База знаний
Проблема с доступом к серверу
Ошибка 404
Как привязать домен к хостингу
Зачем нужен SSL сертификат
Установка SSL сертификата.

arrow step back Назад
13 Октября 2023

Защита сайта на WordPress

Если у Вас есть сайт на Wordpress, то данная статья Вам будет полезна.  
 
1) Смените ваш логин
 
При заведении сайта по умолчанию главная учётная запись имеет логин: admin. Для безопасности мы рекомендуем изменить его. После первого входа в административную панель создайте нового пользователя с уникальным логином и дайте ему права администратора. После этого зайдите в панель администратора под новым логином и удалите пользователя admin.  
 
 
2) Необычный пароль
 
Необходимо использовать сложные пароли, например, такие: ELSHRQC-Tnh2NhCC Такой пароль очень сложно подобрать методом подбора паролей по существующим базам паролей, которые можно скачать в сети интернет. Также мы крайне не рекомендуем использовать online генераторы паролей и случайных цифр, так как сервисы могут сохранять базы созданных паролей.  
 
 
3) Обновляйте WordPress
 
Очень важно своевременно обновлять CMS WordPress. Разработчики постоянно добавляют новые функции и закрывают найденные уязвимости.  
 
 
4) Бесплатные шаблоны


Если Вы хотите установить бесплатный шаблон для сайта на WordPress, Вам нужно использоваться доверенные истчоники,например   WordPress.org , или проводить установку через сам Wordpress.

Мы не рекомендуем устанавливать бесплатные темы с недоверенных источников.
 
5) Плагины
     
Мы рекомендуем использовать только включенные на сайте плагины. Отключенные лучше с сайта удалять, так как это потенциальная уязвимость в Вашем сайте. Необходимо устанавливать плагины только из доверенных источников и своевременно их обновлять.  
 
 
6) Делайте резервные копии
     
Первое правило любого системного админисратора/програмиста/web-мастера - "внес изменения - сделал копию". Не всегда есть возможность быстро определить, что случилось с сайтом, через какой модуль или шаблон произошло внедрение вредоносных скриптов или удаление данных с сайта. Если у Вас есть копия, то сайт можно восстановить за считанные минуты.  
 
Средствами панели управления Plesk можно делать резервные копии. Также есть возможность заказать отдельный FTP-сервер для хранения Ваших копий.  Эта услуга называется FTP-бэкап.
 
 
7) Проверьте свой компьютер на наличие вирусов 


Нужно следить не только за своим сайтом, но и за собственным компьютером, с которого Вы управляете сайтом, заходите в панель управления и вносите изменения. У Вас должен быть лицензионный обновляемый антивирус. Если на Вашем персональном компьютере будет находиться вредоносное ПО, то велика вероятность "увода" административных доступов от Вашего сайта, панели управления хостингом и личного кабинета.  
 
8) SFTP это как ФТП, только защищенней.   
 
Вся загрузка любых файлов на Ваш сайт должна происходить только через SFTP. С SFTP соединение происходит  по защищенному протоколу, и «хакеры» не смогут его перехватить.
    
 
9) Небольшая настройка .htaccess
 

Можно запретить доступ к файлу кофигурации сайта на wordpress, добавив в файл .htaccess в корне сайта следующий код:
 
    <Files wp-config.php>
    order allow, deny
    deny from all
    </Files>
     
10) Смените префикс у таблиц в базе данных 

Этот шаг только для "свежих" установок Wordpress на хостинг. (см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, Вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-то свое, например на название вашего сайта или набор символов. 
К примеру, $table-prefix=’utugi_’;
 
Как сменить префикс у работающего сайта? Вам понадобится PHPMyAdmin и NotePad++  
Вам будет нужно:
 
1) Зайти в phpmyadmin и выгрузить дамп базы на локальный компьютер.  
2) Произвести поиск и замену wp_ на utugi_ (это пример) с помощью NotePad++.
3) Загрузить дамп обратно, предварительно отчистив базу.
 
ВАЖНО!!!: Перед выполнением данных действий сделайте полную копию сайта.
 
 
11) Ограничения по IP адресу   
 
Если у вас статичный IP-адрес, Вы можете ограничить доступ к административной части сайта, предоставив доступ в административную панель только со своего IP. В файл .htaccess необходимо добавить следующий код:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    order deny, allow
    deny from all
    allow from ??.???.???.???
 
??.???.???.??? - Ваш IP.  
 
 
12) Запрет отслеживания HTTP заголовка
    
    Добавьте в .htaccess эти строки:
 

    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^TRACE
    RewriteRule .* - [F]
    
13) Защита от SQL-инъекций
     
    Это самая часто встречающаяся форма атак на WordPress сайты. Для защиты от SQL-инъекций добавьте в .htaccess эти строки:

    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR]
    RewriteCond %{QUERY_STRING}  _REQUEST(=|\[|\%[0 - 9A-Z] {0,2})
    RewriteRule ^(.*)$ index.php [F.L]
 
А чтобы не мучиться со всем этим, просто поставьте плагин iThemes Security (https://ru.wordpress.org/plugins/better-wp-security/ ). Он поможет Вам сделать все описанное выше, и даже больше.