6 способов защиты сайта на WordPress

Доброго времени суток! Давайте поговорим о безопасности сайта.
На сегодняшний день одним из распространённых движков для создания сайта является WordPress. Он подкупает своей простотой и огромным функционалом. Но из-за такой большой популярности сайты на WordPress’e часто подвергаются попыткам взлома со стороны злоумышленников. И если вы решили создавать свой сайт на WordPress’e, то обязательно задумывались о различных способах защиты блога от взлома. Рассмотрим некоторые из них.

1 Установка WordPress в отдельную директорию домена и изменение стандартного префикса базы данных

В начале установки есть возможность создать отдельную директорию для инсталляции WordPress.
 Создание отдельной директории для инсталляции WordPress.  Честно не особо уверен, что установка в отдельный каталог защищает сайт от взлома. Так как получить информацию, в какой директории находится сайт, можно просто просмотрев код главной страницы сайта. Но есть преимущество, если в дальнейшем использовать несколько версий сайта.
Придумайте собственное имя для учётной записи администратора сайта. По умолчанию «Admin». Обязательно поменяйте. Доведите пароль администратора по сложности до 100. Почту лучше указать внешнюю, а не привязанную к домену. Почту от сервиса Яндекс или от Google потом можно задействовать для сбора статистики с сервисов.
 Настройки аккаунта администратора при установки WordPress  Сложный пароль и уникальное имя — это залог вашей защиты от взлома перебором.
В дополнительных настройках укажите своё название базы данных и поменяйте её префикс.  Настройки базы данных при установки WordPress  Это все подготовительные действия для защиты сайта по время установки.

2. Сокрытие отображения имени администратора

После установки нужно поменять отображение имени администратора сайта. Так как все записи администратора идут с указанием его имени, а мы специально  делали его уникальным, чтобы скрыть от злоумышленников.
Для этого в панели управления сайтом откройте вкладку «Пользователи» и выберите пункт «Все пользователи».  Выбор пункта меню "Все пользователи".  В списке зарегистрированных пользователей выберите учётную запись главного администратора и перейдите к разделу Имя. Обратите внимание, что имя администратора изменить нельзя. Придумайте Ник администратора и выберите его в пункте «Отражать как».  Изменение отображения имени администратора.
Теперь на сайте в качестве имени администратора будет отображаться придуманный Ник, а не имя администратора.

3. Сокрытие входа в панель администратора

Далее, поговорим о специальных плагинах, которые можно применять для защиты сайта от взлома.
Для сокрытия входа в панель администратора используем плагин wSecure Lite. Стандартный вход в панель управления сайтом обычно расположен по адресу http://www.yoursite.com/wp-admin. А с помощью плагина меняем на адрес http://www.yoursite.com/wp-admin/?secret. Где secret это секретное слово, которое указывается в базовых настройках плагина. Для перехода к настройкам плагина wSecure Lite откройте вкладку «Инструменты» главной панели управления сайтом.  Базовые настройки плагина wSecure Lite.  Теперь, чтобы попасть на форму ввода пароля, нужно знать дополнительное секретное слово. Если секретное слово не указано, то происходит переадресация на главную страницу сайта.

4. Двухфакторная аутентификация от Google

Двухфакторная аутентификация — это способ защиты вашего аккаунта с помощью постоянного меняющего цифрового кода. Для того чтобы войти в аккаунт необходимо знать не только логин и пароль, но и цифровой код, доступный через специальное мобильное приложение.
Для добавления двухфакторной аутентификация от Google надо установить приложение Google Authenticator на смартфон и специальный плагин Google Authenticator на ваш сайт. При настройке плагина будет сгенерировано секретное слово и QR код.  Настройки плагина Google Authenticator.  Введите в мобильное приложение секретное слово или просканируйте смартфоном QR код. После чего приложение станет генерировать цифровой код для входа на сайт. Теперь форма авторизации пользователя будет выглядеть следующим образом.  Форма авторизации пользователя.

5. Плагины iThemes Security и Wordfence Security

Плагины iThemes Security и Wordfence Security являются самыми распространёнными плагинами для защиты сайта от взлома. Они обеспечивают комплексную безопасность вашего сайта на WordPress’e, включая:

  • проверку пароля на сложность;
  • блокировка нежелательных IP адресов;
  • сканирование файлов на изменение;
  • сканирование файлов на вредоносный код;
  • ограничение неудачных попыток ввода логина и пароля;
  • резервное копирование файлов (платная версия);
  • двухфакторная аутентификация (платная версия) и многое другое.

Настройка плагинов iThemes Security и Wordfence Security это отдельная тема для разговора. Поэтому просто укажу, что плагинами нужно пользоваться хотя бы с базовыми настройками по умолчанию.

6. Резервное копирование сайта

Резервирование сайта один из способов защиты сайта не только от злоумышленников, но и от самих себя. Есть несколько различных вариантов резервирования:

  • резервирование от хостера;
  • самостоятельное резервирование;
  • резервирование плагином.

Резервирование от хостера как правило проводится в автоматическом режиме один раз в сутки. Но если была атака на ресурсы хостера, то можно лишиться всего.
Самостоятельное резервирование заключается в копировании файлов на локальный компьютер перед выполнением каких-либо действий с сайтом. Удобно, но не в автоматическом режиме.
Резервирование плагином проводится в автоматическом режиме и копии могут сохраняться в различных местах. Например, на электронной почте или облачном диске.  Выбор места для хранения резервной копии.  Хорошим плагином для резервирования сайта на WordPress’e является плагин UpdraftPlus WordPress Backup Plugin. С его помощью можно резервировать только часть файлов сайта или все целиком. Резервную копию удобно сохранять на облачном диске от Google. Если требуется восстановление, то плагин сам восстановит файлы с диска, и дополнительных действий выполнять не надо. А если сохранять резервную копию на электронную почту, то файлы перед восстановлением необходимо предварительно залить на сервер.
С резервным копированием у вас всегда под рукой рабочая версия вашего сайта.
Вот некоторые способы, которые можно успешно применять для защиты сайта на WordPress от взлома. Данные решения не требуют от вас какой-либо подготовки и знаний по программированию сайтов, поэтому доступны для начинающих.
На этом всё. До следующих статей.