Как защитить WordPress в 2016 году
Не так давно, я рассказывал о том, как защитить сайт от взломов и вирусов, где немного затронул тему защиты WordPress. После этого мне написало много людей на почту с просьбой рассказать подробнее.
Действительно, в интернете мало информации о том, как защитить WordPress в 2016 году. Поэтому я расскажу подробно о том, как искать и устранять уязвимости WP.
Как хакеры взламывают сайт:
- Заражают компьютер вирусами;
- Получают доступ от почты;
- Подбирают доступы от Админки WP;
- Взламывают аккаунт на хостинге, где расположен сайт;
- Обходят защиту WP.
Как защитить WordPress от взломов
1. Зайдите в Админку WP и перейдите во вкладку «Пользователи» , убедитесь что права Администратора только у вас, иногда хакеры создают дополнительные аккаунты для входа на сайт.
2. Теперь перейдите во вкладку «Внешний вид» > «Темы» и удалите все лишние шаблоны, которые не используете. Иногда заражают соседние темы, либо внедряют новую, где находится вредоносный код. Тоже самое касается и плагинов.
3. Потом устанавливаем плагин AntiVirus — он ищет угрозы в вашем шаблоне и базе данных. Правда он нам нужен что бы проверить только вашу тему на наличие вредоносных скриптов.
Если он отметил красным один из файлов, то вам придется пробежаться по файлу и удалить скрипты <script>, которые скорее всего вредоносные!
4. Сделали проверку? Можете смело удалять данный плагин, он вам больше не понадобиться. Теперь устанавливаем WP Site Protection от SiteGuard — лучший плагин по нахождению вредоносных файлов на хостинге.Если бы не этот плагин, то я бы сидел много часов в поиске вредоносных файлов на хостинге. А так вся процедура заняла 10 минут! Данный плагин отлично находит левые файлы, а ваше дело их просто удалить.
5. (НЕОБЯЗАТЕЛЬНО СТАВИТЬ) При желании можно поставить плагин Sucuri Security — он может проверять сайт на вредоносные коды, менять пароли, останавливать DDOS-атаки, анализирует входы и присылает письма, если кто-то пытается попасть в админку.
6. (НЕОБЯЗАТЕЛЬНО СТАВИТЬ) Если вас взламывают через админку WordPress, тогда можно поставить плагин Lock Down, который ограничивает попытки для входа, а потом блокирует ip на небольшой промежуток времени.
7. Ставим двух этапную авторизацию WordPress, плагин Clef — теперь в админку сайта можно попасть только при наличии телефона под рукой, который будет считывать код и отправлять запросы для входа!Так же рекомендую сделать двух этапную авторизацию на вашей почте. Яндекс и Google точно позволяют сделать это, на счет других я не уверен.
Таким образом установив всего несколько плагинов можно защититься, практический, от любого вида атак. Надеюсь этот мини-мануал будет полезным для тех, кого атакую хакеры.
А я еще такую тему использую, как двойной вход в админку.
Я использую защиту с помощью ограничения доступа к админке по IP адресу. Но теперь и ваши рекомендации буду использовать, спасибо.