Как защитить сайт на WordPress от взлома

Из за популярности Вордпресса этот движок и сайты сделанные на нём становятся целью хакеров и ботов. С годами и ростом популярностью Вордпресса сложилось мнение, что этот движок ненадёжный и легко-взламываемый. Это ошибочное мнение, так как почти все взломы связаны с ошибками и неопытностью разработчиков при создании и настройке сайта.

Я расскажу вам о техниках и плагинах, которыми я пользуюсь при разработке сайтов, и которые помогут обезопасить ваш сайт от любых попыток взлома.

Страница логина

 Блокируйте повторные, безуспешные попытки входа в админку (Login Lockdown or iThemes Security)
 Активируйте двухуровневую аутенификацию (Google Authenticator for WordPress)
 Вместо логина используйте адрес почты (WP Email Login)
 Измените ссылку страницы входа в админку (iThemes Security или в файле .htaccess)
 Уберите линки на вход в админку с фронтэнда сайта. Часто этот линк есть в виджете Мета
 Используйте сложный пароль состоящий из заглавных, прописных, цифр и хотя бы одного специального знака (password generator или secure password generator)
 Иногда меняйте пароль
 Не указывайте на странице логина что конкретно пользователь ввёл неправильно (мануал)

Административная панель

 Защитите паролем папку wp-admin с помощью .htaccess (оставьте только необходимые файлы)
 Регулярно обновляйте WordPress
 Не используйте слово admin при создании аккаунта. Если у вас есть такой аккаунт, создайте новый аккаунт с правами админа и удалите старый
 Создайте аккаунт с правами Editor и используйте его для публикации контента
 Установите SSL сертификат
 Установите плагин, который отслеживает изменения в файлах (WP Security Scan, Wordfence или iThemes Security)
 Сканируйте сайт на наличие вирусов и дыр безопасности

Шаблоны

 Обновляйте шаблон регулярно
 Удалите шаблоны, которые не используете
 Скачивайте шаблоны только из надёжных источников (ThemeForest, ElegantThemes)
 Удалите версию WordPress из кода (мануал)

Плагины

 Обновляйте все плагины
 Удалите плагины, которые не используете
 Скачивайте плагины из надёжных источников
 Заменяйте плагины, которые слишком долго не обновлялись на более свежие альтернативы
 Не устанавливайте слишком много плагинов

База данных

 Измените префикс базы, используемый по умолчанию (мануал)
 Сделайте расписание регулярных бэкапов (Updraft Plus, WP DB Backup)
 Используйте очень надёжный пароль для базы данных при её создании (password generator)

Провайдер

 Используйте надёжную компанию
 Подключайтесь к серверу через SFTP или SSH для закачки файлов
 Установите права записи папок на 755 и файлов на 644 (рекомендации Кодекса)
 Убедитесь, что никто не имеет доступа к wp-config.php
 Удалите license.txt, wp-config-sample.php, и readme.html
 Запретите редактирование файлов через wp-config.php добавив строку:define('DISALLOW_FILE_EDIT',true);
 Запретите просмотр директорий с помощию этого кода в .htaccess: Options All -Indexes

Наша специальность — разработка и поддержка сайтов на WordPress. Контакты для бесплатной консультации — [email protected], +371 29394520