17 шагов, чтобы защитить ваш сайт на WordPress от хакеров. Защита сайта на wordpress


Взлом WordPress. Защита сайтов на Вордпрессе. Настройка плагина iThemes Security

По статистике 80%  сайтов на WordPress когда-либо ранее были взломаны. Около 30% сайтов на этом движке в данный момент находятся под управлением сторонних лиц. 90% владельцев сайтов не знают о взломе 3 месяца и более.

Данная статья основана на собственном опыте восстановления сайтов после взлома и попыток предотвращения несанкционированного доступа к ним.Сразу скажу, что я не являюсь экспертом по безопасности, все наработки только личного плана и базируются на перманентной борьбе со зловредами.

Чтобы не быть голословными, посмотрите статистику взломанных в настоящее время сайтов наиболее известных хакерских групп.

Группировка NeT.Defacer:

Группировка w4l3XzY3:

И таких бандформирований хаккеров – сотни. А есть еще и одиночки. Кроме того далеко не все хакеры гордо заявляют о взломах – в большинстве случаев они просто эксплуатируют тихонько посторонний сайт: рассылают через него спам, атакуют DDOS-ом какие – то ресурсы, перенаправляют трафик на нужные ресурсы. Некоторые ставят ссылки со сломанных сайтов на продвигаемые ресурсы. В принципе хоть майнить криптовалюту можно – благо js скрипты майнеров известны уже лет 6-7.

Чтобы не допустить подобных вакханалий, нужно хотя бы кратко знать об основных способах взлома сайтов.

Методы взлома сайтов

Всего существует 2 основных способа скомпрометировать сайт – взлом со стороны хостера и взлом непосредственно самого сайта.

Первый способ был широко распространен ранее. Лет 5-8 назад многие хостеры практически стонали, когда, используя уязвимости хостинга через один аккаунт шаред хостинга  были взломаны все сайты, размещенные на сервере и большинство аккаунтов пользователей хостинга были скомпрометированы.

Сейчас, как правило, у крупных хостеров ломается единичный аккаунт и заражаются сайты размещенные на нем. Доступа к иным аккаунтам у взломщиков нет.

Второй способ взлома – взламывается непосредственно сайт. Здесь взлом можно подразделить на подбор доступа к системе аутентификации (брутфорс) и на взлом сайта, используя его уязвимости.

Как взломать WordPress сайт

Есть статистика, что только треть WordPress сайтов ломается через уязвимости движка, когда пользователи его не обновляют годами. Большинство взломов Вордпресса осуществляется через уязвимости плагинов и тем. Особое опасение вызывают плагины, размещенные в теме – они практически никогда не обновляются и служат прекрасным полигоном для получения доступа к сайту.

Еще одной особенностью, облегчающей взлом Вордпресса является установка “бесплатных” профессиональных тем и плагинов, скачанных в интернете, а не из репозитория самого Вордпресса или продающих сайтов. Некоторая часть из них уже несет в своем составе бэкдоры, либо возможности их установить. Никогда не пользуйтесь бесплатными темами из интернета.

Одним из способов взлома сайта является его “проверка” на известные уязвимости. Существуют библиотеки этих уязвимостей, которые постоянно пополняются. Потом, по этим библиотекам идет проверка сайта.

Здесь хорошо видно как по библиотеке ищутся уязвимые плагины (1), при этом атака идет со множества IP, а время атаки примерно совпадает (2).

Есть более хитрые перцы. Они проверяют сайты не на уязвимости, а на уже установленные бэкдоры и шеллы. Это взломщики – паразиты второй волны.

Здесь как раз хорошо видно как происходит поиск доступов к шелам.

Особо интересен чудак с китая (1), который скачав диск по поиску уязвимостей (а они есть в доступности), не настроив ничего, начал с одного и того же IP пробивать сайт.

Следующим вариантом взлома сайта являются всевозможные SQL инъекции. Часть из них мы будем отсеивать, при настройке плагина, установив запрет на длинные строки.

Информации по взлому именно WordPress очень много в интернете. Есть куча обучающих пособий, сборок дисков с уже установленным и настроенным софтом.

В целом, понаблюдайте за собственным сайтом и вы порадуетесь тому, сколько раз на день его хотят взломать. А наше дело – этому помешать.

Защита Worpress сайта

Мы рассмотрим способы защиты сайта с использованием плагина iThemes Security (ранее известный как Better WP Security). Сразу скажу – он не панацея. Аккурат перед Новым Годом у меня было взломано 3 сайта, где стоял и работал этот плагин. Поэтому необходим комплексный подход к защите.

Если вы уверены, что ваш сайт не взломан, то:

  1. Сделайте полный бекап сайта: и базы данных и всех его файлов и сохраните его в надежное место.
  2. Обновите пароли у всех администраторов сайта.
  3. Удалите лишних пользователей.
  4. Обновите движок Вордпресса до актуального.
  5. Сократите список активированных плагинов, удалив те, функциями которых вы не пользуетесь.
  6. Подберите аналоги к плагинам, которые перестали обновляться и перейдите на них.
  7. Удалите “платные” плагины, которые вы не покупали, а скачали с интернета.
  8. Физически удалите все неактивированные плагины.
  9. Обновите все плагины.
  10. Удалите все неиспользуемые темы
  11. Перейдите на новую тему, если вы её не покупали, а скачали из интернета, а не из репозитория WordPress.
  12. Обновите тему до актуальной.

Далее, устанавливайте плагин iThemes Security и переходите к его настройке.

Настройка плагина iThemes Security

После его установки и активации запускайте модуль “Security Check” и жмите кнопку Secure Site – будет выполнена первоначальная настройка защиты.

Далее, сразу переходим в закладку Advanced. Там пять модулей, нам необходим “Спрятать страницу входа на сайт“.

Здесь включаем галку “Спрятать страницу входа на сайт” и ниже прописываем слуг, для входа на сайт. Например прописав “puzo1234”, доступ к админке будем получать по адресу site.ru/puzo1234.

Остальное оставляем по умолчанию. Сохраняем настройки.

Этот модуль “Прячет страницу входа в систему (wp-login.php, wp-admin, admin и login), чтобы ее сложнее было найти при автоматизированной атаке на сайт”. Таким образом мы немного защитились от брутфорса.

Возвращаемся к “рекомендованным” модулям. Запускаем модуль “Основные настройки“.

Здесь включаем флаг “Вносить изменения в файлы” – Allow iThemes Security to write to wp-config.php and .htaccess.”

Вообще, практически вся работа плагина заключается в поднастройке htaccess. То что раньше делалось руками, собирая информацию по защите Вордпресса на разных форумах, теперь несколько автоматизировано. Очень удобно.

Дальше спускаемся ниже и настраиваем модуль, как указано на рисунке.

Обязательно указываем свой IP адрес в белом списке блокировки, нажав кнопку “Add my current IP to the White List”.

Оставляем остальное по умолчанию.

Сохраняем результаты и переходим к следующему модулю “Отслеживание ошибки 404“.

Здесь выставьте значения, как указано на рисунке ниже:

Порог ошибок (1) следует уменьшить, когда вы обнаружите, что ваш сайт пытаются взломать “перебором” уязвимости. Если вы уверены, что на вашем сайте нет 404 ошибок (провели технический аудит), то сразу снижайте порог. Чем меньше это значение, тем безопасней, но и тем больше вероятность забанить пользователя, который по непреднамеренной ошибке зашел куда-то ни туда.

Игнорирование типов файлов – это конечно брешь (2) в защите. Так, например, у меня сидел шелл зловреда в .ico файле.

Однако, если вы не делали шаблон сайта под “ретину”, не настроили выдачу изображений удвоенной и утроенной плотности всем этим мобильным пользователям с яблочными телефонами и планшетами, то вы их сразу же всех перебаните (см рисунок ниже).

здесь какой- то товарищ с retina – дисплеем мобильного / планшета тщетно пытается запросить картинки удвоенной плотности (@2x.png). Но он обламывается, генерирует 404 ошибку и был бы забанен, если бы не исключения в настройках.

Далее идем в модуль “Заблокированные пользователи“. Выставляем значения следующим образом:

  1. Включаем “Черный список по умолчанию” – т.е. ставим галочку а поле  Включить черный список от сайта HackRepair.com
  2. Заполняем бан лист, собранными мною за этот месяц IP

Жмите на кнопку выше, копируйте список IP и вставляйте его в поле “Запретить доступ хостам” модуля.

Далее вы ежедневно смотрите логи плагина и пополняйте список новыми IP, с которых вас пытаются взломать. Тут главное не перестараться и не забанить всех подряд, включая IP поисковых систем.

Отбор кандидатов на блокирование имеет следующую логику:

(1) – обращение к плагину, который у меня не установлен. Это, по всей видимости один из скомпрометированных плагинов, имеющих уязвимость. Поиск ведется перебором.

(2) Реферрер подделан – какой то site.ru

(3) Именно этот IP и добавляем в список блокировки. Нажав на него – можем посмотреть с какого прокси пришел этот запрос. Да, всякие индийские и китайские IP блокируем сразу же, всей подсетью, например прописав 67.227.*.* или, что то же-самое, прописав 67.227.0.0/16 – в аннотации CIDR.

Теперь посмотрите на (4). Здесь ищется ads.txt. Как вы знаете, это правила доступа к рекламной сети Google Adsense™‎. Поэтому данный IP мы блокировать не будем.

Переходим к модулю Local Brute Force Protection. Выставьте настройки, согласно следующего скрина:

Надеюсь, что ваш логин на вход в админку – не admin? Проверьте и поменяйте в настройках пользователя. Впрочем, дальше мы поднастроим так, чтобы входить только с e/mail. Это резко снизит эффектинвность брутфорса админки. С учетом того, что мы перенесли вход в новое место, которое не знают посторонние, брутфорс вам не особо грозит (в отличии от иных методов атаки).

Теперь подключим сетевую защиту. Для этого открываем модуль Network Brute Force Protection, получаем API, прописываем и активируем его. Этот метод защиты похож на методику определения спама Akismet – т.е. если какой то сайт пытались сломать с какого то IP, то он попадает в глобальную базу и если с этого IP попытаются получить доступ к вашему сайту, то он окажется заблокированным.

Переходим к следующему модулю “Тонкая подстройка системы“

Настраиваем модуль, согласно приведенному скрину.

Далее спускаемся чуть ниже и отключаем выполнение PHP в папке Upload. Ибо нечего там выполнять – там должны храниться изображения и/или документы, но никак не исполнимые файлы.

Переходим к последнему значимому блоку – Подстройка WordPress. Здесь включите следующие функции:

  • Ссылка для Windows Live Writer
  • Ссылка EditURI
  • Спам комментарий
  • Редактор файлов
  • XML-RPC – поставьте в положение “Отключить XML-RPC”
  • Множественные попытки авторизации запросом XML-RPC – в положение “Блокировать”
  • Сообщения при неудачной попытке входа
  • Отключает дополнительные пользовательские архивы
  • Login with Email Address or Username – в положение “e/mail address only” – теперь авторизироваться можно будет только по e/mail.

Остальные модули настраивайте по своему усмотрению.

drmax.su

17 шагов, чтобы защитить ваш сайт на WordPress от хакеров / Заметки Сис.Админа

Сегодня мы поговорим о такой замечательной штуке как защита Ваших сайтов на популярном движке WordPress от хакеров и прочих злоумышленников.wordpress

wordpress Вас ждут простые, интересные и, самое главное, рабочие советы. Приступим.
  1. Смените ваш логинОн у вас всё ещё admin? При создании сайта его ставят чаще всего. Это первое, что проверяют боты, ищущие прорехи в безопасности. Войдите в административную часть и создайте новую административную учётную запись с каким-нибудь другим именем. Затем выйдите из системы управления, войдите вновь и удалите аккаунт admin.
  2. Необычный парольНикто не хочет запоминать по 20 разных паролей, но жизненно важно, чтобы для вашего блога он был уникальный. Используйте прописные, строчные буквы, знаки пунктуации и пр.Пример: Vg8uB6Z.<4 – это отличный пароль.Есть программы, хранящие и генерирующие пароли – это то, что вам нужно. К примеру, Password Agent.
  3. Обновляйте WordPressОдним из самых часто встречающихся случаев взлома сайта является использование устаревших скриптов. WordPress уведомит вас о выходе своей новой версии прямо в панели управления. Обновите его. Потеряв минуту, вы сэкономите часы в дальнейшем – новая разработка сайтов стоит и денег и времени.
  4. Избегайте бесплатных темМножество сайтов предлагают вам скачать уже готовые темы для оформления вашего веб-ресурса. В некоторых их них есть неприятные скрытые «сюрпризы». Используйте только доверенные сайты, вроде WordPress.org для скачивания тем или создавайте свою собственную с помощью бесплатных фреймворков.
  5. Бойтесь плагиновКонечно, плагины дают вам отличную от базовой функциональность, однако, некоторые из них открывают двери для хакеров. Скачивайте их только с официального сайта Вордпресса и обращайте внимание на все появляющиеся предупреждения. Также, не забывайте обновлять плагины.
  6. Храните только то, что вам нужноУ вас есть несколько неиспользуемых плагинов? Даже будучи неактивированными, они могут представлять угрозу. Удалите все неиспользуемые плагины, темы, файл readme из корня сайта. Есть простое правило: меньше скриптов, меньше уязвимостей.
  7. Делайте резервные копииНе все хакерские атаки могут повредить вам, но даже одна успешная испортит вам жизнь. Делайте регулярные резервные копии своего сайта! У многих хостеров эта функция включена по умолчанию и в случае проблем вам можно будет восстановить сайт из копии месячной, недельной, вчерашней «свежести».
  8. Проверьте свой компьютер на наличии вирусовНужно следить не только за своим сайтом на WordPress, но и за собственным компьютером. У вас должен быть часто обновляемый антивирус. Не хотите же вы заразить свой сайт, разместив там несколько вирусных файлов?
  9. SFTP это не ФТПВсе загрузки файлов на ваш сайт должны происходить через SFTP, если ваш провайдер позволяет это делать. Если нет, перейдите к более защищённому хостеру. Соединение будет происходить по защищённому протоколу и «плохие парни» не смогут его перехватить.
  10. Защитите свои конфигурационный файлыДобавив специальный файл .htaccess в корень сайта, вы существенно повысите безопасность. Если у вас нет этого файла, создайте текстовой с этим именем и переименуйте его (расширения нет!). Код, представленный ниже, не даст злоумышленнику логин от базы данных в случае неполадок с PHP.<Files wp-config.php>order allow, denydeny from all</Files><IfModule mod_rewrite.c>RewriteEngine OnRewriteBase /RewriteRule ^index\.php$ - [L]RewriteCond %{REQUEST_FILENAME} !-fRewriteCond %{REQUEST_FILENAME} !-dRewriteRule . /index.php [L]</IfModule>
  11. Смените префикс у таблиц в базе данныхЭтот шаг только для новых установок (первоначальное создание сайтов, Пермь)(см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-либо другое.К примеру, $table-prefix=’movie_’;Как сменить префикс у уже работающих сайтов? Вам понадобится PHPMyAdmin и Dreamweaver (скачать дамп базы данных, произвести поиск/замену, закачать дамп снова).Если это выглядит слишком сложным для вас, в конце статьи будет описан более лёгкий способ.
  12. Защитите каталоги от просмотраЧтобы хакеры не смогли просмотреть папки на вашем сервере, набрав их полный путь, защитите их с помощью .htaccess (добавьте туда Options -Indexes) или поместите в директорию пустой файл index.html
  13. Защитите файл .htaccessВыглядит немного странным, что кто-то будет менять этот файл, но это самое сердце вашей защиты, поэтому, лучше о нём позаботиться заранее. Заприте каждую дверь, какую сможете. Поместите туда код: <files .htaccess>order allow, denydeny from all</files>
  14. Ограничения по IP адресу  Если у вас статичный IP-адрес, вы можете ограничить доступ к административной части сайта. Это отличный способ обезопасить себя. В файл .htaccess добавьте следующие строки:AuthUserFile /dev/nullAuthGroupFile /dev/nullAuthName "Access Control"AuthType Basicorder deny, allowdeny from allallow from ??.???.???.???
  15. Ограничение попыток входаОбычно хакеры, подбирая пароль, делают множество попыток входа. Можно настроить систему так, что после 2й неудачной попытки ip-адрес злоумышленника будет заблокирован на несколько часов.
  16. Запрет отслеживания HTTP заголовкаДобавьте в .htaccess эти строки:RewriteEngine OnRewriteCond %{REQUEST_METHOD} ^TRACERewriteRule .* - [F]
  17. Защита от SQL-инъекцийЭто самая часто встречающаяся форма атак на WordPress сайты. Многие хостеры закрывают эти возможные «дыры» в защите, но вам не мешает защититься и самим. Опять же, добавьте в .htaccess эти строки:RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR]RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR]RewriteCond %{QUERY_STRING}  _REQUEST(=|\[|\%[0 - 9A-Z] {0,2})RewriteRule ^(.*)$ index.php [F.L]

А чтобы не мучиться со всем этим, просто поставьте плагин Better WP Security. Он может всё вышеперечисленное и даже больше.

Хотите знать и уметь, больше и сами?

Мы предлагаем Вам скачать бесплатные книги от автора. Компьютеры, программы, администрирование, сервера, сети и другое. Не является рекламой. Предложение от sonikelf.ru

Скачать книги

sonikelf.ru

Плагин для защиты WordPress от взлома

Плагин для защиты WordPress от взлома

WordPress очень популярная CMS, это не несомненно ее плюс, есть множество плагинов под любые задачи, но это одновременно и является ее слабостью, ведь чем популярнее CMS для сайта, тем больше на нее атак, точнее она более интересна для взломщика, так как найдя уязвимость в WordPress, злоумышленникам становятся доступны сотни тысяч сайтов, поэтому защите вашего сайта на WordPress нужно уделать особое внимание.

Зачем взламывают сайты на WordPress?

Взламывают все популярные CMS (движки для сайтов), и Вордпресс не исключение, взламываю в основном с помощью так называемых программ (скриптов) — эксплоитов, для получения контроля над сайтом, делается это в основном для создания ссылок с вашего сайта на другие ресурсы, и для создания BotNet, который занимается DDoS  атаками на другие сервера, причем сайт остается в рабочем состоянии, и вы никогда не увидите не «вооруженным» глазом что он заражен. В любом случае взлом плохо отразится на вашем сайте, и возможно вы даже пропадете из выдачи.

Как я уже говорил, взлом происходит в автоматическом режиме, определить CMS сайта не составляет труда, для этого есть много онлайн сервисов, часто атакующая программа пытается подобрать пароль от административной части сайта, т.е. переходит по адресу your-site.ru/wp-admin и пробует подобрать пароль к вашему пользователю, узнать имя пользователя не составляет труда, вы ведь пишите статьи именно под ним, поэтому логин будет виден ботам, они знают где его посмотреть. если вы конечно не закрыли его при помощи плагина, об одном из которых мы поговорим ниже. Пароль от администратора сайта должен быть очень сложным, но даже при выполнении этого условия, нельзя давать ботам перебирать (брутить) пароль от «админки», потому что это не нужная нагрузка на сервер, представьте если этим занимаются несколько десятков ботов с разных концов света.

Плагин для защиты WordPress от атак

Перейдем сразу к плагину, достойных внимая несколько, поговорим о более простом и понятном, я использую его на многих своих проектах, для заказчиков, он очень хорошо справляется с поставленными задачами по охране сайта — All In One WP Security & Firewall

Плагин для защиты WordPress от взлома Это плагин достаточно прост в освоении, и руссифицирован на 90%, устанавливается как и любой плагин из репозитория WordPress, после установки его нужно активировать и сделать основные настройки. Он появляется в основном меню в админке WordPress

Плагин для защиты WordPress от взлома

Панель управления плагина WP Security

После перехода к настройкам плагина, попадаем в панель управления. Тут можно сделать основные важные настройки.

  1. Показывает 5 последних авторизаций в вашей админке, указан пользователь и IP адрес, я например сразу вижу свои IP, их всего два, поэтому у меня не возникает сомнений что мой пароль от административной части знает кто то еще.
  2. Раздел самых важных функций, тут все нужно включить, и со всем согласиться.
  3. Плагин, способен отслеживать изменения файлов на хостинге, причем он может отправлять отчет вам на почту, и вы всегда в курсе какие файлы у вас изменились, это очень полезно, если вам подгрузили какой то скрипт или любой файл с вредоносным кодом, вы это сразу увидите в отчете, единственный минус, после обновления каких либо других установленных у вас плагинов или самого движка WordPress, WP Security увидит все эти изменения и пришлет вам огромный список, но к этим отчетам можно привыкнуть, ведь вы знаете когда обновляли файлы сами.
  4. Этот пункт меняет стандартный адрес админки сайта yoursite.ru/wp-admin, на yoursite.ru/luboe-slovo , это спасет вашу админку от некоторых горе-хакеров и ботов, но к сожалению не от всех, особо продвинутые ее все равно находят, об этом я могу судить глядя в раздел «Авторизации», но об этом позже.
  5. Этот пункт должен быть выключен, как на скриншоте, он нужен только тогда, когда вы хотите поставить сайт на обслуживание, для посетителей будет выдаваться табличка с сообщением, о том что на сайте ведутся технические работы, иногда это полезно, например при смене дизайна сайта, или при каких то глобальных изменениях, не забывайте, что в этом режиме поисковые роботы тоже не могут просматривать ваш сайт, не закрывайте его на долго.

 

 

Плагин для защиты WordPress от взлома

Защита админки WordPress от подбора пароля

Теперь перейдем в пункт меню — Авторизация, на мой взгляд очень полезный пункт, и его стоит настроить, так как на одном из моих сайтов. с посещаемостью около 1000 человек, плагин отлавливает в день десятки попыток подобрать парль к админке, и добавляет IP адреса взломщиков в черный список, т.е. блокирует его совсем, сайт перестает отвечать этому IP адресу, тем самым сводя на нет попытки подобрать пароль, на скрине настройки которые делаю я.

Плагин для защиты WordPress от взлома

  1. Число попыток «ошибиться» оставляю -3, не делайте меньше, можете сами неверно набрать пароль, и попасть в черный список со своим IP, придется отключать плагин через FTP
  2. Это время, через которое сбрасывается счетчик не верных попыток залогиниться
  3. Период блокировки IP адресов, с которых были не верные попытки авторизации, я ставлю побольше, в минут, т.е. баню на долго, на скрине стоит 6 000 000 минут, это примерно 11 лет, думаю хватит

Всем заблокированным IP будет закрыт доступ не только к админке, но и ко всему сайту, имейте это в виду

Список заблокированных IP адресов

После активации блокировок ошибочных авторизаций, спустя некоторое время, в зависимости от посещаемости вашего блока, можно увидеть список заблокированных IP, на скриншоте видно заблокированные IP

Плагин для защиты WordPress от взлома

  1. айпи адрес злоумышленника
  2. логин к которому подбирали пароль, кстати правильный
  3. дата когда была сделана автоматическая блокировка

Белый список адресов для админки

Что бы разрешить доступ в административную часть сайта на WordPress только с определенных IP адресов, можно активировать белый список адресов в настройках плагина.

Плагин для защиты WordPress от взлома

  1. активация этой опции
  2. тут ваш текущий IP адрес
  3. в этом поле введите все IP адреса, с которых разрешен доступ в админку

Если нужно указать диапазон IP адресов, то вместо цифры, используйте звездочку, к примеру 192.168.5.* — такая конструкция даст доступ в админку wordpress со всех ip начинающихся на эти цифры, такой способ может быть полезен тем, у кого нет выделенного ip адреса, и он постоянно меняется, к примеру при работе с мобильного интернет, как правило диапазон будет оставаться в пределах двух первых цифр, вот так к примеру 192.168.*.*

 

 

 

seo-wp.ru

Надежная защита сайта на WordPress | ТВОЙ ПОМОЩНИК

Написал Елена Молгачева в 13 февраля 2016, 11:43 Отредактировано: 27 апреля 2016, 09:14

Защита-сайта-на WordPressСлучилось так, что защита сайта на WordPress укреплялась у меня постепенно (по мере необходимости).

Когда я сталкивалась с какими-то атаками на свой сайт, то сразу же искала способ, как этому противодействовать. И поэтапно усиливала безопасность.

Набравшись опыта, я хочу дать несколько советов новичкам по обороне своего блога. Все это протестировано на собственной шкуре.

Советы простые и не требуют особых навыков программирования и не изобилуют специфическими терминами, которые часто встречаются в статьях слишком грамотных авторов на эту тему.

Меняем логин admin на уникальный.

изменить-логин-admin

Это первое, что нужно сделать, если Вы начали вести сайт на CMS (Content management system) WordPress.

Сразу же придумайте и задайте свой неповторимый логин.

Срочно узнайте, как изменить логин admin администратора WordPress сайта.

Сделать это просто, если знать последовательность шагов. Не тяните с процедурой замены.

Если поменять логин на свой уникальный, то злоумышленникам придется подбирать методом перебора не только пароль, но и Ваш новый логин, что снижает риск взлома сайта.

Не забудьте и пароль усложнить.

Скрываем логин администратора.

Скрыть-логин-администратора WordPress

Вторым обязательным шагом следует скрыть логин администратора сайта WordPress, чтобы в коде любой открытой для просмотра страницы его нельзя было отыскать.

Существуют, по крайней мере, два узких места, которые могут засветить и обнаружить Ваш логин. Это ссылка на все статьи автора (администратора), расположенная сразу под заголовком статьи, и ответы админа на вопросы читателей в комментариях к статье.

Закройте эти узкие места на своем сайте, чтобы усилить его безопасность.

Или узнайте, как их можно обойти. Например, можно отключить показ автора, а ответы на комментарии писать без захода в административную панель блога.

Если новичку еще сложно осилить самостоятельное редактирование шаблона Вордпресс, которое в этом случае необходимо, то, по крайней мере, установите плагин для защиты от перебора паролей.

Хотя сейчас многие хостинги, столкнувшись с постоянными атаками, автоматически предоставляют Вашему сайту такую защиту.

И для того, чтобы войти на сайт, как зарегистрированный пользователь, нужно каждый раз заново отрывать страницу для входа в случае какой-то ошибки при вводе логина или пароля. Это отсекает непрерывный перебор.

Отключаем доступ по XML-PRC.

Запретить-интерфейс-XML-RPC

Система WordPress обладает множеством замечательных функций, о которых многие пользователи даже и не догадываются.

Я тоже изучаю ее постепенно, сталкиваясь с реальными проблемами на своем сайте.

Обычно, мы начинаем читать инструкцию по эксплуатации только, когда что-то сломалось.

А более грамотные хакеры этим пользуются.

Поэтому мне пришлось закрыть доступ к сайту по интерфейсу XML-PRC для всякого рода оповещений с помощью специального плагина после очередной атаки на сайт с использованием этого канала.

Об этом в статье про скрытие логина автора, на которую я ссылалась выше.

Защита Вордпресс укрепляется, но и злоумышленники не дремлют.

Кому-он-нужен,-этот-Васька

Кому он нужен, этот Васька?

Или, кому он нужен этот Ваш бложек?

Обновляем Вордпресс и плагины.

обновление-Вордпресс

Не обольщайтесь, что до Вас взломщики не доберутся.

Разработчики и грамотные пользователи советуют обязательно регулярно обновлять движок Вордпресс и все установленные на нем плагины до последних существующих версий для усиления безопасности.

Да, иногда могут возникнуть проблемы на сайте после очередного обновления WordPress.

Но они чаще всего некритические. О них можно заявить на форумах Вордпресс и дождаться новых версий движка с исправлениями.

Мой блог попадал в такие ситуации несколько раз, но благополучно их пережил.

Будет значительно хуже, если Ваш сайт столкнется с атаками злоумышленников, которые посылают запросы к файлам старых плагинов и несуществующим страницам на Вашем сайте. Или еще какие-нибудь запросы придумают.

Такого рода атаки отвлекают на себя все ресурсы, выделенные сайту на сервере, и обычным посетителям (и Вам в том числе) попасть на него будет уже затруднительно.

Вы увидите только табличку с объявлением, что сайт недоступен потому, что сильно перегружен.

Понятно, что подозрительные автоматические запросы идут непрерывным потоком, и вклиниться с доступом сложно.

Причем, вовсе не обязательно, что атаковать будут именно Ваш конкретный сайт.

«За что?» — будете думать Вы.

Возможно, что злоумышленники просто решили атаковать сервер, перебирая там все слабо защищенные сайты. И, если Ваш блог попал в их число, то достанется и ему.

А что делать?

файл-htaccess

В таком случае желательно обращаться в службу поддержки хостинга, чтобы специалисты проанализировали ситуацию и приняли адекватные меры для защиты или дали Вам полезные рекомендации.

Обычно они вычисляют вредительские IP-адреса и советуют запретить доступ для указанных IP-адресов с помощью специальных директив в файле htaccess в корневом каталоге сайта.

Я, таким образом, несколько адресов заблокировала.

Но умелые хакеры их постоянно меняют, и список плохих адресов разрастается. Да и ждать ответа с хостинга приходится некоторое время. Не очень быстро все получается.

Может, можно как-то самостоятельно вычислять такие IP-адреса?

А еще лучше сразу же автоматически блокировать их.

Фантастика! Скажете Вы.

Уже нет.

Сайт WordPress автоматически отбивает атаки.

плагин iThemes-Security

Светлые силы, которые противодействуют темным, постоянно совершенствуются. И уже достигли небывалых успехов. Будущее точно принадлежит им!

Умные программисты уже разработали плагин iThemes Security.

Он не только ведет статистику (logs) IP-адресов, с которых идут подозрительные запросы на Ваш сайт, но и автоматически блокирует их на заданное время.

А в случае повторных атак, записывает в черный список и помещает в файл htaccess совершенно без Вашего участия. Все автоматизировано.

Причем файл истории (logs) рассчитан на определенный объем информации и перезаписывается сверху, поэтому, вручную чистить его даже необязательно.

Для старта можно просто установить этот плагин с настройками по умолчанию.

А в случае атаки он пришлет на Ваш электронный адрес письмо с информацией о блокировке подозрительного IP-адреса и указанием конкретного времени произведенной попытки.

После активации можно посмотреть видео про первичный запуск плагина для свободного использования. Оно, хоть и на английском, но простые действия вполне понятны и без перевода. Обратите на него внимание.

Подробнее про настройку плагина здесь.

Не зря этот плагин позиционирует себя, как самая надежная современная защита сайта WordPress.

Он предоставляет большое количество настроек, которые обеспечивают безопасность Вашего сайта по многим направлениям.

Что подтолкнуло меня к установке плагина iThemes Security?

А дело было так. Несколько дней я периодически натыкалась при обращении к собственному сайту на сообщение, что он перегружен.

В административной панели моего хостинга Sprinthost есть возможность увидеть график потребления ресурсов сервера для своего аккаунта.

Статистика-использования-ресурсов

Нагрузка-сайта

Зеленая область — запросы к статическим файлам, на обслуживание которых ресурсов практически не требуется. Бежевая область — запросы к скриптам сайта, для выполнения которых выделяются ресурсы сервера. Как правило статические запросы составляют 70% и более всех запросов к сайту. Если это не так, возможно, следует провести оптимизацию сайта на предмет обработки статических запросов.

График показал огромные пики возрастания нагрузки в некоторые моменты времени.

Я обратилась в техподдержку. Специалисты хостинга подсказали, что наблюдается большое количество подозрительных запросов к несуществующим страницам на моем блоге.

А в интернете давно ходят слухи, что появился такой новый вид атаки на WordPress.

Поэтому пришлось срочно установить плагин iThemes Security и изменить его настройки для страниц 404.

Обращение-к-несуществующим-страницам

И поток подозрительных запросов в течение нескольких дней пошел на спад. А график потребления ресурсов сервера стал постепенно выравниваться.

При этом я получила несколько писем, что плагин заблокировал такой-то IP-адрес до такого-то времени. А задала я блокировку аж на 3 часа (180 минут). Это в общих настройках.

период-блокировки

За неделю только один из IP-адресов автоматически прописался в файл htaccess для постоянной блокировки. С него пытались штурмовать несколько  раз.

Но чаще всего адреса повторно не использовались и все время менялись. Это стратегия так называемой DDoS атаки.

А вот такие письма присылает плагин (можно увеличить).

письмо-о-блокировке

Можно прямо из письма перейти и узнать, где находится IP-адрес, посылающий подозрительные запросы.

И тут обнаружилась обширная география по всему миру. Умеют хакеры скрывать места своей дислокации.Очень советую установить плагин iThemes Security для безопасности своего блога.

А при посещении административной панели сайта обязательно просматривать его файл logs.

И Вам не понадобится самостоятельно добавлять какие-то фрагменты кода при обнаружении очередной прорехи. Об этом позаботятся специалисты. Они учтут новые угрозы.

iThemes Security – это просто король безопасности для Вашего сайта на WordPress.

Тогда отдельные предыдущие шаги, о которых я писала в начале статьи, можно и не делать.

Плагин обеспечит все необходимые средства защиты. Нужно только внимательно изучить его настройки.Да, их довольно много. И придется потратить некоторое время, чтобы разобраться.Ссылку на подробную статью о настройках я указывала выше.

Если у Вас несколько сайтов, то не забудьте позаботиться о каждом из них.

Хорошо также, если вы будете периодически отслеживать нагрузку своего блога по графикам потребления ресурсов на хостинге.

И надежная современная защита сайта на WordPress будет Вам обеспечена.

Было бы здорово, чтобы и Ваш хост-провайдер обеспечивал хорошую защиту от DDoS атак и надежную работу своих серверов.

Елена и tvoy-internet.ru

tvoy-internet.ru

6 плагинов для защиты сайта на WordPress

Каждый день огромное количество сайтов подвергаются успешным хакерским атакам. Сайты на WordPress не являются исключением и могут стать легкой мишенью для атаки из-за уязвимости тем и плагинов, слабых паролей и устаревшего программного обеспечения. Поэтому в сегодняшней статье мы решили уделить внимание такой теме, как защита WordPress.

Ранее мы уже писали о защите сайта на WordPress, где говорили о том, что один из способов защитить сайт — использовать специальные плагины безопасности. В этой статье хотим рассмотреть тему таких плагинов чуть подробнее. Мы отобрали 6 плагинов для WordPress, которые смогут защитить сайт от различных хакерских атак, вредоносного программного обеспечения, спамеров и прочих неприятных вещей.

Из статьи вы узнаете:

iThemes Security

Этот плагин предлагает более 30 способов защиты сайта. Работает как с отдельными сайтами, так и с мультисайтами WordPress. Функционал плагина включает:

1. Защиту сайта:

  • предотвращает брутфорс-атаки с помощью запрета доступа пользователям с большим количеством неправильных попыток входа на сайт;
  • сканирует сайт и предоставляет отчеты о существующих уязвимостях и способах их устранения;
  • запрещает доступ ботам и подозрительным пользователям;
  • усиливает общу

hostiq.ua

Защитить сайт или блог на wordpress. Защита в несколько уровней

zashhitit-sayt-na-wordpress

Привет друзья!

Эта статья о защите блога (сайта) на движке вордрпресс. Здесь я собрал все то, что может быть полезно, чтобы хорошо защитить ваш блог на WordPress.

Друзья, напоминаю вам о новых конкурсах. Принимайте участие и зарабатывайте денежные призы!

Как раскрыть большую тему защиты блога в одной статье

Если помните, я еще несколько месяцев назад обещал написать статью на эту тему. Но все как-то руки не доходили, а писать, чтобы просто отписаться — это не в моем стиле. Любая статья должна нести пользу, иначе, зачем их писать?!

Так вот, теперь я понимаю, что хорошо, что не написал ее раньше, так как за это время я узнал намного больше того, что знал раньше. Всему свое время, как говорится. Та статья, которую я планировал раньше, сейчас была бы неполной. А ведь я хочу рассказать все, что знаю сам, мне нечего скрывать от Вас.

В общем, хочу рассказать много полезного о защите и безопасности ваших блогов и сайтов на движке Wordpress. В то же время я не хочу плодить множество статей и делать их похожими на многие другие. С одной стороны, обучение блоггингу это не моя специфика; есть люди, разбирающиеся в этом гораздо лучше. С другой, я ценю свое и ваше время, поэтому не занимаюсь ни копирайтом ни рерайтом на своем блоге.

Я рассказываю о людях, у которых приятно учиться, а также о курсах, на которые стоит обратить свое внимание.

Как же раскрыть эту тему в одной статье и собрать здесь столько информации, сколько я еще не встречал ни у одного автора? Догадались? Информативная часть статьи будет в виде плана работ, которые нужно провести, чтобы по максимуму обезопасить свой блог от различных попыток вторжения извне.

План будет их двух частей: обязательной и дополнительной. Эти меры разделены условно, и это лишь моя точка зрения на вопрос безопасности. У Вас может быть другой подход и свои мысли. Кстати, высказывайте их в комментариях! Если я что-то все-таки упущу, Ваше дополнение будет очень полезным многим читателям. Сделайте доброе дело, не пожалейте несколько минут своего времени для всеобщего блага.

Чтобы не повторяться и городить лишнего, я просто буду оставлять ссылки на статьи тех авторов, которые мне больше всего понравились. Они очень понятные, я сам разбирался по ним и вносил изменения. Получилось у меня, получится и у Вас!

Как стать интернет-предпринимателемЗарабатывать продавая информацию в интернетеЗаработок на партнеркахДенежные стратегии заработка на мини-сайтахТимофеев и партнеры. Обучение до РезультатаYouTube СпециалистКак делать деньги на знаниях других людей

Безопасность блога — это очень важно

Много писать не буду. Это лишь для тех, кто еще не представляет насколько этот вопрос важный. Трудно представить более важную тему на начальных этапах развития блога, чем безопасность его от взлома. Если Вы задаетесь вопросом: как защитить блог на вордпресс, то вы попали туда куда нужно, и здесь найдете все, что необходимо.

Если же защита блога кажется вам делом сомнительным, то задумайтесь на минутку. Представляете, как будет обидно, если вы стараетесь, вкладываете свое драгоценное время и много сил, чтобы вести блог, настраивать его, писать статьи, а в один момент (который наступит внезапно) ваш блог станет вам неподвластен или хорошенько испорчен. Может быть, это не ощущается в первые дни ведения блога, но когда блогу несколько месяцев и даже годы, это большая потеря.

Может быть, вы думаете, что я перегибаю палку и напрасно вас пугаю? Не думаю так. Я слышал множество историй о взломах и всякого рода вредительствах. В сети полно хулиганов. Хорошим специалистам по взлому до молодых блогов конечно нет дела, а вот мелким пакостникам бывает нечем больше заняться, как досадить кому-то. Знаете почему я не сказал «хакеров»? Хакер — изначально хорошее слово (почитайте в словаре, или здесь), но среди них есть те, кто причиняют проблемы и портят тем самым репутацию слову.

Блогов на движке Wordpress больше всего, а значит, способов и вариантов взлома уже более чем достаточно. Давайте займемся тем, что будем прикрывать эти лазейки! Защита, которую я предлагаю вам сделать, будет многоуровневой.

Спорить не буду, взломать можно почти все, что угодно, но как говорится «береженого бог бережет». Проделав эту работу, вы всегда будете спать спокойно и не переживать лишний раз за свое детище. Разве оно того не стоит?

Меры по защите блога Wordpress от взлома

Ну что же, давайте начнем. Попейте чаю, кофе или что у вас там есть, и приступим. Будьте внимательны! Работы тут не на один час. Можете сохранить статью в закладки, чтобы не потерять.

Обязательные меры безопасности

  1. Бекапы блога и Базы Данных блога. Это нужно проделать в самую первую очередь и выполнять время от времени, чтобы всегда была возможность восстановиться в случае чего. Никто не застрахован от ошибок. Многие хостинги предоставляют такую возможность. У меня timeweb, там в новом интерфейсе есть подраздел «Резервные копии». Справа три закладки: Файлы, Базы данных и Статус задач. На вкладке «Файлы» нажимаете кнопку «Сохранить» напротив нужного сайта, потом на вкладке «Базы данных» нажимаете «Сохранить копию» напротив нужной БД. Все файлы сохраняются в домашнем каталоге, их можно скачать с помощью FTP-клиента, например FileZilla. Буду думать, что все это умеют. Если нет, то рекомендую посмотреть этот бесплатный курс по блоггингу. При необходимости там есть кнопки «Восстановить». Другой вариант — делать резервные копии файлов через FTP-клиент перед тем как их менять. В кабинете на странице раздела «Базы Данных MySQL» можно перейди в админку БД phpMyAdmin и на стнанице «Экспорт» выгрузить всю базу данных в виде .sql-файла. Я делаю бекап блога раз в месяц и бекап БД примерно каждую неделю и вам рекомендую не лениться. Более подробно про бекапы можете почитать здесь
  2. Меняйте пароль пользователя в личном кабинете хостера время от времени. В timeweb это делается в Профиле аккаунта. Пароли делайте сложными, содержащими большие и маленькие латинские буквы и цифры. Чем пароль длиннее, тем надежнее, я предпочитаю больше 20 символов.
  3. Поменяйте логин в админке вордпресс. Стандартный логин «admin», оставлять его таким очень опасно, так как есть большая вероятность, что кто-то будет пытаться подбирать пароль. Как поменять логин пользователя вы можете узнать из этой статьи, там все очень доступно описано.
  4. Регулярно меняйте пароль в админке вордпресс. Вот здесь хорошо описана эта процедура.
  5. Удаление логина из названия класса в комментариях. Даже после того как вы поменяете логин в админке, знающие люди смогут его без труда узнать. Я сам только недавно узнал про эту лазейку. Чтобы ваши старания не были напрасными, прикройте ее. Это делается за 5-10 минут. Как это сделать смотрите здесь.
  6. Изменение адреса входа в админку. Наверняка вы знаете, что попасть на админку сайта на движке вордпресс можно со страниц http://site.ru/wp-admin/ и http://site.ru/wp-login/. Это стандартные страницы, их все знают, и это слабое место. Но страницу для входа в админку можно сделать уникальной. Я эту страницу поменял, и если вы попробуете эти ссылки, заменив site на dmitriyivlev, то попадете на главную страницу моего блога. Здорово, да? Если хотите также, то читайте эту полезную статью.
  7. Настройки по защите в файле .htaccess. В этом файле тоже необходимо внести дополнительные настройки и тем самым обезопасить свой блог еще сильнее. Хорошая инструкция есть в этой статье.
  8. Уберите файлы readme.html и license.txt из корневой директории вашего блога. Если остались директории блога (например, wp-includes), к которым хотите закрыть доступ, то можете добавить ограничение в файле .htaccess или просто создать пустой файл index.php и положить его в нужную директорию.
  9. Обязательно прочитайте эту статью по защите блога, из которой узнаете про плагин All In One WP Security, плюс еще два очень полезные плагина. Также там есть ссылка на статью по защите от спама.

Дополнительные меры безопасности по защите блога

  1. Как скрыть версионность WordPress в коде страниц читайте здесь.
  2. Плагин Limit Login Attempts (показывает попытки подбора пароля). Более подробно о нем и настройках читайте тут.
  3. Плагин WordPress Firewall, вот инструкция по настройке.

Вот, наверное, и все, что я хотел рассказать. Вроде бы ничего не забыл. Как видите, тут много всего собралось. Если не поленитесь и сделаете все настройки, то ваш блог будет очень хорошо защищен.

Если Вы знаете другие секреты, то прошу Вас поделиться!

Желаю вам успехов и хорошей защиты блога!

С уважением, Дмитрий Ивлев.

Тотальная защита WordPressСекреты практического SEOАнализ БлогаШкола блоггеров Александра БорисоваДенежные стратегии заработка на мини-сайтахУникализация шаблона БорисоваНаучись создавать красивые, современные подписные и продающие страницы

Узнайте много интересного и сделайте свою жизнь ярче!

Подписывайтесь и получите сундук с сокровищами.

dmitriyivlev.ru

10 способов защитить сайт на wordpress

Здравствуйте, уважаемые посетители!

На сегодняшний день WordPress является наиболее популярной CMS системой для создания персональных сайтов, что делает его привлекательной мишенью для хакеров. Если у вас есть свой интернет-ресурс на WordPress, то вам необходимо приложить некоторые усилия для обеспечения безопасности ваших данный, а так же персональных данных посетителей вашего сайта. Рано или поздно у каждого владельца сайта возникает вопрос: Как защитить сайт на WordPress?

Навигация по статье:

Сегодня мы рассмотрим 10 основных методов защиты сайта от вирусов, а так же несанкционированного доступа, которые помогут вам организовать грамотную защиту своего блога на вордпресс. Важно отметить, что эти способы не гарантируют 100% защиту вашего веб-сайта.

Основная причина этого заключается в том, что не существует гарантированной 100% защиты от всех возможных варианто взлома. Поэтому очень важно использовать, перечисленные ниже методы защиты совместно, только так можно добиться лучшего результата что бы оградить свой сайт от большинства способов атак.

Обучение фотошоп

1. Следите за обновлениями WordPress и установленных плагинов

Очень важно следить за тем, чтобы система WordPress, а так же все установленные плагины были обновлены до последних версий, т. к. часто обновления WordPress и плагинов содержат патчи безопасности. Разработчики постоянно работаю над усилением защиты своих программных продуктов, устраняя известные уязвимости или «дыры», которыми могут воспользоваться недобросовестные пользователи для получения доступа к вашим данным.

2. Защитите административную часть своего сайта

Очень важно ограничить доступ к административной части. Доступ к «админке» должны иметь только администратор вашего сайта. Для этого вам необходимо получить у вашего провайдера услуги интернет выделенный IP-адрес. Затем, открываем файл .htaccess, который находится в корневой папке веб-сайта на хостинге, нужно прописать следующие команды доступа:

<Files wp-login.php> order deny,allow Deny from all Allow from xx.xxx.xxx.xxx </Files>

<Files wp-login.php>

order deny,allow

Deny from all

Allow from xx.xxx.xxx.xxx

</Files>

Если необходимо разрешить доступ из нескольких компьютеров (например, домашний ПК, ноутбук на работе, компьютер вашего администратора и т. д.) просто добавьте еще раз с новой строки директиву Allow from xx.xxx.xxx.xxx.

В случае, если вы не хотите ограничивать доступ к «админке» с других IP-адресов можно ограничить число неудачных попыток входа в систему. Такой способ позволяет обезопасить свой блог от взлома с помощью подбора пароля. Для таких целей удобный маленький плагин Limit Login Attempts.

3. Не используйте стандартный логин «админ»

Часто, при подборе пароля к вашему ресурсу будут использовать стандартный логин «admin». Можно легко избежать этой проблемы просто задав уникальный логин для авторизации. При установке вордпресса вам предлагается указать имя пользователя. Если же WP уже установлен, то логин можно поменять через базу данных.

4. Используйте «сильные» пароли

Вероятно, вы будете удивлены, узнав, что тысячи пользователей используют как пароль для входа в панель управления сайта фразы на подобии «пароль» или «12345». Эти пароли очень легко угадать, такие варианты пробуют в первую очередь при подборе пароля. Хороший пароль должен состоять из заглавных букв, строчных букв, чисел и специальных символов.

Например: [email protected]%$2385.

Так намного сложнее его подобрать методом перебора.

5. Не запоминайте пароли

Практически все браузеры при вводе логина и пароля предлагают сохранить их для того, что бы в дальнейшем, при повторном входе вам не нужно было напрягаться и вводить все заново. НИ КОГДА НЕ ДЕЛАЙТЕ ЭТОГО! Т. к. различного рода вирусы, которыми может быть заражен (или может заразится) компьютер, ищут файлы в которых сохраняются пароли и отправляют их злоумышленникам.

6. Используйте двухуровневую авторизацию

Добавление двухуровневой авторизации эффективно работает как дополнительная мера защиты. Сделать это можно с помощью плагина Clef, который добавляет проверку подлинности с помощью мобильного телефона. Даже если злоумышленнику удастся получить данные для доступа, ему еще придется украсть ваш телефон:)

7. Убедитесь что компьютер не заражен вирусами и вредоносными программами

антивирусная защита

Так же, злоумышленник может получить доступ к логину и паролю через ваш компьютер, заразив его вирусом. Поэтому, очень важно, что бы у вас был установлен хороший антивирус с «свежей» антивирусной базой.

8. Защита сайта WordPress от d-dos атак

защита сайта от ddos атак

D-dos атака — это хакерская атака с целью доведения интернет-ресурса до отказа, либо затруднения его использования. Другими словами, злоумышленник создает большое количество внешних запросов к интернет-ресурсу, которые не могут быть обработаны сервером вашего хостинга, что приводит к перегрузке и отключению сервера, т. е. к блокировке веб-сайта.

Это очень серьезная тема для обсуждения. Существует много способов противодействия d-dos атакам. Вот наиболее простые из них:

  • Пользоваться хостингом с защитой от ddos атак.
  • Использовать плагин Wordfence Security.

9. Используйте плагины-антивирусы

как защитить сайт на wordpress от вирусов

Репозиторий WP содержит много плагинов для обеспечения безопасности блога от вирусов и различного рода атак. Они имеют обширный функционал и позволяют организовать комплексную защиту. Одними из таких плагинов является All In One WP Security & Firewall и уже упомянутый выше плагин Wordfence Security.

10. Делайте резервное копирование

Есть много различных вариантов, которые могут привести к потере работоспособности вашего интернет-проекта и было бы очень полезно иметь резервную копию всех данных веб-сайта, что позволит вам без особых затрат все восстановить. Есть несколько вариантов:

  • С помощью хостинга — многие хостинги предлагают услугу автоматического резервного копирования через определенные промежутки времени. Если, вдруг, случится какая-то непредвиденная ситуация, вам не составит труда восстановить утерянные, зараженные либо поврежденные файлы. Очень удобная функция, на наличие которой стоит обращать внимание при выборе хостинга.
  • Вручную — можно периодически делать резервную копию файловой части и базы данных вашего интернет-проекта вручную. Резервное копирование файловой части делается с помощью FTP-клиента, а БД копируется через приложение phpMyAdmin доступное на панели управления хостингом
  • С помощью специальных плагинов — также, вы можете настроить резервное копирования базы данных при помощи специальных плагинов. Например, таких как:
    • BackUp WordPress
    • WP Remote
    • Online Backup for WordPress

Так же, стоит отметить, что архивы с резервными копиями сделанные автоматически хостингом, или при помощи плагина хранятся в корневой папке вашего сайта на хостинге. Поэтому нужно периодически скачивать эти архивы себе на компьютер. Не обязательно сохранять их каждый день, достаточно это делать хотя бы один раз в 1-2 недели, т. к. с сервером вашего хостинга тоже могут произойти различные неприятности.

Как научиться продвигать сайты?

Сегодня я постаралась вам рассказать про основные, известные мне, методы защиты сайта на WordPress от различного рода хакерских атак. Каждый из приведенных способов — это отдельный повод для написания статьи. Поэтому если у вас возникли какие-то вопросы, или вам хотелось бы узнать о каком-то приеме защиты более подробно, пишите комментарии и задавайте вопросы.

С уважением Юлия Гусарь

impuls-web.ru