Главная » Безопасность

Защита сайта на WordPress.

Уделите всего несколько минут вопросам безопасности. Это сохранит Вам время и нервы, снизит вероятность взлома и убережет информацию от несанкционированного доступа.

1. Регулярно создавайте бэкапы и храните их в надежном месте.

Важнейшим фактором сохранности данных является их регулярное резервное копирование.

Даже в случае взлома, Вы всегда сможете восстановить данные и устранить возникшие ошибки. Создавать бэкапы можно как на уровне WordPress с помощью плагинов, так и на уровне панели управления (рекомендуемый способ). При этом желательно хранить копии в разных местах для возможности восстановления даже в случае физического повреждения одного из носителей информации.

2. Регулярно обновляйте версию WordPress и всех установленных дополнений.

Разработчики WordPress непрерывно работают над исправлением дыр в безопасности и предоставляют обновления. Когда Вы получаете уведомления о доступных обновлениях в панели администратора, не игнорируйте их! Это наиболее эффективный способ защитить свой сайт от взлома.

Если Ваши темы и плагины не работают с последней версией WordPress, от них лучше всего отказаться.

3. Скачивайте WordPress, шаблоны и плагины только с официальных источников.

Нуленные скрипты, а также непроверенные источники ВСЕГДА несут в себе потенциальную угрозу безопасности. Помните, что взломанный скрипт может использоваться злоумышленником во вредоносных целях таким образом, что Вы даже не будете подозревать об этом (особенно часто в код встраиваются скрытые внешние ссылки). Как следствие, проблемы могут возникнуть не только с содержимым сайта, но и с выдачей в поисковых системах.

4. Не используйте «admin» в качестве имени пользователя.

Это первый пользователь, который создается при установке WordPress, поэтому Вы никогда не должны его использовать. Создайте пользователя с другим именем и назначьте административные роли ему. Попробуйте придумать нестандартное имя пользователя и сложный пароль, чтобы их было сложно подобрать.

5. Удалите неиспользуемые плагины, темы и неактивных пользователей.

Через уязвимости в неиспользуемых и неактивных расширениях может внедряться вредоносный код. Если Вы не используете плагин, шаблон или другое дополнение - тут же его удаляйте.

6. Установите дополнительный пароль на уровне WEB-сервера Apache.

Создать двухуровневый доступ к административной части можно без специальных знаний. Для этого достаточно воспользоваться бесплатной утилитой АпачПаролеГенератор (либо обратитесь за помощью в службу поддержки).

7. Закройте внешний доступ к файлу wp-config.php.

Файл wp-config.php содержит секретную информацию Вашего сайта, поэтому крайне важно исключить возможность несанкционированного доступа к нему. Для этого в файл .htaccess корневой директории сайта добавьте строки:

.htaccess
<Files wp-config.php>  
order allow,deny  
deny from all  
</Files>

8. Закройте внешний доступ к папке wp-includes.

Для того, чтобы дополнительно защитить папку wp-includes нам потребуется создать всего два файла .htaccess — с одинаковым названием, но разным содержимым.

Первый файл .htaccess, который мы помещаем непосредственно в папку wp-includes должен иметь следующее содержание:

.htaccess
deny from all

Второй файл .htaccess, который мы помещаем в папки wp-includes/images и wp-includes/js должен иметь следующее содержание:

.htaccess
allow from all

Этими простыми действиями мы надежно защищаем папку wp-includes — при обращении скриптов WP к файлам в данной папке на самом сервере все будет выполняться корректно, но при обращении извне доступ будет закрыт.

9. Используйте специализированное ПО для проверки сайта на вирусы.

Эффективным решением для защиты от эксплойтов, backdoor, SQL-инъекций и прочего являются:

Помните: когда дело касается паролей, размер важен.

Вместе с этим смотрят: