В этой статье мы перечислили действия, которые обязательно нужно реализовать на любом сайте на Wordpress для защиты от наиболее распространенных угроз. А в конце материала вы найдёте список дополнительных мер повышения безопасности, которые могут быть актуальны для определённых типов сайта.
1. Регулярное обновление ядра и плагинов
Обновления ядра WordPress, тем и плагинов устраняют уязвимости, которые могут использовать злоумышленники. Рекомендуется не использовать обновления в автоматическом режиме, а регулярно запускать его в ручную и сразу же проверять, что сайт работает корректно после всех обновлений.
Как автоматизировать обновления:
Добавьте этот код в wp-config.php для включения автоматических обновлений:
define('WP_AUTO_UPDATE_CORE', true);Используйте плагин, например, «Easy Updates Manager», чтобы управлять обновлениями плагинов и тем.
2. Измените адрес страницы входа
По умолчанию страница входа доступна по /wp-login.php. Это делает её мишенью для брутфорс-атак. Установите плагин «WPS Hide Login», чтобы изменить URL на что-то уникальное, например, /mysecurelogin.
3. Сложные и уникальные пароли
Используйте только случайно сгенерированные пароли длиной от 12 символов. Менеджеры паролей, такие как LastPass или 1Password, помогут вам в этом. Пароли должны быть уникальными для каждого аккаунта.
4. Удалите неиспользуемые темы
Неиспользуемые темы увеличивают риск уязвимостей. Оставьте только активную тему и удалите остальные. Это минимизирует риск появления вредоносного кода.
5. Удалите неиспользуемые и деактивированные плагины
Деактивированные плагины также могут стать источником угроз. Убедитесь, что все плагины, которые не используются, полностью удалены.
6. Защитите хостинг
- Установите сложный пароль для панели управления хостингом.
- Включите двухфакторную аутентификацию.
- Убедитесь, что ваш хостинг поддерживает ежедневное резервное копирование. Если не уверены, уточните у службы поддержки.
7. Создавайте резервные копии и скачивайте их локально
Для регулярного создания резервных копий можно использовать плагины, такие как «UpdraftPlus» или «BackWPup». Очень важно не только сохранять копии на хостинге или в облаке, но и скачивать их на локальное устройство для дополнительной безопасности. Если вы хотите узнать больше о настройке резервного копирования и защитить свой сайт от потери данных, читайте нашу статью о создании бэкапа WordPress.
Дополнительные меры под конкретные проекты
1. Ограничьте число попыток входа
Защитите сайт от брутфорс-атак, установив плагин «Limit Login Attempts Reloaded». Также можно вручную настроить .htaccess для ограничения запросов:
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php(.*)$ [NC,OR]
RewriteCond %{REQUEST_URI} ^(.*)?xmlrpc.php(.*)$ [NC]
RewriteRule ^(.*)$ - [F,L]
</IfModule>2. Установите SSL-сертифика
SSL шифрует данные между пользователем и сервером. После установки сертификата включите HTTPS, добавив в .htaccess:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}%{REQUEST_URI} [L,R=301]Убедитесь, что все страницы сайта перенаправляют на защищённую версию (https://).
3. Ограничьте доступ к директории wp-admin
Настройте доступ к админке по IP-адресу. Добавьте в .htaccess:
<Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 192.168.1.1
</Files>Замените 192.168.1.1 на ваш IP-адрес или диапазон разрешённых адресов.
4. Используйте межсетевой экран (WAF)
Установите плагин для веб-аппликационного фаервола (WAF), чтобы защитить сайт от SQL-инъекций, XSS-атак и других угроз. Популярные варианты:
5. Отключите XML-RPC, если он не используется
XML-RPC часто используется для атак. Если вы его не применяете, отключите, добавив код в .htaccess:
<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>6. Защитите файл wp-config.php
Файл wp-config.php содержит конфиденциальные данные, такие как логины и пароли. Ограничьте доступ к нему:
<files wp-config.php>
order allow,deny
deny from all
</files7. Добавьте двухфакторную аутентификацию (2FA)
Установите плагины, такие как «Google Authenticator» или «Wordfence Login Security», чтобы добавить дополнительный уровень защиты для входа
8. Мониторинг активности
Установите плагин, например, «WP Activity Log», чтобы отслеживать все действия пользователей в админке. Это поможет быстро обнаружить подозрительную активность.
Следуя этим рекомендациям, вы не только защитите свой сайт от хакеров, но и создадите надёжную основу для работы. Помните: безопасность — это не разовая задача, а постоянный процесс.
