Сайты, созданные с помощью CMS WordPress, точно так же как и сайты, созданные с помощью любой другой CMS, имеют уязвимости в защите и могут быть атакованы недоброжелателями. Чтобы улучшить защищенность вашего сайта и свести у минимуму риск взлома, можно воспользоваться несколькими простыми приемами.
Содержание
Устанавливайте WordPress не в стандартную папку.
WordPress может работать не только из корневой папки вашего сайта, но и из любой другой.
Избегайте стандартных префиксов баз данных.
Никто не заставляет вас использовать префикс баз данных, предлагаемый по-умолчанию. (Избегайте умолчаний!)
Удалите пользователя Admin или лишите его прав.
Любимый объект атаки – пользователь с именем Admin или с номером 1. Достаточно удалить их – и атаковать будет некого 🙂
Удаляйте все лишние учетные записи пользователей.
Лишние, странные, неизвестные и т.п. пользователи – это почти всегда спамеры или взломщики. Они вам нужны? 🙂
Пароли для ключевых пользователей должны быть надежными.
Чем длиннее и хаотичнее пароль – тем он надежнее. Не экономьте на этом!
Регулярно обновляйте саму CMS, плагины и темы.
Обновления – гарантия защиты от новых уязвимостей или способов взлома.
Удаляйте все неиспользуемые темы и плагины.
Чем больше мусора на сайте – тем легче найти какую-нибудь лазейку.
Задавайте файлам и папкам правильные права.
- Все файлы должны быть с правами 644.
- Все папки должны быть с правами 755.
- wp-config.php должен быть с правами 600.
-
.htaccess должен быть с правами 444.
То есть: наш пользовательский аккаунт может считывать и изменять наши файлы, WordPress (через наш сервер и аккаунт владельца) может считывать и изменять наши скрипты, WordPress может создавать, изменять и удалять файлы и папки, другие пользователи не увидят наши учетные данные для БД в wp-config.php.
Закрывайте папки для просмотра на сервере.
Вы можете либо добавить пустые файлы index.html в папки, просмотр которых хотели бы запретить, либо дополнить файл .htaccess следующей строкой:
Options All -Indexes.
Используйте один из защитных плагинов из первой пятерки.
Например вот эти плагины отлично подойдут для защиты вашего сайта: iThemes Security, Wordfence Security, All In One WP Security & Firewall.
Обязательно делайте регулярное резервное копирование.
Даже если с сайтом что-то случится – у вас всегда будет возможность “вернуться в недалекое прошлое” и восстановить сайт в том виде, в котором он был у вас до того, как вас атаковали.
Регулярно контролируйте работу сайта
Постоянно отслеживайте активность пользователей на сайте, четкость работы сайта и т.п. Любое отклонение – как правило, признак угрозы.
Выполнение этих простых правил позволит существенно увеличить защиту вашего сайта и свести риск взлома к минимуму.