Как защитить сайт на WordPress хостинг

Эта инструкция поможет вам обеспечить безопасность для интернет-сайтов на CMS WordPress и легко ликвидировать самые распространенные лазейки для взлома.Как защитить сайт на WordPress хостинг

Защита для сайта, если вы выбрали WordPress хостинг

Держите Вордпресс в актуальном состоянии

Разработчики, увы, не латают дыры в старых версиях. Поддержание плагинов и CMS в актуальном состоянии с самыми новыми патчами имеет крайне важное значение для общей защиты интернет-сайта. В основном, для этого будет достаточно нажать кнопку обновления.

Вдобавок, необходимо регулярно обновлять установленные темы и плагины, дабы избежать различных проблем с безопасностью. Самый лучший подход к этому вопросу такой: выжидайте не более двух-трех дней со времени, когда обновления стали полностью доступны.

Проверьте все форумы на наличие специальных отчетов о проблемах. Если их нет, обновляйте ваш веб-ресурс.

В маловероятном случае, когда обновление что-нибудь сломает, просто сделайте откат на предыдущую версию, или же восстановите веб-ресурс из резервной копии.

Поддерживайте безопасность соединения интернет на компьютере

Это кажется вполне очевидным, однако при наличии вредоносных программ и кейлоггеров на вашем домашнем ПК или WiFi-роутере хакерам будет очень просто взломать ваш интернет-портал.

Устанавливайте темы, расширения из официального репозитория

Темы и плагины, загруженные из случайного портала, скорее всего заражены будут вредоносными программами. Загружайте плагины и темы из официального репозитория.

Пользуясь чем-либо, что получено на каких-то случайных сайтах, вы всегда рискуете безопасностью своего портала.

Выберите солидный и качественный хостинг

Хороший хостинг провайдер не только выполняет резервное копирование вашего интернет-ресурса, но и предотвращает перекрестное заражение сайтов, которые расположены на одном сервере. Увы, такие явления довольно распространены даже среди больших хостинг провайдеров. В связи с этим, к вопросу выбора необходимо подходить очень основательно.

Кроме грамотного администрирования серверов необходимо обратить внимание на компетентность службы технической поддержки. Ее специалисты должны быть достаточно грамотными, дабы быстро реагировать на различные вопросы безопасности, а также своевременно их решать.

Регулярно выполняйте проверку своего хостера, дабы убедиться, что он применяет актуальные версии ОС и серверного ПО.

Придумайте хороший пароль

Многие используют легкие пароли. Но для очень важных вещей следует использовать сложные и длинные комбинации.
В случае если у вас есть проблема с запоминанием пароля, либо вы боитесь его потерять, то существуют разные расширения веб-браузера, а также программы сторонних разработчиков, которые будут их хранить за вас.

Для каждого сайта важно придумать отдельный пароль, иначе хакерам будет намного проще взломать ваши аккаунты.

Обязательно удалите логин Admin

Стандартный логин админа по умолчанию, его привилегии – это легкая мишень для хакера. Эту учетную запись следует удалять сразу же после установки CMS WordPress на хостинг в Украине. Для этого необходимо выполнить следующее:

  • Войти в аккаунт Admin.
  • Создать нового пользователя с каким-то уникальным именем, дать ему права админа.
  • Войти с данными этого нового пользователя и просто удалить аккаунт Admin.

Измените свой ник в Вордпресс

Боты регулярно сканируют интернет-ресурсы, стараясь обнаружить теги авторов сообщений, а потом применяют найденные имена в качестве логинов. Это невероятно эффективный вектор атаки для взлома посредством брутфорса. Дабы устранить такую уязвимость, просто войдите в свой аккаунт, а затем установите публичный псевдоним, полностью отличный от вашего логина.

Настройте постоянное резервное копирование

Данная процедура обязательна для всех тех, кто заботится о безопасности собственного веб-портала. Прекрасное решение — настроить постоянное резервное копирование не только БД WordPress, но также содержимое диска сервера.

Есть целый ряд сервисов и плагинов, которые дают возможность сохранять резервные копии. Вдобавок, необходимо поинтересоваться у вашего хостинг провайдера о том, выполняется ли резервное копирование.

Резервные копии нужно проверять хотя бы один раз в месяц, дабы убедиться в том, что они создаются корректно.

Получите ключи безопасности CMS WordPress

В данной системе применяются зашифрованные ключи безопасности для данных, которые сохраняются в куки. Данные ключи идут в ваш WP-config. Специальный генератор случайных чисел можно легко найти на официальном портале WordPress.

Измените префикс БД (только перед установкой!)

Данный пункт подходит лишь для сайтов, создаваемых с нуля. При неверном выполнении процедуры на рабочем сайте можно его полностью убить. В случае если вы начинаете новую установку, то у вас есть возможность изменить префикс БД.

По умолчанию CMS Вордпресс устанавливает префикс «wp_». Это делает работу любого взломщика намного более простой. Изменив его на что-нибудь уникальное, вы устраните данную брешь в безопасности своего сайта.

Кроме этого, лучше удалить тестовую БД, пользователей анонимной БД. Убедитесь в том, что основная база данных недоступна из Сети.

Ограничьте число используемых тем и плагинов

Кроме того, что многие плагины, темы небезопасны, их большое число сильно замедляет работу интернет-сайта. Уменьшите число используемых тем и плагинов. Удалите те из них, которые вы уже не используете. Поддержание вашей системы в чистоте не просто сокращает шансы на использование уязвимостей со стороны хакеров, но и позволяет проще ликвидировать проблемы, если заражение все же произошло.

Как защитить сайт на WordPress хостинг

Переместите WP-config на один каталог вверх, заблокируйте его

Файл WP-config содержит в себе все учетные данные для доступа к БД сайта. Вы можете его переместить выше, разместив вне папки root, доступной из Сети. Это поможет вам защитить файл конфигурации от атак на основе веб-браузера. Вдобавок, желательно изменить права доступа на него, для этого установите значение 600.

Ограничьте количество попыток входа в систему

Применение расширений для безопасности может быть очень запоздалым решением. Вдобавок, опираться в защите на то, что уже в целом небезопасно – это довольно плохая идея. С другой же стороны, расширение Limit Login Attempts – это полезный выбор, поскольку он предотвращает взлом посредством брутфорса, ограничивая число неудачных попыток входа на интернет-сайт. Он может также вести логи адресов ip, с которых хотели войти.

Проверьте права доступа к каталогам, файлам

Права доступа на каталоги и файлы могут иметь достаточно сложные зависимости от общих настроек хостинга. В подавляющем большинстве случаев права на файлы должны установлены быть на значения 640 или 664, а для папок – 750 или 755. Никогда не нужно устанавливать значение 777, если ваш хост еще не сконфигурирован.

Главное правило настройки прав доступа звучит так: устанавливайте как можно более низкие значения, при которых веб-сайт сохраняет свою работоспособность. Последняя цифра разрешений должна быть всегда 0, 4 или 5, но никогда 6 или 7.

Скройте сведения о версии

Скрытие данных об установленной версии CMS WordPress представляет собой весьма простой шаг, который помешает ботам сканировать ваш портал. В файле function.php вашей темы следует разместить следующее:

Как защитить сайт на WordPress хостинг

Включите авторизацию SSL

В случае если ваш интернет-ресурс имеет SSL-сертификат, не забудьте активировать авторизацию по данному протоколу. Вы можете установить ее лишь для входа в систему, либо для всего админраздела в вашем файле WP-config.php. SSL шифрует данные, которые вы посылаете в Вордпресс и в особенности хорошо защищает от атак вроде «человек посередине».

Не позволяйте поисковикам просматривать ваши каталоги

Поиск Google вполне может сканировать ненужные адреса, а также открывать их наличие для злоумышленников. Будет намного лучше, если вы запретите Google и прочим ботам, следующим инструкциям robots.txt, индексировать что-то, помимо вашего контента. Файл robots.txt находится в корневой папке вашего интернет-сайта и это просто текстовый файл.

Как защитить сайт на WordPress хостинг

Отключите пользовательскую регистрацию

В случае если вы ведете свой личный блог, либо создаете интернет-сайт, где не предполагается публикация контента большим числом пользователей, следует отключить регистрацию аккаунтов в админразделе. Для комментаторов же применяйте учетные записи соцсетей.

Отключите посетителям возможность редактировать, обновлять плагины и темы

Желательно убрать у пользователей их права на редактирование, обновление важных файлов посредством администраторского интерфейса.

Установите специальные правила .htaccess

Ниже указаны главные правила, которые вы можете добавить в файл .htaccess в корневом разделе. Продвинутые правила описаны в специальном расширенной инструкции. Их отсутствие способно привести к взлому вашего интернет-ресурса.

Как защитить сайт на WordPress хостинг

Удалите Readme и остальные ненужные файлы

В корневой папке WordPress находится файл под названием readme.html, многие темы и плагины также имеют такие файлы. Желательно удалить их, поскольку они могут быть использованы для снупинга и фингерпринтинга, и часто содержат сведения о версии. Очистите директории вашего интернет-сайта от данных и любых иных ненужных вам файлов.

Создайте отдельную версии веб-ресурса для разработки

Применяйте копию веб-сайта для тестирования обновлений и новых опций, прежде чем использовать их на главном сайте. Это может быть и локальная установка CMS Вордпресс на вашем ноутбуке или компьютере, если вы не желаете платить за еще один WordPress хостинг.

Никогда не обрабатывайте конфиденциальные данные без потребности

Данные кредитных карточек, медицинская информация, номера соцстрахования и прочая конфиденциальная информация не должна храниться на вашем веб-ресурсе, если для этого нет какой-то весомой причины. Хакеры выбирают для взлома те сайты, на которых есть возможность разжиться такими данными. Если у вас их нет, то ваш сайт имеет намного меньше шансов стать мишенью для хакеров.


Отзывы о хостинге:

Оставить комментарий



Хостинг с отличным саппортом — HOSTiQ