Основна сигурност на WordPress - WP Best

Здравейте, скъпи собственици на сайтове, блогъри и професионални уеб администратори.

На тази страница искам да споделя с вас подробен доклад по толкова важна тема катоЗащита на WordPress сайт.

Искам да ви попитам - Преди колко време проверихте състоянието и нивото на сигурност на вашия ресурс?

Ако отговорът е: Да, толкова отдавна, че не си спомням, или Проверка на състоянието? Къде и как може да стане това? В този случай горещо ви препоръчвам да отделите няколко часа от ценното си време и да го използвате, за да анализирате сигурността на вашия сайт.

Проверка на състоянието на сигурността на WordPress

Онлайн скенери и/или вътрешни добавки (Gotmls, WordFence)

Проверка на сигурността на WordPress с онлайн скенер Sucuri.net.

wordpress

Сканирайте за уязвимости с плъгина WordFence.

wordpress

Намиране на злонамерен код с помощта на приставката Gotmls

wordpress

Проверете дали сайтът съдържа остарял код за теми и добавки

WordPress показва наличието на актуализации на видно място в горната част на административния панел. Добра идея е да поддържате своите теми, плъгини и WordPress актуални. Това ще ви помогне да се отървете от конфликтите между остарелия код и новия, както и да защитите сайта си от откритите уязвимости. Във всеки плъгин можете да намерите проблем със сигурността. За щастие, разработчиците на най-популярните плъгини много бързо пускат корекции с корекции. Вашата задача е да ги инсталирате на вашия сайт.

Има ли скрити връзки във вашата тема?

Проверете темата за злонамерен код с плъгина Theme Authenticity Checker.

сигурност

Ако в резултат на анализа откриете подозрителна дейност или злонамерен код, деактивирайте сайта (отвъзможности), направете резервно копие, свържете се с техническата поддръжка на хостинга или други специалисти и незабавно вземете мерки за неговото лечение. Не забравяйте, че файловете, репутацията и класирането в търсачките се възстановяват много по-трудно, след като са били негативно повлияни от вирусна инфекция. Много по-ефективно е да предотвратите неприятни ситуации навреме.

Актуализации - първият етап на тестване за сила

За съжаление много блогъри и собственици на сайтове или забравят за това правило, или напълно го игнорират.

Просто трябва да поддържате целия код на сайта актуален.

Това повдига въпроса: Безопасно ли е за мен да активирам автоматични актуализации?

Първо, ако вашият сайт не е сложен във функционалност (съдържа малък брой плъгини и код на трети страни), препоръчвам ви да актуализирате плъгините ръчно. Отнема много малко време в сравнение с други задачи. В същото време имате контрол върху процеса, можете да актуализирате плъгините един по един, да тествате определени части от сайта и незабавно да реагирате, ако има проблеми със сайта.

Ако внезапно по някаква причина искате да активирате автоматичните актуализации, това може да стане доста бързо и лесно. Препоръчвам да използвате приставката за разширени автоматични актуализации.

основна

Основни настройки за сигурност за всяка инсталация на WordPress

Имайки вашето потребителско име и парола, нападателят може да влезе в конзолата за управление на вашия сайт с администраторски права и функции.

Всички други нива на защита са напълно безполезни в тази ситуация.

Променете спешно потребителското си име admin (ако все още го използвате)

Ако нападателят знае данните за вход отПо подразбиране той трябва само да разбере паролата, за да хакне напълно и да получи контрол върху сайта. За да направи това, например, той може да използва различни софтуерни инструменти за изброяване на пароли.

За да се предпазите от това и да промените администраторското влизане по подразбиране, можете да използвате ръчния метод или да инсталирате помощен плъгин (например WPVN - Промяна на потребителско име, разширение за преименуване на администратор и т.н.). Препоръчвам ръчния начин. Незабавно сменете ID-то.

основна

Създайте силна парола за новото влизане.

Използвайте генератор на пароли онлайн, в браузър или друга програма.

Имате резонен въпрос: Как ще го запомня? Но няма начин. Поверете съхранението на поверителна информация на мениджър на пароли. Използвам LastPass и съм много доволен от удобството и функционалността.

Не съхранявайте вашето потребителско име и парола във вашия браузър!

Създадохте ли потребителско име и парола? Записано и запазено? Страхотен.

Следният съвет може да ви звучи малко фанатично, но ако се вгледате внимателно, той има пълен смисъл.

Защитете вашия WordPress от хакване чрез FTP

Кражбата на парола чрез FTP е доста често срещана ситуация, която предхожда вашия сайт да бъде хакнат, инсталиран зловреден код в него или други неблагоприятни действия.

Предлагам ви да разгледате следните опции, за да се предпазите от FTP хакване или значително да намалите шансовете му.

1. Използвайте защитен SFTP. SFTP и FTP не са едно и също. Префиксът S (Secure) означава, че вашите данни ще бъдат предадени в криптирана форма, което ще затрудни хакерите и програмите да ги прочетат и дешифрират.

2. Избягвайте използването на FTP, когато е възможно. Ако рядко качвате нови файлове или не го правитечесто докосвайте кода на вашия сайт, можете да използвате файловия мениджър в контролния панел на вашия хостинг.

Ако и вие като мен сте администратор на сайта и разработчик в едно лице, можете да настроите FTP достъп само за себе си.

Защитете своя WordPress, като изключите неизползваните функции и секции от конзолата за управление

Но дори и да решавате определени администраторски задачи, не е необходимо да поддържате всички функции активирани.

За да направите това, задайте константа във файла wp-config.php:

Деактивирайте регистрацията на вашия сайт.

Ако е разрешено, всеки може да се регистрира в сайта, да поиска парола и ако атакуващият вече знае потребителското име и паролата за вашата поща, тогава той ще получи линк за промяна на паролата и влизане.

Деактивирайте и премахнете напълно неизползваните добавки.

Те не само значително забавят (!) вашия сайт, затрудняват поддръжката и откриването на конфликти, но и компрометират сигурността на вашия сайт, ако например плъгините не се актуализират дълго време и/или не отговарят на стандартите и изработката.

Вероятно всеки от вас има няколко плъгина, които някога е инсталирал за тестови цели, но отдавна е забравил за тях. Почистете вашия WordPress от неизползван код на плъгин, за да спрете да се тревожите за сигурността и стабилността на вашия сайт.

Използвайте защитен хостинг и, ако е възможно, инсталирайте SSL сертификат

Най-популярните и реномирани хостинг доставчици предоставят различни функции за повишаване на нивото на защита за вашия WordPress.

Пакетът от услуги може да включва:

способността да проверявате сайта за вируси и да ги лекувате;

способността за защита на файлове и директории;

възможност за задаване на пароли за всякаквиуказател

също така предоставят регистрационни файлове и регистрационен файл за наблюдение на производителността и сигурността;

Използвайте това, което е включено във вашата тарифа и е интегрирано в контролния панел. Това е бърз и удобен начин да увеличите сигурността на вашия сайт. Надеждната му работа зависи не само от обема и квотите на предоставяните услуги, но и от добре конфигуриран хостинг, от скоростта на техническата поддръжка, която ще помогне за своевременното решаване и / или предотвратяване на много проблеми в сайта.

Що се отнася до SSL сертификата, това несъмнено е плюс и е евтин.

Може би, ако току-що сте настроили и стартирали сайта си, не искате незабавно да активирате защитения HTTPS протокол.

Но не забравяйте да обмислите тази възможност в бъдеще. Особено когато вашият сайт започне да набира популярност и се окаже вкусна хапка за натрапници.

Познайте преди всичко състоянието на вашата сигурност

Възможността за преглед на регистрационни файлове и регистрационни файлове на хоста е добра, но не винаги е достатъчна. От друга страна, ако ги допълните със система за наблюдение за проследяване на промени във файлове и/или настъпване на определени събития, ще станете почти „непроницаеми“ по отношение на защитата.

Всичко, от което се нуждаете, е да настроите получаването на известия за важни (според вас) събития и промени.

Когато защитата на плъгина е неуспешна или атакуващият е намерил / се опитва да намери байпас, вие ще научите първи за това и можете незабавно да реагирате, да предотвратите проникването или да го спрете на ранен етап.

Разбира се, подобна система за уведомяване се нуждае от първоначална настройка, но тя плаща за цялото ви време и ви спестява нерви и пари.

Някои популярни плъгини улесняват персонализирането на системата за регистриране иизвестия дори за неподготвен технически потребител. Но според мен все пак трябва да разберете как работи, да можете да задавате различни филтри, защото в противен случай ще получите много произволни положителни резултати и в крайна сметка ще спрете да обръщате необходимото внимание на входящите известия. Това практически ще намали стойността на такава система до нула.

Тук бих искал да завърша основните препоръки за сигурност на WordPress. И ви каним да преминете към по-подробни нива на настройки и разширени ръководства за защита на вашия сайт.

Но преди да го направите, уверете се, че сте следвали и следвате горните основни основни принципи. Само по този начин можете да гарантирате високата сигурност на вашия ресурс и надеждността на неговата работа.