WordPress в настоящее время является самой популярной системой управления контентом в использовании. Исследования показывают, что один из каждых шести сайтов в Интернете работает на WordPress. WordPress является настолько популярным, что является заманчивой целью для хакеров.
Для того , чтобы обеспечить и защитить свой сайт на основе WordPress от взлома, следуйте этим простым методам:
- Держите установку WordPress, включая все установленные плагины WordPress и темы в актуальном состоянии, обновляйте их всякий раз, когда выходит новая версия. Многие хакеры используют уязвимости и дыры в безопасности, которые были выявлены в более старых версиях WordPress, поэтому держать вашу установку в актуальном состоянии является простым способом предотвратить большинство попыток взлома.
- Нападавшие могут найти путь в ваш веб-сайт WordPress с помощью программного обеспечения (грубой силы), и они будут пытаться раскрыть пароль администратора систематически пытаться войти в систему, используя общие слова и фразы, как пароли, в сочетании с явным именем, таких как “admin”. Вы никогда не должны использовать “admin” в качестве имени пользователя администратора WordPress или сохранить этот пользователя, таким образом, создать новую учетную запись администратора с именем пользователя, который не является очевидным, назначать роли администраторов к нему, передать все посты, страницы и т.д., созданные ‘admin’ во вновь созданную учетную запись и дать ему надежный пароль (WordPress имеет индикатор уровня пароля, который отображается при изменении пароля). Затем удалите учетную запись пользователя “admin”.
- Для того, чтобы остановить спам-атаки имен пользователей и комментарии, отредактируйте конфигурационный файл Apache и добавьте следующие строки:
<IfModule mod_rewrite.c> RewriteEngine On RewriteCond %{REQUEST_METHOD} POST RewriteCond %{REQUEST_URI} .(wp-comments-post|wp-login)\.php* RewriteCond %{HTTP_REFERER} !.*mydomain.ru.* [OR] RewriteCond %{HTTP_USER_AGENT} ^$ RewriteRule (.*) http://%{REMOTE_ADDR}/$ [R=301,L] </ifModule>Или, если вы используете Nginx в качестве веб – сервера, запретить доступ к запросам путем добавления источников ссылок следующие строки в файл конфигурации Nginx ( обычно /etc/nginx/nginx.conf ):
location ~* (wp-comments-posts|wp-login)\.php$ { if ($http_referer !~ ^(http://mydomain.ru) ) { return 405; } }Не забудьте изменить ‘mydomain.ru’ на имя вашего фактического домена, а затем перезапустите веб-сервер для того, чтобы изменения вступили в силу.
- Установить полезные плагины, такие как ‘Enforce Strong Password’ , ‘Limit Login Attempts’ и ‘Lockdown WP Admin’ в целях дальнейшего обеспечения защиты вашего сайта WordPress.
