Защита сайта на wordpress

Если вы хотите создать сайт на WordPress, то вы автоматически попадаете в категорию потенциального взлома. Происходит это потому, что исходный код движка WordPress является открытым и просмотреть его может абсолютно любой человек, в том числе и хакер, который легко найдет потенциальные уязвимости. Чтобы повысить степень защиты своей страницы, необходимо выполнить всего несколько несложных действий:

• Замена логина. Первой ошибкой, которую находят боты, являются логины-admin. Чтобы исправить это, необходимо создать новую учетную запись под иным именем, а затем удалить аккаунт админ.
• «Поколдуйте» над паролем. Чаще всего мы используем один и тот же, либо очень схожий, пароль для входа во все системы. Этим и пользуются злоумышленники. Чтобы усложнить им работу, используйте сложные пароли, которые будут состоять из больших и маленьких букв, знаков препинания и цифр. Чем сложнее он будет, тем больше шансов у вашего сайта устоять перед массовой хакерской атакой.
• Проводите обновление wordpress. Применение устаревших скриптов часто является причиной взлома. Заходя в админку wordpress, вы будете постоянно получать сообщения о выходе новых обновлений. Данная информация будет отображаться прямо на главной странице панели управления. Это значительно увеличит уровень безопасности сайта.
• Откажитесь от бесплатных тем. Все мы знаем, что бесплатный сыр бывает только в мышеловке, но не можем устоять перед соблазном. Именно бесплатные темы могут нести в себе вирусы, которые впоследствии принесут множество проблем.
• Избегайте платных плагинов, которые можно скачать совершенно бесплатно, поскольку в них наверняка размещен “троянский конь”, который впоследствии предоставит хакеру доступ к вашему сайту..
• Создавайте резервные копии. Достаточно одной «удачной» хакерской атаки, чтобы испортить работу даже защищенного и стабильного сайта. Чтобы потом не хвататься за голову и думать, как решить проблему, не ленитесь и создавайте бекапы. Тем более большинство компаний-хостеров предоставляет эту услугу по умолчанию.
• Обновляйте антивирус на ПК. Размещая на сайте файлы из собственного компьютера, не забывайте, что и они могут быть заражены. Чтобы не столкнуться с этим, постоянно обновляйте антивирусную программу и чистите ПК.
• Соединение по защищенному протоколу. Для обеспечения максимальной защиты своего сайта, производите загрузку файлов через SFTP. Если ваш хостинг не позволяет проводить данную процедуру, обратитесь к более защищенному провайдеру.
• Обеспечение безопасности конфигурационных файлов. Повысить уровень защиты своего сайта можно с помощью добавления всего одного файла .htaccess. Если вы не обладаете данным файлом, достаточно создать текстовый с таким именем. Код, представленный ниже, если вы его разместите в файле .htaccess, не даст злоумышленнику логин от базы данных в случае неполадок с PHP.

  <Files wp-config.php> order allow, deny deny from all </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule>

  <Files wp-config.php> order allow, deny deny from all </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule>

• Защитите свои каталоги. С помощью того же файла .htaccess вы можете защитить свои каталоги от нежелательных просмотров. Для этого нужно добавить в него директиву:

  Options -Indexes

  Options -Indexes

• Обезопасьте файл .htaccess. Конечно, многие подумают, что никто не станет менять данный файл. Но он является основой безопасности вашего сайта, поэтому лучше обеспечить ему достойную защиту. Поэтому «заприте все двери» и впишите код:

  <files .htaccess> order allow, deny deny from all </files>

  <files .htaccess> order allow, deny deny from all </files>

• Поставьте ограничения на вход в админку сайта, только с определённых Ip-адресов. Для этого в файл .htaccess поместите такой код:

  AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny, allow deny from all allow from xx.xxx.xxx.xxx //где xx.xxx.xxx.xxx - это Ip адрес, которому разрешен доступ

  AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny, allow deny from all allow from xx.xxx.xxx.xxx //где xx.xxx.xxx.xxx - это Ip адрес, которому разрешен доступ

  Надо отметить, что этот способ не будет работать, если у вас динамический Ip-адрес.

• Поставьте ограничения на попытки входа. Чтобы взломать пароль, даже не очень сложный, необходимо сделать несколько попыток входа. Если правильно настроите систему, то хакер будет заблокирован после второй провальной попытки введения пароля.
• Запретите возможность отследить HTTP-заголовок. Для этого в файл .htaccess добавьте код:

  RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F]

  RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F]

• Защита от SQL-инъекций. Такие атаки признаны самыми распространенными по статистике WordPress. Для того, чтобы «оставить хакера с носом», введите в файл .htaccess такие строки:

  RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR] RewriteCond %{QUERY_STRING}_REQUEST(=|\[|\%[0 - 9A-Z] {0,2}) RewriteRule ^(.*)$ index.php [F.L]

  RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR] RewriteCond %{QUERY_STRING}_REQUEST(=|\[|\%[0 - 9A-Z] {0,2}) RewriteRule ^(.*)$ index.php [F.L]

Чтобы не ломать себе голову и значительно облегчить жизнь, обратитесь за помощью к специалистам компании UkrHost, которые быстро и качественно выполнят эту работу!