Одна из самых важных вещей, которую вы можете сделать при создании сайта WordPress, – это убедиться, что он безопасен. Хотя вы никогда не сможете достичь 100% безопасности сайта, вы, безусловно, можете достичь 99%, и вы можете добиться этого, приняв как большие, так и маленькие меры, которые отражают каждую точку доступа на вашем сайте и ее уязвимости.
Некоторые из вас могут подумать, что ваш сайт довольно безопасен. И это здорово, но почему бы не потратить пару минут и не просмотреть этот список, который я составил для поиска в отношении безопасности сайта WordPress? Вы либо откажетесь от плана действий, либо почувствуете себя более уверенно в своих измерениях, и то и другое – это хорошо.
Вот 10 вещей, на которые следует обратить внимание, чтобы обеспечить максимальную безопасность вашего сайта.
1. Ограничьте доступ к панели инструментов.
Когда кто-то имеет доступ к вашей панели управления WordPress, он может добавлять новые сообщения и страницы, загружать файлы и изменять свои настройки. Неопытный человек может ошибиться, даже не осознавая этого. Или намерение могло быть более злым. В любом случае, вы должны предоставлять доступ только тем участникам вашего форума, которым вы доверяете.
Вы можете внести свой IP-адрес в белый список, чтобы ограничить доступ к вашей доске для всех, кто не имеет вашего IP-адреса, что может значительно снизить количество попыток взлома. Конечно, вы всегда должны обращаться к администратору вашего сайта с одного и того же IP-адреса.
Для этого добавьте новый файл .htaccess в папку wp-admin, а затем добавьте этот код:
order deny,
allow
allow from YOUR IP ADDRESS
deny from all
А если вы хотите защитить свою тему и плагины от редактирования неавторизованными пользователями, вы можете добавить этот код в свой файл wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
2. Заблокировать просмотр каталога
Вы, вероятно, уже знаете, что веб-сайты настроены таким образом, что файлы содержатся в папках на сервере. Обычно кто-то может просматривать содержимое каждой папки или каталога, что может сделать его открытым для злонамеренных попыток взлома. Однако вы можете сделать так, чтобы содержимое определенных папок не было видно широкой публике. Это тактика сокрытия информации, и хотя она не сделает ваш сайт на 100% безопасным, она дает хакерам меньше информации, с которой можно работать, и меньше информации – это то, что вам нужно.
Чтобы заблокировать просмотр каталогов, откройте файл .htaccess еще раз и вставьте внизу следующий код:
Options -Indexes
Вот и все!
3. Удалите информацию о версии WordPress.
Темы WordPress используются для автоматической генерации номера версии WordPress, которую вы используете вголова> тег сайта. Однако WordPress теперь вставляет эту информацию, и, хотя WordPress полезно знать, когда вы анализируете, кто что использует, оставлять эту информацию доступной для всех, кто просматривает ваш код, представляет собой угрозу безопасности.
Зачем? Потому что предоставление хакеру номера версии напрямую облегчает его работу. И вы же не хотите облегчать работу хакеру! Вместо этого просто вставьте этот код в functions.php файл для вашей темы:
function remove_wp_version() {
return '';
}
add_filter( 'the_generator', 'remove_wp_version' );
Это удалит номер версии и повысит уровень безопасности вашего сайта.
4. Оцените свое имя пользователя и пароль.
Вы слышали этот совет снова и снова, но вам действительно нужно его услышать. Выбор надежного имени пользователя и пароля важен для общей безопасности вашего сайта. Прежде всего, никогда не используйте «admin» в качестве имени пользователя. Поскольку это самое популярное имя пользователя для WordPress, оставить его без изменений – все равно что передать хакерам половину ваших данных.
Во-вторых, используйте в качестве пароля последовательность цифр, букв и символов. По сути, человек не может угадать, а сломать машину – чрезвычайно сложно.
5. Регулярно создавайте резервные копии сайта.
Многие люди закатывают глаза, когда слышат, что им нужно часто создавать резервные копии своих сайтов. Не потому, что они не понимают, что это важно; скорее потому, что мысль о резервном копировании всего сайта утомительна. Многие люди просто не хотят тратить время и силы на проект.
К счастью, в наши дни резервное копирование можно полностью автоматизировать, и на самом деле это разумное решение, поскольку его можно запланировать заранее. Таким образом, вы никогда не забудете снова создать резервную копию своего сайта. В Кодексе WordPress есть подробные инструкции, или вы можете использовать наше руководство по резервному копированию вашего сайта WordPress. Или вы можете выбрать решение на основе плагинов (Backup Buddy и VaultPress – это два варианта, которые мы использовали ранее здесь, в WPExplorer).
6. Своевременно обновляйте свой сайт.
Хакеры предлагают новые стратегии ежедневного уничтожения веб-сайтов. Таким образом, запуск устаревшей версии WordPress – это всего лишь проблема, тем более что WordPress публикует недостатки и дыры в безопасности в предыдущих версиях, как только выпускается новая версия, как показано на фотографии выше. Всегда убедитесь, что на вашем сайте установлена последняя версия для оптимальной безопасности.
7. Выберите безопасные темы.
Также важно выбирать темы, заслуживающие уважения. Те, которые созданы менее уважаемыми разработчиками или теми, у кого нет самого чистого кода, могут открыть ваш сайт для уязвимостей безопасности после установки. Прочтите обзоры тем перед их установкой, и если вы покупаете тему премиум-класса, всегда покупайте ее на хорошо известном сайте.
Точно так же всегда устанавливайте обновления тем, если они доступны. То, что было сказано выше о поддержании актуальности основных файлов WordPress, также применимо и здесь.
8. Выберите безопасные дополнения.
То, что я сказал ранее о темах, применимо и к плагинам. Хотя совет, вероятно, верен вдвойне для надстроек, поскольку они иногда могут содержать вредоносные программы или вредоносный код. Не загружайте плагин от разработчика, которого вы не знаете, и всегда устанавливайте обновления, когда они доступны, чтобы обеспечить безопасность сайта.
9. Защитите свои файлы
Один из самых важных файлов на всем вашем сайте WordPress – это WP-config.php архив. Хранит тонну данных о вашем сайте, включая подробную информацию о вашей базе данных и конфигурации сайта в целом. Хакер с соответствующей базой знаний может изменить все на вашем сайте, просто используя информацию в этом файле. Итак, как вы понимаете, важно защитить его.
К счастью, это можно сделать с помощью относительно простого решения. Все, что вам нужно сделать, это добавить следующий фрагмент кода в свой .htaccess файл чуть ниже того места, где написано # КОНЕЦ WordPress:
order allow,deny
deny from all
10. Выберите подходящего хостинг-провайдера.
Безопасность вашего сайта во многом зависит от того, какой хостинг-провайдер WordPress вы выберете. Хотя я не могу сказать вам, какой хостинг является лучшим (слишком много переменных, которые нужно учитывать в этой статье), я могу сказать вам, что чтение обзоров является обязательным условием для принятия правильного решения. Прежде чем принимать окончательное решение, убедитесь, что вы оценили безопасность хоста, решения для резервного копирования и тип сервера.
Помните: Выбранный вами хост будет напрямую влиять на скорость загрузки вашего сайта, время безотказной работы и безопасность ваших общедоступных и личных данных. Это решение не следует принимать легкомысленно.
вывод
Этот список не является полным, но он определенно должен дать вам исчерпывающую базу для начала с точки зрения выявления потенциальных дыр в безопасности и решений для защиты вашего сайта от хакеров. Вы также можете заплатить и следовать этому Руководству по безопасности WordPress, чтобы получить более простые советы по защите вашего сайта WordPress. Это также должно дать вам немного больше спокойствия. В конце концов, на разработку и внедрение веб-сайта обычно тратятся сотни часов. Защита очень важна.
Какие шаги вы предпринимаете для защиты своего сайта? Вы бы предпочли использовать ручной подход или использовать решения на основе плагинов? Дайте нам знать об этом в комментариях!
