Защита от взлома WordPress
Защита от взлома WordPress простыми словами для начинающих.
Защита от взлома WordPress.
Защита от взлома WordPress актуальна всегда и особенно в последнее время. На этой неделе все хостинг компании заметили огромное количество попыток взлома сайтов на движке WordPress.
Это скоординированное, глобальное нападение на блоги WordPress. И в некоторой степени на сайты на движке Joomla. WordPress. Уровень угрозы: Высокий.
Защита от взлома WordPress сейчас очень актуальна.
В нападение на сайты WordPress действует ботнет использующий более 90 000 IP-адресов.
Атака организована по принципу грубой силы, путем перебора паролей, пока правильный пароль не будет отгадан. К сожалению у WordPress по умолчанию слабая защита против атак методом перебора паролей.
Большинство хостинг компаний видят скорость нападения на аккаунты WordPress более 30 в секунду, это значит более 30 попыток взлома пароля в секунду.
Если у Вас установлен по умолчанию логин «admin» и слабый пароль, то Ваш сайт под угрозой взлома.
Для защиты от взлома WordPress нам нужно открыть консоль администратора. Забыли как? Посмотрите, как войти в админку WordPress.
Как защитить от взлома WordPress?
Защита от взлома WordPress начинается с изменения логина.
Изменить логин admin на другое слово. Для этого:
В консоли администратора откройте вкладку Пользователи — Добавить нового.
Заполните все поля, указав другое имя пользователя, другой e-mail, напишите сложный пароль, в котором должны быть цифры, буквы в разном регистре и символы (+ % @ = и т.д.), хороший пароль в котором будет более 25 букв, цифр и символов.
В строке «Роль» выберите «Администратор» и нажмите кнопку «Добавить пользователя«
Далее, закройте браузер, откройте этот или другой браузер и зайдите в админку Вашего блога с новым логином и паролем.
Откройте вкладку Все пользователи и удалите «admin» на следующей странице нажмите Связать все записи с новым логином и подтвердите удаление.
Защита от взлома WordPress продолжается созданием сложного пароля.
Обратите внимание, что сложный пароль это хорошо, а еще и сложный логин, это еще лучше. Поэтому я советую не просто Вашим логином сделать любое слово, а сделать примерно так: пример, я выбираю моим логином слово пасечник, но пишу его не просто так: pasechnik, а меняю некоторые буквы на цифры, и получился такой логин: 5a7e4nik, где как Вы видите я заменил русскую букву п на цифру 5, букву с на 7, а букву ч на 4. Как Вы видите и логин мне легко запомнить и он теперь стал значительно сложней для взлома.
А если у Вас установлен еще и плагин WordPress для безопасности, который ограничивает количество не правильных попыток входа в админку, так это совсем хорошо для защиты от взлома WordPress. Учебник для начинающих: Как установить плагины WordPress.
Очень важно для защиты от взлома WordPress:
Своевременно обновлять WordPress, плагины и тему, Вашего блога.
Защита от взлома WordPress часто не работает при дырах в безопасности ядра, плагинов и тем, которые вовремя не обновили.
Установите сложный пароль Вашего аккаунта на хостинге. Ведь если злоумышленник попадет в Вашу админку на хостинге, ни какая защита Вам не поможет.
Если Вы пользуетесь FTP программами (FileZilla и другие), не сохраняйте в них пароль, логин от своего блога. Чаще проверяйте компьютер от вредоносных программ, если сохраните коды доступа к сайту в браузере, FTP-менеджере и т. д, а на компьютере окажется троян, он быстро их считает и передаст своему хозяину.
Сохраняйте бэкапы всего блога и баз данных на компьютер и / или в облачное хранилище, например Яндекс Диск.
Удалите все неиспользуемые темы и плагины.
Используйте секретные ключи в Вашем WP-config.php. файле.
Что Такое Ключи Безопасности WordPress?
Защита от взлома WordPress и ключи безопасности WordPress.
WordPress Security Keys (ключи безопасности WordPress) — это набор случайных символов, которые улучшают шифрование информации, хранящейся в файлах cookie пользователя. Существует четыре ключа безопасности: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY
Для чего нужно использовать ключи безопасности WordPress?
Эти ключи безопасности затрудняют взлом Вашего пароля. Незашифрованный пароль, такой как «login» или «admin», может быть легко взломан, но случайный, непредсказуемый и зашифрованный пароль, такой как «e73bF2K42749vA6032bdkmr523», вынудит хакеров потратить годы, чтобы подобрать правильную комбинацию. Вы должны использовать ключи безопасности WordPress для повышения безопасности Ваших блогов или веб-сайтов на движке WordPress.
Как Добавить Секретные Ключи WordPress На Сайт?
Сам архив WordPress не имеет ключей безопасности. Вам нужно будет добавить их самостоятельно. Это очень простой и легкий процесс, который Вы сможете без проблем сделать, если знаете, как использовать FTP или файловый менеджер Вашего хостинга.
Во-первых, Вам нужно будет получить свой собственный уникальный секретный ключ. WordPress имеет генератор ключей безопасности WordPress, который может дать Вам эти секретные ключи. Я рекомендую Вам использовать его, а не придумывать свой собственный.
Для этого зайдите на страницу генератора секретных ключей
Скопируйте весь код и добавьте его в свой файл WP-config.php заменив строчки прописанные по умолчанию.
Пример.
Второй шаг — это изменение Вашего файла wp-config.php. Вы найдете этот файл, расположенный в корневой папке (в директории) Вашего сайта на WordPress (в той же папке, где хранится Ваши папки wp-admin, wp-content и другие файлы папки). В Вашем файле wp-config.php Вы увидите что-то вроде этого:
Важно: скачав архив с WordPress (с официального сайта WordPress), Вы не найдете там файла wp-config.php, там будет только файл wp-config-sample.php, после всех нужных изменений в файле wp-config-sample.php, просто переименуйте его в wp-config.php. Если Вы читали мою статью, как сделать блог WordPress бесплатно, там я не рассказывал о ключах безопасности WordPress, все потому, что при установке WordPress на хостинг в полуавтоматическом режиме, эти ключи безопасности были прописаны автоматически в файл wp-config.php, который был создан при установке и добавлен в корневую директорию без моего участия. Вам нужно будет проверить на своем сайте, есть там ключи безопасности в файле wp-config.php или нет, если нет, сгенерируйте и пропишите, не забыв сохранить изменения.
Просто возьмите свои ключи безопасности, который мы получили в генераторе ключей безопасности WordPress в шаге 1, и вставьте их соответствующим образом в следующие строки (будьте осторожней с кавычками).
Сохраните свой wp-config.php файл, и все готово. Если Вы были в это время в своей админ панель WordPress, то Вам будет предложено снова войти в систему.
Если у Вас остались сомнения и неуверенность, как править файл wp-config.php, то в статье, как сделать блог WordPress бесплатно я довольно подробно рассказывал об изменении этого файла при использовании FTP — менеджера. Посмотрите и все поймете, это во второй части статьи, когда я устанавливал WordPress полностью самостоятельно, в примере хостинга Хостингер.
Скрыть папки WordPress
Наберите в адресной строке Вашего браузера:
1. http://Ваш сайт/wp-content/
2. http://Ваш сайт/wp-content/plugins/
Если Вы видите в браузере папки и файлы, Вам нужно в этих директориях создать пустой файл index.php.
При вводе вышеуказанных адресов, окно браузера должно оставаться пустым.
Защита от взлома WordPress с мощным плагином безопасности.
Установите плагин Wordfence Security
Это бесплатный плагин, который включает в себя межсетевой экран, антивирусное сканирование, сканирование вредоносных URL, проверку трафика в реальном времени с геолокацией и многое другое. Wordfence Security может проверить и отремонтировать Ваш блог, темы и плагины, даже если у Вас нет резервных копий. Настраиваемая блокировка после ошибок ввода: логина, пароля, на какое время блокируется и т. д. Можно оставить все по умолчанию. Есть двухфакторная аутентификация, рекомендую включить.
После установки плагина Wordfence Security в Options добавьте свой E-mail и получайте оповещения на свою почту. Какие оповещения? Обычно, это оповещения напоминающие, что установленный у Вас плагин/плагины устарели и требуют обновления или создатели Wordfence Security оповещают о выявленных плагинах или темах Вордпресс в которых найдены дыры в безопасности.
Запустите сканер кнопка «Start a Wordfence Scan», он будет автоматически сканировать Ваш WordPress блог примерно раз в день.
Как дополнительная защита от взлома WordPress, можно установить плагин SI CAPTCHA Anti-Spam
Он не только борется со Спамом добавляя картинку (капчу) в комментариях и прекрасно работает с плагином Akismet. Но еще и добавляет форму и код (капчу) в регистрационную форму. То есть, что бы войти в админ панель блога нужно знать не только логин и пароль, а также в ручную ввести код с картинки.
Заблокировать автоматический спам в комментариях WordPress
Блокировка автоматического спама это не столько защита от взлома WordPress, сколько удобство для администратора сайта.
Раньше, я использовал для блокировки автоматического спама в комментариях плагин Anti-spam, позже он стал частью плагина безопасности Titan Anti-spam & Security. Если у Вас не установлен плагин для безопасности WordPress, Вы можете попробовать этот плагин. Правда, в бесплатной версии он сильно урезан. Но даже в бесплатной версии это не плохая защита от взлома WordPress. Если Вам нужен просто плагин для блокировки автоматического спама в комментариях WordPress, Вы можете установить плагин Kama SpamBlock.
Бесплатный плагин Limit Login Attempts ограничивает количество попыток входа в административную панель (русский есть). Но, ограничить количество попыток входа в админ панель, можно и нужно с помощью плагина Wordfence Security.
Выполнив, эти не сложные действия по защите блога на WordPress, Вы намного обезопасите свои блоги.
P.S. Очень важно, установить сложный пароль для Вашего аккаунта на хостинге и сложный пароль к базе данных MYSQL Вашего сайта.
Защита от взлома WordPress с установкой двухфакторной аутентификации админки CMS WordPress и панели управления на хостинге.
Защита от взлома WordPress, это не такое уж сложное дело, если немного позаботиться об этом.
«Автор: Леонид Никитин»
