Защита сайта на WordPress от взлома: популярные шаги и лучшие плагины для защиты сайта на движке ВордПресс

Всем привет! Сегодня я решил затронуть такую важную тему, как защита сайта на WordPress. Она достаточно актуальна, учитывая, что многие новички об этом забывают или ставят пару плагинов и думают, что сделали все от них зависящее. Поэтому, я решил расписать все доступные способы, которыми пользуюсь сам и о которых узнал от других блогеров. Готовы? Тогда начнем.

Как защитить сайт на WP от взлома

Итак, что же необходимо предпринять, чтобы обезопасить сайт и админку от посягательства злобных хакеров?

1. Изменить стандартный логин и пароль от админки.

Банальный, но крайне важный пункт. По умолчанию, у вас может быть создан логин admin, о котором знают все хакеры и подбирать пароли будут именно к нему. Чтобы такого не происходило, заходите в панель управления вашего хостинг-провайдера, переходите в базу MySQL, авторизуйтесь в phpMyAdmin, найдите таблицу базы, нажмите на wp_users. В строке admin нажмите изменить и впишите новый логин. Скрины не прикладываю, как показала практика расположение может отличаться и я вас только запутаю.

Пароль от админки меняется из этой самой административной панели. Просто перейдите «Пользователи» — «Ваш профиль» и пролистайте вниз. Там увидите необходимые поля и дальше уже следуйте подсказкам системы.

Старайтесь раз в полтора – два месяца менять пароль.

2. Поставьте плагин, ограничивающий количество попыток входа в админку.

Чтобы хакеры не могли заняться перебором ваших паролей, необходимо установить плагин Login LockDown или Limit Login Attempts. В настройках выставляем количество попыток ввода логина и пароля, а так же время, на которое будет заблокирована попытка повторного входа в систему.

3. Поставьте плагин iThemes Security.

Еще один плагин для защиты сайта на WordPress. Он очень мощный и используется многими известными блогерами.

После установки и грамотной настройки, он запрещает перебор логина и пароля в админку, следит за изменениями файлов в системе, убирает подсказки при ошибках ввода логина и пароля, шлет уведомления о подозрительной активности, делает бекабы и присылает их на электронку. И это только малая часть доступного функционала.

4. Установите плагин для защиты вашей базы.

Установите плагин WP Database Backup – он позволяет делать ежедневные резервные копии базы на случай ЧП. Лично я делаю дополнительные копии 1-го числа каждого месяца и скидываю их себе на флешку и переносной жесткий диск.

5. Измените логин и пароль для вашей учетной записи хостинг-провайдера.

Даже потрать вы кучу времени на защиту админки сайта, если взломают личный кабинет хостинг-провайдера, все труды пойдут насмарку.

Кстати, если ваш IP статичен, можно поставить вход только по нему. Если нет — настройте двухфакторную аутентификацию.

6. Удалите файлы readme.html и license.txt.

Зайдите в корень вашего сайта, найдите там файлы readme.html и license.txt и удалите их. Лично я на всякий случай сделал копии к себе на компьютер, но за два года они так и не пригодились.

7. Проверяйте компьютер на вирусы.

Иногда вирусы приходят как раз с компьютера. Так что регулярно проверяйте его антивирусом.

8. Своевременно обновляйте плагины и версию движка WordPress.

При обновлении плагинов и движка часто закрывают некоторые дыры в защите.

Никогда не скачивайте плагины и темы из непроверенных источников, они могут содержать вредоносный код!

9. Избавляйтесь от неиспользованных плагинов.

Как я сказал чуть выше – в них могут быть дыры в защите, которыми недоброжелатели с радостью воспользуются.

10. Не используйте FTP.

Это соединение не защищено. Используйте только SFTP-соединение.

11. Уберите возможность регистрации пользователей.

Для этого перейдите в «Настройки» — «Общие» и уберите галочку «Любой может зарегистрироваться».

12. Сделайте двухфакторную аутентификацию для входа в админку.

Она выглядит, как еще одно окно для ввода логина и пароля. В итоге, если кто-то захочет вас взломать, ему придется справиться сначала с одной авторизацией, а потом штурмовать вторую.

13. Проверьте видимость файлов и плагинов.

Попробуйте набрать в адресной строке http://ваш блог/wp-content/plugins/ или http://ваш блог/wp-content/. Если у вас открылись файлы или какие-нибудь папки, необходимо в каждой из директорий создать пустой файл index.php. Файлик создается в любом текстовом редакторе, после чего сохраняете его и меняете расширение. Затем проверяете. Если все хорошо, должны открыться пустые страницы.

14. Регулярно проверяйте сайт на вирусы.

Это делается довольно просто. Можно поставить специальный плагин AntiVirus, а после проверки его удалить, чтобы не грузить лишний раз сайт. Ну, или воспользоваться специальной услугой у хостинг-провайдера. Единственное, не уверен, что все хостеры её предоставляют.

15. Проверьте шаблон темы на вредоносный код и ссылки.

Это делается при помощи специального плагина Theme Authenticity Checker (TAC). Ставите его на сайт, активируете и перейдите «Внешний вид» — «TAC». Если все окей, то вы увидите следующее:

Есть и аналог с более подробной информацией – VIP Scanner. Можете опробовать оба и выбрать тот, что вам больше понравится.

Кстати, как и в случае с антивирусом, держать его установленным смысла нет. Достаточно поставить один раз в месяц для проверки.

Заключение

Выполнив эти шаги, защита вашего сайта на движке WordPress будет максимально эффективной. Конечно шанс, что взломают все равно останется, но он будет очень близок к нулю. Если вы вдруг знаете другие эффективные способы защиты — делитесь ими в комментариях. Уверен, читатели моего блога скажут вам за это спасибо.

На этом все. Подписывайтесь, рассказывайте друзьям и до встречи в следующих статьях! Пока-пока!