Здравствуйте, мои бесценные читатели! Рад приветствовать Вас на страницах блога FairHeart.ru. К сожалению, от своих читателей я очень часто слышу о взломах блогов на WordPress. Это очень печально, ведь люди теряют то, во что годами вкладывали все свои силы и кучу времени. В этой статье я дам советы по увеличению безопасности WordPress. Они помогут вам избежать подобных неприятностей.

Безопасность wordpress

К вопросу безопасности WordPress ни в коем случае нельзя подходить узко, как к замкнутой изолированной системе. Обязательно нужно следить за безопасностью компьютера, с которого вы заходите в админку WordPress, рабочей почты, используемых сторонних сервисов и программ.

Советы по безопасности в целом

Первые мои советы коснуться вопросу работы с паролями. Это основа основ, фундамент! Не ленитесь следовать изложенным ниже правилам:

  • используйте пароль длинной не менее 8 символов с буквами в разном регистре, числами и по возможности другими символами;
  • старайтесь обновлять его раз в пол года;
  • никогда не используйте в качестве пароля слово из словаря или сочетание таких слов;
  • никогда не сохраняйте пароли в браузере и ftp клиентах;
  • используйте разные пароли для почты, панели администратора WP, хостинга и так далее;
  • для второстепенных форумов и сайтов, с которых вы хотите получить только обратную ссылку, создайте отдельный пассворд, который нигде на основных интернет ресурсах не будет использоваться и специальную почту под спам;
  • не храните пароли в текстовом документе на компьютере, если не можете запомнить их все — прибегнете к помощи специальных программ (где хранить пароли?);
  • никогда не и используйте свой пассворд на незнакомом компьютере. Например, в интернет-кафе.

Любые меры, направленные на увеличение безопасности WordPress, могут оказаться бесполезными, если ваш компьютер в целом не защищен. По защите компьютеров от атак злоумышленников, вирусов, троянов и прочей нечисти написана не одна книга, но углубляться в дебри этого я не буду — только самое простое и важное:

  • Установите и используйте антивирус. Нет денег на Dr. Web или Касперский — используйте бесплатный avast.
  • Не посещайте сомнительные интернет ресурсы и не скачивайте сомнительные файлы.
  • Особое внимание уделите электронной почте, там всегда хватает опасного хлама. Перед удалением, отмечайте сомнительные письма как спам — антиспамные механизмы на почте способны обучаться.
  • Обязательно обновляйте программы на компьютере, особенно браузеры.

ТОП-10 советов по безопасности WordPress

Вот 10 основных мер, которые необходимо предпринять любому владельцу блога, дабы свести риск взлома к минимуму:

1. Обязательно своевременно устанавливайте обновления WordPress и всех активных плагинов.

2. Не забывайте делать резервные копии (backup) базы данных и файлов блога.

3. Удалите сторонние ссылки из темы WordPress.

4. Скройте используемую версию WP от глаз посторонних. Для этого откройте на редактирование шаблон header.php и удалите мета тег примерно следующего содержания:

<meta content="WordPress<?php bloginfo ('version'); ?>" />

Потом обязательно удалите из корневой папки блога на сервере файлы readme.html и license.txt. На работу блога никакого влияния они не оказывают.

5. Укажите в файле .htaccess IP компьютеров, с которых вы заходите в админку WP. Тогда вход с постороннего компьютера будет запрещен.

<Files wp-login.php>
Order deny,allow
Deny from All
Allow from 107.345.580.0
</Files>

Только вместо 107.345.580.0 укажите свой IP. Как узнать IP своего компьютера? Задайте этот вопрос Яндексу — он его вам сразу покажет.

Так же запретите просмотр папок посторонним людям, добавив следующую строчку кода:

Options -Indexes

6. Используйте надежный пароль.

7. Не используйте стандартную учетную запись admin. Создайте новую и для нее задайте права администратора, привяжите к ней все статьи блога, а старую учетную запись (admin) удалите.

8. Защититесь от XSS атак при помощи плагина Anti-XSS attack.

9. Смените URL адрес страницы входа в панель администратора WP. Для этого используйте плагин Hide Login, который рассмотрен ниже по тексту. Очевидно, что после этого нельзя размещать форму входа в админку на самом блоге.

10. Установите для папок блога на сервере минимально необходимые для работы права доступа (смотрите WP Security Scan ниже).

Anti-XSS attack

Плагин противодействует XSS атакам на блог. Устанавливается стандартно, только обязательно скачайте самую свежую версию Anti-XSS attack. Начинает работать сразу после активации и никаких настроек не имеет. Если при попытки зайти в админку видите подобную картину:

Anti-XSS attack

не пугайтесь, просто перейдите по указанной ссылки, а дальше как обычно.

Login LockDown

Позволяет задать количество возможных попыток ввода пароля для доступа к панели администратора WP за определенное время. Если за отведенное количество попыток, вы так и не ввели правильный пассворд, админка блокируется на указанное в настройках время.

Скачайте свежую версию плагина Login LockDown, установите и активируйте. Настроек у него совсем немного, и располагаются они в разделе «Параметры» — «Login LockDown».

Login LockDown

  • Max Login Retries — количество попыток ввода пароля;
  • Retry Time Period Restriction (minutes) — количество минут, за которое считаются попытки ввода пароля;
  • Lockout Length (minutes) — время в минутах, на которое блокируется панель администратора WP;
  • Lockout Invalid Usernames? — учитывается не только ошибочный введенный пассворд, но и логин;
  • Mask Login Errors? — скрывает сообщение об ошибочном вводе логина/пароля.

Не стоит беспокоится, что злоумышленник может намеренно вводить неправильные пароли и блокировать для всех вход в админку. Блокировка идет по IP, поэтому вы со своего компьютера спокойно сможете зайти.


WP Security Scan

С установкой и активацией плагина проблем возникнуть не должно, только обязательно скачайте последнюю версию WP Security Scan. Под свои настройки создает отдельный пункт в меню — WSD security.

Сразу после активации WP Security Scan просканирует ваш WordPress и выдаст результат в пункте Inital Scan. Красным будут выделены те пункты, которые не соответствуют требованиям к безопасности.

Сканирование производится по следующим пунктом:

  • последняя ли версия WP у вас установлена;
  • какой префикс используется для таблиц в базе данных — по умолчанию используется wp_, но лучше поменять его на другой. WP Security Scan позволяет задать новый префикс БД в разделе Database своих настроек;
  • Скрыта ли версия WordPress — об этом я уже рассказывал чуть выше;
  • Проверяет базу данных на ошибки;
  • Определяет под каким пользователем вы заходите и публикуете статьи в WordPress. Как я уже говорил выше, использовать стандартную учетную запись admin не безопасно;
  • проверяет настройки файла .htaccess.

Помимо информации по безопасности WordPress, плагин выдает подробную информацию по серверу — System Information Scan.

В разделе Scanner настроек WP Security Scan представлена таблица со списком папок WP, для каждой из которых указаны права доступа, которые необходимо использовать в целях безопасности (Needed Chmod), и текущие права доступа. Для изменения прав доступа можно использовать ftp клиент FileZilla.

В разделе Password Tools можно проверить надежность пароля. Помимо этого предлагается использовать сгенерированный плагином «сильный» пароль. Обязательно прочитайте о том, как сменить пароль в WordPress.

Переходим к настройкам префикса БД — Database. Укажите любой другой префикс вместо стандартного wp_, только не забудьте, что префикс должен оканчиваться знаком _.

В оставшихся пунктах настроек — options и support, ничего стоящего нет.

На этом все! Спасибо за внимание. Подписывайтесь на RSS ленту новостей блога. Берегите себя!

Лучший способ выразить благодарность автору - поделиться с друзьями!

Узнавайте о появлении нового материала первым! Подпишитесь на обновления по email:

Следите за обновлениями в Twitter и RSS.