6 дополнительных действий к усилению защиты вашего сайта

Примечание: Этот текст может содержать некоторые партнерские ссылки, а это значит, что я зарабатываю небольшую комиссию без каких-либо дополнительных затрат с вашей стороны, если вы воспользуетесь этими ссылками. Спасибо за понимание и поддержку.

В то время как разработчики движка WordPress продолжают совершенствовать систему и с точки зрения повышения безопасности — взломы сайтов на WordPress продолжаются. И чаще всего виновниками этого взлома являются сами владельцы сайтов. Почему? Потому что не находят времени заняться безопасностью своего сайта, или слишком мало времени уделили этому вопросу, или сделали не достаточно много шагов в этом направлении.

Сегодня я хочу дать вам несколько советов — как повысить безопасность вашего сайта на WordPress и усилить его защиту от взлома.

Совет первый — смените ваш логин Администратор

По умолчанию, при создании сайта на WordPress, система присваивает владельцу логин Admin. Об этом знают все, в том числе и хакеры — взломщики. Поэтому первый совет такой: перейдите в раздел Пользователи консоли администратора, создайте новую учетную запись с правами администратора, а свою старую — удалите.

Совет второй — защитить паролем системную папку WordPress —  /wp-admin

Не всегда удобно, если вы туда ходите каждый день. Но скорее всего — нет. А вот хакеру она нужна. Поэтому совет такой: зайдите на хостинг, в Cpanel, и установите пароль для этой папки. Желательно записать его не в компьютере для памяти, а на бумаге, в тетради.

Совет третий — добавьте немного кода в файле .htaccess

Добавьте код в файл .htaccess, который лежит в основной директории вашего WordPress, для запрета выполнения нежелательных сценариев и скриптов типа GLOBAL и REQUEST

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Защитите файл wp-config.php от нежелательных ботов, вставив в конце файла .htaccess такой код:

Order Allow,Deny
Deny from all

Важно! Перед добавлением — сохраните файл .htaccess на свой компьютер.

Советую прочитать еще:  Совет недели: как создать открывающееся окно поиска на сайте

Совет четвертый — удалите файл /wp-admin/install.php

Вообще, во время инсталляции WordPress, система вам об этом уже говорила, но многие просто не замечают этой небольшой подсказки.

Совет пятый — удалить ссылки что вы работаете на CMS WordPress

Этот совет немного спорный: многие считают, что если хакер — действительно хакер, он легко определит, что ваш сайт работает на CMS WordPress, а не на Joomla или DLE. Другое дело — скрыть версию. Вот здесь он может немного помучится. Поэтому, сделайте так: откройте файл functions.php вашего шаблона и вставьте в него такой код:

remove_action('wp_head','wp_generator');

Еще: из коревой папки удалите файлы: readme.html, license.txt

Совет шестой — проверьте правильность разрешений и прав на папки и файлы системы WordPress

Часто и густо владельцы сайтов на WordPress не обращают внимание на то, что отдельным системным папкам присвоены неправильные права на запись. Я регулярно помогаю многим владельцам сайтов, оказываю разные услуги (установка шаблонов и плагинов, настрока файлов и т.д.), имею доступ к их системным папкам и вижу, что, к примеру, на файл .htaccess стоят права не 644, а 777, на папку /wp-content/plugins — права 777 а не 755, и так далее.

Совет такой — загрузите и активируйте плагин wp-security-scan, у него есть страница, где он вам покажет неправильно выставленные права на запись файлов и папок. Исправьте.

Спите спокойно 🙂

Важно! Эта запись может содержать ссылки на плагины, которые к моменту вашего чтения и скачивания могут работать не корректно. Будьте внимательны.

5 Comments

  • · Edit

    ну вот… он не удаляет админа!первую запись. и дажек говорит, что имя не может быть изменено! и графа цветом выделена, как неприкосновенная. Что дальше?

    Ответить
    • Автор · Edit

      5 лет назад, когда была написана эта статья, первый пункт можно было легко сделать.
      Сейчас изменить администратора можно только через сервер.

      Ответить
  • · Edit

    а я даже с первым не справилась. пишет что надо имя пользователя(хотя я его написала), и другой емейл! а у меня ток одна почта, и не хочу новую заводить. Что с этим делать?

    Ответить
    • Автор · Edit

      Через запрос в базе данных, на сервере, в программе phpMyAdmin. Если вы совсем новичок — не советую делать. Оставьте как есть.
      Главное — часто меняйте свой пароль администратора.

      Ответить
  • · Edit

    Совет первый выполнила, а дальше — не для блондинок. Спасибо за информацию, еще учиться и учиться.

    Ответить

Добавить комментарий

Ваш email нигде не будет показан. Обязательные поля помечены *