Матеріали 

Єдиний працюючий антивірус для WordPress. Найкращі WordPress-плагіни для захисту від вірусів Встановлення та налаштування AntiVirus

Система управління контентом WordPress, через свою величезну популярність, також приваблює до себе і недоброзичливців. Крім того, "двигун" поширюється безкоштовно, тому ще більше схильний до ризику порушення безпеки. Сам WordPress є досить безпечним програмним продуктом. "Дірки" починають відкриватися, коли користувач встановлює плагіни та теми.

Небезпека плагінів і тем

На жаль, не завжди можна бути впевненими в безпеці та невинності тим чи плагінів. Їхні платні версії мають цілком конкретних розробників, які дорожать своєю репутацією. У результаті їх продукти вищої якості, і можливість отримати разом з ними якийсь шкідливий код досить низька. Але, як підказує наш життєвий досвід, із будь-якого правила є винятки. Деякі додають цілком нешкідливий код для забезпечення зворотного зв'язку, інші роблять це зовсім інших цілей. Навіть у самому "движку" іноді виявляють уразливості, які дозволяють зловмиснику впровадити свій код у її ядро.

Плагіни для захисту від вірусів

На щастя, для WordPress існує і ціла низка корисних рішень, здатних повністю просканувати Ваш ресурс на предмет уразливостей і шкідливого коду і в разі виявлення вказати конкретне місце їх "проживання" або повністю знешкодити. Розглянемо кілька досить якісних та надійних плагінів для захисту Вашого WordPress-сайту.

Sucuri Security

Безкоштовний плагін Sucuri Security є лідируючим інструментом у сфері безпеки, завдяки чому використовується величезною кількістю користувачів WordPress. Рішення забезпечує сайтам кілька видів та рівнів захисту, серед яких можна виділити такі:

  • сканування всіх файлів на наявність шкідливого коду;
  • стеження за цілісністю файлів;
  • протоколювання всіх операцій, пов'язаних із безпекою;
  • виявлення та повідомлення про ризик попадання сайту до чорних списків ESET, Norton, AVGта ін.;
  • автоматичне виконання певних дій у разі виявлення злому.

Wordfence Security

Wordfence Security - рішення, що виконує глибоку перевірку веб-ресурсу на предмет вразливостей та шкідливого коду не тільки у файлах тем і плагінів, але й у самому ядрі "движка".

Плагін використовує WHOIS-Сервіси для моніторингу з'єднань. Завдяки вбудованому фаєрволу він здатний блокувати цілі мережі. Як тільки буде виявлено мережеву атаку, миттєво відбувається автоматичне оновлення набору правил брандмауера для найбільш ефективного протистояння загрозам.

AntiVirus

Плагін AntiVirus займається тим, що щоденно сканує всі файли сайту (включаючи теми, базу даних) та відправляє email-Звіт на задану адресу. Крім того, AntiVirusпроводить сканування та очищення слідів також при видаленні плагінів.

Quttera Web Malware Scanner

До списку сканування та виявлення потужного сканера Quttera Web Malware Scanner входять такі вразливості:

  • шкідливі скрипти;
  • троянські хробаки;
  • програми-шпигуни;
  • бекдори;
  • експлойти;
  • редиректи;
  • шкідливі iframes;
  • обфускація та ін.

Крім цього списку, плагін перевіряє на наявність сайту в чорних списках.

Anti-Malware Security and Brute-Force Firewall

Доповнення Anti-Malware Security and Brute-Force Firewal l покликане сканувати та знешкоджувати відомі на сьогодні вразливості, включаючи скрипти backdoor. Антивірусні бази плагіна автоматично оновлюються, що дозволяє виявляти найсвіжіші віруси та експлойти. Плагін має вбудований фаєрвол, що блокує мережеві загрози.

Особливістю плагіна є надання додаткового захисту для сайту (захист від brute-force-, DDoS-Атак, а також перевірка цілісності ядра WordPress). Для цього необхідно просто зареєструватися на сайті gotmls.net.

WP Antivirus Site Protection

Антивірус WP Antivirus Site Protection сканує всі важливі, з точки зору безпеки, файли сайту, включаючи теми, плагіни та файли, що завантажуються в папці uploads. Знайдений шкідливий код та віруси будуть негайно видалені або переміщені до карантину.

Exploit Scanner

Плагін Exploit Scanner займається виключно виявленням підозрілого коду (файли сайту та база даних). Як тільки що-небудь буде виявлено, адміністратор сайту відразу буде повідомлено про це.

Centrora WordPress Security

Комплексне рішення Centrora WordPress Security є багатогранним інструментом захисту веб-ресурсу від усіх типів загроз. Воно включає наступні функції:

  • пошук шкідливого коду, спаму, SQL-ін'єкцій;
  • наявність брандмауера;
  • наявність сканера перевірки прав доступу;
  • виконання резервного копіювання.

Натисніть, будь ласка, на одну з кнопок, щоб дізнатися чи сподобалася стаття.

Мені подобається Не подобається

Існує безліч плагінів для безпеки WordPress, із заявленими функціями антивірусу. І багатьох із них дійсно вирішують низку потенційних уразливостей у даній CMS. Наприклад Wordfence Security, AntiVirus, Anti-Malware та ще десятки аналогічних.

Але як антивірус вони абсолютно непридатні. Адже це плагіни. Будь-який антивірус «замикає» ті чи інші частини файлової системи справляється з ними. Безкоштовний антивірус – це взагалі міф. Постійне оновлення вірусної бази, сканування зі стороннього сервера інші потреби явно будуть споживати ресурси розробника. Так що будь-яка людина, яка встановлює черговий безкоштовний плагін WordPress-антивіруса, явно обманює себе і створює ілюзію безпеки.

Коли мої сайти були заражені, я почав копатись у інструментах для лікування. Справжніх, не плагінів, виявилося реально мало. З них у мене заробив лише один. Причому він більш-менш вирішив проблеми та досі чесно проводить щоденне сканування. Це…

ВірусДай – чому працює?

  • Це хмарний антивірус, що не лежить у папці з вашим сайтом
  • Автоматичне лікування вірусів
  • Робить бекапи файлів до лікування та зберігає їх у себе
  • Вбудована файлова система
  • Великий живий проект: ведуть відносини з CloudLinus, Reg.ru та інші

Як підключити сайт до антивірусу?

У формі вводимо адресу домену і натискаємо «Продовжити самому». Далі потрібно підключити сервер VirusDie до свого, для цього нам пропоную зробити синхронізацію. Є 2 варіанти:

  • Вручну. Завантажити PHP-файл для синхронізації та самостійно додати його до кореневої папки сайту.
  • Автоматично. Вказати FTP-доступ (сервер, логін та пароль).
  1. Як часто сканувати сайт: раз на 6 або 12 годин або 1 раз на день
  2. Включити/вимкнути фаєрвол
  3. Підключити експертне обслуговування із гарантією відсутності вірусів

В принципі, все, відразу запускається сканування. Можна зробити це вручну, натиснувши зелений кружечок. Якщо під час сканування були виявлені проблеми – ВірусДай спробуємо вилікувати. Якщо не зможе (у мене таке було – 1/50) – покаже на заражені рядки коду у файловому менеджері та спробує ідентифікувати вид зараження.

Щоденне сканування

Скільки коштує безпека з

Підключення одного сайту на рік = 1499 рублів. Після 3-х сайтів за цією ціною, можна підключати наступні по 249р. Наприклад: 1499 x 3 + 249 x 7 = 6240 рублів на рік за 10 сайтів.

Є експертне обслуговування по 4900 (6 місяців) та 9990 (12 місяців) рублів. Там вам вимірюватимуть тиск і слідкуватимуть, щоб ви не подавилися оливковою кісточкою.

CMS WordPress є добре захищеною системою, але у будь-якій системі можна знайти вразливі місця. Розробники WordPress намагаються зробити захист CMS надійнішим з кожним новим випуском, але зловмисники також не сидять склавши руки. Тому, для захисту свого сайту від злому, вірусів та атак вам доведеться вживати деяких заходів самостійно.

Я можу дати кілька практичних порад щодо захисту WordPress, які допоможуть вам захистити WordPress сайт від базових загроз, вірусів та атак.

Основні заходи щодо захисту WordPress

Захистити WordPress від базових загроз не складно, для цього достатньо вжити деяких заходів. Для того, щоб спростити поставлене завдання, я рекомендую скористатися плагіном "Better WP Security".

Після встановлення та активації плагіна на WordPress, пройдіть в адмінку сайту на сторінку налаштувань "Better WP Security", та створіть резервну копію бази даних, про всяк випадок.

Потім, для того щоб дозволити плагіну робити зміни у файлах вашого сайту та движка, ви повинні дати дозвіл, натиснувши на відповідну кнопку.


На наступній станиці, щоб захистити сайт від базових атак, необхідно включити цю опцію, натиснувши на відповідну кнопку.


Але ще не все. Після того, як ви виконаєте перші вимоги плагіна, перед вами відкриється таблиця, в якій будуть вказані всі потенційні точки вразливості вашого сайту. Для захисту вашого WordPress сайту необхідно виправити всі недоліки захисту.

Усунення вразливостей WordPress

Перед вами відкриється приблизно наступна таблиця вразливостей, в якій червоним кольором підсвічені критичні вразливості, а жовтим і синім не критичні вразливості, але їх також потрібно усувати.

Наприклад, я взяв стандартний незахищений блог на WordPress. Давайте разом усунемо всі відомі нам уразливості у WordPress.


1. Перевірка складності пароля всім користувачів

Щоб забезпечити складними паролями всіх користувачів, потрібно виправити першу вразливість. Пройдіть за посиланням "Натисніть, щоб виправити" і на сторінці виберіть пункт як на малюнку знизу "Strong Password Role - Subscriber". Тим самим, паролі всіх ваших користувачів проходитимуть перевірку складності.


2. Забираємо додаткову інформацію із заголовка WordPress

WordPress публікує в заголовку сайту багато додаткової інформації, якою можуть скористатися зловмисники. Щоб видалити подібну інформацію, поставте галочку у відповідному полі. Але будьте уважні, ця дія може спричинити непрацездатність деяких додатків та сервісів, які будь-яким чином звертаються до вашого блогу через протокол XML-RPC.


3. Приховуємо оновлення від неадміністраторів

Третій пункт у нас гаразд, якщо у вас не так, то рекомендую вам приховати доступні оновлення від неадміністраторів. Вашим користувачам ця інформація все одно буде марною, а ось зловмисники можуть нею скористатися.

4. Змінити логін адміністратора

Обліковий запис адміністратора WordPress за замовчуванням має логін admin, і про це всі знають. Тому ваш сайт зламати простіше. Щоб ускладнити злом сайту, рекомендую перейменувати ваш адміністраторський обліковий запис. Для цього перейдіть за посиланням "Клікніть тут, щоб перейменувати адміністратора" та введіть нове ім'я адміністратора у відповідне поле.


5. Змініть ID адміністратора

Аккаунту адміністратора за замовчуванням присвоюється і ID=1, що також свідомо відомо зловмисникам, тому цей параметр потрібно змінити. Плагін better wp security замінить ID адміністратора за один клік.

6. Змінити префікс таблиць бази даних WordPress

За змочуванням таблиці бази даних WordPress мають префікс wp_. Рекомендується змінити префікс на будь-який інший. Навіть якщо ваша база даних вже заповнена інформацією, то плагін better wp security змінить префікс таблиць вашої бази без втрати даних. Рекомендовано перед цим процесом зробити резервну копію бази даних, що ми й зробили на самому початку.


7. Сплануйте створення резервних копій

Для регулярного створення резервної копії вашої бази даних, задайте деякі умови та введіть ваш e-mail, куди будуть надсилатися копії бази даних. Таким чином, ви в будь-який час зможете відновити базу даних з копії, при необхідності.


8. Заборонити доступ до адмінки у певний час

Цей параметр не є критичним, але, все ж таки, якщо ви переживаєте за безпеку вашого WordPress сайту, то мабуть варто заборонити хаотичний доступ до адмінки, і дозволити доступ тільки в певний час, наприклад, у той час, коли ви збираєтеся працювати з сайтом.

9. Заблокуйте підозрілі хости

Якщо ви знаєте IP адреси підозрілих хостів, з яких може бути здійснена атака на ваш сайт, то занесіть ці IP адреси в бан лист, і доступ до сайту з цих IP буде закрито.

10. Захистити логін від перебору

За умовчанням плагін захищає логін від перебору і після трьох невдалих спроб блокує IP адресу.

11. Приховати адмінку WordPress

Цей пункт не є критичним, але все ж таки буде корисно приховати адмінку WordPress. Приховування WordPress адмінки відбувається шляхом перейменування директорії з панеллю адмін. Фізично адмін панель лежатиме в тій же папці, але за адресою http://ваш_сайт.ru/wp-admin вона буде недоступна.


Приховайте адмін панель WordPress, для цього введіть нові імена для директорій у відповідні поля та поставте галочку для увімкнення даної опції.


12. Захистити файл.htaccess та приховати каталоги від перегляду

Рекомендую вам приховати каталоги сайту від вільного перегляду та захистити файл.htaccess. Також ви можете заборонити виконувати різні запити на сайт через адресний рядок. Нагадую, що дані дії можуть викликати конфлікт із деякими плагінами та темами.


18. Забороняємо запис файлів wp-config.php та.htaccess

Деякі пункти були за промовчанням виконані, тому пропоную вам виконати найважливіший 18 пункт захисту, який допоможе заборонити перезапис файлів wp-config.php та.htacces. Цей пункт дуже важливий, тому що від збереження файлів wp-config.php та.htacces може залежати працездатність вашого сайту.


20. Перейменувати папку з вмістом wp-content

Також можна перейменувати папку з основним вмістом сайту wp-content. Нестандартне розміщення файлів ускладнить зловмисникам доступ до них.

Мене зламали. Знаєте як сторінку у ВКонтакті. Але вони не клянчили грошей, а натворювали безліч "лівих" сторінок із посиланнями на різні сайти. Тоді я замислився над захистом свого блога. І я знайшов ідеальне рішення.

Перше що я зробив це звернувся до техпідтримки з проханням відновити мій сайт за день до злому і вже за десять хвилин у мене був мій нормальний блог.

Потім я встановив багато плагінів для захисту ВордПреса від злому. Але блог став страшно гальмувати. Сторінки завантажувалися по п'ять десять секунд. Це дуже довго.

Я почав шукати плагіни, які не так сильно навантажують систему. Читав відгуки по цих плагінах і все частіше став натрапляти на All In One WP Security. За описом він мені дуже сподобався, і я вирішив поставити його собі на блог. І він захищає мене досі, тому що нічого кращого я не зустрічав.

Що вміє All In One WP Security (захист Wordpress все в одному):

  • Робить резервні копії бази даних файлу конфігурації wp-config. та файлу.htaccess
  • Зміна адреси сторінки авторизації
  • Приховує інформацію про версію WordPress
  • Захист адмінки – блокування при неправильній авторизації
  • Захист від роботів
  • І ще багато чого корисного

Я сміливо можу сказати, що плагін безпеки All In One WP Security – це найкращий захист wordpress сайту.

Налаштування All In One WP Security

Зайшовши до відділу Налаштування, насамперед потрібно зробити резервні копії:

  • база даних;
  • файл wp-config;
  • файл htaccess

Робиться це на першій сторінці налаштування плагіна All In One WP Security.

Зробіть бекап (резервну копію) перед початком роботи

Пройдуся тільки найважливішими пунктами.

пункти налаштування плагіна all in one wp security

Панель управління

Тут нас зустрічає лічильник "Вимірник безпеки". Він вказує рівень захисту сайту. Ваш сайт має бути як мінімум у зеленій зоні. Не треба гнатися за максимальною планкою – зайві налаштування можуть порушити функціонал сайту. Досягніть золотої середини.


Лічильник захисту сайту на wordpress

Коли ви змінюватимете налаштування захисту плагіна, то побачите в кожному пункті зелений щит із цифрами – це і є ті цифри, які додаються до загального рахунку безпеки.


цифра додається до загального рахунку безпеки

Налаштування

Вкладка WP Version Info

Очікуємо галочку Видалення метаданих WP Generator.


Видалення метаданих WP Generator

Робиться це для того, щоб у коді не відображалася встановлена ​​у вас версія движка WordPress. Зловмисники знають, у якій версії є вразливості, і знаючи встановлену у вас версію ВордПреса зможуть швидше зламати ваш сайт.

Адміністратори

Ім'я користувача WP

Якщо у вас логін для входу в адмінку admin, обов'язково змінюємо його. Admin це найпопулярніший логін. Багато ЦМСки пропонують його за замовчуванням, а людям просто ліньки його міняти.
Зловмисники використовують різноманітні програми для зламування сайтів. Ці програми підбирають логіни та паролі поки не знайдуть відповідну комбінацію.
Тому не використовуйте логін admin.

Відображене ім'я

Якщо ваш нік збігається з логіном, то обов'язково міняємо логін чи нік.

Пароль

Якщо ввести тут свій пароль, то плагін покаже, за який час можна зламати ваш сайт.
Рекомендації щодо посилення надійності пароля:

  • Пароль повинен складатися з літер та цифр
  • Використовуйте малі та прописані літери
  • Не використовуйте короткі паролі (мінімум 6 символів)
  • Бажана наявність у паролі спецсимволів (%#_*@$ та докладних)
Складність пароля

Авторизація

вкладка Блокування авторизацій

Обов'язково вмикаємо. Якщо протягом 5 хвилин хтось неправильно введе пароль 3 рази, IP заблокується на 60 хвилин. Можна поставити і більше, але краще не робити. Може статися так, що ви самі неправильно введете пароль і потім чекатимете місяці або навіть роки:)
Зазначаємо галочку “Одразу заблокувати неправильні імена користувача”.
Допустимо ваш логін hozyainsayta, і якщо хтось введе інший логін (наприклад login), його IP адреса автоматично заблокується.


опції блокування авторизації

Автоматичне розлогінівання користувачів

Ставимо галочку. Якщо ви зайдете в адмінку сайту з іншого комп'ютера і забудете вийти з адмінки, то через вказаний проміжок часу система сама вас розлогінить.
Я ставлю 1440 хвилин (це 24 години).


Опції автоматичного розлогування користувачів

Реєстрація користувачів

Вручну підтвердження

Чекаємо "Активувати ручне схвалення нових реєстрацій"


Ручне схвалення нових реєстрацій

CAPTCHA під час реєстрації

Теж ставимо галочку. Це відсікає спроби зареєструватись боту-роботу, тому що роботи не справляються з капчею.

Registration Honeypot (бочка меду)

Зазначаємо. І не залишаємо роботам жодного шансу. Ця установка створює додаткове невидиме поле (типу Введіть текст). Це поле бачать лише роботи. Оскільки вони автоматично заповнюють усі поля, то й у це поле щось напишуть. Система автоматично блокує ті спроби реєстрації, у яких буде заповнено це поле.

Захист бази даних

Префікс таблиць БД

Якщо ваш сайт існує вже досить давно і на ньому багато інформації, то змінювати префікс бази даних слід максимально обережно

обов'язково зробіть резервну копію БД

Якщо ви щойно створили свій сайт, можете сміливо змінювати префікс.


Префікс таблиць Бази даних

Резервне копіювання бази даних

Включаємо автоматичне створення бекапів.
Вибираємо частоту створення резервних копій.
І кількість файлів із цими резервними копіями, які зберігатимуться. Потім вони почнуть перезаписуватись.
Якщо ви хочете, щоб ці файли додатково надсилалися на вашу електронну пошту, то відзначаємо відповідну галочку. У мене для цих цілей у поштовій скриньці заведено окрему папку, туди пересилаються всі бекапи (моїх та клієнтських сайтів).


Налаштування резервного копіювання Бази даних

Захист файлової системи

Тут змінюємо права доступу до файлів, щоб усе було зеленим.


Редагування файлів php

Ставимо у тому випадку, якщо ви не редагуєте файли через адмінку. Взагалі вносити якісь зміни у файли потрібно через програми ftp-менеджери (типо файлзила). Так у разі якогось “косяка” завжди можна скасувати попередню дію.

Забороняємо доступ. Цією дією ми зможемо приховати важливу для хакерів інформацію.

Чорний список

Якщо у вас вже є IP адреси, якими ви хочете заборонити доступ до сайту, то включайте цю опцію.


Блокування користувачів по IP

Файрволл

Базові правила файрволу.

Файрволл і брандмауер це програмний комплекс, що є фільтром несанкціонованого трафіку.

Ці правила вносяться до файлу.htaccess, тому спочатку робимо його резервну копію.

Тепер можна проставити потрібні галочки:


Активувати основні функції брандмауера
Захист від вразливості XMLRPC та Pingback WordPress
Блокувати доступ до debug.log

Додаткові правила файрволу

На цій вкладці відзначаємо наступні галочки:

  • Вимкнути можливість перегляду директорій
  • Вимкнути HTTP-трасування
  • Заборонити коментарі через проксі
  • Заборонити шкідливі рядки у запитах (Може порушити функціональність інших плагінів)
  • Активувати додаткову фільтрацію символів (Тож діємо з обережністю, треба дивитися як впливає на працездатність сайту)
      Кожен пункт має кнопку “+ Докладніше” там ви можете почитати докладно про кожну опцію.

6G Blacklist Firewall Rules

Зазначаємо обидва пункти. Це перевірений список правил, який дає плагін для безпеки wordpress сайту.


Налаштування файрволу (брандмауера)

Інтернет-боти

Можуть виникнути проблеми з індексацією сайту. Я цю опцію не вмикаю.

Запобігти хотлінкам

Ставимо галочку. Щоб зображення з вашого сайту не показувалися на інших сайтах за прямим посиланням. Ця функція знижує навантаження із сервера.

Детектування 404

Помилка 404 (такої сторінки немає) з'являється при помилковому введенні адреси сторінки. Хакери перебором намагаються знайти сторінки з уразливістю і тому вводять багато неіснуючих урлів у короткий проміжок часу.
Такі спроби злому будуть заноситися в таблицю на цій сторінці та чекнувши галочку – ви зможете блокувати їх IP адреси на вказаний час.


Установки відстеження помилок 404

Захист від брутфорс-атак

За замовчуванням у всіх сайтів на Вордпресі однакова адреса сторінки авторизації. І тому зловмисники точно знають, де почати зламувати сайт.
Ця опція дозволяє змінити адресу цієї сторінки. Це дуже добрий захист wordpress сайту. Обов'язково міняємо адресу. Я цю галочку не відзначив, бо мій автоматично змінив мені цю сторінку під час установки системи.


Захист від брутфорс-атак за допомогою куки

Я не став включати це налаштування, так як є можливість блокування самого себе при вході з різних пристроїв.

CAPTCHA на логін

Якщо на вашому сайті багато користувачів або у вас інтернет-магазин, можете включати Капчу при авторизації у всіх пунктах.


Захист капчів під час авторизації

Білий список для логіну

Заходьте до адмінки тільки з домашнього комп'ютера і ви єдиний користувач свого сайту? Тоді впишіть свою адресу АйПі і всім іншим доступ до сторінки авторизації буде закрито.

Безпекою вашого блогу потрібно займатися із самого початку, не відкладаючи це на розпливчасте «розкручусь і займуся». Тим більше, що зараз перед вами докладна інструкція про те, як захистити сайт на wordpress від злому, вірусів та інших неприємностей.

Я раніше думала про безпеку, але не так серйозно. А після цієї статті на сайті Борисова підійшла до справи серйозно. Знайшла в інтернеті всі проблемні місця системи та методи їх усунення. Вийшла досить велика стаття із 14 пунктів!

Як захистити сайт на wordpress

1. Змінити стандартний логін.Насамперед хакери пробивають такі популярні логіни як admin, user, moderator, administrator. Якщо ви використовуєте один з них, то ви зробили за зловмисників половину роботи. Особливо часто використовується admin - короткий, легко запам'ятовується, відразу видно, що важлива шишка, тому власники сайтів не змінюють його на щось складніше.

Існує багато варіантів, як змінити цей логін, але найпростіший:

  • Зайти до адмінки, зайти до розділу Користувачі – натиснути Додати.
  • Придумати новому користувачеві складний логін (можна просто набір літер-цифр) і вибрати Роль – Адміністратор.
  • Вийти з поточного користувача (вправо вибрати Вийти).
  • Зайти під новим користувачем, якого ви створили.
  • Попрацювати з цього облікового запису: створити нові статті, відредагувати старі, додати/видалити плагіни. Загалом перевірити, чи справді він має всі повноваження Адміністратора.
  • Видалити користувача з ніком admin.

2. Ставимо складний пароль- Це саме той випадок, коли використовувати свій стандартний пароль у вигляді qwerty не можна. Потрібно вигадати унікальний пароль, дуже складний, з 20-символів з різним регістром, цифрами та різними символами. Якщо боїтеся забути, запишіть у паперовий блокнот. Не зберігайте його на комп'ютері. Як вигадати складний пароль можна прочитати в цій статті.

Складний пароль має бути не тільки в адмінку Wordpress, але і для інших сервісів, пов'язаних з сайтом: пошта, хостинг і т.п.

3. Приховуємо логін- Як би ви не намагалися придумати супер складний логін, існує лазівка, що дозволяє побачити його та скопіювати. Для цього введіть адресний рядок http://Ваш_домен.ru?author=1, підставивши ваш домен. Якщо посилання не перетворюється на /author/admin, де admin ваш новий логін, значить все гаразд.

Але якщо все ж таки там відображається ваш логін, потрібно терміново його приховати за допомогою спеціальної команди у файлі functions.php:

/* Підміна логіну в коментарях */
function del_login_css($css) (foreach($css as $key => $class) (
if(strstr($class, «comment-author-впишіть_діючий_логін»)) (
$css[$key] = 'comment-author-впишіть_вигаданий_логін'; )
return $css; )
add_filter('comment_class', 'del_login_css');

Тепер налаштовуємо переадресацію на головну сторінку, для цього потрібно відкрити файл.htaccess у кореневій папці (за допомогою filezilla), і тут після рядка

RewriteRule. /index.php [L]

Додати цей текст:

RedirectMatch Permanent ^/author/реальний_логін$ http://Ваш_домен.ru

4. Вчасно оновлюємо WordPress.Іноді з'являються нові версії, повідомлення висять прямо на панелі керування. Зробіть резервну копію сайту, оновіть та перевірте працездатність. Чим новіший, тим складніше зламати систему – з'являються нові рівні захисту, і старі методики злому не працюють.

5. Приховуємо версію WordPress від чужих очей.За промовчанням ця інформація відображається в коді сторінок, а зловмисникам не варто її повідомляти. Знаючи вашу версію, йому буде легше розпізнати проломи та зламати систему.

Так що відкрийте functions.php для редагування, а потім додайте рядок:

remove_action('wp_head', 'wp_generator');

Ця проста функція забороняє виводити дані про систему.

6. Видаляємо license.txt та readme.htmlз кореневої папки. Самі по собі вони не потрібні, але за допомогою їх можна легко прочитати інформацію про вашу систему і дізнатися версію WordPress. Вони автоматично з'являються знову, якщо ви оновите wordpress. Отже, чистіть файли щоразу, коли встановите оновлення.

7. Приховуємо папки wp-includes, wp-content та wp-content/plugins/.Для початку перевірте, чи є вміст цих папок стороннім. Просто підставте в посилання ваш домен і відкрийте в браузері посилання:

  • http://Ваш_домен/wp-includes
  • http://Ваш_домен/wp-content
  • http://Ваш_домен/ wp-content/plugins

Якщо при переході на ці сторінки ви бачите папки та файли, потрібно приховати інформацію. Робиться це дуже просто - створіть порожній файл з назвою index.php і помістіть в ці директорії. Тепер під час переходу відкриватиметься цей файл, тобто. порожня сторінка без будь-якої інформації.

8. Не ставте безкоштовні теми- Це вже з особистого досвіду інформація, хоча про це пишуть усі і кожен. Але я вирішила обійти систему, і поставила на інший свій сайт безкоштовну тему з інтернету - дуже вона мені сподобалася. І спершу все було добре.

Приблизно через півроку я стала перевіряти вихідні посилання із сайту, і виявила 3 ​​незрозумілі посилання. Знайти їх на самих сторінках я не змогла - дуже хитро їх сховали. Після вивчення питання знайшла інформацію, що це дуже поширена проблема, коли безкоштовні шаблони вбудовують код для віддаленого розміщення посилань. Довелося витратити цілий вечір, але проблему виправила і тепер усе гаразд. Але скільки шкоди це могло завдати!

9. Встановіть потрібні плагіни для захистуале обов'язково встановлюйте з офіційного сайту ru.wordpress.org або з панелі керування.

  • Limit Login Attempts – обмеження спроб авторизуватися. Якщо 3 рази неправильно ввести логін та пароль, доступ буде заблоковано на N хвилин/годин. Ви самі встановлюєте кількість спроб та час блокування.
  • Wordfence Security – плагін для перевірки сайту на віруси та шкідливі зміни у кодах. Для запуску достатньо встановити та натиснути Scan. Але після перевірки бажано вимкнути, щоб не створювати додаткове навантаження на сайт. Перевіряйте блог на віруси хоча б один раз на місяць.
  • WordPress Database Backup – автоматично надсилає на пошту резервну копію бази даних вашого сайту. Регулярність можна встановити самостійно – щодня чи щотижня.
  • Rename wp-login.php – змінює адресу входу до панелі керування зі стандартного http://Ваш_домен/wp-admin.
  • Anti-XSS attack – захищає блог від XSS-атак.

10. Перевірте комп'ютер на віруси- Іноді віруси приходять прямо з вашого комп'ютера. Тож поставте хорошу антивірусну програму та своєчасно оновлюйте її.

11. Систематично робіть резервні копії– або за допомогою плагіна WordPress Database Backup або вручну. У деяких хостерів це відбувається автоматично, тому ви в будь-який момент можете відновити сайт при проблемах.

12. Працюйте з перевіреним хостером, адже багато в чому безпека сайту залежить від якості хостингу. Я місяць тому перебралася на Макхост і різниця з попереднім відчутна (переїзд описала в цій статті). Рекомендувати наполегливо не буду, тому що я з ними зовсім недовго, хоча подруга з ними рік і натішитися не може. Загалом не беріть тарифи за 100 рублів для економії, потім можна дорого поплатитися.

13. Різні поштові скриньки для сайту та хостингу. З вордпреса дуже просто витягнути поштову скриньку, потім його можна зламати та отримати доступ до даних. А якщо хостинг прив'язаний до нього, не важко буде змінити пароль і забрати сайт собі. Так що заведіть окрему скриньку для хостингу, щоб ніхто її не знав і не бачив.

14. Підключіть виділену IP адресу, щоб не бути сусідами з порно-сайтами, сайтами під фільтром або з вірусами. Так що, якщо у вас є можливість - отримайте окремий IP, щоб не хвилюватися через це. До речі, у сфері блогерів ходять непідтверджені чутки, що виділений IP покращує позиції у пошуковій видачі.

Тепер ви знаєте найпростіші способи як захистити сайт на wordpress, і від банальних загроз будете позбавлені. Але, крім цього, існує ще багато інших небезпек, від яких так просто не врятувати. Саме для таких серйозних ситуацій Юрій Колесов створив курс «