Руководство по безопасности Вордпресс. Какими способами можно повысить безопасность вашего сайта wordpress
8 простых советов по усилению безопасности вашего сайта на WordPress
Любые ваши действия, направленные на повышение безопасности сайта, оправданы. Для любого новичка тема безопасности сайта на WordPress настолько непонятна и сложна, что новичок из-за этого просто старается не думать на эту тему, оправдывая своё бездействие мыслями о том, что его сайт никому не нужен. В плане взлома.
Буквально несколько дней назад один из клиентов моего хостинга написал мне, что получил письмо от Google о том, что его сайт распространяет фишинговые страницы. Фишинг — особый способ мошенничества, когда рассылается спам с ссылками посетить аккаунты и пройти повторную регистрацию. Фактически подставляется «липовая» страница сайта (например, Google, Yahoo, сайты банков и т.д.), где посетителя просят ввести свои логин и пароль для проверки. А реально — идет массовый сбор данных регистрации через мошеннические страницы.
Только не думайте, что этим занимается конкретный человек. Ваш сайт может попасть под атаку специального вирусного скрипта, который может найти «лазейку» и проникнуть на ваш сайт. Сначала это будет PHP-иньекция, с закодированным кодом PHP, который через некоторое время будет автоматически инициирован и загрузит на ваш сайт целую папку с файлами PHP+JS, и превратит ваш сайт в мошеннический.
Вариантов и способов взлома сайта на WordPress — десятки, и каждый день появляются все новые и новые способы, как обойти защиту.
И что очень важно: разработчики системы WordPress знают о удачных попытках взлома системы и выпуская новые обновления WordPress, учитывают новые тенденции хакеров.
И все же — нельзя надеяться только на разработчиков системы WordPress. Вам, как владельцу своего сайта, надо тоже активно заниматься его безопасностью. Для этого существуют в первую очередь, ваши дополнительные действия. Именно ваши. Никто за вас это делать просто так не будет. Можно, конечно, нанять специалиста (например, меня :)), который за определенную плату установит дополнительную защиту вашему сайту. Но. Можно и самому выполнить ряд шагов. Даже новичок, слабо знающий и понимающий систему, может выполнить ряд необходимых действий, которые повысят безопасность сайта.
Сегодня, в этой статье, я хочу дать вам несколько советов: что вам надо делать обязательно с своим сайтом, чтобы повысить его безопасность.
Совет Первый: регулярно делать резервную копию всего сайта
Ваш сайт — это основная директория, которая чаще всего на вашем сервере имеет название: public_html, www, httpdocs и так далее. В этой директории лежат папки системы WordPress: /wp-admin, /wp-content, wp-include. Именно эти папки вместе с файлами вам надо регулярно архивировать и скачивать на свой компьютер. Не забывать делать бэк-ап базы данных. Для этого есть функционал на вашем сервере хостинга, а также есть специальные плагины для бэк-апа базы данных и сайта в целом.
Совет Второй: регулярно делать обновления системы WordPress
Я уже писал об этом, как правильно делать обновления системы. Лучше всего, ждать, когда выйдет версия с тремя числами и никогда не спешить обновляться на версию с двумя числами. Например:
- Не обноляться, когда выходит версия WordPress с номером: 3.4, 3.5, 3.6, 3.7 и т.д.
- Обновляться, когда выходит версия: 3.5.1, 3.5.2, 3.6.1, 3.6.2 и т.д.
Совет Третий: заменить имя пользователя admin на более сложное
Правильней всего — это сделать на сервере в программе phpMyAdmin, с помощью SQL-запроса:
UPDATE wp_users SET user_login = ‘test’ WHERE user_login = ‘admin’;
В примере выше слово ‘test’ — это новое имя администратора. Если вас взламывает человек, он найдет новое имя администратора, если взламывает робот — может не найти.
Совет Четвертый: подключите инструменты Google-инструменты вебмастера или Яндекс.Вебмастер
Эти системы автоматически ведут мониторинг сайта 24 часа в сутки и в случае его взлома и размещения на сайте вредоносного кода — сразу сообщат вам об этом на электронный адрес. В этом сообщении может быть даже указан путь, где лежат файлы вируса.
Совет Пятый: закрыть все папки основной директории от индексирования
Если у вас не закрыты системные папки WordPress от индексирования, тогда любой человек или робот может видеть, какие у вас на сайте стоят, к примеру, плагины. Это плохо. Для того, чтобы закрыть папки от индексирования, достаточно в файл .htaccess в основной директории добавить команду:
#Prevent directory indexingOptions -Indexes
А лучше — создать такие файлы для каждой директории с этой командой.
Совет Шестой: не пользоваться FTP программами для соединения с файлами сайта
Этот совет на тот случай, если ваш компьютер слабо защищен и у вас не стоит лицензионное программное обеспечение антивирусной защиты. Я уже давно отказался от варезных вариантов антивируса и купил лицензию Касперского для 2-х компьютеров. Стоимость такой лицензии — всего 170 украинских грн. на 1 год. Ерунда в сравнении с теми проблемами, которые несет в себе вирус на компьютере.
Совет Седьмой: защитите файл wp-config.php
В этом файле хранятся данные подключения вашей базы данных: имя базы, имя пользователя и пароль. Это очень важная информация, которая должна быть надежно защищена. Варианты защиты файла: добавить ключи аутентификации (пример есть в файле), переместить файл на папку выше, добавить специальный код в файл .htaccess. Обо всех этих вариантах в сети много информации, как это сделать правильно.
Совет Восьмой: использовать новые плагины и темы WordPress из проверенных источников
Много сайтов, которые раздают бесплатно темы и плагины. И примерно 80% таких сайтов раздают их с внедренными кодированными кодами PHP. Поэтому, прежде, чем вы хотите что-то новое скачать, трижды подумайте, насколько надежен источник, откуда вы собрались скачивать новую тему или новый плагин.
Кроме этих восьми советов, добавлю еще несколько строк.
На этом сайте есть подборка моих публикаций на тему безопасности сайта. Советую скачать ее одним файлом в формате PDF. Там вы найдете много полезной информации.
Здесь же, на сайте, есть рубрика под именем Шпаргалки. Там — тоже много полезной информации, и о безопасности в том числе. Советую почитать.
Интернет-магазин Фокстрот — кухонные комбайны киев. Лучший подарок жене.
www.wpfreethemes.ru
Руководство по безопасности Вордпресс - Techbear
Согласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту. Некоторые думают, что сайт в безопасности, потому что он не представляет интереса для хакеров, но это не так. В большинстве случаев для хакеров не имеет значения кому принадлежит сайт, возраст сайта, размер сайта, содержание сайта и так далее. Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла.
Обычно хакеры взламывают сайты для рассылки спама, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации / файлообменника. В большинстве случаев это не направлено лично против владельца сайта, хакерам просто нужны ресурсы для своих дел.
В этой статье вы узнаете, какими способами можно обезопасить сайт, как Вордпресс может быть атакован, как злоумышленники могут получить доступ к сайту, какие признаки у взломанного сайта, что можно сделать, если сайт был взломан и какие плагины для безопасности сайта вы можете использовать.
Содержание:
Насколько безопасен Вордпресс?Почему ваш сайт является целью для злоумышленниковКак хакеры получают доступ к сайтуОсновы безопасности сайтаКак скрыть данные о Вордпресс
- Дополнения в wp-config.php
- Добавьте правила в .htaccess
- Удалите ненужные файлы
- Измените структуру расположения файлов и папок
- Измените имя пользователя по умолчанию
- Удалите пользователя с ID 1
- Измените текст ошибки при входе на сайт
- Измените адрес входа на сайт
- Удалите версию Вордпресс
Лучшие практики безопасности сайта
- Используйте плагин безопасности
- Регулярно сканируйте сайт
- Просматривайте логи доступа
- Проверьте права доступа к файлам и папкам
- Отключите XML-RPC
- Как бороться со спамом
- Используйте двух-факторную авторизацию
- Дополнительные изменения в файле wp-config.php
- Дополнительные изменения в файле .htaccess
- Ограничьте попытки доступа на сайт
- Установите файрвол на сервере
Признаки взломанного сайтаРешение проблем со взломанным сайтомПлагины безопасности Вордпресс
Насколько безопасен Вордпресс?
Принимая во внимание количество Вордпресс сайтов в Интернете и количество атак на них, Вордпресс очень безопасен, но есть но.
Разработчики Вордпресс постоянно работают над устранением найденных уязвимостей, которые могут привести к взлому сайта, и выпускают обновления ядра Вордпресс.
C момента выхода первой версии Вордпресс было выпущено около 2.500 исправлений уязвимостей. Были случаи, когда обновления выходили менее чем через 40 минут после обнаружения уязвимости.
Для максимальной безопасности сайта нужно обновлять ядро Вордпресс по мере выхода новых версий. Можно включить автоматическое обновление, или оставить обновление в ручном режиме.
Правило безопасности №1 — регулярное обновление версии Вордпресс. Другие меры безопасности тоже нужны, но они становятся менее эффективными, если ядро Вордпресс не обновлено.
Почему ваш сайт является целью для злоумышленников?
Вордпресс достаточно безопасен, но дело заключается в том, что вообще все сайты на Вордпресс являются целью для хакеров. Даже абсолютно новый сайт без контента, без трафика, с обновленным ядром может быть взломан хакерами и использован в своих целях.
Все Вордпресс сайты являются целью для хакеров, потому что Вордпресс — очень популярная система, около 30% сайтов мире работают на нем. Хакеры пишут программы (ботов), которые автоматически обходят сотни тысяч сайтов и сканируют их на списки уязвимостей. Чем больше сайтов будет просканировано, тем выше вероятность найти уязвимость и получить какой-то контроль над сайтом.
Считается, что к концу 2017 года около 75 млн. сайтов в Интернете работало на Вордпресс, поэтому вероятность что-то найти достаточно высока.
Молодые сайты обычно менее защищены от атак, потому что многие владельцы думают, что их сайты не представляют интереса для хакеров, хотя на самом деле молодые сайты — одна из целей хакеров.
Большие сайты тоже являются целью хакеров, потому что большой аудитории сайта можно начать рассылать спам.
Как хакеры взламывают сайты?
Когда разработчики пишут код, практически невозможно не оставить какую-то уязвимость в безопасности. Когда хакеры находят эти дыры, они используют их, чтобы взломать сайт.
Другие способы получить контроль над сайтом — использование человеческих ошибок, например, слишком простые пароли, или ненадежный или небезопасный хостинг.
Список основных типов угроз для Вордпресс:
- Межсайтовое выполнение сценариев (XSS, Cross-site Scripting) — хакер внедряет какой-то код на страницу сайта, при загрузке страницы скрипт выполняется на компьютере посетителя.
- SQL внедрения (SQLI, SQL Injections) — SQL запросы исполняются из URL адреса сайта.
- Загрузка файла — файл с вредоносным кодом загружается на сервер.
- Фальсификация межсайтового запроса (CSRF, Cross-Site Request Forgery) — код или запрос исполняется из URL адреса сайта.
- Перебор паролей (Brute Force) — множественные попытки подобрать логин и пароль.
- DoS-атаки (Denial of Servise) — попытка перегрузить и повесить сайт большим количеством трафика от ботов.
- DDoS-атаки (Distributed Denial of Servise) — попытка повесить сайт из разных мест, например, с зараженных компьютеров или роутеров.
- Редирект — используется какая-то уязвимость, которая переадресует запрос к странице на постороннюю страницу, обычно с целью кражи личных данных или спама.
- Кража личных данных (Phishing) — хакеры создают сайт или страницу, которая похожа на какую-то известную страницу или сайт с целью получения логина и пароля пользователя.
- Вредоносный код (Malware) — скрипт или программа для заражения сайта.
- Внедрение файла (LFI, Local File Inclusion) — злоумышленник может контролировать, какой файл исполняется в определенное время по расписанию CMS или какого-то приложения.
- Обход авторизации (Authentication Bypass) — дыра в безопасности, которая позволяет хакерам обходить форму входа и получать доступ к сайту.
- Показ пути к сайту (FPD, Full Path Disclosure) — когда отбражается полный путь к корневой папке сайта, видимы папки, логи ошибок и предупреждений.
- Нумерация пользователей (User Enumeration) — возможность узнать логин пользователей сайта. К URL сайта добавляется запрос ID пользователя, который может вернуть профиль пользователя с его логином. Используется вместе с методом перебора паролей.
- Обход системы безопасности (Security Bypass) — хакеры обходят систему безопасности и получают доступ к незащищенной части сайта.
- Удаленное исполнение кода (RCE, Remote Code Execution) — хакер запускает исполнение кода на сайте с другого сайта или компьютера.
- Удаленное внедрение файла (RFI, Remote File Inclusion) — использование ссылки на внешний скрипт для загрузки вредоносного кода с другого компьютера или сайта.
- Подделка запроса на стороне сервера (SSRF, Server Side Request Forgery) — хакер управляет сервером частично или полностью для выполнения удаленных запросов.
Это основные уязвимости Вордпресс, которые хакеры используют для взлома, в основном при помощи ботов. Боты также могут найти сразу несколько уязвимостей.
Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах Вордпресс, 31,5% уязвимостей в ядре Вордпресс и 14,3% уязвимостей — в темах Вордпресс.
Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity:
Типы уязвимостей WordPress, исследование Wordfence
Типы уязвимостей WordPress, исследование WP WhiteSecurity
Другое исследование WP WhiteSecurity, проведенное на 42.000 сайтах из рейтинга Алекса Топ-1.000.000, говорит о том, что 73,2% сайтов имеют уязвимости из-за необновленной версии Вордпресс.
Как видите, безопасности сайта надо уделить некоторое внимание. Существуют простые и более сложные решения для защиты сайта от угроз, эти решения будут описаны дальше.
Основы безопасности сайта
От безопасности вашего компьютера зависит безопасность вашего сайта. Вредоносное ПО и вирусы могут заразить ваш сайт и десятки тысяч других сайтов.
Эти рекомендации увеличат безопасность вашего компьютера и сайта:
- Установите антивирус на ваш компьютер и регулярно его обновляйте.
- Установите расписание для проверок компьютера на наличие вредоносного ПО.
- Установите или включите файрвол.
- Не заходите на свой сайт в публичных местах, так как данные, которые вы пересылаете через публичный Wi-Fi, могут быть перехвачены злоумышленниками.
- Не используйте небезопасные сети или соединения.
- Используйте надежный хостинг.
- Используйте сложные пароли для входа на сайт. Компьютер подберет пароль из 5 случайных символов за 30 секунд, из 10 случайных символов — за 59 лет. Установите рекомендуемый минимум сложности паролей для других пользователей сайта.
- Подумайте о выключении возможности для пользователей загружать картинки на сайт. Злоумышленник может загрузить скрипт на сайт под видом аватара с названием avatar.jpg.php, который может использовать какую-то уязвимость.
- Используйте безопасный FTP (FTPS) вместо обычного FTP.
- Вместо FTP вы можете использовать SSH (SFTP), так как он безопаснее FTP.
- Давайте доступ к админской или редакторской части только тем, кому вы доверяете.
- Давайте доступ к хостингу и FTP только тем, кому доверяете. Вы можете создать еще один аккаунт с уменьшенными правами и дать доступ к нему.
- Если вы не пользуетесь FTP, удалите или отключите подключения.
- Делайте бекап сайта. Научитесь им пользоваться, чтобы знать, как это работает когда это понадобится.
- Регулярно обновляйте Вордпресс, плагины и темы.
- Не одобряйте непонятные комментарии с бэклинками.
- Используйте популярные плагины с большим количеством установок и частым обновлением.
- Установите SSL сертификат на сайт.
- Используйте CDN, это помогает предотвратить DoS и DDoS атаки.
Как скрыть данные о Вордпресс
Скрытие данных о Вордпресс, например, версии ядра или изменение адреса входа в админку, является еще одним способом увеличить безопасность сайта.
Хотя такие меры не остановят опытных хакеров, они могут остановить неопытных хакеров и ботов. В еще одном исследовании WP WhiteSecurity говорится, что только 8% сайтов было взломано вручную методом перебора паролей, остальные сайты были взломаны ботами автоматическими методами. 41% — через уязвимости в ПО хостинга, 29% — через уязвимости в файлах темы, 22% — через уязвимости в плагинах.
Боты пытаются взломать сайт по заранее определенному алгоритму, и покидают сайт, если взлом по списку уязвимостей не удался. Перебор паролей на странице входа в админку и использование списка уязвимостей версий Вордпресс — обычная практика этих ботов.
Скрытие информации о Вордпресс может помочь в некоторых случаях, но не поможет во многих других случаях, поэтому используйте этот метод вместе с другими инструментами безопасности.
WP-Config.php
Это главный файл сайта, который находится в корневой папке сайта. Добавляйте свои записи в wp-config перед строкой:
/* Это всё, дальше не редактируем. Успехов! */
или
/* That’s all, stop editing! Happy blogging. */
Отключите редактирование php файлов в панели Вордпресс
В панели администратора находится редактор файлов, в котором вы можете редактировать файлы установленных плагинов и тем.
Редактировать файлы тем вы можете в разделе Внешний вид -> Редактор, файлы плагинов в разделе Плагины -> Редактор.
Многие разработчики считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если злоумышленник попадет в админскую часть сайта, у него появится доступ к этим файлам, и ему не придется искать доступ к файлам и папкам сайта.
Другие разработчики считают, что если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.
Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:
Переместите файл wp-config.php
В вашем файле wp-config.php находится много важной информации, которую не должны видеть посторонние. Вы можете переместить этот файл в другое место, чтобы хакеры не смогли найти его в его обычном месте.
Если ваш сайт находится в корневой папке, вы можете безопасно перенести wp-config.php на один уровень вверх.
Или вы можете перенести этот файл в любое другое место, для этого создайте в той же папке новый файл с тем же именем, и вставьте в него этот код:
Замените /путь/к/wp-config.php на ваш адрес к файлу после перемещения.
Измените префикс базы данных
Таблицы базы данных имеют по умолчанию префикс wp_. Вы можете оставить как есть, но тогда у злоумышленника будет на одну вещь меньше, которую ему надо угадать.
Смените префикс на что-нибудь другое, чтобы усложнить задачу хакерам.
Для изменения префикса базы данных надо внести изменения в файл wp-config.php и базу данных. Как это можно сделать.
Добавьте правила в .htaccess
Вы можете добавить эти правила в .htaccess, чтобы скрыть некоторые данные о сайте. Подробнее о файле .htaccess читайте здесь.
Запретите доступ к важным файлам
Вы можете закрыть доступ к критическим файлам wp-config.php, htaccess, php.ini и логам ошибок. Добавьте это правило из Кодекса Вордпресс:
Если у вас есть файл php5.ini или php7.ini вместо php.ini, замените php.ini в первой строке на ваш файл.
Запретите доступ к PHP файлам
В дополнение к предыдущему правилу, ограничьте доступ к php файлам, так как хакеры могут внедрить в них вредоносный код.
Запретите доступ к папке wp-includes
В папке wp-includes тоже находятся важные файлы, которые могут быть использованы для взлома сайта.
Добавьте это правило, чтобы защитить /wp-includes/:
Запретите доступ к панели администратора
Когда хакер получает доступ к странице входа на сайт (по умолчанию /wp-login.php) и пытается подобрать логин и пароль к аккаунту администратора, это называется brute force attack, или атака грубой силой, или атака методом перебора паролей. Ограничьте пользователей, которым разрешено заходить на страницу входа и получать доступ к панели администратора, это уменьшит количество таких атак.
Хотя хакеры попадают на страницу входа с помощью ботов без реального посещения страницы, вы все равно увидите значительное снижение количества атак с перебором паролей, если добавите это правило в .htaccess.
Вы можете запретить доступ нескольким статическим IP адресам:
Строки 1 и 2 перенаправляют посетителя на страницу с ошибкой 404, если они пришли не с адресов, указанных в этом правиле. Это правило не вызывает ситуацию бесконечных редиректов, так что ваш сайт не должен зависнуть.
Замените /путь-к-вашему-сайту/ в двух первых строчках на свой адрес.Замените IP Адрес 1, IP Адрес 2 и IP Адрес 3 на те IP адреса, с которых вы хотите иметь доступ к страницам wp-login.php и wp-admin.
Если вам нужен только один IP адрес, удалите строки 9 и 10, если вам нужно больше адресов, добавьте нужное количество строк.
Не забудьте дополнить или отключить это правило если вы поедете путешествовать, иначе вы попадете на страницу 404.
Если вы или другой пользователь имеете динамические IP (или Мультисайт), используйте следующее правило:
Замените /путь-к-вашему-сайту/ и /ваш-сайт.ru/ на свой адрес.
Хакеры используют ботов, чтобы попытаться попасть в админку Вордпресс. Это правило определяет, что только те пользователи, которые вручную набрали wp-login.php или wp-admin в браузере, получат доступ к этим страницам.
Этот способ не защитит от хакеров, которые вручную набирают адрес страницы входа на сайт, но значительно уменьшит количество брут-форс атак ботов.
Запретите доступ к директориям сайта
Хакер может получить доступ к директориям сайта, если введет в адресной строке полный путь к такой директории.
Например, злоумышленник может увидеть содержимое папки uploads, если введет в адресной строке ваш-сайт.ru/wp-content/uploads/.
Хотя редактировать эти файлы будет невозможно если у вас правильно настроены разрешения, знание где находятся эти файлы может помочь сделать атаку на сайт более успешной.
Чтобы закрыть доступ к директориям сайта, добавьте это правило в .htaccess:
Отключите нумерацию пользователей
Если злоумышленник введёт в строку адреса ваш-сайт.ru/?author=1, он будет перенаправлен на страницу пользователя с ID = 1.
В этом случае хакер будет знать имя пользователя, и ему останется только узнать пароль.
Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей:
Удалите ненужные файлы
После установки Вордпресс можно удалить несколько файлов, которые больше не нужны.
- readme.html
- /wp-admin/install.php
- wp-config-sample.php
В файле readme.html содержится информация об используемой версии Вордпресс. Хакеры могут использовать публичную информацию об уязвимостях используемой версии Вордпресс, чтобы проникнуть на ваш сайт.
Измените структуру расположения файлов и папок
Вордпресс — открытая платформа, информация о которой находится в открытом доступе, поэтому хакеры могут использовать какую-то информацию о Вордпресс для взлома сайта.
Например, они могут посмотреть стандартную структуру расположения файлов и папок, и определить, как они будут пытаться проникнуть на сайт.
Вы можете изменить стандартное расположение файлов и папок на другое, которое вам нравится. Подробнее об этом читайте здесь.
Измените имя пользователя по умолчанию
Когда вы устанавливаете Вордпресс, администратору сайта дается по умолчанию имя пользователя «admin». Вы можете оставить как есть, но тогда злоумышленнику останется только подобрать пароль к этому аккаунту, так как имя пользователя «admin» одно из стандартных имен, которое пробуется хакерами, когда они пытаются попасть на сайт методом перебора паролей.
Когда вы вводите неверный пароль к верному имени пользователя, Вордпресс возвращает сообщение, что пароль неверный. Это дает хакерам понять, что имя пользователя верное.
Если вы используете логин «admin», по ответу страницы входа хакеры могут понять, что пользователь admin существует, и продолжить попытки подбора пароля.
Если вы измените имя пользователя, это добавит трудностей хакерам для проникновения на сайт через подбор логина и пароля. Как изменить имя пользователя в WordPress.
Также вы можете изменить ответ Вордпресс, чтобы при неправильном вводе логина или пароля Вордпресс не сообщал, что именно было введено неверно, — логин или пароль. Я делаю это при помощи плагина Clearfy, но можно это сделать и вручную, об этом читайте далее.
Удалите пользователя с ID 1
При установке Вордпресс создается пользователь с правами администратора с ID=1 по умолчанию. Вы уже знаете об изменении имени пользователя, дополнительной мерой безопасности будет изменение номера id администратора сайта.
Создайте нового пользователя с правами администратора, зайдите на сайт под новым аккаунтом и удалите старого администратора с ID 1.
С другой стороны, некоторым плагинам требуются дополнительные права, которые они не получат, если создать нового пользователя с правами администратора.
Измените текст ошибки при входе на сайт
По умолчанию Вордпресс показывает сообщение с ошибкой, когда посетитель вводит неправильный логин или пароль на странице входа на сайт. Эти сообщения могут использоваться как подсказка, что именно было введено неправильно, — логин или пароль. Чтобы изменить текст сообщения, добавьте эти строки в functions.php. Как добавить изменения в functions.php.
Замените сообщение в строке 3 на свое сообщение.
Измените адрес входа на сайт
Стандартная страница входа на сайт /wp-login.php, вы можете изменить адрес этой страницы на любой другой, например, /garage или /1234.html. Теперь хакеру, перед тем как начать пробовать пароли, придется найти страницу, на которой он может это делать.
Хотя хакер может обойти необходимость посещения страницы для атаки методом перебора паролей, изменение адреса страницы входа значительно уменьшит количество брут-форс атак.
Как изменить адрес страницы входа на сайт читайте здесь.
Удалите версию Вордпресс
Список уязвимостей версий Вордпресс находится в открытом доступе, поэтому удаление информации об используемой версии ПО может увеличить безопасность сайта.
Кроме удаления файла readme.html, вы можете удалить все упоминания о версии ядра Вордпресс, версии скриптов и стилей и тег в фиде RSS.
Плагин Clearfy делает это в несколько кликов; но можно это сделать вручную без помощи плагинов.
Лучшие практики безопасности сайта
Безопасность Вордпресс — это устранение как можно большего количества уязвимостей, так как уязвимость — это пропуск на сайт. Хакеры ищут самый простой способ попасть на сайт. Вордпресс сайты с дырами в безопасности являются для них такой целью. С этим руководством вы можете эффективно отражать 99,99% атак на свой сайт.
Используйте плагин безопасности
Многие или большинство техник, описанных в этом гайде, можно включить в плагинах безопасности. Установите и настройте один из них, это защитит ваш сайт и вам не нужно будет помнить, какие техники вы применили или могли забыть.
Сам по себе Вордпресс достаточно безопасен, если его регулярно обновлять, но хакеры постоянно находят новые уязвимости в ПО. Плагин безопасности поможет защитить ваш сайт, пока разработчики Вордпресс работают над устранением этой уязвимости.
Регулярно сканируйте сайт
После того, как вы установили плагин безопасности, настройте регулярное сканирование. В основном сканирование находится в платных плагинах, но в некоторых бесплатных оно тоже есть, выберите себе подходящий плагин и старайтесь использовать эту функцию.
Без регулярного сканирования уязвимость может пройти незамеченной, это может привести к взлому сайта, но вы об этом можете не узнать.
Вы можете установить частоту сканирования немного меньше, чем частота бэкапа. Если сайт окажется заражен, будет из чего его восстановить. После этого поменяйте пароли и просмотрите логи доступа.
Просматривайте логи доступа
Когда вы устанавливаете сайт на хостинге, в это же время начинают вестись логи событий. Где-то на вашем аккаунте должны храниться логи ошибок и логи доступа.
Их точное расположение зависит от вашего хостинга, если вы не можете их найти, спросите у техподдержки.
Логи доступа — это записи о том, как кто-то получал доступ к сайту, просматривал важные файлы или пытался получить к ним доступ. Если вы будете время от времени просматривать эти события, вы можете обратить внимание на какую-то необычную активность.
Например, если обычные посетители пытались получить доступ к файлам .htaccess или wp-config.php. Если вы увидите, что доступ к этим файлам был получен, это может говорить о том, что ваш сайт взломали.
Если вы будете время от времени просматривать логи событий и заметите что-то странное, вы сможете вовремя отреагировать на изменения.
Проверьте права доступа к файлам и папкам
Многие файлы ядра Вордпресс, тем, плагинов, скриптов или загруженные медиафайлы содержат важную информацию. Дайте этим файлам соответствующие права, чтобы у посторонних не было доступа к этим файлам.
Подробнее о правах доступа читайте здесь.
Отключите XML-RPC
XML-RPC — это API интерфейс, который используется для доступа к сайту через мобильные приложения, для трекбэков и пингбэков и используется плагином Jetpack. Если вы пользуетесь чем-то из этого, то оставьте эту функцию включенной или частично включенной. С другой стороны, XML-RPC может быть использован хакерами для атак с перебором логинов и паролей.
Вместо того, чтобы пытаться подобрать логин и пароль на обычной странице авторизации, где у вас может быть установлен лимит на количество неправильных попыток входа, через этот интерфейс бот может попробовать тысячи комбинаций логина и пароля без всяких ограничений. Чтобы противодействовать таким атакам используйте сложные логины и пароли. Другая проблема в том, что брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за использования всех ресурсов сервера.
Чтобы полностью отключить XML-RPC, добавьте это правило в .htaccess:
Подробнее о XML-RPC читайте здесь.
Как бороться со спамом
Спам на сайте — это намного больше, чем просто надоедливый мусор. Спам может привести к заражению сайта, брут-форс или DDoS атакам. Защита от спама — одна из составляющих безопасности сайта.
Я пользуюсь плагином Kama SpamBlock. Подробнее о спаме читайте здесь.
Используйте двух-факторную авторизацию
Двух-факторная авторизацация — это идентификация через логин и пароль и дополнительная идентификация через е-мейл или смартфон. Для включения двойной авторизации есть бесплатные плагины, например, Google Two-Factor Authentication, Google Authenticator или Duo Two-Factor Authentication.
Дополнительные изменения в файле wp-config.php
В предыдущей секции дополнения в файл wp-config.php относились к скрытию информации о сайте, в этой секции — к общей безопасности сайта. Подробнее о файле wp-config.php читайте здесь.
Смените ключи безопасности
В файле wp-config.php находятся ключи безопасности, с помощью которых шифруется информация, хранящаяся в cookies. Меняйте их время от времени, это разлогинит всех пользователей, включая хакеров, которые могли, например, захватить соединение с браузером.
Вы можете сгенерировать новые ключи безопасности в генераторе ключей Вордпресс, скопируйте их оттуда и вставьте в свой файл wp-config.php:
Используйте SSL
После того, как вы установили SSL сертификат на свой домен, включите его принудительное использование, чтобы все посетители сайта подключались к сайту по безопасному соединению.
Чтобы зашифровать логин и пароль во время передачи их серверу, добавьте эту строку:Чтобы зашифровать приватную информацию во время нахождения в админской части сайта, например, куки сессии, добавьте эту строку:
Добавьте эти строки в файл wp-config.php перед строкой:
После этого добавьте эту запись в файл .htaccess:
Замените ваш-сайт.ru на свой адрес.
Если у вас уже есть стандартная запись, которую добавляет Вордпресс,
то вы можете добавить в эту запись только строки 3 и 4 из первого правила.
Используйте FTPS
Чтобы использовать FTPS через небезопасное FTP соединение, добавьте это правило перед строкой «Это все, дальше не редактируем»:
Используйте SFTP
Чтобы повысить безопасность SSH подключения, вы можете использовать SFTP соединение, если эта функция включена на хостинге.
Выключите режим debug
По умолчанию режим debug выключен и должен быть выключен до тех пор, пока вы не обнаружите ошибки на сайте.
Если вы хотите включить режим debug и отображение ошибок во фронтэнде, замените false на true. Подробнее о режиме debug.
Включите автообновление Вордпресс
Если вы хотите включить автообновление Вордпресс, добавьте это правило:
Или не добавляйте, если хотите сначала протестировать обновления. Подробнее об обновлениях.
Дополнительные изменения в файле .htaccess
В этом разделе дополнительные правила для повышения безопасности сайта. Подробное руководство по .htaccess здесь.
Запретите исполнение php файлов
Если ваш сайт все-таки был взломан, вы можете отключить возможность исполнения вредоносного кода, который загрузили хакеры. Обычно они добавляют код в папку /wp-content/uploads/.
Добавьте это правило, чтобы отключить возможность исполнять php файлы в папке uploads:
Защитите сайт от внедрения вредоносных скриптов
Вы можете запретить внедрение кода в php файлы. Добавьте это правило:
Ограничьте попытки доступа на сайт
По умолчанию Вордпресс не ограничивает количество попыток входа на сайт. То есть, если посетитель ввел неверный логин или или пароль, он может попробовать ввести их еще раз столько раз, сколько захочет. Это дает хакерам возможность перебирать логины и пароли большое количество раз, пока они не подберут верную комбинацию.
Чтобы этого не случилось, установите плагин безопасности, который будет ограничивать количество попыток входа на сайт. Есть отдельные плагины для решения только этой проблемы, например, Limit Login Attempts Reloaded, или Login LockDown, есть большие плагины безопасности, в которых эта функция находится в числе других, например, Wordfence или All In One WP Security & Firewall.
Установите файрвол на сервере
Вы можете установить файрвол на сервере, это защитит сайт и сервер от хакеров еще на подходе. Не путайте файрвол на сервере с WAF (web application firewall), файрволом на сайте, который находится в плагине Wordfence.
Разница в том, что если хакер уже попал на сайт, то остановить его будет трудно, поэтому лучше его остановить на подходе к сайту, то есть на уровне сервера.
Вы можете попробовать установить бесплатный файрвол ConfigServer Security & Firewall. Перед установкой поговорите с техподдержкой хостинга, скорее всего, у вас не будет прав на установку ПО, и, возможно, какой-то файрвол уже установлен на сервере.
Признаки взломанного сайта
1. Постоянная ссылка. Зайдите в Настройки -> Постоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как что-нибудь вроде %postname%. Если ссылка изменилась на %postname%/%, например,
%postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/
значит, ваш сайт взломали.
2. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:
3. Редиректы: Подложные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:или
4. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, статьи и тому подобное. Проверьте все страницы сайта, включая Главную.
5. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.Замените ваш-сайт.ru на ваш адрес.
Вставьте эту строку в поисковик, посмотрите, как поисковик видит ваш сайт. Некоторые взломы меняют заголовок страницы на рекламный мусор. Также поисковики пометят ваш сайт как «содержащий вредоносный код», и понизят его в поисковой выдаче.
6. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.
7. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.
Если вы не знаете, взломали сайт или нет, скачайте весь сайт на компьютер и проверьте его антивирусом.
Решение проблем со взломанным сайтом
Если ваш сайт взломали, в этом разделе вы найдете информацию по очистке сайта от вредоносного кода и его возвращению в рабочее состояние.
Предотвращение заражения проще, чем лечение, поэтому применяйте рекомендации из этой статьи, чтобы не пришлось лечить сайт еще раз.
Плагины безопасности Вордпресс
Wordfence
У этого популярного бесплатного плагина более 2-х миллионов установок и большое количество опций для защиты сайта от атак. Некоторые из полезных опций становятся доступны только после апгрейда. Другой минус бесплатной версии — большое количество рекламы платной версии.
Плагин находится в репозитарии Вордпресс.
iThemes Security
В этом плагине более 30 функций защиты, и еще больше, если вы купите платную версию.
Плагин находится здесь.
All In One WP Security & Firewall
Бесплатный плагин без рекламы, большинство функций работают в пассивном режиме, потребляет мало ресурсов.
Находится здесь.
Sucuri Security
Еще один популярный плагин. Много настроек в бесплатной версии, есть премиум версия.
Находится в репозитарии Вордпресс.
BulletProof Security
Еще один плагин, который вы можете использовать. У этого плагина есть премиум версия, в которой доступен полный бэкап сайта и несколько других опций для повышения безопасности.
Скачать из репозитария.
Defender Security, Monitoring, and Hack Protection
Хороший плагин с простым интерфейсом. Большинство функций доступно только в платной версии.
Скачать можно здесь.
SecuPress
Плагин сканирует сайт на наличие вредоносного кода, блокирует ботов и подозрительные IP адреса. Как и другие плагины. В платной версии доступно больше опций.
Скачивайте здесь.
SiteLock Security
Бесплатный плагин с множеством функций, сканирует сайт на уязвимости с обновлениями в реальном времени.
Скачивается из репозитария Вордпресс.
techbear.ru
11 простых советов по повышению безопасности вашего WordPress сайта
Последние:- 10 Шаблонов Elementor для Бизнеса
- Лучшие дистрибутивы Linux
- Фильтры CSS
- Свойства PADDING и MARGIN и как их использовать
- Операционные системы для Raspberry Pi
Интернет дайджест для вебмастеров и фотографов
- Главная
- Сервисы
- Подбор цвета
- Симулятор зеркалки
- Фотошоп онлайн
- Pixlr
- Queeky
- Sumo Paint
- Psykopaint
- Photo
- Black & White
- My Photo
- Галерея
- Europapark
- Nancy
- Saarbrücken
- Saarburg
- Speyer
- Voelklinger Huette
- Zoo
- Долина Рейна
- Музей техники в Шпайере
- Музей техники в Зинсхайме
- Крепость Kirkel
- Крепость Монклер
- Крепость Саарбург
- Люксембург
- Ukraine
- Краматорск
- Природа
- Природа — 2
- Разное
- Музыка
- Metallica
- Scorpions
- Accept
- Guns N’ Roses
- Queen
- Ария
- Best of Rock
- Кино
- Мультфильмы
- Любовь и голуби
- Обыкновенное чудо
- Олигарх
- Операция «Ы»
- Покровские ворота
- Служебный роман
- Собачье сердце
- Тот самый Мюнхгаузен
- Формула любви
- Чародеи
- Человек с бульвара Капуцинов
- Берегись автомобиля
- Белое солнце пустыни
- Бриллиантовая рука
- Гараж
- Джентльмены удачи
- Зимний вечер в Гаграх
- Кавказская пленница
- Иван Васильевич меняет профессию
- Кин-дза-дза!
- Шерлок Холмс и доктор Ватсон: Собака Баскервилей
- Приколы
- Видео
- Все по-нашему
- Большая разница
- 95 квартал
- КВН
- Книги
- Конопелька
- Откуда буерутся дети.
- Приключения каккашки
- Про крота
- Юнна Мориц
- Фотожабы
- Фотожабы2
- Demotivators
- Demotivators-2
- Demotivators-3
- Demotivators-4
- GIFки
- GIF — Kino
- GIF — Прикол
- hi-tech
- hi-tech3
- WWW.приколы
- raznoe
- raznoe2
- Видео
- Игры
- Billiard-1
- Billiard-2
- Hapland-1
- Hapland-2
- Hapland-3
- Шашки
vavik96.com
Безопасность Wordpress - часть 3
Сайт дня (как попасть): Заброшенные дома Санкт-Петербурга.
Дорогие друзья, это третья часть цикла статей о безопасности WordPress. Вы можете почитать первую и вторую части. По традиции, мой легкий фотомонтаж 🙂 :
Благодаря огромному числу плагинов для WordPress многие моменты в плане безопасности вашего блога можно решить с помощью плагинов. Это дает возможность большому числу пользователей повышать степень защиты своих сайтов без знания технических деталей и редактирования кода и базы данных.
Сегодня я приведу список полезных плагинов для безопасности WordPress. Получилось 25 плагинов. Прошу перед установкой проверять информацию о совместимости устанавливаемого плагина с вашей версией WordPress.
Начнем с плагинов, которые позволяют сканировать и выявлять различные уязвимые места в защите вашего блога WordPress.
1. WP Security Scan
Этот плагин сканирует и проверяет ваш блог на предмет уязвимостей (неверно выставленных правах, простых паролей и т.д.). Кроме этого, плагин WP Security Scan позволяет скрывать версию WordPress, которая используется на вашем блоге. Скачать WP Security Scan.
2. WordPress Exploit Scanner
Как понятно из названия, плагин WordPress Exploit Scanner сканирует блог на предмет эксплойтов. Кроме этого, он сканирует установленные плагины на предмет безопасности. Страница плагина WordPress Exploit Scanner.
3. Maximum Security
Этот плагин сканирует ваш блог на предмет безопасности и выявляет потенциальные уязвимости. Скачать Maximum Security.
4. Paranoid911
Люблю оригинальные названия 🙂 . Что делает Paranoid911? Этот плагин сканирует файлы и базу данных вашего блога на предмет подозрительных изменений, запускается по крону и присылает вам e-mail. Скачать Paranoid911.
Далее я упомяну плагин, который будет запрашивать дополнительный пароль админа.
5. AskApache Password Protect
Это очень интересный плагин, позволяющий повысить степень защиты админки вашего блога. AskApache Password Protect будет спрашивать дополнительный пароль при попытке войти в панель управления. Страница для скачивания плагина AskApache Password Protect.
Теперь очередь антивирусного плагина.
6. AntiVirus
Антивирусный плагин для WordPress. Защищает от вирусов и эксплойтов. Страница плагина AntiVirus.
Следующие плагины посвящены повышению степени защиты логина. Это самая обширная группа плагинов, вы сейчас в этом убедитесь 🙂 .
7. Force SSL
Этот плагин позволяет работать с блогом через шифрованное соединение по протоколу SSL. Не все хостинги поддерживают данную опцию. Скачать плагин Force SSL.
8. Admin SSL
🔥 Кстати! Я решил провести летнюю распродажу и сделать хорошую скидку своим читателям. Только три дня, 26, 27 и 28 июня, мою книгу SEO Винчестер можно купить со скидкой 50%, то есть не за 1830, а всего за 915 рублей. При этом вторую книгу SEO Коллайдер (обычная цена 1960 рублей) вы получаете в подарок. То есть за 915 рублей вы получаете две книги. Суммарная скидка получается 75%. Обе книги я обновил и дополнил в июне 2018. Для получения скидки напишите мне на [email protected] с темой "Лето".Admin SSL позволяет использовать протокол SSL на всех страницах вашего блога, на которых нужно вводить пароль. Скачать Admin SSL.
9. ChapSecureLogin
ChapSecureLogin подойдет в тех случаях, когда хостинг не позволяет использовать SSL. У этого плагина используется другой протокол - Chap. Скачать плагин ChapSecureLogin.
10. Limit Login Attempts
Плагин Limit Login Attempts блокирует злодея 🙂 , если он вводит неправильный пароль 4 раза. Страница для скачивания Limit Login Attempts.
11. Semisecure Login
Плагин Semisecure Login позволяет повышать степень безопасности логина за счет шифрования MD-5. Для полноценной работы этого плагина необходима поддержка Javascript. Скачать Semisecure Login.
12. Login LockDown
Этот плагин нужен для того, чтобы записывать все неудачные попытки входа в панель управления вашего блога. Он фиксирует время, IP и может блокировать пользователя на заданное в настройках время. Скачать плагин Login LockDown.
13. Stealth Login
С помощью плагина Stealth Login можно задать свой адрес страницы логина в админку. Скачать Stealth Login.
14. HTTP Authentication
Этот плагин включает основной модуль HTTP аутентификации сервера Apache и несколько других. Скачать HTTP Authentication.
Теперь очередь плагинов для мониторинга файлов блога.
15. WordPress File Monitor
Плагин WordPress File Monitor присылает вам e-mail в случае подозрительного изменения файлов вашего блога. Скачать WordPress File Monitor.
16. TAC - Theme Authenticity Checker
Этот замечательный плагин позволяет выявить, есть ли в вашей теме WordPress скрытый код или ссылки. Часто в темы вставляются ссылки в виде точек, восклицательных знаков и т.д. Одно дело, когда это ссылка автора или переводчика темы, а другое - когда в тему помещено несколько ссылок на разные сайты. TAC - Theme Authenticity Checker покажет, в каком именно файле и в какой строке находится ссылка. Скачать плагин TAC - Theme Authenticity Checker.
Теперь упомяну плагины для скрытия версии WordPress и изменения дефолного имени admin.
17. Replace WP-Version
Этот умный плагин умеет скрывать версию WordPress, которую вы используете. Скачать Replace WP-Version.
18. WPVN - Username Changer
Этот плагин позволяет сменить имя администратора с дефолтного admin без редактирования базы данных. Скачать плагин WPVN - Username Changer.
Дополнительные плагины для безопасности WordPress.
19. Secure WordPress
Плагин Secure WordPress позволяет скрывать информацию об ошибках на странице логина, скрывает используемую версию WordPress и добавляет файл index.html в папку с плагинами, исключая возможность просмотра списка плагинов. Скачать Secure WordPress.
20. Anti-XSS attack
Полезный плагин для защиты блога от XSS-атак от Максима, автора известного в рунете ресурса о WordPress Maxsite.org. Скачать Anti-XSS attack. Кстати, можете почитать статью Максима Безопасность WordPress. Краткое руководство.
21. WordPress Firewall Plugin
Это своеобразный firewall для вашего блога. Скачать WordPress Firewall Plugin.
Помимо плагинов для безопасности WordPress, я включил в сегодняшний список несколько плагинов для удобного сохранения базы данных. На всякий случай советую сохранять базу данных после каждой публикации, а также раз в месяц сохранять актуальную копию всех файлов вашего блога на dvd, флешках или внешнем жестком диске. А лучше использовать все три варианта, и еще архив можно заливать в Google Документы, с недавнего времени там предоставляется 1 Gb места под хранение файлов.
22. WordPress Database Backup
Это мой любимый плагин WordPress, скажу вам честно 🙂 . Позволяет легко сохранять базу данных вашего блога WordPress одним кликом прямо в панели администратора. Можно настроить плагин так, что архив с базой данных будет автоматически отправляться на ваш e-mail ежедневно или раз в неделю. Страница замечательного плагина WordPress Database Backup.
23. WordPress EZ Backup
Плагин, аналогичный предыдущему. Сохраняет базу данных, можно все настроить по расписанию. Скачать WordPress EZ Backup.
24. WP-DBManager
Этот плагин намного функциональнее предыдущих. Он позволяет не только сохранять базу данных, но и работать с ней - удалять и добавлять таблицы, делать запросы, а также восстанавливать ее. Плагин WP-DBManager создал известный создатель плагинов WordPress Лестер Чан. Я у него как-то брал интервью, которое вы можете почитать на досуге - Международное интервью - Лестер Чан, автор многих популярных плагинов WordPress , lesterchan.net, Сингапур. Чуть не забыл - вот ссылка на страницу плагина WP-DBManager 🙂 .
25. BackUpWordPress
Этот плагин интересен тем, что может сохранять не только базу данных, но и все файлы вашего блога. Страница плагина BackUpWordPress.
Уф-ф-ф, сначала думал, что написание поста займет пару часов, но, как обычно, я так увлекся, что растянул удовольствие на 7 часов 🙂 .
Желаю вам успехов и хорошего настроения!
Глобатор
Постовой (как попасть): Мы поможем вам продать рекламу на вашем блоге
SEO оптимизация WordPress. Часть 1
Новые опции поиска Google в почте Gmail
На десерт предлагаю оригинальное видео - парень фотографировал себя каждый день в течение 8 лет, и сделал видеоролик из всех своих фотографий:
Подпишитесь на рассылку блога с полезными материалами по SEO
Оцените, пожалуйста, статью, я старался :) :
Загрузка...shakin.ru
Плагины для повышения безопасности WordPress блогов. Press WordPress
Один из способов повышения безопасности, является установка плагинов. Есть много таких, которые могут гарантировать безопасность по определенным критериям. В статье описаны наиболее популярные из плагинов для WordPress блогов.
WordPress Database Backup – этот плагин предназначен для резервного копирования Базы Данных WordPress блога. Он делает backup БД и отправляет Вам на email. Также, можно настроить автоматическое резервное копирование, которое настраивается один раз и в дальнейшем не требует от Вас никаких действий. Очень полезный плагин для всех блогов WordPress, особенно если на них хранится много информации.
Semisecure Login – Повышает безопасность, путем md5 – шифрования логина админа на стороне клиента. Обязательное условие – должна быть включена поддержка Java, иначе авторизация будет проходить обычным способом.Force SSL – Замечательный плагин, если Ваш хостер поддерживает работу по SSL протоколу. Позволяет работать блогу WordPress через зашифрованное соединение SSL.WP Security Scan – Плагин для улучшения безопасности блогов WordPress. Он проверяет много параметров безопасности, таких как версия WordPress, на сколько разрешен доступ к файлам, пользователям блога, и многое другое.WP-SpamFree – Один из лучших плагинов по устранению спама. Он отличается от подобных такими качествами:- Исключает автоматически спам на 99%.
- У него есть счетчик, хранящий количество заблокированных спамерских комментариев.
- Есть защита для трекбеков от спама.
- Не так часто обращаяется к БД, как другие плагины.
Replace WP-Version – Это плагин убирает строчку с выводом версии WordPress или заменяет ее. Он поможет повысить безопасность, так как атакующий, не зная версии Вашего блога не сможет определить его уязвимости.
Secure Files – плагин позволяет, другим пользователям, скачивать файлы, находящиеся вне папки Вашего блога. Можно разрешить скачивать только зарегистрированным пользователям. Отлично подходит для предприятий, занимающихся информационными продуктами.
Anonymous Wordpress Plugin Updates – Плагин для анонимной проверки обновления WordPress на сервере. При этом он не отсылает ссылки блога, его плагины и версию WordPress.BackUpWordPress – Делает резервное копирование всего блога: плагинов, БД, файлов и тд. Позволяет настроить автоматизацию backup, восстановить блог из существующей резервной копии, или настроить отправку уведомления. Отличный плагин, если время от времени делать backup блога, то это увеличит процент вашей безопасности, и если злоумышленику удастся сломать блог, Вы всегда сможете его восстановить. Iodized Salt – Плагин не позволяет злоумышленнику использовать ворованные cookies с другими IP – адресами. Он перемешивает хеш cookies с IP– адресами клиентов.Login LockDown – Этот плагин сохраняет IP – адрес и время неудачных попыток входа в админскую часть Вашего блога.www.presswordpress.ru