materiaaleja 

Ainoa toimiva virustorjunta WordPressille. Parhaat WordPress-virussuojauslaajennukset Viruksentorjunnan asentaminen ja määrittäminen

WordPress-sisällönhallintajärjestelmä houkuttelee valtavan suosionsa vuoksi myös vastustajia. Lisäksi "moottoria" jaetaan ilmaiseksi, joten se on vieläkin enemmän vaarassa joutua tietoturvaloukkaukseen. WordPress itsessään on melko turvallinen ohjelmisto. Reikiä alkaa avautua, kun käyttäjä asentaa laajennuksia ja teemoja.

Lisäosien ja teeman epävarmuus

Valitettavasti teemojen tai lisäosien turvallisuudesta ja vaarattomuudesta ei aina voi olla varma. Heidän maksullisissa versioissaan on hyvin erityisiä kehittäjiä, jotka arvostavat heidän mainettaan. Tämän seurauksena heidän tuotteet ovat laadukkaampia, ja todennäköisyys saada haitallista koodia niiden mukana on melko pieni. Mutta kuten elämänkokemuksemme osoittaa, jokaiseen sääntöön on poikkeuksia. Jotkut ihmiset lisäävät vaaratonta koodia antaakseen palautetta, kun taas toiset tekevät sen täysin eri tarkoitukseen. Jopa itse "moottorissa" paljastuu joskus haavoittuvuuksia, joiden avulla hyökkääjä voi pistää koodinsa sen ytimeen.

Virustorjuntalaajennukset

Onneksi WordPressille on olemassa useita hyödyllisiä ratkaisuja, jotka voivat skannata resurssisi täysin kaikenlaisten haavoittuvuuksien ja haitallisen koodin varalta, ja jos niitä löytyy, ilmoittaa "elinympäristönsä" tarkan sijainnin tai neutraloida ne kokonaan. Katsotaanpa joitain melko laadukkaita ja luotettavia laajennuksia WordPress-sivustosi suojaamiseksi.

Sucuri Security

Ilmainen Sucuri Security -laajennus on johtava tietoturvatyökalu, ja sitä käyttää valtava määrä WordPressin käyttäjiä. Ratkaisu tarjoaa sivustoille useita suojaustyyppejä ja -tasoja, joita ovat muun muassa seuraavat:

  • kaikkien tiedostojen tarkistus haitallisen koodin varalta;
  • tiedostojen eheyden valvonta;
  • kaikkien turvallisuuteen liittyvien toimintojen kirjaaminen;
  • tunnistaminen ja ilmoitus siitä, että sivusto joutuu mustalle listalle ESET, Norton, AVG jne.;
  • tiettyjen toimien automaattinen suorittaminen, jos hakkerointi havaitaan.

Wordfence Security

Wordfence Security on ratkaisu, joka suorittaa perusteellisen verkkoresurssin haavoittuvuuksien ja haitallisen koodin tarkistuksen paitsi teema- ja laajennustiedostoissa, myös "moottorin" ytimessä.

Plugin käyttää KUKA ON-palvelut yhteyksien valvontaan. Sisäänrakennetun palomuurin ansiosta se pystyy estämään kokonaisia ​​verkkoja. Heti kun verkkohyökkäys havaitaan, palomuurisäännöt päivitetään automaattisesti välittömästi uhkien torjumiseksi.

Virustorjunta

AntiVirus-laajennus tarkistaa päivittäin kaikki sivuston tiedostot (mukaan lukien teemat, tietokanta) ja lähettää ne sähköposti- raportoida ilmoitettuun osoitteeseen. Sitä paitsi, Virustorjunta skannaa ja puhdistaa jäljet ​​myös poistettaessa laajennuksia.

Qutteran Web-haittaohjelmien skanneri

Tehokkaan Quttera Web Malware Scannerin tarkistus- ja tunnistusluettelo sisältää seuraavat haavoittuvuudet:

  • haitalliset skriptit;
  • Troijan madot;
  • vakoiluohjelma;
  • takaovet;
  • hyödyntää;
  • uudelleenohjaukset;
  • ilkeä iframes;
  • hämärtyminen jne.

Tämän luettelon lisäksi laajennus tarkistaa, onko sivusto mustalla listalla.

Haittaohjelmien torjunta ja Brute Force -palomuuri

Lisäys Haittaohjelmien torjunta ja brute-force palomuuri Suunniteltu tarkistamaan ja neutraloimaan tällä hetkellä tunnetut haavoittuvuudet, mukaan lukien komentosarjat takaovi. Liitännäisen virustorjuntatietokannat päivittyvät automaattisesti, jolloin voit havaita uusimmat virukset ja hyväksikäytöt. Laajennuksessa on sisäänrakennettu palomuuri, joka estää verkkouhat.

Lisäosan ominaisuus on tarjota sivustolle lisäsuojaa (suojaus raaka voima, DDoS hyökkäykset sekä WordPress-ytimen eheyden tarkistaminen). Tätä varten sinun tarvitsee vain rekisteröityä sivustolle gotmls.net.

WP Antivirus -sivustosuojaus

WP Antivirus Site Protection tarkistaa kaikki tietoturvaan liittyvät sivustotiedostot, mukaan lukien teemat, laajennukset ja kansiossa olevat lataukset lataukset. Löydetyt haitalliset koodit ja virukset poistetaan välittömästi tai siirretään karanteeniin.

Hyödynnä Scanner

Exploit Scanner -laajennus keskittyy yksinomaan epäilyttävän koodin (verkkosivustotiedostot ja tietokanta) tunnistamiseen. Heti kun jotain havaitaan, sivuston ylläpitäjälle ilmoitetaan siitä välittömästi.

Centrora WordPress -suojaus

Kattava ratkaisu Centrora WordPress Security on monipuolinen työkalu verkkoresurssien suojaamiseen kaikenlaisilta uhilta. Se sisältää seuraavat ominaisuudet:

  • etsi haitallista koodia, roskapostia, SQL- injektiot;
  • palomuurin läsnäolo;
  • skannerin läsnäolo käyttöoikeuksien tarkistamiseksi;
  • varmuuskopion tekeminen.

Napsauta jotakin painikkeista saadaksesi selville, piditkö artikkelista vai et.

Pidän siitä, en pidä siitä

Siellä on monia WordPress-tietoturvalaajennuksia, joissa väitetään sisältävän virustorjuntaominaisuuksia. Ja monet niistä todella ratkaisevat useita tämän sisällönhallintajärjestelmän mahdollisia haavoittuvuuksia. Esimerkiksi Wordfence Security, AntiVirus, Anti-Malware ja kymmeniä vastaavia.

Mutta virustorjuntaohjelmaksi ne ovat täysin sopimattomia. Loppujen lopuksi ne ovat laajennuksia. Mikä tahansa virustorjunta, joka "lukittaa" tietyt tiedostojärjestelmän osat, selviää niistä. Ilmainen virustorjunta on yleensä myytti. Virustietokannan jatkuva päivitys, skannaus kolmannen osapuolen palvelimelta ja muut tarpeet kuluttavat luonnollisesti kehittäjän resursseja. Joten jokainen, joka asentaa toisen ilmaisen WordPress-virustorjuntalaajennuksen, pettää itseään ja luo illuusion turvallisuudesta.

Kun sivustoni olivat saastuneet, aloin kaivaa hoitovälineitä. Oikeita, ei laajennuksia, oli todella vähän. Näistä vain yksi toimi minulle. Lisäksi hän ratkaisi ongelmat enemmän tai vähemmän ja tekee edelleen rehellisesti päivittäisiä skannauksia. Tämä on…

VirusDay – miksi se toimii?

  • Tämä on pilvipohjainen virustorjunta, se ei ole sivustosi kansiossa
  • Automaattinen virushoito
  • Varmuuskopioi tiedostot ennen hoitoa ja tallentaa ne kotona
  • Sulautettu tiedostojärjestelmä
  • Suuri live-projekti: asiointi CloudLinuksen, Reg.ru:n ja muiden kanssa

Kuinka yhdistää sivusto virustorjuntaan?

Kirjoita näkyviin tulevaan lomakkeeseen verkkotunnuksen osoite ja napsauta "Jatka". Seuraavaksi sinun on yhdistettävä VirusDie-palvelin omaasi, tätä varten suosittelemme synkronointia. Vaihtoehtoja on 2:

  • Käsin. Lataa PHP-tiedosto synkronointia varten ja lisää se itse sivuston juurikansioon.
  • Automaattisesti. Määritä FTP-käyttö (palvelin, sisäänkirjautuminen ja salasana).
  1. Kuinka usein sivusto indeksoidaan: kerran 6 tai 12 tunnin välein tai kerran päivässä
  2. Ota palomuuri käyttöön / poista se käytöstä
  3. Yhdistä asiantunteva palvelu viruksettomalla takuulla

Periaatteessa kaikki alkaa skannaamaan välittömästi. Voit tehdä tämän manuaalisesti napsauttamalla vihreää ympyrää. Jos tarkistuksen aikana havaitaan ongelmia, yritämme korjata VirusDayn. Jos se epäonnistuu (minulla oli tämä - 1/50) - se näyttää tartunnan saaneet koodirivit tiedostonhallinnassa ja yrittää tunnistaa tartunnan tyypin.

Päivittäinen skannaus

Kuinka paljon turvallisuus maksaa

Yhden sivuston yhdistäminen vuodeksi = 1499 ruplaa. Kolmen sivuston jälkeen tällä hinnalla voit yhdistää seuraavat 249 ruplasta. Esimerkiksi: 1499 x 3 + 249 x 7 = 6240 ruplaa vuodessa 10 sivustolle.

Asiantuntijapalvelu on 4900 (6 kuukautta) ja 9990 (12 kuukautta) ruplaa. Siellä he mittaavat verenpaineesi ja varmistavat, ettet tukehtu oliivin kuoppaan.

CMS WordPress on hyvin suojattu järjestelmä, mutta haavoittuvuuksia löytyy mistä tahansa järjestelmästä. WordPress-kehittäjät yrittävät tehdä CMS-tietoturvasta entistä tehokkaampaa jokaisella uudella julkaisulla, mutta hyökkääjätkään eivät jää sivuun. Siksi sinun on ryhdyttävä joihinkin toimenpiteisiin itse suojataksesi sivustoasi hakkeroinnilta, viruksilta ja hyökkäyksiltä.

Voin antaa sinulle käytännönläheisiä WordPress-tietoturvavinkkejä. suojaa WordPress-sivustoasi perusuhkilta, viruksilta ja hyökkäyksiltä.

WordPressin perusturvatoimenpiteet

WordPressin suojaaminen perusuhkilta ei ole vaikeaa, sinun tarvitsee vain tehdä joitakin vaiheita. Tehtävän yksinkertaistamiseksi suosittelen "Better WP Security" -laajennuksen käyttöä.

Kun olet asentanut ja aktivoinut laajennuksen WordPressiin, siirry sivustosi järjestelmänvalvojan alueelle Better WP Security -asetussivulle ja varmuuskopioi tietokanta varmuuden vuoksi.

Tämän jälkeen, jotta laajennus voi tehdä muutoksia sivustoosi ja moottoritiedostoihin, sinun on annettava lupa napsauttamalla asianmukaista painiketta.


Seuraavalla sivulla, jotta suojaa sivustoasi perushyökkäyksiltä, sinun on otettava tämä vaihtoehto käyttöön napsauttamalla vastaavaa painiketta.


Mutta siinä ei vielä kaikki. Kun olet täyttänyt laajennuksen ensimmäiset vaatimukset, edessäsi avautuu taulukko, joka osoittaa kaikki sivustosi mahdolliset haavoittuvuuskohdat. WordPress-sivustosi suojaamiseksi sinun on korjattava kaikki tietoturvavirheet.

WordPressin haavoittuvuuksien vianetsintä

Näet suunnilleen seuraavan haavoittuvuuksien taulukon, jossa kriittiset haavoittuvuudet on korostettu punaisella ja ei-kriittiset haavoittuvuudet keltaisella ja sinisellä, mutta ne on myös korjattava.

Otin esimerkiksi tavallisen turvattoman WordPress-blogin. Korjataan kaikki tunnetut WordPressin haavoittuvuudet yhdessä.


1. Tarkista salasanan monimutkaisuus kaikille käyttäjille

Jotta kaikille käyttäjille voidaan tarjota vahvat salasanat, sinun on korjattava ensimmäinen haavoittuvuus. Seuraa linkkiä "Korjaa napsauttamalla" ja valitse avautuvalta sivulta kohde alla olevan kuvan mukaisesti "Vahva salasanarooli - tilaaja". Siten kaikkien käyttäjien salasanat läpäisevät monimutkaisuustarkistuksen.


2. Lisätietojen poistaminen WordPress-otsikosta

WordPress julkaisee oletuksena paljon lisätietoa sivuston otsikossa, jota hyökkääjät voivat hyödyntää. Jos haluat poistaa tällaiset tiedot, valitse vastaava ruutu. Mutta ole varovainen, tämä toimenpide voi johtaa joidenkin sovellusten ja palveluiden toimintakyvyttömyyteen, jotka jollakin tavalla käyttävät blogia XML-RPC-protokollan kautta.


3. Piilota päivitykset muilta kuin järjestelmänvalvojilta

Kolmas kohta sopii meille, jos et, niin suosittelen, että piilotat saatavilla olevat päivitykset muilta kuin järjestelmänvalvojilta. Nämä tiedot ovat edelleen hyödyttömiä käyttäjillesi, mutta hyökkääjät voivat käyttää niitä.

4. Muuta järjestelmänvalvojan kirjautumistunnusta

Oletusarvoinen WordPress-järjestelmänvalvojatili on admin, ja kaikki tietävät tämän. Siksi sivustosi on helpompi hakkeroida. Sivuston hakkeroinnin vaikeuttamiseksi suosittelen nimeämään järjestelmänvalvojan tilisi uudelleen. Voit tehdä tämän napsauttamalla linkkiä "Napsauta tästä nimetäksesi uudelleen järjestelmänvalvojan" ja kirjoittamalla uuden järjestelmänvalvojan nimen asianmukaiseen kenttään.


5. Vaihda järjestelmänvalvojan tunnus

Oletuksena myös järjestelmänvalvojan tilille on määritetty ID=1, joka on myös hyökkääjien tiedossa, joten tätä parametria on muutettava. Parempi wp-suojauslaajennus muuttaa järjestelmänvalvojan tunnuksen yhdellä napsautuksella.

6. Muuta WordPress-tietokantataulukon etuliite

Oletuksena WordPress-tietokantataulukoiden etuliite on wp_. On suositeltavaa vaihtaa etuliite mihin tahansa muuhun. Vaikka tietokanta olisi jo täynnä tietoja, parempi wp-suojauslaajennus muuttaa tietokantataulukoiden etuliitettä menettämättä tietoja. On suositeltavaa tehdä tietokannan varmuuskopio ennen tätä toimintoa, minkä teimme heti alussa.


7. Suunnittele varmuuskopiot

Luodaksesi säännöllisen varmuuskopion tietokannastasi, aseta ehtoja ja kirjoita sähköpostiosoitteesi, johon tietokannan kopiot lähetetään. Näin voit tarvittaessa palauttaa tietokannan kopiosta milloin tahansa.


8. Estä pääsy hallintapaneeliin tiettynä aikana

Tämä parametri ei ole kriittinen, mutta kuitenkin, jos olet huolissasi WordPress-sivustosi turvallisuudesta, kannattaa luultavasti poistaa kaoottinen pääsy hallintapaneeliin ja sallia pääsy vain tiettyinä aikoina, esimerkiksi silloin, kun aiot työskennellä sivuston kanssa.

9. Estä epäilyttävät isännät

Jos tiedät epäilyttävien isäntien IP-osoitteet, joista sivustollesi voidaan tehdä hyökkäys, lisää nämä IP-osoitteet kieltoluetteloon, jolloin pääsy sivustolle suljetaan näiltä IP-osoitteilta.

10. Suojaa sisäänkirjautuminen raakaa voimaa vastaan

Oletusarvoisesti laajennus suojaa sisäänkirjautumista raaalta voimalta ja estää IP-osoitteen 3 epäonnistuneen yrityksen jälkeen.

11. Piilota WordPress-järjestelmänvalvoja

Tämä kohta ei ole kriittinen, mutta WordPressin hallinta-alueen piilottaminen on silti hyödyllistä. WordPressin hallinta-alueen piilottaminen tapahtuu nimeämällä hakemisto uudelleen hallintapaneelilla. Fyysisesti hallintapaneeli on samassa kansiossa, mutta se ei ole käytettävissä osoitteessa http://your_site.ru/wp-admin.


Piilota WordPressin hallintapaneeli kirjoittamalla uudet hakemistojen nimet asianmukaisiin kenttiin ja valitsemalla valintaruutu ottaaksesi tämän vaihtoehdon käyttöön.


12. Suojaa .htaccess-tiedosto ja piilota hakemistot näkyvistä

Suosittelen, että piilotat sivustohakemistot ilmaiselta selaamiselta ja suojaat myös .htaccess-tiedoston. Voit myös poistaa käytöstä erilaisia ​​pyyntöjä sivustolle osoitepalkin kautta. Muistutan, että nämä toimet voivat aiheuttaa ristiriitoja joidenkin laajennusten ja teemojen kanssa.


18. Poista wp-config.php- ja .htaccess-tiedostojen kirjoittaminen käytöstä

Jotkut kohteista valmistuivat oletusarvoisesti, joten ehdotan, että täytät suojauksen tärkeimmän kohdan 18, joka auttaa estämään wp-config.php- ja .htacces-tiedostojen päällekirjoituksen. Tämä kohta on erittäin tärkeä, koska sivustosi suorituskyky voi riippua wp-config.php- ja .htacces-tiedostojen turvallisuudesta.


20. Nimeä uudelleen sisältökansio wp-content

Voit myös nimetä kansion uudelleen wp-sisältösivuston pääsisällöllä. Epätyypillinen tiedostojen sijoittaminen vaikeuttaa hyökkääjien pääsyä niihin.

Minut hakkeroitiin. Tiedätkö, kuten VKontakten sivu. Mutta he eivät kerjääneet rahaa, vaan loivat paljon "vasenta" sivua, joissa oli linkkejä eri sivustoille. Sitten ajattelin suojella blogiani. Ja löysin täydellisen ratkaisun.

Ensimmäinen asia, jonka tein, oli ottaa yhteyttä tekniseen tukeen ja pyytää palauttamaan sivustoni päivää ennen hakkerointia, ja kymmenen minuuttia myöhemmin minulla oli normaali blogini.

Sitten asensin paljon laajennuksia suojellakseni WordPressiä hakkeroilta. Mutta blogista on tullut hirveän hidas. Sivut latautuvat viidestä kymmeneen sekunnissa. Se on liian pitkä.

Aloin etsiä laajennuksia, jotka eivät kuormita järjestelmää niin paljon. Luin arvosteluja näistä laajennuksista ja törmäsin yhä useammin All In One WP Securityyn. Kuvauksen mukaan pidin siitä todella paljon ja päätin laittaa sen blogiini. Ja hän suojelee minua edelleen, koska en ole nähnyt mitään parempaa.

Mitä All In One WP Security voi tehdä (WordPress-suojaus kaikki yhdessä):

  • Tekee tietokannan varmuuskopioita, asetustiedoston wp-config. ja .htaccess-tiedosto
  • Valtuutussivun osoitteen muuttaminen
  • Piilottaa WordPress-versiotiedot
  • Hallintapaneelin suojaus - esto, jos valtuutus on virheellinen
  • Robotin suojaus
  • Ja paljon muuta hyödyllistä

Voin turvallisesti sanoa, että All In One WP Security -laajennus on paras suoja Wordpress-sivustolle.

All In One WP-suojauksen määrittäminen

Kun olet siirtynyt Asetukset-osioon, ensimmäinen asia on tehdä varmuuskopiot:

  • tietokanta;
  • wp-config tiedosto
  • htaccess-tiedosto

Tämä tehdään All In One WP Security -laajennuksen asetusten ensimmäisellä sivulla.

Tee varmuuskopio (varmuuskopio) ennen työn aloittamista

Käyn läpi vain tärkeimmät kohdat.

kaikki yhdessä wp-suojauslaajennuksen asetuskohteet

Ohjauspaneeli

Täällä meidät kohtaa "Turvamittari" -laskuri. Se näyttää sivuston suojaustason. Sivustosi on oltava vähintään vihreällä vyöhykkeellä. Ei tarvitse jahtaa maksimipalkkia - lisäasetukset voivat häiritä sivuston toimivuutta. Hanki kultainen keskitie.


WordPress-sivuston suojauslaskuri

Kun muutat laajennuksen suojausasetuksia, näet jokaisessa kohdassa vihreän kilven numeroineen - nämä ovat numerot, jotka lisätään kokonaisturvapisteisiin.


luku lisätään turvapisteiden kokonaismäärään

asetukset

WP-version tiedot -välilehti

Valitse valintaruutu Poista WP Generatorin metatiedot.


WP Generatorin metatietojen poistaminen

Tämä tehdään niin, että asentamasi WordPress-moottorin versio ei näy koodissa. Hyökkääjät tietävät, missä versiossa on haavoittuvuuksia, ja tietäen asentamasi WordPress-version he voivat hakkeroida sivustosi nopeammin.

Järjestelmänvalvojat

WP mukautettu nimi

Jos sinulla on kirjautumistunnus päästäksesi hallintapaneelin järjestelmänvalvojaan, muista vaihtaa se. Admin on suosituin kirjautuminen. Monet TsMSki tarjoavat sen oletuksena, ja ihmiset ovat vain liian laiskoja vaihtamaan sitä.
Hyökkääjät käyttävät erilaisia ​​ohjelmia verkkosivustojen hakkeroimiseen. Nämä ohjelmat poimivat kirjautumistunnuksia ja salasanoja, kunnes löytävät sopivan yhdistelmän.
Siksi älä käytä järjestelmänvalvojan kirjautumista.

Näyttönimi

Jos lempinimesi vastaa kirjautumistunnusta, muista vaihtaa kirjautumistunnus tai lempinimi.

Salasana

Jos annat salasanasi tähän, laajennus näyttää, kuinka kauan sivustosi hakkerointi kestää.
Suosituksia salasanan vahvuuden vahvistamiseksi:

  • Salasanan tulee koostua kirjaimista ja numeroista
  • Käytä isoja ja pieniä kirjaimia
  • Älä käytä lyhyitä salasanoja (vähintään 6 merkkiä)
  • On toivottavaa, että salasanassa on erikoismerkkejä (% # _ * @ $ ja monisanainen)
Salasanan monimutkaisuus

Valtuutus

Valtuutuksen esto-välilehti

Muista sisällyttää. Jos 5 minuutin sisällä joku syöttää salasanan väärin 3 kertaa, IP estetään 60 minuutiksi. Voit laittaa enemmän, mutta on parempi olla tekemättä tätä. Saattaa käydä niin, että syötät itse salasanan väärin ja odotat sitten kuukausia tai jopa vuosia :)
Valitse ruutu "Estä virheelliset käyttäjätunnukset välittömästi".
Oletetaan, että kirjautumistunnuksesi on hozyainsayta, ja jos joku syöttää toisen kirjautumistunnuksen (esimerkiksi kirjautumistunnuksen), hänen IP-osoitteensa estetään automaattisesti.


valtuutuksen lukitusvaihtoehdot

Käyttäjien automaattinen uloskirjautuminen

Laitoimme rastin. Jos kirjaudut sivuston hallintapaneeliin toiselta tietokoneelta ja unohdat kirjautua ulos hallintapaneelista, järjestelmä kirjaa sinut ulos tietyn ajan kuluttua.
Laitoin 1440 minuuttia (se on 24 tuntia).


Vaihtoehdot käyttäjien automaattiseen uloskirjautumiseen

käyttäjän rekisteröinti

Manuaalinen vahvistus

Valitse "Ota käyttöön uusien rekisteröintien manuaalinen hyväksyminen"


Uusien rekisteröintien hyväksyminen manuaalisesti

CAPTCHA rekisteröinnin yhteydessä

Rastitaan myös ruutuun. Tämä katkaisee yritykset rekisteröidä bot-robotti, koska robotit eivät pysty selviytymään captchasta.

Rekisteröinti Honeypot (tynnyri hunajaa)

Me juhlimme. Emme myöskään jätä roboteille ainuttakaan mahdollisuutta. Tämä asetus luo ylimääräisen näkymätön kentän (kirjoita Kirjoita teksti tähän). Tämä kenttä näkyy vain roboteille. Koska he täyttävät kaikki kentät automaattisesti, he kirjoittavat jotain myös tähän kenttään. Järjestelmä estää automaattisesti ne rekisteröintiyritykset, joille tämä kenttä on täytetty.

Tietokannan suojaus

DB-taulukon etuliite

Jos sivustosi on ollut olemassa pitkään ja sillä on paljon tietoa, sinun tulee vaihtaa tietokannan etuliite erittäin huolellisesti.

muista varmuuskopioida tietokanta

Jos olet juuri luonut sivustosi, voit turvallisesti vaihtaa etuliitettä.


Tietokantataulukon etuliite

Tietokannan varmuuskopiointi

Ota automaattinen varmuuskopiointi käyttöön.
Valitse varmuuskopiointitiheys.
Ja näiden varmuuskopioiden sisältävien tiedostojen määrä, jotka säilytetään. Sitten ne alkavat ylikirjoittaa.
Jos haluat, että nämä tiedostot lähetetään lisäksi sähköpostiisi, valitse vastaava ruutu. Minulla on postilaatikossani erillinen kansio näitä tarkoituksia varten, kaikki varmuuskopiot (omien ja asiakassivustojeni) lähetetään sinne.


Tietokannan varmuuskopiointiasetukset

Tiedostojärjestelmän suojaus

Täällä muutamme tiedostojen käyttöoikeuksia niin, että kaikki on vihreää.


php-tiedoston muokkaus

Otamme huomioon, että et muokkaa tiedostoja hallintapaneelin kautta. Yleensä tiedostoihin on tehtävä muutokset ftp-managers-ohjelmien (kuten filezillan) kautta. Joten minkä tahansa "jamon" tapauksessa voit aina kumota edellisen toiminnon.

Estämme pääsyn. Tällä toiminnolla voimme piilottaa tärkeitä tietoja hakkereilta.

Musta lista

Jos sinulla on jo IP-osoitteita, joilta haluat estää pääsyn sivustoon, ota tämä vaihtoehto käyttöön.


Käyttäjien estäminen IP-osoitteen perusteella

palomuuri

Palomuurin perussäännöt.

Firewall ja Firewall on ohjelmistopaketti, joka on luvattoman liikenteen suodatin.

Nämä säännöt lisätään .htaccess-tiedostoon, joten varmuuskopioimme sen ensin.

Nyt voit laittaa tarvittavat valintaruudut:


Aktivoi palomuurin perusominaisuudet
Suojautuminen XMLRPC-haavoittuvuudelta ja WordPressin pingbackiltä
Estä pääsy debug.logiin

Palomuurin lisäsäännöt

Valitse tällä välilehdellä seuraavat valintaruudut:

  • Poista hakemiston selaus käytöstä
  • Poista HTTP-seuranta käytöstä
  • Poista kommentit käytöstä välityspalvelimen kautta
  • Poista haitalliset merkkijonot käytöstä pyynnöissä (saattaa rikkoa muiden laajennusten toiminnan)
  • Aktivoi ylimääräinen merkkisuodatus (toimimme myös varoen, sinun on tarkasteltava, kuinka se vaikuttaa sivuston suorituskykyyn)
      Jokaisessa kohdassa on painike "+ Lisätietoja", josta voit lukea yksityiskohtaisesti kustakin vaihtoehdosta.

6G Blacklist palomuurisäännöt

Huomioimme molemmat kohdat. Tämä on todistettu luettelo säännöistä, jotka WordPress-sivuston suojauslaajennus tarjoaa.


Palomuurin (palomuurin) asetukset

Internet-botteja

Sivuston indeksoinnissa voi olla ongelmia. En ota tätä vaihtoehtoa käyttöön.

Estä hotlinkit

Laitoimme rastin. Jotta sivustosi kuvat eivät näy muilla sivustoilla suoran linkin kautta. Tämä ominaisuus vähentää palvelimen kuormitusta.

Havainto 404

Virhe 404 (sellaista sivua ei ole) tulee näkyviin, kun syötät sivun osoitteen vahingossa. Hakkerit yrittävät raa'alla voimalla löytää haavoittuvuuksia sisältäviä sivuja ja syöttää siksi monia olemattomia URL-osoitteita lyhyessä ajassa.
Tällaiset hakkerointiyritykset kirjataan tämän sivun taulukkoon ja valitsemalla ruudun voit estää heidän IP-osoitteensa määritetyksi ajaksi.


404-virheenseurantaasetukset

Suojaus raakoja hyökkäyksiä vastaan

Oletuksena kaikilla WordPressin sivustoilla on sama valtuutussivun osoite. Ja niin hyökkääjät tietävät tarkalleen, mistä aloittaa sivuston hakkerointi.
Tämän vaihtoehdon avulla voit muuttaa tämän sivun osoitetta. Tämä on erittäin hyvä suojaus wordpress-sivustolle. Muista vaihtaa osoite. En valinnut tätä ruutua, koska omani muutti automaattisesti tämän sivun puolestani järjestelmän asennuksen aikana.


Raaka voimasuoja evästeillä

En laittanut tätä asetusta päälle, koska on mahdollista estää itseni kirjautuessani sisään eri laitteilta.

CAPTCHA kirjautumiseen

Jos sivustollasi on paljon käyttäjiä tai sinulla on verkkokauppa, voit ottaa Captchan käyttöön valtuutuksen aikana kaikissa kohdissa.


Captcha-suojaus valtuutuksen aikana

Valkoinen lista kirjautumista varten

Kirjaudu hallintapaneeliin vain kotitietokoneeltasi ja olet sivustosi ainoa käyttäjä? Kirjoita sitten IP-osoitteesi ja kaikilta muilta evätään pääsy valtuutussivulle.

Blogisi turvallisuudesta on huolehdittava alusta alkaen, ei lykätä sitä epämääräiseen "pyörrytykseen ja kiireeseen". Lisäksi sinulla on nyt yksityiskohtaiset ohjeet Wordpress-sivuston suojaamiseen hakkeroilta, viruksilta ja muilta ongelmilta.

Ajattelin turvallisuutta, mutta en niin vakavasti. Ja tämän verkkosivuston artikkelin jälkeen A. Borisova otti asian vakavasti. Löysin Internetistä kaikki järjestelmän ongelma-alueet ja menetelmät niiden poistamiseksi. Siitä tuli melko suuri 14 pisteen artikkeli!

Kuinka suojata wordpress-sivusto

1. Muuta vakiokirjautumistunnusta. Ensinnäkin hakkerit murtautuvat sellaisten suosittujen kirjautumistunnusten läpi kuin järjestelmänvalvoja, käyttäjä, moderaattori, järjestelmänvalvoja. Jos käytät jotakin niistä, olet tehnyt puolet työstä hyökkääjien puolesta. Erityisen usein käytetään järjestelmänvalvojaa - lyhyt, helppo muistaa, huomaa heti, että se on tärkeä kolhu, joten sivuston omistajat eivät muuta sitä monimutkaisemmaksi.

Tämän kirjautumistunnuksen muuttamiseen on monia vaihtoehtoja, mutta yksinkertaisin on:

  • Siirry hallintapaneeliin, siirry Käyttäjät-osioon - napsauta Lisää.
  • Keksi monimutkainen kirjautuminen uudelle käyttäjälle (voit asettaa vain kirjaimia ja numeroita) ja valitse Rooli - Järjestelmänvalvoja.
  • Kirjaudu ulos nykyisestä käyttäjästä (valitse Kirjaudu ulos oikeasta yläkulmasta).
  • Kirjaudu sisään juuri luomallasi uudella käyttäjällä.
  • Työskentele tämän tilin kanssa: luo uusia artikkeleita, muokkaa vanhoja, lisää/poista laajennuksia. Tarkista yleensä, onko hänellä todella kaikki järjestelmänvalvojan valtuudet.
  • Poista käyttäjä lempinimellä admin.

2. Aseta monimutkainen salasana- Tämä pätee juuri silloin, kun et voi käyttää vakiosalasanaasi qwerty-muodossa. Sinun on keksittävä yksilöllinen, erittäin monimutkainen salasana, jossa on 20 merkkiä eri kirjainkoolla, numeroilla ja eri symboleilla. Jos pelkäät unohtaa, kirjoita se muistivihkoon. Mutta älä tallenna sitä tietokoneellesi. Tästä artikkelista löydät ohjeet monimutkaisen salasanan keksimiseen.

Monimutkaisen salasanan ei tulisi olla vain wordpress-hallintapaneelissa, vaan myös muissa sivustoon liittyvissä palveluissa: sähköposti, isännöinti jne.

3. Piilota kirjautuminen- riippumatta siitä, kuinka yrität keksiä erittäin monimutkaista kirjautumista, siinä on porsaanreikä, jonka avulla voit nähdä sen ja kopioida sen. Voit tehdä tämän kirjoittamalla osoitepalkkiin http://your_domain.ru?author=1 ja korvaamalla verkkotunnuksesi. Jos linkki ei muutu muotoon /author/admin, jossa admin on uusi kirjautumisesi, kaikki on kunnossa.

Mutta jos kirjautumistunnuksesi näkyy edelleen siellä, sinun on kiireesti piilotettava se käyttämällä erityistä komentoa functions.php-tiedostossa:

/* Muuta kirjautumistunnusta kommenteissa */
funktio del_login_css($css) (foreach($css as $key => $class) (
if(strstr($class, "comment-author-insert_valid_login")) (
$css[$key] = 'comment-author-enter_fictitious_login'; ) )
palauttaa $css; )
add_filter('comment_class', 'del_login_css');

Nyt määritimme uudelleenohjauksen pääsivulle, tätä varten sinun on avattava .htaccess-tiedosto juurikansiosta (filezillalla) ja tässä rivin jälkeen

RewriteRule . /index.php [L]

Lisää tämä teksti:

RedirectMatch pysyvä ^/author/real_login$ http://your_domain.ru

4. Pidä WordPress ajan tasalla. Uusia versioita ilmestyy aika ajoin, ilmoitukset roikkuvat suoraan ohjauspaneelissa. Tee sivustosta varmuuskopio, päivitä ja tarkista, toimiiko se. Mitä uudempi, sitä vaikeampaa on hakkeroida järjestelmä - uusia suojaustasoja ilmaantuu, eivätkä vanhat hakkerointitekniikat toimi.

5. Piilota WordPress-versio uteliailta katseilta. Oletusarvoisesti nämä tiedot näkyvät sivujen koodissa, eikä hyökkääjien tule ilmoittaa niistä. Kun tietää versiosi, hänen on helpompi tunnistaa aukot ja hakkeroida järjestelmä.

Avaa siis functions.php muokkausta varten ja lisää sitten tämä rivi:

remove_action('wp_head', 'wp_generator');

Tämä yksinkertainen toiminto estää järjestelmätietojen näyttämisen.

6. Poista licenc.txt ja readme.html juurikansiosta. Niitä ei tarvita sinänsä, mutta niiden avulla voit helposti lukea tietoja järjestelmästäsi ja selvittää WordPress-version. Ne tulevat automaattisesti uudelleen näkyviin, jos päivität Wordpressin. Joten puhdista tiedostot aina, kun asennat päivityksen.

7. Piilota wp-includes-, wp-content- ja wp-content/plugins/-kansiot. Tarkista ensin, näkyykö näiden kansioiden sisältö ulkopuolisille. Korvaa vain verkkotunnuksesi linkeissä ja avaa linkit selaimessa:

  • http://oma_verkkotunnus/wp-sisältää
  • http://oma_verkkotunnus/wp-sisältö
  • http://oma_verkkotunnus/ wp-content/plugins

Jos näet kansioita ja tiedostoja, kun siirryt näille sivuille, sinun on piilotettava tiedot. Tämä tehdään hyvin, hyvin yksinkertaisesti - luo tyhjä tiedosto nimeltä index.php ja aseta se näihin hakemistoihin. Nyt tämä tiedosto avataan siirtymän aikana, ts. tyhjä sivu ilman tietoja.

8. Älä asenna ilmaisia ​​teemoja- tämä on tietoa henkilökohtaisesta kokemuksesta, vaikka kaikki kirjoittavat siitä. Mutta päätin ohittaa järjestelmän ja laitan toiselle sivustolleni ilmaisen teeman Internetistä - pidin siitä todella. Ja aluksi kaikki oli hyvin.

Noin kuuden kuukauden kuluttua aloin tarkistaa sivustolta lähteviä linkkejä ja löysin 3 epäselvää linkkiä. En löytänyt niitä itse sivuilta - he piilottivat ne erittäin ovelasti. Tutkittuani ongelmaa sain tiedon, että tämä on hyvin yleinen ongelma, kun linkkien etäsijoittelua varten on upotettu koodi ilmaisiin malleihin. Minun piti viettää koko ilta, mutta korjasin ongelman ja nyt kaikki on kunnossa. Mutta kuinka paljon vahinkoa se voikaan tehdä!

9. Asenna oikeat suojauslaajennukset, mutta muista asentaa se viralliselta sivustolta ru.wordpress.org tai ohjauspaneelista.

  • Rajoita sisäänkirjautumisyrityksiä - rajoittaa kirjautumisyrityksiä. Jos syötät kirjautumistunnuksesi ja salasanasi väärin 3 kertaa, pääsy estetään N minuutiksi/tunniksi. Voit asettaa itse yritysten lukumäärän ja estoajan.
  • Wordfence Security on laajennus, joka tarkistaa verkkosivuston virusten ja haitallisten koodien muutosten varalta. Aloita asentamalla ja napsauttamalla Skannaa. Mutta tarkistamisen jälkeen on suositeltavaa poistaa se käytöstä, jotta sivustolle ei luoda lisäkuormitusta. Tarkista blogisi virusten varalta vähintään kerran kuukaudessa.
  • WordPress-tietokannan varmuuskopiointi - lähettää automaattisesti varmuuskopion verkkosivustosi tietokannasta sähköpostiin. Taajuus voidaan asettaa itsenäisesti - kerran päivässä tai viikoittain.
  • Nimeä uudelleen wp-login.php - Muuttaa ohjauspaneelin kirjautumisosoitteen tavallisesta http://oma_verkkotunnus/wp-admin.
  • Anti-XSS-hyökkäys - suojaa blogia XSS-hyökkäyksiltä.

10. Tarkista tietokoneesi virusten varalta– joskus virukset tulevat suoraan tietokoneeltasi. Asenna siis hyvä virustentorjuntaohjelma ja pidä se ajan tasalla.

11. Varmuuskopioi järjestelmällisesti– joko WordPress Database Backup -laajennuksella tai manuaalisesti. Joidenkin isäntien kohdalla tämä tapahtuu automaattisesti, joten voit palauttaa sivuston milloin tahansa ongelmatilanteissa.

12. Työskentele luotettavan isännän kanssa, koska sivuston turvallisuus riippuu monessa suhteessa isännöinnin laadusta. Muutin Makhostiin kuukausi sitten, ja ero edelliseen on huomattava (siirto kuvattiin tässä artikkelissa). En suosittele sitä vahvasti, koska en ole ollut heidän kanssaan pitkään, vaikka vuoden heidän kanssaan ollut ystävä ei saa niistä tarpeekseen. Älä yleensä ota 100 ruplan tariffeja säästämisen vuoksi, niin voit maksaa kalliisti.

13. Erilaiset postilaatikot sivustolle ja isännöinnille. Postilaatikon poistaminen WordPressistä on erittäin helppoa, ja sen jälkeen voit hakkeroida sen ja päästä käsiksi tietoihin. Ja jos isännöinti on sidottu siihen, salasanan vaihtaminen ja sivuston ottaminen ei ole vaikeaa. Hanki siis erillinen hosting-laatikko, jotta kukaan ei tiedä tai näe sitä.

14. Yhdistä oma IP-osoite, jotta se ei toimi yhdessä pornosivustojen, suodattimen alla olevien sivustojen tai virusten kanssa. Joten jos sinulla on mahdollisuus, hanki erillinen IP, jotta sinun ei tarvitse huolehtia siitä. Muuten, bloggaajien alalla on vahvistamattomia huhuja, että omistettu IP parantaa sijoituksia hakutuloksissa.

Nyt tiedät yksinkertaisimmat tavat suojata sivusto wordpressissä, ja säästyt banaaleilta uhilta. Mutta tämän lisäksi on monia muita vaaroja, joista ei ole niin helppoa säästää. Juuri tällaisia ​​vakavia tilanteita varten Juri Kolesov loi kurssin "