Способы защитить свой блог WordPress

WordPress имеет репутацию небезопасного. Большинство владельцев веб-сайтов считают, что природа платформы с открытым исходным кодом делает ее уязвимой для любых атак и нарушений безопасности. Однако это далеко не так. Большинство нарушений безопасности WordPress происходят из-за человеческого фактора. Таким образом, вы можете защитить любой веб-сайт WordPress, если примете те же меры предосторожности, что и на любой другой платформе. Хотя ни одна платформа не идеальна, вы можете защитить свой блог WordPress, если будете следовать нескольким мерам предосторожности.

Защита страницы входа для предотвращения атак грубой силы

Страница входа в WordPress является самой атакуемой функцией платформы. Это дверь в административную часть вашего сайта. Из-за этого хакеры пытаются взломать его. Хотя вы должны использовать пользовательскую страницу входа, если вы должны использовать то, что дает вам WordPress, вы можете защитить свой блог следующими способами.

Добавьте функцию блокировки и заблокируйте пользователей

Плагины блокировки предотвращают атаки грубой силы, блокируя сайт после обнаружения повторяющихся неудачных попыток входа в систему. Затем вы получите уведомление об этих несанкционированных входах в систему. Хотя большинство плагинов безопасности предлагают эту функцию, вам нужен тот, который также позволяет заблокировать IP-адрес злоумышленника.

Используйте двухфакторную аутентификацию

Двухфакторная аутентификация (2FA) также является очень эффективной мерой безопасности. Он использует вход в систему с использованием двух разных компонентов. Вы, как владелец веб-сайта, решаете, что это за компоненты. У вас есть возможность использовать пароль и секретный вопрос, код, символы или мобильные приложения для аутентификации, такие как приложение Google Authenticator.

Сделайте идентификаторы электронной почты вместо имен пользователей

Адреса электронной почты уникальны, поэтому их трудно предсказать. WordPress требует уникальный адрес электронной почты для каждой учетной записи. Таким образом, имеет смысл использовать его и в качестве идентификатора учетной записи.

Переименуйте URL-адрес для входа

Если вы не можете добавить плагин к своей установке, вы всегда можете просто изменить веб-адрес страницы входа. Это простая функция, которая сделает ваш сайт на 99% более безопасным.

Безопасные пароли

Смена и использование надежных паролей — всегда хороший совет для любого веб-сайта, WordPress или любого другого. Фактически, вы должны использовать эту практику со всеми своими учетными записями, а не только с собственным веб-сайтом. Регулярная смена пароля имеет смысл.

Выход из системы бездействующих пользователей

Когда пользователи оставляют ваш сайт открытым на своих экранах, они представляют угрозу безопасности. Любой может зайти и изменить информацию. Они могут даже изменить учетную запись пользователя или захватить весь веб-сайт. Вы можете устранить эту угрозу, просто автоматически выполнив выход из системы по истечении установленного срока.

Защита панели администратора WordPress

Хотя страница входа подвергается наибольшему нападению, хакерам действительно нужна ваша панель администратора. Таким образом, вы должны сделать его наиболее защищенной частью вашего сайта.

Защитите каталог Wp-Admin

Поэтому большая часть ваших усилий по обеспечению безопасности WordPress должна быть связана с каталогом «/wp-admin». Для начала у вас должна быть защищена папка паролем. Возможно, вам придется ввести два пароля для доступа к панели инструментов, но это небольшая цена за дополнительную безопасность.

Используйте SSL-шифрование

SSL (Secure Socket Layer) — всегда хороший ход. Это также требование SEO, если вы хотите, чтобы Google и другие основные поисковые системы отображали ваш сайт. Вы должны как можно скорее получить SSL-сертификат для своего блога. Это также отличный способ защитить вашу административную область.

Ограничьте использование вашей учетной записи пользователя

Вам нужно столько учетных записей пользователей, сколько вам нужно. Вы никогда не захотите предоставлять нескольким людям доступ к панели администратора. Эта привилегия должна предоставляться только тем, кому она действительно нужна для ведения вашего блога. Даже тогда вы все равно хотите каким-то образом ограничить доступ.

Сделать идентификаторы электронной почты вместо имен пользователей Использовать другое имя пользователя администратора

Как и на странице входа, всем известна учетная запись администратора WordPress по умолчанию. Людям просто нужно угадать ваш пароль для этого, и они на вашем сайте. Вы можете остановить это, изменив имя пользователя учетной записи администратора.

Следите за своими файлами

Наконец, вы всегда должны отслеживать свои файлы на наличие несанкционированных изменений с помощью таких плагинов, как Wordfence.

Защитите базу данных

Если они не могут войти через переднюю дверь, хакеры попробуют заднюю дверь. Данные вашего сайта находятся в базе данных. Максимально обезопасьте его.

Изменить префикс таблицы

Чтобы отслеживать информацию о вашем сайте, WordPress присваивает префикс всем таблицам базы данных, которые он создает. Вы должны изменить это на что-то уникальное. Префикс по умолчанию делает ваш сайт уязвимым для атак SQL-инъекций.

Регулярные резервные копии

Вы никогда не сможете полностью защитить свой блог, но вы можете быть уверены, что всегда сможете восстановить его до нормального состояния. Вам просто нужны регулярные резервные копии за пределами сайта.

Надежные пароли к базам данных

Как и в случае с вашими учетными записями пользователей, вам нужен надежный пароль для вашей учетной записи базы данных.

Журналы мониторинга и аудита

WordPress и MySQL регистрируют все. Если вам нужно увидеть, что произошло с вашим сайтом, вы можете просмотреть эти файлы журналов. Таким образом, вы будете знать, что изменилось и кто внес изменения.

Защитите свой сервер

Ваше решение для хостинга веб-сайтов может предлагать безопасную сетевую инфраструктуру, но вы никогда не должны полностью прислушиваться к ним; будет важно позаботиться о защите ваших пользовательских данных и о том, как они получают доступ к вашим личным файлам.. Всегда убедитесь, что ваш веб-сайт настолько безопасен, насколько это возможно.

Безопасный Wp-config.php

Этот файл содержит настройки вашего веб-сайта по умолчанию и информацию о базе данных. Таким образом, это самый важный файл в корневом каталоге вашего сайта. Поэтому вы хотите сделать невозможным доступ к нему.

Запретить редактирование файлов

Любой, у кого есть доступ к вашей панели управления WordPress, может изменять ваши файлы WordPress, включая ваши плагины и темы. Вы можете остановить это, установив «define('DISALLOW_FILE_EDIT', true);» флаг в файле wp-config.

Используйте защищенный FTP-доступ

Вы должны использовать только SFTP или SSH для загрузки файлов на свой сайт. Безопасный FTP обеспечивает постоянную безопасность передачи файлов. Если ваш хост предоставляет, если уже, это здорово. Тем не менее, вы можете сделать это вручную по мере необходимости.

Разрешения безопасного каталога

Неправильные разрешения приводят к нарушениям. Поэтому вы хотите переписать их на то, что необходимо для работы вашего сайта. Как правило, вы хотите установить для своего каталога права доступа «755», а для файлов — «644».

Отключить список каталогов

На большинстве веб-серверов, если в каталоге нет index.html или другой зарегистрированной страницы «по умолчанию», сервер создаст полный список каталогов, если кто-либо получит доступ к каталогу. Вы должны вручную отключить это в файле .htaccess вашего веб-сайта.

Блокировать хотлинкинг

Хотлинкинг позволяет копировать и публиковать изображения и мультимедиа с одного веб-сайта на другой. Хотя это делает возможным совместное использование, оно также крадет пропускную способность исходного сервера. Вы можете повысить производительность сайта и снизить плату за хостинг, просто заблокировав эту функцию на своем сайте.

Защита от DDoS-атак

DDoS-атаки являются наиболее распространенной атакой на любой веб-сайт, связанной с сервером. Злоумышленники используют несколько программ и систем, чтобы перегрузить ваш сервер. Хотя он обеспечивает безопасность ваших файлов, он может привести к сбою вашего сайта, если его не устранить.

Другие способы защитить свой блог WordPress

Это лишь некоторые из способов, которыми вы можете защитить свой блог или веб-сайт WordPress. По мере появления новых угроз группа разработчиков WordPress и разработчики по всему миру принимают вызов, чтобы защитить ваши данные и страницы. Вам просто нужно поддерживать установку WordPress, темы и плагины в актуальном состоянии с их последними выпусками. Другие способы включают в себя использование управляемого хостинга WordPress, сокрытие номеров версий и получение информации о любых событиях в области безопасности в сообществе WordPress. Сообщество предлагает вам возможность задавать вопросы и получать ответы, которые вы не можете получить из простого сообщения в блоге. С этим советом вы можете быть уверены, что ваш сайт максимально безопасен и безопасен.