Мы используем cookie-файлы
Для оптимизации работы нашего сайта мы используем cookie-файлы. Продолжая использовать сайт, Вы соглашаетесь с использованием cookie-файлов.
  • UAH
  • USD
  • RUB
  • EUR
  • +38(044) 392-74-33  Киев
  • +38(057) 728-39-00  Харьков
  • +38(056) 794-38-31  Днепр
  • +38(032) 229-58-93  Львов
  • +38(048) 738-57-70  Одесса
  • +38(093) 170-15-42  Life
  • +38(067) 400-88-44  Киевстар
  • +38(095) 630-90-82  MTC
  • +1(888)393-24-51  USA, Toll free
  • +44(131)507-01-14  Great Britain
  • +7(499) 348-28-61  Москва

Защита сайта на Wordpress от взлома

Хостинг Украина FAQ Хостинг Защита сайта на Wordpress от взлома

 

Перед выполнением каких-либо действий создайте резервные копии сайта и базы данных в разделе «Хостинг – Резервное копирование»

 

1. Регулярно обновляйте WordPress, темы и плагины. В настоящее время доля CMS WordPress составляет 30% всех веб-сайтов в мире. Из-за огромной распространенности WordPress является популярной целью для хакеров. Поскольку WordPress это CMS с открытым исходным кодом, любой может получить доступ к коду, чтобы узнать и улучшить его. Однако это также означает, что хакеры могут изучить его и найти способы проникнуть на веб-сайты.

Каждый раз, когда сообщается об уязвимости, разработчики WordPress прилагают все усилия, чтобы выпустить обновление, которое устраняет проблему. Если Вы не используете последнюю версию WordPress, Вы используете программное обеспечение с известными уязвимостями безопасности.

2. Удалите все неиспользуемые темы из директории wp-content/themes и неиспользуемые плагины из директории wp-content/plugins. Хранение бесплатных тем и плагинов в разы увеличивает вероятность взлома сайта. Если тема или плагин неактивны, они все равно позволяют открывать вредоносные скрипты из каталога wp-content/themes/<имя темы> или wp-content/plugins/<имя плагина>

3. Более половины бесплатных тем WordPress заражены или уязвимы. Если Вы скачиваете премиум-темы с ресурса, где они размещены бесплатно с большой вероятностью они содержат вредоносный код или спам-ссылки.

4. Отключите отображение версии Wordpress. Злоумышленники не узнают версию, а значит не будут знать и уязвимые места. Для этого откройте файл wp-content/themes/<имя темы>/functions.php и добавьте после первой строки следующий код:

function remove_wordpress_version_number() {

return '';

}

add_filter('the_generator', 'remove_wordpress_version_number');

function remove_version_from_scripts( $src ) {

   if ( strpos( $src, 'ver=' . get_bloginfo( 'version' ) ) )

       $src = remove_query_arg( 'ver', $src );

   return $src;

}

add_filter( 'style_loader_src', 'remove_version_from_scripts');

add_filter( 'script_loader_src', 'remove_version_from_scripts')

5. Переместите файл конфигурации wp-config.php на директорию выше текущей. Файл wp-config.php содержит основные настройки вашего сайта и это самый важный файл в корневом каталоге сайта. В текущей архитектуре WordPress файл конфигурации проверяется с самым высоким приоритетом. Таким образом, даже если он хранится в одной папке выше корневого каталога, WordPress все еще сможет его видеть. Вам нужно переместить данный файл из каталога /home/<имя хостинг-аккаунта>/<имя сайта>/www/ в каталог /home/<имя хостинг-аккаунта>/<имя сайта>/

6. Измените префикс базы данных. Сделать это можно с помощью phpMyAdmin. Подключаемся, выбираем базу и выполняем SQL запрос SHOW TABLES

 

Получаем список всех таблиц в базе и копируем его. Далее для каждой таблицы создаем подобный запрос:

RENAME TABLE `wp_comments` TO `wpnew1_comments`;

Выполняем запросы:

Чтобы убедиться, что префикс wp_ больше не используется, выполняем запрос:

SELECT * FROM `wpnew1_options` WHERE `option_name` LIKE '%wp_%'

Необходимо вручную изменить префикс на новый, нажав кнопку «Изменить»:

Такие же действия проделываем после выполнения следующего запроса:

SELECT * FROM `wpnew1_usermeta` WHERE `meta_key` LIKE '%wp_%'

Последним шагом открываем файл конфигурации wp-config.php и изменяем префикс:

7. Измените стандартный логин администратора admin. Подключитесь к phpMyAdmin, выберите базу и найдите таблицу <префикс>_users:

 
 
Откройте ее и найдите в колонке user_login логин admin. Нажмите «Изменить», впишите новый логин администратора и сохраните изменения:
 
 
8. Измените URL админ-панели. Для этого используйте плагин https://wordpress.org/plugins/protect-wp-admin/. Установите данный плагин, откройте меню плагина, замените URL и нажмите «Save»:
 

Далее в разделе «Настройки – Постоянные ссылки» установите опцию «Название записи»:

Теперь админ-панель будет доступна по адресу site.com/wpmyadmin

9. Запретите доступ к файлу xmlrpc.php. Для этого в корне сайта в файл .htaccess добавьте один из вариантов ограничения:

# Редирект на локальный адрес. В логе будет код ответа 301.

RewriteRule ^xmlrpc\.php$ "http\:\/\/127\.0\.0\.1\/" [R=301,L]

# Запрещаем доступ к файлу. В логе будет код ответа 403.

RewriteRule ^xmlrpc.php$ - [F,L]

Также можете установить плагин - https://ru.wordpress.org/plugins/disable-xml-rpc-littlebizzy/

10. Отключите выполнение PHP файлов в директории загрузок. Это распространенное место для загрузки вирусов. Чтобы предотвратить выполнение вредоносного в случае взлома добавьте следующий код в файл /wp-content/uploads/.htaccess

<Files ~ "\.(php)$">

 Order allow,deny

 Deny from all

</Files>
11. Ограничьте доступ по IP к админ-панели. Эта рекомендация подходит для тех, у кого статический IP адрес. В файле .htaccess в корне сайта добавьте следующий код:
RewriteEngine on

RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ [OR]

RewriteCond %{REQUEST_URI} ^(.*)?wp-login\.php(.*)$

RewriteCond %{REMOTE_ADDR} !^127.0.0.1$

RewriteRule ^(.*)$ - [R=403,L]

Вместо 127.0.0.1 впишите Ваш IP адрес.

12. Небольшой firewall для сайта. Данные правила могут замедлить работу сайта, так как каждый запрос, поступающий на сайт, будет анализироваться с помощью данных правил. Если Вы заметите существенное понижение скорости работы сайта, не следует использовать данные правила. Вместо этого попробуйте использовать плагин https://ru.wordpress.org/plugins/wordfence/.

Добавьте следующий код в файл .htaccess в корне сайта - htaccess.txt

 

Приятной работы!

 

 


Добавить комментарий
Хотите ответить на существующий комментарий - воспользуйтесь кнопкой Ответить под комментарием на который даёте ответ.
Имя:
E-mail:

Обновить картинку
Ваш комментарий будет добавлен после проверки администратором.
Внимание! Чтобы ответить на существующий комментарий, пожалуйста, нажмите на кнопку Ответить, которая находится под соответствующим комментарием.

Другие полезные статьи:

Горячая линия
(044)
392 74 33
другие города