Как защитить сайт на WordPress

Как защитить сайт WordPress — 7 проверенных способов

Система управления сайтом WordPress приобретает все большую популярность. Сегодня, свыше 30 % сайтов в интернете работает на Вордпресс. Такую популярность система завоевала за счет своей простоты и удобства. Именно поэтому WordPress стала одной из самых взламываемых CMS. В этой статье Вы узнаете простые способы, как защитить сайт wordpress от взлома, и оградится от внедрения вредоносного кода.

Написать статью я решил после хакерской атаки на свой блог. Подробно о принципе взлома системы я написал в этой статье. После восстановления корректной работы блога, я пришел к выводу о необходимости построения надежной защиты сайта. Все советы, которые озвучены в статье, испытаны мною лично, и не требуют особых знаний в использование CMS WordPress.

1 совет – устанавливайте только проверенные плагины

Первый совет, как защитить сайт – это тщательно проверять устанавливаемые плагины. Перед установкой необходимо проверить количество скачиваний и отзывы о плагине. Это не даст 100% защиты от взлома, но снизит риск от хакерской атаки. Желательно свести количество установленных плагинов к минимуму, дорабатывая сайт путем установки дополнительного кода.

использование плагина на WordPress повышает уязвимость сайта
Использование плагина повышает уязвимость сайта WordPress

В настоящее время, именно через плагины взламывается большинство сайтов WordPress. Сторонний код плагина интегрируется в систему кода сайта, и злоумышленники получают возможность установить вредоносное дополнение. Именно поэтому актуально минимизировать количество установленных плагинов и дорабатывать сайт с помощью php-кода.

Из собственного опыта перечислю те виды плагинов, которые желательно установить на сайт WordPress:

  • Плагины кеширования – для быстрой загрузки страниц сайта
  • Плагин SSL сертификата – для дополнительной защиты передачи информации
  • Плагин AMP страниц – для создания быстрых страниц и повышения ранжирования в Google
  • Плагин защиты от спама
  • Плагин защиты системы от взлома
  • Плагин для SEO оптимизации сайта.

Это минимально – необходимый набор плагинов, устанавливаемый на сайт WordPress, и позволяющий обеспечить его эффективную работу. Про некоторые плагины из этого списка мы поговорим далее.

2 способ – устанавливаем плагин защиты WordPress

Установка плагина защиты помогает значительно повысить защищенность сайта. В первую очередь, плагин защищает от уязвимого кода и файлов. Сканируя систему, он предлагает удалить те фрагменты, через которые можно внедрить вредоносный код. Например, безопасность блога обеспечивает популярный плагин Wordfense.

Wordfense и защита сайта от взлома
Wordfense — один из лучших плагинов по защите WordPress

Плагин Wordfense не обеспечивает полную защиту сайта от взлома, а указывает на потенциальные проблемы системы. Сканируя сайт, Вы находите уязвимости и ненужные файлы в системе. Это один из самых корректных плагинов для защиты, тк он заточен на работу с сайтами WordPress. Стоит учитывать, что плагин создает дополнительную нагрузку на хостинг, поэтому перед установкой необходимо учитывать данный фактор.

3 способ – использование сложного пароля

При входе в систему необходимо использовать сложный пароль. Это аксиома, которую должен знать каждый вебмастер. Для решения этой задачи можно прочитать статью, как создать надежный пароль от компании Google. Главный принцип сложного пароля – это отсутствие какой либо последовательности и большое число символов. Как правило, надежным считается от количество от 12 знаков и букв.

4 способ – ограничение попыток входа на сайт

Один из самых эффективных способов защиты от прямого взлома сайта – это установка плагина, ограничивающего количество попыток авторизации. Благодаря этому, человек, который ввел логин и пароль ограниченное количество раз, теряет доступ к панели входа. Обычно разрешается авторизоваться 3 раза. Вы можете увеличить это числе до 4 или 5.

Ограничение числа авторизаций на WordPress
Вы можете ограничить число авторизаций на WordPress с помощью плагина

Чтобы активировать данную функцию, необходимо установить специальный плагин Limit Login Attempts Reloaded. Установка данного плагина имеет смысл, если Ваш сайт посещают большое количество пользователей в конкурентной тематике и есть опасность взлома со стороны конкурентов. Установка плагина сделает прямой взлом практически невозможным, и защитит сайт на 99 %.

5 способ – скрываем файлы wp-config.php и .htaccess

Еще один популярный путь попадания злоумышленников в систему WordPress – это файлы wp-config.php и .htaccess. Получив доступ к директории без взлома, и внеся небольшие изменения в данные файлы, хакеры могут добавить в систему вредоносный файл. Как правило, изменениям подвергается файл  .htaccess. Взломав этот файл, злоумышленники делают перенаправления на фишинговые сайты или «мусорные» ресурсы.

Самый простой способ защитить от взлома wp-config.php и .htaccess – скрыть их из директории. Если Вы хотите воспользоваться данным шагом, то сначала необходимо сделать резервную копию сайта. После этого, чтобы скрыть файл wp-config.ru внесем в него такую часть кода:

<Files wp-config.php>
order allow,deny
deny from all
</Files>

Чтобы скрыть файл .htaccess в него необходимо добавить код:

<Files .htaccess>
order allow,deny
deny from all
</Files>

После установки данного кода необходимо проверить работу сайта. Если Все сделано правильно, то сайт будет работать в штатном режиме.

6 способ – не использовать бесплатные премиум темы

Еще один важный способ защиты – это отказаться от использования бесплатных «премиум» шаблонов. Очень часто, злоумышленники предлагают бесплатную установку премиум шаблонов на сайт WordPress. Самое безобидное, что может быть в таком шаблоне – это вшитые ссылки на сторонние ресурсы. Однако зачастую, кроме внешних ссылок в таком шаблоне присутствует вредоносный код.

Взлом сайта wordpress через премиум темы
Популярные премиум темы на WordPress

В последнее время такой способ взлома получает все большее распространение. В надежде получить бесплатную премиум тему, вебмастера устанавливают шаблон с вредоносным кодом. В данном случае, все вышеперечисленные способы защиты будут бесполезны и для восстановления необходимо откатить сайт до предыдущего шаблона. Защититься от такого взлома можно только одним способом – устанавливать платные темы только от самих разработчиков.

7 способ защиты – обновлять сайт WordPress

На сайтах WordPress постоянно выходят новые обновления, которые устраняют различные недостатки. Бывают обновления, в которых разработчики совершают ошибки и такие версии WordPress необходимо обновить как можно скорее. Если Вы давно пользуетесь WordPress, то наверняка помните критические ошибки в 3 и 4 версии, исправить которые можно было через установку обновления.

Обновление сайта как способ защиты сайта WordPress от взлома
Обновление сайта WordPress

Можно не устанавливать обновление на Вордпресс сразу после выхода. Подождав некоторое время, почитайте отзывы вебмастеров о работе актуальной версии. Если текущая версия имеет проблемы, то можно не торопиться с установкой. Если устанавливать обновление спусти 2-3 месяца после выхода, это не несет существенного урона сайту. Главное – чтобы текущая версия сайта работала корректно.

Вместо заключения

В статье я озвучил 7 основных способов, как защитить сайт WordPress от взлома. В интернете имеются статьи в которых даются другие способы защиты. Рассмотрим наиболее популярные способы, не вошедшие в данную статью, но требующие рассмотрения. Начнем с наиболее часто встречающего совета – изменение URL адреса для входа в админку.

Данный способ защиты подразумевает дополнительную защиту от прямого взлома, и не способен предотвратить установку вредоносного кода на сайт. Именно поэтому я не рассматриваю его в данной статье. Кроме того, если Вы опасаетесь взлома сайта, рекомендую Вам подробно ознакомиться с двух факторной авторизацией на WordPress.

Установка SSL сертификата. SSL сертификат изначально разработан как способ защиты при совершении денежных транзакций через сайт. Сам сертификат не является способом защиты от установки кода или взлома сайта, а шифрует информацию при передаче данных от пользователя к сайту (и наоборот). В то же время, в настоящее время желательно использовать сертификат для повышения ранжирования в Google и доверия со стороны поисковых систем.

Отключение доступа к панели редактора. Очень популярный совет для защиты сайта вордпресс – это отключить доступ к панели редактора. Считается, что злоумышленники, взломав Ваш сайт, внедрят через редактор вредоносный код. Данный сценарий защиты уже предусматривает взлом сайта, и только ограничивает функционал админки, который нетрудно восстановить. Именно поэтому не вижу необходимости описывать представленный способ как защиту сайта.

Отключение редактора - популярный способ защиты
Отключение редактора в админке WordPress

Теперь Вы знаете, как защитить сайт WordPress от взлома и установки вредоносного кода. Если Вам известны эффективные способы противостоять угрозе, не представленные в обзоре – обязательно пишите в комментариях. Желаю Вашему сайтам бесперебойной работы и надежной защиты от хакерских атак.

Кстати, на моем блоге есть другие интересные статьи про Вордпресс:

SEO продвижение сайта на WordPress

Как создать AMP страницы на WordPress

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.