Безопасность WordPress — советы и рекомендации. Ломаем и защищаем WordPress своими руками Создайте отдельный аккаунт с правами редактора

Установка wordpress - это первый шаг создания сайта. Что вы делаете после установки WordPress? Это общий вопрос, который задают начинающие. В этой статье я покажу вам топ-10 самых важных вещей, которые вы должны сделать сразу после того, как установите WordPress. 1. Изменение название, слогана, часового пояс, и Faviconа Первые три шага могут быть объединены...

Возможно Вас также заинтересует:

Как сделать Фавикон для сайта

Фавиконом называется это красивый значок, который Все видят возле названия сайта в браузере. Фавикон позволяет выделиться сайту, как в закладках браузера, так и в...

Как украсить сайт к Новому Году

Новый год не за горами. Давайте обсудим тему - Как украсить сайт к Новому году.

Б ольшинство людей думают, что их веб-сайт WordPress был безопасен только потому, что он не имеет какого-либо контента который стоит взломать. К сожалению, это не так. Сайты часто взламывают, например для распространения спама. Или ядро и файлы темы заполнены вредоносным кодом, чтобы заразить и взломать компьютеры вашего посетителя сайта. Вполне возможно, что вы только заметили повреждение, когда Google или Yandex уже пометили ваш сайт или удалили его из индекса. Не позволяйте этому случиться, и рассмотрите мои советы для идеального wp-config.php.

Есть много способов защитить свой веб – сайт на основе WordPress от взлома. Оптимизация можно считать важной частью правильной стратегии безопасности. Конечно, сайт не превратится в Банк, но вы сделали это немного сложнее для хакеров.

Для оптимизации wp-config.php, используются так называемые константы. WordPress имеет много констант, которые могут быть использованы. Но что такое константа? PHP.net описывает константы следующим образом:

Константа является идентификатором (именем) для простого значения. Как следует из названия, это значение не может изменяться в ходе выполнения скрипта (для магических констант, которые не являются на самом деле, кроме как константы). Константа чувствительна к регистру по умолчанию. По соглашению, постоянные идентификаторы всегда в верхнем регистре.PHP.net

Константы встроены в функции define(), и выглядят следующим образом: define("NAME_OF_THE_CONSTANT", value);

wp-config.php является файл управления для WordPress. Он загружается раньше всех других файлов, так как WordPress должен настроить подключение к базе данных. Необходимая информация находится в конфигурационном файле. При изменении значения константы, или добавления константы, вы можете также изменить поведение WordPress.

До работы: пожалуйста, создайте резервную копию wp-config.php

Перед тем, как браться за редактирование файла wp-config.php, создайте резервную копию этого файла. Ваш сайт не будет работать с неправильными или отсутствующими записями.

Важно: Всегда делайте обновление WordPress и плагинов

Вы, наверное, слышали это несколько раз уже. Но этот аспект настолько важен, что я не могу повторять это достаточно часто. Тонны сайтов взломали, потому что WordPress или подключаемые модули не были обновлены. Обновления лучшая страховка от взлома!

Ситуация в сфере безопасности:

Специалистов в области безопасности Sucuri в настоящее время предупреждают о недостатка безопасности в популярном плагине Jetpack для WordPress. Вредоносный код может быть реализован с помощью шорткод-встраиваемой-функции. Automattic будут действительно реагировать скоро и выпустят новую версию.

Как закрыть брешь в безопасности на данный момент:

Если вы будете использовать , вы не в опасности. Там, большой брандмауэр 6G, который может парировать этот тип атак.

Подготовка:

Для всех последующих работ, вам понадобится программа , а также редактор HTML. wp-config.php загружается на рабочий стол, и редактируется в HTML-редакторе, и загружается обратно на сервер.

1 – Используйте ключи безопасности

Ключи безопасности в WordPress имеют решающее значение, как шифровать такие вещи, как информацию для входа в куки. Даже если в вашем wp-config.php уже есть , замена их через некоторое время не может повредить. Когда ключи изменяются, вто все пользователи выходят из своих сайтов. После этого вы сможете заново войти в систему, используя имя пользователя и пароль.

Тем не менее, если сайт уже взломали, вы должны сначала удалить вредоносный код с вашего сайта. Руководство по этому можно найти в дополнительной информации по этому аспекту. После этого посетите генератор для ключей защиты WordPress, и скопируйте новый набор. Заменить старую часть замените новыми – снимок экрана просмотра:

Если вы еще не реализовали ключи безопасности, то это подходящее время, чтобы сделать это.

Дополнительная информация:

2 – принудительное использование HTTPS

Сертификат SSL шифрует соединение между вашим сайтом и браузерами посетителя. HTTPS делает невозможным для хакеров ловушку и кражи персональных данных. Если у вас уже есть сертификат SSL для вашего сайта, вы можете принудительно использовать HTTPS вместо HTTP. Это увеличивает безопасность вашего сайта значительно. Если у вас нет сертификата SSL, тем не менее, вы должны серьезно рассмотреть возможность использования одного.

Вы не должны бояться крупных затрат, так как .

Следующие записи должны быть использованы, когда ваш сайт уже использует SSL. Верхний вход предназначен для защищенного входа в систему, в то время как самый низкий заставляет браузер, заставляет использовать только SSL.

В каждой установке WordPress, можно отредактировать тему и файлы плагина непосредственно в зоне администратора. В пунктах меню “Внешний вид” и “Плагины” вы найдете соответствующий редактор для каждого файла. Этот редактор очень опасен, если попадет в руки хакеров. Данные могут быть уничтожены, и вирусы, трояны, спам и другие вредоносные программы могут быть добавлены. Но редактор также имеет важное значение для администратора веб-сайта. Единственная ошибка, одна точка с запятой отсутствует все, что нужно для пресловутых белых страниц, чтобы показать, и ничего не будет работать больше.

3 – Изменение префикса базы данных

Приставка базы данных также известна под маркой “префикс таблиц” . Этот префикс используется в качестве расширения каждой таблицы базы данных, порожденного WordPress. Здесь стандарт wp_ . Этот стандарт должен быть изменен на что – то другое. Чем больше загадочными, тем лучше. Не волнуйтесь; Вам не нужно помнить, что вы вводили здесь. Это значение помещается один раз.

Думая об этом, возможность инъекции SQL снижается вплоть до нуля. Но это возможно. Таким образом, измените значение перед установкой WordPress. Используйте что – то вроде fdf2a7r_ , например.

Внимание: Если вы измените значение уже существующей установки WordPress, веб-сайт не будет доступен!

Если вы хотите изменить префикс таблиц существующего сайта WordPress, плагин Acunetix WP Security может помочь вам. Он позволяет изменять значение легко, и все, что вам нужно сделать, это снова войти в систему. Тем не менее, вы все равно должны создать резервную копию заранее .

4 – Выключить редакторы плагинов и темы

Изменения в теме или в файлах плагинов, как правило, производится с помощью (S) FTP, так как это гораздо безопаснее. Таким образом, редакторы должны быть выключены. Одной строки в wp-config.php достаточно, чтобы безопасно отключить оба редактора:

5 – Переместить wp-config.php

wp-config.php является сердцем вашего сайта. Все соответствующие данные, включая пароли базы данных, вводятся туда. Вот почему крайне важно сохранить этот файл как можно более безопасным. Существуют два подхода для этого. Первый блок доступа с помощью файла.htaccess. Второй подход перемещает файл в другое место, где хакер не будет его ожидать.

• Перемещение это может быть проблематичным, если сайт находится на суб-домене, и вы используете дешевый виртуальный хостинг.
• Это также может стать жестко, если у вас есть много веб-сайтов в пользовательских каталогах. Если ни одно из пунктов относится к вам, вы можете переместить файл.

6 – форсирует использование FTPS

Если ваш веб-хостинг активировал протокол передачи файлов Secure (FTPS), вы можете принудительно использовать FTPS для передачи файлов. Он будет шифровать связь между посетителем и сервером. Теперь, невозможно получить доступ к данным на сервере с небезопасного протокола . FTP является небезопасным, так как доступ к информации передается на сервер в незашифрованном виде. Таким образом, если это возможно, использовать только безопасное соединение через FTPS. Ваш веб-хостинг может сказать вам, если подключение FTPS возможно.

Принуждение использование FTPS, это просто:

7 – принудительное использование SFTP

Вместо протокола FTPS, некоторые хостеры активировали протокол SFTP для передачи данных. Здесь связь между пользовательской программой FTP и сервером также шифруется. Следующая строка кода позволяет принудительно использовать SFTP:

8 – Отключение режима отладки

Если вы включили режим отладки WordPress для целей развития, жизненно важно, чтобы его выключить. В некоторых случаях режим активной отладки может передать конфиденциальные данные, которые могут помочь хакерам делать свое дело. Именно поэтому режим отладки активируется чрезвычайно опасно на живой системе. Я сделал этот маленькой, тупой ошибкой; люди быстро забывают вещи. Вот почему вы должны оперативно принять меры, чтобы проверить. Отключить режим отладки:

9 – Выключите индикацию ошибок PHP

Если по какой-то причине вам нужен режим отладки, чтобы он был активирован, я рекомендую выключая публичный показ сообщений об ошибках. Соответствующие сообщения об ошибках также могут быть записаны в журнал, который не доступен для широкой публики. Это гораздо безопаснее, и более элегантный вариант. Эта константа требуется для выхода из режима WordPress ошибок, а также запретить отображение об ошибке сторонним лицам:

10 – Включение функции автоматического обновления

Как я уже упоминал ранее, немедленно обновить ядро WordPress, и все плагины, это имеет решающее значение для обеспечения безопасности системы. С каждым выпуском новой версии WordPress, пробелы безопасности своих предшественников выкладывают в интернет. Это дает хакеру прочный фундамент, чтобы иметь возможность взломать ваш сайт. Таким образом, эти недостатки должны быть устранены как можно быстрее.

Такие как WordPress версии 3.7, имеют более мелкие обновлений безопасности и осуществляются автоматически. Тем не менее, это не так для первичных версий основных обновлений. Основные версии по-прежнему должны быть обновлены вручную. Тем не менее, активизируя автоматические обновления для всех версий WP очень легко:

Кстати, это также можно обновлять автоматически с помощью плагинов. Тем не менее, это связано с небольшим количеством работы. Это требует создания плагина:

Этот плагин должен быть перемещен в папку /wp-content/mu-plugins/ . Если папка не существует, просто создайте ее. Папка /mu-plugins/ содержит “используемые” плагины. Его содержимое загружается всеми с другими плагинами.

Автоматическое обновление темы может быть сделано таким же образом. Для этого, плагин должен быть расширен с помощью следующей строки:

Пожалуйста, получите информацию об этих автоматических плагинов заранее, и используйте только код, если вы точно знаете, что он делает. Конечно, два фильтра только в состоянии поддерживать плагины и темы до настоящего времени, которые происходят из официального релиза WordPress. Темы и плагины от другого источника конечно не будут обновляться.

Дополнительная информация:

Вывод

Все эти аспекты вместе уже повысят безопасность вашего WordPress намного и должны быть частью хорошей стратегии безопасности. Тот факт, что WordPress является самой популярной в мире системы управления контентом привлекает многих хакеров. Ситуацию можно сравнить с компьютером ОС Windows. В операционной системе Windows, установить антивирусное программное обеспечение, и WordPress занимает немного ручной работы. Но выигрыш в безопасности, безусловно, стоит этого.

Если вы постоянно обновляете свой WordPress, вы уже участвуете в повышении безопасности своего сайта. Но этого мало. О безопасности WordPress нужно начинать думать, с момента ее установки. Кстати, для безопасности обновлять систему лучше автоматически, используя обновление из панели администратора.

Безопасность WordPress на этапе установки

При установке вы меняете файл wp-config.php , не забудьте установить ключи безопасности.

На странице установщика, с вводом данных администратора сайта, обязательно поменяйте имя администратора, с admin, на любое другое имя. Также генерируйте сложный пароль для авторизации администратора. Ограничений по количеству знаков в пароли нет. Используйте в пароле буквы, цифры, знаки препинания. Чем сложнее пароль, тем лучше. Попробуйте генератор паролей: http://randstuff.ru/password/

Эти меры безопасности, лежат на поверхности, и ими не стоит ограничиваться, если радеете за безопасность своего веб-приложения.

Повышаем безопасность WordPress в его каталоге.

Права CHMOD

Права CHMOD это права доступа к файлам и каталогам вашего сайта. По умолчанию, после установки системы, устанавливаются права CHMOD на файлы 644, на каталоги 755.

Никогда не оставляйте права CHMOD 666 и 777. Тем самым вы сами откроете доступ к каталогам и файлам своего сайта.

Включите SFTP вместо FTP

Работая с сайтом WordPress вам не обойтись без соединения с каталогом сайта по FTP. Об уязвимости FTP соединений знают уже 23 года. Одни безопаснее, другие опаснее для взлома.

• Не используйте анонимное соединение по FTP, оно небезопасно. Для соединения аккаунт FTP клиента должен иметь имя, и пароль доступа. Создается FTP аккаунт в административной панели сервера (хостинга).
• Для безопасности, лучше использовать не FTP, а SFTP соединение для передачи данных на сервер сайта.

Начните использовать безопасный протокол передачи файлов (SFTP) вместо FTP при доступе к сайту. Подключение по SFTP простое, и хорошие веб-провайдеры должны включать его по умолчанию. Все, что вам нужно сделать, это попросить в support своей хостинг компании, номер порта для шифрованного соединения SFTP, а затем измените настройки в вашем FTP приложении (на фото программа FileZilla). Скорее всего, это порт: 22.

Можно не обращаться к провайдеру, а попробовать соединиться по SFTP самостоятельно. FTP приложение, будет использовать для шифрованного соединения порт не 21, а 22. Если на хостинге SFTP соединение разрешено, то после вашего разрешения, вы соединитесь по SFTP со своим сервером.

Сделайте безопасным файл wp-config.php

Содержит слишком много «секретной» информации, чтобы оставлять его без защиты. Об установке ключей безопасности и переименовании префикса «wp_» таблиц базы данных, я уже сказал. Все эти изменения отразятся в файле wp-config.php .

Теперь спрячем файл wp-config.php .

Вариант 1. Система WordPress, с версии 2.6, если не находит файл wp-config.php в корневом каталоге сайта, автоматически ищет его в каталоге высшего уровня. Если находит его там, то без проблем открывает сайт и его административную часть.

Поэтому, если вы пользователь на сервере сайта, с допуском к каталогу высшего уровня, то смело перемещайте Файл wp-config.php в каталог выше корневой папки сайта. Если у вас такого допуска нет, то при попытке переместить этот файл по FTP, у вас получится неудавшаяся передача файлов.

Приведу пример.

• Корневая папка сайта тут: /domains/domen.ru/public_html;
• Каталог высшего уровня тут: /domains/domen.ru/.
• Права пользователя выставляются в панели хостинга (сервера), при создании FTP аккаунта, фото:

Перетягиваете wp-config из корневого каталога в папку домена .

Вариант 2. Если у вас нет доступа к каталогу высшего уровня, защитите файл wp-cofig в файле.htaccess . Этот файл вы должны были создать после установки WP, из файла htaccess.txt .

Вставьте в верх файла.htaccess такие строчки:

Следите, чтобы файл wp-config.php и.htaccess были в одной папке.

Вариант3. Если на сервере есть SSL шифрование данных, то можно добавить в файл wp-config.php следующую строку:
define("FORCE_SSL_ADMIN", true);e>
Она включит шифрование для админки WP.

Маскируем другие папки WordPress

В каталоге WordPress две основные папки, которые интересны взломщикам: wp-content/themes/ и wp-content/plugins/.

Попробуйте открыть в браузере эти папки, то есть введите в адресную строку:

• Ваш-домен/ wp-content/plugins/ , затем;
• Ваш-домен/wp-content/themes/.

Если вы видите белый лист или 404 ошибку, то ваши папки защищены.

Если вы видите список каталогов и файлов, то папки открыты для всех.

Чтобы их замаскировать создайте пустой файл Index.html и положите его по FTP в эти папки. Это замаскирует эти папки, но не спрячет от продвинутых взломщиков.

Защитить их можно строкой: Options -Indexes , добавленную в конец файла.htaccess . После добавления строки, сделайте контрольную проверку. Вы должны попасть на 404 страницы.

Важно! Все защиты в файле.htaccess , имеют место, если вы не используете плагины безопасности на своем WordPress, а пытаетесь защититься самостоятельно.

Другая защита безопасности WordPress

Удалите пользователя с именем admin. Если под этим именем писались статьи, то сделайте следующее:

• Входите на вкладку: Пользователи;
• Создаете нового администратора;
• Удаляете администратора: admin. При удалении admin, перенаправляете все публикации admin на нового администратора.

• Уберите с сайта виджет «Мета» с прямой регистрацией пользователей. Замените «Мета» на подписку по email;
• Для параноиков: отмените регистрацию пользователей вообще. Вкладка→Настройки→Общие→Членство (очистить чекбокс).

Из статьи вы узнаете:

1. Используйте хороший логин.

Защита сайта на WordPress начинается с элементарного — создания хорошего логина. Устанавливая WordPress, пользователи часто используют логин, который программа установки предлагает по умолчанию, а именно – admin . Это то, что проверяют боты, ищущие дыры в безопасности вашего сайта, в первую очередь. Используя этот логин, вы уже предоставляете половину необходимой информации для хакеров, и им остается только подобрать пароль.

Если вы уже установили платформу и работаете над вашим сайтом, то вряд ли вам захочется удалять установку и начинать всё с чистого листа, чтобы использовать более надежный логин. Выход есть:

Шаг 1 – Создание нового пользователя

Войдите в административную панель WordPress и создайте новую учётную запись с более сложным логином, наделенную полным доступом ко всем функциям сайта, то есть правами администратора.

В главном меню слева выберите Пользователи >> Добавить нового .

Введите всю необходимую информацию для нового пользователя, определив его роль как «Администратор» и нажмите «Добавить нового пользователя» .

Шаг 2 – Удаление пользователя admin

После этого выйдите из системы управления, войдите под новой учетной записью и удалите пользователя admin из системы одним из способов:

Способ 1 – В главном меню слева выберите Пользователи >> Все пользователи . Наведите на имя пользователя admin , и вы увидите функцию «Удалить» .

Способ 2 — В главном меню слева выберите Пользователи >> Все пользователи . Найдите пользователя admin , отметьте его галочкой и из выпадающего меню «Действия» выберите «Удалить» . После этого нажмите на опцию «Применить» под списком пользователей. Эта опция удобна, если вам необходимо удалить сразу несколько пользователей.

Так же вы можете изменить имя пользователя admin через запрос к базе данных:
UPDATE wp_users SET user_login = ‘новый_логин’ WHERE user_login = ‘admin’;

У данного способа есть минус: автор для постов, написанных пользователем admin , не будет изменен. Для того, чтобы это исправить, необходимо сделать еще один запрос к базе данных:
UPDATE wp_posts SET post_author = ‘новый_логин’ WHERE post_author = ‘admin’;

2. Используйте сложный и уникальный пароль.

Защита админки WordPress, конечно, невозможна без сложного хорошего пароля. Важно, чтобы он был уникальным и включал в себя цифры, буквы разных регистров, знаки пунктуации, символы и прочее. Пароли типа: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, дата вашего рождения и т.д. – не являются надежными, но многие пользователи продолжают их использовать. Пример хорошего пароля: pcVaOF8r39. Конечно, вам сложно будет запомнить такой пароль, но для этого существует ряд программ, которые хранят и генерируют пароли, а также могут быть интегрированы в интерфейс вашего браузера (например, Password Agent, KeyPass, Roboform и т.д.)

Если вы все же хотели бы помнить свои пароли наизусть, рекомендуем создавать комбинированный пароль из хорошо знакомого вам названия/слова с несколькими большими буквами/цифрами в случайных местах и несколькими специальными символами в начале или конце. Такой пароль также будет сложен для подбора, но его будет достаточно легко запомнить.

Не забывайте регулярно обновлять свои пароли.

3. Обновляйте версию WordPress.

WordPress заботится о своих пользователях, и поэтому в административной панели управления вы можете найти уведомления о выходе новой версии. Рекомендуем совершить обновление, как только вы увидите его, поскольку одной из самых распространенных брешей в защищенности вашего сайта является использование устаревшей версии платформы.

4. Скрывайте версию WordPress.

WordPress по умолчанию добавляет номер текущей версии в исходный код своих файлов и страниц. И поскольку довольно часто не всегда удается вовремя обновлять версию WordPress, это может стать слабым местом вашего веб-сайта. Зная, какая у вас версия WordPress, хакер может принести много вреда.

С помощью файла functions.php можно запретить вывод информации о версии вашей платформы. Для этого вам необходимо открыть файл functions.php , расположенный в корневой папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_wordpress) , и добавить следующий код:
remove_action(‘wp_head’, ‘wp_generator’);

Или же можно добавить следующий код в файл functions.php :

/* Hide WP version strings from scripts and styles
* @return {string} $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings($src) {
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if (!empty($query[‘ver’]) && $query[‘ver’] === $wp_version) {
$src = remove_query_arg(‘ver’, $src);
}
return $src;
}
add_filter(‘script_loader_src’, ‘fjarrett_remove_wp_version_strings’);
add_filter(‘style_loader_src’, ‘fjarrett_remove_wp_version_strings’);

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() {
return »;
}
add_filter(‘the_generator’, ‘wpmudev_remove_version’);

Помимо вышесказанного, в папке любой темы WordPress, вы найдете header.php файл. В нём также указывается версия вашей установки, что для хакера является очень интересным, как упоминалось ранее. Удалив следующую строку из файла, вы избавитесь от этой лишней информации:

” />

5. Скачивайте темы и плагины с надежных ресурсов.

WordPress является настолько распространенным, что всё больше разработчиков создают для него готовые темы и плагины. В то время как большинство из них облегчат работу с вашим сайтом и расширят его функциональность, некоторые могут скрывать в себе весьма неприятные последствия в виде вирусов и открывать двери для хакеров. Используйте только проверенные ресурсы для скачивания тем и плагинов, например, wordpress.org , а также обращайте внимание на все появляющиеся предупреждения о вредоносности файлов. Как и в случае с самим WordPress, важно вовремя обновлять плагины до последних версий.

6. Не храните ненужные файлы.

Неактивные расширения могут представлять серьезную угрозу для безопасности вашего сайта. Поэтому смело удаляйте все неиспользуемые плагины и темы. Например, вы устанавливали , чтобы потестировать и выбрать тот, который будете использовать. После выбора не забудьте удалить все ненужные.

7. Регулярно проверяйте свой локальный компьютер на наличие вирусов.

Осуществление различных шагов по обеспечению безопасности сайта на WordPress – это хорошо, но и за компьютером необходимо следить. У вас должен быть установлен постоянно обновляемый антивирус. В противном случае, вы рискуете заразить ваш веб-сайт, загрузив на него вирусные файлы.

8. Делайте резервные копии сайта.

Не все атаки злоумышленников возможно предупредить, но всего лишь одна успешная атака может уничтожить все усилия по работе над вашим сайтом. Советуем делать регулярные резервные копии веб-сайта. Многие хостинговые компании предоставляют опцию серверных резервных копий и в случае чего, вы сможете восстановить сайт из копии, которая доступна на сервере.

Установив плагин WordPress Database Backup, вы дополнительно сможете обезопасить базу данных вашего сайта. Настройки плагина позволяют установить опцию ежедневной отправки резервной копии базы данных на ваш контактный почтовый ящик.

9. Используйте защищенное соединение.

Если вы предпочитаете загружать ваши файлы с помощью FTP-клиента, используйте защищенный протокол соединения к серверу SFTP.

10. Создайте.htaccess файл.

Код, который блокирует доступ к директории /wp-content:

Order deny,allow
Deny from all

Allow from all

Эта папка является одной из самых важных, поскольку содержит темы, плагины, изображения и прочий контент.

Код, защищающий от хотлинкинга:

RewriteEngine On
RewriteCond %{HTTP_REFERER} !^http://(.+\.)?yourdomain\.com/
RewriteCond %{HTTP_REFERER} !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Хотлинкинг – это вставка изображения с вашего сервера на чужой сайт\блог. Трафик же при этом идет непосредственно на ваш сервер.

При помощи кода, указанного выше, вы можете заставить сервер проверить, откуда именно пришел запрос: если со страниц вашего веб-сайта, то сервер отдает изображение пользователю без проблем; если же с чужого веб-сайта – то показывает изображение с ошибкой.

11. Измените префикс таблиц базы данных.

Защита WordPress от хакеров также усилится, если убрать первоначальный префикс wp_ — это усложнит поиск для злоумышленников. Рассмотрим несколько способов:

Способ 1 – Подходит для новых установок через Softaculous
Если ваш хостинг-провайдер предоставляет вам возможность использования скрипта Softaculous для установки WordPress, то изменить префикс вы можете во время первоначальной установки: в секции Advanced Options вам необходимо будет внести требуемые изменения.

Способ 2 – Для уже работающих сайтов и свежих установок WordPress
Если ваш WordPress давно установлен и сайт работает, то вы можете поменять префикс с помощью программы phpMyAdmin.

Выберите необходимую базу данных из списка и сделайте следующий запрос к базе данных:

RENAME table `wp_commentmeta` TO `newprefix_commentmeta`;
RENAME table `wp_comments` TO `newprefix_comments`;
RENAME table `wp_links` TO `newprefix_links`;
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

где «newprefix_» необходимо заменить на новый префикс, который вы хотите использовать вместо префикса «wp_» .

После этого вы увидите новый префикс в таблицах базы данных:

Чтобы убедиться, что все изменения прошли успешно и префикс wp_ больше не используется в таблице _options и _usermeta , вам необходимо будет сделать еще один запрос к базе данных:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE ‘%wp_%’

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE ‘%wp_%’

В результате вы можете найти ряд префиксов, которые вам необходимо будет переименовать вручную с помощью кнопки Изменить :

Количество изменений, которые вам необходимо будет внести, может различаться. Но все префиксы wp_ вы должны изменить на ваш новый префикс для нормального функционирования веб-сайта.

После этого не забудьте также внести изменения префикса в wp-config.php файле:

Вы также можете использовать специальные плагины для изменения префикса базы данных: Change DB prefix или Change table prefix.

12. Ограничивайте количество попыток доступа.

Чаще всего злоумышленники делают огромное количество попыток входа на ваш сайт, подбирая пароль. Вы можете настроить систему таким образом, чтобы IP-адрес был заблокирован на несколько часов после определенного количества неудавшихся попыток входа.

Для этого вы можете использовать дополнительные плагины, например, Login LockDown или Limit Login Attempts. В настройках этих плагинов, вы можете самостоятельно установить количество попыток входа и время блокировки.

Дополнительно существует возможность убрать отображение сообщения о том, что введенный логин и пароль неверен. Ведь это тоже информация, которая может помочь злоумышленнику.

Чтобы убрать вывод этого сообщения, необходимо открыть файл functions.php , расположенный в папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_WordPress) и добавить такой код:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));

13. Удалите readme.html и license.txt.

Файлы readme.html и license.txt присутствуют в корневой папке любой установки WordPress. Вам эти файлы ни к чему, а хакерам они могут облечить их злодеяния. Например, чтобы выяснить текущую версию вашего WordPress и много чего другого полезного для взлома веб-сайта. Рекомендуем удалить их сразу же после установки WordPress.

14. Используйте SSL-сертификат.

Для передачи защищенной информации и конфиденциальности обмена данными, рекомендуем использовать SSL-протокол. Особенно это актуально для интернет-магазинов, если вы не хотите, чтобы личные данные о ваших клиентах передавалась незащищенным путем.

Прежде всего вам необходимо будет и установить его для вашего доменного имени.

После этого вы сможете установить обязательное использование SSL-протокола при входе в панель управления вашим сайтом. Для этого откройте wp-config.php файл, расположенный в корневой папке вашего веб-сайта, и добавьте следующую строку:
define(‘FORCE_SSL_ADMIN’, true);

15. Измените файл wp-config.php.

Добавив такой код в wp-config.php файл, вы так же сможете укрепить защиту вашего веб-сайта:

Ограничение на изменения темы и плагинов:
define(‘DISALLOW_FILE_EDIT’, true);

Отключение возможности установки и удаления плагинов:
define(‘DISALLOW_FILE_MODS’, true);

Добавление salt-ключей или так называемых ключей безопасности: сначала необходимо будет найти такие строки в wp-config.php файле:

Вы увидите, что ключи уже установлены и их можно поменять. Либо вы увидите строки такого типа: ‘put your unique phrase here’, что говорит о том, что ключи пока не установлены:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

О некоторых плагинах хочется упомянуть отдельно:

Это плагин безопасности WordPress, который позволяет сканировать ваш веб-сайт с целью поисков вредоносного кода, брешей и лазеек, оставленных хакерами, показывая аналитику сайта и трафика в реальном времени. Также существует возможность настройки автоматического сканирования и многое другое.

Этот плагин проверяет ваш веб-сайт на различные уязвимости в безопасности и предлагает ряд методов по их устранению. Например, пароли, разные права доступа к файлам, защита баз данных, защита информации о версии WordPress, защита администратора и прочее.

Этот плагин позволяет обезопасить пользовательские аккаунты и логины, базы данных и файловую систему, предотвратить брутфорс атаки (атаки, связанные с подбором пароля), сканировать сайт и прочее.

Как бы грустно это ни звучало, но защита WordPress — вещь сложная, и описанные в этой статье способы не гарантируют на 100%, что ваш сайт будет полностью защищен от каких-либо действий мошенников. Однако, пренебрегать ими не стоит, так как они значительно уменьшат возможность взлома сайта злоумышленниками.

Рекомендуем почитать

Программы

Как узнать номер Sony imei, все способы для любого телефона Как найти телефон сони если потерял

Драйвера

Галерея Xiaomi: как открыть доступ Showforum галерея закрыта нет разрешения

Драйвера

Как зарабатывать на облачном майнинге без вложений - самые выгодные способы без вложений

Драйвера

История Internet Explorer

Драйвера

Как на компьютере вернуть последнее действие

Советы

Как подключить и платить с помощью Apple Pay: будущее наступило