5 порад щодо захисту свого сайту WordPress від хакерів

як захистити веб-сайт WordPress від хакерів


Існує кілька порад та рекомендацій, як захистити ваш сайт WordPress від хакерів, але найважливішими 5 найважливішими та використаними порадами є наступні:

Зміна всього за замовчуванням

Хакери, як правило, на початку атакують веб-сайт, думаючи, що параметри за замовчуванням увімкнено, тому вам потрібно змінити все на зразок

  • Ім’я користувача за замовчуванням, яке є адміністратором, і краще ім’я повинно бути приватним і особистим прізвиськом.
  • Папка інсталяції, яка зазвичай знаходиться в корені, повинна бути випадковою папкою, і ви можете використовувати невеликий php-код, завдяки якому доступ до вашого веб-сайту є звичайним, навіть якщо папка інсталяції не є звичайною. Ви можете змінити код php з index.php з вашого кореня, куди ви помістите індекс WordPress, але ви зміните інсталяційну папку з рядка, який починається з:

вимагати (dirname (__FILE__). ‘/ wp-blog-header.php’);

до

вимагати (dirname (__FILE__). ‘/ random_folder_name / wp-blog-header.php’);

  • Ключі WordPress з файлу конфігурації wp-config.php, що використовується для кращого шифрування даних користувачів, таких як:

визначити (“AUTH_KEY”, “поставити тут свою унікальну фразу”);
визначити (“SECURE_AUTH_KEY”, “поставити тут свою унікальну фразу”);
визначити (“LOGGED_IN_KEY”, “поставити тут свою унікальну фразу”);
визначити (“NONCE_KEY”, “поставити тут свою унікальну фразу”);

  • Префікс таблиці з типовим ім’ям _wp під час створення бази даних для WordPress.
  • Потрібно видалити форму автоматичного заповнення, щоб форми не були автоматично і миттєво заповнені приватними даними.
  • Вимкніть правою кнопкою миші, щоб хакери не могли так легко бачити ваш вихідний код і не можуть шукати приватну інформацію, наприклад назву шаблону, версію WordPress та плагіни.
  • Блокуйте павуків пошукової системи від індексації розділів адміністратора, таких як wp-admin, wp-include, wp-content / plugins /, wp-content / cache /, wp-content / теми та забороняйте доступ до сторінок каналу, трекбека та категорій за допомогою роботів .txt файл, розміщений у вашому кореневому каталозі, як у наведеному нижче прикладі:

#
Користувач-агент: *
Відключити: / cgi-bin
Відключити: / wp-admin
Відключити: / wp-включає
Заборонити: / wp-content / плагіни /
Заборонити: / wp-content / кеш /
Заборонити: / wp-content / теми /
Заборонити: * / трекбек /
Заборонити: * / feed /
Відключити: / * / feed / rss / $
Заборонити: / категорія / *

  • Змініть і захистіть .htaccess файл, щоб запобігти злому WordPress, налаштувавши його, використовуючи приємний код у вашому кореневому .htaccess файлі, як:

# СИЛЬНА ОХОРОНА ПРОХОДЖЕННЯ

замовлення дозволяють, заперечують
заперечувати від усіх
задовольнити всіх

  • Захистіть wp-config.php, використовуючи додатковий код, записаний у .htaccess:

# захистити wp-config.php

Наказ відмовити, дозволити
Заперечувати від усіх

  • Обмежте доступ до каталогу wp-content, додавши .htaccess додатковий код:

Наказ відмовити, дозволити
Заперечувати від усіх

Дозволити від усіх

  • Вимкнути перегляд каталогів за допомогою коду, записаного в .htaccess:

Параметри Усі –Індекси

  • Запобігання введенню сценарію з іншим кодом .htaccess:

# захистити від введення sql
Параметри + FollowSymLinks
ПереписатиEngine On
ПерепишітьCond% {QUERY_STRING} (\<|% 3C). * Скрипт. * (\>|% 3E) [NC, OR]
RewriteCond% {QUERY_STRING} GLOBALS (= | \ [| \% [0-9A-Z] {0,2}) [АБО]
ПерепишітьCond% {QUERY_STRING} _REQUEST (= | \ [| \% [0-9A-Z] {0,2})
Перепишіть ^ (. *) $ Index.php [F, L]

Оновлення всього

Ще один спосіб захисту вашого веб-сайту WordPress – використання плагіна WP Updates Notifier, який повідомляє вас про нові оновлення, а потім ви можете дослідити кожен плагін, тему чи навіть ядро ​​WordPress, щоб побачити, чи безпечно оновити.

У випадку, якщо все нормально, вам слід оновити якнайшвидше в останній версії, інакше ваш веб-сайт може застаріти і можуть з’явитися подвиги. Якщо це не безпечно, краще не оновлюйте, а ви повинні деактивувати та видалити плагін або тему, а замість них скористайтеся новим та кращим.

Використання вдосконалених прийомів безпеки

Якщо ви використовуєте вдосконалені методи захисту, такі як зашифрований сертифікат SSL, який запобігає передачі особистих даних, таких як номер кредитної картки, хакеру або хорошій веб-хостинговій компанії, яка пропонує вам виділений IP, а також захист від DDoS та спаму для безпеки вашого веб-сайту бути безпечнішим.

Використання розширеного програмного забезпечення безпеки

Ви також можете встановити різні плагіни безпеки, такі як WP Security Scan, який діє як антивірусне сканування після вразливості та інформує вас, якщо він знайде поганий код. Цей плагін дуже хороший для вразливості XSS, вторгнень, блокування та реєстрації неправильних спроб входу, але ви можете використовувати звичайний антивірус, такий як BitDefender Antivirus або ESET Nod32 Antivirus для сканування файлів, завантажених на FTP або через WordPress Media Library.

Крім того, ви можете встановити брандмауер веб-додатків (WAF), який є хмарним сервісом підключення та відтворення, який служить шлюзом для всього вхідного трафіку або інших програм безпеки, таких як Acunetlx WP Security, який приховує особу вашого веб-сайту CMS.

Регулярно створюйте резервні копії свого веб-сайту

Вам також потрібно регулярно створювати резервні копії щодня або, принаймні, щотижня вручну або, якщо можете, автоматично, використовуючи Плагін WordPress або програмне забезпечення типу R1-Soft, яке надає ваша хостинг-компанія.

Вам дійсно потрібно створити резервну копію ваших електронних листів, файлів ftp, а також своєї бази даних, тим більше, що WordPress використовує базу даних для функціональних, вмістових та дизайнерських аспектів..

Щоб бути впевненим, ви можете завантажувати кожну резервну копію Dropbox, OneDrive або MediaFire, залежно від наявного місця.

Зрештою, навіть якщо ви вживати всіх необхідних запобіжних заходів, вас легко зламуть або обдурять, якщо ви не подбаєте і не будете дотримуватися деяких правил здорового глузду, таких як:

  • Ніколи не заходьте на свою інформаційну панель WordPress або інші інформаційні панелі, пов’язані з вашим веб-сайтом, з іноземного комп’ютера чи роботи / школи, тому що, можливо, ви забули, що ви ввійшли в систему, і хтось може пізніше отримати доступ до вашого веб-сайту.
  • Ніколи не дайте свої cPanel, FTP, базу даних, WordPress або хостинг даних, тому що іноді помилково чи ні, люди дійсно можуть робити погані речі.
  • Завжди використовуйте посилання на свій веб-сайт, щоб увійти в нього, і не використовуйте інший веб-сайт, навіть якщо вони схожі, вас легко скамують, а потім облікові дані можна зберігати на приватному сервері або надсилати електронною поштою людині.
  • Завжди використовуйте чітко визначені ролі та дозволи користувачів, якщо вам потрібно з певних причин додати користувачів на свій веб-сайт.
  • Завжди використовуйте приватну адресу електронної пошти, ім’я користувача та паролі для входу на веб-сайті, а не для загальних.
  • Якщо ви подарували комусь, наприклад веб-дизайнеру чи веб-програмісту, свій FTP або інші облікові дані, вам потрібно змінити їх після закінчення роботи, і вам слід перевірити, чи не використовує він жодного сценарію експлуатації, наприклад, того, який дає йому адміністратор привілеї над вашим веб-сайтом WordPress лише одним клацанням миші.

Чи захищений ваш веб-сайт? Які заходи ви вживаєте, щоб захистити свій сайт WordPress та захистити його від хакерів? Повідомте мене в коментарях!

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map