Чат Telegram
Группа ВКонтакте
Как защитить сайт на WordPress

Как защитить сайт на WordPress

WordPress является самой популярной в мире системой управления контентом. Поэтому безопасность этой CMS является темой большой важности для миллионов вебмастеров. Каждую неделю Google помещает в чёрный список около 20 тысяч сайтов из-за наличия вредоносных скриптов и около 50 тысяч ресурсов из-за фишинга. Если вы серьёзно относитесь к своему сайту на WordPress, то вам следует обратить внимание на рекомендации по безопасности этой системы управления. В этом обзоре я поделюсь основными советами, которые помогут вам защитить ваш сайт на WordPress от хакеров и вредоносных программ.

Регулярно обновляйте WordPress и плагины до последней версии

WordPress - это программное обеспечение с открытым исходным кодом, которое регулярно обновляется. В 2018 году состоялся релиз 5-й версии CMS. По умолчанию WordPress автоматически устанавливает незначительные обновления, но для основных выпусков необходимо вручную запустить обновление из админ-панели.

обновление wordpress

WordPress также поставляется с тысячами тем и плагинов, которые расширяют функционал сайта. Эти плагины и темы поддерживаются сторонними разработчиками, которые также регулярно выпускают обновления. Эти обновления имеют решающее значение для безопасности и стабильности вашего сайта. Вы должны убедиться, что ядро WordPress вашего сайта, плагины и тема обновлены до свежей версии.

Перенесите ваш сайт на надёжный хостинг

Хостинг играет очень важную роль в безопасности вашего сайта на WordPress. Хороший провайдер виртуального хостинга, такой как Beget или Timeweb, принимает дополнительные меры для защиты своих серверов от распространённых угроз. Работающий на сервере антивирусный сканер автоматически проверяет сайты на вирусы и высылает уведомления при обнаружении в файлах подозрительного кода. Ежедневно выполняется резервное копирование.

На виртуальном хостинге вы делитесь ресурсами сервера со многими другими клиентами. Это открывает риск заражения между сайтами, когда хакер может использовать соседний сайт для атаки на ваш. На хороших хостингах все сайты изолированы и взлом одного не повлечёт создание уязвимости для другого.

Установите плагин безопасности для WordPress

Помимо резервного копирования нужно настроить систему аудита и мониторинга, которая отслеживает всё, что происходит на вашем сайте. Это включает мониторинг целостности файлов, неудачные попытки входа в админ-панель, сканирование на наличие вредоносного кода и т.д.

К счастью, за всем этим можно следить автоматически с помощью бесплатного плагина безопасности Wordfence Security - Firewall & Malware Scan. Это самый популярный плагин в своей категории. Он установлен более чем на 2 млн сайтах, регулярно обновляется и совместим со всеми популярными плагинами.

Wordfence Security - Firewall & Malware Scan

Возможности плагина Wordfence Security

  • Брандмауэр веб-приложений выявляет и блокирует вредоносный трафик.
  • Защита от взлома путём ограничения попыток входа в систему, применения надёжных паролей и других мер безопасности входа в систему.
  • Интегрированный сканер вредоносных программ блокирует запросы, содержащие вредоносный код или контент.
  • Сканер вредоносных программ проверяет основные файлы, темы и плагины на наличие вредоносных программ, сомнительных URL-адресов, бэкдоров, SEO-спама, вредоносных перенаправлений и инъекций кода.
  • Проверка сайта на наличие известных уязвимостей и предупреждение о любых проблемах.
  • Проверка безопасности содержимого, сканирование кода файлов, уведомление о наличии опасных URL-адресов и подозрительного содержимого.
  • Live Traffic отслеживание посещений и попыток взлома в режиме реального времени; включая происхождение, IP-адрес атакующего, время атаки и время, проведённое на вашем сайте.

Установите Wordfence Security на свой сайт и вы наверняка будете удивлены количеством попыток его взлома, о которых ранее не могли и подумать.

Ограничьте доступ в админ-панель по IP-адресу

Подбор пароля администратора - очень распространённый способ взлома. Но есть очень простой и при этом очень действенный способ не пустить злоумышленника в админку вашего WordPress-сайта - разрешить доступ в неё только с определённых IP-адресов. На хостинге зайдите в корневую папку вашего сайта, откройте файл .htaccess и добавьте в него следующие строки:

<Files wp-login.php>
Order Deny,Allow
Deny from all
allow from 127.0.0.1
</Files>

Вместо 127.0.0.1 укажите свой IP-адрес или подсеть (пример - 127.0.0. - то есть нужно убрать цифры после последней "точки" в IP-адресе). Узнать ваш IP можно, например, на 2ip.ru. Теперь зайти в админ-панель вашего WordPress-сайта можно будет только с вашего компьютера/провайдера.

Присоединяйтесь к нам в ВКонтакте и в Facebook, чтобы не пропустить новые уроки. А также вступайте в наш чат PHP-разработчиков в Telegram.
Об авторе
Артём Ивашкевич
Артём Ивашкевич
Занимаюсь программированием более трех лет, работаю над проектами с миллионной посещаемостью. В свободное время обучаю программированию на PHP других людей, потому что мне это нравится. Если вы интересуетесь темой IT и хотели бы стать разработчиком, рекомендую прочитать статью о том, как я стал программистом.
Онлайн обучение PHP
Путь с полного нуля до джуниора!
Начать бесплатно
Курс программирования на PHP
Подготовка до уровня устройства на работу!
Начать бесплатно
Самый понятный курс PHP
Онлайн-уроки в удобное время!
Начать бесплатно
Онлайн-курсы PHP и MySQL
Обучение с полного нуля до уровня джуниора!
Начать бесплатно
loader
Онлайн-курсы PHP и MySQL
Обучение с полного нуля до уровня джуниора!
Начать бесплатно
loader
Логические задачи с собеседований