materijala 

Jedini antivirus koji radi za WordPress. Najbolji WordPress dodaci za zaštitu od virusa Instaliranje i konfiguriranje AntiVirusa

Sustav za upravljanje sadržajem WordPress, zbog svoje ogromne popularnosti, također privlači kritičare. Osim toga, “motor” se distribuira besplatno, pa je još više u opasnosti od proboja sigurnosti. WordPress je sam po sebi prilično siguran softver. Rupe se počinju otvarati kada korisnik instalira dodatke i teme.

Nesigurnost dodataka i tema

Nažalost, nije uvijek moguće biti siguran u sigurnost i bezopasnost tema ili dodataka. Njihove plaćene verzije imaju vrlo specifične programere koji cijene njihovu reputaciju. Kao rezultat toga, njihovi su proizvodi kvalitetniji, a vjerojatnost dobivanja zlonamjernog koda uz njih je prilično niska. Ali, kao što naše životno iskustvo govori, postoje iznimke od svakog pravila. Neki ljudi dodaju bezazlen kod kako bi pružili povratnu informaciju, dok drugi to čine u potpuno drugu svrhu. Čak iu samom "motoru" ponekad se otkrivaju ranjivosti koje omogućuju napadaču da ubaci svoj kod u njegovu jezgru.

Dodatci za zaštitu od virusa

Srećom, postoji niz korisnih rješenja za WordPress koja mogu u potpunosti skenirati vaš resurs na sve vrste ranjivosti i zlonamjernog koda, a ako se pronađu, naznačiti konkretnu lokaciju njihova “staništa” ili ih potpuno neutralizirati. Pogledajmo neke prilično kvalitetne i pouzdane dodatke za zaštitu vaše WordPress stranice.

Sucuri Sigurnost

Besplatni dodatak Sucuri Security vodeći je sigurnosni alat i koristi ga veliki broj WordPress korisnika. Rješenje pruža stranicama nekoliko vrsta i razina zaštite, među kojima su sljedeće:

  • skeniranje svih datoteka u potrazi za zlonamjernim kodom;
  • praćenje integriteta datoteka;
  • evidentiranje svih operacija vezanih za sigurnost;
  • identifikaciju i obavijest o riziku da se stranica nađe na crnoj listi ESET, Norton, PROSJEČAN i tako dalje.;
  • automatsko izvršavanje određenih radnji u slučaju otkrivanja hakiranja.

Wordfence sigurnost

Wordfence Security je rješenje koje provodi duboku provjeru web resursa na ranjivosti i zlonamjerni kod ne samo u datotekama tema i dodataka, već iu samoj jezgri "motora".

Dodatak koristi TKO JE-usluge za praćenje veza. Zahvaljujući ugrađenom vatrozidu, u stanju je blokirati cijele mreže. Čim se otkrije mrežni napad, set pravila vatrozida se automatski ažurira za najučinkovitije protumjere.

Antivirus

Dodatak AntiVirus svakodnevno skenira sve datoteke web-mjesta (uključujući teme, bazu podataka) i šalje email- javiti se na navedenu adresu. Osim, Antivirus skenira i čisti tragove i prilikom uklanjanja dodataka.

Quttera Web Skener zlonamjernog softvera

Popis za skeniranje i otkrivanje moćnog Quttera Web Malware Scannera uključuje sljedeće ranjivosti:

  • zlonamjerne skripte;
  • trojanski crvi;
  • špijunski softver;
  • stražnja vrata;
  • podvige;
  • preusmjerava;
  • zlonamjeran iframes;
  • zamagljivanje itd.

Osim ovog popisa, dodatak provjerava je li stranica na crnoj listi.

Sigurnost protiv zlonamjernog softvera i Brute Force Firewall

Dodatak Sigurnost protiv zlonamjernog softvera i brutalni vatrozid Dizajniran za skeniranje i neutralizaciju trenutno poznatih ranjivosti, uključujući skripte stražnja vrata. Antivirusne baze podataka dodatka se automatski ažuriraju, što vam omogućuje otkrivanje najnovijih virusa i eksploatacija. Dodatak ima ugrađen vatrozid koji blokira mrežne prijetnje.

Značajka dodatka je pružanje dodatne zaštite za stranicu (zaštita od sirova snaga, DDoS napada, kao i provjeru integriteta WordPress jezgre). Da biste to učinili, samo se trebate registrirati na web stranici gotmls.net.

Zaštita web-mjesta WP Antivirus

WP Antivirus Site Protection skenira sve sigurnosne datoteke web-mjesta, uključujući teme, dodatke i preuzimanja u mapi učitavanja. Pronađeni zlonamjerni kod i virusi bit će odmah uklonjeni ili premješteni u karantenu.

Skener eksploatacije

Dodatak Exploit Scanner isključivo se bavi identificiranjem sumnjivog koda (datoteke web-mjesta i baza podataka). Čim se nešto otkrije, administrator stranice će biti odmah obaviješten o tome.

Centrora WordPress sigurnost

Sveobuhvatno rješenje Centrora WordPress Security je višestruki alat za zaštitu web resursa od svih vrsta prijetnji. Uključuje sljedeće značajke:

  • traženje zlonamjernog koda, neželjene pošte, SQL- injekcije;
  • prisutnost vatrozida;
  • prisutnost skenera za provjeru prava pristupa;
  • izvođenje sigurnosne kopije.

Molimo kliknite na jedan od gumba kako biste saznali je li vam se članak svidio ili ne.

sviđa mi se ne sviđa mi se

Postoji mnogo WordPress sigurnosnih dodataka koji tvrde da imaju antivirusne značajke. I mnogi od njih doista rješavaju niz potencijalnih ranjivosti u ovom CMS-u. Na primjer, Wordfence Security, AntiVirus, Anti-Malware i deseci sličnih.

Ali kao antivirusni su potpuno neprikladni. Uostalom, oni su dodaci. Svako antivirusno "zaključavanje" određenih dijelova datotečnog sustava nosi se s njima. Besplatni antivirusni program je općenito mit. Konstantno ažuriranje baze virusa, skeniranje s poslužitelja treće strane i druge potrebe očito će potrošiti resurse programera. Dakle, svatko tko instalira još jedan besplatni WordPress antivirusni dodatak očito se vara i stvara iluziju sigurnosti.

Kada su moje stranice bile zaražene, počeo sam kopati u alate za liječenje. Bilo je stvarno malo pravih, a ne dodataka. Od njih mi je samo jedan radio. Štoviše, on je manje-više riješio probleme i još uvijek pošteno provodi svakodnevne pretrage. Ovo je…

VirusDay - zašto radi?

  • Ovo je antivirusni program baziran na oblaku, ne nalazi se u mapi s vašom web-mjestom
  • Automatsko liječenje virusima
  • Izrađuje sigurnosne kopije datoteka prije tretmana i pohranjuje ih kod kuće
  • Ugrađeni datotečni sustav
  • Veliki projekt uživo: poslovanje s CloudLinusom, Reg.ru i drugima

Kako povezati stranicu s antivirusom?

U obrascu koji se pojavi unesite adresu domene i kliknite "Nastavi". Zatim morate povezati VirusDie poslužitelj sa svojim vlastitim, za to predlažemo da sinkronizirate. Postoje 2 opcije:

  • Ručno. Preuzmite PHP datoteku za sinkronizaciju i sami je dodajte u korijensku mapu stranice.
  • Automatski. Navedite FTP pristup (poslužitelj, prijava i lozinka).
  1. Koliko često indeksirati stranicu: jednom svakih 6 ili 12 sati ili jednom dnevno
  2. Omogućite/onemogućite vatrozid
  3. Povežite stručnu uslugu s jamstvom bez virusa

U principu, sve se odmah počinje skenirati. To možete učiniti ručno klikom na zeleni krug. Ako se tijekom skeniranja otkriju problemi, pokušat ćemo izliječiti VirusDay. Ako ne uspije (imao sam ovo - 1/50) - prikazat će zaražene retke koda u upravitelju datoteka i pokušati identificirati vrstu infekcije.

Dnevno skeniranje

Koliko košta sigurnost

Povezivanje jedne stranice za godinu dana = 1499 rubalja. Nakon 3 mjesta po ovoj cijeni, sljedeće možete povezati za 249 rubalja. Na primjer: 1499 x 3 + 249 x 7 = 6240 rubalja godišnje za 10 stranica.

Postoji stručna usluga za 4900 (6 mjeseci) i 9990 (12 mjeseci) rubalja. Tamo će vam izmjeriti tlak i paziti da se ne ugušite košticom masline.

CMS WordPress je dobro zaštićen sustav, ali ranjivosti se mogu pronaći u bilo kojem sustavu. WordPress programeri svakim novim izdanjem pokušavaju učiniti CMS sigurnost robusnijom, ali ni napadači ne sjede prekriženih ruku. Stoga, kako biste zaštitili svoju stranicu od hakiranja, virusa i napada, morat ćete sami poduzeti neke mjere.

Mogu vam dati nekoliko praktičnih savjeta za sigurnost WordPressa koji će vam pomoći. zaštitite svoju WordPress stranicu od osnovnih prijetnji, virusa i napada.

Osnovne sigurnosne mjere za WordPress

Zaštita WordPressa od osnovnih prijetnji nije teška, sve što trebate učiniti je poduzeti neke korake. Kako biste pojednostavili zadatak, preporučam korištenje dodatka "Better WP Security".

Nakon instaliranja i aktivacije dodatka na WordPressu, idite na administrativno područje svoje stranice na stranicu postavki "Bolja WP sigurnost" i sigurnosno kopirajte svoju bazu podataka, za svaki slučaj.

Zatim, kako biste dodatku omogućili izmjene na vašoj web-lokaciji i datotekama motora, morate dati dopuštenje klikom na odgovarajući gumb.


Na sljedećoj stranici, kako bi zaštitite svoju stranicu od osnovnih napada, morate omogućiti ovu opciju klikom na odgovarajući gumb.


Ali to nije sve. Nakon što ispunite prve zahtjeve dodatka, pred vama će se otvoriti tablica koja će ukazati na sve potencijalne ranjivosti vaše stranice. Da biste zaštitili svoju WordPress stranicu, morate popraviti sve sigurnosne nedostatke.

Rješavanje problema s WordPress ranjivostima

Vidjet ćete otprilike sljedeću tablicu ranjivosti, u kojoj su kritične ranjivosti označene crvenom, a nekritične ranjivosti istaknute žutom i plavom, ali ih je također potrebno popraviti.

Na primjer, uzeo sam standardni nesiguran WordPress blog. Popravimo zajedno sve poznate propuste u WordPressu.


1. Provjerite složenost lozinke za sve korisnike

Kako biste osigurali jake lozinke za sve korisnike, morate popraviti prvu ranjivost. Slijedite poveznicu "Kliknite da popravite" i na stranici koja se otvori odaberite stavku kao na slici ispod "Strong Password Role - Subscriber". Tako će lozinke svih vaših korisnika proći provjeru složenosti.


2. Uklanjanje dodatnih informacija iz zaglavlja WordPress-a

WordPress prema zadanim postavkama objavljuje puno dodatnih informacija u zaglavlju stranice, koje napadači mogu iskoristiti. Da biste izbrisali takve informacije, označite odgovarajući okvir. No budite oprezni, ova radnja može rezultirati nefunkcionalnošću nekih aplikacija i usluga koje na neki način pristupaju vašem blogu putem XML-RPC protokola.


3. Sakrij ažuriranja od neadministratora

Treća točka nam je u redu, ako niste, onda vam preporučam da sakrijete dostupna ažuriranja od neadministratora. Ove će informacije i dalje biti beskorisne vašim korisnicima, ali ih napadači mogu koristiti.

4. Promijenite prijavu administratora

Zadani WordPress administratorski račun je administrator i to svi znaju. Stoga je vašu stranicu lakše hakirati. Kako biste zakomplicirali hakiranje stranice, preporučam preimenovanje vašeg administratorskog računa. Da biste to učinili, slijedite poveznicu "Kliknite ovdje za preimenovanje administratora" i unesite novo ime administratora u odgovarajuće polje.


5. Promijenite ID administratora

Prema zadanim postavkama, administratorskom računu također je dodijeljen ID=1, koji je također poznat napadačima, pa je potrebno promijeniti ovaj parametar. Bolji wp sigurnosni dodatak promijenit će ID administratora jednim klikom.

6. Promijenite prefiks tablice WordPress baze podataka

Prema zadanim postavkama, WordPress tablice baze podataka imaju prefiks wp_. Preporuča se promijeniti prefiks u bilo koji drugi. Čak i ako je vaša baza podataka već ispunjena informacijama, bolji wp sigurnosni dodatak promijenit će prefiks tablica vaše baze podataka bez gubitka podataka. Preporuča se napraviti backup baze podataka prije ove akcije, što smo i učinili na samom početku.


7. Planirajte svoje sigurnosne kopije

Kako biste napravili redovitu sigurnosnu kopiju svoje baze podataka, postavite neke uvjete i unesite svoju e-poštu na koju će biti poslane kopije baze podataka. Dakle, možete vratiti bazu podataka iz kopije u bilo kojem trenutku, ako je potrebno.


8. Zabranite pristup administratorskoj ploči u određeno vrijeme

Ovaj parametar nije kritičan, ali, ipak, ako ste zabrinuti za sigurnost svoje WordPress stranice, vjerojatno je vrijedno onemogućiti kaotičan pristup administratorskoj ploči i dopustiti pristup samo u određeno vrijeme, na primjer, u vrijeme kada radit ćete na stranici.

9. Blokirajte sumnjive hostove

Ako znate IP adrese sumnjivih hostova s ​​kojih se može izvršiti napad na vašu stranicu, dodajte ove IP adrese na popis zabrana i pristup stranici s tih IP-ova bit će zatvoren.

10. Zaštitite prijavu od grube sile

Prema zadanim postavkama, dodatak štiti prijavu od grube sile i blokira IP adresu nakon 3 neuspješna pokušaja.

11. Sakrijte WordPress administratora

Ova točka nije kritična, ali će ipak biti korisno sakriti admin područje WordPressa. Skrivanje administrativnog područja WordPress-a vrši se preimenovanjem direktorija s admin panelom. Fizički, administratorska ploča bit će u istoj mapi, ali neće biti dostupna na http://your_site.ru/wp-admin.


Sakrijte administrativnu ploču WordPressa tako da unesete nove nazive direktorija u odgovarajuća polja i potvrdite okvir za omogućavanje ove opcije.


12. Zaštitite .htaccess datoteku i sakrijte direktorije od pogleda

Preporučujem da sakrijete direktorije web-mjesta od besplatnog pregledavanja, a također zaštitite datoteku .htaccess. Također možete onemogućiti razne zahtjeve web-mjestu putem adresne trake. Podsjećam vas da ove radnje mogu uzrokovati sukob s nekim dodacima i temama.


18. Onemogućite pisanje datoteka wp-config.php i .htaccess

Neke od stavki su dovršene prema zadanim postavkama, stoga predlažem da dovršite najvažniju stavku 18 zaštite, koja će spriječiti prepisivanje datoteka wp-config.php i .htacces. Ova je točka vrlo važna, jer izvedba vaše stranice može ovisiti o sigurnosti datoteka wp-config.php i .htacces.


20. Preimenujte mapu sadržaja wp-content

Također možete preimenovati mapu s glavnim sadržajem web-mjesta wp-content. Nestandardno postavljanje datoteka otežat će napadačima pristup njima.

Bio sam hakiran. Znate, sviđa mi se stranica na VKontakteu. Ali nisu molili za novac, već su napravili puno "lijevih" stranica s poveznicama na različite stranice. Tada sam razmišljao o zaštiti svog bloga. I pronašao sam savršeno rješenje.

Prvo što sam učinio bilo je da sam kontaktirao tehničku podršku sa zahtjevom za vraćanje moje stranice dan prije hakiranja i u roku od deset minuta imao sam svoj normalni blog.

Zatim sam instalirao mnogo dodataka da zaštitim WordPress od hakiranja. Ali blog je postao užasno spor. Stranice se učitavaju za pet do deset sekundi. Predugo je.

Počeo sam tražiti dodatke koji ne opterećuju sustav toliko. Čitao sam recenzije o ovim dodacima i sve češće sam počeo nailaziti na All In One WP Security. Po opisu mi se jako svidio i odlučila sam ga staviti na svoj blog. I još me štiti, jer ništa bolje nisam vidio.

Što sve u jednom WP Security može učiniti (wordpress zaštita sve u jednom):

  • Izrađuje sigurnosne kopije baze podataka, konfiguracijska datoteka wp-config. i .htaccess datoteku
  • Promjena adrese stranice za autorizaciju
  • Skriva informacije o verziji WordPress-a
  • Zaštita administratorske ploče - blokiranje u slučaju netočne autorizacije
  • Zaštita robota
  • I još mnogo korisnih stvari

Mogu sa sigurnošću reći da je dodatak All In One WP Security najbolja zaštita za wordpress stranicu.

Postavljanje sve u jednom WP sigurnosti

Nakon što ste ušli u odjeljak Postavke, prvo što trebate učiniti je napraviti sigurnosne kopije:

  • baza podataka;
  • wp-config datoteku
  • htaccess datoteku

To se radi na prvoj stranici postavki dodatka All In One WP Security.

Napravite sigurnosnu kopiju (pričuvna kopija) prije početka rada

Proći ću kroz samo najvažnije točke.

sve u jednom stavci postavki sigurnosnog dodatka wp

Upravljačka ploča

Ovdje nas čeka brojač “Safety Meter”. Prikazuje razinu zaštite mjesta. Vaša stranica mora biti barem u zelenoj zoni. Nema potrebe loviti maksimalnu traku - dodatne postavke mogu poremetiti funkcionalnost stranice. Dobiti zlatnu sredinu.


Brojač zaštite WordPress stranice

Kada promijenite sigurnosne postavke dodatka, vidjet ćete zeleni štit s brojevima u svakoj stavci - to su brojevi koji se dodaju ukupnoj sigurnosnoj ocjeni.


brojka se dodaje ukupnoj sigurnosnoj ocjeni

Postavke

Kartica informacija o verziji WP

Označite okvir Izbriši metapodatke WP Generatora.


Uklanjanje metapodataka WP Generatora

To je učinjeno tako da verzija WordPress motora koju ste instalirali nije prikazana u kodu. Napadači znaju koja verzija ima ranjivosti, a poznavajući verziju WordPressa koju ste instalirali moći će brže hakirati vašu stranicu.

Administratori

WP prilagođeni naziv

Ako imate prijavu za ulazak u administratorsku ploču, svakako je promijenite. Admin je najpopularniji login. Mnogi TsMSki ga nude prema zadanim postavkama, a ljudi su jednostavno previše lijeni da ga mijenjaju.
Napadači koriste različite programe za hakiranje web stranica. Ovi programi biraju prijave i lozinke dok ne pronađu prikladnu kombinaciju.
Stoga nemojte koristiti administratorsku prijavu.

Ime za prikaz

Ako se vaš nadimak podudara s prijavom, svakako promijenite prijavu ili nadimak.

Lozinka

Ako ovdje unesete svoju lozinku, dodatak će pokazati koliko je vremena potrebno za hakiranje vaše stranice.
Preporuke za jačanje snage lozinke:

  • Lozinka se mora sastojati od slova i brojeva
  • Koristite velika i mala slova
  • Nemojte koristiti kratke lozinke (minimalno 6 znakova)
  • Poželjno je imati posebne znakove u lozinki (% # _ * @ $ i opširno)
Složenost lozinke

Autorizacija

Kartica za blokiranje autorizacije

Obavezno uključite. Ako u roku od 5 minuta netko 3 puta pogrešno unese lozinku, tada će IP biti blokiran na 60 minuta. Možete staviti više, ali bolje je to ne raditi. Može se dogoditi da i sami pogrešno unesete lozinku pa čekate mjesecima ili čak godinama :)
Označite okvir "Odmah blokiraj nevažeća korisnička imena".
Recimo da je vaša prijava hozyainsayta, a ako netko unese drugu prijavu (na primjer, login), tada će mu se IP adresa automatski blokirati.


opcije zaključavanja autorizacije

Automatska odjava korisnika

Stavili smo kvačicu. Ako se prijavite na administrativnu ploču stranice s drugog računala i zaboravite se odjaviti s administrativne ploče, nakon određenog vremenskog razdoblja sustav će vas odjaviti.
Stavio sam 1440 minuta (to je 24 sata).


Mogućnosti za automatsko odjavljivanje korisnika

Registracija korisnika

Ručna potvrda

Označite "Omogući ručno odobrenje novih registracija"


Ručno odobravanje novih registracija

CAPTCHA pri registraciji

Također označimo okvir. Time se prekidaju pokušaji registracije bot-robota, budući da se roboti ne mogu nositi s captcha.

Registracija Honeypot (bačva meda)

Mi slavimo. I robotima ne ostavljamo ni jednu priliku. Ova postavka stvara dodatno nevidljivo polje (npr. Ovdje unesite tekst). Ovo polje je vidljivo samo robotima. Budući da automatski popunjavaju sva polja, upisat će nešto i u ovo polje. Sustav automatski blokira one pokušaje registracije za koje je ovo polje popunjeno.

Zaštita baze podataka

Prefiks DB tablice

Ako vaša stranica postoji već duže vrijeme i ima puno informacija o njoj, trebali biste s najvećom pažnjom promijeniti prefiks baze podataka.

svakako napravite sigurnosnu kopiju baze podataka

Ako ste upravo stvorili svoju web stranicu, možete sigurno promijeniti prefiks.


Prefiks tablice baze podataka

Sigurnosna kopija baze podataka

Omogućite automatske sigurnosne kopije.
Odaberite učestalost sigurnosnog kopiranja.
I broj datoteka s tim sigurnosnim kopijama koje će se čuvati. Tada će početi prepisivati.
Ako želite da se ove datoteke dodatno pošalju na Vašu e-poštu, označite odgovarajući okvir. Za te svrhe imam zasebnu mapu u svom poštanskom sandučiću, tamo se šalju sve sigurnosne kopije (moje i klijentske stranice).


Postavke sigurnosne kopije baze podataka

Zaštita datotečnog sustava

Ovdje mijenjamo dopuštenja datoteke tako da sve bude zeleno.


uređivanje php datoteke

Stavljamo u slučaju da ne uređujete datoteke putem administratorske ploče. Općenito, sve promjene u datotekama trebate izvršiti putem programa ftp-managers (kao što je filezilla). Dakle, u slučaju bilo kakvog "jamb" uvijek možete poništiti prethodnu radnju.

Zabranjujemo pristup. Ovom akcijom možemo sakriti važne informacije za hakere.

Crna lista

Ako već imate IP adrese kojima želite zabraniti pristup web mjestu, omogućite ovu opciju.


Blokiranje korisnika po IP-u

vatrozida

Osnovna pravila vatrozida.

Vatrozid i vatrozid je softverski paket koji je filter neovlaštenog prometa.

Ova pravila se dodaju .htaccess datoteci, pa je prvo sigurnosno kopiramo.

Sada možete staviti potrebne potvrdne okvire:


Aktivirajte osnovne značajke vatrozida
Zaštita od XMLRPC ranjivosti i WordPress Pingback
Blokirajte pristup debug.log

Dodatna pravila vatrozida

Na ovoj kartici označite sljedeće okvire:

  • Onemogućite pregledavanje imenika
  • Onemogućite HTTP praćenje
  • Onemogućite komentare putem proxyja
  • Onemogućite zlonamjerne nizove u zahtjevima (mogu narušiti funkcionalnost drugih dodataka)
  • Aktivirajte dodatno filtriranje znakova (Također djelujemo s oprezom, morate pogledati kako to utječe na izvedbu stranice)
      Svaka stavka ima gumb "+ Više detalja" gdje možete detaljno pročitati svaku opciju.

Pravila 6G crne liste vatrozida

Primjećujemo obje točke. Ovo je provjereni popis pravila koje pruža sigurnosni dodatak WordPress stranice.


Postavke vatrozida (vatrozida).

Internet botovi

Može doći do problema s indeksiranjem stranice. Ne uključujem ovu opciju.

Spriječite hotlinkove

Stavili smo kvačicu. Tako da se slike s vaše stranice ne prikazuju na drugim stranicama putem izravne veze. Ova značajka smanjuje opterećenje poslužitelja.

Otkrivanje 404

Pogreška 404 (ne postoji takva stranica) pojavljuje se kada greškom unesete adresu stranice. Hakeri grubom silom pokušavaju pronaći stranice s ranjivostima i stoga unose mnoge nepostojeće URL-ove u kratkom vremenskom razdoblju.
Takvi pokušaji hakiranja bit će uneseni u tablicu na ovoj stranici i kvačicom u okviru moći ćete blokirati njihove IP adrese na određeno vrijeme.


404 postavke praćenja pogreške

Zaštita od napada grube sile

Prema zadanim postavkama, sve stranice na WordPressu imaju istu adresu stranice za autorizaciju. I tako napadači točno znaju odakle početi hakirati stranicu.
Ova opcija vam omogućuje promjenu adrese ove stranice. Ovo je vrlo dobra zaštita za wordpress stranicu. Obavezno promijenite adresu. Nisam označio ovu kućicu jer mi je moj automatski promijenio ovu stranicu tijekom instalacije sustava.


Zaštita od grube sile s kolačićima

Nisam uključio ovu postavku, jer postoji mogućnost da se blokiram prilikom prijave s različitih uređaja.

CAPTCHA za prijavu

Ako na vašoj stranici ima mnogo korisnika ili imate online trgovinu, tada možete omogućiti Captcha tijekom autorizacije na svim točkama.


Captcha zaštita tijekom autorizacije

Bijela lista za prijavu

Prijavite se na admin panel samo sa svog kućnog računala i jedini ste korisnik svoje stranice? Zatim unesite svoju IP adresu i svima ostalima bit će odbijen pristup stranici za autorizaciju.

Sigurnošću vašeg bloga treba se baviti od samog početka, a ne odgađati je na nejasno “okreni se i zaokupi se”. Štoviše, sada imate detaljne upute kako zaštititi wordpress stranicu od hakiranja, virusa i drugih problema.

Razmišljao sam o sigurnosti, ali ne tako ozbiljno. A nakon ovog članka na web stranici, A. Borisova je ozbiljno shvatila stvar. Na internetu sam pronašao sva problematična područja sustava i metode za njihovo uklanjanje. Pokazalo se da je to prilično velik članak od 14 bodova!

Kako osigurati wordpress web stranicu

1. Promijenite standardnu ​​prijavu. Prije svega, hakeri probijaju takve popularne prijave kao što su administrator, korisnik, moderator, administrator. Ako upotrijebite jedan od njih, onda ste odradili pola posla za napadače. Posebno se često koristi admin – kratak, lako pamtljiv, odmah se vidi da se radi o važnoj neravnini, pa ga vlasnici stranica ne mijenjaju u nešto složenije.

Postoji mnogo opcija za promjenu ove prijave, ali najjednostavnija je:

  • Idite na administratorsku ploču, idite na odjeljak Korisnici - kliknite Dodaj.
  • Osmislite složenu prijavu za novog korisnika (možete samo postaviti slova i brojeve) i odaberite Uloga - Administrator.
  • Odjavite se s trenutačnog korisnika (u gornjem desnom kutu odaberite Odjava).
  • Prijavite se s novim korisnikom kojeg ste upravo stvorili.
  • Radite s ovim računom: stvarajte nove članke, uređujte stare, dodajte/uklonite dodatke. Općenito, provjerite ima li stvarno sve ovlasti Administratora.
  • Izbriši korisnika s nadimkom admin.

2. Postavite složenu lozinku- to je upravo slučaj kada ne možete koristiti svoju standardnu ​​lozinku u obliku qwerty. Morate smisliti jedinstvenu lozinku, vrlo složenu, od 20 znakova s ​​različitim velikim slovima, brojevima i različitim simbolima. Ako se bojite zaboraviti, zapišite to u papirnatu bilježnicu. Ali nemojte ga spremati na svoje računalo. Kako smisliti složenu lozinku možete pronaći u ovom članku.

Složena lozinka trebala bi biti ne samo na wordpress admin panelu, već i za druge usluge vezane uz web mjesto: poštu, hosting itd.

3. Sakrij prijavu- bez obzira na to kako pokušavate smisliti super složenu prijavu, postoji rupa koja vam omogućuje da je vidite i kopirate. Da biste to učinili, u adresnu traku unesite http://your_domain.ru?author=1 i zamijenite svoju domenu. Ako se link ne pretvori u /author/admin, gdje je admin vaša nova prijava, onda je sve u redu.

Ali ako je vaša prijava još uvijek tamo prikazana, morate je hitno sakriti pomoću posebne naredbe u datoteci functions.php:

/* Promjena prijave u komentarima */
funkcija del_login_css($css) (foreach($css kao $key => $class) (
if(strstr($class, "komentar-autor-insert_valid_login")) (
$css[$key] = 'komentar-autor-enter_fiktivan_login'; ))
vratiti $css; )
add_filter('comment_class', 'del_login_css');

Sada postavljamo preusmjeravanje na glavnu stranicu, za to morate otvoriti datoteku .htaccess u korijenskoj mapi (pomoću filezilla), a ovdje nakon retka

RewriteRule . /index.php [L]

Dodajte ovaj tekst:

RedirectMatch Trajno ^/author/real_login$ http://your_domain.ru

4. Održavajte WordPress ažurnim. Nove verzije se pojavljuju s vremena na vrijeme, obavijesti vise na upravljačkoj ploči. Napravite sigurnosnu kopiju stranice, ažurirajte i provjerite radi li. Što je noviji, to je teže hakirati sustav - pojavljuju se nove razine zaštite, a stare tehnike hakiranja ne rade.

5. Sakrijte verziju WordPressa od znatiželjnih očiju. Prema zadanim postavkama, ti se podaci prikazuju u kodu stranica i napadači ih ne bi trebali prijaviti. Poznavajući vašu verziju, bit će mu lakše prepoznati praznine i hakirati sustav.

Stoga otvorite functions.php za uređivanje, a zatim dodajte ovaj redak:

remove_action('wp_head', 'wp_generator');

Ova jednostavna funkcija onemogućuje prikaz podataka sustava.

6. Uklonite licence.txt i readme.html iz korijenske mape. Nisu potrebni sami po sebi, ali se mogu koristiti za jednostavno čitanje informacija o vašem sustavu i doznavanje verzije WordPressa. Automatski se ponovno pojavljuju ako ažurirate wordpress. Stoga očistite datoteke svaki put kada instalirate ažuriranje.

7. Sakrij mape wp-includes, wp-content i wp-content/plugins/. Prvo provjerite je li sadržaj tih mapa vidljiv strancima. Samo zamijenite svoju domenu u poveznicama i otvorite veze u pregledniku:

  • http://your_domain/wp-includes
  • http://vaša_domena/wp-content
  • http://your_domain/wp-content/plugins

Ako vidite mape i datoteke kada odete na te stranice, tada morate sakriti informacije. To se radi vrlo, vrlo jednostavno - stvorite praznu datoteku pod nazivom index.php i stavite je u ove direktorije. Sada će se ova datoteka otvoriti tijekom prijelaza, tj. prazna stranica bez ikakvih informacija.

8. Nemojte instalirati besplatne teme- ovo je podatak iz osobnog iskustva, iako svi o tome pišu. Ali odlučio sam zaobići sustav i postaviti besplatnu temu s interneta na svoju drugu stranicu - jako mi se svidjelo. I u početku je sve bilo u redu.

Nakon otprilike šest mjeseci počeo sam provjeravati odlazne veze sa stranice i pronašao 3 nejasne veze. Nisam ih mogao pronaći na samim stranicama – vrlo su ih lukavo sakrili. Nakon proučavanja problema, pronašao sam informaciju da je to vrlo čest problem kada je kod za udaljeno postavljanje linkova ugrađen u besplatne predloške. Morao sam provesti cijelu večer, ali sam riješio problem i sada je sve u redu. Ali koliku štetu može napraviti!

9. Instalirajte odgovarajuće zaštitne dodatke, ali svakako instalirajte sa službene stranice ru.wordpress.org ili s upravljačke ploče.

  • Ograniči pokušaje prijave - ograničiti pokušaje prijave. Ako 3 puta pogrešno unesete svoju prijavu i lozinku, pristup će biti blokiran na N minuta/sati. Broj pokušaja i vrijeme blokiranja sami postavljate.
  • Wordfence Security je dodatak za provjeru web stranice na viruse i promjene zlonamjernog koda. Za početak samo instalirajte i kliknite Skeniraj. Ali nakon provjere, preporučljivo je onemogućiti ga kako ne biste stvorili dodatno opterećenje na web mjestu. Provjerite ima li na svom blogu virusa barem jednom mjesečno.
  • Sigurnosna kopija baze podataka WordPress - automatski šalje sigurnosnu kopiju baze podataka vaše web stranice na poštu. Učestalost se može postaviti samostalno - jednom dnevno ili tjedno.
  • Preimenuj wp-login.php - Mijenja adresu za prijavu na upravljačku ploču sa standardne http://your_domain/wp-admin.
  • Anti-XSS napad - štiti blog od XSS napada.

10. Provjerite ima li na računalu viruse– ponekad virusi dolaze izravno s vašeg računala. Stoga instalirajte dobar antivirusni program i ažurirajte ga.

11. Sustavno sigurnosno kopirajte– bilo pomoću dodatka za izradu sigurnosne kopije baze podataka WordPress ili ručno. Za neke domaćine to se događa automatski, tako da možete vratiti stranicu u bilo kojem trenutku u slučaju problema.

12. Radite s pouzdanim domaćinom, jer u mnogo čemu sigurnost stranice ovisi o kvaliteti hostinga. U Makhost sam se preselio prije mjesec dana, a razlika s prethodnim je primjetna (presel je opisan u ovom članku). Neću ga toplo preporučiti, jer nisam dugo s njima, iako ih se prijatelj s njima godinu dana ne može zasititi. Općenito, nemojte uzimati tarife za 100 rubalja radi uštede, tada možete skupo platiti.

13. Različiti poštanski sandučići za stranicu i hosting. Vrlo je lako izvući poštanski sandučić iz WordPressa, a zatim ga možete hakirati i dobiti pristup podacima. A ako je hosting vezan uz to, neće biti teško promijeniti lozinku i preuzeti stranicu za sebe. Stoga nabavite zasebnu kutiju za hosting da to nitko ne zna ili ne vidi.

14. Povežite namjensku IP adresu, kako ne bi koegzistirali s porno stranicama, stranicama pod filterom ili s virusima. Dakle, ako imate priliku, nabavite zaseban IP tako da ne morate brinuti o tome. Inače, na području blogera postoje nepotvrđene glasine da namjenski IP poboljšava pozicije u rezultatima pretraživanja.

Sada znate najjednostavnije načine zaštite web mjesta na wordpressu, a bit ćete pošteđeni banalnih prijetnji. No, osim ove, postoje mnoge druge opasnosti od kojih se nije tako lako spasiti. Upravo za takve ozbiljne situacije, Yuri Kolesov je kreirao tečaj "