Защита от взлома WordPress
Защита от взлома WordPress.
Этот вопрос очень актуален, особенно в последнее время. На этой неделе все хостинг компании заметили огромное количество попыток взлома сайтов на движке WordPress.
Это скоординированное, глобальное нападение на блоги WordPress. И в некоторой степени на сайты на движке Joomla. WordPress. Уровень угрозы: Высокий.
Защита от взлома WordPress сейчас очень актуальна.
В нападение на сайты WordPress действует ботнет использующий более 90 000 IP-адресов.
Атака организована по принципу грубой силы, путем перебора паролей, пока правильный пароль не будет отгадан. К сожалению у WordPress по умолчанию слабая защита против атак методом перебора паролей.
Большинство хостинг компаний видят скорость нападения на аккаунты WordPress более 30 в секунду, это значит более 30 попыток взлома пароля в секунду.
Если у Вас установлен по умолчанию логин «admin» и слабый пароль, то Ваш сайт под угрозой взлома.
Для защиты от взлома WordPress нам нужно открыть консоль администратора. Забыли как? Посмотрите, как войти в админку WordPress.
Как защитить от взлома WordPress?
Изменить логин admin на другое слово. Для этого:
В консоли администратора откройте вкладку Пользователи — Добавить нового.
Заполните все поля, указав другое имя пользователя, другой e-mail, напишите сложный пароль, в котором должны быть цифры, буквы в разном регистре и символы (+ % @ = и т.д.), хороший пароль в котором будет более 25 букв, цифр и символов.
В строке «Роль» выберите «Администратор» и нажмите кнопку «Добавить пользователя«
Далее, закройте браузер, откройте этот или другой браузер и зайдите в админку Вашего блога с новым логином и паролем.
Откройте вкладку Все пользователи и удалите «admin» на следующей странице нажмите Связать все записи с новым логином и подтвердите удаление.
Обратите внимание, что сложный пароль это хорошо, а еще и сложный логин, это еще лучше. Поэтому я советую не просто Вашим логином сделать любое слово, а сделать примерно так: пример, я выбираю моим логином слово пасечник, но пишу его не просто так: pasechnik, а меняю некоторые буквы на цифры, и получился такой логин: 5a7e4nik, где как Вы видите я заменил русскую букву п на цифру 5, букву с на 7, а букву ч на 4. Как Вы видите и логин мне легко запомнить и он теперь стал значительно сложней для взлома.
А если у Вас установлен еще и плагин WordPress для безопасности, который ограничивает количество не правильных попыток входа в админку, так это совсем хорошо для защиты от взлома WordPress. Учебник для начинающих, «Как установить плагины WordPress«.
Очень важно для защиты от взлома WordPress:
Своевременно обновлять WordPress, плагины и тему, Вашего блога.
Установите сложный пароль Вашего аккаунта на хостинге. Ведь если злоумышленник попадет в Вашу админку на хостинге, ни какая защита Вам не поможет.
Если Вы пользуетесь FTP программами (FileZilla и другие), не сохраняйте в них пароль, логин от своего блога. Чаще проверяйте компьютер от вредоносных программ, если сохраните коды доступа к сайту в браузере, FTP-менеджере и т. д, а на компьютере окажется троян, он быстро их считает и передаст своему хозяину.Удалить элемент: Защита от взлома WordPress Защита от взлома WordPress
Сохраняйте бэкапы всего блога и баз данных на компьютер и / или в облачное хранилище, например Яндекс Диск.
Удалите все неиспользуемые темы и плагины.
Используйте секретные ключи в Вашем WP-config.php. файле.
Для этого зайдите на страницу генератора секретных ключей
Скопируйте весь код и добавьте его в свой файл WP-config.php заменив строчки прописанные по умолчанию:
Наберите в адресной строке Вашего браузера:
1. http://Ваш сайт/wp-content/
2. http://Ваш сайт/wp-content/plugins/
Если Вы видите в браузере папки и файлы, Вам нужно в этих директориях создать пустой файл index.php.
При вводе вышеуказанных адресов, окно браузера должно оставаться пустым.
Установите плагин Wordfence Security
Это бесплатный плагин, который включает в себя межсетевой экран, антивирусное сканирование, сканирование вредоносных URL, проверку трафика в реальном времени с геолокацией и многое другое. Wordfence Security может проверить и отремонтировать Ваш блог, темы и плагины, даже если у Вас нет резервных копий. Настраиваемая блокировка после ошибок ввода: логина, пароля, на какое время блокируется и т. д. Можно оставить все по умолчанию. Есть двухфакторная аутентификация.
После установки плагина Wordfence Security в Options добавьте свой E-mail и получайте оповещения на свою почту. Какие оповещения? Обычно, это оповещения напоминающие, что установленный у Вас плагин/плагины устарели и требуют обновления или создатели Wordfence Security оповещают о выявленных плагинах или темах Вордпресс в которых найдены дыры в безопасности.
Запустите сканер кнопка «Start a Wordfence Scan», он будет автоматически сканировать Ваш WordPress блог примерно раз в день.
Как дополнительную защиту от взлома, можно установить плагин SI CAPTCHA Anti-Spam
Он не только борется со Спамом добавляя картинку (капчу) в комментариях и прекрасно работает с плагином Akismet. Но еще и добавляет форму и код (капчу) в регистрационную форму. То есть, что бы войти в админ панель блога нужно знать не только логин и пароль, а так-же в ручную ввести код с картинки.
Бесплатный плагин Limit Login Attempts ограничивает количество попыток входа в административную панель (русский есть). Но, ограничить количество попыток входа в админ панель, можно и нужно с помощью плагина Wordfence Security.
Выполнив, эти не сложные действия по защите блога на WordPress, Вы намного обезопасите свои блоги.
P.S. Очень важно, установить сложный пароль для Вашего аккаунта на хостинге и сложный пароль к базе данных MYSQL Вашего сайта.
Защита от взлома WordPress, это не такое уж сложное дело, если немного позаботиться об этом.
«Автор: Леонид Никитин»
