Основы безопасности CMS WordPress

WordPress является одной из самых востребованных CMS в Интернет и, естественно, она привлекает сайт на замокпристальное внимание злоумышленников. Как мы знаем 100% защиты не существует, но выполняя некоторые правила, мы должны стремиться к этому.

Правила включают в себя не только установку плагинов защиты но и корректировку некоторых файлов WordPress. Отсюда следует Золотое правило – перед всеми изменениями и корректировками обязательно делают backup базы данных сайта.

В процессе интенсивной работы сайта сохранение данных делают после публикации 2-3 статей. Это не выдуманные цифры и не дань моде, в случае сбоев – сайт можно восстановить моментально.

При изменении отдельных файлов – footer.php, header.php и т.д. – в начале сделайте копию файла, и только потом вносите изменения.

Backup можно сделать двумя способами:

2. Скачать и установить плагин WP-DB-Backup. С помощью настроек этого плагина можно установить скачивание архива бекап на компьютер по расписанию.

3. Делать бекап непосредственно с CPanel вашего хостинга. Заходим в Cpanel – Файлы - Мастер резервного копирования и выбираем способ копирования. Процедура занимает считанные секунды. Лично я использую этот способ т.к. не надо устанавливать плагин и сохраняю архив прямо в папку на жестком диске. Период архивирования зависит от вашей активности – после добавления 2-3 постов или перед работой с файлами сайта.

Необходимо, также, примерно раз в месяц делать прямое копирование папок и файлов сайта на жесткий диск.

Проводить закачку файлов на сервер только по защищенному протоколу SFTP.

Наличие стандартного логина «admin» – одна из уязвимостей CMS – неоходимо заменить на более сложное. Заменить логин можно с помощью плагина wpvn-username-changer. После замены сохраните новую запись, теперь вы будете входить в админ-панель под новым логином.

Измените версию CMS WordPress на более позднюю – это усложнит взлом вашего сайта. Сделайте это при помощи плагина Replace-WP-Version.

Необходимо правильно поставить права доступа chmod для папок и файлов. Установите плагин Wp-SecurityScan и вы всегда будете знать правильно-ли выставлены chmod (права доступа). Более подробно об правах доступа можете почитать в статье.

Если вы успешно перешли на соединение с сервером по защищенному протоколу SFTP необходимо закрыть доступ по FTP. Для этого открываем текстовый редактор (Notepad++) и создаем файл .ftpaccess с содержанием

 <Limit ALL>
Deny from all
</Limit>

Сохраненный файл переносим в корневую папку (папка содержащая все файлы и папки wordpress) вашего сайта.

Для запрета входа в админ-панель посторонними пользователями делаем запись в файл .htaccess с содержанием

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny,allow
deny from all
# разрешен вход с IP
allow from (ваш IP xx.xxx.xxx.xx)

Сохраняем и переносим файл в папку wp-admin вашего сайта. Если IP динамический, то указать нужно первые пять цифр, в противном случае вы сами не сможете зайти в админ-панель.

Мы рассмотрели несколько первых шагов по укреплению защиты вашего WordPress. В дальнейшем мы рассмотрим еще несколько плагинов и дополнений постепенно наращивая мощность защиты вашего сайта-блога.

Поделитесь с друзьми в соцсетях

объявлений
301
рубрика
770
городов и регионов
организаций и магазинов