Защите от взлома WordPress
Защита от взлома WordPress.
Вопрос очень актуальный, особенно в последнее время. На этой неделе все хостинг компании заметили огромное количество попыток взлома сайтов на движке WordPress.
Это скоординированное, глобальное нападение на блоги WordPress. И в некоторой степени на сайты на движке Joomla.
WordPress. Уровень угрозы: Высокий.
Защита от взлома WordPress сейчас очень актуальна.
В нападение на сайты WordPress действует ботнет использующий более 90 000 IP-адресов.
Атака организована по принципу грубой силы, путем перебора паролей, пока правильный пароль не будет отгадан. К сожалению у WordPress по умолчанию слабая защита против атак методом перебора паролей.
Большинство хостинг компаний видят скорость нападения на аккаунты WordPress более 30 в секунду, это значит более 30 попыток взлома пароля в секунду.
Если у Вас установлен по умолчанию логин «admin» и слабый пароль, то Ваш сайт под угрозой взлома.
Как защитить от взлома WordPress?
Изменить логин admin на другое слово. Для этого:
В консоли администратора откройте вкладку Пользователи — Добавить нового.
Заполните все поля, указав другое имя пользователя, другой e-mail, напишите сложный пароль, в котором должны быть цифры, буквы в разном регистре и символы (+ % @ = и т.д.), хороший пароль в котором будет более 25 букв, цифр и символов.
В строке «Роль» выберите «Администратор» и нажмите кнопку «Добавить пользователя«
Далее, закройте браузер, откройте этот или другой браузер и зайдите в админку Вашего блога с новым логином и паролем.
Откройте вкладку Все пользователи и удалите «admin» на следующей странице нажмите Связать все записи с новым логином и подтвердите удаление.
Своевременно обновлять WordPress, плагины и темы, Вашего блога.
Установите сложный пароль Вашего аккаунта на хостинге. Ведь если злоумышленник попадет в Вашу админку на хостинге, ни какая защита Вам не поможет.
Если Вы пользуетесь FTP программами (FileZilla и другие), не сохраняйте в них пароль, логин от своего блога. Чаще проверяйте компьютер от вредоносных программ, если сохраните коды доступа к сайту в браузере, FTP-менеджере и т. д, а на компьютере окажется троян, он быстро их считает и передаст своему хозяину.Удалить элемент: Защита от взлома WordPress Защита от взлома WordPress
Сохраняйте бэкапы всего блога и баз данных на компьютер и / или в облачное хранилище, например Яндекс Диск .
Удалите все неиспользуемые темы и плагины.
Используйте секретные ключи в Вашем WP-config.php. файле.
Для этого зайдите на страницу https://api.wordpress.org/secret-key/1.1
Скопируйте весь код и добавьте его в свой файл WP-config.php заменив строчки прописанные по умолчанию:
Наберите в адресной строке Вашего браузера:
1. http://Ваш сайт/wp-content/
2. http://Ваш сайт/wp-content/plugins/
Если Вы видите в браузере папки и файлы, Вам нужно в этих директориях создать пустой файл index.php.
При вводе вышеуказанных адресов, окно браузера должно оставаться пустым.
Установите плагин Wordfence Security
Это бесплатный плагин, который включает в себя межсетевой экран, антивирусное сканирование, сканирование вредоносных URL, проверку трафика в реальном времени с геолокацией и многое другое. Wordfence Security может проверить и отремонтировать Ваш блог, темы и плагины, даже если у Вас нет резервных копий. Настраиваемая блокировка после ошибок ввода: логина, пароля, на какое время блокируется и т. д. Можно оставить все по умолчанию.
После установки плагина Wordfence Security в Options добавьте свой E-mail и получайте оповещения на свою почту. Какие оповещения? Обычно, это оповещения напоминающие, что установленный у Вас плагин/плагины устарели и требуют обновления или создатели Wordfence Security оповещают о выявленных плагинах или темах Вордпресс в которых найдены дыры в безопасности.
Запустите сканер кнопка «Start a Wordfence Scan», он будет автоматически сканировать Ваш WordPress блог примерно раз в день.
Как дополнительную защиту от взлома, можно установить плагин SI CAPTCHA Anti-Spam
Он не только борется со Спамом добавляя картинку (капчу) в комментариях и прекрасно работает с плагином Akismet. Но еще и добавляет форму и код (капчу) в регистрационную форму. То есть, что бы войти в админ панель блога нужно знать не только логин и пароль, а так-же в ручную ввести код с картинки.
Бесплатный плагин Limit Login Attempts ограничивает количество попыток входа в административную панель (русский есть). Но, ограничить количество попыток входа в админ панель, можно и нужно с помощью плагина Wordfence Security.
Выполнив, эти не сложные действия по защите блога на WordPress, Вы намного обезопасите свои блоги.
P.S. Очень важно, установить сложный пароль для Вашего аккаунта на хостинге и сложный пароль к базе данных MYSQL Вашего сайта.
Полезная статья — Нужные плагины WordPress
Учебник, как устанавливать плагины в ВордПресс
Защита от взлома WordPress, это не такое уж сложное дело, если немного позаботиться об этом.
«Автор: Леонид Никитин»
Как Вы считаете, какой из 2х плагинов по безопасности сайта установить лучше:iThemes Security или Wordfence Security? С уважением, Галина
Здравствуйте, Галина. Я пользуюсь плагином Wordfence Security, меня он устраивает и администраторы отслеживают безопасность плагинов, шаблонов и самой WordPress и если появляются проблемы, оперативно рассылают на мой email письма с появившимися угрозами, что бы я и другие пользователи, могли проверить свои шаблоны, плагины и если нужно, обновили их.
Спасибо. А прокомментировать этот плагин iThemes Security не смогли бы? Заранее благодарна!
Здравствуйте, Галина. Я не использовал плагин iThemes Security и пока ни чего о нем, не могу сказать. Знаю, что это плагин для безопасности WordPress и не более того. Может быть, когда выберу время, постараюсь протестировать этот плагин и напишу о нем статью.
Вордфенс платный (geo)
Мне хватает и бесплатной версии плагина Wordfence Security.
Спасибо Вам большое за полезный материал и его простое изложение! Сегодня с Вашей помощью сделан первый шаг в защите моего новорожденного блога в WP — заменен логин admin. Знала, что надо это сделать, но такого простого решения не встречала. Добавляю в закладки, планирую и дальше применять Ваши многочисленные ценные советы.
Здравствуйте, Лена. Пожалуйста.
На сегодняшний день All In One WP Security один из лучших