Безопасность WordPress — советы и рекомендации.

05.11.2021

410 3 minutes read

Сегодня поговорим о безопасности вашего сайта на популярной платформе WordPress. Безопасность блога напрямую зависит от степени заботы о нем и качестве администрирования. Используя простые советы и рекомендации вы намного сможете повысить уровень безопасности.

Потребность в увеличении уровня безопасности растет по мере увеличения количества ваших посетителей. Чем ваш ресурс популярнее тем больше хакеров захочет его взломать. Исходя из ваших желаний по увеличении безопасности WordPress и была написана эта статья.

Безопасность WordPress 2015 содержит следующие рекомендации:

Навигация по статье:

Безопасность wordpress и файл htaccess.
Как защитить файл .htaccess WordPress сайта?
Как защитить файл wp-config.php?
Создайте свои секретные ключи для файла wp-config.php.
Смена префикса таблиц базы данных WordPress.
Ограничение количества неудачных попыток входа.
Используйте надежный пароль WordPress.
Не используйте для входа login «admin».
Обновляйте версию WordPress, плагины и темы.
В корне блога удалите файлы readme.html и license.txt.
Периодически изменяйте пароли к базе данных, административной панели и хостинга.
Делайте регулярные резервные копии.

Безопасность wordpress и файл htaccess.

Htaccess — это файл, который позволяет корректировать конфигурацию сервера. С помощью него можно проделать множество настроек, в том числе и добавить безопасности сайту.

Давайте рассмотрим все по порядку, раз .htaccess такой ценный значит для начала стоит обезопасить его от стороннего вмешательства.

Как защитить файл .htaccess WordPress сайта?

Говоря о поднятии безопасности при помощи файла .htaccess без защиты его самого было бы глупо. По этой причине защитим сперва наш файл, а затем пойдем далее.

Для того что бы защитить .htaccess нужно внести в него небольшой код:

<Files .htaccess>
order allow,deny
deny from all
</Files>

Этот код позволит закрыть доступ к файлу из вне, что уже значительно обезопасит ваш сайт от взлома.

Как защитить файл wp-config.php?

Нам нужно также защитить важный файл который имеет множество информации связанной с доступом к базе данных и другое. Запретить доступ к файлу из вне можно при помощи .htaccess. Защитный код должен быть таковым:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Создайте свои секретные ключи для файла wp-config.php.

Для доступа к сайту WordPress использует 4 ключа, которые указываются в файле wp-config.php. Вы должны создать и установить свои собственные уникальные ключи, для обеспечения безопасности. Для облегчения сего действия существует специальный генератор ключей, с помощью которого вы создадите все что вам потребуется.

Сменить ключи можно изменив файл wp-config.php и перезаписать его на сервер.

Смена префикса таблиц базы данных WordPress.

Префикс базы данных создаются при установке WordPress, по умолчанию он назначается как wp_название таблицы. Если при установке вы не задали другое значение, вы можете сменить его в файле wp-config.php задав переменной $table_prefix другое значение. Чем сложнее будет ваш префикс тем меньше вероятность несанкционированного доступа к вашей базе данных. Примером может быть такая строчка $table_prefix = wp65zym6. Запоминать это значение не требуется, вы устанавливаете его только один раз и больше к нему не возвращаетесь.

Ограничение количества неудачных попыток входа.

Одним из способов предотвращения взлома вашего сайта является ограничение количество попыток входа, и дальнейшая блокировка нарушителя. Эти простые настройки позволят обезопасить вас от автоматических переборов паролей бот программами, а так же ручного ввода людьми.

На помощь вам придет плагин Login LockDown, настройка которого не займет у вас много времени, но позволит добавить очередную преграду взломщикам.

Используйте надежный пароль WordPress.

В версии WordPress 4.3 и выше при установке платформы вам будут предложены безопасные пароли, которые отлично подойдут вам, так же вы сможете изменить их в дальнейшем.

Безопасность сайта WordPress по большей мере зависит от безопасности доступа к административной панели, поэтому пренебрегать этими рекомендациями будет большой ошибкой.

Не используйте для входа login «admin».

Если вы выбрали другой логин, отлично! Убедитесь что его трудно подобрать вручную, также зайдите в вашу базу данных в таблицу префикс_users и убедитесь что в ней нету зарегистрированного логина admin. Если таков существует, удалите его.

Обновляйте версию WordPress, плагины и темы.

Обновитесь, обновитесь и еще раз обновитесь. Обновления версий ваших плагинов и самого движка WordPress выходят не просто так, основная их задача увеличить функционал и закрыть дыры в безопасности, по этому важность обновления стоит на одном из первых мест.

В корне блога удалите файлы readme.html и license.txt.

Эти файлы не нужны нам, но они показываю текущую версию WordPress и некоторую другую информацию сайта, а зачем нам лишняя утечка информации. По этому удалите их.

Эти файлы доступны всем пользователям по адресу ваш-сайт/readme.html, проверти это на своем блоге.

Периодически изменяйте пароли к базе данных, административной панели и хостинга.

Эти действия не займут у вас много времени раз в один два месяца меняйте пароли и вы сможете поставить очередную галочку в безопасности вашего блога на WordPress.

Делайте регулярные резервные копии.

В ручном режиме или автоматическом, с помощью плагинов или программ делайте резервные копии своего сайта, что бы при необходимости быстро восстановить последнюю версию сайта. Вас взломали? Или же вы сами поломали свой сайт? Резервные копии помогут быстро восстановить дееспособность вашего ресурса.

Все эти рекомендации и множество других, которые вы найдете в сети никогда не обезопасят вас на 100% но с каждой новой настройкой вы сможете уменьшит шанс взлома.