Содержание
Безопасность сайта на WordPress: подробная инструкция по настройке
В этой статье говорим о лучших методах безопасности веб-сайтов на WordPress
Не секрет, что WordPress является лидером среди CMS по разработке сайтов, в частности для создания блогов. Поэтому хакеры часто нацелены на взлом защиты сайтов на WordPress. Несмотря на простую установку и запуск сайта на WP, рекомендуем владельцам принять некоторые меры безопасности. Другими словами вся информация вашего сайта, не важно какая это информация (компании или клиентов), находится в зоне риска, даже если вы размещаете его на надежном хостинге.
Итак, сегодня поговорим о лучших методах, решающих проблемы безопасности сайтов..
УВЕЛИЧЬТЕ БЕЗОПАСНОСТЬ САЙТА НА WORDPRESS С ПОМОЩЬЮ РЕГУЛЯРНЫХ ОБНОВЛЕНИЙ
Самая важная вещь, которую нужно регулярно делать — это обновлять все файлы и плагины WordPress, а также шаблоны, если вы их используете без собственных корректировок. Новые обновления безопасности для WP и все остальные разные плагины выпускаются достаточно регулярно. Наличие последних версий значительно затрудняет доступ киберпреступникам к вашему сайту. Не пренебрегайте даже самыми, на первый взгляд, незначительными изменениями. Проводите тщательную проверку безопасности собственного сайта и убедитесь, что установлены все последние обновления. Любая уязвимость WP, в том числе в шаблоне блога на WordPress, имеет значение, поэтому не рискуйте и перестрахуйтесь, установив все обновления.
2. ЗАЩИТИТЕ ВАШУ ПАНЕЛЬ УПРАВЛЕНИЯ
Панель управления WP — это область, в которой вы можете вносить все изменения и совершать любые действия на вашем сайте. Важно ограничить доступ в панель администратора и предоставлять доступы только тем, кому они действительно нужны. Например, если вы не зарегистрированы на сайте, то вам как пользователю веб-сайта не нужен доступ к страницам /wp-login/ или /wp-admin/.
Следующий шаг это настроить ваш домашний IP адрес, который вы можете узнать на разных ресурсах, таких как “whatismyip.com” и добавить следующие строки в Ваш файл /.htaccess/ , находящийся в папке admin . В строке 4 замените ххх на свой ip адрес:
- <Files wp-login.php>
- order deny, allow
- Deny fr om all
- Allow from xx.xxx.xxx.xxx
- </Files>
Чтобы разрешить авторизацию из разных мест или компьютеров, просто добавьте ещё одну строку “Allow from” с новым ip адресом. Часто меняете место доступа или пользуетесь сетями Wi-Fi? Тогда вам нужно иметь доступ в панель управления вне зависимости от ip адреса. Для этого уменьшите количество попыток авторизации. Теперь вы в безопасности от любых попыток взломать ваш пароль методом перебора. Вот как это можно настроить. Сначала найдите плагин “WP Lim it login attempts”, затем выберите значения количества попыток авторизации (кол-во попыток ввода неверного пароля). При превышении этого значения пользователь (клиент) будет заблокирован. Данная мера уменьшит уязвимость сайта для хакеров.
НЕ ИСПОЛЬЗУЙТЕ ЛОГИН ADMIN
Кажется это так очевидно, но очень много людей никогда не меняют логин по умолчанию, таким образом, давая хакерам возможность войти в систему под “админскими” правами. Всё что им нужно, это использовать определённые программы для подбора паролей. Киберпреступникам нет ничего проще взломать систему, используя эту уязвимость, поэтому избегайте ошибок новичков и меняйте дефолтное значение логина администратора.
УСИЛИВАЙТЕ ВАШИ ПАРОЛИ
Это же правило относится и для паролей. Многие используют простые фразы и указывают в пароле первое, что им придёт в голову. Вы можете считать ваш пароль уникальным, но фактом является то, что многие люди придумывают похожие пароли. Поэтому для укрепления безопасности сайта, создавайте пароли немного длиннее, так как хакеры знают об этом факте.
Для примера можете использовать предложение, которое вас характеризует и вы можете его легко запомнить. Используйте первые буквы каждого слова и потом добавьте числа и символы между ними для увеличения сложности.
УДАЛЯЙТЕ ВИРУСЫ И ВРЕДОНОСНЫЕ ПРОГРАММЫ
Если ваш компьютер не защищён (заражён вирусами), использование его для входа на сайт, также делает ваш сайт уязвимым. Т.е. если на вашем компьютере есть вирусы или вредоносные программы, то хакер может быстро получить ваши доступы, когда вы подключаетесь к сайту невзирая на все принятые меры безопасности. Возможно вы думаете, что наибольший риск проистекает из онлайна и прямых атак. Но большинство хакеров создают хитрые программы, которые находятся на вашем компьютере годами. Они крадут важную информацию, такие как доступы авторизации . Вот почему нужно устанавливать хорошие антивирусные программы.
Обновляйте их и сканируйте ваши компьютеры регулярно, чтобы ваши системы были не заражены.
ПРОВОДИТЕ ПРОВЕРКУ БЕЗОПАСНОСТИ С ПОМОЩЬЮ ИНСТРУМЕНТА PLESK WORLDPRESS TOOLKIT
PleskWordPress Toolkit — это панель управления, с помощью которой можно легко управлять, настраивать, и устанавливать ваш сайт на WordPress в панели Plesk (предоставляется бесплатно с редакциями Plesk Web Pro и Plesk Web Host. Также PleskWordPress Toolkit можно приобрести отдельно как дополнение (прим. редакции)). Вы можете её использовать если на вашем сервере установлена система Plesk и с её помощью проводить проверку безопасности сайта.
WordPress папка с контентом
В папке /WP-content/ есть много незащищённых РНР файлов, которые приведут к неработоспособности сайта если кто-то их повредит. После установки WP вы можете работать с рнр файлами прямо из этой директории. Эта настройка безопасности проверяет запрет выполнения данных файлов в папке. Нужно помнить, что любые кастомные директивы в файлах /web.config/ или /.htaccess/ могут переопределять установки безопасности. Дополнительно будьте внимательны к некоторым плагинам WP, которые могу перестать работать из-за настроек безопасности папки /WP-content/.
Конфигурационный файл
В файле WP-config.php много важной информации, включая доступы к базе данных. Поэтому после установки WP запустите этот файл. Так как если на веб сервер отключена обработка рнр, то любой умный хакер может открыть содержимое этого файла. Используя проверку безопасности , вы сможете заблокировать любой нежелательный доступ к этому файлу. Более того знайте, что оба файла /web.config/ и /.htaccess/ могут переопределять настройки безопасности.
Права просмотра директорий
Если разрешен просмотр каталогов, это даст хакерам возможность получить важную информацию сайта, включая информацию о его структуре, плагинах и т.д. В панели Plesk по умолчанию отключён доступ к папкам и в настройках безопасности вы также можете проверить статус прав доступа.
Префикс базы данных
Каждая установка WP использует идентичную номенклатуру для таблиц базы данных. Если вы будете использовать только стандартный префикс /WP_/ для имён таблиц базы данных, то структура базы данных будет не защищена, т.е. любой сможет получить информацию из них.
Поэтому настройка безопасности изменит все префиксы таблиц в базе данных вместо дефолтного /WP_/ . Далее она деактивирует плагины и включит режим обслуживания (поддержки). После этого данная настройка изменит префиксы в конфигурационном файле и в базе данных. Затем активирует плагины, обновит структуру постоянных ссылок и в конце выключит режим обслуживания.
Права для файлов и папок
Если права не соответствуют требованиям политики безопасности, тогда все файлы подвержены уязвимости. После окончания установки, права на файлах и папках могут быть разными. Используя проверку безопасности WP, вы можете проверить корректность прав. На папках должны быть права 755, а на файлах 644 и 600 для файла wp-config.php
Информация о версии
Все версии WP имеют разные уязвимости. Вот почему нужно избегать отображения используемой версии, так как хакеры могут знать их слабые места. Они могут найти эту информацию в файлах /readme.html/ и в метаданных страницы.
С помощью настройки безопасности WP вы можете проверить файлы /readme.html/ на наличие данных. Плюс вы можете увидеть все ли ваши темы имеют файл /functions.php/ с текстом Remove_action (/wp_head/ , /wp_generator/)
Также вы можете изменить настройки безопасности и увидеть её статус. Сначала перейдите к колонке S, которая находится в разделе Сайты и Домены-> WordPress и сделайте следующие шаги:
- Нажмите “Проверка безопасности” (“check security”), чтобы увидеть статус безопасности всех установленных сайтов WP
- Если хотите защитить выбранную установку, тогда найдите колонку S и нажмите на иконку рядом определённой установкой.
- Если хотите проверить несколько установок, проверьте их разделы сбоку и нажмите на кнопку “Проверка безопасности” (security button).
- В конце выберите чекбоксы с опциями безопасности, которые хотите добавить и нажмите на кнопку установки безопасности.
Вот необходимые шаги, которые вы можете выполнить для настройки надежного уровня безопасности сайтов WP. Но помните, что это не гарантирует 100% защищённости, так как таковой не существует в природе. Но выполнив данные рекомендации, вы существенно снизите шансы на взлом вашего сайта, кражу данных и их последующее использование во вредоносных целях в сети интернет.
Перевод: Сергей Гордеев (Русоникс)
Оригинал
Советы по безопасности WordPress для дилетанта: безопасность входа в WordPress и другие методы обеспечения безопасности
С тех пор как он был впервые представлен более двух десятилетий назад, WordPress стал (и вырос) теперь безопасно называться самой популярной в мире системой управления контентом. Сегодня, более четверти существующих сайтов, запускаются на WordPress.
Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначенный для этой конкретной операционной системы.
Версии 10 WordPress с наибольшими уязвимостями (источник). Исследование, проведенное в 2017 году, выявило 74 различных версии WordPress в 1 миллион лучших веб-сайтов Alexa; 11 из этих версий недействительны — например версия 6.6.6 (источник).
Почему ваш блог WordPress является ценной целью?
В случае, если вам интересно, почему на земле хакер хотел бы контролировать ваш блог WordPress, есть несколько причин, включая:
- Используя его, чтобы тайно отправлять спам-сообщения
- Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
- Добавление вашего сайта в бот-сеть, которую они могут использовать позже
К счастью, WordPress — это платформа, которая предлагает множество возможностей защитить себя.
Я сам помогал настраивать и администрировать несколько веб-сайтов и блогов, поэтому хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить свой сайт WordPress.
Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.
Защитите свою страницу входа в WordPress
Защита вашей страницы входа не может быть достигнута с помощью какого-либо одного конкретного метода, но, безусловно, есть шаги и бесплатные плагины безопасности, которые вы можете предпринять, чтобы снизить вероятность успеха любых атак.
Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной.
1. Выберите хорошее имя пользователя администратора
Используйте необычные имена пользователей. Ранее с WordPress вам приходилось начинать с имени пользователя-администратора по умолчанию, но это уже не так. Тем не менее, большинство новых веб-администраторов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Ты можешь использовать Admin Renamer Extended для изменения имени администратора.
Грубая форсировка страниц входа в систему — одна из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш веб-сайт почти наверняка станет не просто целью, а в конечном итоге жертвой. По опыту, большинство попыток взлома сайта пытаются войти в систему с тремя основными вариантами имени пользователя. Первые два всегда являются «admin» или «administrator», а третий обычно основан на вашем доменном имени.
Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».
Не хорошая идея.
2. Обязательно используйте надежный пароль
К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.
Всплеск данных составил список часто используемые пароли в 2018 году, Пароль по рангу с точки зрения использования.
- 123456
- пароль,
- 123456789
- 12345678
- 12345
- 111111
- 1234567
- солнечный свет
- БУКВ
- ILOVEYOU
Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.
Сильный пароль будет включать в себя смесь:
- Верхний и нижний заглавные символы
- Быть буквенно-цифровым (AZ и az)
- Включите специальный символ (!, @, #, $ И т. Д.).
- По крайней мере, длина символов 8
Чем более случайным будет ваш пароль, тем он будет надежнее. Попробуй это Генератор случайных Пароль если у вас возникли проблемы с его созданием.
3. Внедрить reCaptcha
Настенные боты от вашего блога WP.
reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.
Существуют несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.
4. Используйте двухфакторную аутентификацию (2FA)
2FA — это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.
Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.
Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.
T
5. Переименуйте ваш логин
Большинство хакеров пытаются войти через стандартную страницу входа в WordPress, которая обычно
sample.com/wp-admin.
Чтобы добавить еще один уровень защиты, быстро и легко измените URL-адрес страницы входа с помощью WPS Hide Login.
6. Ограничить количество попыток входа
Это один из невероятно простых способов остановить атаки грубой силы на странице входа в систему. Атака грубой силы работает, пытаясь получить ваше имя пользователя и пароль, повторив несколько комбинаций снова и снова.
Если отслеживается конкретный IP-адрес, с которого совершается атака, вы можете заблокировать повторяющиеся попытки перебора и обеспечить безопасность своего сайта. Вот почему глобальный DDOS атаки происходят с несколькими IP-адресами с разным происхождением атаки, чтобы бросить врасплох услуги хостинга и безопасность веб-сайтов.
Войти LockDown и Решение Логин безопасности оба предлагают отличные решения для защиты страниц входа на ваш сайт. Они отслеживают IP-адреса и ограничивают количество попыток входа в систему для защиты вашего сайта.
Защитная стена
Мы обсудили различные тактики защиты вашей страницы входа в WordPress — упомянутые выше шаги — это основы, которые вы можете сделать. Вы также должны знать, что некоторые веб-хосты предписывают своим пользователям некоторые из этих мер безопасности. Есть ряд другие методы безопасности которые вы можете реализовать на своих сайтах.
7. Защитите свой каталог wp-admin
Добавьте дополнительный уровень безопасности в свой каталог хоста.
Каталог wp-admin — это основа вашей установки WordPress. В качестве дополнительной защиты пароль защищает этот каталог.
Для этого вам необходимо войти в панель управления учетной записью хостинга. Используете ли вы Cpanel or Plesk, вы можете выбрать вариант ‘Папки с защитой паролем.
Кроме того, вы можете защитить каталог паролем, настроив свой..htaccess и файлы .htpasswds. Подробное пошаговое руководство и генератор кода доступны бесплатно на сайте Динамический привод.
Обратите внимание, что защита паролем вашей папки wp-admin сломать публичный AJAX для WordPress — вам нужно будет разрешить права администратора ajax через .htaccess, чтобы избежать ошибок сайта.
8. Использовать SSL для шифрования данных
HTTP и HTTPS-соединение (Источник: Sucuri)
Помимо самого сайта, вы также захотите защитить соединение между вами и сервером, и именно здесь SSL зашифрует ваши сообщения. Имея зашифрованное соединение, хакеры не смогут перехватывать данные (например, ваш пароль), когда вы общаетесь с вашим сервером.
Помимо этого, также хорошо применять SSL сейчас, поскольку поисковые системы все чаще наносят ущерб сайтам, которые они считают «незащищенными».
Для отдельных блоггеров и малого бизнеса — бесплатный общий SSL-протокол, который вы обычно можете получить у своего хостинг-провайдера. Let’s Encrypt или Cloudflare — обычно более чем достаточно. Для предприятий, которые обрабатывают платежи клиентов — лучше, если вы купить выделенный сертификат SSL от вашего веб-хостинга или центра сертификации (CA).
Подробнее о SSL в нашем всеобъемлющем AZ Руководство по SSL.
9. Используйте сеть распространения контента (CDN)
Хотя это не может спасти ваш сайт от взлома, оно помогает предотвратить вредоносные атаки на него. Некоторые хакеры стремятся взломать сайты, делая их недоступными для общественности. CDN поможет смягчить удар Распределенный отказ в обслуживании атака на ваш сайт.
Кроме того, это также помогает вам немного ускорить работу вашего сайта за счет кеширования некоторого контента. Чтобы изучить этот вариант, посмотрите в сторону Cloudflare В качестве примера. Cloudflare предлагает услуги CDN по многоуровневой цене, так что вы даже можете использовать основные функции бесплатно.
Узнать больше о как работает Cloudflare и преимущества использования сервиса.
10. Убедитесь, что все ваше программное обеспечение обновлено
Независимо от того, насколько хорошо или дорогостоящее программное обеспечение, в них всегда найдутся новые недостатки, которые могут оставить их открытыми для использования. WordPress не является исключением, и команда постоянно выпускает новые версии с исправлениями и обновлениями.
Хакеры почти всегда стремятся воспользоваться слабостью, и известный эксплойт, который остается незафиксированным, просто просит неприятностей. Это вдвое больше для плагинов, которые часто создаются гораздо меньшими компаниями с меньшим объемом ресурсов.
Если вы используете плагины, убедитесь, что обновления выпускаются регулярно, или попробуйте найти популярные плагины с аналогичной функциональностью, которая постоянно обновляется.
Сказав это, я НЕ рекомендую вам использовать автоматическое обновление WordPress и плагинов, особенно если вы используете живой сайт. Некоторые обновления могут вызывать проблемы, будь то внутри или через конфликт с другими плагинами и настройками.
В идеале создайте тестовую среду, которая отображает ваш живой сайт и проверит там обновления. Как только вы убедитесь, что все работает нормально, вы можете применить обновление к текущему сайту.
Панели управления, такие как Plesk, дают вам возможность создать сайт clone для этой цели.
11. Резервное копирование, резервное копирование и резервное копирование!
Независимо от того, какие меры безопасности или насколько осторожны вы, происходят несчастные случаи. Спасите себя от сокрушительного горя и сто часов работы, просто убедившись, что у вас есть адекватные резервные услуги на месте.
Как правило, ваш веб-хост должен иметь некоторые базовые функции резервного копирования, но если вы параноик, как я, всегда убедитесь, что вы выполняете собственные независимые резервные копии. Резервное копирование не так просто, как просто копирование некоторых файлов, но также учитывать информацию в вашей базе данных.
Ищите резервное решение, которое проверено и проверено. Даже небольшие инвестиции стоят того, чтобы сэкономить на слезах в случае чрезвычайной ситуации. Что-то вроде BackupBuddy может помочь вам сохранить все, включая вашу базу данных за один раз.
12. Ваш веб-хостинг имеет значение!
Хотя традиционно хостинговые компании просто предлагали нам место для размещения наших веб-сайтов, времена изменились. Хостинг провайдеры, понимание уязвимостей, предприняли шаги по повышению безопасности, предлагая многие дополнительные услуги в дополнение к своему веб-хостингу.
Возьмем, к примеру, HostGator, одно из более установленных имен в игре. Помимо базовых функций Cloudflare, HostGator (по цене $ 10 + / mo) также поставляется с защитой от спама, автоматическим удалением вредоносных программ, автоматическим резервным копированием, конфиденциальностью домена и т. Д.
Управляемый хостинг WordPress поставщик, KinstaСоздавайте аппаратные брандмауэры и активно отслеживайте их серверы на наличие вредоносных программ и DDoS-атак с помощью собственной системы.
Если это еще не произошло, я настоятельно рекомендую вам посмотреть, какие функции безопасности предоставляет ваш хост, и сравнить их с имеющимися в настоящее время.
Для полного списка вы можете проверить WHSR сборник лучших веб-хостов здесь.
Что теперь?
Прежде чем вы начнете дико и начнете чистить Интернет в панике, ища миллион и одну систему безопасности — сделайте глубокий вдох. Как и во всем остальном, кто-то еще поможет вам в панике и ищет решение.
Даже если вы реализуете столько решений безопасности, сколько сможете найти, Убедитесь ты в безопасности?
Вот где-то вроде Безопасность Ninja заходите, что поможет вам исследовать ваш сайт за недостатки.
Быстрая демонстрация: как работает Security Ninja.
Есть несколько веских причин использовать что-то вроде Security Ninja, но позвольте мне сказать, что это инструмент, который я бы рекомендовал использовать на нескольких этапах вашего путешествия, чтобы защитить ваш сайт.
Сначала запустите его на своем веб-сайте «как есть» — перед внесением любых изменений. Позвольте плагину выталкивать и продвигать ваш сайт, прежде чем давать вам результаты.
Затем, основываясь на этих результатах, работайте над обеспечением безопасности вашего сайта. Security Ninja выполняет больше, чем тесты 50 для проверки вашей защиты. Даже после того, как вы внесли свои изменения, запустите его снова (и каждый раз, когда есть изменения сайта или обновления плагина), чтобы проверить ваш сайт.
Если это звучит для вас слишком много, Security Ninja также поставляется с множеством дополнительных модулей (pro версия, единственный сайт $ 29), которые помогут вам решить проблемы, которые он находит.
Некоторые другие ключевые функции в этих модулях включают:
- Сканируйте основные файлы WP, чтобы определить проблемные файлы
- Восстанавливайте измененные файлы одним щелчком мыши
- Исправить неработающие автообновления WP
- Запретить 600 миллионов плохих IP-адресов, собранных с миллионов атакованных сайтов
- Список автоматических обновлений, нет необходимости в обслуживании или ручной работе
- Защитите форму входа в систему от атак методом перебора
Заключительные мысли
Хотя все это может показаться немного чрезмерным для среднего пользователя WordPress, я заверяю вас, что все это (и многое другое) необходимы. Игнорируя глобальную статистику взлома и многое другое, позвольте мне поделиться с вами некоторой личной информацией об одном из самых неясных сайтов, которым я помогаю.
Первоначально начатый как простой сайт биографии, я создал www.timothyshim.com, Очевидно, это было то, что я настраивал, и большую часть времени оставляю в покое, просто как контрольную точку. В каждый месячный период этот сайт, который в основном ничего не делает и не собирает данных, сталкивается с атаками 30 — комбинацией грубой силы и сложной.
Все, что ему нужно, это для одного из них добиться успеха, и у меня будет на самом деле плохой день.
Читайте также
Подборка плагинов WordPress для безопасности сайта
Бесплатные плагины для сайта на WordPress, чтобы защитить сайт от атак и взломов, и несколько отдельных плагинов для бэкапа, чтобы восстановить ресурс, если все-таки злоумышленники изменили сайт.
Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.
WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.
Статистика заражений за 2017 год
Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.
Плагины для защиты сайта на WordPress
All In One WP Security & Firewall
Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.
Что делает плагин:
- добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
- блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
- дает просматривать активности учетных записей пользователей;
- делает резервные копии базы данных автоматически;
- создает резервные копии исходных файлов .htaccess и wp-config.php;
- обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
- генерирует сложные пароли;
- отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
- закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
- устанавливает межсетевые экраны для защиты от вредоносных скриптов.
Подробнее о функциях безопасности на странице плагина.
Панель управления плагином
Понятно о настройке плагина:
All In One WP Security & Firewall переведен на русский язык, установка бесплатна.
BulletProof Security
Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.
Что делает плагин:
- защищает файлы wp-config.php, php.ini и php5.ini через файл .htaccess;
- включает режим технических работ;
- проверяет права на редактирование папок и файлов в админке;
- не пропускает спам с помощью функции JTC-Lite;
- создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
- ведет журналы ошибок и журнал безопасности.
Подробнее о функциях безопасности на странице плагина.
Сканер вредоносного кода
Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.
Wordfence Security
Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.
Что делает плагин:
- сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
- выполняет функции антивируса, проверяет сайт на уязвимости;
- проверяет сообщения и комментарии на подозрительный контент и ссылки.
В бесплатной версии доступны и другие функции.
Премиум версия дает чуть больше:
- проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
- включает двухфакторную идентификацию для входа;
- составляет черный список и блокирует все запросы от IP из базы.
Подробнее о функциях безопасности на странице плагина.
Сканер безопасности
Не переведен на русский, базовую версию можно скачать бесплатно.
Disable XML-RPC Pingback
Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.
Что делает плагин:
- Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
- удаляет X-Pingback из HTTP-заголовков.
Установка плагина
Плагин на английском языке, установка бесплатна.
iThemes Security
Старое название — Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.
Что делает плагин:
- включает двухфакторную авторизацию при входе в администраторскую панель;
- сканирует код сайта и сигнализирует, если находит подозрительные изменения;
- мониторит сайт на автоматизированные атаки и блокирует их;
- генерирует сложные пароли;
- отслеживает активность аккаунтов пользователей;
- включает Google reCAPTCHA при входе на сайт;
- дает возможность создавать временные доступы в админке;
- ограничивает редактирование файлов в админке.
Подробнее о функциях безопасности на странице плагина.
Настройки плагина
Переведен на русский язык и доступен бесплатно.
Sucuri Security
Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.
Что делает плагин:
- проверяет код сайта на подозрительные изменения и присылает уведомления;
- сканирует вредоносные программы и запрещает доступ;
- создает черный список IP и запрещает им взаимодействие с сайтом;
- фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
- автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.
В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.
Сообщения о подозрительных активностях
Плагин не переведен на русский язык, доступен для бесплатного скачивания.
Keyy Two Factor Authentication
Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.
Что делает плагин:
- защищает сайт от взломов;
- хранит защищенный пароль на устройстве, его не нужно вводить при входе;
- позволяет ходить в админку по отпечатку пальца;
- администраторам нескольких сайтов дает переключаться между панелями в один клик.
Пример работы
Плагин не переведен, доступен бесплатно.
WWPass Two-Factor Authentication
Плагин для защиты от проникновения злоумышленников в панель администратора.
Что делает плагин:
- добавляет QR-код для сканирования при попытке войти в админку;
- дает доступ к бесплатному использованию менеджера паролей PassHub.
Пример работы плагина
Доступно бесплатное скачивание версии на английском.
Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.
Плагины для бэкапов сайта на WordPress
BackWPup – WordPress Backup Plugin
Плагин для создания резервных копий и восстановления прежних версий сайта.
Что делает плагин:
- делает бэкапы полного сайта с контентом;
- экспортирует XML WordPress;
- собирает установленные плагины в файл;
- проверяет и восстанавливает базы данных;
- отсылает копии на внешние облачные хранилища, email или передает по FTP.
Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.
Управление архивами резервных копий
Доступен бесплатно, есть платная PRO-версия, не переведен на русский.
UpdraftPlus WordPress Backup Plugin
Что делает плагин:
- копирует и восстанавливает данные в один клик;
- делает автоматические резервные копии по расписанию;
- проверяет и восстанавливает базы данных;
- отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.
Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.
Настройка хранения резервных копий
Не переведен на русский, доступен бесплатно.
VaultPress
Еще один плагин для резервного копирования и надежного хранения копий.
Что делает плагин:
- ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
- восстанавливает сайт из копии по клику;
- защищает сайт от атак и вредоносного ПО.
Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.
Рабочая панель
Плагин не переведен на русский язык, доступен для установки бесплатно.
Почитать по теме:
Что выбрать: SaaS, IaaS или PaaS? Сравнение облачных моделей ПО
Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.
10 лучших плагинов безопасности WordPress для защиты сайтов клиентов АВАНЗЕТ
Управление безопасностью это наш приоритет! Для защиты сайтов клиентов АВАНЗЕТ мы используем 10 лучших плагинов безопасности WordPress. Мы верим в ценность предотвращения взлома сайтов и проблем безопасности, а не устранения их последствий. Наша команда безопасности WordPress полностью протестирует ваш веб-сайт, чтобы выявить любые потенциальные слабые места в безопасности и применить необходимые исправления.
Мониторинг для взлома / несанкционированного доступа
Если будут какие-либо несанкционированные попытки получить доступ к вашему веб-сайту, мы их обнаружим и остановим. Мы знаем, как определить самые тонкие признаки и симптомы попыток взлома, чтобы ваш сайт всегда был в безопасности. Для этого мы применяем один или несколько из десяти лучших плагинов безопасности WordPress для защиты сайтов наших клиентов.
Как мы обеспечиваем: Надежную защиту и обслуживание сайтов на WordPress
1. WordFence Плагин безопасности WordPress
WordFence — самый загружаемый плагин безопасности WordPress с 1+ миллионами активных установок на сегодняшний день. Это полнофункциональный, мощный и постоянно обновляемый плагин безопасности для WordPress.
Этот плагин обеспечивает защиту от взлома, вредоносных программ, вредоносного трафика и других функций, которые делают WordFence одним из самых мощных бесплатных плагинов для безопасности WordPress .
Вот некоторые функции WF, которые добавляют дополнительный уровень безопасности WordPress:
- WordPress Firewall.
- Особенности блокировки.
- Сканирование безопасности.
- Безопасность входа.
- Особенности мониторинга.
- Multi-Site Security.
- Основная тема и плагины поддерживаются.
- Совместимо с IPv6.
WordFence также имеет API премиум-класса, который добавляет дополнительные функции, такие как блокировка страны, сканирование по расписанию, расширенная поддержка и двухфакторная аутентификация, что позволяет входить в WordPress с помощью пароля и мобильного телефона. Премиум-план также проверяет, используется ли IP вашего сайта для рассылки спама.
2. iThemes Security (ранее Лучшая WP Security)
Это бесплатный плагин безопасности WordPress от известных тем WordPress и плагинов разработчика iThemes. Он дает пользователю более 30 способов защитить сайт на WordPress.
С одной стороны, он поставляется с установкой в один клик для легкой настройки плагина, с другой стороны, его расширенные параметры безопасности могут быть легко настроены с панели инструментов.
iThemes Security выполняет следующие функции:
- исправляет распространенные уязвимости безопасности,
- помогает пользователям выбирать надежные пароли,
- останавливает автоматические атаки
- выполняет другие функции безопасности.
- Для удобства обслуживания на панели инструментов плагина есть контрольный список безопасности.
3. Плагин Sucuri Security для WordPress
Sucuri является известным и авторитетным среди пользователей WordPress и обеспечивает безопасность веб-сайтов. Плагин WordPress Security является инструментом сканирования и мониторинга для WordPress.
Этот бесплатный плагин WordPress Security имеет 4 основных функции:
- аудит активности безопасности,
- удаленный сканер вредоносных программ,
- мониторинг целостности файлов
- общее усиление безопасности WordPress.
Этот бесплатный плагин безопасности предназначен для опытных пользователей и разработчиков, так как требует понимания кодов и файлов в WordPress. Рекомендуем использовать этот плагин с другим плагином безопасности WP, таким как WordFence или iThemes Security, чтобы обеспечить наилучший уровень безопасности.
4. MalCare Security and Firewall
Еще один интересный бесплатный плагин безопасности для WordPress — MalCare Security and Firewall. Как следует из названия, плагин является одновременно и плагином безопасности, и брандмауэром. Он также поставляется со встроенной системой защиты входа в систему, которая защищает панель администратора WordPress от попыток блокировать попытки входа в систему.
- Сканер вредоносных программ плагина сканирует код вашего сайта на наличие 100 сигналов вредоносного кода. Эти сканирования вредоносных программ выполняются автоматически ежедневно.
- Плагин отслеживает изменения файлов для раннего обнаружения вредоносной активности вредоносных программ и вирусов.
- Включает интеллектуальный межсетевой экран на основе правил. Брандмауэр отслеживает весь трафик, включая посещения, попытки входа в систему и ошибки, и сохраняет их в базе данных.
- Серверы MalCare регулярно собирают данные со всех сайтов, анализируют их и используют для предотвращения атак на сайты в своей сети.
- Так как большая часть работ выполняется на стороне MalCare, а не на клиентской, то выполняя процессы безопасности на серверах MalCare, плагин не повлияет на производительность и скорость вашего сайта.
Более того, если необходимо больше функций безопасности, можно воспользоваться премиальной службой безопасности MalCare, которая включает автоматическое удаление вредоносных программ, встроенные резервные копии за пределами площадки и многое другое.
5. Все в одном WP Безопасность и брандмауэр
Все в одном Плагин WordPress Security & Firewall является одним из наиболее предпочтительных плагинов WordPress Security для начинающих. Благодаря удобному интерфейсу, который упрощает настройку параметров безопасности.
Этот бесплатный плагин безопасности для WordPress значительно улучшит безопасность вашего сайта
- Мощный брандмауэр предотвращает изменение кода WordPress вредоносными скриптами.
- Брандмауэр также блокирует фальшивые боты Google от сканирования вашего сайта и может предотвратить горячие ссылки на изображения вашего сайта.
- Плагин имеет мощные функции безопасности, такие как блокировка входа в систему, чтобы IP-адрес не мог угадать ваш пароль, постоянно делая неудачные попытки входа в систему «Brute Force Attack».
- Имеет очень полезный инструмент, который помогает создать надежный пароль для вашей учетной записи.
6. Удобный плагин Shield Security
Shield Security — бесплатный плагин безопасности для WordPress, который имеет высокий рейтинг в каталоге плагинов WordPress.org. Плагин фокусируется на том, чтобы быть максимально незаметным, сводя к минимуму предупреждения и уведомления и автоматизируя большинство функций. Он поставляется с управляемым мастером настройки, который упрощает настройку плагина Shield Security.
Возможности плагина Shield Security включают
- Защита от автоматических атак грубой силы, выполняемых ботами, путем ограничения попыток входа в систему
- Автоматически заносит в черный список нарушающие IP-адреса
- Обнаружение вредоносных изменений файлов путем сканирования файлов ядра WordPress
- Встроенная автоматическая защита от спама
- Двухфакторная аутентификация через электронную почту и приложение Google Authenticator
В рамках наших экспертных услуг мы бесплатно переведем ваш сайт на наш сервер. Это связано с важными параметрами безопасности, которые мы применяем для сайтов на WordPress, расположенных на нашем сервере, чтобы предотвратить возможности взлома.
Ищете специалиста для поддержки сайта на WordPress?
Не теряйте время, напишите нам прямо сейчас!
Оставить заявку
7. Cerber Security, защита от спама и вредоносных программ
Еще один высококлассный бесплатный плагин безопасности для WordPress — это Cerber. Плагин поможет защитить ваш блог на WordPress путем ограничения попыток входа в систему, сканирования файлов сайта и папок на наличие вредоносных программ.
Cerber Security также поставляется с проверкой целостности файлов, двухфакторной аутентификацией, запланированными проверками, защитой от спама и ботов, черными / белыми списками IP-адресов и многим другим…
8. Пуленепробиваемая безопасность
Пуленепробиваемая безопасность Плагин WordPress защищает ваш веб-сайт / блог WordPress, добавляя мощный брандмауэр, защищая базу данных и создавая ее резервные копии, а также от атак входа в систему Brute Force.
Он также сканирует файл .htaccess на наличие вредоносных кодов, которые могут повлиять на скорость и безопасность веб-сайта. Плагин легко настраивается благодаря мастеру установки одним нажатием, кроме того, вы также можете настроить его расширенные параметры, активировав ручной режим.
9. Плагин безопасности Acunetix WP
Этот бесплатный и всеобъемлющий плагин безопасности WordPress поможет вам защитить ваш сайт, созданный на WordPress, выполняя сканирование на наличие уязвимостей.
Этот плагин также скрывает версию WordPress для не-администраторов на внутренней панели, удаляет мета-тег WP Generator из основного кода, защищает права доступа к файлам, пароли и позволяет легко выполнять резервное копирование базы данных WordPress и другие параметры безопасности.
10. Google Authenticator
Google Authenticator — последний плагин безопасности WordPress в нашем списке. Он добавляет двухэтапную или двухфакторную аутентификацию в WordPress, вместо входа в систему с использованием только имени пользователя и пароля, для каждого нового устройства выполняется другой метод аутентификации, например, для текстовых сообщений, голосового вызова или мобильного приложения.
Этот второй метод аутентификации требуется один раз для каждого устройства. Плагин также поддерживает ключи безопасности, подключенные к USB-порту.
Ответственность за безопасность вашего веб-сайта лежит на вас, поэтому доверяйте профессионалам установку WordPress и защиту вашего сайта.
Не ждите когда вас взломают!
Закажите апгрейд вашего сайта на WordPress прямо сейчас!
Оставить заявку
Почему вам стоит доверить обслуживание и защиту сайта WordPress команде АВАНЗЕТ
- Организация безопасности Wordpress
Защита вашего сайта от хакеров, исправление ошибок и мониторинг общего состояния
- Резервное копирование сайта
Храним одновременно 3 резервные копии, которые делаются с периодичностью: 2 дня, 2 недели, месяц.
- Установка обновлений
Своевременно выполняем установку всех необходимых обновлений.
- Оптимизация базы данных
Регулярная очистка базы данных гарантирует, что ваш сайт работает без ошибок.
- Отслеживание аналитики
Настройка аналитического программного обеспечения дает ценную информацию о ваших маркетинговых усилиях.
- Мониторинг работоспособности
Мы будем следить за вашим веб-сайтом и получать уведомления в случае простоя.
Мы имеем большой опыт работы с сайтами на WordPress
Команда АВАНЗЕТ обладает действительно огромным опытом (более 10-ти лет) и знаниями во всех областях веб-разработки, технической поддержки и обслуживания сайтов на WordPress. Мы готовы помочь вам во всех вопросах: от улучшения показателей конверсии, привлечения большего количества потенциальных клиентов и просто организовать стабильную повседневную работу вашего ресурса.
Вашему сайту требуется поддержка, обслуживание, хостинг?
Напишите нам прямо сейчас, всегда рады помочь!
Оставить заявку
03.07.2020
← Поделиться с друзьями !
Плагины WordPress для защиты от вирусов, взломов и атак
Использование плагина безопасности защищает ваш сайт WordPress от вредоносных программ, атак и попыток взлома. В этой статье собраны лучшие плагины безопасности WordPress, которые рекомендовано использовать для защиты сайта.
Зачем использовать плагин безопасности WordPress
Каждую неделю около 18,5 миллионов сайтов заражаются вредоносными программами. Средний сайт атакуют 44 раза каждый день, включая веб-сайты WordPress и других CMS.
Нарушение безопасности на вашем веб-сайте может нанести серьезный урон бизнесу:
- Хакеры могут украсть ваши данные или данные, принадлежащие вашим пользователям и клиентам.
- Взломанный веб-сайт можно использовать для распространения вредоносного кода, заражая им ничего не подозревающих пользователей.
- Вы можете потерять данные, потерять доступ к своему веб-сайту, сайт может быть заблокирован.
- Ваш сайт может быть уничтожен или поврежден, что может повлиять на рейтинг SEO и репутацию бренда.
Вы можете в любой момент отсканировать свой сайт WordPress на предмет нарушения безопасности. Однако очистка взломанного сайта WordPress без без профессиональной помощи может быть довольно сложной для начинающих веб-мастеров.
Чтобы избежать взлома, необходимо следовать рекомендациям по безопасности сайта. Одним из важных шагов по защите вашего сайта WordPress является использование плагина безопасности. Эти плагины помогают упростить безопасность WordPress, а также блокируют атаки на вашем сайте.
Давайте рассмотрим некоторые из лучших плагинов безопасности WordPress и как они защищают сайт.
Примечание!
Примечание. Вам нужно использовать только один плагин из этого списка. Наличие нескольких активных плагинов безопасности может привести к ошибкам.
Примечание. Вам нужно использовать только один плагин из этого списка. Наличие нескольких активных плагинов безопасности может привести к ошибкам.
1. Sucuri
Sucuri является лидером в области безопасности WordPress. Разработчики предлагают базовый бесплатный плагин Sucuri Security, который помогает вам укрепить безопасность и сканирует сайт на наличие распространенных угроз.
Но реальная ценность заключается в платных планах, которые поставляются с лучшей защитой брандмауэра WordPress. Брандмауэр помогает блокировать вредоносные атаки при доступе к WordPress.
Интернет-брандмауэр Sucuri отфильтровывает плохой трафик до того, как он достигнет вашего сервера. Он также обслуживает статический контент со своих собственных CDN-серверов. Помимо безопасности, их брандмауэр уровня DNS с CDN дает вам потрясающее повышение производительности и ускоряет работу сайта.
Самое главное, Sucuri предлагает очистить ваш сайт WordPress, если он заражается вредоносными программами без каких-либо дополнительных затрат.
Смотрите также:
В разделе Плагины WordPress лучшие подборки по категориям.
2. Wordfence
Wordfence – еще один популярный плагин безопасности WordPress. Разработчики предлагают бесплатную версию своего плагина, которая поставляется с мощным сканером для вредоносного ПО. Плагин обнаруживает и оценивает угрозы.
Плагин автоматически сканирует ваш сайт на наличие распространенных угроз, но вы также можете запустить полную проверку в любое время. Вы будете предупреждены, если обнаружены какие-либо признаки нарушения безопасности. Вы также получите инструкции по их устранению.
Wordfence поставляется со встроенным брандмауэром WordPress. Однако этот брандмауэр работает на вашем сервере перед загрузкой WordPress. Это делает его менее эффективным, чем брандмауэр уровня DNS, такой как Sucuri.
3. iThemes Security
iThemes Security – это плагин безопасности WordPress от разработчиков популярного плагина BackupBuddy. Как и все их продукты, iThemes Security предлагает отличный чистый пользовательский интерфейс с множеством опций.
Он поставляется с проверками целостности файлов, усилением безопасности, ограничениями при попытке входа в систему, надежным обеспечением пароля, выявлением ошибок 404, защитой от атак и многое другое.
iThemes Security не включает брандмауэр веб-сайта. Он также не включает собственный сканер вредоносных программ, а использует сканер вредоносного ПО Sitecheck Sucuri.
4. All In One WP Security
All In One WP Security является мощным плагином для проверки безопасности, мониторинга и брандмауэра WordPress. Он позволяет легко применять основные рекомендации по безопасности WordPress на вашем веб-сайте.
Плагин включает функции блокировки входа в систему, чтобы предотвратить атаки на ваш сайт, фильтрацию IP-адресов, мониторинг целостности файлов, мониторинг учетных записей пользователей, сканирование подозрительных шаблонов ввода в базы данных и многое другое.
Он также оснащен базовым брандмауэром уровня веб-сайта, который может обнаруживать некоторые распространенные шаблоны и блокировать их. Тем не менее, он не всегда эффективен, и вам придется частенько вручную вводить подозрительные IP-адреса в черный список.
5. Anti-Malware Security
Anti-Malware Security – еще один полезный плагин для защиты от вредоносных программ и безопасности WordPress. Плагин поставляется с активно поддерживаемыми определениями, которые помогают найти наиболее распространенные угрозы.
Плагин позволяет легко сканировать все файлы и папки на вашем сайте WordPress на предмет обнаружения вредоносного кода, бэкдоров, вредоносных программ и других известных шаблонов вредоносных атак.
Плагин требует, чтобы вы создали бесплатную учетную запись на веб-сайте плагина. После этого вы получите доступ к последним определениям, а также некоторые премиальные функции, такие как защита от атак.
Нюанс: пока плагин проводит тщательные тесты, он часто показывает большое количество ложных срабатываний. Согласование каждого из них с исходным файлом – довольно кропотливая работа.
Смотрите также:
Плагины защиты, антивирусы, ускорение, кеширование тут.
6. BulletProof Security
BulletProof Security – не самый красивый плагин безопасности WordPress на рынке, но он по-прежнему полезен благодаря некоторым замечательным функциям. Он поставляется с мастером настройки. Панель настроек также включает ссылки на обширную документацию. Это поможет понять, как работают проверки и настройки безопасности.
Плагин поставляется с программным сканером, который проверяет целостность файлов и папок WordPress. Он включает защиту входа, отключение сеанса ожидания, журналы безопасности и утилиту резервного копирования базы данных. Вы также можете настроить уведомления по электронной почте в журналах безопасности и получать предупреждения, когда пользователь заблокирован.
Источник: wpbeginner.com
Смотрите также:
Изучает сайтостроение с 2008 года. Практикующий вебмастер, специализирующий на создание сайтов на WordPress. Задать вопрос Алексею можно на https://profiles.wordpress.org/wpthemeus/
Как защитить сайт на wordpress от взлома
Как защитить сайт на wordpress от взлома? Я знаком с двумя плагинами: «S.A.F » и «All In One Wp Security». Первый вариант в бесплатной версии предлагает только минимальные возможности защиты (у меня с этим плагином взломали медицинский сайт). Дополнительные настройки только в премиум версии. Второй плагин оправдал все надежды. В нем нет ограничений в опциях защиты. Наоборот, в главной панели плагин показывает максимально возможный и ваш текущий процент защиты.
Настройка плагина All In One Wp Security
Плагин устанавливается как и все остальные — прямо в админ. панели. После установки он доступен в общем меню:
Панель приборов показывает степень защищенности сайта, количество попыток взлома и количество активных пользователей:
В меню «Грубая сила» (Brute Force) можно сменить путь для входа в панель администратора с site/wp-admin на другой адрес: site/ваш-вариант. Так будет труднее попасть на страницу входа.
В пункте «Разное» (Miscellaneous) есть опция отключения правого клика на сайте. Это огромный плюс:
- код сайта уже не открыть простым нажатием правой кнопки
- труднее скопировать текст и медиафайлы
Безопасность базы данных — убрать префикс «wp» чтобы было труднее увидеть, на какой платформе сайт.
Файловая защита — убрать возможность редактирования файлов php с административной панели wordpress.
Логин пользователя (User Login) — указать количество неудачных попыток входа, после которых ip пользователя будет заблокирован. Указать время таких попыток, период блокировки адреса пользователя ( по умолчанию указана одна минута, я ставлю минимум месяц). Также здесь можно указать свою почту, куда будут приходить сообщения о попытках взлома сайта.
Это базовые настройки. Но в плагине есть множество других функций защиты. С ними надо быть осторожными, лучше делать бэкап сайта перед включением глубокой защиты.
При создании нового сайта не надо забывать сменить логин с «admin» на более сложный. Это обязательно.
А теперь самое сочное
Можно вообще обойтись от всего выше написанного. Делаем ход конем. Заходим в раздел «защита от брутфорс-атак», нажимаем сверху вкладку «белый список для логина», ставим галочку напротив надписи «Отметьте этот чекбокс, если Вы хотите пользоваться белым списком избранных IP-адресов ниже» и вводим IP нужных нам компьютеров. Теперь вход возможен только с выбранных адресов.
Эта статья — результат моих проб и огромных ошибок. Два года назад сайт моих клиентов «Мій Лікар» после взлома пришлось целый год подымать и переделывать с ноля. Это был дикий ужас.
Защита сайта от взлома с помощью хостинга
Выбирать надо хостинг с хорошей защитой от SQL инъекций. В нем уже есть списки таких sql запросов, которые сразу блокируются. Кроме того, неплохо поставить двух этапную авторизацию на самом хостинге (могут взломать вашу админку и тогда капец полный).
Рубрика: Безопасность и защита WordPress
Делается это для того, чтобы исключить возможность подбора логина злоумышленником. Зная логин – подобрать пароль становится уже делом техники и инструментов по подбору паролей. Как отключить возможность узнать логин я писал недавно в заметке «Как запретить подбор имени пользователя».
Первым делом, необходимо создать нового пользователя с правами администратора.
Создание нового администратора
Заходим в меню «Пользователи» — «Добавить новый»:
Вводим бессмысленный логин и ваш главный почтовый ящик:
Почему именно бессмысленный логин? Чтобы не было возможности подобрать его.
Если WordPress сообщает, что такой электронный адрес уже используется — промотайте в конец этой инструкции, там есть небольшой читкод, как это исправить.
В последних версиях WordPress появилась возможность автоматически сгенерировать пароль средствами движка и отправить его на почту пользователя. Я настоятельно рекомендую пользоваться этой возможностью, т.к. пароли получаются очень сложные и подобрать их просто нереально.
Если же вам всё-таки надо установить свой пароль, то нажмите на кнопку «Показать» и затем в текстовом поле введите тот пароль, который вам нравится. Только убедитесь, что под паролем горит надпись «Надёжный» на зелёном фоне.
Выбираем роль «Администратор»:
И сохраняете все настройки нажатием на кнопку «Добавить нового пользователя». После всех этих действий у вас будет две учётные записи пользователей с правами администратора. Теперь приступим к удалению старой учётки.
Удаляем старую учётную запись admin
- Заходим под новой учётной записью администратора
- После этого идём в меню «Пользователи» – «Все пользователи»
- Наводим мышкой на пользователя «admin» и выбираем пункт «Удалить»:
- Обязательно установите галочку «Связать все записи»:
Если не сделаете — потеряете все записи этого пользователя 🙂
- И подтверждаем удаление соответствующей кнопкой.
Поздравляю вас! Теперь стандартная запись «admin» у вас удалена.
Как установить новому администратору существующий email?
Если вы попытаетесь создать нового администратора с уже существующим электронным адресом, то у вас это не получится по вполне понятным причинам — не может быть двух пользователей с одной почтой, это просто не логично. Поэтому предварительно надо будет изменить у текущего администратора почту на несуществующую.
Заходим под пользователем admin в «Пользователи» — «Ваш профиль»:
Находим адрес электронной почты:
И меняем в нём какой-нибудь символ или букву:
После этого вы сможете спокойно создать нового администратора с нужным вам электронным адресом.
Заключение
Я настоятельно рекомендую не использовать для добавления материалов учётную запись нового администратора! Создайте вторую учётную запись с правами «Редактор» и всю работу над контентом используйте только её. Делается это для того, чтобы не «засветить» логин администратора. Это пока вы думаете, что ваш блог никому кроме вас не интересен, но когда с вами случится беда — вспомните меня добрым словом… 🙂
Успехов!
Если вы хотите поблагодарить меня за материал — можете сделать это здесь 🙂
6 лучших плагинов брандмауэра WordPress (WAF) по сравнению
Вы ищете лучший плагин брандмауэра WordPress для своего веб-сайта? Плагины брандмауэра WordPress защищают ваш сайт от взлома, грубой силы и распределенных атак типа «отказ в обслуживании» (DDoS). В этой статье мы сравним лучшие плагины брандмауэра WordPress и то, как они сочетаются друг с другом.
Что такое плагин брандмауэра WordPress?
Плагин брандмауэра WordPress (также известный как брандмауэр веб-приложений или WAF) действует как щит между вашим сайтом и всем входящим трафиком.Эти брандмауэры веб-приложений контролируют трафик вашего веб-сайта и блокируют многие распространенные угрозы безопасности до того, как они достигнут вашего сайта WordPress.
Помимо значительного улучшения безопасности WordPress, часто эти брандмауэры веб-приложений также ускоряют работу вашего веб-сайта и повышают производительность.
Доступны два распространенных типа плагинов брандмауэра WordPress.
Брандмауэр веб-сайта уровня DNS — Эти межсетевые экраны направляют трафик вашего веб-сайта через свои облачные прокси-серверы.Это позволяет им отправлять на ваш веб-сервер только подлинный трафик.
Брандмауэр прикладного уровня — Эти плагины брандмауэра проверяют трафик, когда он достигает вашего сервера, но перед загрузкой большинства скриптов WordPress. Этот метод не так эффективен, как брандмауэр уровня DNS, в снижении нагрузки на сервер.
Мы рекомендуем использовать брандмауэр уровня DNS, потому что он исключительно хорошо распознает подлинный трафик веб-сайта по сравнению с ошибочными запросами.
Они делают это, отслеживая тысячи веб-сайтов, сравнивая тенденции, ища бот-сети, известные плохие IP-адреса и блокируя трафик на страницы, которые ваши пользователи обычно никогда не запрашивают.
Не говоря уже о том, что брандмауэры веб-сайтов на уровне DNS значительно снижают нагрузку на ваш хостинг-сервер WordPress, что гарантирует, что ваш сайт не упадет.
Сказав это, давайте взглянем на лучшие плагины брандмауэра WordPress, которые вы можете использовать для защиты своего сайта.
1. Сукури
Sucuri — ведущая компания по обеспечению безопасности веб-сайтов для WordPress. Они предлагают брандмауэр уровня DNS, защиту от вторжений и перебора, а также услуги по удалению вредоносных программ и черных списков.
Весь трафик вашего сайта проходит через их облачные прокси-серверы, где каждый запрос сканируется. Допускается прохождение легального трафика, и все злонамеренные запросы блокируются.
Sucuri также улучшает производительность вашего веб-сайта за счет снижения нагрузки на сервер за счет оптимизации кеширования, ускорения веб-сайта и Anycast CDN (все включено). Он защищает ваш сайт от SQL-инъекций, XSS, RCE, RFU и всех известных атак.
Настроить их WAF довольно просто.Вам нужно будет добавить запись DNS A в свой домен и указать их на облачный прокси Sucuri вместо вашего веб-сайта.
В WPBeginner мы используем Sucuri для повышения безопасности WordPress. Посмотрите, как Sucuri помог нам заблокировать 450 000 атак WordPress за 3 месяца.
Цена: От 199,99 долларов США в год при ежегодной оплате.
Класс: A +
2. MaxCDN (StackPath)
MaxCDN (теперь часть семейства StackPath) — один из ведущих поставщиков межсетевых экранов для обеспечения безопасности CDN и веб-приложений в отрасли.Их надежная платформа по умолчанию добавляет защиту от DDoS-атак уровня 3 и 4 на все планы.
StackPath WAF добавляет защиту от DDoS-атак уровня 7 для защищаемых им доменов. Подобно Sucuri, это брандмауэр уровня DNS, который не только помогает вам ускорить работу вашего сайта, но также защищает вас от злонамеренных атак.
StackPath не предлагает брандмауэр на уровне приложений, потому что у них нет плагина WordPress, поэтому они занимают второе место в нашем списке после Sucuri. Однако их планы более доступны и содержат много возможностей для малого бизнеса по сравнению с Cloudflare (наш провайдер №3).
Цена: Они предлагают бесплатную пробную версию на 1 месяц, а после этого цены начинаются с 20 долларов в месяц, что достаточно для большинства веб-сайтов WordPress для малого бизнеса.
Марка: A
3. Cloudflare
Cloudflare наиболее известен своим бесплатным сервисом CDN, который также включает базовую защиту от DDoS-атак. Однако их бесплатный план не включает брандмауэр веб-приложений. Для WAF вам нужно будет подписаться на их план Pro.
Cloudflare также является межсетевым экраном уровня DNS, что означает, что ваш трафик проходит через их сеть.Это улучшает производительность вашего веб-сайта и сокращает время простоя в случае необычно высокого трафика.
План Pro включает только защиту от DDoS-атак от атак третьего уровня. Для защиты от расширенных атак DDoS уровня 5 и 7 вам понадобится как минимум их бизнес-план.
У
Cloudflare есть свои плюсы, которые включают CDN, кеширование и большую сеть серверов. Обратной стороной является то, что они не предлагают сканирование безопасности на уровне приложений, защиту от вредоносных программ, удаление черного списка, уведомления и предупреждения безопасности.Они также не отслеживают ваш сайт WordPress на предмет изменений файлов и других распространенных угроз безопасности WordPress.
Подробнее см. Наше сравнение Sucuri и Cloudflare.
Цена: От 20 долларов в месяц для плана Pro и 200 долларов в месяц для бизнес-плана.
Марка: A-
4. Wordfence Security
Wordfence — популярный плагин безопасности WordPress со встроенным брандмауэром веб-приложений. Он отслеживает ваш сайт WordPress на предмет вредоносных программ, изменений файлов, SQL-инъекций и т. Д.Он также защищает ваш сайт от DDoS-атак и атак грубой силы.
Wordfence — это брандмауэр уровня приложения, что означает, что брандмауэр срабатывает на вашем сервере, и плохой трафик блокируется после того, как он достигает вашего сервера, но до загрузки вашего веб-сайта.
Это не самый эффективный способ блокировать атаки. Большое количество неверных запросов по-прежнему увеличивает нагрузку на ваш сервер. Поскольку это брандмауэр уровня приложения, WordPress не имеет сети доставки контента (CDN).
Wordfence включает сканирование безопасности по запросу, а также сканирование по расписанию. Он также позволяет вам вручную отслеживать трафик и блокировать подозрительные IP-адреса прямо из админки WordPress.
Чтобы узнать больше о Wordfence, см. Наше руководство по установке и настройке безопасности Wordfence в WordPress.
Чтобы получить сложный брандмауэр на уровне приложений, вам действительно нужна версия Premium.
Pricing Basic plugin бесплатный. Цена на премиум-версию начинается от 99 долларов в год за лицензию на один сайт.
Марка: B +
5. Реактивный ранец
Jetpack — популярный плагин WordPress, который поставляется с набором функций, включая безопасность WordPress и резервное копирование. Подобно WordFence, Jetpack — это брандмауэр уровня приложения, что означает, что плохой трафик блокируется после того, как он достигает вашего хостинг-сервера WordPress.
Их бесплатный план предлагает очень простую защиту от перебора и мониторинг простоев. Вам нужно будет перейти как минимум на персональный план, чтобы разблокировать ежедневное автоматическое резервное копирование и автоматическую фильтрацию спама.
Однако, чтобы по-настоящему разблокировать автоматическое сканирование вредоносных программ и исправления безопасности, которые предлагают такие провайдеры, как Sucuri, вам необходимо иметь профессиональный план Jetpack.
Поскольку Jetpack предлагает большой набор функций, цена делает его очень доступным вариантом. Однако для настоящего брандмауэра безопасности лучше использовать Sucuri или MaxCDN.
Стоимость: Базовый плагин предоставляется бесплатно. Персональный план стоит 39 долларов в год, а профессиональный план стоит 299 долларов в год.
Марка: B
6. Пуленепробиваемая безопасность
BulletProof security — еще один популярный плагин безопасности WordPress. Он поставляется со встроенным брандмауэром уровня приложения, безопасностью входа в систему, резервным копированием базы данных, режимом обслуживания и несколькими настройками безопасности для защиты вашего веб-сайта.
Безопасность
BulletProof не обеспечивает хорошего взаимодействия с пользователем, и многим новичкам может быть сложно понять, что им делать. В нем есть мастер установки, который автоматически обновляет ваш WordPress.htaccess и включает защиту брандмауэром.
У него нет сканера файлов для проверки вашего веб-сайта на наличие вредоносного кода. Платная версия плагина предлагает дополнительные функции для отслеживания вторжений и вредоносных файлов в папку загрузок WordPress.
Стоимость: Базовый бесплатный плагин. Версия Pro стоит 59,95 долларов США за неограниченное количество сайтов и пожизненную поддержку.
Марка: C
Заключение
После тщательного сравнения всех этих популярных плагинов брандмауэра WordPress мы считаем, что Sucuri, несомненно, является лучшим брандмауэром, который вы можете получить для своего сайта WordPress.
Это лучший брандмауэр уровня DNS с наиболее полным набором функций безопасности, обеспечивающий полное спокойствие. Вдобавок ко всему, прирост производительности, который вы получаете от их CDN, очень впечатляет.
MaxCDN (StackPath) будет вторым в нашем списке по цене и качеству, которые он предлагает.
Мы надеемся, что эта статья помогла вам найти лучший плагин для брандмауэра WordPress для вашего сайта. Вы также можете ознакомиться с нашим окончательным пошаговым руководством по безопасности WordPress для начинающих.
Если вам понравилась эта статья, то подпишитесь на наш канал YouTube для видеоуроков по WordPress. Вы также можете найти нас в Twitter и Facebook.
Руководство для начинающих по исправлению взломанного сайта WordPress
Печальная реальность в отношении работы веб-сайтов заключается в том, что иногда их могут взломать. После того, как наш сайт WordPress несколько раз взломали в прошлом, мы точно знаем, насколько это может быть напряженно. Не говоря уже о влиянии, которое это оказывает на ваш бизнес и читателей. За последние несколько лет мы помогли сотням пользователей восстановить свои взломанные сайты WordPress, включая несколько известных компаний.В этой статье мы поделимся пошаговым руководством по исправлению взломанного сайта WordPress.
Что нужно знать перед началом работы
Прежде всего, независимо от того, какую платформу вы используете, WordPress, Drupal, Joomla и т. Д. — любой сайт можно взломать!
Когда ваш сайт WordPress взломан, вы можете потерять рейтинг в поисковых системах, подвергнуть своих читателей вирусам, запятнать вашу репутацию из-за перенаправления на порнографические сайты или другие сайты с плохим соседством, а в худшем случае потерять все данные вашего сайта.
Если ваш веб-сайт является бизнесом, безопасность должна быть одним из ваших главных приоритетов.
Вот почему так важно, чтобы у вас была хорошая хостинговая компания WordPress. Если вы можете себе это позволить, то обязательно используйте управляемый хостинг WordPress.
Убедитесь, что у вас всегда есть хорошее решение для резервного копирования WordPress, такое как BackupBuddy.
Последний, но, вероятно, самый важный, имеет надежный брандмауэр веб-приложений, такой как Sucuri. Мы пользуемся их услугами на наших сайтах.
Вся приведенная выше информация хороша, если вас еще не взломали, но есть вероятность, что если вы читаете эту статью, то, вероятно, уже слишком поздно добавлять некоторые меры предосторожности, о которых мы упоминали выше. Поэтому, прежде чем что-либо делать, постарайтесь оставаться максимально спокойным.
Давайте посмотрим на пошаговое руководство, как исправить взломанный сайт WordPress.
Шаг 0 — Сделайте это за вас профессионалу
Безопасность — серьезное дело, и если вам неудобно иметь дело с кодами и серверами, то почти всегда лучше, чтобы это делал профессионал.
Почему? Потому что хакеры прячут свои скрипты в нескольких местах, что позволяет взломам возвращаться снова и снова.
Хотя мы покажем вам, как найти и удалить их позже в этой статье, многие люди хотят быть спокойны, зная, что эксперт правильно очистил их веб-сайт.
Эксперты по безопасности обычно берут от 100 до 250 долларов за час, что возмутительно для малого бизнеса или индивидуального предпринимателя.
Однако для читателей WPBeginner наши друзья из Sucuri предлагают очистку от вредоносных программ и взломов за 199 долларов, что также включает их брандмауэр и службу мониторинга на целый год.
Это может показаться продвижением сукури, но это действительно честная рекомендация. Мы лично знаем команду Sucuri и не рекомендовали бы их, если бы не доверяли им наши собственные веб-сайты. Ага, WPBeginner использует Sucuri и ежедневно блокирует несколько тысяч атак на наш веб-сайт, и мы действительно не можем отблагодарить их за то, что они для нас делают.
Так что используйте их, если вы цените свое время, не разбираетесь в технологиях или просто хотите душевного спокойствия.
Для всех, кто занимается своими руками, просто выполните следующие действия, чтобы очистить взломанный сайт WordPress.
Шаг 1. Определите взлом
При взломе веб-сайта вы испытываете большой стресс. Постарайтесь сохранять спокойствие и запишите все, что можно, о взломе.
Ниже приведен хороший контрольный список для просмотра:
- Можете ли вы войти в панель администратора WordPress?
- Ваш сайт WordPress перенаправляется на другой сайт?
- Есть ли на вашем сайте WordPress нелегитимные ссылки?
- Помечает ли Google ваш сайт как небезопасный?
Запишите список, потому что это поможет вам при разговоре с хостинг-компанией или даже при выполнении следующих шагов, чтобы исправить свой сайт.
Также очень важно, чтобы вы изменили свои пароли перед тем, как начать очистку. Вам также нужно будет сменить пароли, когда вы закончите очистку взлома.
Шаг 2. Свяжитесь с хостинг-компанией
Большинство хороших хостинг-провайдеров очень помогают в таких ситуациях. У них есть опытные сотрудники, которые ежедневно занимаются подобными вещами, и они знают свою хостинговую среду, а это значит, что они могут помочь вам лучше. Начните с того, что свяжитесь с вашим веб-хостингом и следуйте его инструкциям.
Иногда взлом мог затронуть не только ваш сайт, особенно если вы используете общий хостинг. Ваш хостинг-провайдер также может предоставить вам дополнительную информацию о взломе, например, как он возник, где скрывается бэкдор и т. Д. По нашему опыту, HostGator и Siteground очень полезны, когда что-то подобное происходит.
Возможно, вам даже повезет, и хост уберет за вас взлом.
Шаг 3. Восстановление из резервной копии
Если у вас есть резервные копии вашего сайта WordPress, возможно, лучше будет восстановить его с более ранней точки, когда сайт не был взломан.Если ты можешь это сделать, ты золотой.
Однако, если у вас есть блог с ежедневным контентом, вы рискуете потерять сообщения в блоге, новые комментарии и т. Д. В таких случаях взвесьте все за и против.
В худшем случае, если у вас нет резервной копии или ваш веб-сайт был взломан в течение длительного времени, и вы не хотите терять контент, то вы можете вручную удалить взлом.
Шаг 4. Сканирование и удаление вредоносных программ
Посмотрите на свой сайт WordPress и удалите все неактивные темы и плагины WordPress.Чаще всего именно здесь хакеры прячут свой бэкдор.
Backdoor — это метод обхода обычной аутентификации и получения возможности удаленного доступа к серверу, оставаясь незамеченным. Большинство умных хакеров всегда первым делом загружают бэкдор. Это позволяет им восстановить доступ даже после того, как вы найдете и удалите взломанный плагин.
Как только вы это сделаете, теперь продолжайте сканировать свой веб-сайт на предмет взломов.
Вы должны установить на свой веб-сайт следующие бесплатные плагины: Sucuri WordPress Auditing и Theme Authenticity Checker (TAC).
Когда вы их настроите, сканер Sucuri сообщит вам статус целостности всех ваших основных файлов WordPress. Другими словами, он показывает вам, где прячется взлом.
Самыми распространенными местами являются каталоги тем и плагинов, каталог загрузок, wp-config.php, каталог wp-includes и файл .htaccess.
Затем запустите средство проверки подлинности темы, и оно отобразит ваши результаты следующим образом:
Если средство проверки подлинности темы обнаружит в ваших темах подозрительный или вредоносный код, рядом с темой отобразится кнопка сведений со ссылкой на файл темы, который заражен.Он также покажет вам обнаруженный вредоносный код.
У вас есть два варианта исправления взлома. Вы можете удалить код вручную или заменить этот файл исходным файлом.
Например, если они изменили ваши основные файлы WordPress, повторно загрузите новые файлы WordPress из новой загрузки или всех файлов WordPress, если на то пошло, чтобы переопределить любые затронутые файлы.
То же самое и с файлами вашей темы. Загрузите новую копию и замените поврежденные файлы новыми.Помните, делайте это только в том случае, если вы не вносили изменения в коды тем WordPress, иначе вы их потеряете.
Повторите этот шаг также для всех затронутых плагинов.
Вы также хотите убедиться, что ваша тема и папка плагинов соответствуют исходным. Иногда хакеры добавляют дополнительные файлы, которые выглядят как имя файла плагина и которые легко игнорировать, например: hell0.php, Adm1n.php и т. Д.
У нас есть подробное руководство, как найти бэкдор в WordPress и удалить его.
Продолжайте повторять этот шаг, пока взлом не исчезнет.
Шаг 5. Проверьте права пользователя
Загляните в раздел пользователей WordPress, чтобы убедиться, что только у вас и членов вашей команды есть доступ администратора к сайту.
Если вы видите там подозрительного пользователя, то удалите его.
Прочтите наше руководство для начинающих по ролям пользователей WordPress.
Шаг 6. Измените секретные ключи
Начиная с WordPress 3.1, WordPress генерирует набор ключей безопасности, которые шифруют ваши пароли.Теперь, если пользователь украл ваш пароль, но он все еще вошел на сайт, он останется авторизованным, потому что его файлы cookie действительны. Чтобы отключить файлы cookie, вам необходимо создать новый набор секретных ключей. Вам необходимо сгенерировать новый ключ безопасности и добавить его в файл wp-config.php
.
Шаг 7. Снова измените свои пароли
Да, вы изменили пароли на шаге 1. Теперь сделайте это снова!
Вам необходимо обновить свой пароль WordPress, пароль cPanel / FTP / MySQL и практически везде, где вы использовали этот пароль.
Мы настоятельно рекомендуем использовать надежный пароль. Прочтите нашу статью о том, как лучше всего управлять паролями.
Если на вашем сайте много пользователей, вы можете принудительно сбросить пароль для всех из них.
Движение вперед — повышение безопасности вашего сайта на WordPress
Само собой разумеется, что нет лучшей защиты, чем наличие хорошего решения для резервного копирования. Если у вас его нет, установите что-нибудь для ежедневного резервного копирования вашего сайта.
Помимо этого, вот еще несколько вещей, которые вы можете сделать, чтобы лучше защитить свой сайт — это не в порядке, и вам следует делать как можно больше!
И что бы вы ни делали, всегда держите ядро WordPress, плагины и темы в актуальном состоянии!
Помните, Google недавно объявил, что они добавили новое изменение в алгоритм, которое влияет на результаты взлома сайтов со спамом. Поэтому, пожалуйста, убедитесь, что вы обеспечиваете безопасность своего сайта.
Мы надеемся, что это руководство помогло вам исправить ваш взломанный сайт WordPress.Если у вас все еще возникают проблемы, мы настоятельно рекомендуем нанять профессиональных помощников, таких как Sucuri, или спросить свою хостинговую компанию, могут ли они помочь с исправлением.
Если вам понравилась эта статья, то подпишитесь на наш канал YouTube для видеоуроков по WordPress. Вы также можете найти нас в Twitter и Facebook.
Как защитить сайт WordPress от хакеров
WordPress — частая цель взлома. Хакеры нацелены на тему, основные файлы WordPress, плагины и даже страницу входа.
Это шаги, которые необходимо предпринять, чтобы снизить вероятность взлома и упростить восстановление, если это все же произойдет.
Как хакеры атакуют WordPress
Все сайты в сети постоянно подвергаются атакам — будь то форум phpBB или сайт WordPress — все сайты проверяются хакерами. Для хакера нет ничего необычного в том, чтобы сканировать тысячи страниц или пытаться войти в систему сотни раз в день.
И это всего лишь один хакер. Сайты подвергаются атакам сразу нескольких хакеров.
Обычно вас пытается взломать не человек. Хакеры используют автоматизированное программное обеспечение для сканирования сети в поисках конкретных слабых мест на веб-сайте.
Эти автоматизированные программы, сканирующие Интернет, называются ботами. Я называю их хакерскими ботами, чтобы отличать их от парсеров (программного обеспечения, которое пытается копировать контент).
Реклама
Продолжить чтение ниже
Защитите свой сайт WordPress с помощью брандмауэра
Брандмауэр — это программа, которая блокирует злоумышленника.На мой взгляд, лучший брандмауэр WordPress — это плагин Wordfence.
Wordfence проверяет, соответствует ли поведение посетителя веб-сайта поведению злоумышленника. Если бот нарушает определенные правила, например запрашивает слишком много веб-страниц за короткий промежуток времени, Wordfence автоматически блокирует его.
Wordfence также запрограммирован так, чтобы разрешать на сайте законных ботов, таких как Google и Bing.
Существуют расширенные функции, которые позволяют издателю видеть, какие боты атакуют сайт, и видеть, откуда этот бот, например, если это плохой бот, например, из Amazon Web Services или Bluehost.Wordfence предоставляет издателю возможность блокировать бота по его IP-адресу, всему диапазону IP-адресов или даже с помощью поддельного пользовательского агента браузера, который использует бот.
Реклама
Продолжить чтение ниже
О пользовательских агентах (UA)
Пользовательский агент идентифицирует информацию, которую отправляет браузер, которая сообщает веб-сайту, какой это браузер (Chrome, Firefox, Vivaldi) и какая операционная система он работает в (Windows 10, Mac OS X).
Например, это строка пользовательского агента для браузера Safari 11 на компьютере Mac OS X:
Mozilla / 5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit / 605.1.15 (KHTML, например, Gecko) Версия / 11.1.2 Safari / 605.1.15
Боты используют множество различных пользовательских агентов, чтобы обмануть веб-сайты и проникнуть внутрь. Например, некоторые боты выдают себя за браузер в Windows XP.
Фактическое количество реальных пользователей Win XP близко к нулю, я могу создать правило с Wordfence для блокировки всех пользовательских агентов с Windows XP в качестве операционной системы, и с помощью этого правила я могу заблокировать тысячи плохих ботов, независимо от того, из какой страны или IP-адреса.
Плохие боты иногда реагируют, переключаясь на другого пользовательского агента, поэтому, объединив эти правила, издатель имеет шанс заблокировать широкий спектр плохих хакерских ботов.
И это с бесплатной версией Wordfence.
Платная версия может блокировать целые страны. Поэтому, если у вас нет законных посетителей сайта из определенных стран, вы можете заблокировать каждого посетителя из этих стран.
Защита WordPress от эксплойтов
Кроме того, платная версия Wordfence заранее защитит вас от многих скомпрометированных тем и плагинов до того, как эти плагины будут исправлены.
Как только исследователи Wordfence узнают об эксплойте, они обновят премиум-версию брандмауэра, чтобы обеспечить подписчикам защиту от этих эксплойтов, иногда за несколько недель до того, как эксплойт будет исправлен разработчиком скомпрометированной темы или плагина.
Усиление безопасности веб-сайта
Другой бесплатный плагин, обеспечивающий дополнительный уровень защиты, называется Sucuri Security. Sucuri (принадлежит GoDaddy) помогает укрепить безопасность WordPress, чтобы блокировать использование плохими ботами определенных видов атак.В нем также есть функция сканирования на наличие вредоносных программ, которая проверяет все файлы на предмет изменений.
Реклама
Продолжить чтение ниже
Sucuri будет предупреждать вас каждый раз, когда кто-то входит на ваш сайт, помогая издателям определить, входит ли в систему хакер. Sucuri также может предупреждать издателя, если файл был изменен, что делают хакеры.
Это особенности бесплатной версии Sucuri:
- Аудит активности безопасности.
- Мониторинг целостности файлов.
- Удаленное сканирование на вредоносное ПО.
- Мониторинг черного списка.
- Эффективное усиление безопасности.
- Действия по обеспечению безопасности после взлома.
- Уведомления безопасности.
Платная версия Sucuri включает межсетевой экран веб-сайта.
Ограничение входа на ваш сайт
WordFence может блокировать ботов, которые неоднократно вводят имена пользователей и пароли на странице входа в WordPress.
Но если вы хотите сосредоточиться на ограничении этих входов в систему, существует плагин под названием Limit Login Attempts Reloaded, который позволяет издателям автоматически блокировать всех хакеров, которые вводят заданное количество неудачных комбинаций имени и пароля.
Например, вы можете настроить блокировку хакеров после трех попыток угадать пароль.
Объявление
Продолжить чтение ниже
Это особенности блокировщика входа в систему:
- Ограничьте количество попыток повторения при входе в систему (для каждого IP-адреса). Это полностью настраивается.
- Сообщает пользователю об оставшемся времени повторных попыток или времени блокировки на странице входа в систему.
- Дополнительное ведение журнала и дополнительное уведомление по электронной почте.
- Можно занести в белый / черный список IP-адреса и имена пользователей.
- Совместимость с брандмауэром веб-сайта Sucuri.
- Защита шлюза XMLRPC.
- Защита страницы входа в Woocommerce.
- Многосайтовая совместимость с дополнительными настройками MU.
- Соответствует GDPR. Когда эта функция включена, все зарегистрированные IP-адреса становятся запутанными (md5-hashed).
- Поддержка настраиваемых IP-источников (Cloudflare, Sucuri и т. Д.)
Плагин Limit Login Reloaded обеспечивает быстрый способ выключения хакерских ботов, пытающихся угадать пароль.
Резервное копирование вашего сайта WordPress
Важно автоматически создавать ежедневные резервные копии вашего сайта. Любое катастрофическое событие, приводящее к остановке сайта, может быть восстановлено с помощью резервной копии.
Есть много решений для резервного копирования, но одно, которое я считаю чрезвычайно полезным, называется UpdraftPlus WordPress Backup Plugin. UpdraftPlus доверяют более двух миллионов пользователей, это хорошо зарекомендовавший себя выбор.
Его можно настроить на отправку резервных копий по электронной почте каждый день или их отправку в облачное хранилище, например Dropbox.
Однажды я случайно удалил все файлы макета темы с сайта, полностью удалил внешний вид сайта. Но я смог восстановить сайт в том виде, в каком он был раньше, с помощью резервной копии UpdraftPlus. Это было легко сделать, и я был так благодарен.
Реклама
Продолжить чтение ниже
Обновить все темы и плагины
Важно всегда обновлять все темы и плагины. WordPress предоставляет возможность автоматически обновлять все плагины, что удобно для издателей или компаний, которые не входят в систему и часто обновляют.
Включив функцию автоматического обновления, издатель может быть уверен в том, что у него самое последнее программное обеспечение. Наличие устаревшего плагина — одна из основных причин взлома.
Есть причины, по которым нельзя включать функцию автоматического обновления, но негативные последствия, как правило, случаются редко. Например, обновленный плагин может быть несовместим с другими плагинами.
Реклама
Продолжить чтение ниже
Но для сайтов, которые не меняются часто, функцию автоматического обновления, вероятно, стоит включить.
Остерегайтесь брошенных плагинов
Последнее предупреждение о брошенных плагинах. Некоторые плагины могут продолжать работать спустя годы после того, как их разработчик отказался от них. Что может случиться, так это то, что эти старые плагины могут содержать уязвимость. Но поскольку они заброшены, их никогда не исправить.
Другая проблема заключается в том, что хакеры иногда покупают старые плагины и обновляют их вредоносными программами и вирусами.
Проверьте все свои плагины WordPress, чтобы убедиться, что они не заброшены и обновляются довольно часто.
Защитите свой сайт WordPress от хакеров
Для многих сайтов просто предпринять эти небольшие шаги для защиты сайта достаточно, чтобы их не взломали. Бесплатные версии этих плагинов обеспечивают исключительную защиту, а премиум-версии — еще больше.
Существует множество подключаемых модулей безопасности, и некоторые из них сами содержат уязвимости. Wordfence и Sucuri, на мой взгляд, являются лучшими вариантами для обеспечения безопасности WordPress.
Объявление
Продолжить чтение ниже
Цитаты
WordFence Security
Sucuri Security
Попытки лимитного входа перезагружены
UpdraftPlus
2
UpdraftPlus
2
8 лучших плагинов безопасности WordPress для защиты вашего сайта
Вы пытаетесь обезопасить свой сайт?
Использование инструмента безопасности на вашем сайте WordPress очень важно для ведения успешного бизнеса в Интернете.
В этом посте мы собрали самые лучшие плагины безопасности WordPress для защиты вашего сайта.
Вот содержание, которое поможет вам ориентироваться в этом сообщении:
- Сукури
- iThemes Безопасность Pro
- Jetpack Security
- WPScan
- Wordfence
- Пуленепробиваемая безопасность
- Все в одном WP Безопасность и брандмауэр
- Google Authenticator
Нужен ли мне плагин безопасности WordPress?
Если вы спрашиваете себя, нужны ли плагины безопасности WordPress? Знайте эту статистику — в среднем веб-сайт атакуют 44 раза в день .
И если любая из этих атак окажется успешной, она может серьезно повредить вашему бизнесу в Интернете.
Вот почему безопасность вашего сайта WordPress и меры онлайн-безопасности должны быть в числе ваших приоритетов.
Один только ваш хостинг-провайдер WordPress не сможет защитить вас от всех угроз.
Некоторые из негативных факторов, которые могут произойти с нарушением безопасности, включают:
- Интернет-преступники могут украсть данные, принадлежащие вам и вашим клиентам
- Могут быть раскрыты личные данные вашего бизнеса и ваших клиентов
- Ваш веб-сайт может быть полностью удален
- Ваш сайт может распространять вредоносное ПО среди посетителей, нанося ущерб вашему бренду и рейтингу SEO.
- Исправление взломанного сайта WordPress может быть сложным и дорогостоящим процессом
По всем этим причинам установка плагина безопасности WordPress на ваш сайт невероятно важна.
Итак, теперь, когда вы знаете риски незащищенного веб-сайта и причины, по которым вам нужен плагин безопасности WordPress, давайте поговорим о лучших вариантах.
Этот список поможет вам выбрать, какой из них лучше всего подходит для вас и вашего бизнеса.
Какие плагины безопасности WordPress самые лучшие?
Итак, какой плагин безопасности предлагает лучшую защиту WordPress и лучше всего подходит для вас? Давайте взглянем на список популярных плагинов безопасности WordPress:
1. Сукури
Sucuri — лучший бесплатный плагин безопасности для WordPress, доступный на сегодняшний день.Универсальная платформа безопасности пользуется большой популярностью не зря.
Хотя Sucuri — отличный бесплатный плагин безопасности WordPress для веб-сайтов, профессиональная версия на самом деле является обязательной для каждого владельца веб-сайта.
Характеристики:
- Они очистят ваш сайт WordPress без дополнительных затрат, если он получит вредоносное ПО
- Простая настройка в панели управления WordPress
- Защита брандмауэра помогает заблокировать доступ к вашему сайту WordPress с помощью грубой силы и вредоносных атак.
- Позволяет проводить сканирование на наличие вредоносных программ (и, конечно, удаление вредоносных программ)
- Эффективное усиление защиты
- Отслеживает все, что происходит на вашем сайте, включая изменения файлов, последние входы в систему и неудачные попытки входа в систему
- Некоторые планы предлагают расширенную защиту от DDoS-атак
- Может сократить время загрузки сервера и повысить производительность вашего сайта за счет блокирования вредоносного трафика
- Обслуживает статический контент с собственных серверов CDN
- Защищает ваш сайт WordPress от SQL-инъекций, XSS и всех известных атак
Стоимость:
Существует бесплатная версия Sucuri, а версия Pro стоит 299 долларов в год.
Щелкните здесь, чтобы начать работу с Sucuri сегодня.
2. iThemes Security Pro
Если вы пользователь WordPress, возможно, вы знакомы с командой, создавшей iThemes Security Pro, поскольку они также создали популярный плагин BackupBuddy и другие замечательные темы и плагины. Все их инструменты предлагают простой в использовании интерфейс для защиты от перебора и многого другого.
Характеристики:
- Двухфакторная аутентификация для дополнительного уровня безопасности
- Мощное применение пароля
- Обнаружение 404 и подключаемое сканирование
- Резервное копирование WordPress по расписанию
- Блокирует любой подозрительный IP-адрес, который ищет уязвимости на вашем сайте, чтобы они не могли получить доступ.
- Отправляет оповещения по электронной почте, чтобы уведомить вас о любых недавних обновлениях файлов на вашем сайте, которые могут быть вредоносными
- Возможность ограничивать попытки входа в систему
- Защищает плагины и темы WordPress
- Несмотря на отсутствие брандмауэра веб-сайтов или сканирования на наличие вредоносных программ, они используют сканер вредоносных программ Sitecheck от Sucuri
Стоимость:
Стоимость
iThemes Security Pro начинается с 80 долларов в год.
3. Реактивный ранец
Еще одно популярное универсальное решение из нашего списка лучших плагинов защиты WordPress — это Jetpack. Этот известный плагин позволяет легко сканировать ваш веб-сайт на предмет уязвимостей и имеет более 5 миллионов активных установок.
Характеристики:
- Резервные копии в реальном времени сохраняют каждое изменение, которое вы вносите на свой веб-сайт
- Восстановление в один клик, чтобы быстро вернуть сайт в рабочее состояние
- Журнал активности сообщает вам, какое именно действие (или человек) взломало ваш сайт
- Децентрализованное сканирование на вредоносное ПО защищает ваш сайт от угроз безопасности
- Предлагает защиту от спама, автоматически блокируя спам в комментариях к сообщениям в блогах
- Уведомляет вас по электронной почте, когда обнаруживает, что ваш сайт WordPress не работает.
- Защищает ваш сайт от атак методом грубой силы и вредоносного вредоносного ПО
- Включает функции дизайна веб-сайтов и автоматизированные маркетинговые инструменты
- Обеспечивает автоматическое обновление ваших плагинов WordPress и позволяет узнать, используете ли вы последнюю версию WordPress.
Стоимость:
Бесплатная версия Jetpack включает базовые функции безопасности WordPress.Ежедневный план безопасности начинается с 19,95 долларов США в месяц при ежегодной оплате.
4. WPScan
Еще одно отличное решение для безопасности веб-сайтов WordPress — это WPScan. Этот удобный инструмент существует с 2012 года и может обеспечить безопасность вашего веб-сайта на сервере. Он работает, каталогизируя множество различных известных угроз и сообщает вам о наиболее важных, чтобы вы могли избежать нежелательных проблем с безопасностью.
Характеристики:
- Инструмент с открытым исходным кодом с уникальной функциональностью, который можно использовать для сканирования удаленных установок WordPress для выявления проблем безопасности
- Их база данных уязвимостей ежедневно обновляется членами сообщества и специализированными специалистами по безопасности WordPress.
- Ежедневное автоматическое сканирование на предмет вредоносного кода
- Уведомления по электронной почте
- Помогает путем аудита базы данных известных проблем с такими вещами, которые могут повлиять на вас, такими как плагины WordPress, ядро WordPress и темы WordPress.
Стоимость:
Существует бесплатная версия плагина, которая отлично подходит для большинства веб-сайтов. Если у вас большой сайт и вы используете много плагинов, вам лучше всего подойдет платная версия WPScan, которая стоит около 2,31 доллара в месяц.
5. Wordfence
Wordfence — это плагин безопасности WordPress, который имеет несколько удивительных функций для защиты вашего сайта WordPress. Вы можете использовать базовую версию, не тратя ни цента.
Характеристики:
- Базовая версия бесплатна для использования на любом количестве сайтов
- Отслеживает посещения и попытки взлома в режиме реального времени, включая источник, их IP-адрес, время суток и время, проведенное на вашем сайте
- Отслеживает и предупреждает вас об использовании взломанного пароля, чтобы вы могли немедленно создать новый надежный пароль
- Защищает от атак методом перебора, ограничивая неудачные попытки входа в систему
- Имеет настраиваемые оповещения по электронной почте
- Pro позволяет отслеживать все сайты с центральной панели управления
Версия
Стоимость:
Wordfence доступен как бесплатный или платный плагин.Платная версия стоит от 99 долларов в год.
6. Пуленепробиваемая безопасность
BulletProof Security — это плагин безопасности WordPress, который не выглядит таким уж крутым, но предоставляет вам некоторые базовые функции безопасности бесплатно, так что его стоит включить в список.
Характеристики:
- Довольно простой в использовании мастер установки
- Сканирование вредоносных программ и брандмауэры
- Резервные копии баз данных
- Защита входа
- Уведомления по электронной почте с журналами безопасности, когда пользователь блокируется из-за неудачных попыток входа в систему
- Выход из сеанса ожидания
Стоимость:
BulletProof Security предоставляется бесплатно.
7. Все в одном WP Безопасность и брандмауэр
Легко (и бесплатно) использовать All In One WP Security & Firewall, чтобы применить большинство лучших практик WordPress для обеспечения безопасности на вашем веб-сайте малого бизнеса. Но инструмент довольно прост и не так удобен для новичков, как более известные решения.
Характеристики:
- Поиск вредоносных шаблонов
- Фильтрация IP-адресов для блокировки определенных людей и географических местоположений
- Блокировка входа в систему после неудачных попыток входа
- Просмотрите список заблокированных пользователей, чтобы разблокировать пользователей всего за несколько кликов
- Инструмент надёжности пароля, позволяющий создавать достаточно надёжные пароли
- Мониторинг учетных записей пользователей
- Брандмауэр на уровне веб-сайта (но без брандмауэра на уровне DNS)
- Позволяет вручную занести в черный список подозрительные IP-адреса
Стоимость:
All In One WP Security & Firewall предоставляется бесплатно.
8. Google Authenticator
Настройка двухфакторной аутентификации для дополнительной безопасности — действительно хорошая идея для защиты вашего сайта. Google Authenticator позволяет вам это сделать. И это в нашем списке, так как большинство плагинов безопасности не включают его.
Характеристики:
- Добавляет дополнительный уровень безопасности к вашему логину
- Имеет простой интерфейс и в меру удобен в использовании
- Позволяет выбрать, какой тип двухфакторной аутентификации вы хотите использовать
- Предлагает короткие коды, чтобы вы могли использовать их, например, на пользовательских страницах входа.
Стоимость:
Бесплатно.
Победитель конкурса лучших плагинов безопасности WordPress
Если вы ищете плагин безопасности WordPress, в котором есть все, ответ очевиден, что вам следует выбрать.
Наш лучший выбор, без сомнения, принадлежит Sucuri Security. В нем есть все функции, которые могут понадобиться для защиты вашего сайта, а не несколько.
Это включает сканирование веб-сайтов, брандмауэры на уровне DNS (не только веб-сайтов), а также собственный облачный сервер и сеть CDN.
Если вы еще этого не сделали, мы рекомендуем вам как можно скорее начать работу с Sucuri. Премиум-версия не бесплатна, но наличие защищенного веб-сайта избавит вас от множества потенциальных затрат и избавит вас от головной боли в случае взлома (не говоря уже о душевном спокойствии).
Заключение по безопасности WordPress
И все. Надеюсь, этот список лучших плагинов безопасности WordPress помог вам предоставить информацию, необходимую для поиска лучшего инструмента безопасности для вас.
Безопасность важна для юридического соответствия GDPR.Этот список плагинов WordPress GDPR включает несколько полезных инструментов для регистрации активности пользователей на вашем сайте.
Вам также может очень понравиться наш пост с некоторыми потрясающими проверенными стратегиями создания безопасных форм WordPress.
И если вы не знаете об угрозе безопасности при использовании взломанных плагинов, мы также создали статью о том, почему вы должны избегать использования WPForms Pro с нулевым статусом.
И если вам понравилась эта статья, подпишитесь на нас в Facebook и Twitter, чтобы получать больше обновлений из нашего блога.
10 советов по безопасности WordPress для обеспечения безопасности вашего сайта
Почему тема советов по безопасности WordPress? Потому что все сайты уязвимы.
Независимо от того, сколько работы вы вложили в запуск своего сайта, он всегда может оказаться в опасности, даже если вы, возможно, не сделали ничего плохого. Так работает Интернет и проводятся случайные атаки.
Но большинство угроз можно предотвратить, если потратить немного времени на реализацию этих 10 простых советов по безопасности WordPress:
10 советов по безопасности WordPress для защиты вашего сайта
Есть несколько вещей, которые вы должны включить в список, когда дело доходит до выполнения плановой проверки.Чтобы обезопасить себя, достаточно просматривать эти шаги примерно раз в месяц.
Мы собираемся сосредоточиться на определенных ключевых областях сайта. В некоторой степени веб-сайт похож на человеческое тело. Если определенная часть повреждена, это влияет на всю систему.
Вот что делать:
1. Регулярно обновляйте WordPress
С каждым новым выпуском WordPress улучшается, и его безопасность тоже повышается. Каждый раз при выходе новой версии исправляется множество ошибок и уязвимостей.Кроме того, если будет обнаружена какая-либо особенно вредоносная ошибка, разработчики ядра WordPress немедленно позаботятся о ней и незамедлительно установят новую безопасную версию. Если вы не обновите, то рискуете.
Чтобы обновить WordPress, вам сначала нужно перейти в личный кабинет. Вверху страницы вы будете видеть объявление каждый раз, когда выходит новая версия. Нажмите, чтобы обновить, а затем нажмите синюю кнопку «Обновить сейчас». Это займет всего несколько секунд.
2. Обновите темы и плагины
То же самое и с плагинами и темами.Вам следует обновить текущую тему и плагины, установленные на вашем сайте. Это поможет вам избежать уязвимостей, ошибок и потенциальных точек нарушения безопасности.
Как и в случае с большинством программных продуктов, время от времени определенные плагины могут быть взломаны или в них могут быть обнаружены дыры в безопасности. Например, в прошлом такие плагины, как Ninja Forms и WooCommerce, сталкивались с довольно неприятными проблемами.
Итак, как обновить темы и плагины?
Начнем с плагинов.Перейдите к Плагины / Установленные плагины ; появится список всех ваших плагинов. Если у определенного плагина не последняя версия, WordPress сообщит вам:
Например, у меня есть две старые версии плагинов, поэтому все, что мне нужно сделать, это щелкнуть «обновить сейчас» под каждой из них, и они будут готовы через несколько секунд.
Чтобы обновить тему, перейдите на страницу Внешний вид / Темы , и вы увидите все установленные вами темы. Устаревшие будут отмечены так же, как и плагины.Просто нажмите «Обновить сейчас».
Помимо обновления каждого плагина и темы, не забудьте также удалить плагины и темы, которые вы в данный момент не используете . Это просто лишний вес. Считайте это бонусом среди советов по безопасности WordPress.
3. Регулярно выполняйте резервное копирование сайта
Резервное копирование вашего сайта — это создание копии всех данных сайта и их безопасное хранение. Таким образом, вы сможете восстановить сайт из этой резервной копии в случае, если что-то случится.
Для резервного копирования вашего сайта вам понадобится плагин. Здесь есть много хороших решений для резервного копирования. Например, Jetpack теперь имеет несколько встроенных функций резервного копирования по доступной цене 3,50 доллара в месяц. Для этого вы получаете ежедневные резервные копии, восстановление в один клик, фильтрацию спама и 30-дневный архив резервных копий.
Существует также бесплатная альтернатива UpdraftPlus.
Вот еще несколько советов и инструкций по резервному копированию вашего сайта WordPress.
4. Ограничьте количество попыток входа в систему и часто меняйте пароль
Не позволяйте вашей форме входа в систему допускать неограниченное количество попыток ввода имени пользователя и пароля, потому что это именно то, что помогает хакеру добиться успеха.Если вы позволите им попробовать бесконечное количество раз, они в конечном итоге обнаружат ваши данные для входа. Ограничение доступных попыток — это первое, что вы должны сделать, чтобы этого избежать.
Вы можете использовать определенные специализированные плагины для ограничения возможных попыток входа в систему. Есть два очень популярных решения, например, оба бесплатные:
Кроме того, часто меняя пароли, еще больше снижает шансы любого хакера взломать ваш сайт. Хотя, говоря «часто», я не имею в виду каждый день… одного раза в 2-3 месяца будет достаточно.Разнообразие убивает удовольствие тех, кто пытается проникнуть внутрь.
Советы по безопасности WordPress Примечание. LastPass — это хороший инструмент, который безопасно хранит ваши пароли, а также генерирует надежные пароли, поэтому вам не придется изобретать их самостоятельно.
5. Установите брандмауэр
Еще один из наших советов по безопасности WordPress касается брандмауэров.
На вашем компьютере
Брандмауэры
обычно защищают ваш компьютер от различных сетевых угроз. Таким образом, каждая странная вещь, которая пытается установить с вами связь, будет подвергнута сомнению и будет удалена, если она окажется подозрительной.
По сути, это не имеет ничего общего с вашим сайтом WordPress, по крайней мере, у него нет прямого подключения, но установка брандмауэра на ваш компьютер все же стоит усилий по одной важной причине:
- Вы используете свой компьютер для подключения к админке вашего сайта. Таким образом, если ваш собственный компьютер был скомпрометирован, то ваше соединение с веб-сайтом также может быть под угрозой.
Пара инструментов для этой цели: Norton Internet Security, Comodo или ZoneAlarm.Последний бесплатный.
На вашем сайте WordPress
Помимо установки брандмауэра на компьютер, вы также можете установить инструменты безопасности прямо на свой веб-сайт WordPress. Этот тип межсетевого экрана защищает ваш сайт от вирусов, вредоносных программ, хакерских атак и т. Д.
Sucuri отлично справляется с этой задачей, и это одна из лучших служб безопасности для WordPress. Он делает все понемногу.
Существуют также бесплатные решения для межсетевых экранов, например:
6.Ограничьте доступ пользователей к вашему сайту
Если вы не единственный пользователь, имеющий доступ к вашему сайту, будьте осторожны и при создании новых учетных записей. Вы должны держать все под контролем и попытаться ограничить доступ любого типа для пользователей, которым он не обязательно нужен.
Если у вас много пользователей, вы можете ограничить их функции и разрешения. У них должен быть доступ только к тем функциям, которые необходимы им для выполнения своей работы.
Force Strong Passwords также может помочь вам в решении этой проблемы.По умолчанию WordPress рекомендует надежный пароль, но не заставит вас сменить его, если вы выберете слабый. Этот плагин не позволит вам продолжить, если ваш пароль не будет достаточно надежным. Это может быть хорошим решением для всех, кто входит в ваш админ. По сути, это ваш единственный способ убедиться, что они используют надежные пароли, как и вы.
7. Переименуйте URL-адрес для входа в
По умолчанию URL-адрес, который вы используете для входа в панель управления, — это wp-login.php или wp-admin , добавленный после основного URL-адреса вашего сайта.Например, YOURSITE.com/wp-login.php
И угадайте, эти два URL-адреса также являются наиболее доступными для хакеров, которые хотят проникнуть в вашу базу данных. Если вы измените этот URL-адрес, вы уменьшите вероятность возникновения проблем. Хакерам сложнее угадать пользовательский URL-адрес для входа.
Подключаемый модуль iThemes Security делает этот трюк. Например, ваш URL-адрес для входа может превратиться в что-то вроде YOURSITE.com/I_love_my_site
. Это один из тех советов по безопасности WordPress, который очень просто выполнить.
8. Включение сканирования безопасности
Сканирование безопасности — это то, что выполняется специализированным программным обеспечением / плагинами, которые просматривают весь ваш веб-сайт в поисках чего-либо подозрительного. Если что-то найдено, оно немедленно удаляется. Эти сканеры работают как антивирусы.
Для простого и доступного решения вы можете использовать вышеупомянутый плагин Jetpack. Помимо функций резервного копирования, он также имеет ежедневное сканирование на наличие вредоносных программ и угроз с ручным разрешением (этот план составляет 9 долларов в месяц).В качестве альтернативы вы также можете использовать CodeGuard или Sucuri SiteCheck.
9. Используйте SSL
SSL (Secure Socket Layer) — отличная стратегия, с помощью которой вы можете зашифровать свои данные администратора. SSL обеспечивает безопасность передачи данных между браузером пользователя и сервером. Есть два способа получить сертификат SSL:
- a) Купите его у сторонней компании, например RapidSSL.
- b) Спросите у своего хостинг-провайдера. Иногда это входит в состав некоторых планов хостинга.В зависимости от вашего хоста вы можете получить его без дополнительных затрат.
Например, хостинг Pagely поставляется с бесплатным SSL на всех планах.
Бонус: если вы используете шифрование SSL, вы не только защитите свой сайт, но и получите более высокий рейтинг в рейтинге Google. Google отдает предпочтение сайтам, использующим SSL. Итак, теперь у вас есть две причины применить этот конкретный из наших советов по безопасности WordPress.
10. Защитите файл
wp-config.php
Файл wp-config.php — один из самых важных и, следовательно, уязвимых файлов на вашем сайте. Он содержит важную информацию и данные обо всей вашей установке WordPress. Технически это ядро вашего сайта WordPress. Если с этим случится что-то плохое, вы не сможете нормально пользоваться своим блогом.
Одна простая вещь, которую вы можете сделать, — это взять файл wp-config.php и просто переместить его на один шаг выше корневого каталога WordPress. Этот шаг никак не повлияет на ваш сайт WordPress, но хакеры больше не смогут его найти.
Хорошо, на этом список подводится! Достаточно ли защищен ваш сайт? Вам нужна помощь в отношении этих советов по безопасности WordPress?
Если вы хотите узнать больше о безопасности WordPress, эта электронная книга содержит простой контрольный список, который поможет вам сохранить свой сайт в безопасности.
Бесплатный гид
5 основных советов по ускорению
Ваш сайт на WordPress
Сократите время загрузки даже на 50-80%
, просто следуя простым советам.
Как защитить паролем весь ваш сайт WordPress бесплатно
Одной из лучших особенностей WordPress является то, что его можно использовать для создания частных веб-сайтов, защищенных паролем. Для его настройки потребуется всего несколько щелчков мышью. И это бесплатно!
Многие люди и компании используют WordPress для создания частных баз данных, доступных только их сотрудникам. Или журналы, недоступные для просмотра. Или даже создать платформу для обмена личным контентом с друзьями и семьей.
В современном мире, где конфиденциальность является ценным товаром, эта стратегия творит чудеса, создавая ваше личное пространство в Интернете.
Вы можете легко создать такой частный веб-сайт, защитив паролем весь свой веб-сайт WordPress. Самое приятное то, что его действительно легко настроить и совсем не требует программирования. Мы покажем вам, как это сделать. Продолжай читать.
Зачем защищать ваш сайт паролем?
Есть много причин для создания веб-сайта, защищенного паролем.
- Может быть, вы хотите создать личное рабочее пространство для безопасного обмена данными со своей командой
- Или вы работаете над секретным проектом и хотите, чтобы все ваши идеи были легко реализованы.
- Или поделитесь контентом со своей семьей, не беспокоясь о том, что Facebook продаст ваши данные
- Или вести дневник
Какой бы ни была причина, WordPress предлагает самые доступные, безопасные и простые решения для создания частного веб-сайта всего за несколько кликов.
Поскольку вы самостоятельно размещаете свой веб-сайт на WordPress, вам не нужно беспокоиться о политике конфиденциальности, установленной корпорацией. Или беспокоиться о том, что платформы украдут ваши личные данные.
Вы полностью контролируете использование WordPress.
Лучшие плагины для защиты сайтов паролем
Есть несколько отличных плагинов, которые вы можете использовать для настройки системы паролей для вашего сайта WordPress. Вот некоторые из наших лучших кандидатов.
1. Защищено паролем
Имея более 200 000 активных установок, Password Protected является одним из самых эффективных бесплатных плагинов, которые вы можете использовать для полной защиты паролем всего вашего веб-сайта.Плагин довольно прост в настройке.
Хотя он полностью защищает ваш сайт, он не содержит мультимедиа. Это означает, что если у кого-то есть прямая ссылка на медиафайл на вашем сайте, он сможет его просмотреть.
Основные характеристики
- Процесс настройки для начинающих
- Пароль защищает весь сайт одним паролем
- Возможность разрешить доступ к каналам
- Возможность установки административного доступа
2. Пароль категории доступа
Access Category Password — еще один популярный бесплатный вариант защиты веб-сайтов паролем.Однако этот плагин предназначен для защиты паролем определенных категорий на вашем веб-сайте.
При включении плагин блокирует все сообщения в выбранной категории паролем. Это очень полезно, если вы хотите заблокировать только определенные части своего веб-сайта, оставив при этом другие категории открытыми для публики.
Основные характеристики
- Возможность выбора категорий для защиты паролем
- Возможность настройки формы пароля
- Разрешить пользователям доступ без пароля
3.WP частный контент Pro
Если вы ищете более продвинутое решение с множеством вариантов защиты своего веб-сайта, этот плагин — правильный выбор.
WP Private Content Pro, безусловно, компенсирует свою изрядную цену, предоставляя вам множество опций для настройки и выбора защищаемых областей вашего веб-сайта. И дает вам полный контроль над ролями пользователей на вашем веб-сайте. Этот плагин идеально подходит для защиты паролем профессиональных и бизнес-сайтов.
Основные характеристики
- Выберите тип содержимого для защиты паролем
- Блокировка содержимого на основе групп и ролей пользователей
- Блокировка меню и виджетов
- Блокировка и защита вложений и загрузок сообщений
4. Защита паролем для WooCommerce
Это уникальный плагин, разработанный специально для защиты интернет-магазинов паролем. Если вы хотите продавать продукты определенным группам людей, вы можете использовать этот плагин для защиты паролем всего вашего магазина, чтобы только люди с паролем могли покупать ваши продукты.
Плагин полностью защищает все продукты и страницы вашего магазина WooCommerce. Он даже включает в себя возможность запретить Google сканировать ваш сайт.
Основные характеристики
- Возможность защиты паролем магазина WooCommerce и страниц товаров
- Настроить страницу входа
- Возможность создания нескольких паролей
- Аналитика для отслеживания использования пароля
Как настроить систему паролей
Независимо от того, какой плагин вы в конечном итоге используете, процесс настройки системы паролей практически одинаков.Обычно это занимает всего несколько кликов.
В целях этой демонстрации мы используем бесплатный плагин, защищенный паролем.
Шаг 1. Установите подключаемый модуль, защищенный паролем
Первый шаг — установка плагина.
Войдите в панель администратора WordPress и перейдите в Плагины >> Добавить новый .
Поиск плагина, защищенного паролем. Щелкните Установить , а затем Активировать .
Шаг 2. Выберите, как заблокировать свой веб-сайт
После того, как вы установили плагин, вам необходимо настроить его для работы с вашим сайтом.
Чтобы настроить плагин, перейдите на страницу «Настройки » >> «Защищено паролем» .
Установите флажок рядом с Включено , чтобы активировать защиту паролем для вашего веб-сайта.
Затем выберите, хотите ли вы разрешить администраторам и вошедшим в систему пользователям просматривать веб-сайт без ввода пароля.
Не забудьте также установить собственный пароль.
По завершении нажмите кнопку Сохранить , чтобы сохранить изменения.
Шаг 3. Тестирование подключаемого модуля
Пора проверить, работает ли плагин.
Откройте в браузере окно в режиме инкогнито и загрузите свой веб-сайт. Теперь вы должны увидеть запрос на ввод пароля.
Примечание. Плагин , защищенный паролем, использует файлы cookie для блокировки веб-сайтов паролем. Если плагин не работает на вашем сайте, сделайте для него исключение в плагине кеширования. Или обратитесь к своему провайдеру веб-хостинга, если на их серверах есть встроенная система кеширования.
Настройка системы членства?
Процесс, о котором мы говорили, включает блокировку всего вашего веб-сайта WordPress паролем.Существуют также другие методы блокировки только определенных разделов вашего веб-сайта WordPress.
Например, вы можете заблокировать свои статьи и контент за платежным шлюзом. И разрешите только подписанным участникам видеть ваш контент. Такие системы называются членскими веб-сайтами.
Для создания этих веб-сайтов вам понадобится плагин другого типа. Restrict Content Pro — хороший вариант, на который стоит обратить внимание.
Завершение
Несмотря на то, что мы использовали плагин, защищенный паролем для учебника, вы должны использовать плагин, который подходит для вашего веб-сайта в зависимости от целей, которых вы хотите достичь.В любом случае, его настройка не займет много времени.
Не забудьте изучить наш блог, чтобы получить больше советов и руководств, подобных этому.
WordPress Security: как обезопасить и защитить WordPress
Безопасность хостинга веб-сайтов в последние годы выросла, и это сложная тема.
Большинство хостов обеспечивают необходимую безопасность на различных уровнях стека, но не для самого веб-сайта. Есть ряд хостинг-провайдеров, которые предлагают безопасность за дополнительную плату, но если вы не приобрели у них продукт безопасности, маловероятно, что они решат за вас компромисс.
Существует четыре основных хостинг-среды, которые можно использовать для установки WordPress:
- Общие среды хостинга
- Среды виртуального частного сервера (VPS)
- Управляемые среды хостинга
- Выделенные серверы
Теоретически среды, которые устраняют наибольшую зависимость от пользователя, будут обеспечивать наибольшую безопасность. Если у вас есть время и навыки, чтобы обезопасить свою среду, у вас есть больше возможностей, но и больше ответственности.
В действительности, однако, тип среды хостинга, которую вы выбираете, должен диктоваться вашими потребностями и опытом:
- Если вы мало понимаете, как работают веб-сайты, то в ваших интересах использовать управляемую среду.
- Если у вас есть собственный центр сетевых операций (NOC), центр управления информационной безопасностью (SOC) или выделенные системные администраторы, то VPS или выделенный сервер обеспечивает лучшую изоляцию вашей среды (при условии, что он правильно настроен).
Вы также можете начать разговор со своим хостинг-провайдером, чтобы узнать, как они относятся к безопасности. Следует обратить внимание на некоторые ключевые моменты:
- Какие меры безопасности они принимают для защиты вашего веб-сайта (а не только своего сервера)?
- Какие действия они предпримут, если обнаружат вредоносное ПО на одном из ваших веб-сайтов?
- Как часто они ищут вредоносное ПО?
- Предлагают ли они услуги по реагированию на инциденты?
- Потребуется ли вам обратиться к третьему лицу, если ваш сайт будет взломан?
Соединения SFTP / SSH
Безопасная передача файлов на ваш сервер и с вашего сервера — важный аспект безопасности веб-сайта в среде вашего хостинга.