Как защитить сайт на wordpress?

WordPress очень хороший, бесплатный и гибкий движек для сайтов. И очень популярный.
В том числе и среди спамеров, хакеров и прочих не хороших людей.
Поэтому если вы используете WordPress вы обязаны предпринять все для его защиты.
В этой статье я хочу собрать все, что касается защиты сайта на wordpressе.

Многочисленные, почти бесконечные БОТы будут без отдыха атаковать ваш сайт!

Чтобы максимально обезопасить ваш сайт от взлома необходимо предпринять комплекс мер.

  • Меняем логин администратора на свой непредсказуемый, используем сложные пароли, подключаем капчу на вход (в сети куча плагинов)
  • Права на папки и файлы на хостинге. Это особенно актуально кто размещает сайт на собственных ресурсах. Для себя я считаю правильными следующие права — Права на файлы 644 можно установить следующей командой в соответствующей директории

sudo find . -type f -exec chmod 644 {} +

Права к папкам 755:
sudo find . -type d -exec chmod 755 {} +

Права для файла «wp-config.php» 660:
sudo chmod 660 wp-config.php

Если у вас линукс и апачи сервер то вероятнее всего верным будет установить владельцем пользователя апача:
chown www-data:www-data

  • Файл .htaccess

В сети куча рекомендаций по этому поводу но в целом они сводятся к чему-то такому:
содержимое файла должно выглядить примерно так
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

  • Плагин антивируса

Крайне полезная штука, которая может с некой периодичностью сканировать содержимое папки wordpressа. Я открыл для себя комплексную штуку которая кроме этого делает еще много всего полезного, рекомендую — плагин Wordfence

  • Убираем показ лишней информации
    Если при попытке зайти в админку WordPress’a вы ошибётесь с логином или паролем, вежливый движок скажет вам об этом. Ну а зачем злоумышленнику знать, что пароль, который он пытается подобрать – неверен? Давайте просто уберём вывод этой информации и чуток запутаем его.Что делаем?
    Открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем следующий код:add_filter(‘login_errors’,create_function(‘$a’, «return null;»));сохраняем файл – всё больше никаких сообщений.
  • Баним спамеров и ботов

Я делаю это силами все того же плагина Wordfence — экспериментируйте

Можно это делать и другими способами.

 

Кроме вышеперечисленного можно еще сделать кучу всего: изменить URL для входа, включить принудительный SSL. Отслеживать подозрительные запросы..

В общем желаю вам удачи!

И да, буду рад любым дополнениям и комментариям!

P.S. за небольшое вознаграждение помогу удалить заразу с зараженных ресурсов.

Как защитить сайт на wordpress?: 1 комментарий

  1. WordPress Database Backup – автоматически высылает на почту резервную копию базы данных вашего сайта. Регулярность можно установить самостоятельно – раз в день или еженедельно.

Добавить комментарий для Марина Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *