Если у Вас есть сайт на Wordpress, то данная статья Вам будет полезна. 1) Смените ваш логин При заведении сайта по умолчанию главная учётная запись имеет логин: admin. Для безопасности мы рекомендуем изменить его. После первого входа в административную панель создайте нового пользователя с уникальным логином и дайте ему права администратора. После этого зайдите в панель администратора под новым логином и удалите пользователя admin. 2) Необычный пароль Необходимо использовать сложные пароли, например, такие: ELSHRQC-Tnh2NhCC Такой пароль очень сложно подобрать методом подбора паролей по существующим базам паролей, которые можно скачать в сети интернет. Также мы крайне не рекомендуем использовать online генераторы паролей и случайных цифр, так как сервисы могут сохранять базы созданных паролей. 3) Обновляйте WordPress Очень важно своевременно обновлять CMS WordPress. Разработчики постоянно добавляют новые функции и закрывают найденные уязвимости. 4) Бесплатные шаблоны
Если Вы хотите установить бесплатный шаблон для сайта на WordPress, Вам нужно использоваться доверенные истчоники,например WordPress.org , или проводить установку через сам Wordpress.
Мы не рекомендуем устанавливать бесплатные темы с недоверенных источников. 5) Плагины Мы рекомендуем использовать только включенные на сайте плагины. Отключенные лучше с сайта удалять, так как это потенциальная уязвимость в Вашем сайте. Необходимо устанавливать плагины только из доверенных источников и своевременно их обновлять. 6) Делайте резервные копии Первое правило любого системного админисратора/програмиста/web-мастера - "внес изменения - сделал копию". Не всегда есть возможность быстро определить, что случилось с сайтом, через какой модуль или шаблон произошло внедрение вредоносных скриптов или удаление данных с сайта. Если у Вас есть копия, то сайт можно восстановить за считанные минуты. Средствами панели управления Plesk можно делать резервные копии. Также есть возможность заказать отдельный FTP-сервер для хранения Ваших копий. Эта услуга называется FTP-бэкап. 7) Проверьте свой компьютер на наличие вирусов
Нужно следить не только за своим сайтом, но и за собственным компьютером, с которого Вы управляете сайтом, заходите в панель управления и вносите изменения. У Вас должен быть лицензионный обновляемый антивирус. Если на Вашем персональном компьютере будет находиться вредоносное ПО, то велика вероятность "увода" административных доступов от Вашего сайта, панели управления хостингом и личного кабинета. 8) SFTP это как ФТП, только защищенней. Вся загрузка любых файлов на Ваш сайт должна происходить только через SFTP. С SFTP соединение происходит по защищенному протоколу, и «хакеры» не смогут его перехватить. 9) Небольшая настройка .htaccess
Можно запретить доступ к файлу кофигурации сайта на wordpress, добавив в файл .htaccess в корне сайта следующий код:
<Files wp-config.php>
order allow, deny
deny from all
</Files> 10) Смените префикс у таблиц в базе данных
Этот шаг только для "свежих" установок Wordpress на хостинг. (см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, Вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-то свое, например на название вашего сайта или набор символов. К примеру, $table-prefix=’utugi_’; Как сменить префикс у работающего сайта? Вам понадобится PHPMyAdmin и NotePad++ Вам будет нужно: 1) Зайти в phpmyadmin и выгрузить дамп базы на локальный компьютер. 2) Произвести поиск и замену wp_ на utugi_ (это пример) с помощью NotePad++. 3) Загрузить дамп обратно, предварительно отчистив базу. ВАЖНО!!!: Перед выполнением данных действий сделайте полную копию сайта. 11) Ограничения по IP адресу Если у вас статичный IP-адрес, Вы можете ограничить доступ к административной части сайта, предоставив доступ в административную панель только со своего IP. В файл .htaccess необходимо добавить следующий код:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny, allow
deny from all
allow from ??.???.???.??? ??.???.???.??? - Ваш IP. 12) Запрет отслеживания HTTP заголовка Добавьте в .htaccess эти строки:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F] 13) Защита от SQL-инъекций Это самая часто встречающаяся форма атак на WordPress сайты. Для защиты от SQL-инъекций добавьте в .htaccess эти строки:
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0 - 9A-Z] {0,2})
RewriteRule ^(.*)$ index.php [F.L] А чтобы не мучиться со всем этим, просто поставьте плагин iThemes Security (https://ru.wordpress.org/plugins/better-wp-security/ ). Он поможет Вам сделать все описанное выше, и даже больше.
|