Поиск по сайту:
Все уже описано. К счастью, не обо всем еще подумано (С. Лец).

5 основных советов для обеспечения безопасности сайтов на WordPress

1 Звезда2 Звезды3 Звезды4 Звезды5 Звезд (Пока оценок нет)
Загрузка...
17.01.2017
5 основных советов для обеспечения безопасности сайтов на WordPress

WordPress на сегодняшний день является самой популярной блог-платформы.

Будучи популярным, в системе есть своими сильные и слабые стороны. Сам факт того, что почти каждый использует его, делает его более склонным к атакам. Разработчики WordPress делают большую работу по фиксации и латание дыр, когда обнаруживаются новые недостатки, но это не значит, что вы можете просто установить и забыть.

В этом посте, мы расскажем вам некоторые из наиболее распространенных способов защиты сайта на WordPress.

Всегда используйте SSL при входе в админку в WordPress

Само собой разумеется, что вы всегда должны реализовать SSL, если вы собираетесь сделать что – нибудь больше, чем просто случайный блог. Вход в систему на ваш сайт, не используя шифрованное соединение выставляет свое имя пользователя и пароль открытым текстом. Любой на данный момент может открыть свой пароль. Это особенно актуально, если вы занимаетесь серфингом через Wi-Fi или если вы подключены к общественной точке доступа, то есть вероятность того, что вы будете взломаны. Прочитайте статью о том как получить сертификат доверенного SSL от Let’s Encrypt.

Будьте разборчивы в дополнительных плагинах

Разработанный сторонними разработчиками плагин по качеству и безопасности всегда под вопросом и зависит исключительно от опыта его разработчика. При установке каких-либо дополнительных плагинов следует тщательно выбирать плагин и принимать во внимание его популярность, а также как часто плагин поддерживается. Плохо обслуживаемые плагины следует избегать, поскольку они более склонны к ошибкам и уязвимостям, которые могут быть легко взломаны.

Читать  Переключение Темы Через WP-CLI

Эта тема также как дополнение к предыдущей теме о SSL, так как многие плагины неправильно разработаны в той степени, что они содержат скрипты, которые могут явно запросить небезопасные соединения (HTTP). Кажется, все хорошо до тех пор, пока ваш сайт станет доступен через HTTP. Однако, как только вы решили реализовать шифрование и принудительный доступ SSL, который может привести к немедленной поломки сайта, потому что сценарии в плагинах будет продолжать выполнять свои запросы через HTTP, тогда как остальная часть вашего сайта доступна через HTTPS.

Установить Wordfence

Будучи разработанной Feedjit Inc., Wordfence является самым популярным плагином безопасности WordPress сегодня, и нужно обязательно иметь для каждого серьезного сайта WordPress, особенно для тех , которые используют WooCommerce или другую платформу электронной коммерции в WordPress. Wordfence это не просто плагин, он скорее предлагает набор функций безопасности, которые позволят укрепить ваш сайт. Он имеет брандмауэр веб-приложений, сканер вредоносных программ, живой анализатор трафика и множество дополнительных инструментов, которые могут улучшить безопасность вашего сайта. Брандмауэр блокирует вредоносные попытки входа в систему по умолчанию, и даже может быть настроен, чтобы блокировать целые страны по их диапазонам IP – адресов. Что нам действительно нравится в Wordfence, что даже если ваш сайт находится под угрозой по какой – то причине т.е. с вредоносных скриптов, Wordfence может найти после сканирования и очистить ваш сайт от зараженных файлов.

Читать  Как добавить виджет WordPress в ваш заголовок сайта

Компания предлагает платные и бесплатные планы подписки для плагина, но даже со свободным планом, ваш сайт будет обеспечен на удовлетворительном уровне.

Изоляция /wp-admin и /wp-login.php с дополнительным паролем

Еще один шаг к защите вашей WordPress бэкэнда, это дополнительно защитить паролем другие каталоги (чтение URL – адресов), которые не предназначены для использования кем – либо еще , кроме вас. Каталог /wp-admin в этом списке один из критических каталогов. Если вы не позволяете WordPress вход для обычных пользователей, вы должны ограничить файл wp.login.php с дополнительным паролем. Используете ли вы Apache или Nginx, вы можете посетить эти две статьи, чтобы узнать, как дополнительно защитить установку WordPress.

Отключить перебор пользователей

Это довольно простой способ для злоумышленника, обнаружить действительные имена пользователей на вашем сайте, (читайте, чтобы узнать имя пользователя администратора). Итак, как это работает? Это просто. На любом сайте WordPress укажите /?author=1 после основного URL. Примером может быть: andreyex.ru/?author=1

Для того, чтобы защитить ваш сайт от этого, просто установите плагин Disable XML-RPC.

Отключите XML-RPC

RPC расшифровывается как удаленных вызовов процедур, это протокол, который одна программа может использовать, чтобы запросить услугу от программы, расположенной на другом компьютере в сети. С точки зрения WordPress, XML-RPC позволяет размещать на своем блоге WordPress с использованием популярных клиентов веб-блогов как Windows Live Writer, но он также необходим, если вы используете WordPress как мобильное приложение. XML-RPC был отключен в более ранних версиях, но в WordPress версии 3.5 она включена по умолчанию, что позволяет провести атаки на ваш сайт. Хотя различные исследователи в области безопасности советуют, что если вы не собираетесь использовать клиенты веб-блогов или WP Mobile App, вы должны отключить службу XML-RPC.

Читать  Как задать стиль WordPress формы комментирования

Есть несколько способов сделать это , и самое простое было бы просто установить плагин Disable XML-RPC.

5 основных советов для обеспечения безопасности сайтов на WordPress

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Если статья понравилась, то поделитесь ей в социальных сетях:

Читайте также

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

**ссылки nofollow

0 комментариев
Старые
Новые Популярные
Межтекстовые Отзывы
Посмотреть все комментарии
Рекомендуемое
Вы хотите отобразить случайные посты в WordPress? Отображение случайных постов дает…

Спасибо!

Теперь редакторы в курсе.