Привет!
Защита WordPress от взлома или вирусов всегда заключается в осторожности, постоянном обновлении своего программного обеспечения, игнорировании различных мошеннических сайтов и схем и т. д. В этой статье я постараюсь рассказать вам о том, как защитить свой ресурс, который работает под управлением WordPress.
В первой части материала я расскажу об общих правилах безопасности, в конце же мы разберем несколько плагинов, которые помогут повысить уровень защиты вашего проекта. Итак, давайте начинать!
Содержание
10 советов по защите
Я решил оформить эту статью в виде своеобразного чек-листа, куда вы при необходимости сможете заглянуть. Здесь я объясню некоторые принципы повышения безопасности, которые заключаются в конкретных действиях.
Регулярно обновляйте свою операционную систему
Ваш сайт могут взломать из-за огромного количества вирусов на вашем ПК. Если вы используете Windows в качестве операционной системы, то простое обновление компонентов до актуальной версии поможет вам избежать многих проблем.
То же касается и других операционных систем. MacOS или даже GNU/Linux могут содержать уязвимости, о которых знает лишь ограниченное количество людей.
Если вы пользуетесь сайтом со своего смартфона, нужно поддерживать в актуальном состоянии и его.
Используйте антивирусное ПО
К сожалению, многие недооценивают важность антивирусного программного обеспечения. Они просто пускают все на самотек, к ним попадают различные вирусы, троянские программы и т. д. После этого все их данные сливаются в специальные базы.
А вот эти базы может купить или скачать любой желающий. Даже злоумышленник, который задумал напакостить или просто поразвлечься с вашим сайтом или электронными кошельками.
Именно поэтому я рекомендую вам установить себе на компьютер и мобильный телефон антивирусные программы. Даже хотя бы бесплатные. Так риск того, что кто-то вас взломает, существенно снизится.
Не посещайте левые сайты и не вводите там данные
Банальный совет, который многие упускают из виду. Люди просто лазают где хотят, вводят там пароли, которые подходят почти ко всем их аккаунтам. Потом эти пароли опять же попадают в сливные базы, а там их может достать кто угодно.
Не надо посещать подозрительные сайты и уж тем более там что-то вводить.
Установите сложный пароль на WordPress
Еще один довольно банальный совет, который может помочь вам защитить собственный сайт от злых хакеров или мошенников. Если вы в качестве пароля используете свою фамилию и год рождения, все это очень печально и плохо. Любой дурак даже с помощью простой догадки сможет выявить этот пароль и взломать ваш ресурс.
Можно воспользоваться генератором, который встроен в сам WP. Для этого перейдите в меню “Пользователи” – “Ваш профиль”. Далее прокрутите страницу вниз и нажмите на кнопку “Создать пароль” в пункте “Управление учетной записью”.
WordPress сгенерирует сложный пароль, который будет состоять из букв разного регистра, цифр и специальных символов. Не забудьте сохранить куда-нибудь этот пароль. Записать в свой блокнот или разместить в специальную защищенную программу-парольщик.
Установите другой логин
По умолчанию во многих версиях WordPress используется стандартный логин “Admin”. Хакеры знают это и им намного легче подбирать пароли через автоматические приложения-переборщики. Чтобы обломать их намерения, вы можете изменить стандартный логин на какой-то другой.
Для этого необходимо перейти в меню “Пользователи” – “Добавить нового”. В открывшихся полях необходимо заполнить все данные аккаунта, изменив только сам логин. Тут вы можете дать волю фантазии и ввести что-то неоднозначное, состоящее из большого количества символов и т. д.
Но не забывайте, что вам самим придется вводить этот логин при входе в панель управления. Поэтому сильно не увлекайтесь.
После этого вы должны удалить старый аккаунт администратора. Залогиньтесь через новый аккаунт, снова зайдите в меню “Пользователи”, наведите курсор на аккаунт с логином “Admin”, после чего кликните на надпись “Удалить”. Далее нужно подтвердить свои намерения. Все, теперь у вас будет аккаунт с новым логином, который будет сложнее узнать.
Регулярно обновляйте свою версию WordPress
Как и в случае с операционной системой, вы должны поддерживать свою платформу в актуальном состоянии. Каждое обновление может исправлять потенциальные известные уязвимости. Если вы не будете своевременно обновлять WordPress, то велика вероятность, что этими самыми уязвимостями кто-то воспользуется.
В этом случае вам не поможет ни сложный пароль, ни измененный логин. Злоумышленник просто сломает ваш сайт, и если вы не сделали резервные копии, то потратите много времени и нервов на восстановление.
Обновлять эту CMS можно через встроенные инструменты. Когда выходит новая версия, пользователей WordPress всегда уведомляют об этом, предлагая кликнуть на несколько кнопок и сразу же обновиться.
Перед обновлением не забудьте выполнить следующий пункт.
Делайте резервные копии
Если даже вас кто-то взломает и решит “поиздеваться” над вашим ресурсом, то при наличии свежей резервной копии вы сможете быстро все восстановить, сменить пароли от аккаунтов и т. д.
Бэкапы можно делать как при помощи встроенных в хостинг инструментов, так и с помощью различных плагинов. В статье про самые необходимые плагины для WordPress я рассматривал плагин для создания резервных копий.
Этот модуль носит название “UpdraftPlus WordPress Backup Plugin”, его можно установить прямо из каталога WordPress. Часть интерфейса этого плагина переведена на русский язык, поэтому проблем с использованием быть не должно.
Также вы можете поискать другие плагины для создания бэкапов. Их очень много в стандартном каталоге.
Устанавливайте шаблоны и плагины только из достоверных источников
Очень часто вирусы проникают на сайты через паленые версии плагинов и шаблонов. Люди, чтобы сэкономить, скачивают взломанные nulled-версии с разных второсортных форумов или складчин. После этого их чудесным образом взламывают или зашивают код, который вредит пользователям.
Чтобы избежать таких последствий, вы должны четко разделять надежные источники от ненадежных. Nulled-версия может быть надежной в исключительных случаях, в основном авторы таких сборок преследуют собственные интересы.
Поэтому плагины и различные шаблоны лучше скачивать из стандартного каталога WordPress либо же покупать их в известных магазинах вроде того же ThemeForest или WP Shop. Также вы можете скачивать все это с официального сайта WordPress – ru.wordpress.org, там есть все то, что и в каталогах.
Используйте зашифрованное соединение
Если вся информация на вашем сайте будет передаваться через защищенное HTTPS-соединение, то вы можете избежать многих рисков, проблем и последствий. Сайты без SSL сейчас даже поисковики не жалуют.
Они считают, что такие ресурсы могут быть опасны для простых пользователей. Именно поэтому браузеры и поисковые системы помечают сайты без защищенного соединения как подозрительные или небезопасные.
Отсутствие защищенного протокола может быть опасно не только для пользователей, но и для самого сайта, потому что есть очень много уязвимостей, которые работают исключительно через HTTP-протокол. Если на вашем сайте будет корректный SSL-сертификат, то все эти уязвимости просто не будут работать.
Более подробно о том, как установить SSL-сертификат на сайт я рассказывал в отдельной статье. Рекомендую перейти туда и ознакомиться с этим материалом.
Используйте плагины, которые повышают защиту
Самым радикальным и одновременно действенным способом будет установка специальных плагинов, которые дополнительно защитят вашу платформу от взлома, вирусов и различных атак хакеров.
Принцип работы этих плагинов заключается в изменении и добавлении стандартного функционала WP. Например, если ввести правильный логин и неправильный пароль, то WordPress выдаст ошибку, которая напрямую будет указывать на то, что здесь неправильный именно пароль, а логин верный. Таким способом злоумышленники могут узнать ваш логин, даже если вы его поменяли. Им останется просто подобрать верный пароль и все.
С помощью плагинов можно изменять подобные нюансы, например, в случае с формой входа будет изменено информационное уведомление. То есть не будет понятно, что конкретно было введено неправильно: логин, пароль или, вообще, все вместе.
Также многие плагины могут изменять стандартные названия файлов, папок и таблиц в базах данных. Тогда у взломщиков не остается шансов, они просто не будут знать, в какую сторону надо копать.
В общем, функций у таких плагинов достаточно. Я подготовил для вас небольшую подборку. В ней я расскажу о наиболее популярных расширениях.
- Wordfence Security – Firewall & Malware Scan
Отличный плагин, который можно установить прямо из панели управления WordPress. Его же можно скачать с официальных репозиториев.
Это комплексное решение, которое позволяет полностью защитить вашу платформу от всевозможных угроз. Здесь есть инструменты, которые могут изменять стандартный функционал WordPress, делая его более безопасным. Это и изменение названий в файлах, папках, и дополнительная защита в виде улучшенной формы входа.
Также вы можете добавить двухфакторную авторизацию, и пользователь будет вынужден каждый раз вводить код, который будет приходить на мобильный телефон.
Помимо всего прочего, в этом плагине есть встроенный сканер. Используя его, вы сможете сканировать все файлы вашего сайта на наличие вредоносного кода. Однако если вы не устанавливаете плагины и темы из непроверенных источников, то этого вредоносного кода там и не будет.
У этого плагина есть две версии: бесплатная (ее вы устанавливаете из каталога либо же скачиваете с репозиториев WP) и платная (стоит 99 долларов).
Платная версия имеет дополнительные преимущества и расширенный функционал. Но для большей части вебмастеров хватит и базовой версии, там полно крутых инструментов, которые полностью защищают WordPress от всякого рода напастей.
- iThemes Security
Еще один комплексный модуль для WP, который может обеспечить повышенный уровень безопасности. Здесь есть очень много функций, включая изменение логина администратора, смену префиксов в таблицах БД, изменение названий папок, сканер и т. д. Это прямой конкурент предыдущему плагину. В каких-то моментах он его превосходит, в каких-то наоборот.
- All In One WP Security & Firewall
Неплохое расширение, которое имеет много различных функций. Здесь есть инструменты по защите аккаунтов, баз данных, файлов сайта и т. д. Этот плагин также можно установить прямо из каталога WordPress. Достаточно просто перейти в нужный раздел панели управления и ввести его название.
Неплохой особенностью этого модуля можно считать поддержку русского языка. В двух других тоже могут быть переведенные фрагменты, но этот плагин переведен полностью.
Заключение
Чтобы защитить свой проект на базе WordPress, придется серьезно подходить к делу и не допускать каких-то ошибок или просчетов. Важно понимать, что если вы хотите защитить сайт, то нужно в первую очередь позаботиться о безопасности своего рабочего компьютера или устройства, с которого вы работаете.
Также нельзя забывать и про хостинг. Если злоумышленник узнает данные от хостинга сайта, он сможет сделать с ним все, что захочет.
Именно поэтому к безопасности нужно подходить комплексно. В этом случае вы снижаете риск получения вирусов или взлома. Кстати говоря, вопрос безопасности рассматривается в курсе для вебмастеров от Василия Блинова. Также там говорится о методах борьбы с хакерами и взломщиками.
Если вам интересна тема заработка на информационных ресурсах, то я рекомендую перейти по ссылке выше и ознакомиться с курсом. В нем подробно рассказано о том, как создать собственный блог или сайт-статейник под монетизацию. Весь курс разделен на информационные блоки, а сами блоки на уроки. Ученики пошагово проходят уроки и выполняют домашние задания. Также они могут рассчитывать на помощь и консультацию от экспертов или других учеников.
А на этом все. Следите за безопасностью своего сайта и своевременно делайте резервное копирование.
Спасибо за такие дельные советы, очень понравилось. Все таки защита блога или сайта — это важная составляющая развития проекта! Правильно и то что шаблоны и плагины нужно брать из проверенных источников!
Уважаемый, Василий. Мне давно нравится Ваш сайт и то чем Вы занимаетесь. Вы — хороший пример Интересного Блогера! По теме статьи: Мне кажется, что как дополнение, можно сказать: Чтобы не внести вирусы на сайт, особенно Shell.exe, нужно содержать компьютер, с которого входишь на сайт, в чистоте. Был такой печальный опыт.
Желаю Вам творческого успеха и хорошего весеннего настроения. С ув. Сергей М молодой блогер, 61 год, геолог,