Як захистити WordPress від злому. Прості поради щодо захисту вашого блогу
- 1. Видаліть користувача Admin
- 2. Використовуйте добротні паролі
- 3. Вчасно оновлюйте движок WordPress
- 4. Регулярно робіть резервні копії бази даних
- 5. Обмежте кількість спроб входу в адмінку
- 5.1 Сховайте сам вхід в панель адміністратора
- 6. Приховайте версію WordPress
- 7. Перевіряйте
Як думаєте, багато приділяють увагу своїй інформаційній безпеці? Навіть якщо ви ніколи не задавалися цим питанням, запевняємо вас - вони в меншості. Але ж досить витратити всього пару хвилин на те, щоб налаштувати менеджер паролів або переконатися, що ви робите грошові операції по зашифрованому протоколу https. Це дуже просто - і це в рази збільшує вашу інтернет-безпеку.
1. Видаліть користувача Admin
Почнемо з азів: за замовчуванням адміністратор вашого блогу носить ім'я Admin, яке, по суті, є половиною необхідної для хакерів інформації. Дізнавшись ім'я користувача, зловмисникові залишається зламати пароль. Не виключено, що і тут все піде як по маслу - навряд чи людина, яка не спромігся змінити ім'я користувача, буде вигадувати складний пароль, а тим більше - використовувати для цього будь-які додаткові інструменти.
Отже, перш за все вам слід створити нового користувача з осудним ім'ям і передати йому адміністраторські повноваження, а оригінального Admin просто видалити.
2. Використовуйте добротні паролі
Як би там не було, дізнатися ім'я користувача - нікчемна справа. Саме тому вся відповідальність лягає на ваш пароль.
Проблема простих паролів виходить далеко за межі сайтів на «Вордпресі», проте вирішується вона так само просто, як і попередня. Щоб не ламати собі голову, вигадуючи надійний пароль, а потім, в разі його «пропажі», не рвати на собі волосся, гарячково згадуючи заповітну комбінацію або хоча б адресу електронної пошти , На яку був зареєстрований аккаунт, використовуйте менеджери паролів типу LastPass або 1password. Вони генерують по-справжньому надійні комбінації, позбавляють вас від необхідності ці комбінації запам'ятовувати, а також мають високий рівень захисту від злому.
Якщо у вас на сайті кілька авторів, зробіть подібну практику обов'язковою. В іншому випадку, навіть якщо ви захистите свій аккаунт усіма можливими способами, а логін і пароль вашого колеги буде max і max123, відповідно, то нічого доброго з цього не вийде. До слова, менеджери паролів мають масу інших переваг. Судіть самі:
3. Вчасно оновлюйте движок WordPress
Кожне оновлення даної CMS - це не тільки візуальні доопрацювання або нові функціональні можливості, а й постійні поліпшення безпеки. Те ж саме стосується плагінів і навіть теми, яку ви використовуєте на своєму сайті.
Апдейт - це також суща дрібниця. По-перше, вам не потрібно стежити за оновленнями на спеціалізованих форумах або нишпорити в їх пошуках по іншим сайтам - повідомлення про нові версії з'являються прямо у вашій панелі адміністратора. По-друге, далі від вас буде потрібно рівно два кліка: активувати і підтвердити виконання оновлення.
4. Регулярно робіть резервні копії бази даних
Бекапи - ще одна важлива складова вашої безпеки. Наслідки злому бувають різні: може постраждати ваша репутація, можна позбутися домену, можуть зникнути дані, які зберігалися на сайті в єдиному екземплярі, не кажучи вже про те, що всі ті години, витрачені на оформлення та публікацію сторінок і матеріалів, просто втратять сенс.
Резервне копіювання успішно вирішує половину з цих проблем, причому WordPress підтримує різні сценарії як платних, так і безкоштовних бекапів. плагін WP-DB-Backup - один з найпопулярніших інструментів у своєму роді. Крім іншого, він дозволяє настроїти автоматичне створення резервної копії, яка потім буде відправлена вам на пошту.
Якщо ви користуєтеся хмарним сховищем даних Dropbox, то WordPress Backup to Dropbox - ще один відмінний спосіб прикрити тили. Плагін підключається до Dropbox по протоколу авторизації OAuth, який забезпечує обмежений доступ до захищених ресурсів користувача без використання його чутливих даних (логін-пароль).
5. Обмежте кількість спроб входу в адмінку
Limit Login Attempts - відмінний плагін, який призначений для захисту від brute-force (англ. «Метод грубої сили») хакерських атак. Він обмежує кількість неправильних спроб введення логіна і пароля (точка входу: http://example.ua/ wp-login .php), що значно підвищує стійкість вашого сайту до злому.
Плагін відрізняється простими налаштуваннями, які дозволять регулювати кількість невдалих спроб, а також визначити, за яких умов і на який час невдалий зломщик буде «ізольований».
5.1 Сховайте сам вхід в панель адміністратора
Вхід в адмінку можна замаскувати, встановивши WordPress в директорію з яким-небудь хитромудрою назвою. Це може бути і дівоче прізвище вашої матері, і яке-небудь iloveseoverymuch. Ім'я не має значення, головне - змінити адресу точки входу.
Важливо: якщо ви змінили шлях установки «Вордпресс», необхідно зайти в «парамет - Загальні» і вказати в графі «Адреса WordPress (URL)» новий шлях до CMS-системі, а в «Адресі сайту (URL)» - реальну адресу http : //exаmple.ua/, який і будуть бачити ваші відвідувачі.
6. Приховайте версію WordPress
Версія вашої CMS-системи - дуже цінна інформація для зловмисників. За умовчанням вона доступна всім і кожному, але це легко виправити. Якщо ви розробник, найпростіше внести зміни в файл functions. php, якщо ж програмування не для вас, можна встановити популярний плагін Better WP Security і приховати версію «Вордпресс» з його допомогою.
До слова, Better WP Security вміє «з коробки» робити практично все, про що ми говорили вище, а також багато іншого. Але плагіни, як відомо, час від часу барахлить, конфліктують із собі подібними і навіть гальмують роботу всього ресурсу, тому ми рекомендуємо убезпечити свій сайт своїми ж руками. Благо, це дійсно просто.
7. Перевіряйте
Нарешті, ніколи не встановлюйте плагіни з неперевірених джерел. З плагінів виходять відмінні троянські коні, чим і користуються зломщики. Переконайтеся, що ви інсталюєте саме те, що вам потрібно, і обов'язково перегляньте відгуки на WordPress.org. Природно, немає ніякої потреби збирати докладне досьє на кожного з розробників, але і сліпо вірити кожному, хто пропонує вам чергову утиліту, не варто.
А які заходи з безпеки приймаєте ви? І чи стикалися ви зі спробами злому вашого сайту?
А які заходи з безпеки приймаєте ви?І чи стикалися ви зі спробами злому вашого сайту?