Захист сайту на wordpress

Якщо ви хочете створити сайт на WordPress, то ви автоматично потрапляєте в категорію потенційного злому. Відбувається це тому, що вихідний код движка WordPress є відкритим і переглянути його може абсолютно будь-яка людина, в тому числі і хакер, який легко знайде потенційно вразливі місця. Щоб підвищити ступінь захисту своєї сторінки, необхідно виконати лише кілька дій:

• Заміна логіна. Першою помилкою, яку знаходять боти, є логіни-admin. Щоб виправити це, необхідно створити новий обліковий запис під іншим ім’ям, а потім видалити акаунт адмін.
• «Поколдую» над паролем. Найчастіше ми використовуємо один і той же, або дуже схожий, пароль для входу в усі системи. Цим і користуються зловмисники. Щоб ускладнити їм роботу, використовуйте складні паролі, які будуть складатися з великих і маленьких літер, розділових знаків і цифр. Чим складніше він буде, тим більше шансів у вашого сайту встояти перед масової хакерської атакою.
• Проводьте оновлення wordpress. Застосування застарілих скриптів часто є причиною злому. Заходячи в адмінку wordpress, ви будете постійно отримувати повідомлення про вихід нових оновлень. Дана інформація буде відображатися прямо на головній сторінці панелі управління. Це значно збільшить рівень безпеки сайту.
• Відмовтеся від безкоштовних тем. Всі ми знаємо, що безкоштовний сир буває тільки в мишоловці, але не можемо встояти перед спокусою. Саме безкоштовні теми можуть нести в собі віруси, які згодом принесуть безліч проблем.
• Уникайте платних плагінів, які можна викачати абсолютно безкоштовно, оскільки в них напевно розміщений “троянський кінь”, який згодом надасть хакеру доступ до вашого сайту.
• Створюйте резервні копії. Досить однієї «вдалою» хакерської атаки, щоб зіпсувати роботу навіть захищеного і стабільного сайту. Щоб потім не хапатися за голову і думати, як вирішити проблему, не лінуйтеся і створюйте бекапи. Тим більше більшість компаній-хостерів надає цю послугу за замовчуванням.
• Оновлюйте антивірус на ПК. Розміщуючи на сайті файли з власного комп’ютера, не забувайте, що і вони можуть бути заражені. Щоб не зіткнутися з цим, постійно оновлюйте антивірусну програму і чистите ПК.
• З’єднання по захищеному протоколу. Для забезпечення максимального захисту свого сайту, робіть завантаження файлів через SFTP. Якщо ваш хостинг не дозволяє проводити дану процедуру, зверніться до більш захищеним провайдеру.
• Забезпечення безпеки конфігураційних файлів. Підвищити рівень захисту свого сайту можна за допомогою додавання всього одного файлу .htaccess. Якщо ви не володієте даними файлом, досить створити текстовий з таким ім’ям. Код, представлений нижче, якщо ви його розмістите в файлі .htaccess, не дасть зловмисникові логін від бази даних в разі неполадок з PHP.

  <Files wp-config.php> order allow, deny deny from all </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule>

  <Files wp-config.php> order allow, deny deny from all </Files> <IfModule mod_rewrite.c> RewriteEngine On RewriteBase / RewriteRule ^index\.php$ - [L] RewriteCond %{REQUEST_FILENAME} !-f RewriteCond %{REQUEST_FILENAME} !-d RewriteRule . /index.php [L] </IfModule>

• Захистіть свої каталоги. За допомогою того ж файлу .htaccess ви можете захистити свої каталоги від небажаних переглядів. Для цього потрібно додати в нього директиву:

  Options -Indexes

  Options -Indexes

• Захистіть файл .htaccess. Звичайно, багато хто подумає, що ніхто не стане міняти даний файл. Але він є основою безпеки вашого сайту, тому краще забезпечити йому гідний захист. Тому «замкніть всі двері» і впишіть код:

  <files .htaccess> order allow, deny deny from all </files>

  <files .htaccess> order allow, deny deny from all </files>

• Поставте обмеження на вхід в адмінку сайту, тільки з певних Ip-адрес. Для цього в файл .htaccess помістіть такий код:

  AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny, allow deny from all allow from xx.xxx.xxx.xxx //где xx.xxx.xxx.xxx - это Ip адрес, которому разрешен доступ

  AuthUserFile /dev/null AuthGroupFile /dev/null AuthName "Access Control" AuthType Basic order deny, allow deny from all allow from xx.xxx.xxx.xxx //где xx.xxx.xxx.xxx - это Ip адрес, которому разрешен доступ

  Надо отметить, что этот способ не будет работать, если у вас динамический Ip-адрес.

• Поставте обмеження на спроби входу. Щоб зламати пароль, навіть не дуже складний, необхідно зробити кілька спроб входу. Якщо правильно налаштуєте систему, то хакер буде заблокований після другої провальної спроби введення пароля.
• Забороніть можливість відстежити HTTP-заголовок. Для цього в файл .htaccess додайте код:

  RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F]

  RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* - [F]

• Захист від SQL-ін’єкцій. Такі атаки визнані найпоширенішими за статистикою WordPress. Для того, щоб «залишити хакера з носом», введіть у файл .htaccess такі рядки:

  RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR] RewriteCond %{QUERY_STRING}_REQUEST(=|\[|\%[0 - 9A-Z] {0,2}) RewriteRule ^(.*)$ index.php [F.L]

  RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR] RewriteCond %{QUERY_STRING}_REQUEST(=|\[|\%[0 - 9A-Z] {0,2}) RewriteRule ^(.*)$ index.php [F.L]

Щоб не ламати собі голову і значно полегшити життя, зверніться за допомогою до фахівців компанії UkrHost, які швидко і якісно виконають цю роботу!