15 пропуска при защитата на WordPress сайтове (Част Първа)

15 пропуска при защитата на WordPress сайтове (Част Първа)

Каквото и да кажем за WordPress ще бъде малко, защото това е най-популярната CMS система (Content Management System), за която вече сме ви говорили многократно. Но колкото и да говорим за WordPress сигурност, винаги ще има какво да допълним, тъй като хакерите стават все по-изобретателни и находчиви, както и нашите мерки за WordPress сигурност! В тон на започващата 2015 г. в две статии ще ви представим 15 най-добри начина за защита на WordPress.

1 Редовно актуализиране на WordPress – звучи простичко, но в забързаното ежедневие често забравяме да го направим

Untitled

WordPress Updates ви дава възможност да актуализирате вашето приложение само с едно натискане. Можете да стартирате актуализацията, като кликнете на посочения бутон или като отидете в таблото за управление и следвате Updates линка. След като сте в меню "WordPress Updates" кликнете на бутона "Update", за да започне процеса по обновлението.

При извършване на актуализация бихме препоръчали следните стъпки:

  • Направете backup на вашия сайт;
  • Изключете всички плъгини за кеширане;
  • Актуализирайте плъгини и теми;
  • Актуализация на WordPress;
  • Възстановете си кешираните плъгини и изчистете кеш паметта.

2 Правете редовно Backup на вашия уеб сайт

Винаги, винаги правете backup на вашия сайт. Можете да съхранявате архивното копие на вашия личен компютър или на cloud сървър. 1logo-350px-transperant40-300x102 прави редовно backup. Ако търсите автоматично бекъп решение, което да работи директно във вашия WordPress сайт, прегледайте следните приставки:

  • VaultPress - осигурява в реално време, непрекъснато архивиране и синхронизиране на всеки файл, коментар, медиен файл, редакция и настройка на таблото;
  • DropBox за WordPress - WordPress Backup за Dropbox е създаден, за да ви даде спокойствие, че блогът е редовно архивиран;
  • BackWPUp - направете резервни копия за вашия WordPress блог.

3 Управление на вашите плъгини

Untitled7

Плъгините правят WordPress толкова свеж и функционален, но не забравяйте, че те са и основна уязвимост на вашия сайт. Поради тази причина е важно да се инсталира само тези разширения, които имат добра репутация. Можете да прочетете ревюта в WordPress Plugin Directory. Много плъгини съдържат уязвим код и това ги прави лесна плячка за хакерите, което може да доведе до компрометиране на вашия сайт.

Потребителите често тестват различни плъгини или теми и забравят да ги премахнат, след като приключат работа с тях. Оставянето на тези плъгини или инсталирани теми, може да създаде уязвимост в сайта ви.

4 Блокирайте нежеланите посетители

Bots са автоматизирани компютърни програми, управлявани от хакери, за да атакуват агресивно и да получат достъп до вашия сайт. Това може да се отрази на трафика и ресурсите за вашия хостинг акаунт и да доведе до компрометиране на сайта.

Един ефективен метод за ограничаване на ботове е създаване или промяна на вече съществуващ .htaccess файл WordPress главната директория със следните редове:

SetEnvIfNoCase User-Agent ^$ keep_out SetEnvIfNoCase User-Agent (pycurl|casper|cmsworldmap|diavol|dotbot) keep_out



SetEnvIfNoCase User-Agent (flicky|ia_archiver|jakarta|kmccrew) keep_out



SetEnvIfNoCase User-Agent (purebot|comodo|feedfinder|planetwork) keep_out



Order Allow,Deny



Allow from all



Deny from env=keep_out

Подход за напреднали е да се използва 5G Blacklist.

5 Защита на вашата WordPress администрация

Untitled3

Можете значително да подобрите сигурността на вашия WordPress сайт като ограничите достъпа до административната част. Първо, можете да защитите с парола на администратор папката на вашия сайт. След като защитите папка wp-admin, ще се изисква допълнителна парола, за да се достъпи административната част на вашият сайт. След това можете да ограничите достъпа до wp-admin директория само за вашият IP адрес, както следва:

Създайте файл с име ".htaccess" във вашата wp-admin директория

Отворете файла и добавете следните редове:

Deny from ALL

Allow from x.x.x.x

Имайте предвид, че трябва да смените х.х.х.х с истинският си публичен IP адрес. За да добавите няколко IP адреса, просто възпроизвеждате Allow from x.x.x.x командатa за нов ред и промяна на адреса.

6 Сменете потребителското име на администратора

В WordPress потребителското име по подразбиране за администратор е admin. Злонамерените лица обикновено разчитат на това по време на атака. По тази причина ви съветваме да използвате различно потребителско име за администратора, което можете да създадете по следния начин:

  • Влезте в администраторския панел на Wordpress;
  • Кликнете върху "Добавяне на нов" в менюто "Потребители";
  • Въведете информацията за новия потребителски акаунт. Имайте предвид, че трябва да използвате различен имейл адрес, от този, който сте задали за вашия admin. За “Роля”, изберете "Administrator". Изберете новото потребителско име, което да не е подобно на името, което ще покажете публично в блога си;
  • Щракнете върху бутона "Add New User";
  • Влезте в WordPress отново, използвайки новoтo потребителско име;
  • Кликнете на "Потребители" в менюто "Потребители";
  • Преместете курсора на мишката върху "Админ". Ще видите линкове за "Edit" и "Изтриване". Кликнете върху "Изтрий";
  • Изберете "Всички мнения и връзки" и след това изберете новото си име от списъка на падащото меню. Уверете се, че сте избрали тази опция, в противен случай всичките ви постове ще бъдат изтрити;
  • Кликнете върху бутона "Потвърждаване на изтриването".

Също така може да се използва и алтернативен метод с използване на приставката iThemes сигурност , която ви позволява да извършите всички тези действия и променя ID по подразбиране в същото време.

7 Прилагане на двуфакторна идентификация

Untitled4

Двуфакторната идентификация е метод за вход в WordPress, при който бивате идентифицирани с вашето потребителско име и парола, а в последствие използвате и OTP (One Time Password).

За изпълнение на двуфакторна идентификация на вашия WordPress сайт може да използвате:

Очаквайте и втората част на статията, за да разберете още методи за сигурност на вашия WordPress сайт. А ако имате бавен WordPress, следвайте тези 7 стъпки!

Етикети: #sigurnost #ip-adres #wordpress-administratsiya #plagini #vaultpress #dropbox #cms-sistema #administrator #backwpup #htaccess-fajl #icn-bg #backup #wordpress #zashtita #wp-admin-direktoriya