Методы защиты сайта на WordPress. Часть 2.

WordPress, как самая востребованная в мире система управления сайтом, подвергается самому большому количеств атак. И если ничего с этим не делать, то можно очень легко потерять свой сайт или весь прогресс в продвижении, которого так долго достигали.

В ответ на разнообразные способы взлома существует множество вариантов для защиты от них. И в этой статье мы приведём все методы защиты сайта на WordPress, самые актуальные на сегодня и действительно рабочие.

Мы начали этот обзор в первой части статьи.

Все методы защиты сайта на WordPress

Защищённое соединение

Современные интернет технологии позволяют использовать защищённые протоколы для соединения с сайтом. И это теперь стало не так уж и дорого, а в некоторых случаях вообще бесплатно.

При загрузке на сайт файлов через FTP-клиент рекомендуется использовать защищённый протокол SFTP. А также лучше перевести сам домен на протокол HTTPS. Кроме того, что это поможет защитить вводимые данные, это ещё и положительно скажется на продвижении сайта. Особенно HTTPS нужно для интернет-магазинов и других сайтов, где пользователям приходится использовать платёжные данные.

О том, как перейти на HTTPS мы рассказывали здесь.

Работа с файлом .htaccess

.htaccess – это файл, который определяет конфигурацию сервера, на котором находится сайт. Файл располагается в корне сайта, и не имеет имени. .htaccess – это расширение файла.

Благодаря этому файлу можно обеспечить разностороннюю защиту WordPress. Так, .htaccess позволяет сделать такие операции:

  • Блокирование доступа к файлу wp-config.php, в котором содержатся данные для входа в базу данных сайта.
  • Блокирование доступа в файлу .htaccess.
  • Список запрещённых или разрешённый IP адресов.
  • Ограничение доступа к консоли WordPress по IP.
  • Запрет SQL- и XSS-инъекций.
  • И другое.

Реализовать все эти методы защиты сайта на WordPress можно с помощью внесения соответствующего кода в .htaccess. Но это уже тема для отдельной статьи.

Изменение префикса таблицы базы данных

Префикс таблицы базы данных – это, говоря простыми словами, первые символы в названии каждой таблицы. По умолчанию это wp_.

Легче все поменять префикс перед установкой WordPress. Некоторые автоустановщики на хостинге позволяют это сделать. А есть и такие, которые сами при установке создают случайный префикс, отличный от wp_.

Если же сайт уже работает, изменить префикс можно с помощью запросов к базе данных. После этого потребуется изменение данных о базе в файле wp-config.php. Эти методы защиты сайта на WordPress потребуют определённых знаний и опыта. Также можно обратиться в поддержку хостинга, чтобы реализовать это.

Ограничение попыток входа

Самым частым способом взлома является вход в консоль сайта с помощью подбора логина и пароля. Это делается программами, которые могут за секунду испробовать тысячи вариантов логина и пароля.

Самый лёгкий и эффектный способ борьбы с подбором логина и пароля в консоль WordPress — это плагин Limit Login Attempts. Он заблокирует пользователя по IP или cookie-файлам браузера, если при входе будет неправильно введён логин и пароль определённое количество раз.

Файлы readme.html и license.txt

Эти файлы содержатся в корне сайта в каждой стандартной установке WordPress и их лучше удалить. Они не имеют отношения к техническим частям сайта, не влияют на его работу, но могут послужить хакерам полезным источником информации, например о версии WordPress или других данных.

Защита от изменения тем и плагинов

Часто заражение вирусом происходит с помощью внедрения кода с файлы темы или плагинов. Поэтому, если запретить изменение этих файлов, то можно защитить от такого способа взлома.

Для запрета можно использовать файл wp-config.php. Чтобы защитить сайт от изменения файлов тем и плагинов, нужно вставить в этот файл такой код:

define( ‘DISALLOW_FILE_EDIT’, true );

Двухфакторная авторизация

Методы защиты сайта на WordPress продолжаются ещё одним простым, доступным и эффективным способом – двухфакторная авторизация. Суть проста: кроме ввода логина и пароля, потребуется ввести ещё и одноразовый пароль, которых приходит по СМС или в какое-либо мобильное приложение.

Создать двухфакторную авторизацию рекомендуете везде, где можно. Так, большинство хостингов обладают такой функцией. Также это можно сделать и в консоли WordPress с помощью плагинов, например, Google Authenticator.

Плагины для защиты

Для WordPress создано десятки тысяч плагинов для разных функций. В том числе и для защиты сайта тоже есть. Для упрощения реализации мероприятий для защиты рекомендуется использованы проверенные, надёжные и бесплатные плагины. Например, подойдут такие:

  • Wordfence Security.
  • Acunetix WP Security.
  • All In One WordPress Security.

14 комментариев

Оставить комментарий
  1. Спасибо! Очень актуальная статья.

  2. Весьма полезная статья!
    У меня был один сайт на WordPress, и года 2-3 назад, когда происходили атаки на российские сайты, мой сай пострадал в числе прочих!
    На тот момент я не знал о таких вещах как защита сайта ни плагинами ни файлом .htaccess.
    Спасибо за статью, теперь я буду заниматься защитой сайта серьезнее.

  3. Надо будет воспользоваться этими плагинами.

  4. Не думала, что такие серьезные угрозы бывают. Интересная статья!

  5. Ничего не знала о защите! Очень вовремя нашла эту статью. А особенно радует ограничения попыток входа!

  6. Спасибо за сайт! все очень доходчиво, емко,а главное понятно, очень удобен в пользовании. Спасибо за труд!

  7. Очень необходимая для меня статья, очень рада что нашла ее.

  8. Очень полезная статья. И хотя я в этом еще далеко не все понимаю (куча просто вопросов), для меня она была очень полезной.

  9. В наше время продвинутых технологий эта тема актуальна как никогда

  10. Большое спасибо за статью! Вы очень понятно и доходчиво пишете

  11. Спасибо, очень интересная статья

  12. Технологии идут вперед, главное чтоб мы простой народ не отставали. Спасибо Вам Адель за продвижение

  13. Спасибо огромное автору за полезную статью! Очень полезная информация, особенно для новичков на WP.

  14. Не знала, что есть такие программы, которые запросто могут подобрать твой логин и пароль. Теперь буду бдительней.Пойду изучать предложенные вами :)

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *