Безопасность WordPress
WordPress является одним из самых распространенных движков для создания сайта, поэтому неудивительно, что многие злоумышленники целенаправленно отыскивают способы взлома этой CMS. В этой статье мы перечислим основные правила, позволяющие обеспечить безопасность WordPress.
Настройка безопасности WP (Вордпресс)
- Обязательно обновляйте WordPress, а также установленные плагины до самых последних версий. Дело в том, что большинство обновлений содержат устранения уязвимостей, ухудшающих безопасность сайта.
- Смените логин аккаунта администратора с admin на любой другой. Большинство злоумышленников, пытаясь подобрать пароль, будут пытаться взломать аккаунт с логином admin, поэтому обязательно смените его на другое имя.
- Используйте сложные пароли, включающие символы различного регистра и цифры. В этом случае подобрать пароль к админ-панели будет просто невозможно.
- Включите двухфакторную аутентификацию для сайта, требующую отправки SMS на мобильный телефон.
- Убедитесь в том, что на вашем компьютере нет вирусов и прочих вредоносных программ. Зачастую взлом сайта осуществляется через рабочую машину web-мастера.
- Регулярно делайте копии всех баз данных и файлов сайта. Это позволит вам восстановить ресурс в течение нескольких минут, если все-таки злоумышленник взломает его.
- Отключите редактор тем и плагинов, добавив в файл wp-config.php строку
/* this disables theme and plugin editor */ define( 'DISALLOW_FILE_EDIT', true ); define( 'DISALLOW_FILE_MODS', true );
- Обязательно удаляйте неиспользуемые темы и плагины.
- Перед установкой новой темы (даже полученной из источника, который вы считаете надежным) обязательно проверьте ее при помощи плагина Theme check.
Плагины безопасности для Вордпресс
Существует ряд плагинов для WordPress, позволяющих улучшить его безопасность. Перечислим их.
WordFence. Плагин, позволяющий устранить достаточно разнообразные угрозы безопасности, а также анализировать поведение посетителей на сайте. Если у вас возникнет подозрение в том, что ваш сайта взломан, вы можете запустить сканирование файлов, в ходе которого они будут сравниваться с чистой версией WordPress. WordFence включает возможность поиска всех исходящих ссылок с сайта, среди которых он выявляет зараженные вирусом ресурсы. Также плагин позволяет быстро заблокировать большее количество IP-адресов.
iThemes Security. Позволяет обнаружить около 30 видов уязвимостей. Основные возможности:
- двухфакторная аутентификация через Google Authenticator или мобильный телефон,
- установка максимальной длительности использования пароля, принуждающая всех пользователей сменить пароль через определенное время,
- сканирование файлов с целью обнаружения в них вредоносного кода,
- мониторинг файловых изменений,
- возможность временного доступа на сайт, истекающая через определенный период (пригодится в случае если вы доверили наполнение ресурса фрилансеру),
- Google reCAPTCHA позволяет избавиться от спамеров,
- WP-CLI интеграция – возможность управлять блогом из командной строки,
- предотвращение брутфорса (перебора паролей),
- обнаружение воздействия на сайт множества ботов,
- регулярное резервное копирование базы данных,
- поиск 404 страниц,
- автоматическое обновление JQuery
и ряд других.
