Как защитить свой сайт на WordPress или 12 советов по защите Wp-login.php

Привет читатель блога jonyit.ru.

Последнее время участились атаки хакеров на блоги тысячники и в связи с этим я написал подробную инструкцию, по применению мер безопасности для защиты вашей панели администрирования. Как говориться предупреждён, значит, вооружен. Ведь в будущем когда вы станете блогом тысячником вам понадобиться защита и лучше уж защитить свой блог сейчас, а для этого внимательно прочитайте данную статью “Как защитить свой сайт“, а так же установите себе социальные кнопки wordpress на свой блог.

wp-login.php

Настоятельно советую применить несколько моих приёмов на своём блоге так как чем больше приёмов вы примените тем труднее будет пробраться в вашу админку хакеру. Перед тем как я перейду к практической части подпишитесь на мою Rss-ку, а то пропустите следующую мою статью по доступу к не своей панели администрирования или как взломать чужой блог 😉

1.Меняем WP-login.php на что-то своё

Теперь если вы используете тот же пароль для входа на других сайты, то считайте что вы поставили ваш блог под угрозу. Плагин под названием Stealth Login позволяет создавать пользовательские URL-адреса для входа в систему, выхода из системы, администрирования и регистрации в вашем блоге WordPress. Так же вы можете включить режим невидимости, который не позволяет пользователям возможность доступа к WP-login.php напрямую. После этого можно настроить свой URL к панели администрирования например “wp-jony” или “wp-toha”. Это не гарантирует полную защиту вашему блогу, но если кто то захочет взломать вашу панель администрирования он уже не будет знать, как войти в ваш блог.

Такой способ также предотвращает доступ к вашей панели администрирования любым ботам использующие вредоносные намерения.

stealthlogin

2.Выберите надежный пароль

strongpassword

3.Предел попыток для входа в WP-login

Иногда хакер может догадываться о вашем пароле и с помощью нескольких попыток сможет проникнуть в систему. В таком случае вам нужно сделать предел попыток входа в систему. Осуществить это вы можете с помощью плагина названием login-lockdown который будет блокировать вход пользователю, если он исчерпал число попыток или указанное время для входа в систему. Таким образом у вас будет вполне нормальная защита wordpress.

loginlockdown

4.Использование защищенной SSL Страницы для Входа в wp-login.php

sslsecurity

Вы можете войти в админ-панель wordpress через зашифрованный канал SSL. URL-адрес вашей ссесии уже будет выглядеть так https://. Но вы должны договориться с вашим
хостингом, о том что вы будете использовать зашифрованный канал SSL. После того как хостинг разрешит вам использовать SSL, вставьте следующий код в WP-config.php

define(’FORCE_SSL_ADMIN’, true)

Существует также плагин который называется Admin SSL, который заставит работать SSL на всех страницах блога, но он совместим только с версией 2.7 и выше.

5.Защита паролем WP-Admin каталог

askapache

6.Ограничить доступ через IP-адрес

Вы можете ограничить доступ к вашей панели администратора и разрешить только определенным IP-адресам доступ. Все, что нужно сделать, это создать Htaccess файл в WP-admin папке и вставить следующий код:

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "WordPress Admin Access Control"
AuthType Basic
 
order deny,allow
deny from all
# whitelist Syed's IP address
allow from xx.xx.xx.xxx
# whitelist David's IP address
allow from xx.xx.xx.xxx
# whitelist Amanda's IP address
allow from xx.xx.xx.xxx
# whitelist Muhammad's IP address
allow from xx.xx.xx.xxx
# whitelist Work IP address
allow from xx.xx.xx.xxx

Недостаток этого приема в том, что если вы хотите получить доступ к админ-панели из другого места, то вы не сможете сделать этого, если не добавить дополнительный IP в вашем Htaccess файле.

7.Никогда не используйте имя пользователя “admin”

8. Удалить сообщение об ошибке на странице Wp-login.php

errormessage

При вводе неправильного пароля или неверного имя пользователя, вы получаете сообщение об ошибке в Логин странице. Так что, если хакер получает сообщение об ошибке, то он сразу же понимает что вводит не правильные данные. Поэтому рекомендуется удалить сообщение об ошибке полностью. Откройте ваш functions.php который находиться в папке темы и вставьте следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

Плагин под названиемSecure-wordpress также решает эту задачу и имеет другие функции.

9. Использование зашифрованных паролей к WP-login.php

10. WordPress защита от вирусов

Antivirusдля WordPress является умным и эффективным решением для защиты вашего блога от эксплойтов и спам инъекций. Особенность этого плагина является ручное тестирование с немедленным результатом зараженных файлов, а также автоматическая проверка ежедневно с уведомлением по электронной почте. Советую очень.

11. Оставайтесь в курсе последних версии WordPress

И последнее, но определенно не в последнюю очередь это оставаться в курсе последних версий WordPress, потому что после каждой версии, WordPress также выпускает исправленные ошибки предыдущей версии, которая не ставит вашу админку под угрозу, если вы обновлены.

12. One Time Password

One Time Password плагин который позволяет войти в свой блог с использованием паролей, которые активны в течение одной сессии. Одноразовые пароли предотвращают кражи вашего основного пароля WordPress например клавиатурные шпионы

Тоже хочу отметить что это прекрасный плагин.

P.S.
Ну вот и всё дорогой друг теперь ты знаешь как  как защитить свой сайт от атаки хакеров.Чтобы эффективнее оптимизировать свой блог настоятельно рекомендую прочитать мои статьи Тонкая настройка SEO для WordPress и 8 Лучших плагинов кэширования WordPress, чтобы ускорить ваш сайт и продолжаем настройку worpress статьей “трюки настройке Wp-config.php”

Не забудь подписаться на мою Rss-ку, а то пропустите следующую мою статью “Как взломать чужой блог”.

И кстати, а как вы защищаете свой WP-login.php от хакеров?;)

Ну и напоследок видео: Как получить бесплатный трафик