5 шагов по защите блога на ВордПресс

Защита блога на ВордПрессили как защитить сделанный на ВордПрессе (да и не только) блог от взлома, хакеров, и прочих неприятностей.

В начале можно полить воды и пустить розовых соплей нa тему того, как это обидно, когда взламывают блог/сайт/почту/ФБ. Предположим, что те, кому этот пост интересен, и так это понимают, и без лишних прелюдий перейдем к практике 🙂
Несколько советов с буржунета, с моими личными комментариями.

Совет 1: Бэкап, бэкап, и еще раз бэкап.
бэкап блога на ВордПресс

Бэкап не защитит ваш блог от взлома, однако ж резервное копирование сводит к минимуму ущерб, если уж его взломали.
Кроме того, я лично настоятельно рекомендую сохраниться перед всеми серьезными изменениями, которые вы делаете на своем сайте. К ним относится и реализация приведенных ниже советов.
Бэкап блога на ВордПресс можно делать 2 путями.
Первый вариант — через плагины.
Например, плагин WP-DBManager может создавать и послать по мейлу резервную копию базы данных каждый день. Расписание можно настраивать, само-собой, но один раз в день гарантирует, что в случае надобности «точка отката» не будет слишком далеко. Так же рекомендуют плагин backupwordpress, автоматически создающий бэкап всего сайта, с кучей настроек, и частично переведенный на русский язык.

Второй вариант — бэкап через хостинг.
Лично я использую именно его. Сразу оговорюсь — для этого нужно иметь купленный хостинг, и сама функция стоит денег. Аж целый 1 (один) американский доллар в месяц. И ИМО — оно того стоит, чтобы спать спокойно. Над плагинами имеет два основных преимущества. Первое — автоматический ежедневный, еженедельный и ежемесячный бекап. Откат делается одним кликом, есть опции вручную бекапить когда угодно и что угодно, весь сайт или отдельные файлы (скажем, свежеизменённые), скачивать весь бекап себе на комп зипом или таром, и т.д. Второй очень важный плюс — это сам факт того что он делается через хостинг, а не через плагин. Не углубляясь в тех. подробности — не изнутри системы, а снаружи.
Кстати, сам хостинг я очень рекомендую. Пользуюсь третий год, доволен всем. Интерфейс можно переключить на русский, однако общение с саппортом потребует знания английского языка.
bh_728x90_03

Совет 2: Установите Secure WordPress плагин.

защита блога на wordpress от взлома

По умолчанию, ВордПрессовский блог публикует много мета-данных — например, версию WordPress которую вы используете, хакеры могут использовать эти данные для взлома вашего сайта. Плагин Secure WordPress прячет и частично удаляет все эти открытые данные, тем самым делая взлом сайта более трудным для хакеров.
Это также делает доступ к информации об обновлении плагинов и ВП тем доступным только для людей, которых вы уже назначили администраторам (актуально для блогов с большим кол-вом юзеров). Secure WordPress также усиливает безопасность путем добавления плагин директории index.php, которая закрывает общественный доступ к вашим директориям, так что злостные хакеры не смогут их просмотреть.
Вообще, то что в мне лично в плагине нравиться — всё можно настроит на свой вкус и цвет. Будьте осторожны — если у вас уже стоит стопятцот плагинов на сайте, может какому-то из них нужна информация, которую Secure WordPress плагин прячет.

Совет 3: Апдейт всему голова!

Новые версии WordPress включают в себя патчи к безопасности и функциональные улучшения. Если вы используете устаревшую версию ВП, соответственно, хакеры могут использовать известные дыры в коде для взлома сайта.
То же касается и плагинов. Старайтесь обновлять их на регулярной основе; это не только сделает ваш сайт более безопасным, но и обеспечивает оптимальную работу. Маленькое замечание о плагинах: Старайтесь минимизировать их количество, многочисленные плагины могут снизить эффективность работы вашего сайта и создать дыры в его защищенности.

Многие советуют настроить ВордПресс на автоматическое обновление. «бла-блабла…Вы можете настроить его на автоматическое обновление , что позволяет сэкономить хлопоты по обновлению несколько раз в год.» Лично мой совет: всегда обновлять вручную. Причем сделать бэкап прямо перед обновлением (береженого Б-г бережет), и иметь в запасе свежую голову и два-три часа свободного времени. Почему? По-опыту — часто после обновления версии WordPress возникает потребность в перенастройке части плагинов и/или внешнего дизайна блога. Так что лучше пусть это случиться, когда вы к этому готовы. К счастью, разработчики ВП — не Дарья Донцова, и такие обновления выходят далеко не каждую неделю.

Совет 4 — Переодевание Администратора.

переодевание админа - защита блога на вордпресс
Взлом сайта в два удара (ака брут-форс) — подбор имени пользователя и пароля методом проб и ошибок.
К сожалению, WordPress изначально создает пользователя с правами администратора с именем пользователя «admin» … и так как большинство людей оставляют это так как есть, опа — и у хакеров уже есть первая часть головоломки. Осталось лишь подобрать пароль, что намного легче.

Меняем эту часть = усложняем задачу хакерам. Как это сделать? Вот пошаговая инструкция того, что нужно сделать: удалить учетную запись администратора по умолчанию и заменить его на новое имя пользователя.
how to delete admin in WordPress
Шаг 1: В админке WordPress, нажмите Users/Пользователи, а затем -> создать нового пользователя. Убедитесь, что он имеет привилегии администратора. Выбирая пароль, помните простые правила: не менее 10 знаков, комбинации букв и цифр, не слова из словаря и т.д. Рекомендую прочитать: как легко придумать и запомнить сложный пароль, и какие пароли нельзя использовать.
Шаг 2: Выйдите и зайдите под новым юзером.
Шаг 3: Нажмите кнопку Users/Пользователи снова, выберите пользователя «администратор» и удалите его. Это должно привести к этой странице:

Если удаляемый админ уже является автором постов, которые вы хотите сохранить — не забудьте выбрать второй вариант, и присвойте эти посты новоиспеченному админу (ну или кому захотите).

Совет 5: Прячем Wp-config.php файл.
прячем конфиг - защита блога на ВордПрессе

Wp-config.php это файл, который содержит в себе все конфигурации сайта. Как ни странно, WordPress ставит Wp-config.php файл в папкu public_html, тем самым делая его открытым. Это не есть хорошо.

К счастью, вы можете легко переместить его в другое место на вашем сайте. Просто откройте папку public_html, а затем перетащить Wp-config.php из папки наружу. Это перемещает файл на один уровень вверх в иерархии. Теперь файл не находится в паблик доступе, но WordPress автоматически ищет (и находит) файл в новом месте.

Путь к файлу меняется из чего-то типа:
/home/user/public_html/wp-config.php
Во что-то типа:
/home/user/wp-config.php

Ну, и на сладкое — задание со звёздочкой:
Если вы хотите ну совсем уж супер-пупер обезопасить свой сайт — измените свой пароль от базы данных таким образом, чтобы он отличался от всех других паролей. Если вы не знаете, как это сделать, обратитесь в тех. поддержку вашей хостинговой компании.

Перечисленные советы (даже если вы реализуете половину из них) значительно обезопасят ваш блог, а в случае взлома — помогут быстро восстановиться. Реализация этих советов не должна превышать 30-40 минут. Так чего же вы ждёте?! Вперёд 🙂
Еще интересного в этом блоге:
Как защититься от СПАМа и откуда берутся письма счастья.
Что можно купить на блошином рынке в Праге?

А какие меры безопасности вы используете? Расскажите в комментариях ниже!

Вам также будет интересно:

Понравилось? Расскажи друзьям!

Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники
  • Пожалуйста! Рад что понравилось,и надеюсь пригодилось)

  • Николай

    очень круто) без воды. спасибо