Как защитить сайт WordPress

Знаете ли вы, что безопасность сайта WordPress сейчас важнее, чем когда-либо, из-за растущей частоты и сложности кибератак? Это суровая реальность, которую ни один онлайн-бизнес не может позволить себе игнорировать.

Фактически, согласно отчетам Colorlib, в 2023 году более 13 000 веб-сайтов WordPress подвергались взлому ежедневно.

Это ошеломляющее число, и это означает, что вам нужно быть особенно бдительными, когда дело доходит до обеспечения вашего присутствия в Интернете.

Но не стоит паниковать.

В этом посте мы обсудим шаги, которые вы можете предпринять, чтобы обеспечить безопасность и защиту вашего веб-сайта от киберугроз, чтобы вы могли без каких-либо забот сосредоточиться на развитии своего бизнеса.

Итак, если вы готовы поднять безопасность своего веб-сайта на новый уровень, давайте приступим!

1 Зачем защищать сайт WordPress?

Ваш веб-сайт служит вашим онлайн-домом, а WordPress — платформой, стоящей за ним. Однако, как и обычный дом, вашему сайту WordPress нужны прочные стены, чтобы противостоять потенциальным угрозам.

Вот почему так важно защитить свой сайт:

Защита вашего веб-сайта и конфиденциальности посетителей

По данным, в среднем 69% взломанных сайтов WordPress становятся жертвами устаревшего программного обеспечения и слабых паролей. Это все равно, что оставить входную дверь открытой с ковриком для кибер-воров.

Потери бизнеса от киберпреступности достигают триллионов ежегодно, и WordPress является частой мишенью.

Поэтому защита конфиденциальных данных, таких как пароли, электронные письма и финансовые данные, имеет решающее значение. Безопасный веб-сайт способствует доверию и вовлеченности пользователей, и пользователи с большей вероятностью вернутся на безопасный сайт, повышая лояльность посетителей и конверсию.

Предотвращение утечки данных и внедрения вредоносного ПО

Утечки данных могут привести к репутационному ущербу, юридическим проблемам и потере доверия клиентов, в результате чего предприятиям в США восстановление обходится в среднем в 9,44 миллиона долларов.

Кроме того, внедрение вредоносного ПО на взломанные веб-сайты WordPress может перенаправлять посетителей на вредоносные сайты, нанося ущерб вашему SEO-рейтингу и пользовательскому опыту. Поэтому вам необходимо обеспечить безопасность своего веб-сайта, чтобы предотвратить подобные ситуации.

Повысьте эффективность SEO вашего сайта

Google уделяет приоритетное внимание безопасности, и безопасные веб-сайты часто имеют более высокий рейтинг SEO. Защита вашего сайта WordPress может улучшить его рейтинг в поисковых системах, привлекая больше органического трафика.

Более того, вредоносные скрипты и плагины могут заблокировать ваш сайт, замедлив загрузку страниц и расстраивая пользователей. Безопасный веб-сайт работает бесперебойно, обеспечивая радость и заинтересованность ваших посетителей.

Соблюдение правил конфиденциальности данных

Правила конфиденциальности данных требуют строгих мер безопасности веб-сайта для защиты пользовательских данных. GDPR и CCPA — это некоторые из правил, которые предприятия должны соблюдать.

Поэтому защита вашего сайта WordPress необходима, чтобы избежать огромных штрафов и юридических осложнений.

Помните, безопасность веб-сайта — это не разовая инвестиция, а постоянный процесс.

Приняв превентивные меры, вы можете превратить свой сайт WordPress из уязвимой цели в безопасную крепость, защитив ваши данные, репутацию и успех в Интернете.

2 метода защиты сайта WordPress

Давайте теперь обсудим различные методы защиты сайта WordPress.

2.1 Основные необходимые меры безопасности

Давайте теперь обсудим важные меры безопасности для защиты вашего веб-сайта WordPress от потенциальных рисков.

Держите все в курсе

Защитить ваш сайт WordPress очень просто — поддерживайте его в актуальном состоянии. Сюда входят WordPress и его основные файлы, такие как темы и плагины.

Регулярные обновления имеют решающее значение, поскольку они часто включают исправления безопасности для уязвимостей, обнаруженных в предыдущих версиях.

Помимо безопасности, обновления также добавляют новые функции и улучшения на ваш сайт.

Чтобы просмотреть и обновить свой сайт WordPress и его основные файлы, войдите в свою панель управления и выберите «Панель управления» → «Обновления» .

Если доступно обновление, нажмите кнопку «Обновить до версии» . Для тем и плагинов перейдите в раздел «Темы» или «Плагины» , выберите те, которые нуждаются в обновлении, и нажмите кнопку обновления рядом с каждым.

Для дополнительной безопасности рассмотрите возможность включения автоматического обновления WordPress, плагинов и тем. Это гарантирует, что ваш сайт останется в безопасности, даже если вы не контролируете его активно.

Прежде чем включать автоматические обновления, обязательно регулярно делайте резервную копию своего сайта. Эта мера предосторожности гарантирует, что вы сможете легко восстановить свой сайт, если что-то пойдет не так во время или после обновления.

Используйте надежные и уникальные пароли

Вы также можете защитить свой веб-сайт WordPress, используя надежные и уникальные пароли. Слабые и легко угадываемые пароли упрощают хакерам несанкционированный доступ к вашему сайту.

Чтобы создать надежные и безопасные пароли, следуйте этим советам:

• Выберите минимум 12 символов или больше.
• Комбинируйте прописные и строчные буквы, цифры и специальные символы.
• Избегайте использования последовательных цифр, повторяющихся символов или общих паролей, таких как «пароль123».
• Используйте разные пароли для каждой онлайн-учетной записи, включая ваш сайт WordPress.
• Рассмотрите возможность использования надежного инструмента управления паролями для создания и безопасного хранения ваших паролей.
• Если возможно, избегайте паролей, включающих ваше имя пользователя или имя веб-сайта.

Помните: при установке нового сайта WordPress всегда заменяйте образец пароля по умолчанию на более надежный.

Но если ваш веб-сайт WordPress уже настроен, измените свой пароль, перейдя в «Пользователи» → «Профиль» , прокрутив вниз и нажав кнопку «Установить новый пароль» , чтобы получить надежный случайный пароль.

Кроме того, регулярно меняйте свой пароль, каждый раз используя надежные пароли.

Установите SSL-сертификат

При обеспечении безопасности вашего сайта WordPress важна установка SSL-сертификата. Этот сертификат гарантирует, что данные, которыми обмениваются ваш сайт и посетители, зашифрованы, обеспечивая защиту от несанкционированного доступа.

Получить сертификат SSL можно либо купив его у надежных провайдеров, либо получив бесплатный сертификат у вашего хостинг-провайдера.

Однако, если вы уже установили сертификат SSL для своего веб-сайта WordPress, но он не отображается в URL-адресе вашего веб-сайта, есть способ включить его.

Просто перейдите в «Настройки» → «Основные» на панели управления WordPress и измените «Адрес WordPress (URL)» и «Адрес сайта (URL)», добавив «https://» в начале вместо «http://».

Но если вы столкнулись с проблемами, связанными с SSL, на своем веб-сайте, вы можете использовать такие плагины, как Really Simple SSL или SSL Insecure Content Fixer, для их решения.

Выберите безопасный хостинг

Чтобы повысить безопасность, выберите надежного хостинг-провайдера, известного своими мерами безопасности и надежностью. Ищите такие функции, как брандмауэры, сканирование на наличие вредоносных программ и защиту от DDoS.

Убедитесь, что они предлагают регулярное резервное копирование, поддерживают безопасные протоколы, такие как SFTP или SSH, и обновляют свою инфраструктуру и программное обеспечение. Безопасный хостинг-провайдер формирует прочную основу для безопасности вашего сайта WordPress.

Чтобы реализовать это, изучите хостинг-провайдеров, прочитайте обзоры и выберите тот, у которого хорошая репутация в области безопасности.

Проверьте их функции, поддержку и варианты резервного копирования. Если вы отдаете приоритет безопасной среде хостинга, это поможет защитить ваш веб-сайт и данные.

2.2 Защитите свой сайт WordPress

Давайте теперь обсудим некоторые из наиболее эффективных способов защиты вашего веб-сайта WordPress, в том числе способы предотвращения несанкционированного доступа, защиты ваших данных и снижения риска кибератак.

Используйте безопасные темы и плагины

При выборе тем и плагинов для вашего сайта WordPress важно выбирать их из надежных источников, таких как официальный репозиторий WordPress или MyThemeShop.

Эти источники проводят тщательные проверки безопасности и постоянно предоставляют обновления для обеспечения безопасности своих продуктов.

Однако важно избегать использования тем или плагинов из неизвестных или ненадежных источников, особенно тем или плагинов с нулевым значением. Они могут содержать уязвимости или вредоносный код, которые могут поставить под угрозу безопасность вашего сайта.

Перед установкой темы или плагина найдите время, чтобы просмотреть рейтинги, прочитать отзывы пользователей и оценить частоту обновлений, чтобы убедиться, что она заслуживает доверия и активно поддерживается.

Это гарантирует, что ваш веб-сайт останется безопасным и будет соответствовать новейшим мерам безопасности.

Регулярно делайте резервную копию вашего сайта WordPress

Регулярное резервное копирование данных вашего веб-сайта необходимо для его защиты от инцидентов безопасности, потери данных и проблем с веб-сайтом. Благодаря последним резервным копиям вы можете быстро восстановить свой сайт в случае кибератак и минимизировать время простоя.

Обычно рекомендуется создавать резервные копии ежедневно, особенно для веб-сайтов с большим количеством контента и высоким трафиком.

Кроме того, важно периодически проверять резервные копии, чтобы убедиться в их надежности. Один из способов упростить процесс резервного копирования — использовать плагины, предлагающие такие функции, как резервное копирование по расписанию и варианты удаленного хранения.

Вы можете обратиться к нашему подробному сообщению о резервном копировании вашего веб-сайта WordPress.

Ограничить попытки входа в систему

Еще один способ защитить ваш веб-сайт — ограничить попытки входа на ваш сайт, что ограничивает количество неудачных попыток входа с одного IP-адреса.

Это затрудняет хакерам получение несанкционированного доступа путем угадывания ваших учетных данных.

Когда вы ограничиваете попытки входа в систему, вы можете добавить уровень защиты от атак методом перебора на своем веб-сайте WordPress.

Вот как вы можете ограничить попытки входа на сайт:

• Установите и активируйте плагин, например «Ограничить количество попыток входа в систему, перезагрузку», из вашего каталога плагинов WordPress. Более подробную информацию можно найти в нашем пошаговом руководстве по установке плагина WordPress.
• После активации перейдите на страницу его настроек. Затем прокрутите до раздела «Настройки приложения».
• В опции «Блокировка» настройте максимальное количество попыток входа в систему, прежде чем блокировать IP-адрес.

• Установите продолжительность периода блокировки для заблокированных IP-адресов.
• При желании включите уведомления по электронной почте, чтобы получать оповещения о блокировках или подозрительных попытках входа в систему. Вы можете увидеть эту опцию в общих настройках.

После правильной настройки попытки входа на ваш сайт будут ограничены, и любой IP-адрес, который превышает указанное вами количество неудачных попыток входа, будет временно заблокирован для доступа к странице входа.

Включить 2FA (двухфакторную аутентификацию)

Включение двухфакторной аутентификации (2FA) добавляет дополнительный уровень безопасности вашему сайту WordPress, требуя от пользователей предоставления двух форм проверки для входа в систему.

Подобно Google, Facebook и Twitter, вы можете защитить свой веб-сайт WordPress с помощью этой функции, значительно снизив риск несанкционированного доступа, даже если ваш пароль взломан.

Вот как:

• Установите и активируйте плагин «Wordfence Login Security». После активации перейдите в меню «Безопасность входа».
• Найдите QR-код и ключ на вкладке «Двухфакторная аутентификация». Итак, вам нужно будет отсканировать его, чтобы активировать аутентификатор на вашем сайте.

• Затем загрузите и установите приложение Google Authenticator на свой телефон; вы будете использовать его для сканирования QR-кода для активации на вашем веб-сайте.
• Откройте приложение и выберите «Сканировать QR-код», чтобы отсканировать код, или введите ключ настройки вручную.
• После того как приложение проверит код, оно предоставит уникальный код. Скопируйте этот код в назначенное поле в разделе кодов восстановления.
• Нажмите кнопку АКТИВИРОВАТЬ , чтобы завершить настройку.

Не забудьте скачать пять кодов восстановления с помощью кнопки СКАЧАТЬ . Эти коды имеют решающее значение в случае, если вы потеряете свой телефон, обеспечивая постоянный доступ к вашему веб-сайту.

Используйте надежные решения для защиты от спама

Спам может быть надоедливым и создавать угрозу безопасности, ставить под угрозу удобство работы пользователей и негативно влиять на производительность вашего сайта.

Итак, чтобы эффективно предотвратить спам на вашем веб-сайте, вы можете использовать плагин WordPress «Akismet Anti-spam».

Akismet — мощный плагин для фильтрации спама, разработанный Automattic, компанией-разработчиком WordPress. Обычно он поставляется с предустановленным WordPress, и вам просто нужно активировать его и получить ключ API.

Чтобы получить ключ API, вам необходимо зарегистрироваться на веб-сайте Akismet, а затем ввести его в поле «Ключ API» на странице плагина на панели инструментов WordPress.

После того, как вы успешно подключите ключ API, плагин Akismet будет использовать передовые алгоритмы для автоматического анализа комментариев и форм отправки на вашем веб-сайте, эффективно фильтруя спам.

Альтернативно вы можете выбрать плагин Antispam Bee, который служит той же цели.

Изменить имя пользователя администратора по умолчанию

Во время установки веб-сайта WordPress имя пользователя по умолчанию обычно устанавливается как «admin». Однако бывают случаи, когда пользователи по ошибке оставляют это имя пользователя без изменений.

Хакеры часто нацелены на имя пользователя «admin», поскольку оно широко известно, что облегчает их вредоносные действия. Чтобы повысить безопасность вашего сайта, важно изменить имя пользователя администратора, чтобы злоумышленникам было сложнее угадать и получить несанкционированный доступ.

К сожалению, WordPress не предлагает прямой возможности изменять имена пользователей после завершения установки.

Поэтому, чтобы обойти это, вам следует установить и включить плагин «Изменить имя пользователя». После активации перейдите в «Пользователи» → «Все пользователи », выберите пользователя с именем «admin» и нажмите «Изменить».

На странице профиля найдите параметр «Имя пользователя» и нажмите «Изменить» . Затем выберите новое имя пользователя для учетной записи администратора, желательно что-то уникальное и не связанное с названием вашего сайта.

Наконец, прокрутите страницу вниз и нажмите кнопку «Обновить профиль» , чтобы сохранить изменения. WordPress автоматически обновит имя пользователя администратора.

Изменение имени пользователя администратора не повлияет на содержимое или настройки вашего сайта. Единственное изменение будет касаться имени пользователя для доступа к панели администратора.

Измените URL-адрес «wp-login» по умолчанию.

Всем известно, что URL-адрес входа по умолчанию на веб-сайте на базе WordPress обычно заканчивается на «wp-login».

Однако вам придется изменить этот шаблон URL-адреса, чтобы людям было сложнее получить доступ к вашему URL-адресу для входа, не говоря уже о попытках использовать ваши данные для входа.

Чтобы изменить URL-адрес «wp-login» по умолчанию, выполните следующие действия:

• Установите и активируйте плагин «WPS Hide Login» из каталога плагинов WordPress.
• После активации перейдите в «Настройки» → «WPS Скрыть вход», и вы попадете в нижнюю часть общих настроек вашего сайта WordPress.
• Затем добавьте собственный URL-адрес для входа, который является уникальным и трудно угадываемым.

• Затем сохраните изменения, и плагин автоматически обновит URL-адрес для входа.

После установки пользовательского URL-адреса для входа вам потребуется доступ к новому URL-адресу для входа в панель администратора WordPress. URL-адрес по умолчанию «wp-login» больше не будет доступен.

Рекомендуется выбирать собственный URL-адрес для входа, чтобы его было легко запомнить, но трудно угадать другим.

Регулярно сканируйте свой сайт

Чтобы обеспечить безопасность вашего сайта WordPress, важно регулярно проверять его на наличие потенциальных угроз безопасности, вредоносных программ или подозрительных действий. Эта превентивная мера помогает сохранить целостность вашего веб-сайта.

Установите и активируйте плагин безопасности, например Sucuri Security, из каталога плагинов WordPress, чтобы выполнять регулярное сканирование.

После активации перейдите в Sucuri Security → Dashboard , где вы можете начать сканирование. По умолчанию плагин выполняет ежедневное сканирование, но вы можете настроить частоту в настройках.

После каждого сканирования проверяйте результаты, предоставленные плагином, и предпринимайте необходимые действия на основе результатов. Этот регулярный мониторинг обеспечивает постоянную безопасность вашего сайта WordPress.

Некоторые результаты сканирования могут включать удаление вредоносного ПО, обновление плагинов или тем или устранение выявленных уязвимостей.

Всегда проверяйте действия сайта и пользователей

Мониторинг активности сайта и пользователей имеет решающее значение для обеспечения безопасности вашего веб-сайта WordPress.

Отслеживая действия, предпринимаемые на вашем сайте, вы можете оперативно обнаружить любые подозрительные или несанкционированные действия и принять необходимые меры для их эффективного устранения.

Для мониторинга активности сайта вы можете использовать функцию журналов аудита плагина Sucuri. Откройте панель управления Sucuri и прокрутите вниз, пока не найдете вкладку «Журналы аудита» .

Эти журналы покажут вам такие подробности, как попытки входа в систему, изменения файлов, установки плагинов и многое другое.

Кроме того, вы можете перейти в раздел «Последние входы» , чтобы проверять и отслеживать действия по входу на веб-сайт, включая успешные и неудачные попытки.

Если вы обнаружите какие-либо подозрительные действия, незамедлительно примите меры для расследования и устранения потенциальных угроз безопасности.

Другой вариант — использовать отдельный плагин под названием «Простая история» для отслеживания журналов активности вашего сайта. Этот инструмент предоставляет ценную информацию о действиях пользователя и помогает поддерживать безопасную среду WordPress.

Настройте систему оповещений безопасности

Настройка системы предупреждений безопасности гарантирует, что вы будете получать своевременные уведомления о потенциальных проблемах безопасности или изменениях на вашем веб-сайте WordPress.

Своевременно получая оповещения, вы можете немедленно устранить любые угрозы или уязвимости.

Вы можете использовать функцию «Оповещения» в плагине Sucuri, чтобы получать оповещения об активности вашего сайта. Перейдите в раздел «Настройки» и выберите вкладку «Оповещения» .

На вкладке «Оповещения» добавьте адрес электронной почты для получения оповещений, установите частоту и укажите тип оповещения безопасности.

Убедитесь, что предоставленные контактные данные для оповещений точны и актуальны. Эта функция также часто встречается в других плагинах безопасности.

2.3 Дополнительные меры безопасности

Давайте теперь рассмотрим некоторые дополнительные меры безопасности, которые вы можете предпринять для повышения безопасности вашего веб-сайта WordPress.

Настройте геоблокировку для блокировки IP-адресов

Реализация блокировки GEO на вашем веб-сайте WordPress позволяет вам ограничить доступ из определенных стран или регионов, заблокировав IP-адреса, связанные с этими местоположениями.

Это может помочь повысить безопасность вашего сайта, предотвращая доступ со стороны потенциальных злоумышленников или регионов высокого риска.

Вы можете заблокировать IP-адреса через панель управления WordPress, cPanel, плагин WordPress, .htaccess и файл config.php.

GEO-блокировка может эффективно заблокировать доступ из определенных регионов, но она может быть ненадежной.

Некоторые IP-адреса могут присваиваться динамически или их легко подделать, поэтому мы рекомендуем использовать геоблокировку вместе с другими мерами безопасности.

Включить защиту брандмауэра веб-приложений

Брандмауэр веб-приложений (WAF) действует как защитный барьер между вашим сайтом и потенциальными угрозами, фильтруя вредоносный трафик и блокируя известные шаблоны атак.

Вы можете бесплатно включить опцию защиты WAF с помощью плагина Wordfence Security. Поэтому вам нужно будет установить и активировать плагин на своем веб-сайте WordPress.

После активации перейдите в Wordfence → Брандмауэр и включите брандмауэр Wordfence. Затем управляйте настройками брандмауэра в соответствии со своими предпочтениями, например включив правила WAF и расширенные параметры брандмауэра.

После этого сохраните настройки, и плагин Wordfence начнет обеспечивать WAF-защиту вашего сайта.

Включив Wordfence WAF, ваш веб-сайт будет защищен от распространенных угроз безопасности, таких как SQL-инъекции, атаки межсайтового скриптинга (XSS) и попытки грубого входа в систему.

WAF постоянно отслеживает и фильтрует входящий трафик, чтобы блокировать вредоносные запросы до того, как они достигнут вашего веб-сайта.

Отключить трекбэки и пингбэки

Трекбэки и пингбэки — это методы, которые WordPress использует для уведомления других сайтов, когда ваш сайт ссылается на их контент. Однако спамеры могут использовать их в злонамеренных целях.

Чтобы отключить трекбэки и пингбэки, выполните следующие действия:

• Войдите в панель администратора WordPress.
• Перейдите в раздел «Настройки» и нажмите «Обсуждение».
• В разделе «Настройки публикации по умолчанию» снимите флажок «Разрешить уведомления о ссылках из других блогов (пингбэки и трекбэки) на новые публикации».

• Прокрутите вниз и нажмите кнопку «Сохранить изменения» .

Отключение трекбэков и пингбэков не позволяет вашему сайту WordPress отправлять или получать эти уведомления.

Это помогает снизить ненужную нагрузку на сервер и потенциальные риски безопасности, связанные со спамом или вредоносными запросами трекбека/пингбэка.

Установите точные права доступа к файлам

Права доступа к файлам определяют уровень доступа и контроля различных пользователей или процессов над файлами и каталогами вашего сайта.

Если права доступа к файлам настроены правильно, вы можете ограничить несанкционированный доступ и предотвратить потенциальные нарушения безопасности.

Чтобы настроить точные права доступа к файлам для вашего сайта WordPress, следуйте этим общим рекомендациям:

• Используйте FTP-клиент или панель управления хостингом для доступа к файлам вашего сайта.
• Определите основные каталоги и файлы, для которых требуется настройка разрешений, например каталог wp-content, файл wp-config.php и файл .htaccess.
• Установите права доступа к каталогу на 755, что позволяет владельцу читать, записывать и выполнять файлы, ограничивая при этом других только чтением и выполнением.

• Установите права доступа к файлам на 644, что позволяет владельцу читать и записывать файлы, ограничивая других доступом только для чтения.
• Для более конфиденциальных файлов, таких как файл wp-config.php, установите разрешения 600, которые предоставляют владельцу доступ только на чтение и запись.

Это всего лишь общая настройка, поэтому обратитесь в службу поддержки вашего хостинг-провайдера за конкретными рекомендациями, поскольку рекомендуемые разрешения для файлов могут различаться в разных средах хостинга.

Отключить отчеты об ошибках

Отключение отчетов об ошибках — важная практика безопасности, которая помогает защитить ваш веб-сайт WordPress, предотвращая потенциальную передачу конфиденциальной информации злоумышленникам.

Журналы ошибок могут непреднамеренно раскрыть подробности о конфигурации вашего сайта или базовом коде, которые могут быть использованы злоумышленниками.

Чтобы отключить отчеты об ошибках, выполните следующие действия:

• Получите доступ к корневому каталогу вашего веб-сайта через FTP-клиент или cPanel.
• В корневом каталоге или public_html найдите файл wp-config.php.
• Для безопасности скачайте резервную копию файла wp-config.php.
• Щелкните правой кнопкой мыши файл wp-config.php и выберите «Изменить», чтобы открыть его.
• Найдите строку с надписью define('WP_DEBUG', true);
• Замените «true» на «false», сделав его define('WP_DEBUG,' false); как показано ниже.

• Обязательно сохраните изменения после изменения файла wp-config.php.

Отключение отчетов журнала ошибок предотвращает отображение потенциальных сообщений об ошибках или предупреждений для пользователей, включая конфиденциальную информацию, которая может быть полезна злоумышленникам.

Однако отключение отчетов об ошибках не означает, что вы должны полностью игнорировать ошибки. Вам по-прежнему следует следить за своим сайтом на предмет каких-либо проблем и оперативно их решать.

Защитите свой файл wp-config.php

Файл wp-config.php является важным компонентом вашей установки WordPress, поскольку он содержит конфиденциальную информацию, такую ​​как учетные данные базы данных и ключи безопасности.

Принятие мер по защите этого файла необходимо для защиты вашего веб-сайта WordPress от потенциальных нарушений безопасности.

Вот некоторые рекомендуемые меры для защиты вашего файла wp-config.php:

1. Рассмотрите возможность перемещения файла wp-config.php в каталог за пределами корневой папки веб-сайта. Это предотвращает прямой доступ к файлу из Интернета, что затрудняет злоумышленникам использование любых уязвимостей.
2. Убедитесь, что права доступа к файлу wp-config.php правильно настроены с использованием рекомендуемых разрешений, обсуждавшихся ранее.
3. При настройке сайта WordPress используйте надежные, уникальные и сложные учетные данные базы данных. Это включает в себя использование надежного имени пользователя и пароля базы данных.
4. Добавьте дополнительную защиту в файл wp-config.php, добавив следующие правила в файл .htaccess вашего сайта.

 <files wp-config.php> order allow,deny deny from all </files>

Эти правила могут запретить доступ к файлу для всех IP-адресов.

Отключить выполнение PHP-файлов в определенных каталогах WordPress

Вы также можете повысить безопасность своего веб-сайта WordPress, отключив выполнение файлов PHP в определенных каталогах. Это помогает предотвратить выполнение или запуск файлов PHP в этих каталогах на вашем веб-сайте.

Чтобы отключить выполнение PHP-файла, измените файл .htaccess в целевых каталогах, часто там, где находится пользовательский контент, например в каталоге wp-content/uploads .

Вы можете сделать это, открыв файл .htaccess в текстовом редакторе и добавив следующие строки:

 <Files *.php> deny from all </Files>

Затем сохраните этот файл как .htaccess и загрузите его в папки /wp-content/uploads/ на своем веб-сайте с помощью FTP-клиента или файлового менеджера.

Эти строки предписывают серверу запретить доступ к любому файлу с расширением .php в указанном каталоге.

Альтернативно вы можете сделать это одним щелчком мыши, используя функцию Hardening в плагине Sucuri, упомянутом выше.

2.4 Дополнительные меры безопасности

Давайте обсудим дополнительные меры безопасности, которые вы можете предпринять для дальнейшей защиты сайта WordPress.

Автоматический выход из системы неактивных пользователей в WordPress

Когда пользователи остаются в системе, но неактивны в течение определенного периода, это создает риск несанкционированного доступа или взлома учетной записи.

Таким образом, вам нужно будет выйти из системы бездействующих пользователей, чтобы устранить эту уязвимость безопасности.

Для этого вам нужно будет установить и активировать плагин Inactive Logout. После активации перейдите в «Настройки» → «Неактивный выход» , чтобы настроить параметры плагина.

Автоматически выходя из системы бездействующих пользователей, вы снижаете риск перехвата их сеансов или внесения несанкционированных изменений в их учетные записи.

Это особенно важно для веб-сайтов, которые обрабатывают конфиденциальную информацию или имеют учетные записи пользователей с правами администратора.

Скрыть версию WordPress

Публичное отображение версии WordPress может облегчить злоумышленникам поиск уязвимостей, связанных с этой конкретной версией WordPress.

Чтобы скрыть версию WordPress, измените файл function.php вашей темы или используйте плагин безопасности.

Доступно несколько различных методов, но мы рекомендуем обратиться к нашему руководству о том, как скрыть версию WordPress, для получения подробных инструкций.

Скройте название темы вашего сайта WordPress

Когда злоумышленники могут легко идентифицировать тему WordPress, которую вы используете на своем веб-сайте, им становится легче использовать любые известные уязвимости, связанные с этой темой.

Скрывая название темы, вы усложняете сбор информации о настройке вашего сайта злоумышленникам и потенциальное использование любых слабых мест. Это добавляет дополнительный уровень безопасности вашему сайту WordPress.

Чтобы скрыть название темы вашего сайта, следуйте нашему пошаговому руководству о том, как скрыть название темы WordPress.

Отключите редактирование файлов в панели управления WordPress

WordPress имеет встроенный редактор кода, который позволяет вам редактировать файлы тем и плагинов из области администрирования WordPress.

Если хакер получит несанкционированный доступ к вашей панели управления WordPress, он может попытаться изменить определенные файлы, внедрив вредоносный код.

Поэтому мы советуем отключить эту функцию, поскольку она может представлять угрозу безопасности. Для этого вам нужно будет добавить следующий код в файл wp-config.php вашего сайта.

 // Disallow file edit define( 'DISALLOW_FILE_EDIT', true );

Как только это изменение будет реализовано, пользователи с доступом администратора больше не смогут получить доступ к редактору тем и плагинов в вашей панели администратора WordPress.

Но даже после отключения этого редактирования файлов вы все равно сможете вносить изменения в файлы темы и плагина, получив доступ к ним через FTP или файловый менеджер.

Измените префикс таблицы базы данных по умолчанию

По умолчанию WordPress использует префикс «wp_» для своих таблиц базы данных, что может облегчить злоумышленникам идентификацию и нацеливание вашего сайта.

Чтобы повысить безопасность, рассмотрите возможность изменения префикса таблицы, что усложнит ее для потенциальных эксплойтов.

Настройка префикса включает в себя изменение файла wp-config.php и phpMyAdmin. Этот ручной процесс несет в себе риск поломки вашего веб-сайта, если он не настроен правильно.

Поэтому мы рекомендуем использовать метод плагина.

Итак, установите и активируйте плагин Brozzme DB Prefix & Tools Addons. После активации перейдите в Инструменты → ПРЕФИКС БД.

Измените префикс таблицы базы данных в плагине на уникальную и менее предсказуемую комбинацию букв, цифр и подчеркивания. Избегайте специальных символов и пробелов.

Прежде чем вносить изменения, сделайте резервную копию базы данных вашего сайта. Убедитесь, что wp-config.php доступен для записи на вашем сервере, и убедитесь, что права MySQL ALTER включены, чтобы избежать потенциальных проблем.

Такой осторожный подход обеспечивает более плавный переход с минимальным риском для функциональности вашего сайта.

После внесения необходимых изменений сохраните изменения, нажав кнопку «Изменить префикс БД» .

Отключить XML-RPC в WordPress

XML-RPC — это функция WordPress, которая облегчает связь между вашим сайтом и веб- или мобильными приложениями. Он был автоматически включен, начиная с WordPress 3.5.

Однако он также может служить потенциальным инструментом для усиления грубой силы или DDoS-атак на ваш сайт.

При включенном XML-RPC хакер может использовать одну функцию для нескольких попыток входа в систему с тысячами паролей, в отличие от этого, когда для каждого пароля потребуются отдельные попытки. Это представляет значительную угрозу безопасности.

Чтобы избежать этого риска, рекомендуется отключить XML-RPC, если вы не используете его активно, добавив код в файл .htaccess вашего сайта.

Получите доступ к файлам вашего веб-сайта с помощью FTP-клиента или панели управления хостингом, найдите файл .htaccess в корневом каталоге и добавьте следующий код:

 # Disable XML-RPC <Files xmlrpc.php> Order Deny,Allow Deny from all </Files>

Но если вы предпочитаете не использовать этот метод, вы можете использовать плагин безопасности WordPress, например Simple Disable XML-RPC.

Установите и активируйте плагин, после активации перейдите к пункту «Простое отключение XML-RPC» , установите флажок «Отключить XML-RPC» и сохраните изменения.

Если вы используете брандмауэр веб-приложений, упомянутый ранее, то брандмауэр может позаботиться об этом.

Отключить хотлинкинг

Отключение горячих ссылок — это мера безопасности, которая помогает защитить пропускную способность вашего веб-сайта и не позволяет другим лицам напрямую ссылаться на изображения вашего сайта и другие медиафайлы.

Под хотлинкингом понимается использование URL-адресов изображений или мультимедиа, размещенных на вашем веб-сайте, на других веб-сайтах, использование ресурсов вашего сервера без вашего разрешения.

Чтобы легко отключить хотлинкинг, установите и активируйте плагин All-In-One Security (AIOS) WordPress.

После активации перейдите в WP Security → Безопасность файловой системы и выберите вкладку Защита файлов . Прокрутите вниз и включите раздел «Запретить хотлинкинг изображений» , как показано ниже.

Не забудьте сохранить настройки.

Отключить индексирование и просмотр каталогов

Отключение индексации и просмотра каталогов является важной мерой безопасности, предотвращающей несанкционированный доступ к содержимому каталогов вашего веб-сайта.

По умолчанию некоторые веб-серверы разрешают индексирование каталогов. Это означает, что если в каталоге нет индексного файла (например, index.html или index.php), сервер отобразит список файлов и папок в этом каталоге.

Это может раскрыть конфиденциальную информацию и облегчить злоумышленникам выявление уязвимостей.

Чтобы предотвратить несанкционированный доступ к вашим файлам, копирование изображений и раскрытие структуры каталогов, настоятельно рекомендуется отключить индексирование и просмотр каталогов.

Получите доступ к файлам вашего сайта через FTP-клиент или панель управления хостингом. В корневом каталоге вашей установки WordPress найдите файл .htaccess.

Откройте файл .htaccess в текстовом редакторе и добавьте следующий код в конце:

 # Disable Directory Indexing and Browsing Options -Indexes

Сохраните изменения в файле .htaccess и загрузите его обратно на свой сервер, при необходимости заменить существующий файл.

Используйте заголовки безопасности

Заголовок безопасности обучают браузеру обрабатывать определенные аспекты вашего веб -сайта, обеспечивая дополнительную защиту от общей уязвимости безопасности.

Вот некоторые общие заголовки безопасности и их преимущества:

• Заголовок X-XSS-защиты блокирует инъекции вредоносных сценариев, чтобы предотвратить атаки сценариев поперечного сайта (XSS).
• Заголовок X-Content-Type-Options предотвращает уязвимости безопасности, вызванные нюханием типа MIME.
• Заголовок строгого транспорта (HSTS) обеспечивает безопасные соединения путем обеспечения соблюдения HTTPS.
• Заголовок Content-Security-Policy (CSP) позволяет устанавливать политики безопасности для защиты от различных атак.

Таким образом, для реализации этих заголовков безопасности на вашем веб -сайте WordPress вам нужно будет установить и активировать плагин генератора заголовков безопасности.

После установки перейдите в раздел заголовков безопасности . Там вы можете разобрать время и настроить плагин на ваши предпочтения.

При внедрении заголовков безопасности важно тщательно проверить ваш веб -сайт, чтобы они не конфликтовали с какими -либо существующими функциями, поскольку они, как правило, ломают веб -сайты.

Кроме того, вы можете использовать онлайн -инструменты, такие как SecurityHeaders.com, чтобы проверить эффективность и правильную реализацию ваших заголовков безопасности.

Если вы используете плагины безопасности, такие как «All-In-One Security (AIOS)» или «WordFence», вы можете легко настроить заголовки безопасности вашего сайта, используя их параметры, устраняя необходимость в более раннем плагине.

3 Заключение

Защита вашего веб -сайта WordPress имеет решающее значение для защиты его от потенциальных угроз и уязвимостей.

Таким образом, установка надежного плагина безопасности, такого как «все в одном безопасность (AIOS)», может быть полезна, поскольку он предлагает широкий спектр функций, охватывающих большинство мер безопасности, обсуждаемых в этом посте.

Тем не менее, просто установить плагин безопасности недостаточно. Вам нужно потратить время, чтобы просмотреть все доступные параметры и настроить настройки плагина в соответствии с вашими потребностями.

Но, если у вас есть уникальные требования безопасности, не охватываемые плагином, рассмотрите возможность установки дополнительных плагинов или использования пользовательских кодов для удовлетворения этих потребностей.

Это всегда хорошая практика для резервного копирования вашего веб -сайта, прежде чем вносить изменения кода или активировать новые плагины для снижения рисков.

Кроме того, регулярно обновлять ваши плагины WordPress, просмотр уведомлений или результатов, а также в курсе последних новостей безопасности и лучших практик, может значительно снизить риск нарушения безопасности.

Помогал ли этот пост в защите вашего веб -сайта WordPress? Если это так, не стесняйтесь поделиться своими мыслями, написав в Твиттере @rankmathseo.