Безопасность и защита своего блога на WordPress — важные советы

Как защитить свой блог wordpress от взлома

Реферальные банеры

Доброго времени суток, посетители inetsovety.ru! Сегодня я хочу рассмотреть следующий вопрос: защита блога на WordPress.
Это один из важных вопросов, о решении которого нужно позаботиться сразу же после создания блога на WordPress. Я постараюсь перечислить основные способы защиты блога на WordPress.

Защищаем вход в панель администратора

  1. Данные для доступа в админку. Придумайте сложный пароль для доступа в админку, а также смените стандартное имя админ, на любое другое свое. Для этого создайте нового пользователя с новым именем и установите ему права доступа администратора. После этого выйдите из админки и зайдите под новыми данными. После этого удалите учетную запись админа. Сделав это Вы обезопасите блог от взлома.
  2. Пароли. Не храните пароли от админ панели в браузере. Если Вы используете Total Commander для FTP-доступа к сайту, то тоже не рекомендуется хранить там пароль. позаботьтесь о защите своего компьютера - установите хороший антивирус и файерволл.
  3. Ограничение на количество попыток входа в админку. Установите плагин Login LockDown, который автоматически настроен на ограничение неудачных попыток входа в админку. Дается 3 попытки для ввода данных, после этого доступ к странице будет заблокирован на час.  Подробнее о защите админки https://inetsovety.ru/kak-zashtitit-adminku-wordpress/
  4. Последняя версия WordPress. Используйте последнюю версию движка WordPress, а также не забывайте обновлять плагины до последних версий. Как обновить движок WordPress написано тут.

Скрываем версию WordPress

Установите плагин, который скрывает версию WordPress при просмотре кода страницы. Этот плагин называется Replace WP-Version.  Если не хотите создавать дополнительную нагрузку плагином, то тогда Вам нужно в файле header.php удалить следующую строчку кода:<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />.

Как посмотреть версию движка, который установлен на Вашем сайте. Зайдите в админку и в самом верху перейдите в пункт меню Консоль - Главная. Если Вам предлагают обновиться до новой версии, то не игнорируйте это предложение и уделите пару минут обновлению.

А как узнать какая версия WordPress у любого другого блога? Нужно открыть исходный код страницы анализируемого сайта, нажав комбинацию клавиш CTRL+U и в самом верху найти мета тэг:

<meta name="<a>generator</a>" content="<a>WordPress 3.4.2</a>" >;

Есть два способа скрыть версию движка WordPress.

  1. Установите плагин Replace WP-Version. Все что нужно - установить и активировать его. И он сам скроет информацию о версии вордпресс.
  2. Добавить в файл functions.php небольшой код:
     remove_action('wp_head', 'wp_generator');

Проверяем шаблон блога на уязвимости

На безопасность Вашего блога может повлиять тема, которую Вы скачали из интернета и в которой содержится зашифрованный код. Поэтому следует проверить установленную тему на наличие скрытых кодов плагином TAC.

О том, какие скрытые угрозы вас могут ожидать в бесплатном шаблоне из интернета читайте по ссылке https://inetsovety.ru/skrytye-ugrozy-v-besplatnyh-shablonah/

В админке блога находим раздел Плагины - нажимаем Добавить новый - и в открывшемся окне вводим в строку поиска его название: TAC.

Находим нежелательные ссылки в шаблоне плагином TAC.

Устанавливаем плагин TAC и активируем его. Для открытия страницы плагина, найдите в разделе Внешний вид - нажмите TAC. Откроется страница на которой будут представлены результаты поиска закодированных ссылок по всем установленным темам на сайте. Вот пример темы, в которой найден зашифрованный код "base64_decode" в файле сайдбара.

Плагин для WordPress TAC (Theme Authenticity Checker) для проверки шаблонов Вордпресса на наличие внешних ссылок.

Зашифровали эту ссылку для того, чтобы вы не смогли ее сразу удалить. Расчет идет на то, что вы как новичок, смиритесь с ее наличием. Предлагаю вам самостоятельно разобраться тем, как удалять подобные ссылки. Вопросу как удалить ссылки в шаблоне WordPress посвящена отдельная статья, прочтите ее.

Защита файлов сайта

  1. WP-Security Scan. Данный плагин подскажет, какие уязвимости есть на Вашем блоге и что нужно исправить. Подробнее о плагине WP-Security Scan я напишу в отдельной статье. К примеру, он показывает какие права сейчас стоят на папках и какие должны быть, чтобы обеспечить защиту блога на  WordPress.
  2. Доступ к папкам. Введите в адресную строку по очереди эти адреса
    http://ваш домен/wp-content/
    http://ваш домен/wp-content/plugins/
    По каждой из ссылок должна открыться чистая страница. Если же открывается список фалов или что-то другое, то Вам нужно поменять права доступа к папкам.
  3. Хостинг. Какое отношение к безопасности блога имеет хостинг - скажете Вы. Да самое прямое. На форумах иногда можно встретить темы, в которых люди пишут, что их блог погиб из-за некачественного хостинга, который взломали. Выбирайте для своего сайта сразу качественный и надежный хостинг, который обезопасит Ваш блог от подобных проблем в будущем.

Делайте бэкапы

Не поленитесь и установите плагин WordPress Database Backup, который автоматически делает резервные копии базы данных и отправляет на указанный имейл. Также, если Вы решили доработать стандартный шаблон и сделали кое-какие правки в файлах темы, то потратьте в минуты и скачайте на компьютер папку с обновленным шаблоном. В случае чего, у Вас будет под рукой и архив базы данных и темы, что позволит восстановить блог за пару минут.

Скачайте последнюю версию плагина WordPress Database Backup с сайта wordpress.org. Или через поиск плагинов найдите WP-DB-Backup.

После успешной установки и активации, зайдите в раздел ИнструментыРезервное копирование:

Как сделать архив базы данных с помощью плагина WordPress Database Backup
На странице настроек плагина WordPress Database Backup можно указать дополнительно какие таблицы базы данных сохранять, кроме основных. Сделать резервную копию базы данных и сохранить ее на компьютер или отправить на имейл. А также задать расписание автоматического создания резервной копии базы данных и отправки ее на имейл:

Бэкап базы данных блога с помощью плагина WordPress Database Backup (WP DB Backup)
На установку и настройку плагина WordPress Database Backup у Вас уйдет пару минут, но зато в будущем в случае чего это сохранит Вам кучу нервов и времени.

Надеюсь эти советы помогут Вам сделать свой блог более безопасным. Защита блога на WordPress важна, если Вы не хотите в один день потерять результаты работы и начинать все с чистого листа.

Если Вам известны другие методы защиты блога на WordPress, которых нет в списке, то пишите их в комментариях.

Понравилась статья? Поделиться с друзьями:
Как заработать деньги в интернете
Комментарии: 25
  1. Люда

    Привет) Очень полезные советы :)

  2. Константин Кислов

    Я создал пароль из 25 символов, поставил плагин ограничения количества попыток входа в админку. Остальные методы тоже хороши, но я думаю подобрать 25 символьный пароль за 3 попытки не реально.

    1. Игорь

      Так же плагин для входа в админку стоит, но пароль немного по меньше))))
      И еще одна интересная фишка сделана для взломщиков)))

  3. Александр

    Если блог не сильно раскручен и не имеет высокую посещаемость то и желание его украсть или что то в этом роде мало у кого появляеться

    1. Рашида

      Александр, многие новички так думают и попадаются, нужно с самых первых дней позаботится о защите своего вебресурса.

    2. Станислав

      Уж лучше сразу защитится, чем потом опомнится, когда в твоем блоге уже сидит какая нибудь шняга вроде ссылки на порносайт и следующий за ним БАН поисковых систем или понижение рейтинга с предупреждением в поисковике

  4. Евгения Куварина

    Верные советы, я для защиты кроме всего прочего использую плагин Better WP Security, вернее теперь он называется Ithemes Security, немного сложноват в настройке, но зато закрывает многие уязвимости вордпресс

  5. Persya

    Я, конечно, ещё «чайник», но мне не понятно, если я официально зарегистрировала домен, оплатила хостинг. А блог так легко можно украсть и продать? А как же авторские права?

    1. Виктория (автор)

      В этом случае авторские права наглым образом нарушаются, и Вы имеете право обратиться в суд, а также пожаловаться на вора, его хостеру и регистратору домена.

    2. Александр

      Какие авторские права? На эти права мошенники никогда не обращали никакого внимания

      1. Игорь

        Конечно не обращают, но управу найти можно

  6. alf2012

    Еще рекомендуют в файле .htaccess можно запретить доступ к этому самому файлу. Но это не помешало какому-то гаду внедрить в него вредоносный код мне на сайт ;-)

  7. Данила

    Каждый из этих пунктов, я проделал еще давно, как только начал создавать свой блог. За это время, не поверите, уже было не менее 20 атак. Это много или мало?

    1. Евгения Куварина

      У меня по несколько раз в день, кто то пытается подобрать пароль, но такие пользователи блокируются и мне приходит об этом сообщение. Иногда их очень много, что говорит о том, что защитой блога принебрегать не стоит

      1. Александр

        Защита очень важна иначе пока вы сисе ваш блог уедет и не успеете заметить

  8. Андрей

    Хорошая статья да вот толко в моей теме что то не как и не получается убрать Версию вордпресс нету в шаблоне такого метатега да мало этого ещё и на корневую папку сылка присутствует.
    Неподскажите как можно решить эту проблему?
    Зарание блогадарен!!!

    1. Виктория (автор)

      Напишите мне по через форму обратной связи письмо со ссылкой на сайт, я посмотрю в чем дело.

    2. Александр

      По идее должно быть такое везде, возможно не там ищите

    3. Люся

      Если скрыть версию ВордПресс в коде, движок сможет обновляться? Ведь версия для программы обновления станет неизвестной.

  9. Юлия Андреевна

    Спасибо за советы и плагины! Очень много мошенников, которые хотят украсть хороший уникальный сайт и продать его на бирже сайтов

    1. Люся

      Юлия, речь в статье не идёт о краже/копировании целого сайта. Речь идёт о мерах против взлома сайта.

  10. Юлия Андреевна

    Спасибо за советы и плагины! Очень много мошенников, которые хотят украсть хороший уникальный сайт и продать его на бирже сайтов.

    1. Александр

      И при том каждый день таких мошенников становиться все больше и больше

      1. Игорь

        Это точно и как воровали так и будут воровать, сущность такая))))

      2. Люся

        Что вы подразумеваете, когда говорите о воровстве целого сайта? Скопировать сайт легко

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!:
Нажимая на кнопку "Отправить комментарий", я даю согласие на обработку персональных данных и принимаю политику конфиденциальности. Комментарий появится после проверки. Комментарии, содержащие спам и ненормативную лексику будут удалены!

Этот сайт использует Akismet для борьбы со спамом. Узнайте, как обрабатываются ваши данные комментариев.