Защищаем
сайт на
WordPress

WordPress защищен






Это мы делаем его незащищенным





Основные методы защиты


Не используйте 'admin' 

для логина




Довольно очевидно, правда?

Очень сложные Пароли,

 пожалуйста



  • Должны содержать прописные и строчные буквы, цифры и символы (например, ! и $)
  • Не используйте одинаковый пароль для всех ваших сервисов (веб-сайт, Twitter, Facebook)
  • Создание супер сложного пароля и его запись лучше, чем иметь тот, который вы можете вспомнить в своей голове.

Не делайте как в "Космических яйцах"

Выбор правильных 
разрешений


НЕ ВСЕ ДОЛЖНЫ ИМЕТЬ ПОЛНЫЙ ДОСТУП


  • Administrator access in WordPress
  • Root access FTP/SSH
  • Full access in Control Panel 


Заблокировать форму
входа


  • Блокирует IP после 3-5 неудачных попыток
  • Отлично подходит для людей, пытающихся вручную взломать вас
  • Plugin - http://wordpress.org/plugins/login-lockdown/

Постоянно обновлять WordPress 

и плагины


  • «Но я боюсь, что могу что-то сломать»
  • WordPress чрезвычайно обратно совместим, если что-то ломается каждый раз, когда вы обновляете, то у вас большая проблема с разработкой.


# Enable all core updates, including minor and major:
define( 'WP_AUTO_UPDATE_CORE', true ); 
add_filter( 'auto_update_plugin', '__return_true' );

add_filter( 'auto_update_theme', '__return_true' );

Внимательно  ставьте плагины


  • Не устанавливать все плагины подряд
  • Обновляйте плагины - авторы плагинов также выпускают обновления безопасности.
  • Проверьте отзывы для плагина - множество обзоров и 5 звезд - хороший показатель
  • Деактивируйте (и удалите) любые плагины, которые вы не используете.


То же самое относится и к темам.





Выберите хороший хостинг

 



Защитите свое окружение


  • Используйте SFTP вместо FTP
    или блокируйте доступ по IP
  • Отключить редактирование файлов в WP
  • Используйте SSL (https)
  • Add .htaccess rules to lockdown files & folders
  • Backup your site

Отключить редактирование файлов в WP


добавит в wp-config.php


// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true ); 
// Disallow file edit and plugins, themes updates
define( 'DISALLOW_FILE_MODS', true );

Robots.txt


User-agent: *
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: */trackback
Disallow: */*/trackback
Disallow: */*/feed/*/
Disallow: */feed
Disallow: /tag/

User-agent: Yandex
Disallow: /cgi-bin
Disallow: /wp-admin
Disallow: /wp-includes
Disallow: /wp-content/plugins
Disallow: /wp-content/cache
Disallow: /wp-content/themes
Disallow: /trackback
Disallow: */trackback
Disallow: */*/trackback
Disallow: */*/feed/*/
Disallow: */feed
Disallow: /tag/
Host: yoursite.com

Sitemap: https://yoursite.com/sitemap_index.xml

Блокирование папок и файлов через .htaccess


wp-content/uploads/.htaccess
<Files *.php>
deny from all
</Files>

<files wp-config.php>
order allow,deny
deny from all
</files> 

<Files wp-login.php>
order deny,allow
Deny from all
# allow access from my IP address
allow from 192.168.5.1
</Files>


Отключить PHP Error Reporting


добавить в wp-config.php

error_reporting(0);
@ini_set('display_errors', 0);




Отключить XML-RPC




Использовать двухфакторную аутентификацию


Сегодня широко используются три типа аутентификации

  • Что-то, что пользователь знает - то есть пароль
  • Что-то пользователь - уникальное (биометрия)
  • Что-то, что у пользователя есть - телефон

Google Two Factor Authentication




Бэкапы, много Бэкапить, постоянно Бэкапить!


WordPress Security

By Alexey Kalyuzhnyi

Source: Steven Jones

WordPress Security

  • 1,352

More from Alexey Kalyuzhnyi