Способы защиты сайтов WordPress | ВесьТоп создание и продвижение сайтов

Поддержка сайта

Высокие позиции в поисковой системе, на прямую зависят от развития вашего сайта.

Продвижение сайтов

Эффективность стратегий продвижения подтверждается сотрудничеством с крупными клиентами и отзывами о нашей работе.

Создание сайтов

Мы делаем сайты быстро, недорого и профессионально. От работы с нами, у вас останутся только положительные эмоции.

Способы защиты сайтов WordPress

Онлайн-угрозы ежедневно угрожают миллионам сайтов WordPress по всему миру. WordPress является самой используемой платформой CMS во всем мире, и по этой причине она также наиболее подвержена атакам DDoS, вредоносным скриптам, вирусам и ботам, которые ищут уязвимости. Чтобы защитить свой блог, бизнес-сайт или другой онлайн-проект, созданный с помощью платформы, вот несколько основных рекомендаций, которые подходят даже для начинающих разработчиков WordPress.

Основные шаги по защите сайта WordPress

Установите правильные права для файлов и каталогов

Если вы используете общий хостинг Linux, вы разделяете аппаратные ресурсы сервера с другими пользователями. Чтобы защитить ваши файлы от несанкционированного доступа других пользователей, мы рекомендуем вам иметь 644 права на файлы и 755 прав на каталоги.

Проверка журналов доступа

Это один из самых важных шагов к защите вашего сайта.

Что такое журналы и как их увидеть? 

Журналы — это текстовые файлы, содержащие информацию о каждом посетителе вашего сайта, а также информацию о загруженных, скачанных и удаленных через FTP файлах.

Журналы посетителей можно найти в / home // access_logs /, а архивированные старые журналы, а также журналы FTP можно найти в / home // logs /.

Журналы также можно просматривать через cPanel, используя инструмент Последние посетители, и загружать через инструмент журналов доступа Raw.

Какие запросы безопасны, а какие нет?

На что нам нужно обратить пристальное внимание, так это на запросы POST без ссылки (ссылающийся адрес).

Пример двух запросов, первый из которых нормальный, а второй вызван скриптом:

1) 1.2.3.4 — — [26 / августа / 2016: 14: 23: 33 +0300] "POST /wp-login.php HTTP / 1.0" 302 — "https://yoursite.com/wp-login.php ? redirect_to = https% 3A% 2F% 2Fyoursite.com% 2Fwp-admin% 2Freauth = 1 "" Mozilla / 5.0 (Windows NT 10.0; WOW64) AppleWebKit / 537.36 (KHTML, как Gecko) Chrome / 52.0.2743.116 Safari / 537.36 " 2) 1.2.3.4 — — [26 / августа / 2016: 14: 23: 33 +0300] "POST /wp-login.php HTTP / 1.0" 302 — "-" "Mozilla / 5.0 (Windows NT 10.0; WOW64) AppleWebKit / 537.36 (KHTML, например Gecko) Chrome / 52.0.2743.116 Safari / 537.36 "

В первом запросе мы замечаем, что есть реферальная страница (URL), а во втором — нет. Это означает, что вредоносный скрипт пытается угадать пароль для администрирования WordPress.

Защита от инфраструктуры ICN.Bg.

Блокировка нескольких запросов POST: когда наша система обнаруживает несколько запросов POST к определенным адресам (в основном, административный доступ CMS), система блокирует IP-адреса, с которых исходит эта атака. Таким образом мы во много раз уменьшаем вероятность взлома вашего сайта или DDoS-атак.

Защита администрирования WordPress

Мы рекомендуем вам ограничить возможность редактирования файлов, шаблонов и плагинов WordPress посредством администрирования, поместив следующую строку в файл wp-config.php:

apacheconf define (‘DISALLOW * FILE * EDIT’, true);

Ограничьте файл xmlrpc.php

Этот файл часто используется для DDoS-атак. Если вы прекратите доступ к этому файлу, вы не сможете использовать протокол XML-RPC вместе с функциями pingback и trackback, которые в основном используются в комментариях к статьям.

Не переусердствуйте с плагинами

Добавляйте новый плагин только в том случае, если сайту и посетителям нужна новая функциональность и нет другого способа активировать его на сайте.

Не устанавливайте плагин защиты от DDoS-атак, так как он не может защитить ваш сайт — защита от этого типа атак наиболее эффективна на сетевом уровне. Вместо того, чтобы устанавливать другой плагин SEO, найдите время, чтобы прочитать инструкции Google, и вы найдете интересные отличия.

Важно обращать внимание на совместимость плагинов, а не устанавливать и активировать плагины с аналогичными функциями.

Мы рекомендуем больше

1) делайте регулярные резервные копии своего сайта;

2) пользоваться услугами надежного хостинг-провайдера;

3) предоставить на вашем сайте необходимые ресурсы для удовлетворения его потребностей — достаточное дисковое пространство, трафик, одновременные запросы к серверу (запросы Apache) и другие;

4) регулярно обновлять (обновлять) версии используемого ПО (ядро, темы, плагины, виджеты);

5) потратить время и пройти тесты, чтобы получить практический опыт работы с ключевыми элементами системы.

Другие методы защиты WordPress

  • CloudFlare + Railgun — технология кэширования статического и динамического контента сайта, таким образом, его копия (кеш) хранится на серверах CloudFlare и защищает вас от простоев сайта при выполнении множества запросов к нему (например, многие пользователи пытаются войти в систему одновременно). CloudFlare + Railgun — это совершенно бесплатный сервис для всех наших клиентов на плане общего хостинга.
  • Защита от DDoS-атак на сетевом уровне с помощью специализированного оборудования Radware Defense Pro, которое мы внедрили для всех наших клиентов. Это гарантирует нормальную и бесперебойную работу вашего онлайн-бизнеса. Radware Defense Pro помогает предотвратить переполнение соединения, DDoS-атаки, атаки на страницу входа, атаки CDN и наводнения на основе SSL.
  • Двухфакторная аутентификация — аутентификация ActiveAuth защищает ваши формы входа от несанкционированного доступа посторонних. ActiveAuth.me имеет интеграцию с WordPress и может быть легко добавлен на любой сайт на этой платформе.
  • Сертификат SSL. Сертификаты SSL — это простой способ защитить ваш сайт от «перехвата» конфиденциальной информации злоумышленниками и программным обеспечением. Они являются хорошим решением для дополнения набора средств защиты для защиты вашего сайта WordPress. Теперь все пользователи планов виртуального хостинга Экономический, Бизнес и Стандартный могут воспользоваться установкой SSL-сертификата Let’s Encrypt совершенно бесплатно.

Узнайте больше об уникальном наборе инструментов для управления, оптимизации и безопасности WordPress Management, специально разработанном технической командой ICN.Bg для клиентов с сайтами WordPress.

Читайте так же:
Not found

Нам доверяют

Интернет магазин