Как сделать сайт WordPress безопасным
Запустить собственный сайт WordPress в наши дни довольно просто. К сожалению, хакерам не потребуется много времени, чтобы атаковать ваш сайт.
Лучший способ сделать сайт WordPress безопасным — понять каждую уязвимость, связанную с запуском сайта WordPress . Затем установите соответствующую защиту, чтобы заблокировать хакеров в каждой из этих точек.
В этой статье вы узнаете, как лучше защитить свой домен, логин WordPress , а также инструменты и плагины, доступные для защиты вашего сайта WordPress .
Создать частный домен
В наши дни слишком легко найти свободный домен(find an available domain) и купить его по очень низкой цене. Большинство людей никогда не покупают какие-либо расширения домена для своего домена. Тем не менее, одно дополнение, которое вы всегда должны учитывать, — это защита конфиденциальности(Privacy Protection) .
GoDaddy предлагает три основных уровня защиты конфиденциальности , но они также соответствуют предложениям большинства поставщиков доменных имен.
- Базовый(Basic) : скройте свое имя и контактную информацию из каталога WHOIS . Это доступно только в том случае, если ваше правительство разрешает вам скрывать контактную информацию домена.
- Полный(Full) : замените собственную информацию альтернативным адресом электронной почты и контактной информацией, чтобы скрыть свою настоящую личность.
- Максимальная(Ultimate) : дополнительная безопасность, которая блокирует сканирование вредоносного домена и включает мониторинг безопасности вашего фактического сайта.
Обычно для обновления вашего домена до одного из этих уровней безопасности достаточно просто выбрать обновление в раскрывающемся списке на странице вашего домена.
Базовая(Basic) защита домена стоит довольно дешево (обычно около 9,99 долларов в год), а более высокий уровень безопасности ненамного дороже.
Это отличный способ помешать спамерам удалить вашу контактную информацию из базы данных WHOIS или другим злоумышленникам, которые хотят получить доступ к вашей контактной информации.
Скрыть(Hide) файлы wp-config.php и .htaccess
При первой установке WordPress(install WordPress) вам потребуется указать идентификатор администратора и пароль для вашей базы данных WordPress SQL в файле wp-config.php.
Эти данные шифруются после установки, но вы также хотите, чтобы хакеры не могли редактировать этот файл и взломать ваш сайт. Для этого найдите и отредактируйте файл .htaccess в корневой папке вашего сайта и добавьте следующий код внизу файла.
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>
Чтобы предотвратить изменение самого .htaccess, также добавьте следующее в конец файла.
# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>
Сохраните файл и выйдите из редактора файлов.
Вы также можете щелкнуть правой кнопкой мыши каждый файл и изменить разрешения, чтобы полностью удалить доступ на запись(Write) для всех.
Выполнение этого в файле wp-config.php не должно вызывать проблем, но выполнение этого в .htaccess может вызвать проблемы. Особенно, если вы используете какие-либо плагины безопасности WordPress , которым может потребоваться отредактировать файл .htaccess для вас.
Если вы получаете какие-либо ошибки от WordPress , вы всегда можете обновить разрешения, чтобы снова разрешить доступ на запись(Write) к файлу .htaccess.
Измените URL-адрес входа в WordPress
Поскольку страницей входа по умолчанию для каждого сайта WordPress является yourdomain/wp-admin.php, хакеры будут использовать этот URL-адрес, чтобы попытаться взломать ваш сайт.
Они будут делать это с помощью так называемых атак «грубой силы», когда они будут отправлять варианты типичных имен пользователей и паролей, которые обычно используют многие люди. Хакеры надеются, что им повезет, и они получат правильную комбинацию.
Вы можете полностью остановить эти атаки, изменив URL-адрес входа в WordPress(WordPress login URL) на что-то нестандартное.
Существует множество плагинов WordPress , которые помогут вам в этом. Одним из самых распространенных является WPS Hide Login .
Этот плагин добавляет раздел на вкладку « Общие » в разделе « (General)Настройки(Settings) » в WordPress.
Там вы можете ввести любой URL -адрес для входа и выбрать «Сохранить изменения(Save Changes) » , чтобы активировать его. В следующий раз, когда вы захотите войти на свой сайт WordPress , используйте этот новый URL .
Если кто-то попытается получить доступ к вашему старому URL -адресу wp-admin , он будет перенаправлен на страницу 404 вашего сайта.
Примечание(Note) . Если вы используете подключаемый модуль кэширования, обязательно добавьте новый URL -адрес для входа в список сайтов, которые не(not) следует кэшировать. Затем обязательно очистите кеш, прежде чем снова войти на свой сайт WordPress .
Установите плагин безопасности WordPress
Существует множество плагинов безопасности WordPress(WordPress security plugins) на выбор. Из всех них Wordfence является наиболее часто загружаемым, и на то есть веские причины.
Бесплатная версия Wordfence включает в себя мощный механизм сканирования, который ищет бэкдоры, вредоносный код в ваших плагинах(malicious code in your plugins) или на вашем сайте, угрозы внедрения MySQL и многое другое. Он также включает брандмауэр для блокировки активных угроз, таких как DDOS - атаки.
Это также позволит вам остановить атаки грубой силы, ограничив количество попыток входа в систему и заблокировав пользователей, которые делают слишком много неправильных попыток входа в систему.
В бесплатной версии доступно довольно много настроек. Более чем достаточно для защиты небольших и средних веб-сайтов от большинства атак.
Существует также полезная страница панели инструментов, которую вы можете просмотреть, чтобы отслеживать последние угрозы и атаки, которые были заблокированы.
Используйте генератор паролей WordPress(WordPress Password Generator) и 2FA
Последнее, что вам нужно, это чтобы хакеры легко угадали ваш пароль. К сожалению, слишком много людей используют очень простые пароли, которые легко угадать. Некоторые примеры включают использование имени веб-сайта или собственного имени пользователя в качестве части пароля или отсутствие использования каких-либо специальных символов.
Если вы обновились до последней версии WordPress , у вас есть доступ к мощным инструментам защиты паролей для защиты вашего сайта WordPress .
Первый шаг к повышению безопасности вашего пароля — перейти к каждому пользователю вашего сайта, прокрутить вниз до раздела « Управление учетной записью(Account Management) » и нажать кнопку « Создать пароль ».(Generate Password)
Это создаст длинный и очень безопасный пароль, который включает буквы, цифры и специальные символы. Сохраните этот пароль в безопасном месте, желательно в документе на внешнем диске, который вы можете отключить от компьютера, когда находитесь в сети.
Выберите «Выйти из системы везде»(Log Out Everywhere Else) , чтобы убедиться, что все активные сеансы закрыты.
Наконец, если вы установили плагин безопасности Wordfence , вы увидите кнопку « Активировать 2FA(Activate 2FA) » . Выберите это, чтобы включить двухфакторную аутентификацию для входа пользователей.
Если вы не используете Wordfence , вам необходимо установить любой из этих популярных плагинов 2FA.
- Гугл аутентификатор(Google Authenticator)
- Двухфакторная аутентификация(Two Factor Authentication)
- Двухфакторная аутентификация Rublon(Rublon Two-Factor Authentication)
- Двухфакторная аутентификация Duo(Duo Two-Factor Authentication)
Другие важные соображения безопасности(Important Security Considerations)
Есть еще несколько вещей, которые вы можете сделать, чтобы полностью обезопасить свой сайт WordPress .
Как плагины WordPress(WordPress plugins) , так и сама версия WordPress должны постоянно обновляться. Хакеры часто пытаются использовать уязвимости в старых версиях кода вашего сайта. Если вы не обновите оба этих параметра, вы поставите свой сайт под угрозу.
1. Регулярно выбирайте «Плагины(Plugins) » и «Установленные плагины(Installed Plugins) » в панели администратора WordPress . Проверьте(Review) все плагины на наличие статуса, который говорит о том, что доступна новая версия.
Когда вы увидите устаревшее обновление, выберите « Обновить сейчас(update now) » . Вы также можете рассмотреть возможность выбора Включить автообновление для ваших плагинов.
Однако некоторые люди опасаются этого, поскольку обновления плагинов иногда могут сломать ваш сайт или тему. Поэтому всегда рекомендуется тестировать обновления плагинов на локальном тестовом сайте WordPress,(local WordPress test site) прежде чем включать их на своем рабочем сайте.
2. Когда вы войдете в свою панель управления WordPress , вы увидите уведомление о том, что WordPress устарел, если вы используете более старую версию.
Опять же, сделайте резервную копию сайта и загрузите его на локальный тестовый сайт на своем ПК, чтобы проверить, что обновление WordPress не сломает ваш сайт, прежде чем вы обновите его на своем действующем веб-сайте.
3. Воспользуйтесь бесплатными функциями безопасности вашего веб-хостинга. Большинство веб-хостингов предлагают различные бесплатные услуги по обеспечению безопасности сайтов, которые вы там размещаете. Они делают это, потому что это не только защищает ваш сайт, но и обеспечивает безопасность всего сервера. Это особенно важно, когда вы используете общую учетную запись хостинга, где другие клиенты имеют веб-сайты на том же сервере.
К ним часто относятся бесплатные установки безопасности SSL(free SSL security) для вашего сайта, бесплатные резервные копии(free backups) , возможность блокировать вредоносные IP-адреса и даже бесплатный сканер сайта, который будет регулярно сканировать ваш сайт на наличие вредоносного кода или уязвимостей.
Запуск веб-сайта никогда не бывает таким простым, как установка WordPress и просто размещение контента. Важно сделать ваш сайт WordPress максимально безопасным. Все вышеперечисленные советы помогут вам сделать это без особых усилий.
Related posts
3 способа придумать самый безопасный пароль
Действительно ли ваше приложение для обмена сообщениями безопасно?
3 способа взять Photo or Video на хромин
Как Detect Computer & Email Monitoring или Spying Software
Flat Panel Display Technology Demystified: TN, IPS, VA, OLED и многое другое
Как искать и найти чьи-то удаленные твиты
Как взять Screenshot на Steam
Ваш Computer Randomly Turn само по себе?
Как разделить Clip в Adobe Premiere Pro
Можете ли вы изменить свой Twitch Name? Да, но Be Careful
Как сделать Spotify Louder and Sound Better
OLED vs Microled: Если вы ждать?
Как Fix Hulu Error Code RUNUNK13
Как проверить Your Hard Drive для ошибок
Как Search Facebook Friends от Location, Job или School
Как Insert Emoji в Word, Google Docs and Outlook
Как Mute Someone на Discord
Как найти Memories на Facebook
Как включить Caps Lock на Chromebook
Как найти лучшие раздорные серверы