Защита WordPress – важный шаг на пути к стабильности

Часто можно увидеть ситуации, когда человек начинает решать свои проблемы по взлому сайта уже после того, как его это коснулось. Конечно, это вполне логично, никому не хочется тратить свое время и силы, легче думать, что меня это обойдет. Защита вашего сайта на WordPress – это один из основных технических моментов, который нужно обязательно учитывать и ни в коем случае не игнорировать его.

Как заметить, что ваш сайт атакуют?  Например, у меня это было так. Сам сайт очень молодой и в день его посещают около 15-20 человек. И в один прекрасный момент я обнаруживаю на счетчике – около 100 посетителей, думаю ну все, какой-то запрос выскочил в топ и сразу обрадовался, но не тут- то было. Просмотрев статистику, я увидел, что мой сайт со всех сторон атакуют айпишники, причем все они находятся в разных уголках мира. В тот раз я просто подождал 2 дня, и все прошло, без каких либо последствий, но все же я сразу ломанулся в интернет за поисками решений, которые помогут сохранить мой блог целым и не вередимым.

Комплекс мер для защиты сайта на WordPress

• Защита админки WordPress
• Первые шаги к защите от взлома вашего блога на WordPress
• Полезные плагины для защиты сайта на WordPress

Как видите я решил разбить эту статью на несколько подразделов, для того чтобы у вас была четкая картина по решению этой проблемы. Давайте от слов перейдем к практике.

Защита админки WordPress

Это один из азов, которые стоит обязательно применить на своем проекте. Тут также можно использовать плагины, либо же осуществить некоторые манипуляции вручную. Мы объединим эти два варианта и подберем золотую середину. Кстати, эти же действия можно проделать, если ваш сайт все-таки сломали, они должны отчасти решить вашу проблему.

Как вы знаете, по умолчанию в этом движке создается пользователь admin, которому мы задаем свой пароль.  Тут сразу можно отметить пароль – его нужно делать очень сложным, используя различные символы, буквы, цыфры. Чем сложнее пароль, тем тяжелее будет сломать вашу админку.

Многие новички создают пароль вида: 123456, qwerty и прочие. Ни в коем случае этого не делайте, такие комбинации проверяются в первую очередь. Сменить пароль можно в административной панели WordPress в разделе «Пользователи» — «Все пользователи». Наведя курсор на юзера вы увидите ссылку на редактирование профиля. Внизу страницы будет форма для изменения пароля.

Теперь переходим к логину. Почему его стоит менять? Зная логин, взломщики могут поставить автоматический скрипт по подбору пароля. Если логин будет индивидуальным, этого удастся избежать. Но тут есть одна проблемка – чтобы изменить логин вам нужно будет зайти в phpMyAdmin в админ панели вашего хостинга и найти таблицу wp(или ваш префикс)_users.

После чего зайти в нее и нажать «Изменить» на интересующем нас юзере.

В нужном поле укажите новый логин и нажмите «Ок».

Вот и все вы уже сделали первый шаг на пути защиты своего проекта.

Еще одним вариантом защиты является плагин — Limit Login Attempts. Его основная задача – это ограничить количество попыток входа на сайт. Очень удобный плагин. Устанавливается стандартно. «Плагины» – «Добавить новый», вводим название плагина, устанавливаем и активируем его.

Как видите, настройки достаточно просты. Задаете количество попыток входа, и время изоляции. Вот и все. Таким образом, вы сможете ввести еще одну меру предосторожности.

Первые шаги к защите от взлома вашего блога на WordPress

В этом подразделе мы поговорим о том, как максимально уберечь свой сайт на WordPress от спамерских атак и попыток взлома.

Шаг 1 — Убираем вывод версии движка из исходного кода страницы.

Автоматически WordPress генерирует строку, в которой он четко указывает эту саму версию. Пример:

Зная версию движка, могут узнать и обо всех его изъянах, поэтому старайтесь ее скрыть.

Чтобы решить этот вопрос, заходим в папку с вашей темой и вписываем код:

remove_action('wp_head', 'wp_generator');

таким образом, вы запретите движку выводить его версию. Еще одним файлом, через который ее можно узнать является файл readme.html. Также можете удалить файл лицензии — license.txt, поскольку он является лишним признаком использования WordPress.

Шаг 2 – Защищаем файл конфигурации wp—config.

Этот файл содержит в себе все доступы к базе данных вашего ресурса, поэтому его защита – это первоочередная задача каждого блогера.

Для того чтобы ограничить к нему доступ нам потребуеться в корневой папке сайта изменить файл .htaccess, а точнее добавить в него строки:

<files wp-config.php>
order allow,deny
deny from all
</files>

Проделав это, ваш файл конфигурации будет надежно защищен.

Шаг 3 – защита папок движка на сервере

Получить доступ к ним не так уж и тяжело. Чтобы проверить, открыт ли к ним доступ к ним в адресной строке браузера введите, например http://вашсайт/wp—content. Таким образом, вы сможете увидеть содержимое ваших папок. Чтобы этого избежать нужно в каждую из них поместить пустой файл index.html. В таком случае вы будете получать пустую страницу.

Шаг 4 – постоянный бэкап сайта.

Это очень важный шаг, я уже писал статью о том, как правильно делать бэкап для сайта на WordPress, перечитайте ее и старайтесь регулярно его производить.

Шаг 5 — Отправляем часть спамеров на пенсию

Спамеры – это те люди, которые просто заваливают ваш сайт различного рода не нужной информацией. Грубо говоря вы можете запретить им доступ с помощью того же файла .htaccess, для этого в нем вам нужно будет дописать следующую конструкцию:

<Limit GET POST PUT>
order allow,deny
allow from all
deny from 255.255.255
</LIMIT>

Где вместо «255.255.255» указываем айпи надоедливого спамера.

Полезные плагины для защиты сайта на WordPress

Мы уже с вами рассмотрели основные меры, которые помогут защитить ваш сайт, но если у вас нет желания править различные файлы вручную можно воспользоваться разного рода плагинами, но при этом вы немного потеряете производительность. Я рассмотрю только парочку из них. На самом деле их огромное количество и каждый сможет подобрать именно то, что ему нужно.

Первый плагин, который мы рассмотрим, называется — Protected wp-login.

Очень интересный плагин, суть его действия в том, что он создает дополнительную защищенную страницу для входа в WordPress, о которой будете знать только вы, но при этом стандартная страница входа также будет отображаться, но при переходе с нее ничего не будет происходить, так называемая обманка. Давайте кратко рассмотрим основные настройки этого плагина. Для этого после установки перейдем в «Настройки» — «Защищенный вход».

Тут вам необходимо ввести секретный ключ и нажать кнопку «Сохранить изменения». После чего плагин сгенерирует вам ссылку для входа, сохраните ее для себя, а лучше запишите на листочке, чтобы не потерять.

Все можете, проверят на практике. А мы движемся дальше.

Следующим будем рассматривать довольно универсальный плагин — Better WP Security.

Он объединяет в себе большинство мер по защите приведенных выше. Фактически он автоматизирует процесс и делает все за вас. Этот плагин для ленивых, но все же он отлично работает.

Я не буду описывать весь его огромный функционал, но возможно в будущем сделаю его детальный обзор.

После установки плагина и его активации в левой панели админки WordPress появится новое меню «Безопасность». Перейдя в него, вам предложат сделать резервную копию базы данных.

Далее вы перейдете в обширную панель настроек. Для начала можете выбрать «Защитить мой сайт от базовых атак».

Основные возможности плагина:

• смена логина администратора со стандартного;
• отключение панели администратора на определенное время;
• заносить в бан спамеров;
• создание бэкапов сайта;
• изменение префикса базы данных;
• ограничение количества попыток зайти на сайт;
• и много другого.

Как видите, функционал плагина затрагивает практически все нюансы описанные выше. Как защищать свой сайт на WordPress решать только вам. А на сегодня все, подписывайтесь на обновление блога. Буду рад новым читателям.