Materiali 

L'unico antivirus funzionante per WordPress. I migliori plugin WordPress per la protezione antivirus Installazione e configurazione di AntiVirus

Il sistema di gestione dei contenuti WordPress, a causa della sua enorme popolarità, attira anche i detrattori. Inoltre il “motore” è distribuito gratuitamente, quindi è ancora più esposto al rischio di violazioni della sicurezza. WordPress stesso è un prodotto software abbastanza sicuro. I "buchi" iniziano ad aprirsi quando l'utente installa plugin e temi.

Insicurezza di plugin e temi

Sfortunatamente, non puoi sempre essere sicuro che temi o plugin siano sicuri e innocui. Le loro versioni a pagamento hanno sviluppatori molto specifici che apprezzano la loro reputazione. Di conseguenza, i loro prodotti sono di più Alta qualità e la probabilità di ricevere codice dannoso insieme ad essi è piuttosto bassa. Ma, come suggerisce la nostra esperienza di vita, ci sono eccezioni a ogni regola. Alcuni aggiungono codice completamente innocuo per fornire feedback, mentre altri lo fanno per scopi completamente diversi. Anche nel “motore” stesso a volte vengono scoperte vulnerabilità che consentono a un utente malintenzionato di iniettare il suo codice nel suo nucleo.

Plugin di protezione antivirus

Fortunatamente, esistono numerose soluzioni utili per WordPress in grado di scansionare completamente la tua risorsa alla ricerca di tutti i tipi di vulnerabilità e codici dannosi e, se rilevati, indicarne la posizione specifica o neutralizzarli completamente. Diamo un'occhiata a diversi plugin affidabili e di qualità abbastanza elevata per proteggere il tuo sito WordPress.

Sicurezza Sucuri

Il plugin gratuito Sucuri Security è uno strumento di sicurezza leader ed è utilizzato da un numero enorme di utenti WordPress. La soluzione fornisce ai siti diversi tipi e livelli di protezione, tra cui:

  • scansione di tutti i file alla ricerca di codice dannoso;
  • monitorare l'integrità dei file;
  • registrare tutte le operazioni relative alla sicurezza;
  • identificazione e notifica del rischio che un sito venga inserito nella lista nera ESET, Norton, AVG e così via.;
  • esecuzione automatica di determinate azioni se viene rilevato un hack.

Sicurezza di Wordfence

Wordfence Security è una soluzione che esegue una scansione approfondita di una risorsa Web alla ricerca di vulnerabilità e codice dannoso non solo nei file dei temi e dei plug-in, ma anche nel nucleo del motore stesso.

Il plugin utilizza CHI È-servizi per il monitoraggio delle connessioni. Grazie al firewall integrato è in grado di bloccare intere reti. Non appena viene rilevato un attacco di rete, il set di regole del firewall viene aggiornato automaticamente per contrastare le minacce nel modo più efficace.

Antivirus

Il plug-in AntiVirus esegue la scansione quotidiana di tutti i file del sito (inclusi temi e database) e li invia e-mail- presentarsi ad un determinato indirizzo. Oltretutto, Antivirus Inoltre, esegue la scansione e pulisce le tracce durante la rimozione dei plugin.

Scanner malware Web Quttera

L'elenco di scansione e rilevamento del potente Quttera Web Malware Scanner include le seguenti vulnerabilità:

  • script dannosi;
  • worm troiani;
  • spyware;
  • backdoor;
  • sfrutta;
  • reindirizzamenti;
  • dannoso iframe;
  • offuscamento, ecc.

Oltre a questo elenco, il plugin verifica la presenza del sito nelle blacklist.

Sicurezza anti-malware e firewall a forza bruta

Aggiunta Sicurezza anti-malware e firewall a forza bruta Progettato per scansionare e neutralizzare le vulnerabilità attualmente conosciute, inclusi gli script porta sul retro. I database antivirus del plugin vengono aggiornati automaticamente, consentendoti di rilevare i virus e gli exploit più recenti. Il plugin ha un firewall integrato che blocca le minacce di rete.

Una particolarità del plugin è che fornisce una protezione aggiuntiva per il sito (protezione da forza bruta-, DDoS-attacchi, oltre a verificare l'integrità del core di WordPress). Per fare questo, devi solo registrarti su gotmls.net.

Protezione del sito antivirus WP

WP Antivirus Site Protection esegue la scansione di tutti i file del sito critici per la sicurezza, inclusi temi, plug-in e download nella cartella caricamenti. Qualsiasi codice dannoso o virus rilevato verrà immediatamente rimosso o messo in quarantena.

Sfrutta lo scanner

Il plugin Exploit Scanner si occupa esclusivamente di identificare il codice sospetto (file del sito e database). Non appena verrà scoperto qualcosa, l'amministratore del sito verrà immediatamente avvisato.

Centrora WordPress Sicurezza

La soluzione completa Centrora WordPress Security è uno strumento multiforme per proteggere una risorsa web da tutti i tipi di minacce. Include le seguenti funzionalità:

  • cercare codice dannoso, spam, SQL-iniezioni;
  • presenza di un firewall;
  • Disponibilità di uno scanner dei diritti di accesso;
  • prestazione Prenota copia.

Clicca su uno dei pulsanti per scoprire se l'articolo ti è piaciuto oppure no.

Mi piace, non mi piace

Esistono molti plugin di sicurezza di WordPress che dichiarano di avere funzionalità antivirus. E molti di essi vengono effettivamente risolti da una serie di potenziali vulnerabilità in questo CMS. Ad esempio, Wordfence Security, AntiVirus, Anti-Malware e dozzine di simili.

Ma sono del tutto inadatti come antivirus. Dopotutto, questi sono plugin. Qualsiasi antivirus che "blocca" alcune parti del file system li gestisce. L'antivirus gratuito è generalmente un mito. L'aggiornamento costante del database dei virus, la scansione da un server di terze parti e altre necessità consumeranno ovviamente le risorse degli sviluppatori. Quindi chiunque installi un altro plugin antivirus gratuito per WordPress sta chiaramente ingannando se stesso e creando l’illusione della sicurezza.

Quando i miei siti sono stati infettati, ho iniziato a scavare negli strumenti di trattamento. C'erano davvero pochi veri plugin, non plugin. Solo uno di loro ha funzionato per me. Inoltre, ha più o meno risolto i problemi e continua a eseguire onestamente la scansione quotidiana. Questo…

VirusDai: perché funziona?

  • Questo è un antivirus cloud, non risiede nella cartella del tuo sito web
  • Trattamento automatico dei virus
  • Effettua il backup dei file prima del trattamento e li archivia a casa
  • File system integrato
  • Grande progetto dal vivo: fare affari con CloudLinus, Reg.ru e altri

Come collegare un sito Web a un antivirus?

Nel modulo visualizzato, inserisci l'indirizzo del dominio e fai clic su "Continua". Successivamente devi connettere il server VirusDie al tuo, per questo ti suggeriamo di effettuare la sincronizzazione. Ci sono 2 opzioni:

  • Manualmente. Scarica il file PHP per la sincronizzazione e aggiungilo tu stesso alla cartella principale del sito.
  • Automaticamente. Specificare l'accesso FTP (server, login e password).
  1. Con quale frequenza eseguire la scansione del sito: una volta ogni 6 o 12 ore o una volta al giorno
  2. Abilita/disabilita il firewall
  3. Connettiti con un servizio esperto con una garanzia priva di virus

In linea di principio è tutto, la scansione inizia immediatamente. Puoi farlo manualmente facendo clic sul cerchio verde. Se durante la scansione vengono identificati problemi, VirusDai proverà a risolverli. Se non è possibile (mi è successo - 1/50), indicherà le righe di codice infette nel file manager e tenterà di identificare il tipo di infezione.

Scansione quotidiana

Quanto costa la sicurezza?

Connessione di un sito per un anno = 1499 rubli. Dopo 3 siti a questo prezzo, puoi collegare quelli successivi per 249 rubli. Ad esempio: 1499 x 3 + 249 x 7 = 6240 rubli all'anno per 10 siti.

C'è un servizio esperto per 4900 (6 mesi) e 9990 (12 mesi) rubli. Lì ti misureranno la pressione sanguigna e si assicureranno che non soffochi con un nocciolo d'oliva.

CMS WordPress è un sistema ben protetto, ma le vulnerabilità possono essere trovate in qualsiasi sistema. Gli sviluppatori di WordPress stanno cercando di rendere la sicurezza del CMS più affidabile con ogni nuova versione, ma neanche gli aggressori stanno a guardare. Pertanto, per proteggere il tuo sito web da hacking, virus e attacchi, dovrai adottare tu stesso alcune misure.

Posso dartene alcuni Consiglio pratico Suggerimenti per la sicurezza di WordPress per aiutarti proteggi il tuo sito WordPress da minacce, virus e attacchi di base.

Misure di sicurezza di base di WordPress

Proteggere WordPress dalle minacce di base non è difficile; tutto ciò che devi fare è compiere alcuni passaggi. Per semplificare il compito, consiglio di utilizzare il plugin “Better WP Security”.

Dopo aver installato e attivato il plugin su WordPress, vai nell'area di amministrazione del sito alla pagina delle impostazioni “Migliore sicurezza WP” e crea una copia di backup del database, per ogni evenienza.

Successivamente, per consentire al plugin di apportare modifiche al tuo sito e ai file del motore, devi dare il permesso cliccando sull'apposito pulsante.


Nella pagina successiva, per proteggere il tuo sito web dagli attacchi di base, è necessario abilitare questa opzione facendo clic sul pulsante corrispondente.


Ma non è tutto. Dopo aver soddisfatto i primi requisiti del plugin, si aprirà davanti a te una tabella che indicherà tutti i potenziali punti di vulnerabilità del tuo sito. Per proteggere il tuo sito WordPress, devi correggere tutti i difetti di sicurezza.

Correzione delle vulnerabilità di WordPress

Vedrai approssimativamente la seguente tabella delle vulnerabilità, in cui le vulnerabilità critiche sono evidenziate in rosso e le vulnerabilità non critiche sono evidenziate in giallo e blu, ma devono anche essere eliminate.

Ad esempio, ho preso un blog WordPress standard non protetto. Lavoriamo insieme per risolvere tutte le vulnerabilità di cui siamo a conoscenza in WordPress.


1. Controlla la complessità della password per tutti gli utenti

Per fornire password complesse a tutti gli utenti, dobbiamo correggere la prima vulnerabilità. Segui il link “Click to fix” e, nella pagina che si apre, seleziona la voce come nella figura sottostante “Strong Password Role - Subscriber”. Pertanto, la complessità delle password di tutti i tuoi utenti verrà testata.


2. Rimozione di informazioni aggiuntive dall'intestazione di WordPress

Per impostazione predefinita, WordPress pubblica molte informazioni aggiuntive nell'intestazione del sito che possono essere sfruttate dagli aggressori. Per rimuovere tali informazioni, seleziona la casella appropriata. Attenzione però, questa azione potrebbe comportare l'inoperabilità di alcune applicazioni e servizi che in qualche modo accedono al tuo blog tramite il protocollo XML-RPC.


3. Nascondi gli aggiornamenti ai non amministratori

Il terzo punto per noi è giusto, se per te non è così, ti consiglio di nascondere gli aggiornamenti disponibili ai non amministratori. Queste informazioni saranno comunque inutili per i tuoi utenti, ma gli aggressori potranno trarne vantaggio.

4. Modifica il login dell'amministratore

L'account amministratore predefinito di WordPress è admin e tutti lo sanno. Pertanto, il tuo sito è più facile da hackerare. Per rendere più difficile l'hacking del sito, ti consiglio di rinominare il tuo account amministratore. Per fare ciò, segui il collegamento "Clicca qui per rinominare l'amministratore" e inserisci il nuovo nome dell'amministratore nel campo apposito.


5. Modifica l'ID amministratore

All'account amministratore viene assegnato per impostazione predefinita l'ID=1, noto anche agli aggressori, quindi questo parametro deve essere modificato. Il miglior plug-in di sicurezza wp cambierà l'ID amministratore con un clic.

6. Modifica il prefisso della tabella del database WordPress

Per impostazione predefinita, le tabelle del database WordPress hanno il prefisso wp_. Si consiglia di modificare il prefisso con qualsiasi altro. Anche se il tuo database è già pieno di informazioni, il miglior plug-in di sicurezza wp cambierà il prefisso delle tabelle del tuo database senza perdere dati. Si consiglia di effettuare una copia di backup del database prima di questa azione, che è ciò che abbiamo fatto all'inizio.


7. Pianificare i backup

Per creare regolarmente una copia di backup del tuo database, imposta alcune condizioni e inserisci la tua email a cui verranno inviate le copie del database. In questo modo è possibile ripristinare il database da una copia in qualsiasi momento, se necessario.


8. Nega l'accesso all'area di amministrazione in un determinato momento

Questo parametro non è fondamentale, ma se sei preoccupato per la sicurezza del tuo sito WordPress, forse vale la pena vietare l'accesso caotico al pannello di amministrazione e consentire l'accesso solo in determinati orari, ad esempio nel momento in cui lavoreranno con il sito.

9. Blocca gli host sospetti

Se conosci gli indirizzi IP di host sospetti da cui può essere effettuato un attacco al tuo sito, aggiungi questi indirizzi IP all'elenco dei divieti e l'accesso al sito da questi IP verrà bloccato.

10. Proteggi il tuo login dalla forza bruta

Per impostazione predefinita, il plugin protegge l'accesso dalla forza bruta e dopo 3 tentativi falliti blocca l'indirizzo IP.

11. Nascondi l'area di amministrazione di WordPress

Questo punto non è fondamentale, ma sarà comunque utile per nascondere l'area di amministrazione di WordPress. Per nascondere il pannello di amministrazione di WordPress, è possibile rinominare la directory con il pannello di amministrazione. Fisicamente, il pannello di amministrazione si troverà nella stessa cartella, ma non sarà disponibile su http://your_site.ru/wp-admin.


Nascondi il pannello di amministrazione di WordPress inserendo i nuovi nomi di directory nei campi appropriati e selezionando la casella per abilitare questa opzione.


12. Proteggi il file .htaccess e nascondi le directory dalla visualizzazione

Ti consiglio di nascondere le directory del sito dalla visualizzazione gratuita e di proteggere anche il file .htaccess. Puoi anche impedire che vengano effettuate varie richieste al sito tramite la barra degli indirizzi. Tieni presente che queste azioni potrebbero causare conflitti con alcuni plugin e temi.


18. Vietiamo la scrittura di file wp-config.php e .htaccess

Alcuni punti sono stati soddisfatti per impostazione predefinita, quindi ti suggerisco di eseguire i 18 punti di protezione più importanti, che aiuteranno a prevenire la sovrascrittura dei file wp-config.php e .htacces. Questo punto è molto importante, perché le prestazioni del tuo sito possono dipendere dalla sicurezza dei file wp-config.php e .htacces.


20. Rinominare la cartella dei contenuti wp-content

Puoi anche rinominare la cartella con il contenuto principale del sito wp-content. Il posizionamento non standard dei file renderà più difficile l’accesso agli utenti malintenzionati.

Sono stato hackerato. Sai, come una pagina su VKontakte. Ma non hanno chiesto l’elemosina, ma hanno creato molte pagine “di sinistra” con collegamenti a diversi siti. Poi ho pensato di proteggere il mio blog. E ho trovato la soluzione perfetta.

La prima cosa che ho fatto è stata contattare il supporto tecnico chiedendo di ripristinare il mio sito il giorno prima dell'hacking e nel giro di dieci minuti avevo il mio blog normale.

Poi ho installato molti plugin per proteggere WordPress dagli hacker. Ma il blog ha iniziato a rallentare terribilmente. Le pagine vengono caricate in cinque-dieci secondi. È troppo lungo.

Ho iniziato a cercare plugin che non caricassero così tanto il sistema. Ho letto le recensioni su questi plugin e ho iniziato a imbattermi sempre più in All In One WP Security. Basandosi sulla descrizione, mi è piaciuto molto e ho deciso di metterlo sul mio blog. E mi protegge ancora, perché non ho mai incontrato niente di meglio.

Cosa può fare All In One WP Security (protezione WordPress tutto in uno):

  • Crea copie di backup del database, file di configurazione wp-config. e il file .htaccess
  • Modifica dell'indirizzo della pagina di autorizzazione
  • Nasconde le informazioni sulla versione di WordPress
  • Protezione amministratore: blocco per autorizzazione errata
  • Protezione dei robot
  • E molte altre cose utili

Posso tranquillamente affermare che il plug-in di sicurezza All In One WP Security è la migliore protezione per un sito WordPress.

Configurazione della sicurezza WP All In One

Quando vai alla sezione Impostazioni, la prima cosa che devi fare è eseguire i backup:

  • Banca dati;
  • file wp-config;
  • file htaccess

Questo viene fatto nella prima pagina di configurazione del plugin All In One WP Security.

Effettuare un backup prima di iniziare il lavoro

Tratterò solo i punti più importanti.

elementi di impostazione del plug-in di sicurezza tutto in uno wp

Pannello di controllo

Qui veniamo accolti dallo sportello “Security Meter”. Mostra il livello di sicurezza del sito. Il tuo sito web dovrebbe essere almeno nella zona verde. Non è necessario inseguire il livello massimo: impostazioni non necessarie possono interrompere la funzionalità del sito. Raggiungi la sezione aurea.


Contatore di protezione del sito WordPress

Quando modifichi le impostazioni di sicurezza del plugin, vedrai uno scudo verde con numeri su ciascun elemento: questi sono i numeri che vengono aggiunti al punteggio di sicurezza complessivo.


il dato viene sommato al punteggio di sicurezza totale

Impostazioni

Scheda Informazioni sulla versione WP

Seleziona la casella di controllo Elimina metadati del generatore WP.


Rimozione dei metadati del generatore WP

Questo viene fatto in modo che la versione del motore WordPress che hai installato non venga visualizzata nel codice. Gli aggressori sanno quale versione presenta vulnerabilità e conoscendo la versione di WordPress installata su di te sarà in grado di hackerare il tuo sito più velocemente.

Amministratori

Nome utente WP

Se il tuo nome utente per accedere al pannello di amministrazione è admin, assicurati di cambiarlo. Admin è l'accesso più popolare. Molti CMS lo offrono per impostazione predefinita e le persone sono semplicemente troppo pigre per cambiarlo.
Gli aggressori utilizzano vari programmi per hackerare i siti web. Questi programmi selezionano login e password finché non trovano una combinazione adatta.
Pertanto, non utilizzare l'accesso amministratore.

Nome da visualizzare

Se il tuo nickname corrisponde al tuo login, assicurati di cambiare il tuo login o nickname.

Parola d'ordine

Se inserisci qui la tua password, il plugin mostrerà quanto tempo ci vorrà per hackerare il tuo sito.
Consigli per rafforzare la sicurezza della password:

  • La password deve essere composta da lettere e numeri
  • Utilizza lettere minuscole e maiuscole
  • Non utilizzare password brevi (minimo 6 caratteri)
  • È preferibile che la password contenga caratteri speciali (% # _ * @ $ e caratteri dettagliati)
Complessità della password

Autorizzazione

Scheda Blocco autorizzazione

Lo accendiamo sicuramente. Se entro 5 minuti qualcuno inserisce la password errata per 3 volte, l'IP verrà bloccato per 60 minuti. Puoi metterne di più, ma è meglio non farlo. Può succedere che tu stesso inserisca la password in modo errato e poi aspetti mesi o addirittura anni :)
Seleziona la casella di controllo "Blocca immediatamente nomi utente non validi".
Supponiamo che il tuo login sia hozyainsayta e se qualcuno inserisce un login diverso (ad esempio login), il suo indirizzo IP verrà automaticamente bloccato.


opzioni di blocco dell'autorizzazione

Logout automatico degli utenti

Mettiamo un segno di spunta. Se accedi al pannello di amministrazione del sito da un altro computer e dimentichi di disconnetterti dal pannello di amministrazione, dopo un periodo di tempo specificato il sistema ti disconnetterà.
L'ho impostato su 1440 minuti (ovvero 24 ore).


Opzioni di disconnessione automatica dell'utente

Registrazione Utente

Conferma manuale

Seleziona “Attiva approvazione manuale delle nuove registrazioni”


Approvazione manuale delle nuove registrazioni

CAPTCHA durante la registrazione

Mettiamo anche un segno di spunta. Ciò interrompe i tentativi di registrazione da parte di un bot, poiché i robot non sono in grado di gestire i captcha.

Registrazione Honeypot

Festeggiamo. E non lasciamo ai robot una sola possibilità. Questa impostazione crea un campo invisibile aggiuntivo (digita Inserisci testo qui). Solo i robot possono vedere questo campo. Poiché compilano automaticamente tutti i campi, scriveranno qualcosa in questo campo. Il sistema blocca automaticamente i tentativi di registrazione che hanno compilato questo campo.

Protezione della banca dati

Prefisso della tabella del database

Se il tuo sito esiste da molto tempo e contiene molte informazioni, la modifica del prefisso del database dovrebbe essere eseguita con la massima cautela

assicurati di eseguire il backup del database

Se hai appena creato il tuo sito web, puoi tranquillamente modificare il prefisso.


Prefisso della tabella del database

Backup del database

Abilita la creazione automatica dei backup.
Seleziona la frequenza con cui creare i backup.
E il numero di file con questi backup che verranno archiviati. Quindi inizieranno a sovrascrivere.
Se desideri che questi file vengano inoltre inviati al tuo e-mail, quindi seleziona la casella corrispondente. Ho una cartella separata nella mia casella di posta per questi scopi; tutti i backup (dei miei siti e di quelli dei clienti) vengono inviati lì.


Impostazioni di backup del database

Protezione del file system

Qui modifichiamo i permessi dei file in modo che tutto sia verde.


Modificare file php

Lo impostiamo se non modifichi i file tramite il pannello di amministrazione. In generale, è necessario apportare eventuali modifiche ai file tramite programmi di gestione ftp (come Filezilla). Quindi, in caso di qualsiasi “stipite”, puoi sempre annullare l’azione precedente.

Neghiamo l'accesso. Con questa azione possiamo nascondere informazioni importanti per gli hacker.

Lista nera

Se disponi già di indirizzi IP a cui desideri negare l'accesso al sito, abilita questa opzione.


Blocco degli utenti tramite IP

Firewall

Regole base del firewall.

Un firewall e un firewall è un pacchetto software che filtra il traffico non autorizzato.

Queste regole vengono aggiunte al file .htaccess, quindi ne facciamo prima una copia di backup.

Ora puoi selezionare le caselle necessarie:


Attiva le funzionalità firewall di base
Protezione dalle vulnerabilità XMLRPC e Pingback WordPress
Blocca l'accesso a debug.log

Regole firewall aggiuntive

In questa scheda, seleziona le seguenti caselle:

  • Disabilita la navigazione nelle directory
  • Disabilita traccia HTTP
  • Disabilita commenti tramite proxy
  • Prevenire stringhe dannose nelle richieste (potrebbero interrompere la funzionalità di altri plugin)
  • Attiva un ulteriore filtraggio dei caratteri (Agiamo anche con cautela, dobbiamo vedere come influisce sulle prestazioni del sito)
      Ogni articolo ha un pulsante "+ Maggiori dettagli", dove puoi leggere in dettaglio ciascuna opzione.

Regole firewall della lista nera 6G

Segnaliamo entrambi i punti. Questo è un elenco comprovato di regole che il plugin prevede per la sicurezza di un sito WordPress.


Impostazioni del firewall

Bot di Internet

Potrebbero esserci problemi con l'indicizzazione del sito. Non abilito questa opzione.

Previeni i collegamenti rapidi

Mettiamo un segno di spunta. In modo che le immagini del tuo sito non vengano visualizzate su altri siti tramite un collegamento diretto. Questa funzionalità riduce il carico sul server.

Rilevamento 404

L'errore 404 (non esiste una pagina simile) viene visualizzato quando si immette l'indirizzo della pagina in modo errato. Gli hacker cercano con la forza bruta di trovare pagine con vulnerabilità e quindi di inserire molti URL inesistenti in un breve periodo di tempo.
Tali tentativi di hacking verranno inseriti nella tabella in questa pagina e selezionando la casella sarai in grado di bloccare i loro indirizzi IP per un periodo di tempo specificato.


404 Impostazioni di rilevamento errori

Protezione contro gli attacchi di forza bruta

Per impostazione predefinita, tutti i siti WordPress hanno lo stesso indirizzo della pagina di accesso. Pertanto, gli aggressori sanno esattamente da dove iniziare ad hackerare il sito.
Questa opzione ti consente di modificare l'indirizzo di questa pagina. Questa è un'ottima protezione per un sito WordPress. Cambiamo definitivamente indirizzo. Non ho selezionato questa casella perché il mio ha cambiato automaticamente questa pagina durante l'installazione del sistema.


Protezione contro gli attacchi di forza bruta tramite cookie

Non ho attivato questa impostazione poiché esiste la possibilità di bloccarmi quando accedo da dispositivi diversi.

CAPTCHA per l'accesso

Se ci sono molti utenti sul tuo sito o hai un negozio online, puoi abilitare Captcha quando accedi in qualsiasi momento.


Protezione captcha durante l'autorizzazione

Lista bianca per l'accesso

Accedi all'area amministrativa solo dal computer di casa e sei l'unico utente del tuo sito? Quindi inserisci il tuo indirizzo IP e a tutti gli altri verrà negato l'accesso alla pagina di autorizzazione.

La sicurezza del tuo blog deve essere affrontata fin dall’inizio, senza rimandare al vago “vado avanti e inizio”. Inoltre, ora di fronte a te istruzioni dettagliate su come proteggere un sito Web WordPress da hacking, virus e altri problemi.

Pensavo alla sicurezza, ma non così seriamente. E dopo questo articolo sul sito web di A. Borisova, ha preso la questione sul serio. Ho trovato tutto su Internet aree problematiche sistemi e metodi per la loro eliminazione. Si è rivelato un articolo piuttosto lungo con 14 punti!

Come proteggere un sito web su WordPress

1. Modificare il login standard. La prima cosa che fanno gli hacker è superare accessi così popolari come amministratore, utente, moderatore, amministratore. Se usi uno di questi, hai fatto metà del lavoro per gli aggressori. L'amministratore viene utilizzato particolarmente spesso: breve, facile da ricordare, puoi immediatamente vedere che è importante, quindi i proprietari del sito non lo modificano in qualcosa di più complesso.

Esistono molte opzioni per modificare questo login, ma la più semplice è:

  • Vai al pannello di amministrazione, vai alla sezione Utenti - fai clic su Aggiungi.
  • Crea un login complesso per il nuovo utente (puoi semplicemente impostare lettere e numeri) e seleziona Ruolo - Amministratore.
  • Disconnettersi dall'utente corrente (seleziona Esci in alto a destra).
  • Accedi con il nuovo utente appena creato.
  • Lavora da questo account: crea nuovi articoli, modifica quelli vecchi, aggiungi/rimuovi plugin. In generale, controlla se ha davvero tutti i poteri di Amministratore.
  • Elimina un utente con il nickname admin.

2. Imposta una password complessa– questo è esattamente il caso in cui non puoi utilizzare la tua password standard sotto forma di qwerty. Devi trovare una password unica, molto complessa, di 20 caratteri con maiuscole e minuscole diverse, numeri e simboli diversi. Se hai paura di dimenticare, scrivilo su un quaderno di carta. Ma non memorizzarlo sul tuo computer. Puoi leggere come creare una password complessa in questo articolo.

Una password complessa dovrebbe essere utilizzata non solo per l'area amministrativa di WordPress, ma anche per altri servizi legati al sito: posta, hosting, ecc.

3. Nascondere il login– non importa quanto tu provi a trovare un login super complesso, c’è una scappatoia che ti permette di vederlo e copiarlo. Per fare ciò, inserisci http://your_domain.ru?author=1 nella barra degli indirizzi, sostituendo il tuo dominio. Se il collegamento non diventa /author/admin, dove admin è tuo nuovo accesso, allora è tutto a posto.

Ma se il tuo login è ancora visualizzato lì, devi nasconderlo urgentemente utilizzando un comando speciale nel file Functions.php:

/* Sostituzione del login nei commenti */
funzione del_login_css($css) (foreach($css as $key => $class) (
if(strstr($class, “comment-author-enter_valid_login”)) (
$css[$key] = 'autore-commento-enter_fictitious_login'; ) )
restituire $css; )
add_filter('comment_class', 'del_login_css');

Ora impostiamo il reindirizzamento a pagina iniziale, per fare ciò è necessario aprire il file .htaccess nella cartella root (usando filezilla), e qui dopo la riga

RewriteRule. /index.php[L]

Aggiungi questo testo:

RedirectMatch Permanente ^/author/real_login$ http://tuo_dominio.ru

4. Aggiorniamo WordPress in modo tempestivo. Di tanto in tanto compaiono nuove versioni, le notifiche appaiono direttamente nel pannello di controllo. Effettua una copia di backup del sito, aggiorna e verificane la funzionalità. Più è nuovo, più difficile è hackerare il sistema: compaiono nuovi livelli di protezione e le vecchie tecniche di hacking non funzionano.

5. Nascondi la versione WordPress da occhi indiscreti. Per impostazione predefinita, queste informazioni vengono visualizzate nel codice della pagina e gli aggressori non dovrebbero divulgarle. Conoscendo la tua versione, sarà più facile per lui riconoscere le lacune e hackerare il sistema.

Quindi apri Functions.php per la modifica e quindi aggiungi la riga:

rimuovi_azione('wp_head', 'wp_generator');

Questa semplice funzione impedisce la visualizzazione dei dati del sistema.

6. Elimina License.txt e Readme.html dalla cartella principale. Non sono necessari da soli, ma possono essere utilizzati per leggere facilmente le informazioni sul tuo sistema e scoprire la versione di WordPress. Appaiono di nuovo automaticamente se aggiorni WordPress. Quindi pulisci i tuoi file ogni volta che installi gli aggiornamenti.

7. Nascondi le cartelle wp-include, wp-content e wp-content/plugins/. Innanzitutto, controlla se il contenuto di queste cartelle è visibile agli altri. Basta inserire il tuo dominio nei collegamenti e aprire i collegamenti nel tuo browser:

  • http://tuo_dominio/wp-include
  • http://tuo_dominio/wp-content
  • http://tuo_dominio/wp-content/plugins

Se quando vai su queste pagine vedi cartelle e file, allora devi nascondere le informazioni. Questo viene fatto in modo molto, molto semplice: crea un file vuoto chiamato index.php e inseriscilo in queste directory. Ora, quando vai, questo file si aprirà, ad es. Pagina vuota senza alcuna informazione.

8. Non installare temi gratuiti- questo è già da esperienza personale informazioni, anche se tutti ne scrivono. Ma ho deciso di bypassare il sistema e ho installato un tema gratuito da Internet sull'altro mio sito web: mi è piaciuto davvero. E all'inizio andava tutto bene.

Circa sei mesi dopo, ho iniziato a controllare i collegamenti in uscita dal sito e ho trovato 3 collegamenti strani. Non sono riuscito a trovarli sulle pagine stesse: erano nascosti in modo molto astuto. Dopo aver studiato il problema, ho scoperto che si tratta di un problema molto comune quando il codice per il posizionamento remoto dei collegamenti è incorporato in modelli gratuiti. Ci ho messo una serata intera, ma ho risolto il problema e ora va tutto bene. Ma quanti danni potrebbe causare!

9. Installa i plugin necessari per la protezione, ma assicurati di installarlo dal sito Web ufficiale ru.wordpress.org o dal pannello di controllo.

  • Limita tentativi di accesso: per limitare i tentativi di accesso. Se inserisci login e password errati per 3 volte, l'accesso verrà bloccato per N minuti/ore. Sei tu a impostare il numero di tentativi e il tempo di blocco.
  • Wordfence Security è un plug-in per verificare la presenza di virus e modifiche dannose nel codice in un sito Web. Per iniziare, basta installare e fare clic su Scansione. Ma dopo aver controllato è consigliabile disabilitarlo per non creare ulteriore carico sul sito. Controlla la presenza di virus nel tuo blog almeno una volta al mese.
  • WordPress Backup del database– invia automaticamente una copia di backup del database del tuo sito via email. Puoi impostare tu stesso la frequenza: una volta al giorno o settimanalmente.
  • Rinomina wp-login.php – cambia l'indirizzo di accesso al pannello di controllo dallo standard http://tuo_dominio/wp-admin.
  • Attacco anti-XSS: protegge il blog dagli attacchi XSS.

10. Controlla la presenza di virus nel tuo computer– a volte i virus provengono direttamente dal tuo computer. Quindi installa un buon programma antivirus e aggiornalo tempestivamente.

11. Effettua backup sistematici– utilizzando il plugin WordPress Database Backup o manualmente. Per alcuni hoster ciò avviene automaticamente, quindi puoi ripristinare il sito in qualsiasi momento in caso di problemi.

12. Lavora con un hoster fidato, perché la sicurezza di un sito web dipende in gran parte dalla qualità dell'hosting. Mi sono trasferito a Makhost un mese fa e la differenza con il precedente si nota (ho descritto il passaggio in questo articolo). Non lo consiglio vivamente, dato che sono con loro solo da poco tempo, anche se il mio amico è con loro da un anno e non potrebbe essere più felice. In generale, non accettare tariffe per 100 rubli per motivi di risparmio, quindi puoi pagare a caro prezzo.

13. Caselle di posta diverse per il sito e l'hosting. È molto semplice rimuovere una casella di posta da WordPress, quindi puoi hackerarla e ottenere l'accesso ai dati. E se l'hosting è legato ad esso, non sarà difficile cambiare la password e prendere il sito per te. Quindi crea un hosting box separato in modo che nessuno lo sappia o lo veda.

14. Collegare un indirizzo IP dedicato, in modo da non essere adiacenti a siti porno, siti con filtro o virus. Quindi, se ne hai l’opportunità, ottieni un IP separato in modo da non doverti preoccupare. Tra l'altro nel mondo dei blogger circolano voci non confermate secondo cui un IP dedicato migliorerebbe il posizionamento nei risultati di ricerca.

Ora sai di più modi semplici come proteggere un sito web su Wordpress e sarai risparmiato dalle minacce banali. Ma oltre a questo ci sono tanti altri pericoli dai quali non è così facile salvarsi. È proprio per situazioni così gravi che Yuri Kolesov ha creato il corso”