WordPress sigurnost - savjeti i dodaci. Razbijamo i štitimo WordPress vlastitim rukama

WordPress je nesumnjivo najpopularniji CMS i zbog njegove popularnosti, hakeri imaju tendenciju da ciljaju takve blogove. WordPress sigurnosni dodaci će vam pomoći da poboljšate sigurnost vaše web stranice. Zdravo, dragi čitaoče. U članku Sigurnost web stranice u 7 koraka govorio sam o tome kako možete lično, odnosno vlastitim rukama, voditi računa o sigurnosti svog...

Možda će vas zanimati i:

Kako ukloniti /kategoriju/ iz WordPress URL-a

Kako ukloniti kategoriju iz WordPress URL-a i zašto je to potrebno? Kako ovaj prefiks ometa promociju web stranice?

Kako onemogućiti i omogućiti uređivač datoteka u WordPress konzoli

Uređivanje WP-config.php me je nekako malo zanimalo, ali je vidljivo već neko vrijeme. Ipak, morao sam. Prijavljujem se na konzolu svoje stranice i tamo nema uređivača datoteka. Ti znaš...

Prije nego što pročitate ovaj članak, trebali biste jasno shvatiti da niko ne može dati 100% garanciju sigurnosti vaše web stranice (bez obzira na CMS). Pitanje je samo koliko koštaju informacije na sajtu. A ako košta milione, trebaće vam iskusan tim programera za zaštitu sajta, a ako košta nekoliko hiljada dolara, onda će sledeći saveti pomoći u velikoj meri da poboljšate bezbednost vašeg Wordpress sajta.

Pažnja! Pogledajte osnovna sigurnosna pravila koja su namijenjena većini lokacija i ne ovise o tome na kojem motoru su napravljena. Štaviše, u ovom članku se ne ponavljaju, jer... u njemu smo se fokusirali na karakteristike WordPress-a.

Kako zaštititi Wordpress od hakovanja?

1. Ažurirajte motor

Neprestano provjeravajte da li vaš Wordpress ima ažuriranja, jer... programeri koriste zakrpe da eliminišu sistemske ranjivosti. Evo jednostavnog primjera - haker pronađe ranjivost u motoru i hakuje je. S obzirom da se ovaj motor koristi na hiljadama sajtova, pomoću ove metode možete skoro automatski hakovati druge sajtove. Ovdje također možete dodati teme i dodatke. Stoga, nemojte biti lijeni i ažurirajte sve što se može ažurirati.

2. Nemojte koristiti sumnjive dodatke

Ne instalirajte nikakve gluposti na svoju stranicu. Danas postoji ogroman broj potencijalnih programera koji pišu razne dodatke uzalud. Takvi dodaci imaju veliki broj sigurnosnih rupa i ukusan su zalogaj za hakere. Stoga, instalirajte na svoju web stranicu samo ona proširenja koja su zaista potrebna i mogu je poboljšati. Pogledajte recenzije ovih ekstenzija i provjerite ko ih razvija.

3. Koristite pouzdan hosting

Ako pogledate sigurnost web stranice u cjelini, ona se može definirati kao kombinacija CMS-a i softvera koji je instaliran na serveru vašeg hosting provajdera. Da, da, da, ovaj softver također ima rupe i treba ga stalno ažurirati. Nažalost, to ne rade svi hosteri. Takođe, tokom DDOS napada na sajtove koji se nalaze na istom serveru kao i vaš sajt, loš hoster će imati vaš resurs nedostupan duže vreme. Općenito, odaberite kvalitetnu hosting kompaniju sa dobrim recenzijama i velikim brojem klijenata. Na našoj web stranici postoje ocjene koje se sastavljaju za određene zadatke web stranice, možete ih pronaći u.

4. Postavite jaku prijavu i lozinku

Nemojte koristiti administratorsku prijavu, jer ovo pomaže hakeru da pogodi lozinku za vaš admin panel. Također provjerite je li lozinka složena. I što je najvažnije, nemojte pohranjivati ​​login/lozinku u pretraživač i uvjerite se da na vašem računaru nema virusa (prate sve što se unese sa tastature i krade).

5. Ograničite broj pokušaja prijave

Ako haker pokuša da hakuje sajt pogađanjem korisničkog imena i lozinke, teoretski će jednog dana to i učiniti. Ovo se može spriječiti ograničavanjem pokušaja pogrešnog unosa sa jedne IP adrese. Da biste to učinili, koristite dodatke Ograniči pokušaje prijave i Zaključavanje prijave.

6. Koristite pouzdane teme

Prije instaliranja teme, obavezno pogledajte ko ju je napravio, pokušajte se uvjeriti da je to poznati i iskusan tim. Također biste trebali onemogućiti uređivanje datoteka tema sa administrativnog panela. Ovo će pomoći u slučaju da haker dobije pristup admin panelu. Da biste to učinili, dodajte sljedeće u datoteku wp-config.php:

define("DISALLOW_FILE_EDIT", istina);

7. Promijenite ključeve za šifriranje

Ključeve za šifriranje treba promijeniti, jer... standardne mogu biti poznate hakerima. Da biste to učinili, idite na posebnu uslugu na službenoj web stranici Wordpress i umetnite vrijednosti varijabli koje su tamo navedene u svoj wp-config.php. Ili sami smislite bilo koju kombinaciju slova.

8. Instalirajte sigurnosne komponente

Koristite sljedeće komponente kako biste poboljšali sigurnost vaše WordPress stranice:

• Better WP Security je jedan od najpopularnijih sigurnosnih dodataka sa moćnom funkcionalnošću
• WP Security Scan - provjerava mnoge sigurnosne parametre vaše stranice
• WP Antivirus - stalno skenira fajlove sajta radi hakovanja, i ako se otkrije, šalje e-poruku
• WP File Monitor - sličan prethodnom dodatku
• Securi Scanner - skener web stranica za hakiranje i ranjivosti.

9. Promijenite prefiks baze podataka

Kada haker želi da izvrši SQL injekciju, on već zna da standardna verzija Wordpressa koristi prefiks wp_, pa je preporučljivo da ga promeni. To se može uraditi bilo pomoću dodatka (jednostavan način, ali dodaci ne rade uvijek ispravno) ili putem PhpMyAdmin-a (malo teže za napraviti, pa smo napravili univerzalne upute).

10. Premjestite wp-config.php

Trebali biste premjestiti ovu datoteku izvan foldera public_html (ili njegovog ekvivalenta, gdje je instaliran Wordpress), na primjer, premjestiti ga za jedan nivo gore. Možete pročitati kako se to radi.

11. Blokirajte admin panel za strance

Učinite to tako da samo vi možete koristiti svoj admin panel. Da biste to učinili, pristup folderu wp-admin je blokiran za sve koji imaju IP adresu drugačiju od vaše. Da biste to učinili, morate dodati .htaccess datoteku u ovu mapu i dodati joj:

narudžba odbiti, dozvoliti
dozvoli od xxx.xx.xxx.xx
poriču od svih

gdje je "xxx.xx.xxx.xx" IP adresa sa koje se možete prijaviti na admin panel.

12. Postavite potrebne dozvole za folder

U klasičnoj verziji morate instalirati 755 na sve foldere, 644 na sve fajlove. Ponekad je folder wp-content postavljen na 777, ali bolje - 755 (iako to obično zabranjuje dodavanje sadržaja za korisnike trećih strana).

Ako mislite da ovom članku nedostaje neka preporuka, napišite o tome u komentarima i rado ćemo ga dodati.

WordPress je možda najpopularnija i ujedno jedna od najčešće hakovanih platformi. Iz nekog razloga postoji mišljenje da ako niko nije posebno zainteresiran za vašu web lokaciju, onda je neće hakirati - zašto? U stvari, bukvalno svaka web stranica (i ne samo WordPress) je u opasnosti od hakovanja, pa je važno voditi računa o zaštiti svoje stranice. Šta možete učiniti - odnosno koje dodatke instalirati - o tome ću govoriti u ovom članku.

Ovi savjeti će biti korisni ne samo kada radite sa WordPress-om, već i sa bilo kojim drugim CMS-om. Oni su osnovni, ali, kako praksa pokazuje, još uvijek postoje ljudi koji ne znaju za njih. Zašto sve ovo? Da otežaju život napadaču. Koristeći zadane podatke, haker može relativno lako hakovati vašu web lokaciju, kao i vašu bazu podataka. Stoga morate učiniti sljedeće.

1. Promijenite korisničko ime iz admin u nešto drugo.

Da biste to učinili, prvo morate kreirati novog korisnika kao administratora. Ovo možete učiniti ovdje:

Nakon kreiranja korisnika, prijavite se na njegov nalog i na listi „Svi korisnici“ izbrišite „admin“ nalog. U isto vrijeme, pokušajte da nova prijava bude nešto relativno složeno, ili se barem sastoji od nekoliko riječi: vasyapupkin99. Na primjer, možete koristiti svoj nadimak.

Neću pisati o lozinki - bolje je koristiti onu koju će Wordpress generirati za vas u fazi kreiranja naloga, nego da smišljate svoju (što će najvjerovatnije biti lakše).

2. Promijenite prefiks baze podataka iz wp u drugi.

Postoje dva načina da to uradite: ili tako što ćete sami urediti tabele u phpMyAdmin (ili čak samo u menadžeru datoteka), ili putem dodatka. Ukratko ću govoriti o obje opcije.

Promijenite putem phpMyAdmin

Moram odmah reći da ova akcija zahtijeva pažnju na detalje i određeno iskustvo u phpMyAdmin-u.

Prije svega, napravite sigurnosnu kopiju svoje baze podataka - to će vam pomoći da vratite informacije ako nešto krene po zlu (ili ste negdje uredili nešto pogrešno).

Sada idite na upravitelj datoteka i pronađite datoteku wp-config.php, u njoj red $ table_prefix = "wp_";

“wp” bi trebalo promijeniti u nešto drugo, manje vezano za WordPress i baze podataka. Možete ga čak promijeniti u proizvoljan skup slova i brojeva (ali morate ga zapamtiti ili zapisati).

Pažnja. Najbolje je napraviti ovu promjenu na svježe instaliranom WordPressu. Ima više informacija o već pokrenutim stranicama - više podataka će se morati promijeniti.

Nakon toga idite na phpMyAdmin (na Timeweb hostingu to se može uraditi direktno preko kontrolne table) i pronađite bazu podataka za željeni sajt. Sve tabele u ovoj bazi podataka treba preimenovati, zamenjujući „wp_“ sa onim što ste već napisali iznad.

Kako preimenovati: odaberite tabelu u lijevoj koloni, kliknite karticu "Operacije", zatim pogledajte blok "Opcije tabele" i red "Preimenuj tabelu u". Nakon što izvršite izmjene, obavezno kliknite na "Proslijedi".

Nakon toga potražite tabelu “…_options” na listi. Nakon što ga odaberete, kliknite na "Pregledaj" - u sadržaju ima otprilike sekunda stranici u koloni “meta_key” vidjet ćete wp_user_roles - promijenite prefiks “wp” u onaj koji ćete sada koristiti. Sačuvajte promjenu.

Sljedeća tabela koju treba promijeniti je “…_usermeta” – na sličan način pogledajte njen sadržaj i promijenite sve stare prefikse u nove.

Ako vam nakon uređivanja nešto počne raditi pogrešno ili potpuno prestane raditi, provjerite jeste li izvršili sve promjene. U krajnjem slučaju, koristite rezervnu kopiju.

Promjena putem dodatka

Ovaj dodatak ne treba predstavljati, pa ću odmah preći na ono što treba da se uradi.

Nakon što ste instalirali i aktivirali dodatak, idite na odjeljak „Zaštita baze podataka“. Tamo ćete vidjeti redak "Generiraj novi prefiks tablica baze podataka" - upišite prefiks koji želite da stavite (ili potvrdite okvir pored "Provjeri da sam dodatak generiše prefiks od 6 nasumičnih znakova dužine"), i kliknite na „Promeni prefiks tabele“. Nakon toga, ispod ćete vidjeti izvještaj o napretku promjene prefiksa. Da biste bili sigurni da je očekivani rezultat postignut, prijavite se na phpMyAdmin.

Još jednom da vas podsjetim da to treba učiniti na novoj stranici bez članaka, jer ako stranica već ima puno informacija, dodatak možda neće raditi ispravno.

Sve u jednom WP sigurnost i zaštitni zid

Pošto smo već prešli na korištenje ovog dodatka, reći ću vam o drugim stvarima koje mogu pomoći u povećanju sigurnosti vaše stranice.

U odjeljku "Postavke" dodatka idite na karticu "Informacije o verziji WP" i označite okvir pored "Ukloni metapodatke WP Generatora". Budući da se hakeri često oslanjaju na informacije sadržane u metapodacima, bilo bi dobro ukloniti ove informacije iz koda stranice.

Usput, ako još uvijek niste promijenili ime administratora (prateći gore navedeni savjet), onda to možete učiniti putem ovog dodatka - na kartici "Administratori". Samo upišite novo korisničko ime i ponovo se prijavite na panel (lozinka ostaje ista).

Ovdje možete vidjeti karticu "CAPTCHA prilikom registracije" - također aktivirajte ovu stavku.

Sada idite na odjeljak "Firewall" - ovdje stavljamo kvačicu u blokove "Osnovne funkcije vatrozida". Ostalo se može uključiti/isključiti po želji.

Odjeljak „Zaštita od napada grubom silom“: potrebno je omogućiti opciju preimenovanja stranice za prijavu i upisati željenu adresu u kolonu ispod. Ovdje je važno razumjeti - ova adresa će se koristiti za prijavu na admin panel, važno je zapamtiti to!

Završili smo s ovim dodatkom, idemo na sljedeći.

AntiVirus

Ovaj dodatak skenira datoteke web stranice u potrazi za zlonamjernim kodom. Korištenje je prilično jednostavno - nakon instalacije idite na njegove postavke i kliknite na "Skeniraj šablone teme sada", nakon čega će se skenirati sve vaše datoteke teme.

Također možete postaviti dnevnu provjeru sa izvještajem putem e-pošte.

Tokom skeniranja, dodatak ističe kod koji smatra sumnjivim. U isto vrijeme, bolje je da pažljivo provjerite sve komentare - ne govore uvijek o virusu. Ako nemate vještine programiranja, možete jednostavno usporediti pronađenu liniju koda sa linijom u kodu iste teme web stranice na vašem računalu ili od programera. Ako je snimak u početku prisutan, onda ga se ne treba plašiti.

Kao i drugi aktivni dodaci, AntiVirus učitava server (što znači da vaša stranica radi sporije), pa je bolje da ga koristite s vremena na vrijeme nego da ga stalno održavate aktivnim.

Wordfence Security

Ovaj dodatak je po funkcionalnosti sličan prethodnom, može se koristiti paralelno, neće biti ništa gore. Instalirajte, aktivirajte na isti način, idite na karticu "Skeniraj" i kliknite na veliko plavo dugme "Pokreni Wordfence skeniranje". Neke funkcije su dostupne samo za plaćene (premium) račune, ali je i osnovna funkcionalnost dobra. Ako je sve u redu s vašom web lokacijom, tada ćete vidjeti zeleni natpis „Čestitamo! "Wordfence nije otkrio nikakve sigurnosne probleme."

Reći ću vam o drugim dodacima koji se također mogu koristiti za zaštitu vaše stranice.

Sucuri Security

Generalno, Sucuri je kompanija specijalizirana za zaštitu web stranica, tako da pružaju zaštitu za bilo koju web stranicu (ne samo za WordPress). Dodatak ove ozbiljne kompanije sa impresivnom reputacijom ima široku funkcionalnost koja predstavlja puni ciklus zaštite sajta, uključujući sprečavanje hakovanja i napada na Vaš sajt. Možete koristiti besplatnu verziju ili možete kupiti plaćenu verziju za 16,66 dolara mjesečno - prilično veliki iznos, ali sasvim razuman za takav raspon sigurnosnih alata.

Da biste koristili besplatnu verziju, nakon instalacije morate generirati besplatni ključ (u plavom bloku na vrhu trebat ćete kliknuti na dugme „Generiraj API ključ“, provjeriti da li su uneseni podaci tačni i poslati aplikacija.

iThemes Security

Dok se Sucuri Security može nazvati najboljim plaćenim sigurnosnim dodatkom, iThemes Security se često naziva najboljim besplatnim dodatkom koji vrijedi instalirati radi zaštite vaše web stranice. Štaviše, sada ima više od 800 hiljada instalacija!

Neću puno pisati o funkcionalnosti - kao i svi drugi dodaci, iThemes Security ima za cilj zaštitu vaše stranice od većine stvari koje bi je mogle ugroziti, a ujedno provjerava postojeće stanje stranice. Inače, dodatak se ranije zvao Better WP Security - možda ga se neko sjeća pod ovim imenom.

Ako govorimo o njegovim funkcijama općenito, možemo istaknuti sljedeće aspekte ovog dodatka:

• sakrivanje i uklanjanje potencijalno ranjivih elemenata (ovo je napisano na početku članka - promjena administratorske prijave, prefiksa baze podataka i tako dalje);
• zaštita stranice od napada (skeniranje ranjivosti, zaštita od grube sile, enkripcija administrativnog panela, itd.);
• praćenje lokacije (za iznenadne promjene, blokiranje, itd.);
• oporavak (rezervna kopija u slučaju nužde).

Sada pređimo na korištenje samog dodatka.

Postavljanje iThemes sigurnosti

Dozvolite mi da počnem s činjenicom da ima i PRO (odnosno napredniju) plaćenu verziju, tako da nisu sve funkcije ovog dodatka dostupne u besplatnoj verziji (ali ih još uvijek ima puno).

Nakon instalacije, aktivirajte dodatak i idite na odjeljak "Postavke". U plavom bloku na vrhu možete omogućiti brute force zaštitu (Network Brute Force Protection) - da biste to učinili potrebno je zatražiti API ključ, koji će se automatski dodati u postavke (ali i poslati vam putem e-pošte).

Kliknite na “ Sigurnosna provjera” (gornji lijevi blok ili u meniju pod “Postavke”) i kliknite na “Sigurna stranica”. Nakon toga vidjet ćete listu omogućenih modula.

Sljedeći blok je “ osnovna podešavanja"(desno od "Sigurnosne provjere"). Pošto je dodatak skoro u potpunosti preveden, svaka stavka ima svoje objašnjenje - savjetujem vam da ih sve prođete i vidite koji vam je od njih najrelevantniji (čak i ako ga ne koristite, barem ćete znati gdje je sve je).

u " Nema slobodnih mjesta e" možete podesiti vrijeme kada će administrativni panel biti nedostupan. Ne morate ga koristiti redovno, ali ga možete koristiti kao sigurnosnu mrežu kada ste daleko od računara. U tom slučaju, možete ga konfigurirati ili kontinuirano (na primjer, svake noći) ili jednom na određeni dan i vremenski period.

Blokiraj " Blokirani korisnici“-ovdje je sve jasno, stavite ovdje sve koje treba blokirati.

“Lokalna zaštita od grube sile” - ovaj blok štiti od hakovanja brutalnim korištenjem lozinki. Već ste ga omogućili, postavke možete ostaviti kao zadane.

« Sigurnosne kopije baze podataka"- postavljanje sigurnosne kopije; u besplatnoj verziji govorimo samo o bazama podataka.

« Detekcija promjene datoteke"- izuzetno korisna funkcija koja će pratiti sve promjene u datotekama web stranice; Možete brzo pratiti aktivnost koja se iznenada pojavi na stranici. Obavezno ga uključite.

“Dozvole za fajlove” - blok prikazuje prava pristupa datotekama.

“Mrežna zaštita od grube sile” - mrežna zaštita od grube sile je da ako haker pokuša da hakuje tuđu stranicu, njegov pristup vašoj web stranici će također biti blokiran, čak i ako još nije pokrenuo napad na vašu stranicu.

“SSL” - možete konfigurirati korištenje SSL-a u ovom dodatku, a zatim ako imate web-lokaciju koju hostira Timeweb, preporučujem korištenje postavki na kontrolnoj ploči stranice.

“Snažna primjena lozinke” - ako vaša stranica zahtijeva registraciju drugih korisnika (forum, blog...), onda će ova postavka biti korisna, korisnici će morati birati samo složene lozinke za svoje naloge. U drugim slučajevima, ne može se koristiti.

« Fino podešavanje sistema" i " WordPress Tweaking"- ove dodatne postavke su potrebne kako bi se dodatno poboljšala zaštita vaše stranice. Ali postoji jedno upozorenje - omogućavanje nekih postavki može uticati na rad dodataka. Stoga ne biste trebali birati sve odjednom - omogućite jednu po jednu stavku i provjerite performanse svoje stranice.

Konačno, " WordPress soli"- postavka vam omogućava da lozinki dodate tajni ključ, koji će biti mnogo teže pronaći od lozinke zasebno. Ovo je obično nasumični skup znakova koji se dodaje tokom heširanja. Povremeno koristite ovu postavku (“Promijeni WordPress soli”) za promjenu soli.

Sve o sekcijama. Ima ih više u plaćenoj verziji, ali ovo je sasvim dovoljno da zaštiti stranicu od mnogih popularnih vrsta hakovanja.

Zaključak

Dodaci su bitan element sigurnosti vaše stranice, ali želim da vas podsjetim da nisu jedini. Ne zaboravite pratiti ažuriranja WordPress-a i dodataka, redovito mijenjajte lozinke i pravite sigurnosne kopije.

Projektom i nakon objavljivanja novih članaka, vjerojatno sam primijetio da sam se nedavno zainteresirao za pitanja kibernetičke sigurnosti.

Naime, načini da se naškodi vlasnicima web stranica i kako se od njih zaštititi.

Odmah ću reći da imam isključivo naučni interes za ovu oblast. Nikad nisam bio i nisam haker.

Kao profesionalni web programer, znanje o sajber sigurnosti je od suštinskog značaja za zaštitu stranica koje kreiram i održavam. Na to i vas pozivam, dragi moji čitaoci. Zapamtite da svako znanje ima tamnu stranu koju morate izbjegavati.

Međutim, isto tako ne mogu reći da ovom svijetu nisu potrebni hakeri, jer... njihove aktivnosti pomažu da se pronađu sigurnosne rupe i eliminišu (bilo bi bolje da rade samo ovo, a ne da koriste slabe tačke sajtova u svoju korist).

Međutim, zaneo sam se 🙂 I nisam vas upoznao sa temom današnjeg članka, koji je danas veoma popularan i ozbiljan - bezbednost WordPress sajtova.

U njemu ću govoriti o najčešćim greškama koje webmasteri prave prilikom zaštite WP resursa, zbog čega su često hakovani, kao io načinima za njihovo sprječavanje.

Mnogima opisane mjere mogu izgledati očigledne i banalne, ali uvjeravam vas... Zato ih većina korisnika ne smatra nečim ozbiljnim i često ih zanemaruje :)

A u isto vrijeme, ove propuste uspješno koriste hiljade hakera da svakodnevno hakuju WordPress stranice.

Također ću podijeliti svoje iskustvo u zaštiti WordPress stranica, koje sam već akumulirao.

Međutim, prvo o svemu.

Idi! 🙂

Šta trebate znati o WordPress sigurnosti?

WordPress je besplatna OpenSource web stranica. Pruža se apsolutno besplatno svima, što dramatično povećava interes programera za njega.

Svaki vlasnik kopije WordPress-a može je koristiti po vlastitom nahođenju: modificirati, distribuirati i kreirati vlastite projekte na temelju nje.

Velika popularnost i otvorenost WordPress CMS arhitekture je učinila veoma ranjivom i dostupnom napadačima koji mogu oštetiti resurs. Na kraju krajeva, otkrivena ranjivost se može brzo replicirati na stotine hiljada lokacija, ostavljajući vlasnike bespomoćnim pred iskusnim hakerima.

Zanimljive informacije o WordPress-u:

• 35-40% sajtova pokrenutih u RU domenskoj zoni u 2016. godini radi na WordPress-u;
• Trenutno, više od 500.000 različitih sajtova radi na WordPress CMS-u u RuNetu;
• ukupno je u svijetu pokrenuto više od 18.000.000 stranica na WordPress engine-u (početkom 2016.), za poređenje, godinu dana ranije brojka je bila samo 16.000.000, a 2012. - samo 6.000.000 stranica;
• Postoji oko 30.000 besplatnih dodataka za CMS dostupnih u službenom direktoriju dodataka;
• Više od 100.000 profesionalaca registrovano je kao programeri WordPress-a u 2012. godini;
• samo 20% korisnika instalira WordPress sigurnosne dodatke.

Kao što vidite, s jedne strane, sistem se aktivno razvija, koriste ga milioni korisnika, ali samo 1/5 webmastera brine o sigurnosti WordPress stranica koje posjeduju.

Zašto bi neko razbio WordPress sigurnost?

Počnimo s činjenicom da se WordPress stranice mogu hakirati automatski pomoću raznih robotskih programa i ručno.

Prvi je najčešći, jer ima ogroman uticaj. Štaviše, vaša stranica može biti ili ogroman portal sa prometom od nekoliko hiljada korisnika dnevno, ili lični blog koji ima najviše desetak čitalaca, uključujući i vas :)

S vremena na vrijeme na Internetu se pojavljuju informacije o tako masovnim napadima na WordPress stranice.

Automatsko hakovanje se oslanja na iskorištavanje sigurnosnih nedostataka u WordPress-u kao platformi. Resursi koji koriste staru verziju su posebno podložni tome, jer... Programeri stalno analiziraju razloge za uspješne WP hakove i otklanjaju nedostatke u novim verzijama.

Prilikom automatskog hakovanja WordPress stranica, napadači mogu biti vođeni sljedećim motivima:

• krađa web stranice - potpuno kopiranje resursa i prijenos na novu domenu kako bi se prisvojili rezultati rada programera, monetizirao resurs i tako dalje;
• primanje linkova od izvora za stvaranje satelitske mreže i poboljšanje profila veze;
• ucjena;
• pribavljanje ličnih podataka korisnika ili drugih korisnih komercijalnih informacija;
• ostvarivanje profita zamjenom informacija na web stranici (zamjena brojeva kartica, informacija o plaćanju);
• korištenje stranice za zarazu korisnika resursa slanjem pisama ili programa virusima;
• preusmjeravanje vašeg prometa na vaše resurse (redirect);
• koristeći sistemske resurse za skladištenje vaših podataka, efikasnije hakiranje drugih resursa.

Prilikom ručnog hakovanja web stranica, pored navedenih razloga, hakeri se rukovode i ličnim motivima, koji mogu uključivati ​​sljedeće:

• osveta;
• zavist;
• eliminacija direktnog konkurenta;
• hakovanje WordPress web stranice po narudžbi.

Ovo je samo mali dio mogućih motiva napadača, među kojima ima i komercijalnih motiva i ljudskih kvaliteta.

Zato su sigurnosne postavke WordPress-a obavezna faza u razvoju svake web stranice. Ako ga zanemarite, prije ili kasnije ćete postati žrtva napada.

Kako zaobići WP zaštitu?

• 40% – hakovi na hosting. Vlasnik stranice može imati malo utjecaja na sigurnost hosting platforme, tako da u početku morate odabrati visokokvalitetne hostere s pozitivnim recenzijama i dokazanom reputacijom.
• 30% se provodi kroz nesigurne teme koje sadrže ranjivosti bilo namjerno ili slučajno. Zaključak: Morate koristiti plaćene teme od pouzdanih provajdera. Lično preporučujem TemplateMonster resurs, gdje su svi šabloni strogo moderirani od strane profesionalaca radi sigurnosti i funkcionalnosti.
• 20% WordPress hakova je zbog ranjivih dodataka. Čak i najbolja WordPress zaštita je potkopana instalacijom dodataka sa namjerno postavljenim ranjivostima. Ovo također uključuje instalaciju čistog koda na web stranicu iz neprovjerenih izvora od strane korisnika koji imaju malo znanja o programiranju.
• 10% WordPress hakova zbog slabih lozinki. Hakeri jednostavno pogađaju ili grubo forsiraju lozinke, hakiraju stranice automatski ili ručno.

Sigurnost WP stranice mora se pozabaviti sveobuhvatno, to jest, čak i ako koristite WordPress Security dodatke, ali istovremeno instalirate neprovjereni kod na svoj resurs, izloženi ste riziku.

Pouzdana WordPress zaštita – da li je stvarna?

Sasvim. Na sreću, realnost je da postoje funkcionalnije WP stranice, o čijoj sigurnosti su se pobrinuli njihovi vlasnici, od hakovanih.

Da biste osigurali pouzdanu sigurnost WordPress-a, potrebno je samo slijediti određene preporuke, koje su, zapravo, vrlo jednostavne, au nekim slučajevima čak i primitivne.

Važno je imati nekoliko kopija stranice koje su pohranjene na različitim medijima koji nisu međusobno povezani u slučaju da vaša stranica bude hakovana.

U ovom slučaju, posedovanje rezervnih kopija pomoći će da se resurs vrati što je brže moguće. Optimalna shema sigurnosnog kopiranja za srednje i velike lokacije je sljedeća:

• 1 kopija se pohranjuje direktno na hosting - potrebna je za brz rad sa web lokacijom;
• 1 kopija je pohranjena na računaru vlasnika, koji je također pouzdano zaštićen od hakovanja vatrozidom i antivirusom - potrebno je za brzi oporavak u slučaju hakovanja;
• 1 kopija je pohranjena na cloud servisu kao glavni izvor rezervne kopije;
• 1 kopija se čuva van mreže na fleš disku.

S obzirom da je sajt stalno u procesu razvoja, važno je redovno ažurirati kopije na medijima, jer nikad ne znate kada bi vaš sajt mogao biti napadnut.

Sigurnosne kopije moraju pohraniti ne samo datoteke web stranice, već i podatke baze podataka.

Na hostingu, idealna frekvencija je 3 sigurnosne kopije dnevno, što je zadano postavljeno za mnoge hosting provajdere (na primjer, moj host TheHost).

Ali to u velikoj meri zavisi od slobodnog prostora na disku koji vam je obezbeđen na hard disku servera kao deo tarifnog plana koji plaćate.

Stoga je bolje ne štedjeti na sigurnosti :)

Druge vrste rezervnih kopija ne moraju se praviti tako često. Dovoljno je napraviti rezervnu kopiju u oblaku 2 puta sedmično, a na lokalnom računaru i fleš disku – jednom sedmično.

Besplatni dodaci za zaštitu WordPress stranica koji vam omogućavaju automatizaciju procesa kreiranja sigurnosnih kopija:

• Duplikator - pruža mogućnost kopiranja i premeštanja sajta, a takođe je i jednostavan alat za pravljenje rezervnih kopija;
• UpdraftPlus je dodatak za sigurnosno kopiranje u oblaku na Dropbox, Google Drive ili druge usluge.
• WordPress Backup to Dropbox je jednostavan dodatak za redovno pravljenje rezervnih kopija datoteka i baze podataka vaše stranice na Dropbox.

Ograničavanje prikupljanja informacija o stranici od strane napadača

Znajući koja se verzija WordPress-a koristi na vašoj stranici i koji su dodaci instalirani, hakeri mogu dobiti informacije o mogućim ranjivostima. Da biste to spriječili, potrebni su sljedeći jednostavni, ali efikasni koraci.

1. uklonite readme.html i licence.txt datoteke iz korijena stranice;
2. blokirati pristup .htaccess-u preko pretraživača koristeći direktive samog .htaccess-a;
3. obavezno provjerite izvorni kod HTML stranice da vidite da li su nazivi dodataka i njihove verzije spomenuti u bilješkama;
4. zabrani pristup install.php, wp-config.php i drugim sistemskim datotekama;
5. spriječi pregled sadržaja WordPress direktorija web mjesta pomoću .htaccess direktiva;
6. sakriti podatke o vlasniku stranice i autorima;
7. postavite prava pristupa na 755 za direktorije web mjesta na hostingu i 644 za datoteke.

site

Pristup admin panelu WP web stranice je zlatni san većine hakera. Ali, ipak, zaštita WordPress admin područja je vrlo jednostavna i postoji mnogo načina da to učinite.

Najefikasnija je kamuflaža.

Većina programa za automatsko hakovanje je konfigurisana na wp-login.php. Ako promijenite pristupnu adresu, možete značajno povećati sigurnost WordPress resursa, jer će automatski programi jednostavno generirati grešku pristupa. Moguća rješenja (dodatci):

• Login LockDown – brzo otkriva pogađanje lozinke i blokira zahtjev sa ove IP adrese;
• Revisium WordPress Theme Checker – određuje najtipičnije načine hakovanja vašeg šablona, ​​provjerava pristup admin panelu;

Ja sam lično otišao još dalje i pored navedenih mera ugradio sam i blokadu pokušaja prijavljivanja na admin panel putem IP adrese, čime je pristup admin panelu moguć samo sa više IP adresa.

To, međutim, unosi vlastitu neugodnost pri korištenju VPN usluga, koje su postale popularne među ukrajinskom populacijom zahvaljujući našoj zabrani VKontaktea, Yandexa i drugih ruskih resursa, ali ima pozitivan učinak na smanjenje broja pokušaja prijavljivanja na administrativnu oblast i napade grubom silom.

Inače, ovaj fenomen također stvara veliko opterećenje na web-lokaciji i bazi podataka, posebno zbog čega stranica može izgubiti svoju funkcionalnost na neko vrijeme, što negativno utječe na pozicije u rezultatima pretraživanja, promet resursa i stavove korisnika prema vama.

Odbijanje korištenja VPN usluga

Pošto sam o njima počeo govoriti u prethodnom pasusu, vrijedi reći da je njihova upotreba općenito krajnje nepoželjna, upravo iz razloga sigurnosti WP stranice i lokalnog računala i podataka koji se na njemu pohranjuju.

Stoga toplo preporučujem ljubiteljima VPN usluga da ih napuste. Barem dok radite u admin panelu WordPress stranice.

Prvo, VPN veza nije potrebna za rad u admin području.

I, drugo (i to je najvažnije), kada koristite VPN usluge, vaši podaci se prenose preko servera trećih strana, gdje se mogu koristiti na bilo koji način.

Shodno tome, napadači mogu ukrasti administratorsko korisničko ime i lozinku i koristiti za kontrolu vašeg resursa.

Odbijanje rada u WP adminu putem javnog Wi-Fi-ja

Nikada nemojte koristiti WI-FI vezu za pristup administrativnom panelu stranice koji koristi neko drugi.

Tokom istorije Wi-Fi mreža bilo je na hiljade slučajeva krađe administratorskih podataka, praćenih hakovanjem WordPress sajtova i krađom drugih vrednih informacija od vlasnika uređaja koristeći „besplatni“ internet na javnim mestima.

Štaviše, pristup takvim mrežama može biti zaštićen lozinkom ili ne - glavni uslov je prisustvo još nekog u njima osim vas, u čije motive ne možete biti 100% sigurni.

Na internetu možete pronaći mnogo programa koji vam navodno omogućavaju da zaštitite svoju Wi-Fi vezu kada koristite javne mreže.

Instaliranje SSL certifikata

Zanimljive stvari se dešavaju. VPN nije dovoljno pouzdan; općenito je zabranjeno koristiti javni Wi-Fi za administraciju stranice.

Šta onda učiniti ako treba da idete na dugo poslovno putovanje ili odmor, jednom rečju, dugo vremena se nađete bez proverenog i sigurnog Wi-Fi-ja, a sajt treba da se administrira u ovom trenutku?

U ovoj situaciji može pomoći korištenje SSL certifikata za prijenos podataka putem sigurnog HTTPS protokola.

Da biste pojednostavili prelazak WordPress-a na HTTPS, lično preporučujem korištenje posebnih dodataka koji znatno olakšavaju život.

• Really Simple SSL – dodatak vam omogućava da instalirate SSL certifikat za WordPress stranicu za nekoliko sekundi. Vi samo trebate nabaviti SSL certifikat, instalirati dodatak i aktivirati ga. Ostale radnje će biti izvršene automatski, uključujući preusmjeravanje, prilagođavanje .htaccess-a i zamjenu svih URL-ova web mjesta uzimajući u obzir HTTPS protokol.
• WP Force SSL je dodatak za preusmjeravanje prometa s HTTP-a na prošireni HTTPS protokol, uključujući ručno specificirane veze.
• Easy HTTPS Redirection je dodatak vrlo sličan WP Force SSL-u u svom djelovanju, jer... omogućava vam da konfigurišete preusmjeravanja sa HTTP-a na HTTPS i za sve URL-ove web-mjesta i za pojedinačne.
• SSL Insecure Content Fixer – Ovaj dodatak štiti vašu WordPress stranicu od opasnog sadržaja i upozorenja o miješanom sadržaju.

U ručnom načinu rada, instaliranje SSL certifikata na WordPress i njegovo konfiguriranje bit će vam prilično teško i skupo ako napustite dodatke i koristite usluge profesionalnih programera.

Provjera autentičnosti u dva koraka prilikom prijavljivanja u administrativnu oblast

Ova sigurnosna mjera je još jedan efikasan način zaštite WordPress admin područja zajedno sa postavljanjem HTTPS-a na WP stranici.

Sastoji se od korištenja ne samo standardnog unosa korisničkog imena i lozinke prilikom prijavljivanja na admin panel, već i unosa posebnog koda za potvrdu koji se šalje na vaš telefon.

Stoga, ako napad grube sile napadača bude uspješan i oni uspiju da pokupe informacije o administratorskom računu, onda će ih druga faza spriječiti da preuzmu kontrolu nad vašom web lokacijom.

Najjednostavniji i najprikladniji način implementacije dvofaktorske autentifikacije na vašoj web stranici je instaliranje posebnih dodataka. Evo liste najpopularnijih, poredanih u opadajućem redoslijedu preuzimanja:

• Google Authenticator - Dvofaktorska provjera autentičnosti (2FA)
• Duo dvofaktorska autentifikacija
• Rublon dvofaktorska autentifikacija

Neću davati opis njihovih mogućnosti, jer... svi su otprilike isti. A najbolji logo na wordpress.com je iz Rublona, ​​pa svakako dođite i pogledajte :)

Redovno ažuriranje WordP-ares

Glavna i najprimitivnija zaštita od hakovanja WordPress stranice je redovno ažuriranje motora. Hiljade hakera danonoćno pretražuju ranjivosti u verzijama WordPress-a, tako da što prije ažurirate, duže će trajati WordPress sigurnost vašeg resursa.

Ponekad je potrebno nekoliko dana od trenutka kada se otkrije „rupa“ do hakovanja stotina hiljada sajtova. Stoga, WordPress programeri vode neravnopravnu bitku sa hakerima širom svijeta, neprestano objavljujući ažuriranja koja eliminišu greške i slabosti.

I bilo bi glupo ne iskoristiti ovo. Instalirajte ažuriranje odmah, odmah nakon objavljivanja!

Zbog ove okolnosti, krajnje je nepoželjno sami vršiti izmjene koda motora, jer Nakon ažuriranja, ova funkcija vam neće biti dostupna.

Stoga, da biste uredili kod WordPress stranice, možete samo uređivati ​​datoteke teme i unositi izmjene u datoteku functions.php, zahvaljujući kojoj i prisutnosti WordPress API-ja možete postići željeni rezultat.

I dalje. Iako je o tome već bilo riječi, mislim da je potrebno podsjetiti da prije ažuriranja obavezno napravite sigurnosnu kopiju datoteka vaše stranice i baze podataka, jer Neke od zastarjelih WP funkcija i dodataka možda neće raditi na novoj verziji motora.

Promjena zadanih detalja administratora

WordPress podrazumevano pristupa preko administratorskog naloga. Ovo je jako loše, jer je jedna od uobičajenih metoda hakovanja pogađanje lozinke za određenu prijavu (napad grubom silom).

Drugim riječima, hakeri znaju da je vaša prijava Admin, generišu milione kombinacija lozinki i počinju da pokušavaju da se prijave na sajtove koje imaju u svojoj bazi podataka.

Na primjer, provjeravaju lozinku FDj2423 među milionima lokacija i postoji velika vjerovatnoća da se ona negdje koristi. Budući da više od polovine vlasnika ne mijenja standardni račun, zadatak hakera je uvelike pojednostavljen.

Da biste promijenili svoju prijavu i povećali zaštitu od hakovanja WordPress-a, trebate:

• kreirajte novi nalog sa složenom lozinkom;
• specificirati njegovu ulogu kao “Administrator”;
• obrišite korisnika Admin.

Najjednostavnije radnje koje značajno povećavaju sigurnost WP-a oduzimaju 3 minute vremena, ali ih, nažalost, rijetko izvode webmasteri početnici.

Uklanjanje nekorištenih dodataka

Još jedan propust koji vlasnike web stranica skupo košta. Ako ste htjeli testirati dodatke, a zatim ih odlučili deaktivirati bez uklanjanja sa stranice, i dalje ste u opasnosti:

• dodaci se mogu koristiti za ubacivanje zlonamjernog koda;
• nekorištene dodatke također treba ažurirati kako bi se poboljšala sigurnost;
• Činjenica da je dodatak siguran u trenutku instalacije ne određuje njegovu pouzdanost u budućnosti.

Malo van teme, ali generalno bih preporučio da koristite dodatke na minimum, jer oni ne samo da mogu postati vrata za hakere za pristup vašoj web-lokaciji, već i smanjiti njenu performansu (posebno ako koriste API-je usluga trećih strana ).

Dobra alternativa WordPress dodacima je korištenje čistog JavaScript i PHP koda, u kojem je napisan sam WordPress.

Ali ova metoda proširenja funkcionalnosti VP stranica, nažalost, također nije bez nedostataka.

Korištenje koda iz pouzdanih izvora

Kada koristite dijelove koda za proširenje funkcionalnosti stranice kao alternativu korištenju dodataka, također morate biti izuzetno oprezni.

Iz vlastitog iskustva reći ću da sam za ovu praksu, jer za razliku od dodataka koje pišu svi i niko ih ne moderira, kod po pravilu rade iskusni programeri (iako to nije uvijek slučaj takođe).

Osim toga, pregled dijela koda za zlonamjerne operacije ne traje toliko vremena kao kopanje u arhitekturu dodataka, koja može sadržavati do nekoliko desetina datoteka i direktorija.

Ali kada koristite kod umjesto WP dodataka, postoji značajna zamka - morate barem djelimično razumjeti programiranje i zaštitu WordPressa od hakovanja kako biste shvatili hoće li vam rad drugih programera koristiti ili naštetiti.

Ako nemate potrebno znanje ili prijatelje s tim, onda barem koristite mjerodavne izvore o čijoj se kompetentnosti može suditi prema recenzijama drugih korisnika i temi stranice na kojoj je kod postavljen.

Ako je web stranica, poput ove, posvećena isključivo web razvoju, onda je s velikom vjerovatnoćom njen autor sam programer, ili barem razumije i zanima ga programiranje.

Ukoliko želite da proširite funkcionalnost WordPress stranice kodom sa resursa koji govori o zarađivanju novca na internetu, nudi preuzimanje besplatnih programa i filmova ili jednostavno sa nekog ličnog bloga, gdje autor, pored ovih podataka, dijeli svoje recepte za jela od krompira - budite oprezni!

U suprotnom, vaša stranica se može pretvoriti u isto povrće. Ili jos gore :)

Ne želim nikoga da uvrijedim, ali ipak mislim da tim kodom treba da se bave profesionalci. Štaviše, sa dobrim namjerama.

Promjena prefiksa tablica baze podataka

Veoma jednostavan i efikasan način da se zaštitite od automatskog hakovanja WordPress resursa. Suština metode je jednostavna - mijenjate prefiks tablice promjenom standardnog wp_ prefiksa u proizvoljni, na primjer, bd_.

Ako neko nije svjestan, potreban je prefiks tablice baze podataka za pohranjivanje tablica u jednu bazu podataka stranice koje se koriste za različite stranice koje rade na istoj platformi i imaju ista imena.

Tako će se tablice koje pohranjuju podatke za svaku takvu lokaciju razlikovati od sličnih po prefiksu.

Promjena prefiksa se vrši ili korištenjem Softaculous skripte za automatsku instalaciju (nije dostupno na svakom hostingu), ili preimenovanjem tabela baze podataka preko phpMyAdmin web sučelja ili sličnog programa za pristup bazi.

Budući da je metoda radikalna i može uzrokovati poremećaj funkcionalnosti i pad prometa, bolje je sav posao obaviti u trenutku pokretanja projekta, ili postupno, testirajući funkcionalnost stranice.

Također, ne zaboravite promijeniti vrijednost varijable table_prefix u datoteci wp_config.php, koja se nalazi u korijenu vaše WordPress stranice, na sljedeće:

$table_prefix = "prefiks_";

Umjesto prefiksa, vrijednost varijable može biti bilo koji niz znakova koji smatrate potrebnim. Glavna stvar je da se ne igrate i ne pravite predugačak prefiks :)

Instalacija WordPress captcha

Ova tehnologija sajber zaštite je dio naših života već skoro 20 godina. Međutim, još uvijek nije moguće vidjeti njegovu upotrebu na svim stranicama.

Ako odjednom ne znate zašto je to potrebno, onda preporučujem da proširite svoje vidike zahvaljujući članku na linku.

Instaliranje captcha, u pravilu, potrebno je na različitim oblicima uz pomoć kojih se radnje izvode na web mjestu. Ovo je neophodno kako bi spriječili robote da se infiltriraju u vaš resurs i izazovu nestašluke :)

Najčešća mjesta za instaliranje CAPTCHA u WordPress-u su:

• obrazac za dodavanje komentara;
• registracija i prijava na stranicu;
• obrazac za povratne informacije;
• naručivanje (ako imate online prodavnicu na WordPress-u);

Captcha možete instalirati u WordPress ili ručno, koristeći API servisa trećih strana, ili koristiti posebne WordPress captcha dodatke.

Zaštita ličnog računara

Savjet je vrlo banalan, ali ga mnogi zanemaruju.

Nijedan WordPress sigurnosni dodatak neće pomoći u zaštiti stranice ako hakeri mogu dobiti pristup ličnom računaru sa kojeg se prijavljujete na admin panel.

Čini se: možete doći do stranice, ako ulaz u admin panel nije ograničen IP-om, sa bilo koje mašine. Ali glavna opasnost od hakovanja računara vlasnika stranice je da web pretraživač može sadržavati podatke za prijavu pohranjene u kolačićima, zahvaljujući kojima možete pristupiti stranici bez autorizacije.

Ili, kao i većina korisnika, jednostavno sačuvate podatke obrasca u pretraživaču, koji pamti akreditive vašeg administratorskog naloga.

Da biste zaštitili svoj lični računar, morate preduzeti sledeće mere:

• Izbjegavajte korištenje besplatnih antivirusnih programa.
• Nikada nemojte instalirati antiviruse preuzete sa izvora nepoznatih osoba. instalirajte samo programe sa službenih stranica. Vrlo često, pod krinkom antivirusa, naivni korisnici instaliraju špijunski softver vlastitim rukama.
• Koristite licencirani softver.
• Redovno ažurirajte svoj antivirus.
• Kreirajte složenu lozinku za pristup svom računaru (i općenito je koristite).
• Nemojte spremati informacije o nalogu administratora u vašem pretraživaču.
• Koristite zaštitni zid (standardni za vaš OS je u redu).

Zaštita e-pošte

Pošta je kamen temeljac čitavog sigurnosnog kompleksa. Hakirajući ga, napadač može promijeniti prava pristupa FTP serveru, admin panelu i dobiti potpuni pristup stranici.

Vrlo često, dok se fokusiraju na zaštitu WordPressa od virusa, vlasnici stranica zaboravljaju na potencijalne opasnosti e-pošte:

• za registraciju domena i hosting kreirajte poseban okvir;
• ne otvarajte sumnjive mejlove, posebno one sa priloženim fajlovima;
• Jednom svaka 2-3 mjeseca promijenite lozinku u složenu kombinaciju brojeva i slova;
• ne označavajte poštansko sanduče nigdje kao kontakt informacije;
• instalirajte autentifikaciju na dva nivoa (e-mail + SMS na vaš telefon) u panelu hostera i registratora domena.

Uključujući zdrav razum

Za početak, ostavio sam vrlo očigledno upozorenje, koje bi mnogima od vas moglo biti uvredljivo. Odlučio sam da ga postavim na poslednjem mestu, jer da ga vidite među prvima, teško da biste pročitali celu listu. Mislio si da te smatram budalama :)

Međutim, kada je riječ o sigurnosti WordPress stranica, tu ne može biti sitnica. A ako se ova preporuka ne shvati ozbiljno, sve dosadašnje mjere zaštite WP-a neće imati smisla.

Koristeći zdrav razum, mislio sam na primjenu najvažnijeg pravila sigurnosti - šuti. To znači da nikome ne odajete tajne podatke, bez obzira ko je vaš sagovornik. Niko vam nikada neće moći reći šta bi mu u jednom lijepom trenutku moglo pasti na pamet...

A kada sajt prestane da radi, dugo nećete moći da shvatite šta je razlog. Malo je vjerovatno da ćete čak i ozbiljno razmotriti faktor koji sam naveo zbog razmišljanja o formatu “Ko bi rekao da je on/ona sposoban za ovo?!”

Stoga, ponavljam, čuvajte svoje parametre veze preko FTP-a, SSH-a i baze podataka, kao i adresu admin panela i administratorski nalog sa lozinkom, tajnom.

Bolje je da nikome ne kažete adresu stranice ili činjenicu da ste njen vlasnik.

I ni u kom slučaju ne izazivajte napade na Vaš sajt glasnim izjavama da ste poduzeli sve sigurnosne mjere i zaštitili ga 200%.

Ako postavite cilj, onda iskusnom web programeru neće biti teško organizirati hakovanje WordPress stranice. Pa Bog čuva one koji su pažljivi :)

Slažem se, izgleda kao paranoja, ali da bi se osigurala zaštita WordPress stranice, sva sredstva su dobra.

Pregled sigurnosnih dodataka za WordPress

Zaključno, odlučio sam da vam predstavim najefikasnije WordPress dodatke za sveobuhvatnu sigurnost.

Pomažu u nadgledanju web lokacije zbog problema s njegovom WP zaštitom, pružajući ili alate za njihovo trenutno rješavanje ili preporuke za samopopravljanje.

Wordfence Security– analizator koji provjerava resurse za “rupe” u sigurnosti WordPress-a. Možete postaviti redovno skeniranje web mjesta kako biste se zaštitili od ranjivosti koje se pojavljuju.

Ovo je efikasna zaštita za WordPress od ddos ​​napada.

Radi na principu upoređivanja trenutne verzije stranice sa referentnom, a ako postoji neslaganje, pronalazi zaražene fajlove.

Acunetix WP Security– analizator pristupa sistemskim fajlovima, admin panel, proverava zaštitu podataka, složenost lozinke, daje preporuke za rešavanje problema.

Posebna karakteristika dodatka je da pronalazi najranjivija mjesta i predstavlja preventivnu sigurnosnu mjeru za WP lokaciju.

Pruža vrlo dobru WordPress zaštitu od virusa.

Sve u jednom WordPress sigurnost– uključuje zaštitu od najčešćih metoda hakiranja, uključujući pogađanje lozinke, lažiranje adrese administratora, zaštitu WordPressa od ddos ​​napada itd.

AntiVirus– skener malvera, učitava server, smanjuje brzinu učitavanja sajta, ali pruža pouzdanu zaštitu WordPress-a od virusa.

iThemes Security– dodatak za sveobuhvatnu zaštitu stranice, može napraviti sigurnosnu kopiju stranice, štiti admin panel, sprječava vanjski pristup, štiti od nagađanja vaše prijave ili lozinke.

Instalacija iThemes Security je rješenje za lijene. Ovo je sveobuhvatan sigurnosni dodatak koji rješava gotovo sve probleme početnika.

Paket funkcija uključuje: zaštitu admin panela, blokiranje korisnika po IP-u, zaštitu WordPress-a od neželjene pošte, reviziju sigurnosti, postavljanje zaštite za instalirane dodatke, održavanje izvještaja o pristupu sajtu.

Većina ranjivosti se može riješiti korištenjem rješenja koja nudi dodatak.

Anti-spam dodatak– štiti vašu WordPress stranicu od botova, brzo se postavlja i ima korisničko sučelje.

Sucuri Scanner je jedan od priznatih lidera u oblasti zaštite WordPress sajtova, besplatan je i veoma efikasan.

Automatski provodi reviziju sigurnosti lokacije i provjerava oštećenja sistemskih datoteka.

Uklanja otkriveni zlonamjerni kod, konfigurira stranicu nakon proboja sigurnosti ili ubacivanja koda.

Efikasno sprečava neovlašćeni pristup štiteći od hakovanja admin panela, a takođe obaveštava o mogućim kršenjima bezbednosti tokom rada sajta.

Ako želite pronaći više WordPress sigurnosnih dodataka, možete koristiti službeni direktorij, koji je dostupan na wordpress.org/plugins/tags/security.

Kada sami tražite odgovarajuća rješenja, važno je precizno identificirati programera, pratiti recenzije i reputaciju kompanije koja nudi dodatke.

Budući da je većina programa besplatna, zapamtite da je besplatni sir samo u mišolovci. Vrlo često napadači kopiraju nazive brendova i dodataka kako bi zarazili web stranicu virusima ili uveli zlonamjerni kod.

Sigurnost WordPress stranice - zaključci

Bez obzira koliko tužno zvučalo, nijedna od gore opisanih metoda i dodataka ne može pružiti 100% zaštitu WordPress stranice od hakovanja.

Postoji nekoliko desetina različitih tehnologija za pristup i nanošenje štete sajtovima, tako da ranjivost samo u jednom od zaštitnih faktora WP-a podrazumeva potpuni gubitak kontrole nad resursom.

Postoji najmanje 10 načina.

Međutim, kompetentan rad na razvoju projekta, preventivne mjere, analiza informacionog okruženja i usklađenost sa sigurnosnim mjerama vaše WordPress stranice pomoći će da se značajno smanji rizik od hakovanja.

I također, na kraju današnjeg članka o sigurnosti WordPress resursa, želim reći da svrha pisanja nije bila da vas paranoičnim zbog svoje ranjivosti, već da vas upoznam sa najjednostavnijim i najočitijim mjerama koje će vam pomoći štitite se od 80% modernih napada.

Inače, blaga paranoja je normalna pojava kada su u pitanju sigurnosni problemi :) Ipak, ne treba joj dozvoliti da kontroliše vaš život i da se svega plašite.

To je sve što imam. Ostavite svoja mišljenja i želje u komentarima ispod članka i podijelite ih sa svojim prijateljima pomoću društvenih dugmadi.

Sretno svima i vidimo se opet!

P.S.: ako vam treba web stranica, ali nemate vremena da je sami razvijete, mogu vam preporučiti svog pouzdanog partnera - . Nije bilo lako, ali ipak sam ti dao popust 20% , što će biti do 20 hiljada rubalja u zavisnosti od tarife koju odaberete 🙂 Evo promo koda - CCCP. Prilikom naručivanja navedite to i zagarantovan vam je popust! Možete reći i svojim prijateljima 😉