Как защитить WordPress в 2016 году

Не так давно, я рассказывал о том, как защитить сайт от взломов и вирусов, где немного затронул тему защиты WordPress. После этого мне написало много людей на почту с просьбой рассказать подробнее.

Действительно, в интернете мало информации о том, как защитить WordPress в 2016 году. Поэтому я расскажу подробно о том, как искать и устранять уязвимости WP.

Как хакеры взламывают сайт:

• Заражают компьютер вирусами;
• Получают доступ от почты;
• Подбирают доступы от Админки WP;
• Взламывают аккаунт на хостинге, где расположен сайт;
• Обходят защиту WP.

Как защитить WordPress от взломов

1. Зайдите в Админку WP и перейдите во вкладку «Пользователи» , убедитесь что права Администратора только у вас, иногда хакеры создают дополнительные аккаунты для входа на сайт.
2. Теперь перейдите во вкладку «Внешний вид» > «Темы» и удалите все лишние шаблоны, которые не используете. Иногда заражают соседние темы, либо внедряют новую, где находится вредоносный код. Тоже самое касается и плагинов.

3. Потом устанавливаем плагин AntiVirus — он ищет угрозы в вашем шаблоне и базе данных. Правда он нам нужен что бы проверить только вашу тему на наличие вредоносных скриптов.

Если он отметил красным один из файлов, то вам придется пробежаться по файлу и удалить скрипты <script>, которые скорее всего вредоносные!

4. Сделали проверку? Можете смело удалять данный плагин, он вам больше не понадобиться. Теперь устанавливаем WP Site Protection от SiteGuard — лучший плагин по нахождению вредоносных файлов на хостинге.Если бы не этот плагин, то я бы сидел много часов в поиске вредоносных файлов на хостинге. А так вся процедура заняла 10 минут! Данный плагин отлично находит левые файлы, а ваше дело их просто удалить.

5. (НЕОБЯЗАТЕЛЬНО СТАВИТЬ) При желании можно поставить плагин Sucuri Security — он может проверять сайт на вредоносные коды, менять пароли, останавливать DDOS-атаки, анализирует входы и присылает письма, если кто-то пытается попасть в админку.
6. (НЕОБЯЗАТЕЛЬНО СТАВИТЬ) Если вас взламывают через админку WordPress, тогда можно поставить плагин Lock Down, который ограничивает попытки для входа, а потом блокирует ip на небольшой промежуток времени.

7. Ставим двух этапную авторизацию WordPress, плагин Clef — теперь в админку сайта можно попасть только при наличии телефона под рукой, который будет считывать код и отправлять запросы для входа!Так же рекомендую сделать двух этапную авторизацию на вашей почте. Яндекс и Google точно позволяют сделать это, на счет других я не уверен.

Таким образом установив всего несколько плагинов можно защититься, практический, от любого вида атак. Надеюсь этот мини-мануал будет полезным для тех, кого атакую хакеры.