени допълнително на вашата електронна поща, поставете отметка в съответното квадратче. Имам отделна папка в пощенската си кутия за тези цели, всички архиви (на моя и клиентски сайтове) се изпращат там.


Настройки за архивиране на база данни

Защита на файловата система

Тук променяме разрешенията за файлове, така че всичко да е зелено.


редактиране на php файл

Поставяме в случай, че не редактирате файлове през административния панел. По принцип трябва да правите всякакви промени във файловете чрез програми за ftp-мениджъри (като filezilla). Така че в случай на някакво „задръстване“ винаги можете да отмените предишното действие.

Отказваме достъп. С това действие можем да скрием важна информация за хакерите.

Черен списък

Ако вече имате IP адреси, на които искате да откажете достъп до сайта, тогава активирайте тази опция.


Блокиране на потребители по IP

защитна стена

Основни правила за защитната стена.

Защитна стена и защитна стена е софтуерен пакет, който е филтър на неоторизиран трафик.

Тези правила се добавят към файла .htaccess, така че първо го архивираме.

Сега можете да поставите необходимите квадратчета за отметка:


Активирайте основни функции на защитната стена
Защита срещу XMLRPC уязвимост и WordPress Pingback
Блокирайте достъпа до debug.log

Допълнителни правила за защитната стена

В този раздел поставете отметка в следните квадратчета:

  • Деактивирайте сърфирането в директория
  • Деактивирайте HTTP проследяването
  • Деактивирайте коментарите чрез прокси
  • Деактивирайте злонамерените низове в заявките (може да наруши функционалността на други плъгини)
  • Активирайте допълнително филтриране на знаци (Ние също действаме с повишено внимание, трябва да разгледате как влияе върху производителността на сайта)
      Всеки елемент има бутон „+ Още подробности“, където можете да прочетете подробно за всяка опция.

Правила за защитната стена на 6G Blacklist

Отбелязваме и двете точки. Това е доказан списък с правила, които предоставя плъгинът за сигурност на сайта на WordPress.


Настройки на защитната стена (защитна стена).

Интернет ботове

Възможно е да има проблеми с индексирането на сайта. Не активирам тази опция.

Предотвратяване на горещи връзки

Поставяме отметка. Така че изображенията от вашия сайт не се показват на други сайтове чрез директна връзка. Тази функция намалява натоварването на сървъра.

Откриване 404

Грешка 404 (няма такава страница) се появява, когато въведете адреса на страницата по погрешка. Хакерите с груба сила се опитват да намерят страници с уязвимости и следователно въвеждат много несъществуващи URL адреси за кратък период от време.
Такива опити за хакване ще бъдат въведени в таблица на тази страница и като поставите отметка в квадратчето, ще можете да блокирате техните IP адреси за определеното време.


404 настройки за проследяване на грешки

Защита срещу атаки с груба сила

По подразбиране всички сайтове в WordPress имат един и същ адрес на страницата за оторизация. И така нападателите знаят откъде точно да започнат хакването на сайта.
Тази опция ви позволява да промените адреса на тази страница. Това е много добра защита за wordpress сайт. Не забравяйте да промените адреса. Не поставих отметка в това квадратче, защото моят автоматично промени тази страница вместо мен по време на инсталацията на системата.


Защита от груба сила с бисквитки

Не включих тази настройка, тъй като има възможност да се блокирам при влизане от различни устройства.

CAPTCHA за влизане

Ако има много потребители на вашия сайт или имате онлайн магазин, тогава можете да активирате Captcha по време на авторизация във всички точки.


Captcha защита по време на авторизация

Бял списък за влизане

Влезте в административния панел само от вашия домашен компютър и вие сте единственият потребител на вашия сайт? След това въведете своя IP адрес и на всички останали ще бъде отказан достъп до страницата за оторизация.

Сигурността на вашия блог трябва да се работи от самото начало, а не да се отлага до неясно „завъртете и се заемете“. Освен това сега имате подробни инструкции как да защитите wordpress сайт от хакване, вируси и други проблеми.

Мислех за сигурността, но не толкова сериозно. И след тази статия в сайта А. Борисова се зае сериозно с въпроса. Намерих в интернет всички проблемни области на системата и методи за тяхното отстраняване. Оказа се доста голяма статия от 14 точки!

Как да защитим wordpress уебсайт

1. Променете стандартното влизане.На първо място, хакерите пробиват такива популярни влизания като администратор, потребител, модератор, администратор. Ако използвате един от тях, значи сте свършили половината работа за нападателите. Особено често се използва администраторът - кратък, лесен за запомняне, веднага се вижда, че е важен удар, така че собствениците на сайтове да не го променят с нещо по-сложно.

Има много опции за промяна на това влизане, но най-простата е:

  • Отидете в административния панел, отидете в секцията Потребители - щракнете върху Добавяне.
  • Измислете сложно влизане за новия потребител (можете просто да зададете букви и цифри) и изберете Роля - Администратор.
  • Излезте от текущия потребител (изберете Изход горе вдясно).
  • Влезте с новия потребител, който току-що създадохте.
  • Работете с този акаунт: създавайте нови статии, редактирайте стари, добавяйте/премахвайте плъгини. Като цяло проверете дали той наистина има всички правомощия на администратора.
  • Изтриване на потребител с псевдоним администратор.

2. Задайте сложна парола- това е точно случаят, когато не можете да използвате стандартната си парола под формата на qwerty. Трябва да измислите уникална парола, много сложна, от 20 знака с различен регистър, числа и различни символи. Ако се страхувате да забравите, запишете го в хартиена тетрадка. Но не го съхранявайте на компютъра си. Как да измислите сложна парола можете да намерите в тази статия.

Сложна парола трябва да бъде не само в административния панел на wordpress, но и за други услуги, свързани със сайта: поща, хостинг и т.н.

3. Скриване на входа- без значение как се опитвате да измислите супер сложно влизане, има вратичка, която ви позволява да го видите и копирате. За да направите това, въведете http://your_domain.ru?author=1 в адресната лента, като замените вашия домейн. Ако връзката не се превърне в /author/admin, където admin е вашето ново влизане, значи всичко е наред.

Но ако вашето влизане все още се показва там, трябва спешно да го скриете, като използвате специална команда във файла functions.php:

/* Промяна на входа в коментарите */
функция del_login_css($css) (foreach($css като $key => $class) (
if(strstr($class, "comment-author-insert_valid_login")) (
$css[$key] = 'влизане-автор на коментар'; ))
върнете $css; )
add_filter('comment_class', 'del_login_css');

Сега настройваме пренасочване към главната страница, за това трябва да отворите файла .htaccess в основната папка (с помощта на filezilla) и тук след реда

RewriteRule . /index.php [L]

Добавете този текст:

RedirectMatch Постоянен ^/author/real_login$ http://your_domain.ru

4. Поддържайте WordPress актуален.Нови версии се появяват от време на време, известията висят точно в контролния панел. Направете резервно копие на сайта, актуализирайте и проверете дали работи. Колкото по-нова, толкова по-трудно е да се хакне системата - появяват се нови нива на защита, а старите техники за хакване не работят.

5. Скрийте версията на WordPress от любопитни очи.По подразбиране тази информация се показва в кода на страниците и нападателите не трябва да я съобщават. Познавайки вашата версия, ще му бъде по-лесно да разпознае пропуските и да хакне системата.

Така че отворете functions.php за редактиране и след това добавете този ред:

remove_action('wp_head', 'wp_generator');

Тази проста функция деактивира показването на системни данни.

6. Премахнете license.txt и readme.htmlот главната папка. Те не са необходими сами по себе си, но могат да се използват за лесно четене на информация за вашата система и за откриване на версията на WordPress. Те автоматично се появяват отново, ако актуализирате wordpress. Така че почиствайте файловете всеки път, когато инсталирате актуализация.

7. Скрийте папките wp-includes, wp-content и wp-content/plugins/.Първо проверете дали съдържанието на тези папки е видимо за външни лица. Просто заменете вашия домейн във връзките и отворете връзките в браузъра:

  • http://your_domain/wp-includes
  • http://your_domain/wp-content
  • http://your_domain/wp-content/plugins

Ако виждате папки и файлове, когато отидете на тези страници, тогава трябва да скриете информацията. Това се прави много, много просто - създайте празен файл, наречен index.php и го поставете в тези директории. Сега този файл ще бъде отворен по време на прехода, т.е. празна страница без никаква информация.

8. Не инсталирайте безплатни теми- това е информация от личен опит, въпреки че всеки пише за това. Но реших да заобиколя системата и пуснах безплатна тема от интернет на другия си сайт - много ми хареса. И в началото всичко беше наред.

След около шест месеца започнах да проверявам изходящите връзки от сайта и открих 3 неясни връзки. На самите страници не можах да ги намеря - криеха ги много хитро. След като проучих проблема, открих информация, че това е много често срещан проблем, когато кодът за отдалечено поставяне на връзки е вграден в безплатни шаблони. Трябваше да изкарам цялата вечер, но оправих проблема и вече всичко е наред. Но колко щети може да причини!

9. Инсталирайте правилните защитни плъгини, но не забравяйте да инсталирате от официалния сайт ru.wordpress.org или от контролния панел.

  • Ограничете опитите за влизане - за ограничаване на опитите за влизане. Ако въведете вашето потребителско име и парола неправилно 3 пъти, достъпът ще бъде блокиран за N минути/часа. Вие сами задавате броя на опитите и времето за блокиране.
  • Wordfence Security е плъгин за проверка на уебсайт за вируси и промени в злонамерен код. За да започнете, просто инсталирайте и щракнете върху Сканиране. Но след проверка е препоръчително да го деактивирате, за да не създавате допълнително натоварване на сайта. Проверявайте блога си за вируси поне веднъж месечно.
  • Архивиране на база данни на WordPress – автоматично изпраща резервно копие на базата данни на вашия уебсайт по пощата. Честотата може да се задава самостоятелно - веднъж на ден или седмично.
  • Преименуване на wp-login.php - Променя адреса за влизане в контролния панел от стандартния http://your_domain/wp-admin.
  • Anti-XSS атака - защитава блога от XSS атаки.

10. Проверете компютъра си за вируси– понякога вирусите идват директно от вашия компютър. Затова инсталирайте добра антивирусна програма и я поддържайте актуална.

11. Систематично архивирайте– с помощта на приставката за архивиране на база данни на WordPress или ръчно. За някои хостове това се случва автоматично, така че можете да възстановите сайта по всяко време в случай на проблеми.

12. Работете с доверен хост, тъй като в много отношения сигурността на сайта зависи от качеството на хостинга. Преместих се в Makhost преди месец и разликата с предишния е забележима (преместването беше описано в тази статия). Няма да го препоръчам силно, тъй като не съм бил с тях дълго, въпреки че приятел с тях от една година не може да им се насити. Като цяло, не вземайте тарифи за 100 рубли, за да спестите, тогава можете да платите скъпо.

13. Различни пощенски кутии за сайта и хостинг. Много е лесно да извадите пощенска кутия от WordPress, след което можете да я хакнете и да получите достъп до данни. И ако хостингът е обвързан с него, няма да е трудно да промените паролата и да вземете сайта за себе си. Затова вземете отделна кутия за хостинг, така че никой да не я знае или вижда.

14. Свържете специален IP адрес, за да не съжителстват с порно сайтове, сайтове под филтъра или с вируси. Така че, ако имате възможност, вземете отделен IP, за да не се притеснявате за това. Между другото, в областта на блогърите има непотвърдени слухове, че специален IP подобрява позициите в резултатите от търсенето.

Сега знаете най-простите начини за защита на сайт на wordpress и ще бъдете спестени от банални заплахи. Но освен това има много други опасности, от които не е толкова лесно да се спасим. Точно за такива сериозни ситуации Юрий Колесов създаде курса "