17 шагов, чтобы защитить ваш сайт на WordPress от хакеров

Сегодня мы поговорим о такой замечательной штуке как защита Ваших сайтов на популярном движке WordPress от хакеров и прочих злоумышленников.

Вас ждут простые, интересные и, самое главное, рабочие советы. Приступим.

1. Смените ваш логин
   Он у вас всё ещё admin? При создании сайта его ставят чаще всего. Это первое, что проверяют боты, ищущие прорехи в безопасности. Войдите в административную часть и создайте новую административную учётную запись с каким-нибудь другим именем. Затем выйдите из системы управления, войдите вновь и удалите аккаунт admin.
2. Необычный пароль
   Никто не хочет запоминать по 20 разных паролей, но жизненно важно, чтобы для вашего блога он был уникальный. Используйте прописные, строчные буквы, знаки пунктуации и пр.
   Пример: Vg8uB6Z.<4 – это отличный пароль.
   Есть программы, хранящие и генерирующие пароли – это то, что вам нужно. К примеру, Password Agent.
3. Обновляйте WordPress
   Одним из самых часто встречающихся случаев взлома сайта является использование устаревших скриптов. WordPress уведомит вас о выходе своей новой версии прямо в панели управления. Обновите его. Потеряв минуту, вы сэкономите часы в дальнейшем – новая разработка сайтов стоит и денег и времени.
4. Избегайте бесплатных тем
   Множество сайтов предлагают вам скачать уже готовые темы для оформления вашего веб-ресурса. В некоторых их них есть неприятные скрытые «сюрпризы». Используйте только доверенные сайты, вроде WordPress.org для скачивания тем или создавайте свою собственную с помощью бесплатных фреймворков.
5. Бойтесь плагинов
   Конечно, плагины дают вам отличную от базовой функциональность, однако, некоторые из них открывают двери для хакеров. Скачивайте их только с официального сайта Вордпресса и обращайте внимание на все появляющиеся предупреждения. Также, не забывайте обновлять плагины.
6. Храните только то, что вам нужно
   У вас есть несколько неиспользуемых плагинов? Даже будучи неактивированными, они могут представлять угрозу. Удалите все неиспользуемые плагины, темы, файл readme из корня сайта. Есть простое правило: меньше скриптов, меньше уязвимостей.
7. Делайте резервные копии
   Не все хакерские атаки могут повредить вам, но даже одна успешная испортит вам жизнь. Делайте регулярные резервные копии своего сайта! У многих хостеров эта функция включена по умолчанию и в случае проблем вам можно будет восстановить сайт из копии месячной, недельной, вчерашней «свежести».
8. Проверьте свой компьютер на наличии вирусов
   Нужно следить не только за своим сайтом на WordPress, но и за собственным компьютером. У вас должен быть часто обновляемый антивирус. Не хотите же вы заразить свой сайт, разместив там несколько вирусных файлов?
9. SFTP это не ФТП
   Все загрузки файлов на ваш сайт должны происходить через SFTP, если ваш провайдер позволяет это делать. Если нет, перейдите к более защищённому хостеру. Соединение будет происходить по защищённому протоколу и «плохие парни» не смогут его перехватить.
10. Защитите свои конфигурационный файлы
    Добавив специальный файл .htaccess в корень сайта, вы существенно повысите безопасность. Если у вас нет этого файла, создайте текстовой с этим именем и переименуйте его (расширения нет!). Код, представленный ниже, не даст злоумышленнику логин от базы данных в случае неполадок с PHP.
    <Files wp-config.php>
order allow, deny
deny from all
</Files>
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index\.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
11. Смените префикс у таблиц в базе данных
    Этот шаг только для новых установок (первоначальное создание сайтов, Пермь)(см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-либо другое.
    К примеру, $table-prefix=’movie_’;Как сменить префикс у уже работающих сайтов? Вам понадобится PHPMyAdmin и Dreamweaver (скачать дамп базы данных, произвести поиск/замену, закачать дамп снова).Если это выглядит слишком сложным для вас, в конце статьи будет описан более лёгкий способ.
12. Защитите каталоги от просмотра
    Чтобы хакеры не смогли просмотреть папки на вашем сервере, набрав их полный путь, защитите их с помощью .htaccess (добавьте туда Options -Indexes) или поместите в директорию пустой файл index.html
13. Защитите файл .htaccessВыглядит немного странным, что кто-то будет менять этот файл, но это самое сердце вашей защиты, поэтому, лучше о нём позаботиться заранее. Заприте каждую дверь, какую сможете. Поместите туда код:
    <files .htaccess>
order allow, deny
deny from all
</files>
14. Ограничения по IP адресу  Если у вас статичный IP-адрес, вы можете ограничить доступ к административной части сайта. Это отличный способ обезопасить себя. В файл .htaccess добавьте следующие строки:
    AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName "Access Control"
AuthType Basic
order deny, allow
deny from all
allow from ??.???.???.???
15. Ограничение попыток входа
    Обычно хакеры, подбирая пароль, делают множество попыток входа. Можно настроить систему так, что после 2й неудачной попытки ip-адрес злоумышленника будет заблокирован на несколько часов.
16. Запрет отслеживания HTTP заголовка
    Добавьте в .htaccess эти строки:
    RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* - [F]
17. Защита от SQL-инъекций
    Это самая часто встречающаяся форма атак на WordPress сайты. Многие хостеры закрывают эти возможные «дыры» в защите, но вам не мешает защититься и самим. Опять же, добавьте в .htaccess эти строки:
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 - 9A-Z]{0, 2}) [OR]
RewriteCond %{QUERY_STRING}  _REQUEST(=|\[|\%[0 - 9A-Z] {0,2})
RewriteRule ^(.*)$ index.php [F.L]

А чтобы не мучиться со всем этим, просто поставьте плагин Better WP Security. Он может всё вышеперечисленное и даже больше.