Советы по повышению безопасности вашего сайта на WordPress

В наши дни ведение блога стало хобби для очень многих людей, и WordPress является наиболее предпочтительной платформой для этого. По умолчанию блоги WordPress используют минимальный уровень безопасности, а также его файлы и / или плагины часто могут быть устаревшими. Эти файлы отслеживаются и уязвимы для лёгкого взлома. Интернет не является безопасным местом для работы, и нужно знать, как его обезопасить.

В этой статье рассматриваются некоторые простые советы и методы, которые могут быть реализованы новичками, чтобы обеспечить безопасность своих блогов и информации, хранящейся в WordPress.

Используйте уникальное безопасное имя пользователя и пароль

• Избегайте использования администратора по умолчанию.
• Пользователь также может создать нового пользователя с правами администратора и удалить старое имя пользователя admin.
• Плагин WordPress, такой как Username Changer,также можно использовать для изменения имени пользователя на более безопасное. Старайтесь избегать использования общих имён пользователей, таких как ваше имя или «администратор», которые легко угадываются.
• Выберите сложный пароль, состоящий из букв, цифр и символов. Не выбирайте пароль, похожий на имя пользователя, название веб-сайта или простое слово с небольшими изменениями.
• Предпочтительно рекомендуется использование случайной строки символов.

Включение двухэтапной аутентификации

1. У пользователя должна быть учётная запись WordPress, которую можно создать. Если у пользователя уже есть учётная запись WordPress, пропустите этот шаг.
2. Щёлкните здесь, чтобы включить двухэтапную проверку. Пользователь перенаправляется на следующую страницу.
3. После нажатия кнопки «Начать работу» появляется следующий экран.
4. Выберите вариант «Подтвердить через SMS».
5. WordPress отправит проверочный код по SMS, который пользователь должен ввести для проверки номера.
6. Правильно введите код, отправленный на ваш мобильный телефон. Затем необходимо предоставить несколько резервных кодов, которые можно использовать в качестве альтернативного способа доступа к сайту, если мобильный телефон украден или потерян, или в ситуации, когда телефон не может быть доступен для получения кода. Сохраните эти коды в текстовом файле.
7. Теперь вы включили двухэтапную аутентификацию.

Использование плагина

Для защиты от атаки Brute Force есть два отличных плагина.

• Плагин All in One WP Security & Firewall имеет параметр, который просто изменяет URL-адрес по умолчанию (/ wp-admin /) для этой формы входа. Этот плагин также помогает ограничить количество попыток входа с определённого IP-адреса.
• Другой — BruteProtect. Этот плагин недавно был приобретён Automattic , создателями WordPress. Плагин автоматически заботится о защите формы входа пользователя от IP-адресов, которые имеют тенденцию делать много попыток входа в систему.

Переместите wp-config на один каталог вверх и заблокируйте его

• Пользователи могут переместить файл wp-config.php в каталог над установкой WordPress. Это означает, что для сайта, установленного в корне вашего веб-пространства, вы можете хранить wp-config.php вне корневой папки.
• Вот как выглядит wp-config:

Если используемый сервер имеет .htaccess, добавьте этот фрагмент кода в начало файла, который будет запрещать доступ всем, кто просматривает его:

<файлы wp-config.php>

заказ разрешить, запретить

отрицать от всех

</files>

Держите WordPress в актуальном состоянии

Предполагая, что у пользователя установлен Wamp-сервер:

1. Запустите Wamp-сервер.
2. Откройте сайт WordPress с помощью localhost.
3. В разделе панели управления нажмите «Обновления».
4. В моём случае я уже обновил свой WordPress. Так что для меня это показывает, что «у вас уже есть последняя версия».
5. Для тех, у кого установлена ​​последняя версия, будет возможность обновить. Нажмите здесь. Готово!

Изменение прав доступа к файлам

Пользователи, у которых есть доступ к серверу через оболочку, могут рекурсивно изменять права доступа к файлам с помощью следующей команды:

• Для справочников: найти / путь / к / вашему / wordpress / install / -type d -exec chmod 755 {} \;
• Для файлов: найти / путь / к / вашему / wordpress / install / -type f -exec chmod 644 {} \;

Планирование регулярного резервного копирования данных

• Регулярно выполняйте резервное копирование данных, в том числе MySQL.
• Целостность данных очень важна для надёжного резервного копирования.
• Хороший план резервного копирования может включать в себя хранение набора регулярных снимков всей вашей установки WordPress (включая основные файлы WordPress и вашу базу данных) в надёжном месте.

Удалите readme и все ненужные файлы

• WordPress по умолчанию имеет файл readme.html и множество плагинов и тем, которые идут вместе с ним.
• Их следует удалить, так как они могут использоваться для снятия отпечатков пальцев или общего отслеживания и часто содержат информацию о версии.
• Удалите из папки все ненужные файлы.

Включение входа через SSL

Если у сайта есть сертификат SSL,можно включить вход через SSL.

Чтобы включить SSL, ваш сайт должен быть доступен по https.
Добавьте следующий фрагмент кода в файл wp-config:

define (’FORCE_SSL_LOGIN’, true); // Только для входа в систему
define (’FORCE_SSL_ADMIN’, true); // Для администратора

Спросите Apache Password Protect

• Этот плагин предоставляет пользователям больше контроля над своим блогом с точки зрения безопасности.
• Пользователи могут легко защитить ваш сайт с помощью авторизации 401.

Плагин можно скачать отсюда.

Ссылки:

http://www.sitepoint.com/tips-to-secure-wordpress/

http://code.tutsplus.com/articles/11-quick-tips-securing-your-wordpress-site—wp-22446