Вероятно вече знаете очевидните мерки за сигурност, които да предприемете в защитата на уебсайта си в WordPress.

Вероятно знаете, че трябва да направите паролата на сайта си "силна" (комбинация от специални знаци, главни букви, малки букви и цифри). Не трябва да използвате "администратор" като потребителско име и често трябва да променяте паролите. Вероятно вече използвате двуфакторно удостоверяване на сайта си в WordPress и сайтът ви е архивиран. И никога не изтегляте премиум плъгини безплатно или от неизвестни източници. И така, какво друго има?

Тук ще обсъдим още няколко съвета за сигурност на WordPress, които използват малко познати, но дълбоко ефективни методи, които можете и трябва да използвате, за да защитите вашия сайт WordPress.

1. Преименувайте или преместете своята страница за вход

Началната страница по подразбиране за вашия сайт е "www.websitename.com/wp-login.php" (или "www.websitename.com/wp-admin"). Един от начините да защитите сайта си е да скриете или закриете страницата за вход, така че хакерите да не го намерят лесно. Контролирането на достъпа ви за вход чрез ограничаване на броя на тестовете за вход всеки път и времето между тестовете за влизане също ще подобри сигурността.

Ако вече сте инсталирали Jetpack, можете да активирате своя модул "Bruce Force Protection". С този модул активиран, Jetpack ще актуализира Dashboad с броя на злонамерения опит за влизане в уебсайта Ви. Също така имате опцията за включване в списъка на адреси на няколко адреса. От Jetpack отидете в "Настройки" и след това в "Защита", последван от "Конфигурирай", и ще видите как изглежда снимката по-долу.

Cerber Security and Limit Login Attempt е алтернативен плъгин за Jetpack. Ако предпочитате да не използвате Jetpack, опцията "Лимит за вход" е опция. Към датата на писане плъгинът е инсталиран над 40 000 пъти и поддържа почти неподправена репутация, като 108 от 111 потребители го оценяват на пет звезди.

Лимитът за влизане е доста лесен за използване, но конфигурирането на неговата секция "Втвърдяване" подобрява сигурността на сайта ви. Целият достъп до XML-RPC сървъра, който включва trackbacks и pingbacks, е блокиран по подразбиране. Ако по някаква причина ще имате достъп до API за почивка на WordPress (например приложението за Android или iOS на вашия блог се нуждае от него), тогава оставете WP rest API & XML-RPC да бъде достъпен.

2. Участвайте там, където е безопасно

Тъй като един огромен четиридесет и един процентен пробив в сигурността на сайтовете на WordPress произхожда от края на хоста, а не от самия сайт, е уместно да се уверите, че вашият хост е защитен. В действителност хостингът носи най-голяма тежест, когато става дума за сигурност. Само осем процента от хакове се случват поради слаби пароли, двадесет и девет процента поради тема и двадесет и два процента поради плъгини. Така че около половината от безопасността на вашия сайт зависи от хостинга.

Уверете се, че профилът ви включва изолация на профила, ако използвате споделен хостинг. Профилът ви ще бъде защитен от всичко, което се случва на уебсайтовете на други хора. Най-добре обаче е да използвате услуга, предназначена за потребителите на WordPress. Такива услуги ще включват защитна стена на WordPress, нулева защита от атака на злонамерен софтуер, актуализирана MySQL и PHP, специализирани WordPress сървъри и клиентска услуга WordPress. Хостове като WP Engine, Siteground и Pagely имат силни записи за безопасност.

3. Останете в крак с времето и използвайте само актуализиран софтуер

Знаете, че трябва да използвате актуализирана антивирусна и друга подходяща анти-злонамерена защита за вашия компютър. Тази предпазна мярка важи и за приставки и теми. Поддържайте ги актуализирани и ако имате теми или плъгини в хранилището си, които не се използват, ги премахнете. Ако това е правилно за вашия сайт, помислете дали настройването на вашите плъгини и теми да се актуализира автоматично. За да настроите автоматични актуализации, поставете някакъв код в wp-config.php. По-долу е кодът за приставки:

 add_filter ('auto_update_plugin', '__return_true');

И за темите използвайте този код:

 add_filter ('auto_update_theme', '__return_true');

Ако искате практичен подход към поддръжката на сайта, може да помислите за автоматизиране на актуализациите на WordPress. Обърнете внимание обаче, че настройването на автоматична актуализация може да наруши сайта ви, особено ако в сайта Ви се изпълняват приставки, които не са съвместими с последната актуализация на WordPress. За да настроите автоматична актуализация за вашия сайт в WordPress, въведете кода по-долу в wp-config.php файла:

 # Активирайте всички основни актуализации, включително малки и големи: define ('WP_AUTO_UPDATE_CORE', true);

4. Премахнете редактора на темата за приставките и докладването за грешки в PHP

Деактивирайте вградения редактор за приставки и теми, ако редовно не ощипвате и не променяте настройките (или изпълнявате друга поддръжка на вашите приставки и теми). Това е за сигурността на уебсайта Ви.

Упълномощените потребители на WordPress имат достъп до този редактор, което прави сайта ви уязвим за нарушение на сигурността, ако профилите му се опропастят. Всъщност хакерите могат да свалят сайта ви, като променят кода в този редактор. За да деактивирате редактора, въведете кода по-долу в wp-config.php :

 define ('DISALLOW_FILE_EDIT', true);

Отчитането на грешките е добро. Той ви помага при отстраняване на неизправности. Единственият проблем (и това е голям проблем) е, че съобщенията за грешки също носят със себе си сървърния ви път. Хакерите могат да гледат сървърния ви път и лесно да получат ясно разбиране за структурата на уебсайта Ви. Въпреки че докладването на грешки в PHP е добро, то е най-добре забранено. Използвайте кодовия фрагмент по-долу за файла wp-config.php :

 error_reporting (0); @ini_set ('display_errors', 0);

5. Използвайте .htaccess за защита на файловете със специално предназначение

Файлът .htaccess е важен, защото е в сърцето на уебсайта Ви в WordPress. Този файл е отговорен за структурата и сигурността на вашия сайт. Освен #BEGIN WordPress и #END WordPress, няма ограничение за броя на кодовите фрагменти, които можете да добавите във файла .htaccess, за да промените видимостта на файловете в директорията на уебсайта си.

Ако още не сте го направили, скрийте файла wp-config.php на вашия сайт. Този файл е важен за дейностите на сайта Ви и съдържа личната ви информация, както и други важни подробности, свързани с вашия сайт. Можете да използвате кодовия фрагмент по-долу, за да го скриете.

 да разрешат, да отрекат отричане от всички

За да ограничите администраторския достъп, просто създайте нов .htaccess файл и го качете в директорията "wp-admin". След това въведете този код:

 да отречем, да позволим от 192.168.5.1 да отречем от всички

Въведете IP адреса си на правилното място. За да разрешите достъпа до вашия wp-admin от няколко IP адреса, посочете тези IP адреси, всеки от тях на отделен ред, както allow from IP Address . Можете да ограничите достъпа до вашия wp-login.php по същия начин. Просто добавете този кодов фрагмент във вашия .htaccess:

 да отрече, да позволи отказ от всички # позволи достъп от моя IP адрес позволи от 192.168.5.1

Ако предпочитате да не блокирате всички IP адреси, само специфични IP адреси, които искат да получат достъп до вашия wp-admin или wp-login.php, можете да блокирате индивидуалните IP адреси, като използвате този код:

 да разрешат, да отрекат отказ от 456.123.8.9 разреши от всички

Можете също така да блокирате хората от преглеждането на директорията на сайта ви, като не можете да ги преглеждате. Можете да използвате този кодов фрагмент, за да направите това:

 Опции всички -Индекси

заключение

Това е подлежащо на действие ръководство, което ви помага да подобрите сигурността на уебсайта си в WordPress. Най-важната от тези опции е тази, която е съвсем лесно да се приложи сега - да намерите домакин с истинска репутация за сигурност, тъй като половината от сигурността на вашия сайт почива на вашия хост.

Какъв съвет за сигурност ви е най-полезен и защо? Имате ли други съвети за сигурност, които не са изброени тук? Споменете го (или тях) в коментарите.