Главная - Wordpress: установка & управление - 8 простых советов по усилению безопасности вашего сайта на WordPress
Важно!
Темы и плагины, о которых я написал свои обзоры и выложил на скачивание, могут не корректно работать на последних версиях WordPress. У меня нет физически возможности проверять все бесплатные темы и плагины WordPress на корректную работу и совместимость. Благодарю за понимание.

8 простых советов по усилению безопасности вашего сайта на WordPress

Любые ваши действия, направленные на повышение безопасности сайта, оправданы. Для любого новичка тема безопасности сайта на WordPress настолько непонятна и сложна, что новичок из-за этого просто старается не думать на эту тему, оправдывая своё бездействие мыслями о том, что его сайт никому не нужен. В плане взлома.

Буквально несколько дней назад один из клиентов моего хостинга написал мне, что получил письмо от Google о том, что его сайт распространяет фишинговые страницы. Фишинг — особый способ мошенничества, когда рассылается спам с ссылками посетить аккаунты и пройти повторную регистрацию. Фактически подставляется «липовая» страница сайта (например, Google, Yahoo, сайты банков и т.д.), где посетителя просят ввести свои логин и пароль для проверки. А реально — идет массовый сбор данных регистрации через мошеннические страницы.

Только не думайте, что этим занимается конкретный человек. Ваш сайт может попасть под атаку специального вирусного скрипта, который может найти «лазейку» и проникнуть на ваш сайт. Сначала это будет PHP-иньекция, с закодированным кодом PHP, который через некоторое время будет автоматически инициирован и загрузит на ваш сайт целую папку с файлами PHP+JS, и превратит ваш сайт в мошеннический.

Вариантов и способов взлома сайта на WordPress — десятки, и каждый день появляются все новые и новые способы, как обойти защиту.

И что очень важно: разработчики системы WordPress знают о удачных попытках взлома системы и выпуская новые обновления WordPress, учитывают новые тенденции хакеров.

И все же — нельзя надеяться только на разработчиков системы WordPress. Вам, как владельцу своего сайта, надо тоже активно заниматься его безопасностью. Для этого существуют в первую очередь, ваши дополнительные действия. Именно ваши. Никто за вас это делать просто так не будет. Можно, конечно, нанять специалиста (например, меня :)), который за определенную плату установит дополнительную защиту вашему сайту. Но. Можно и самому выполнить ряд шагов. Даже новичок, слабо знающий и понимающий систему, может выполнить ряд необходимых действий, которые повысят безопасность сайта.

Сегодня, в этой статье, я хочу дать вам несколько советов: что вам надо делать обязательно с своим сайтом, чтобы повысить его безопасность.

Совет Первый: регулярно делать резервную копию всего сайта

Ваш сайт — это основная директория, которая чаще всего на вашем сервере имеет название: public_html, www, httpdocs и так далее. В этой директории лежат папки системы WordPress: /wp-admin, /wp-content, wp-include. Именно эти папки вместе с файлами вам надо регулярно архивировать и скачивать на свой компьютер. Не забывать делать бэк-ап базы данных. Для этого есть функционал на вашем сервере хостинга, а также есть специальные плагины для бэк-апа базы данных и сайта в целом.

Совет Второй: регулярно делать обновления системы WordPress

Я уже писал об этом, как правильно делать обновления системы. Лучше всего, ждать, когда выйдет версия с тремя числами и никогда не спешить обновляться на версию с двумя числами. Например:

  • Не обноляться, когда выходит версия WordPress с номером: 3.4, 3.5, 3.6, 3.7 и т.д.
  • Обновляться, когда выходит версия: 3.5.1, 3.5.2, 3.6.1, 3.6.2 и т.д.
Совет Третий: заменить имя пользователя admin на более сложное

Правильней всего — это сделать на сервере в программе phpMyAdmin, с помощью SQL-запроса:

 

UPDATE wp_users SET user_login = ‘test’ WHERE user_login = ‘admin’;

 

В примере выше слово ‘test’ — это новое имя администратора. Если вас взламывает человек, он найдет новое имя администратора, если взламывает робот — может не найти.

Совет Четвертый: подключите инструменты Google-инструменты вебмастера или Яндекс.Вебмастер

Эти системы автоматически ведут мониторинг сайта 24 часа в сутки и в случае его взлома и размещения на сайте вредоносного кода — сразу сообщат вам об этом на электронный адрес. В этом сообщении может быть даже указан путь, где лежат файлы вируса.

Совет Пятый: закрыть все папки основной директории от индексирования

Если у вас не закрыты системные папки WordPress от индексирования, тогда любой человек или робот может видеть, какие у вас на сайте стоят, к примеру, плагины. Это плохо. Для того, чтобы закрыть папки от индексирования, достаточно в файл .htaccess в основной директории добавить команду:

#Prevent directory indexing
Options -Indexes

А лучше — создать такие файлы для каждой директории с этой командой.

Совет Шестой: не пользоваться FTP программами для соединения с файлами сайта

Этот совет на тот случай, если ваш компьютер слабо защищен и у вас не стоит лицензионное программное обеспечение антивирусной защиты. Я уже давно отказался от варезных вариантов антивируса и купил лицензию Касперского для 2-х компьютеров. Стоимость такой лицензии — всего 170 украинских грн. на 1 год. Ерунда в сравнении с теми проблемами, которые несет в себе вирус на компьютере.

Совет Седьмой: защитите файл wp-config.php

В этом файле хранятся данные подключения вашей базы данных: имя базы, имя пользователя и пароль. Это очень важная информация, которая должна быть надежно защищена. Варианты защиты файла: добавить ключи аутентификации (пример есть в файле), переместить файл на папку выше, добавить специальный код в файл .htaccess. Обо всех этих вариантах в сети много информации, как это сделать правильно.

Совет Восьмой: использовать новые плагины и темы WordPress из проверенных источников

Много сайтов, которые раздают бесплатно темы и плагины. И примерно 80% таких сайтов раздают их с внедренными кодированными кодами PHP. Поэтому, прежде, чем вы хотите что-то новое скачать, трижды подумайте, насколько надежен источник, откуда вы собрались скачивать новую тему или новый плагин.

Кроме этих восьми советов, добавлю еще несколько строк.

На этом сайте есть подборка моих публикаций на тему безопасности сайта. Советую скачать ее одним файлом в формате PDF. Там вы найдете много полезной информации.

Здесь же, на сайте, есть рубрика под именем Шпаргалки. Там — тоже много полезной информации, и о безопасности в том числе. Советую почитать.

Интернет-магазин Фокстрот — кухонные комбайны киев. Лучший подарок жене.

О Oleg Vlasov

Я более шести лет профессионально занимаюсь сайтами на CMS WordPress: перевод на русский тем и плагинов; разработка уникальных тем под заказ; сопровождение сайтов, защита и безопасность, продвижение в поисковых системах. У меня несколько своих проектов, в которых я пишу только о WordPress, продаю свои авторские работы, пишу платные и бесплатные видео-уроки. В свободное время люблю ездить на рыбалку. И еще - хочу завести собаку.

2 комментария

  1. Добрый вечер,
    отличная статья, спасибо!!!

    Прошу Вас пояснить, а куда именно вставляется этот код в .htaccess
    #Prevent directory indexing
    Options -Indexes

    то есть в конце или наоборот в начале?

    заранее благодарен.

Оставить комментарий

Ваш email нигде не будет показанОбязательные для заполнения поля помечены *

*