Безопасность и защита сайта на WordPress

Никто из нас не застрахован от неприятностей взлома, различных хакерских атак, воровства. Из за своей беспечности можно потерять Всё во что вы годами вкладывали свои силы и время.
Многие скажут, если серьезно кто то захочет взломать, то ничто не остановит. Да это так. Но для серьезного взлома, должны быть серьезные основания. Профессиональный хакер никогда не станет даже минуты терять на обычные, даже пусть очень популярные и раскрученные сайты. Безопасность сайта
Проблемы возникают в основном из за дыр в нашей модели безопасности и наличия в интернете огромного количества вредоносного программного обеспечения Вот эти дыры такое ПО и использует.

Впрочем это тот же самый взлом и программы создавали тоже люди, но с таким взломом бороться можно.
Первое с чего надо начинать, это с вопросов безопасности своего персонального компьютера. Если произойдет заражение каким либо трояном, считайте что лазейка будет найдена и этот руткит, рано или поздно, получит всю необходимую информацию о вашем сайте. 
Каким образом троян сможет получить реквизиты сайта? Все очень просто. При входе в «Панель управления», или использования FTP клиента, неважно какого, будь это Windows commander или Ftp filezilla, во время авторизации вся информация будет скопирована и передана по назначению - хозяину. А дальше уже дело техники.
Значит нужен хороший антивирус. Какой? Я, использую «Avast» и пока без проблем. Дополнительно 1 раз в месяц рекомендую проводить анализ системы с использованием антивируса DrWeb  http://free.drweb.ru/cureit, и конечно же в интернете есть много хороших  сканеров вредоносного програмного обеспечения.
Второе. Особо хочу подчеркнуть на важность работы с логином и паролями. По умолчанию, «WordPress», любому вновь созданному сайту присваивает логин с именем «admin» и сгенерированный пароль. Об этом и о других недостатках движка WordPress, прекрасно известно всем. Остается только включить метод перебора парольной части и замок откроется.
Вывод. Необходимо как можно быстрей сменить логин на свой - Уникальный. И в последующем менять как можно чаще свои реквизиты.
Общеизвестные рекомендации: Никогда не сохранять пароли в браузерах и ftp клиентах. В реквизитах сайта, сервера, своей почты и других местах регистрации должны быть разные пароли. Хранить только в специальных сервисных программах хранения, или на флешке и ни в коем случае в текстовом файле на HD компьютера.

Смена пароля и логина сайта на WordPress.

Обязательно заранее продумайте и запишите ваши новый логин и пароль в файл систематизации. Работу проводите осторожно и внимательно.
Заходим в панель управления WordPress

а). Смена только пароля

Нажмите на рис.

Смена пароля на WordPress
1). Наводим курсор мышки на клавишу "Пользователи", и 2). в подменю нажимаем на «Ваш профиль»
В панели «Ваш профиль» опускаемся в низ страницы
и нажимаем на 3). «Создать пароль»

Прописываем новый пароль
и нажимаем на 4). «Обновить профиль»

 

б). Смена Логина (admin)
Добавление нового пользователя (С новым Логином и паролем)

Нажмите на рис.

WordPress замена логина "admin"

На панели управления клавиша "Пользователи"  "Добавить нового"


Имейте ввиду Email и пароль нового пользователя должны быть другими не как у admin.

Заполняем все поля как на рисунке
Нажимаем на 1). «Добавить нового пользователя»

Через несколько секунд обработки. Система  информирует
"Новый пользователь создан" И вы увидите двух пользователей.

Выходим из панели управления и снова заходим но уже от имени нового пользователя с новым именем и его паролем. (Пользователя "admin" как вы уже догадались мы удалим).

В панели управления курсор мышки на клавишу "Пользователи"
и нажимаем на "Все пользователи"

Нажмите на рис.

Удаление пользователя admin

При наведении мышки на Пользователя с именем admin, появляется диалог. Нажимаем на "Удалить"

 Система запросит подтверждение на удаление

Нажмите на рис.

Обеспечение безопасности сайта

Ставим галочку  1). "Связать все содержимое"

2). Нажимаем на кнопку "Подтвердить удаление"

Всё, "Опасного admina" в системе нет. Но вопрос безопасности на этом не заканчивается.

В хостинге TimeWeb

Логин изменить невозможно, можно сменить только пароль. Сервис самодостаточен для защиты от внешних угроз. Если мы будем причиной любой инфекции для сервера, тут же попадем в фильтр.

Как сменить пароль.

Заходим в панель управления хостинга 

В старой панели в колонке "Общая информация" находим строчку "Имя пользователя" правее - изображение ключа, на него и нажимаем. Попадаем на страницу "Смена пароля". Вводим в поля  текущий пароль и дважды новый. Далее нажимаем на кнопку "Сменить пароль" Сделано все правильно, получим подтверждение о смене пароля.

В новой панели управления в шапке нажимаем на свой профиль аккаунта (фотография ваша или изображение будущего фото), попадаем на страничку "Профиль аккаунта" На первом месте с рекомендацией чаще менять пароль тоже ключик и далее как в старой панели.

 

Третье. На WordPress очень много различного дополнительного программного обеспечения, которое так же подвержено всевозможным атакам. Но и разработчики в постоянном мониторинге, проводят различные апгрейды и наша задача, не запускать, а своевременно проводить все обновления, что нам предлагается.

Четвертое. Много споров и дискуссий и столько же мнений по поводу двух текстовых файлов, которые имеются в корневой директории сайта. И их вероятной помощи взломщикам.

Речь идет о файлах readme.html и license.txt. с информацией о CMS WordPress. Если к адресной части главной страницы добавить название любого из этих файлов, то в браузере мы увидим их содержимое, и главное какая версия WordPress установлена на нашем сайте. На работу сайта вообще никакого влияния они не оказывают, тогда удаляем без сомнения. Удалять самым простым способом, через Ftp клиент. Или при входе в панель управления TimeWeb с использованием файлового менеджера. Открываете корневую директорию, находите эти файлы и удаляете. Напоминаю, что прежде всего удаляемые файлы попадут в корзину. Из которой их надо будет удалить навсегда. Конечно с Ftp клиентом намного проще.

Пятое. Резервное копирование всех файлов и базы данных сайта.

Этот вопрос конечно же должен быть на первом месте.
У меня установлен плагин "WordPress Backup to Dropbox" Автор: Michael De Wildt  
Dropbox

Как устанавливать плагины можно посмотреть здесь

Данный плагин совместим с работой сервиса "Dropbox". После установки и активации плагина,  вам выделяется 2 Gb объема физической памяти.

И на персональном компьютере устанавливается синхронизированная с сервисом папка. Принцип такой же как и у "Яндекс диск". Доступ возможен с любого компьютера (мобильного устройства).

Плагин в установленное вами время ( у меня 1 раз в неделю) отправляет резервные копии всех файлов в Ваш Dropbox (синхронно на сервис и персональный компьютер при его включении). И вы практически защищены от всех проблем и бед. При самом зверском взломе или вирусной инфекции, сайт ваш будет спасен. Обязательно устанавливайте.

Но что бы не допустить таких ненужных потрясений, здесь и подобраны основные меры безопасности сайта.

В установленном WordPress существует очень полезный и нужный файл особенно в вопросах "Безопасность сайта и его защиты". Название файла .htaccess IP Первый символ в названии файла "Точка"

Это директивный файл (распоряжения и указания на нужные ЗАПРЕТЫ и необходимые действия) Можно прописать вход в панель управления только с вашего Ip адреса и запретить с других адресов. Запретить просматривать определенные файлы, с определенными расширениями. Ограничить доступ в корневую дирректорию. Закрыть право доступа в панель управления после нескольких  неудачных попыток. И еще очень много других диррективных указаний.

Помимо всего выше изложенного необходимо провести изменения префикса таблиц вашей базы данных и еще много всего и разного.

Но как вы уже поняли, для этого необходимы знания языка Html и хотя бы основ программирования.

Но и здесь нам поможет один из самых лучших и необходимых плагинов в вопросах безопасности сайта.

 Называется плагин "All In One WP Security"

Рекомендую Ставить его Всем. Всем без исключения. Решены будут многие вопросы Это и защита от брутфорс атак (перебор паролей и логинов доступа). Защита базы данных, файловой системы, защита от хотлинга (нагрузка на ваш сайт используя ваши фото и рисунки). Блокировка ложных гугло роботов. Защита от спама. Сканирование на наличие вредоносных программ. И многое другое. Даже есть функция защиты контента от копирования но это уже другая сфера. 

Как установить и настроить данный плагин переходите на страницу.

Установка и настройка плагина "All In One WP Security"

19