Рекомендации по защите сайта на WordPress. Защита сайта на wordpress


Методы защиты сайта на CMS WordPress

Большинство веб-мастеров, которые используют CMS WordPress не задумываются над безопасностью сайта. Основная их забота, это разработать красивый дизайн, настроить формы обратной связи, сделать удобный каталог, найти функциональные плагины и адаптировать сайт под мобильные устройства.

Но о защите задумывается меньше 5% разработчиков. Можно отмахнуться и списать это на проблемы заказчика, но вам не прибавит веса как специалисту, когда его сайт прекратит свою работу вследствии падения базы данных, так как его конкурент заказал на сайт DDoS атаку. Без защиты такой сайт может завалить даже школьник.

Изучив курс, вы научитесь защищать сайт на CMS WordPress и предоставлять услуги защиты вашим клиентам.

Какие проблемы вы можете получить если нет защиты у сайта на Wordpress:
Вирусы

Думаю вам знакома ситуация, когда вы заходите на интересный сайт и после него у вас блокируется доступ к операционной системе и выкидывает порно-баннер. Далее надпись, что для удаления вам необходимо отправить деньги и так далее. Но вопрос? Как вы будете относиться к такому сайту впоследствии. Сайт просто начнет быстро терять постоянных посетителей.

Потеря позиций сайта

Каждый сайт старается набрать свои позиции ТИЦ и PR. Это обеспечивает ему поднятие в поисковой системе. Каждый оптимизатор знает, что внешние ссылки всегда надо скрывать от индексации. Но если ваш сайт взломали, то незаметно для вас расставят такие ссылки по сайту и вы потеряете вес.

Занесение сайта в антивирусные базы

Один из самых сложных и проблемных этапов - это вывод сайта из антивирусных баз DrWeb и Касперский. Если вы были заражены и вовремя не отреагировали, то вас закинут в такую базу. Основная проблема в том, что при заходе на такой сайт у посетителя вылетит предупреждение, что сайт заражен и не рекомендуется его посещать. Вытащить такой сайт из базы очень сложно.

DDOS атака

Если вы не оптимизировали свой сайт, то ваши страницы при каждом запросе создают нагрузку на хостинг. Таким образом, сайт вывести из строя может даже школьник, через увеличения запросов. Особенно не приятно, когда запущена платная реклама в директе, а сайт не работает.

Потеря сайта

Достаточно много случаев, когда хостинг был подвержен пожару и уничтожались сервера. Как следствие - вы теряете свой сайт. Не исключен и человеческий фактор. Ваш клиент решил самостоятельно сделать правки и снес начисто базу данных. Теперь он умоляет вас быстро восстановить сайт, но нет не одной резервной копии.

Внедрение порно банеров

Вы создали сайт и прошло совсем немного времени, когда решили его показать своим сотрудникам или друзьям. Вы кидаете им ссылку с ожиданием, что они будут вас хвалить, но в ответ получаете негативную реакцию. Ваш сайт не просто заразил вирусом их компьютер, но и выкинул целую серию фото порнографического содержания. А ведь рядом может стоять ребенок.

Замена контекстной рекламы

Любой сайт, когда достигает 1000 посетителей в сутки начинает зарабатывать с контекстной рекламы. Но вот задача, вы прекратили получать денежки, но посетители не убавились. Незаметно для вас, вам подменили контекстную рекламу и вы об этом можете не догадываться месяцами.

Использование как спам площадку

Wordpress отличный сервис с кучей плагинов на все случаи жизни. В том числе для рассылки email сообщений по методу СПАМ. Если злоумышленник доберется до вашей системы, то ему хватит пары часов, чтобы разослать с вашего хостинга до 1 мил. сообщений. Вы получите нагрузку на хостинг, попадание сайта в грей листы и прочие санкции.

Как я столкнулся с проблемой защиты у наших учеников.

Я и моя команда онлайн школы визуального веб-дизайна обучили более 250 человек созданию адаптивных сайтов в Wordpress посредством конвертера Webflow to Wordpress. В 2016 году мы активно предоставляли хостинг для проектов и наблюдали за развитием сайтов. Но через некоторое время посыпались вопросы с просьбой проверить работу сайта, так как он выдавал страницу с информацией, что отключена база данных. На проверке оказалось, что многие сайты попадают под DDOS атаку, так как они коммерческие и имеют высокую конкуренцию не только по ключевым запросам и качеству контента, но и по адаптивному дизайну. Как говорится, нет сайта и нет проблем. Поэтому и заказывают DDOS атаку, чтобы не маячил и не портил картину. В итоге - пришла идея создания полноценного курса по защите Wordpress и созданию автоматического, резервного копирования сайта.

При разработке курса необходимо было учесть несколько направлений. Первое - это пассивная защита. В этом разделе стоит поговорить о методах работы с паролями и электронной почтой. Очень большой процент незаконного получения доступа к администраторской панели происходит именно по халатности. Второе - это активная защита. Плагины, скрипты, которые надежно закрывают все этапы доступа к вашему сайту и блокируют атаку. Третье - как сохранить данные. Важный этап, которым многие пренебрегают. Лично со мной не раз случались казусы, когда по причине использования левых плагинов, приходилось вычищать файлы от левых вкраплений. Самый простой способ - восстановить систему из последней копии за вчерашний день. Или сделать копию вручную перед экспериментами или обновление системы. 

Получилось следующее:

Теперь давайте пройдемся по каждому уроку, чтобы у вас было четкое понимание того, что вы получите после прохождения курса «Защита Wordpress».
Урок №1. Базовые навыки

Так как Wordpress ресурсоемкая система, то не каждый хостинг ей подойдет. В этом уроке мы разберем критерии хостинга, как определять сайты на одном Ip, что такое репозиторий Wordpress и почему важно с ним работать.

Урок №2. Защита аккаунта администратора

При установке сайта многие администраторы оставляют базовый логин ADMIN, но поменять в контрольной панели его уже нельзя. Почему это опасно и как его можно заменить.

Урок №3. Блокировка перебощиков

Думаю вы прекрасно знаете, что существуют скрипты, которые могут сутками подбирать пароли к контрольной панели Wordpress. В уроке показано, как вычислять и блокировать такие атаки.

Урок №4. Хотлинкеры

Хотлинкеры это хитрые ребятки, которые не просто воруют ваш контент с сайта (графику и видео), но и привязывают контент с вашего сайта, не перенося его на свой хостинг. У него посещения, а у вас рост трафика и нагрузки на пустом месте. Как это запретить мы изучим в этом уроке.

Урок №5. Блокировка по IP

Важный урок, который я усвоил на всю жизнь. Не стоит надеяться только на плагины, а необходимо самому смотреть аналитику логов на сервере. Вы научитесь вычислять по логам атакующего и блокировать его надежным способом без плагинов Worpdress.

Урок №6. Внешние ссылки и зашифрованный код

Каждый новичок в СЕО оптимизации прекрасно знает, что все внешние ссылки необходимо максимально закрывать от индексации. В противном случае сайт теряет вес и позиции. Я научу вас автоматически отслеживать такие ссылки на вашем сайте. Если вы заказываете темы, то стоит обезопасить себя от левого кода. И это мы тоже изучим в этом уроке.

Урок №7. Контролируем изменение PHP файлов

Если вы не уследили и злоумышленник получил доступ к исполняющим файлам на вашем сайте, то в первую очередь, он сделает вкрапление вредоносного кода. Я покажу как поставить стражника, который 24 часа в сутки будет следить за вашими файлами.

Урок №8. Какие виды DDOS атак существуют

Чтобы понимать, как защититься от самой частой атаки в интернете на Wordpress, необходимо понимать, как это происходит. Это теоретический урок, где мы подробно рассмотрим весь процесс, и что необходимо сделать, чтобы защититься.

Урок №9. Проксирующие сервисы

Настройка фильтрации трафика через проксирующий сервис с заменой NS серверов. Это самый эффективный способ защиты от DDOS атак, который сейчас применяется каждым уважающим себя сайтом.

Урок №10. Кэширование Wordpress

При каждом запросе страницы Wordpress формирует кучу запросов к базе данных и медиа-контенту. Если страница тяжелая, то это создает нагрузку на движок. Но если увеличить эти запросы многократно, то система рухнет. Для это используется кеширование страниц. Этим мы и займемся в уроке.

Урок №11. Ручной бэкап сайта

Если вы решили обновить систему, плагины, перенести сайт на другой хостинг или установить новые сервисы, то стоит научиться делать копию сайта (бэкап) в ручном режиме. В уроке научимся архивировать файлы и базу данных Wordpress.

Урок №12. Автоматический бэкап

Вы можете допустить две самых больших ошибки. Первая - это не делать копии сайтов и после его падения можете создавать новый. Вторая - делать бэкапы, но на своем хостинге и в случае его падения потеряете и сайт и копии. В уроке мы научимся делать копии на стороннее облачное хранилище на полном автомате без вашего участия.

Урок №13. Двойная авторизация

Самое уязвимое место в системе - это панель авторизации администратора. В уроке мы установим двойную авторизацию. Необходимо будет пройти первую систему защиты, чтобы получить доступ к основной панели.

Урок №14. Антивирусная защита

Самое обидное, когда вы попадаете в список антивирусных сервисов DrWeb или Касперского. Посетитель при заходе на сайт получает красное окно с надписью, что ваш сайт заражен и не рекомендуется его посещение. Мы поставим надежную систему антивирусной защиты, которая в случае проблемы сразу даст о себе вам знать.

Урок №15. Основы безопасности при работе с сайтом

Несмотря на все меры безопасности остается одна проблема, при которой хакеры получают 80% доступа. Это человеческий фактор. В заключительном уроке мы разберем, как нужно обезопасить контакты, где хранить пароли, и чем пользоваться при работе с сайтом на Wordpress

Отрывок из урока «Виды DDOS атак»

Я уверен, вам понравится мой стиль преподавания и качество самих уроков. Все уроки записаны на профессиональном оборудовании по принципу скринкаста в программе ScreenFlow. Весь материал четко структурирован и без «воды».

 

После прохождения всех уроков вы сможете поставить защиту на любой сайт под управлением CMS Wordpress и не бояться, что появится очередной клиент, который будет обвинять вас в потере сайта или некачественной работе. Клиенту сложно объяснить, то что вы испортили сайт или поставили там левые ссылки на другие ресурсы. Так как вы разработчик, значит вы допустили оплошность и должны были как минимум принять предупредительные меры защиты.

Как вы будете изучать курс «Защита Worpdress»

Мы стараемся предоставлять качественное обучение с обратной связью. Для этого используется специальный сервис в формате онлайн школы.

 Вам, как разработчику, будет приятно узнать, что услуга по защите Wordpress - довольно востребована и может вами предлагаться заказчику как дополнительная, что позволит вам увеличить стоимость работ и больше зарабатывать. Изучив всю технологию безопасности Wordpress вы как специалист сможете добавлять от 1500 до 5000 рублей к каждой разработке сайта.Доставка курса: Сразу после оплаты вы получите письмо с кодом активации курса и инструкцией для получения персонального кабинета. В кабинете вы сможете всегда связаться со мной по вопросам защиты. Курс постоянно обновляется и вы будете их получать автоматически.

www.sokolovm.com

Защита сайта на WordPress. Средства комплексной защиты сайта Вордпресс

Дорогой читатель, тема этой статьи ˜– защита сайта на WordPress. Из неё ты узнаешь, почему свой веб-ресурс необходимо защищать еще на самой ранней стадии его развития. Было бы ошибочно думать, что твой сайт на WordPress не нуждается в защите и неинтересен для для злоумышленников, и его никто никогда не будут взламывать, ведь у него совсем мало посетителей. Ты наверно удивишься, что ломают сайты совсем по другим критериям.

Виды взломов по целенаправленности.

Нецелевой взлом.

Сейчас не составляет большого труда, купить набор инструментов на хакерских ресурсах и запустить в сеть удочку для поиска своих потенциальных жертв.

Защита сайта на WordPress от хакеров

Скрипты выполнят свою задачу, и любой, даже начинающий хакер, может получить твой незащищённый блог в своё собственное распоряжение. Получив доступ к сайту, хакер может:

Взломав сотни таких слабо защищённых  ресурсов, злоумышленники эксплуатируют их хостинги и «в хвост и в гриву», получая на халяву отличные легальные хостинг-площадки, на которых можно делать ссылки на порно-ресурсы, на нарко-сайты, и вплоть до связи с сайтами запрещённых террористических группировок. За выполненные задачи хакер получает доход от чёрных рекламодателей.

Разумеется, такому взломанному ресурсу уже не выжить, особенно если на сайт будет наложен  фильтр поисковых систем по признаку запрещённых ресурсов. Вот куда может привести обычная беспечность.

Целевой (коммерческий) влом

Это бывает, если твой сайт заказали конкуренты, или  кто-то, кому он мешает жить спокойно.Сайт взломан|Защита сайта на Вордпресс

Меня взламывали с американских айпишников, когда я вёл блог о политике США, Великобритании, Украины и Турции по отношению к России. Даже, когда я устанавливал резервную копию и думал, что всё уже позади, после каждой новой публикацией про действия Украины на Донбассе или о политике канала «Дождь» появлялась табличка от поисковых систем, что мой блог является потенциально опасным. Мне пришлось оставить его и-за тщетных попыток восстановления. На моём сайте неизвестно откуда появлялись вирусы shell 361 и другая нечисть.сайт вредоносен

 

Тогда, я ещё не  понимал реальных угроз взлома и не знал о  действенных способах защиты  сайтов  на WordPress-движке. Я не знал, как защитить мои статьи, которые я писал. На собственном горьком опыте я изучил данную тему. И вот об этом я расскажу дальше в статье.

Как организовать комплексную защиту сайта на WordPress

Самое первое, что ты должен сделать:

Как составить надёжный пароль

Не нужно  придумывать пароли типа мasha1989, ведь это тоже самое, что пароля вообще нет.

Пароли такие запоминать не нужно=). Я, например, записываю их на отдельную флешку  и вставляю её по мере необходимости, когда работаю с сайтом.

Не нужно хранить пароли на компе в папке «Мои пароли». Ты ведь не оставляешь ключи от дома под ковриком, и не пишешь на двери:»Ключи лежат под ковриком». (Хотя раньше, в моём детстве так именно все и делали!)

Если ты пользуешься услугами фрилансеров, где приходится волей-неволей давать доступ к сайту, меняй сразу же все данные от сайта и хостинга без промедления. Велик шанс, что твой исполнитель, оставил себе эти данные «на память» , для удобного случая.

Используйте безопасное VPN-соединение в общественных местах, где есть WiFi-сети, кафе, аэропорты. Тут пароли часто перехватываются снифферами-программами перехвата трафика. Такие программы повсюду продаются недорого в Интернете, например, CommView —  можно купить на сайте www.tamos.com. Очень навороченный сниффер, который используют специалисты для контроля трафика

Защита  сайта на WordPress системе

Перечисленные меры касаются всех сайтов вообще. А теперь перейду непосредственно к защите сайтов на WordPress.

Если ты решил использовать бесплатную тему, пользуйся только официальным репозиторием wordpress.org. Там всё проверено и надёжно. На других свободных ресурсах велик шанс получить в качестве бесплатного приложения к красивой премиум теме вредоносные скрипты, которые могут вообще себя никак не проявлять много месяцев. Но по первому требованию своего хозяина  они  будут использовать ваш сайт для нужд хакера.

All In One WordPress Security and Firewall. В нём есть всё, чтобы хакеры посчитали нерентабельным ломать твой сайт. Там есть инструменты работы со входом в админку и файлом .htaccess. Ты легко затитишь все уязвимые места своего блога на Водпресс. Там всё прозрачно и доступно и главное очень надёжно. Плагин имеет русский язык и понятные настройки по всем позициям безопасности сайта. Хакер даже не сможет обнаружить вход в админпанель сайта, там где указывают логин и пароль.

Посмотри хороший ролик по теме защиты сайта на WordPress

Рекомендую также плагин iThemes Security. Он надёжно закроет все «дыры» сайта и предохранит вордпресс от SQL-инъекций, которые являются надёжной лазейкой в базы данных.

Хорош также плагин Wordfence Security.

А теперь о грустном. Защита  собственного сайта на Вордпресс – задача не из самых лёгких. Ведь этот движок является лакомой добычей для специалистов по взлому. Хакеры ломают даже сайты Пентагона. Поэтому, 100% гарантий по безопасности твоего сайта эти рекомендации не обеспечивают. Но выполнение их является серьёзным препятствием на пути массового нецелевого взлома.

Тебе же рекомендую иметь чистые резервные копии сайта и баз данных. Храни их на отдельном носителе и держи свой ПК в чистоте с помощью антивирусных программ.

Защита сайта WordPress от спама

Эту проблему решает установка плагина Akismet. Обычно он уже предустановлен в новых версиях Вордпресс. Тебе остаётся только лишь его активировать. Следуй инструкции и получи лиценезионный код. Это можно сделать совершенно бесплатно.

 Посмотри хороший ролик, как установить и настроить плагин Akismet.

Материал дан в исчерпывающем варианте.

Защита сайта на WordPress от копирования контента

Ты должен знать, что средств от копирования контента не существует, потому что открытый код Вордпресс ещё никто не отменял. Кому уж так необходимо, то  скопирует. Вопрос тут совсем в другом, а именно, в воровстве контента и присвоении себе чужого интеллектуального труда.

Ты уже знаешь, что Яндекс может индексировать твою новую статью, в течение 2-4 недель. Это соблюдается всегда, когда твой блог имеет возраст менее года. За это время твой пост могут украсть и поместить на свой сайт «нечистые на руку» копирайтеры или владельцы других сайтов, ресурсы которых индексируются быстрее.  Ты же в глазах поисковиков, будешь выглядеть, как воришка чужого контента и ничего не сможешь доказать, если не примешь следующие меры:

Что делать, если твой сайт взломали.

  1. Сначала необходимо проверить комп на вирусы, особенно на трояны с помощью двух антивирусов. Как ни странно, все антивирусы специализированы на свой материал.
  2. Сообщи своему хостеру о взломе. Возможно, он даст тебе ответы на все дальнейшие вопросы.
  3. Не пытайся сам лечить файлы и искать вирусы вручную. Ты может быть и найдёшь их, но завтра они появятся снова. Лучше восстанови сайт из  резервной копии той даты, когда было всё нормально.
  4.  Поменяй все пароли на более сложные: и к админке сайта и хостингу и базам.
  5. Обнови версию Вордпресс.
  6. Проверь свой сайт на наличие хакерских скриптов средствами (AI-BOLIT, ClamAv, LMD).  Возможно скрипты «живут» на твоём сайте постоянно, но проявляют себя неожиданно по требованию «хозяина».
  7. Пусть хостер даст тебе логи, разберись, когда произошёл взлом, через какую уязвимость. Если сам не сможешь разобраться, обратись к специалистам. Их можно найти на фрилансе совсем недорого. Твоя цель – закрыть все «дыры».

Выводы:

Если ты хочешь обеспечит профессиональную защиту своего сайта на WordPress и зарабатывать на защите других веб-ресурсов, то могу предложить тебе оригинальный видеокурс А. Борисова

«Тотальная защита Вордпресс».

Жми на ссылку и учись профессиональной защите сайтов от взлома и воровства.

 

smikhaylov.ru

Защита сайта на wordpress от взлома

В предыдущей статье Защита сайта на wordpress от взлома (часть первая) мы начали подробно разбирать настройку плагина All In One WP Security. Продолжим.

Настройка плагина All In One WP Security: User Registration Settings.

Настройка плагина All In One WP Security: User Registration Settings.

Рис.1 Настройка плагина All In One WP Security: User Registration Settings.

В этом меню есть две вкладки: Manual Approval  и Registration Captcha

Manual Approval — если на вашем сайте регистрируются пользователи, то в этой вкладке вы можете установить галочку для ручной проверки вновь зарегистрированных пользователей. Т.е. новый пользователь не сможет войти в систему, до тех пор пока вы не дадите «добро». Список новых пользователей будет отображаться  в таблице ниже.  

Registration Captcha - на этой вкладке вы включаете captcha на форме регистрации пользователя.

Настройка плагина All In One WP Security: База данных

Настройка плагина All In One WP Security: База данных

Рис.2 Настройка плагина All In One WP Security: База данных

Меню имеет две вкладки: DB Prefix и DB Backup

DB Prefix — здесь вы должны изменить префикс вашей базы данных. Для чего это надо? Дело в том, что структура базы данных WordPress хорошо описана и злоумышленники часто пытаются получить контроль над определенными таблицами с помощью SQL-инъекций. Для того, чтобы это сделать, злоумышленник должен знать имя таблицы. а так имена таблиц стандартны и имеют префикс «wp_», то это облегчает ему задачу. Наша цель как раз этот префикс изменить на другой, который будете знать только вы. Вы его можете придумать сами или с генерировать.

DB Backup —  на этой вкладке вы можете в ручную создать резервную копию БД и настроить автоматическое резервное копирование вашей базы данных. Я настоятельно вам рекомендую это сделать.

Частота создания бэкапов — Какую выбрать частоту создания резервных копий? Все зависит от вашего сайта. Если у вас на сайте каждый день добавляется информация — каждодневная резервная копия, если раз в неделю — еженедельная.

Количество бэкапов для хранения — здесь вы определяете, сколько резервных копий у вас будет храниться в директории wp-content/aiowps_backups/.  Поставьте четыре.

Пересылать бэкап на Email — обязательно ставим галочку и указываем свой Email. После этих действий, резервные копии будут отправляться вам на почту. Вы знаете поговорку, которая нам не рекомендует хранить все яйца в одной корзине — это как раз об этом.

Настройка плагина All In One WP Security: Файловая система

Настройка плагина All In One WP Security: Файловая система

Рис. 3 Настройка плагина All In One WP Security: Файловая система

В этом меню четыре вкладки: File Permissions, PHP file Editing, WP file Access, Host Sysytem Logs

File Permissions -  плагин проведет сканирование файлов и директорий WordPress на разрешение доступа к ним.  В случае неправильной настройки — плагин предложит вам выполнить определенные действия по настройке.

PHP file Editing — на это вкладке вы можете запретить редактировать php файлы через административную панель. Я не включил это опцию, т.к. бывает гораздо удобнее отредактировать файл темы именно через админпанель.

WP file Access — вы можете запретить доступ к файлам  readme.html, license.txt и wp-config-sample.php. Запретив доступ к этим файлам, вы скроете от злоумышленника важную информацию, например версию WordPress.

Host Sysytem Logs — в этой вкладке вы можете посмотреть события системных журналов. Их можно посмотреть и через FTP — как вам удобнее.

Настройка плагина All In One WP Security: WholS Lookup.

Настройка плагина All In One WP Security: WholS Lookup

Рис. 4 Настройка плагина All In One WP Security: WholS Lookup

Эта функция аналогична функции whois в Интернете. Не выходя из административной панели вы можете просмотреть информацию об IP-адресе или домене.

Настройка плагина All In One WP Security: Черный список

Рис. 5 Настройка плагина All In One WP Security: Черный список

Здесь все просто. Если ваш сайт, например,  кто-то пытается взломать (см. All In One WP Security: Авторизация)  ваша задача добавить IP адрес нехорошего человека в черный список. Также, вы можете заблокировать и боты, которые заходят на ваш сайт.

Настройка плагина All In One WP Security: Файерволл.

Настройка плагина All In One WP Security: Файерволл

Рис. 6 Настройка плагина All In One WP Security: Файерволл

Данное меню содержит шесть вкладок: Basic Firewall Rules, Additional Firewall Rules, 5G Blacklist Firewall Rules, Internet Bots, Prevent Hotlinks, 404 Detection

Basic Firewall Rules- активация базовых правил Firewall. Ставим две галочки: «Основные функции брандмауэра» и «Защита от Пингбэк- уязвимости».  Мы не будет подробно останавливаться на описании самой защиты, т.к. вы можете прочитать об этом кликнув по кнопке «Подробнее» возле каждого правила.

Additional Firewall Rules — здесь включаем дополнительные правила Firewall. Ставим все галочки. Описание каждого правила вы можете узнать кликнув по кнопке «Подробнее» .

 5G Blacklist Firewall Rules — ставим галочку.

Internet Bots — на этой вкладке мы включаем защиту от ботов, которые маскируются  под законные боты, например Goole. С помощью таких ботов злоумышленник собирает информацию о вашем сайте и пытается авторизоваться в административную панель. 

Prevent Hotlinks — эта вкладка  позволяет сохранить пропускную способность наших ресурсов. Каким образом? Hotlinks —  это включение в веб-страницу файлов-изображений или других ресурсов с чужого сервера. Например, кто-то скопировал с вашего сайта ссылку на изображение и поставил на свой сайт и при каждом открытии этого изображения на чужом сайте, будет задействованы ваши ресурсы. 

404 Detection — на этой вкладке мы блокируем IP адреса, которые генерируют ошибку 404. Давайте немного остановимся на этом. Например, вы изменили путь доступа к админке с /wp-admin/ на /my-admin/ (см. ниже). Естественно, если злоумышленник будет пытаться зайти по wp-admin ему будет приходить код ошибки 404. Проанализировав все ошибки с кодом 404 вы можете заблокировать определенные IP адреса.

Настройка плагина All In One WP Security: Brute Force.

Настройка плагина All In One WP Security: Brute Force

Рис. 7 Настройка плагина All In One WP Security: Brute Force

Данное меню содержит следующие вкладки: Rename Login Page, Cookie Based Brute Force Prevention, Login Captcha, Login Whitelist, Honeypot

Rename Login Page - на это вкладке вы можете изменить имя страницы для регистрации в административную панель, например  с /wp-admin/ на /my-admin/. Что это дает? Никто, кроме вас, не сможет попасть в админку не зная, что вы заходите через my-admin. ВНИМАНИЕ. Перед включением данной функции сохраните базу данных. У меня, по какой- то причине, не получилось использовать данную функцию, и я не смог зайти в административную панель. Пришлось потрать некоторое время для восстановления. Если у вас появились проблемы и вы не знаете как все исправить пишите в комментариях. 

Cookie Based Brute Force Prevention —  на этой вкладке вы можете ограничить доступ к админпанели всех пользователей у который нет специального куки-файла. Если вы заходите на сайт с разных ПК — не активируйте эту защиту.

 Login Captcha — на этой вкладке вы можете включить Captcha  для входа в административную панель, для входа на сайт обычного пользователя и на форму восстановления пароля. Защита хорошая, но раздражает пользователей. Я отказался включать этот режим защиты.

Login Whitelist - вход в административную панель только с определенных IP адресов. Отличная защита, но она лишает мобильности. Если вы включите эту защиту, то вам надо будет добавить список IP адресов, с которых вы сможете войти. Не используйте эту защиту, если у вас IP адрес не статический.

Honeypot - Это защита от ботов. Работает очень просто. В форму регистрации добавляется скрытое поле, которое обычный пользователь не видит. Но если заходит бот он начинает заполнять все поля. Система защиты построена таким образом, что если скрытое поле заполнено — это бот, и он перенаправляется на локальный адрес  http://127.0.0.1.

Настройка плагина All In One WP Security: Scanner

Настройка плагина All In One WP Security: Scanner

Рис. 8 Настройка плагина All In One WP Security: Scanner

Меню содержит три вкладки: File Change Detection, Malware, Scan DB Scan

File Change Detection — позволяет автоматически настроить сканирование системных файлов на изменение. Очень полезный инструмент, который сразу отправить вам на почту сообщение об изменении файлов. Вы можете указать, какие директории и файлы не сканировать, и\или файлы с каким расширением не сканировать. Если вы только настраиваете ваш сайт — я рекомендую не включать эту защиту.

Вкладки Malware, Scan DB Scan —  к сожалению функция сканирования вашего сайта и базы данных не бесплатны

Настройка плагина All In One WP Security: Режим обслуживания.

Настройка плагина All In One WP Security: Режим обслуживания

Рис. 9 Настройка плагина All In One WP Security: Режим обслуживания

В этом меню вы можете включить блокировку все пользователей к вашему сайту и ввести сообщение, которое они будут видеть. Доступ к сайту будет разрешен только администраторам.

Настройка плагина All In One WP Security: Miscellaneous

Настройка плагина All In One WP Security: Miscellaneous

Настройка плагина All In One WP Security: Miscellaneous

Данное меню содержит две полезные вкладки: Copy Protection, Frames

Copy Protection — поставив галочку вы запретите копировать текст с вашего сайта.

Frames — включает запрет на отображение любой части вашего контента через фрейм.  Frame — отдельный, законченный HTML-документ, который вместе с другими HTML-документами может быть отображён в окне браузера. 

На этом все. Настройте безопасность вашего сайта правильно.

Что ещё почитать?

how.org.ua

Рекомендации по защите Wordpress сайта от вирусов, взлома и злоумышленников

Заражение вирусами и взлом WordPress сайтов - весьма частое явление. Мы убедились в этом на практике, потому что к нам все чаще обращаются с просьбой вылечить и восстановить сайт на Вордпресс.

Мы обратили внимание, что страдают сайты именно тех владельцев, которые не серьезно подошли к вопросу безопасности. Чтобы защитить ваш WordPress сайт, вам необходимо выполнять простые рекомендации, которые мы для вас подготовили.

Почему так важно защитить каждый сайт на хостинге?

Если вы решили серьезно заниматься сайтами, то защитить сайты действительно важно. Придет такой момент, когда приоритет сайта значительно вырастет, и тогда ошибка будет непростительна. Если от сайта будет зависеть успешность бизнеса или ваш доход, то вряд ли вам захочется потерять сайт, верно?

Кроме того, от защиты одного отдельно взятого сайта зависит защита всех сайтов, размещенных на вашем хостинге и IP адресе. Потому что заблокированным может оказаться не только зараженный сайт. И блокировка сайта - не самое страшное. Гораздо хуже, если будут повреждены данные, которые порой крайне сложно восстановить. Также, от заражения лишь одного сайта могут пострадать другие.

Базовая защита Вордпресс

Чтобы защитить Вордпресс сайт от самых частых проблем с безопасностью, необходимо выполнить основные меры по защите WordPress. Это можно сделать с помощью плагина Better WP Security, поэтому вам не потребуется тратить бюджет на разработчика или разбираться в сложностях. Базовая защита WordPress поставит серьезный барьер перед многими мелкими злоумышленниками, и сохранит ваш сайт.

Базовая защита вполне вам подойдет, если у вас небольшой проект. Но если ваш сайт имеет огромную значимость и посещаемость, а также представляет некий интерес для третьих лиц, то вам действительно стоит задуматься о более серьезной защите. Об это мы напишем в следующих статьях, поэтому подписывайтесь на блог по Email и следите за новостями.

Профилактика от вирусов и взлома

Крайне важно соблюдать профилактические меры, чтобы избежать неприятных последствий. Эти меры очень просты, но не все владельцы сайтов их выполняют. Скорее всего потому, что просто не знают о них. Но вы теперь будете знать, и значит вероятность взлома вашего сайта значительно ниже.

Защитите рабочий компьютер от вирусов

Очень важный момент, который вы можете недооценивать - это защита рабочего компьютера от вирусов. Да-да, вредоносные программы на вашем рабочем компьютере могут способствовать злоумышленникам нанести вред вашему сайту.

Установите лицензионную версию антивируса и регулярно проверяйте компьютер. Если вы не желаете покупать лицензию, используйте бесплатный антивирус Аваст, который весьма неплохо справляется со своими задачами.

Используйте проверенные плагины для WordPress

Плагины для WordPress часто могут иметь уязвимости, которые используют злоумышленники. Нередко такие уязвимости находят даже в профессиональных плагинах. Поэтому про плагины от неопытных разработчиков даже говорить не стоит. Мы рекомендуем устанавливать только действительно необходимые дополнения от надежных авторов.

Подписывайтесь и получайте полезные статьи на почту!

www.onwordpress.ru

Защита сайта на WordPress

Вы здесь: Главная - Софт - Софт для создания сайтов - Защита сайта на WordPress

Защита сайта на WordPress

На предыдущем уроке вы узнали какие SEO плагины рекомендуется установить на любой WordPress сайт. На этом уроке вы узнаете как защитить ваш сайт и решить проблему спама в комментариях.

Плагин Akismet Anti-Spam

Подавляющее количество спам комментариев оставляют не люди, а роботы. Поэтому и бороться с ними мы будем тоже программно с помощью плагина Akismet Anti-Spam.

Плагин Akismet Anti-Spam не требует никаких настроек, надо только получить API-ключ и ввести его на своем сайте. Чем этот плагин отличается от других подобных плагинов? А тем, что его присутствие на сайте остается незаметным для посетителя. Посетитель не должен решать какие-то уравнения или пытаться разобрать "нечитаемые" цифры и буквы с картинок капчи. В этом и состоит его главное преимущество в сравнении с другими антиспам плагинами. Плагин умеет безошибочно различать спам комментарии от хороших комментариев и не пропускает их.

Если все же плагин пропустил нежелательный для вас комментарий, тогда есть возможности занести IP адрес этого человека в "черный список" и больше он не сможет оставить свой комментарий.

Защита сайта на WordPress

Плагин Login LockDown

Что делает данный плагин? По умолчанию на любом WordPress сайте форма логина находится по адресу:

https://site.com/wp-admin/

И это известно всем, в том числе и хакерам. Использование входа в админку по этому адресу и тем более c дефолтным логином: admin – равносильно, как приглашение вора в свой дом. В таком случае вы очень сильно рискуете и упрощаете работу хакера по взлому вашего сайта. Для этого хакеры используют программу, которая ищет по префиксу wp сайты на WordPress и путем обычного перебора комбинаций из символов робот рано или поздно подберет ваш пароль. Но вы же правда этого не хотите?

Плагин Login LockDown ограничивает количество попыток неправильного ввода, а именно после трех ошибочных ввода логина и пароля, блокируется доступ к этой странице. В опциях настройки вы сами можете указать время, на которое блокируется IP злоумышленника.

Настройка плагина:

Защита сайта на WordPress

Плагин BackUpWordpress

Плагин BackUpWordpress восстановит ваш сайт, если с ним что-то случилось. Данный плагин позволяет создать вам резервные копии как базы данных, так и файлов. В настройках плагина выбираем нужные нам параметры, сохраняем их и теперь можно не переживать за сохранность контента вашего сайта. Рекомендую делать бэкапы раз в день и хранить резервные копии 14 дней, таким образом у вас всегда будет 14 последних резервных копий, бэкапы сделанные раньше, автоматически удаляются.

Защита сайта на WordPress

Плагин WoodFence Security

Плагин WoodFence Security сканирует ваш сайт на WordPress на предмет разной заразы, например он ищет вирусы, которые уже заразили ваш сайт. А так же проверяет исходящие ссылки с вашего сайта. Вы можете, не зная того, случайно ссылаться на сторонний сайт зараженный вирусом. Настроек плагина по умолчанию уже достаточно, чтобы ваш сайт правильно защищался.

После установки и активации плагина, ставите ваш блог на сканирование. Если какие-то проблемы, то вы увидите предупреждение, что такой-то файл был изменен. Система сама предложит автоматически заменить поврежденный файл на аналогичный файл из "чистого Вордпресса" или сделать это можно вручную.

Плагин посчитает, что использование не последней версии WordPress – это тоже угроза и предложит решить эту проблему.

Защита сайта на WordPress

Надеюсь, что статья была вам полезна. Удачи и до новых встреч.

Предыдущая статья Следующая статья

Копирование материалов разрешается только с указанием автора (Михаил Русаков) и индексируемой прямой ссылкой на сайт (http://myrusakov.ru)!

Добавляйтесь ко мне в друзья ВКонтакте: http://vk.com/myrusakov.Если Вы хотите дать оценку мне и моей работе, то напишите её в моей группе: http://vk.com/rusakovmy.

Если Вы не хотите пропустить новые материалы на сайте,то Вы можете подписаться на обновления: Подписаться на обновления

Если у Вас остались какие-либо вопросы, либо у Вас есть желание высказаться по поводу этой статьи, то Вы можете оставить свой комментарий внизу страницы.

Порекомендуйте эту статью друзьям:

Если Вам понравился сайт, то разместите ссылку на него (у себя на сайте, на форуме, в контакте):

  1. Кнопка: <a href="https://myrusakov.ru" target="_blank"><img src="/800/600/https/myrusakov.ru/images/button.gif" alt="Как создать свой сайт" /></a>

    Она выглядит вот так: Как создать свой сайт

  2. Текстовая ссылка:<a href="https://myrusakov.ru" target="_blank">Как создать свой сайт</a>

    Она выглядит вот так: Как создать свой сайт

  3. BB-код ссылки для форумов (например, можете поставить её в подписи): [URL="https://myrusakov.ru"]Как создать свой сайт[/URL]

myrusakov.ru

Защита WordPress от взлома. Как защитить сайт на WordPress

Защита WordPress от взлома

От автора: приветствую вас, уважаемые читатели сайта WebForMyself. В этой статье мы остановимся на некоторых моментах безопасности сайта WordPress и рассмотрим такую важную тему, как защита WordPress от взлома. Защита WordPress от взлома и спама – это, пожалуй, одни из важнейших вопросов при работе с сайтом.

Если вы поищите в сети, то найдете сотни статей с названием типа 10 шагов для защиты WordPress от взлома или как защитить сайт на WordPress. Статьи эти фактически копируют друг друга не только по содержанию, но зачастую даже и по названию. И это неудивительно, поскольку все советы, касающиеся безопасности WordPress и предотвращения взлома, по большому счету, универсальны и что-то новое здесь придумать сложно.

Собственно, данная статья вряд ли будет исключением, и если вы уже знакомы с подобными статьями, тогда вряд ли найдете в этой что-то новое для себя. Однако для новичков статья будет безусловно полезна, поскольку для нее я решил взять, на мой взгляд, один из наиболее важных советов, следуя которому вы сможете защитить сайт на WordPress и сделать его работу значительно безопаснее.

Итак, для начала следует понять, какими способами могут взломать сайт WordPress, ведь зная способ атаки, проще защититься от нее. Наиболее распространенным способом взлома WordPress, как и любого другого сайта, является подбор пароля администратора. Научный термин данного вида взлома носит название брутфорс (с английского – грубая сила).Это действительно довольно образное название, поскольку суть метода заключается в простом переборе паролей до тех пор, пока не будет достигнут результат в виде пароля администратора. Метод прост, но весьма действенен. Как же защитить сайт на WordPress от метода «грубой силы»? Один из наиболее простых и действенных способов защиты является уникальный логин администратора.

Все. Уже одно только это решение значительно усилит защиту WordPress от взлома. Дело в том, что при установке WordPress большинство пользователей не заморачиваются и в качестве логина администратора выбирают незамысловатый логин admin. Это ошибка. Потенциальные хакеры, конечно же, прекрасно осведомлены об этом и поэтому фактически полдела за них сделал уже администратор сайта, выбрав небезопасный логин. Взломщику остается лишь перебирать пароль для этого логина.

Хотите быстро научиться создавать сайты и блоги на WordPress с уникальным дизайном?

Получите самую полную в Рунете бесплатную систему обучения создания сайтов на WordPress

Узнать подробнее

Именно поэтому, если вы используете для администратора логин admin – срочно смените его. Как это сделать? На самом деле логин в WordPress изменить нельзя. Однако можно создать нового пользователя с правами администратора, а прежнего просто удалить. Перейдем в меню Пользователи – Добавить нового и регистрируем нового администратора. В качестве логина я для примера указал admin111, такой логин вполне безопасен. Можете придумать удобный для вас логин, но при его выборе старайтесь руководствоваться следующими правилами:

не используйте в качестве логина слова admin или administrator

логин не должен совпадать с именем, которое добавляется после поля E-mail

логин не должен совпадать с доменным именем сайта

При выборе пароля старайтесь руководствоваться одним простым правилом – это не должен быть пароль из словаря, т.е. в качестве пароля не стоит выбирать значимое слово. Также не стоит в качестве пароля выбирать дату рождения или просто набор цифр. Создаваемый пароль в идеале должен состоять не менее чем из шести символов и включать в себя маленькие и большие буквы, цифры и другие знаки.

После добавления нового администратора выйдем из админки и зайдем заново, но уже под новой админской учетной записью. Перейдем в раздел Все пользователи и удалим прежнюю администраторскую запись. При удалении все записи, сделанные прежним администратором, связываем с новым администратором.

Теперь у нас на сайте есть новый администратор, логин которого известен только вам.

Это значительно усилит защиту сайта на WordPress. Однако возможен вариант, когда логин все равно может стать известен потенциальному взломщику. В этом случае он может подбирать пароль к вашему логину. Чтобы вы были в курсе данной проблемы, рекомендую воспользоваться плагином Limit Login Attempts.

Плагин предельно прост в настройке и использовании, но вместе с тем очень полезен. Его основное предназначение – пресечь подбор пароля. Если для учетной записи подбирается пароль, тогда после трех неудачных попыток IP, с которого подбирается пароль, будет заблокирован и плагин уведомит вас о проблеме.

Это очень удобно, поскольку в этом случае вы будете знать, что логин уже дискредитирован и можете просто создать нового администратора с новым логином, удалив прежний.

Вот, собственно, все, что я хотел вам рассказать в данной статье. Это всего-навсего один совет по тому, как защитить WordPress от взлома, однако, как я отмечал выше, это один из наиболее важных советов. На этом я с вами прощаюсь. Удачи!

Хотите быстро научиться создавать сайты и блоги на WordPress с уникальным дизайном?

Получите самую полную в Рунете бесплатную систему обучения создания сайтов на WordPress

Узнать подробнее

Хотите быстро научиться создавать сайты и блоги на WordPress с уникальным дизайном?

Получите самую полную в Рунете бесплатную систему обучения создания сайтов на WordPress “Уникальный сайт с нуля”

Получить

webformyself.com

Читать Рекомендации по защите сайта на WordPress

WordPress – это отличная платформа для создания сайтов. Учитывая бесплатность движка и богатый функционал, платформу успела оценить большая аудитория веб-мастеров. Вот только далеко не все задумываются о безопасности своих трудов и живут в счастливом неведении до первой хакерской атаки.

Что может случиться с веб-ресурсом

Создавая блоги, многие веб-мастера начинают нашпиговывать их различными «полезными» плагинами и огромным количеством текстового или графического контента. Но сосредоточившись на развитии сайта, почему-то никто не задумывается о взломщиках, которым не составит труда нанести ущерб любому незащищенному веб-ресурсу. Чаще всего блог взламывается для размещения рекламы или вредоносного программного обеспечения. Нередки случаи присвоения или полного удаления.

Резервное копирование

Один из наиболее примитивных способов сохранения данных – это резервное копирование. Дело в том, что база данных WordPress содержит каждую запись, ссылку и комментарий вашего блога, а значит, периодическое резервное копирование – это надежный способ сохранить все изменения на сайте. Конечно, способ не защищает от хакерских атак, и не предотвращает потерю данных, но он позволяет сохранить результат вашего труда и в кратчайшие сроки восстановить работоспособность веб-ресурса.

Как осуществить резервное копирование

Множество хостинг-провайдеров предоставляют услуги по созданию резервной копии размещаемых сайтов. Если такие услуги не предоставляются, копировать данные можно и «вручную», используя различные FTP-клиенты. Но всё же гораздо удобнее это делать при помощи специальных программ синхронизации. К примеру, WinSCP позволяет выполнить синхронизацию с вашим веб-ресурсом и сможет копировать последние версии файлов и контента на жесткий диск.

Плагины для резервного копирования

Нужно отметить, что возможность бэкапа имеется в базовом функционале WordPress. С ним можно ознакомиться в разделе «Инструменты-Экспорт». Таким образом, можно сохранить XML-файл, содержащий текстовую информацию вашего веб-ресурса. Восстановление осуществляется в разделе «Импорт».

Для того чтобы делать регулярные бэкапы баз данных WordPress, можно воспользоваться плагинами Simple BackUp, BackUp WordPress, WP Remote, Online Backup и VaultPress.

Защита для WordPress при установке

Конечно, резервное копирование – первая мера, которая поможет быстро восстановить поврежденный сайт. Но куда важнее избежать подобных ситуаций. Поэтому в первую очередь, следует выполнить некоторые действия сразу же после установки.

Совет 1: Обновляйтесь

Работая с WordPress, следует использовать наиболее актуальную версию движка, которую необходимо скачивать только на официальном сайте: разработчики стараются узнавать о новых уязвимостях и поскорее исправлять их в обновленных версиях. Важно запомнить, что своевременное обновление движка и установленных плагинов позволяет не только расширить функционал, но и уменьшить количество «дыр» в безопасности, поэтому пренебрегать обновлением не стоит.

Совет 2: Не используйте «admin» в качестве имени пользователя

Следует сразу же изменить логин администратора. По умолчанию в WordPress использован логин – «admin». Не трудно догадаться, сколько времени это сэкономит взломщику. Кроме того, для перестраховки можно зарегистрировать новый профиль администратора, удалив старый. Это делается для того, чтобы злоумышленник не смог узнать ник по ID: изначально администратор будет числиться под номером «1».

Совет 3: Выбирайте сложные пароли

Конечно, позаботиться следует и о сложности пароля, который должен состоять из большого количества символов разного регистра. Также для усложнения пароля можно использовать цифры и знаки препинания. Поменять пароль можно через админку, в меню слева. Для этого необходимо перейти по вкладке «Пользователи» и выбрать пункт «Ваш профиль».

Совет 4: Защитите админку

Следующий шаг – защита админки. Как правило, большинство взломщиков используют программное обеспечение, которое работает по определенным шаблонам. Чаще всего атакующие пытаются сделать запрос к файлам «wp-login.php» и «wp-config.php». Для защиты от таких действий достаточно переименовать «wp-login.php» на новое имя, которое может содержать беспорядочный набор цифр и символов, в формате XXXXXXXXXXXX.php. Это действие позволит сменить адрес админки: изначально для входа в админ-панель используется стандартный адрес «название блога/wp-login.php» или «название блога/wp-admin».

Важно отметить, что необходимо переименовывать все файлы с данным именем (в том числе и те, которые находятся в самом файле), также данное имя следует ввести в файле wp-includes/general-template.php. Сделать это можно, открыв файлы текстовым редактором. К слову, почти все ключевые папки также можно переименовать (к примеру, некоторые веб-мастера предпочитают переименовывать даже папку wp-content). После этого доступ к файлам можно ограничить через «.htaccess»:

<Files wp-config.php> order allow,deny deny from all </Files>

Также файлом «.htaccess» можно защитить папку «wp-admin», да и практически любую папку или файл. Следует отметить, что защитить можно и файл «.htaccess», но это действие может вызвать конфликт с некоторыми темами или плагинами.

Не лишним будет ограничить доступ к содержимому папок директории от просмотра браузером, для этого можно создать пустые файлы index.html или index.php и забросить их во все папки и подпапки. Запретить просмотр определенных директорий на сервере можно командой «Options All -Indexes».

Совет 5: Спрячьте версию своего WordPress

Еще один профилактический шаг – убрать всю лишнюю информацию. Дело в том, что даже информация о версии движка может стать поводом для взлома, если злоумышленник узнает, что вы не успели обновить версию системы WordPress, и некоторые уязвимости все еще открыты. Во-первых, в корне сайта имеются файлы license.txt и readme.html. Данные файлы никак не влияют на работу сайта, но если они достанутся взломщику, они могут предоставить некоторую полезную информацию. Также следует удалить информацию о версии, которая доступна всем пользователям. Для этого нужно зайти во вкладку «Внешний вид», после чего выбрать «Редактор» и открыть файл «header.php». В нем необходимо удалить строчку в коде:

<meta name="generator" content="WordPress 3.8.1" />

Защита при помощи плагинов

Выполнив ряд профилактических мероприятий, описанных выше, можно избежать многих проблем. Тем не менее, обезопасить свой веб-ресурс от профессиональных атак можно только с помощью специальных плагинов. К тому же, некоторые плагины избавят вас от необходимости делать некоторые вышеперечисленные действия: достаточно выставить нужные галочки в настройках. А это исключит вероятность ошибиться, что особенно актуально для новичков, не разбирающихся во всех тонкостях программных кодов. К примеру, плагин Lockdown WP Admin способен сменить адрес админки, если зайти в настройки, найти поле «WordPress Login URL» и ввести в него новый адрес. Как видно, редактировать множество файлов не придется. Также плагин может скрывать каталог «wp-admin» и выдавать ошибку 404 при запросе.

Если говорить о способах взлома веб-ресурсов, то наиболее популярным из них остается подбор пароля. Так как WordPress не ведет статистику попыток несанкционированного доступа, и не пресекает такие попытки, приходится решать эту проблему плагинами.

Login Lockdown – это плагин, который может фиксировать все несостоявшиеся попытки входа в админку. В статистике сохраняется время и IP-адрес таких попыток. Но самая полезная функция – плагин способен блокировать доступ к сайту на определенное время, если количество таких попыток превысит заданное значение. Если зайти в настройки Login Lockdown и разобраться во всех пунктах, можно настроить:

Limit Login Attempts – плагин, предлагающий примерно тот же функционал, он также способен блокировать IP, с которого осуществляются неудачные попытки авторизации.

Ask Apache Password Protect – плагин предотвращает возможные атаки, работая с файлами «.htaccess». Примечательно, что он работает на уровне сети, без использования php.

Sideways8 Custom Login and Registration – скрывает работу встроенной опции авторизации.

Login Dongle – дополнительная защитная оболочка для вашей админки. Вводит дополнительный защитный вопрос, не меняя страницу авторизации.

WordPress HTTPS (SSL) – пакетное решение для защиты авторизации и поиска ошибок.

ALL IN ONE WP SECURITY – об этом плагине можно сказать очень многое. Всё потому, что это комплексное решение, обеспечивающее безопасность:

Но, пожалуй, основное преимущество программы – фаервол. Он предотвращает хотлинки, блокирует роботов и обеспечивает безопасность дополнительным брандмауэром. За дополнительную оплату, предусмотрен и сканнер, отслеживающий вредоносные программы и изменения в файлах.

Сканнеры и антивирусы

Несмотря на то, что существует большое количество плагинов безопасности, гарантировать полную защиту они не могут. Ведь помимо простых атак подбором пароля, существуют и другие угрозы. В частности, это вирусы, которые внедряются в сайт в виде вредоносного кода. Его не так уж легко обнаружить своими силами. К тому же, обезопасив свой веб-ресурс некоторыми из представленных выше средств, можно оставить другие уязвимости, которые вы не учли. Поэтому, для поиска уязвимостей следует использовать специальные сканнеры, которые помогут вам понять, в каком направлении следует укреплять оборону вашего блога. Для поиска вредоносного кода следует использовать антивирусы.

WPScanner

– мощное решение, позволяющее выявить потенциальные проблемы. Ведь если вы не воспользуетесь их поиском, не факт, что подобной программой не воспользуются взломщики для поиска легких путей к вашему блогу. Итак, за счет чего же WPScanner завоевал популярность:

Вообще, существует немало сканнеров, которые определяют уязвимости. Но их проблема именно в наличии актуальной базы. К примеру, Plecost – это хорошее решение для сканирования уязвимых плагинов, но её базы давно не обновлялись. Поэтому, несмотря на то, что функционал сохранен, новые возможности, которые могут использовать для нанесения ущерба сайту, программа не найдет.

Theme Authenticity Checker (TAC)

– плагин, который предназначен для проверки установленных тем, о чем свидетельствует и название. Воспользовавшись данным решением, можно проверить темы WordPress на наличие Base64-кодов и скрытых ссылок в футере. При обнаружении, сразу же отображается путь к теме, а также номер строки с куском подозрительного кода.

Exploit Scanner

– средство, сканирующее базу данных сайта на предмет сомнительных файлов. Он обнаруживает признаки подозрительной вредоносной активности, также проверяет имена файлов, но решение об удалении остается исключительно за вами.

Acuntetix WP Security

– еще один плагин, предоставляющий перечень защитных действий. Сканирует блог на ошибки безопасности, скрывает доступ к версии движка блога, проверяет разрешения в файловой системе, может удалять из кода ядра мета-теги. Из преимуществ – бесплатность и универсальность.

Sucuri Security

– плагин, который хорошо зарекомендовал себя в обнаружении вредоносного кода. Помимо этого, плагин ведет мониторинг загруженных на WordPress файлов, уведомляет о безопасности, мониторит черный список и другое. Также можно активировать платное дополнение – достаточно мощный фаервол.

Wordfence

– в отличие от большинства сканнеров, это плагин, защищающий веб-ресурс в реальном времени. Обеспечивает безопасность от многих известных кибер-атак, сканирует на наличие уязвимостей, при обнаружении блокирует всю зараженную сеть.

Anti-Malware

– плагин, интересный тем, что позволяет не только сканировать платформу на наличие вирусов и различных вредоносных угроз, но и способен удалять всё это. Среди функций имеется как экспресс-сканирование, так и полное сканирование. Можно настроить удаление угроз в автоматическом режиме.

В целом, для WordPress существует немало антивирусов.

К примеру, WordPress AntiVirus, WP Antivirus Site Protection, Antivirus For WordPress и другие. Несмотря на схожесть названий, они имеют некоторые различия в устройстве и работе, хотя и выполняют одни и те же задачи:

Конечно, отличия в работе имеются, но остановиться на каком-то определенном решении можно только поработав с ним. Также стоит отметить, что лучше не перегружать движок большим количеством плагинов, а выбрать несколько наиболее оптимальных.

top-bit.ru


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта