Безопасность WordPress своими руками

Если вы выполнили мои рекомендации по безопасности, о которых я писал ранее, то ваш сайт довольно хорошо защищен. Однако всегда можно сделать немного больше, чтобы усилить безопасность вашего сайта на WordPress. Некоторые из описанных ниже шагов могут потребовать знания кодирования.

Измените имя пользователя по умолчанию «admin»

В старые-добрые времена имя пользователя администратора WordPress по дефолту было «admin». Поскольку имя пользователя составляет половину учетных данных для входа в систему, это упростило хакерам проведение атак методом перебора (Brutforce). К счастью, WordPress с тех пор изменил это и теперь требует, чтобы вы выбрали собственное имя пользователя во время установки WordPress. Тем не менее, некоторые установщики WordPress в один клик по-прежнему устанавливают имя пользователя администратора по умолчанию на «admin». Если вы заметили, что это так, то, вероятно, стоит сменить веб-хостинг.

Поскольку по дефолту WordPress не позволяет вам менять имена пользователей, есть три метода, которые вы можете использовать для изменения имени пользователя.

Создайте новое имя пользователя администратора и удалите старое.

Используйте плагин Username Changer

Обновите имя пользователя из phpMyAdmin

Если у меня будет больше времени, то я постараюсь более детально рассмотреть все три способа как правильно изменить имя пользователя WordPress (пошагово).

Отключение редактирования файлов

WordPress поставляется со встроенным редактором кода, который позволяет редактировать файлы темы и плагинов прямо из области администрирования WordPress. В чужих руках эта функция может представлять угрозу безопасности, поэтому я рекомендую ее отключить.

Вы можете легко сделать это, добавив следующий код в файл wp-config.php.

// Disallow file edit
define( 'DISALLOW_FILE_EDIT', true );

Вы так же можете сделать это одним щелчком мыши, используя функцию усиления защиты в бесплатном плагине Sucuri, о котором я писал ранее в этой статье.


Отключение выполнения файлов PHP в определенных каталогах WordPress

Еще один способ увеличить уровень безопасности вашего сайта WordPress — отключить выполнение файлов PHP в каталогах, где они не нужны, например, /wp-content/uploads/. Вы можете сделать это создав файл с именем .htaccess в директории где будет запрещено выполнение файлов и вставив в него этот код:

<Files *.php>
deny from all
</Files>

Ограничьте количество попыток входа

По умолчанию WordPress позволяет пользователям пытаться войти столько раз, сколько они хотят. Это делает ваш сайт WordPress уязвимым для атак методом подбора (Bruteforce). Очень часто хакеры пытаются взломать пароли, пытаясь войти в систему с различными комбинациями.

Это можно легко исправить, ограничив количество неудачных попыток входа в систему, которые может сделать пользователь. Если вы используете брандмауэр веб-приложений, упомянутый ранее, то об этом позаботятся автоматически.

Однако, если у вас нет настройки брандмауэра, выполните следующие действия – Во-первых, вам нужно установить и активировать плагин Login LockDown.

После активации из меню Настройки перейдите » Login LockDown, чтобы настроить плагин.


Добавьте двухфакторную аутентификацию

Метод двухфакторной аутентификации требует от пользователей входа в систему с использованием метода двухэтапной аутентификации. Первый — это имя пользователя и пароль, а второй шаг требует аутентификации с помощью отдельного устройства или приложения.

Большинство популярных онлайн-сайтов, таких как Google, Facebook, Twitter, позволяют вам включить его для своих учетных записей. Теперь Вы тоже можете добавить эти функции на свой сайт WordPress.

Во-первых, вам нужно установить и активировать плагин двухфакторной аутентификации. После активации вам нужно нажать на ссылку «Двухфакторная аутентификация» на боковой панели администратора WordPress.

Two Factor Authenticator settings

Затем вам необходимо установить и открыть приложение для аутентификации на вашем телефоне. Доступно несколько из них, таких как Google Authenticator, Authy и LastPass Authenticator.

Я рекомендую использовать LastPass Authenticator или Authy, так как они оба позволяют создавать резервные копии ваших учетных записей в облаке. Это очень полезно, если ваш телефон потерян, перезагружен или вы покупаете новый телефон. Все логины вашей учетной записи будут легко восстановлены.

В этом руководстве я буду использовать аутентификатор LastPass. Однако инструкции одинаковы для всех приложений аутентификации. Откройте приложение для проверки подлинности и нажмите кнопку «Добавить».

Add website

Вас спросят, хотите ли вы отсканировать сайт вручную или отсканировать штрих-код. Выберите опцию сканирования штрих-кода, а затем наведите камеру телефона на QR-код, показанный на странице настроек плагина

Вот и все, теперь ваше приложение для аутентификации сохранит его и в следующий раз, когда вы войдете на свой веб-сайт, вам будет предложено ввести код двухфакторной аутентификации после ввода пароля.

Enter your two-factor auth code

Просто откройте приложение для проверки подлинности на своем телефоне и введите код, который вы видите на нем.


Меняем адрес администратора

Очень полезная функция от “мамкеных хакеров”, которым нечем заняться после школы. Меняем дефолтный логин адрес при помощи модуля Change wp-admin login — это легкий плагин, который позволяет вам легко и безопасно изменить wp-admin на что угодно. Он не переименовывает и не изменяет файлы в ядре. Он просто перехватывает запросы страниц и работает на любом сайте WordPress. После того, как вы активируете этот плагин, каталог wp-admin и страница wp-login.php станут недоступны, поэтому вам следует добавить в закладки или запомнить URL-адрес. Отключение этого плагина вернет ваш сайт точно в то состояние, в котором он был раньше.


На этом пожалуй всё, я надеюсь, что эта статья помогла вам узнать о лучших методах базовой безопасности WordPress, а также открыть для себя лучшие плагины безопасности WordPress для вашего веб-сайта.