Здравствуйте, мои бесценные читатели! Рад приветствовать Вас на страницах блога FairHeart.ru. К сожалению, от своих читателей я очень часто слышу о взломах блогов на WordPress. Это очень печально, ведь люди теряют то, во что годами вкладывали все свои силы и кучу времени. В этой статье я дам советы по увеличению безопасности WordPress. Они помогут вам избежать подобных неприятностей.
К вопросу безопасности WordPress ни в коем случае нельзя подходить узко, как к замкнутой изолированной системе. Обязательно нужно следить за безопасностью компьютера, с которого вы заходите в админку WordPress, рабочей почты, используемых сторонних сервисов и программ.
Советы по безопасности в целом
Первые мои советы коснуться вопросу работы с паролями. Это основа основ, фундамент! Не ленитесь следовать изложенным ниже правилам:
используйте пароль длинной не менее 8 символов с буквами в разном регистре, числами и по возможности другими символами;
старайтесь обновлять его раз в пол года;
никогда не используйте в качестве пароля слово из словаря или сочетание таких слов;
никогда не сохраняйте пароли в браузере и ftp клиентах;
используйте разные пароли для почты, панели администратора WP, хостинга и так далее;
для второстепенных форумов и сайтов, с которых вы хотите получить только обратную ссылку, создайте отдельный пассворд, который нигде на основных интернет ресурсах не будет использоваться и специальную почту под спам;
не храните пароли в текстовом документе на компьютере, если не можете запомнить их все — прибегнете к помощи специальных программ (где хранить пароли?);
никогда не и используйте свой пассворд на незнакомом компьютере. Например, в интернет-кафе.
Любые меры, направленные на увеличение безопасности WordPress, могут оказаться бесполезными, если ваш компьютер в целом не защищен. По защите компьютеров от атак злоумышленников, вирусов, троянов и прочей нечисти написана не одна книга, но углубляться в дебри этого я не буду — только самое простое и важное:
Установите и используйте антивирус. Нет денег на Dr. Web или Касперский — используйте бесплатный avast.
Не посещайте сомнительные интернет ресурсы и не скачивайте сомнительные файлы.
Особое внимание уделите электронной почте, там всегда хватает опасного хлама. Перед удалением, отмечайте сомнительные письма как спам — антиспамные механизмы на почте способны обучаться.
Обязательно обновляйте программы на компьютере, особенно браузеры.
ТОП-10 советов по безопасности WordPress
Вот 10 основных мер, которые необходимо предпринять любому владельцу блога, дабы свести риск взлома к минимуму:
1. Обязательно своевременно устанавливайте обновления WordPress и всех активных плагинов.
4. Скройте используемую версию WP от глаз посторонних. Для этого откройте на редактирование шаблон header.php и удалите мета тег примерно следующего содержания:
7. Не используйте стандартную учетную запись admin. Создайте новую и для нее задайте права администратора, привяжите к ней все статьи блога, а старую учетную запись (admin) удалите.
8. Защититесь от XSS атак при помощи плагина Anti-XSS attack.
9. Смените URL адрес страницы входа в панель администратора WP. Для этого используйте плагин Hide Login, который рассмотрен ниже по тексту. Очевидно, что после этого нельзя размещать форму входа в админку на самом блоге.
10. Установите для папок блога на сервере минимально необходимые для работы права доступа (смотрите WP Security Scan ниже).
Anti-XSS attack
Плагин противодействует XSS атакам на блог. Устанавливается стандартно, только обязательно скачайте самую свежую версию Anti-XSS attack. Начинает работать сразу после активации и никаких настроек не имеет. Если при попытки зайти в админку видите подобную картину:
не пугайтесь, просто перейдите по указанной ссылки, а дальше как обычно.
Login LockDown
Позволяет задать количество возможных попыток ввода пароля для доступа к панели администратора WP за определенное время. Если за отведенное количество попыток, вы так и не ввели правильный пассворд, админка блокируется на указанное в настройках время.
Max Login Retries — количество попыток ввода пароля;
Retry Time Period Restriction (minutes) — количество минут, за которое считаются попытки ввода пароля;
Lockout Length (minutes) — время в минутах, на которое блокируется панель администратора WP;
Lockout Invalid Usernames? — учитывается не только ошибочный введенный пассворд, но и логин;
Mask Login Errors? — скрывает сообщение об ошибочном вводе логина/пароля.
Не стоит беспокоится, что злоумышленник может намеренно вводить неправильные пароли и блокировать для всех вход в админку. Блокировка идет по IP, поэтому вы со своего компьютера спокойно сможете зайти.
WP Security Scan
С установкой и активацией плагина проблем возникнуть не должно, только обязательно скачайте последнюю версию WP Security Scan. Под свои настройки создает отдельный пункт в меню — WSD security.
Сразу после активации WP Security Scan просканирует ваш WordPress и выдаст результат в пункте Inital Scan. Красным будут выделены те пункты, которые не соответствуют требованиям к безопасности.
Сканирование производится по следующим пунктом:
последняя ли версия WP у вас установлена;
какой префикс используется для таблиц в базе данных — по умолчанию используется wp_, но лучше поменять его на другой. WP Security Scan позволяет задать новый префикс БД в разделе Database своих настроек;
Скрыта ли версия WordPress — об этом я уже рассказывал чуть выше;
Проверяет базу данных на ошибки;
Определяет под каким пользователем вы заходите и публикуете статьи в WordPress. Как я уже говорил выше, использовать стандартную учетную запись admin не безопасно;
проверяет настройки файла .htaccess.
Помимо информации по безопасности WordPress, плагин выдает подробную информацию по серверу — System Information Scan.
В разделе Scanner настроек WP Security Scan представлена таблица со списком папок WP, для каждой из которых указаны права доступа, которые необходимо использовать в целях безопасности (Needed Chmod), и текущие права доступа. Для изменения прав доступа можно использовать ftp клиент FileZilla.
В разделе Password Tools можно проверить надежность пароля. Помимо этого предлагается использовать сгенерированный плагином «сильный» пароль. Обязательно прочитайте о том, как сменить пароль в WordPress.
Переходим к настройкам префикса БД — Database. Укажите любой другой префикс вместо стандартного wp_, только не забудьте, что префикс должен оканчиваться знаком _.
В оставшихся пунктах настроек — options и support, ничего стоящего нет.
На этом все! Спасибо за внимание. Подписывайтесь на RSS ленту новостей блога. Берегите себя!
Лучший способ выразить благодарность автору - поделиться с друзьями!
Узнавайте о появлении нового материала первым! Подпишитесь на обновления по email: