Как да защитим WordPress?
Сред най – основните неща за Вашия онлайн бизнес е, да се научим, как да защитим WordPress сайта си от т.нар. хакерски атаки. Винаги приемайте сигурността на Вашия сайт сериозно, защото последствията могат да бъдат пагубни за Вашия бизнес.
Сигурна и надеждна хостинг компания
Тук няма спор, че надеждността на хостинг провайдъра е от първостепенна роля, за да можем да защитим WordPress сайта си. Именно за това, ние Ви препоръчваме да се възползвате от Супер услугите на Суперхостинг БГ. Защо избираме тях, а не някой от другите компании на пазара? Това е друга тема, на която ще отговорим друг път. Сега по същество.
Важно е хостинг провайдъра да предлага Сигурност, Защита, SPAM филтри, Бързина на сървърите, Дененощно обслужване – всичко това е гарантирано от от тях.
Забранете редактирането на файлове в системата
Чрез администрацията на WordPress всеки, който има достъп може да редактира системни файлове и разширения от Вашата WordPress инсталация. Забранете редактирането на файловете, за да можем да защитим WordPress сайта си. Отворете файла wp-config.php Скролнете почти накрая и добавете следната команда:
define('DISALLOW_FILE_EDIT', true);Непосредствено преди следната част от файла:
/* That's all, stop editing! Happy publishing. */
/** Absolute path to the WordPress directory. */
if ( ! defined( 'ABSPATH' ) ) {
define( 'ABSPATH', __DIR__ . '/' );
}
/** Sets up WordPress vars and included files. */
require_once ABSPATH . 'wp-settings.php';
Използвайте SSL сертификат
За да можем максимално да защитим WordPress сайта си, задължително трябва да имаме инсталиран сертификат към домейна. Сигурността на връзката е задължителна и от гледна точка на браузърите. Особенно, ако поддържате Онлайн магазин…
Премахнете версията на WordPress сайта си
Както знаете, WordPress декларира версията, която използвате в сайта си. Ако отидете на началната страница на Вашия сайт и натиснете клавишите на клавиатурата Ctrl+U ще Ви се отвори нов таб съдържащ кода на страницата. В кода на страницата се съдържа информацията за Вашата WordPress версия, като пример:
Смешното в случая е, че примера по – горе е от конкурентно студио за Уеб дизайн, които дори предлагат поддръжка и защита на WordPress сайтове от хакери! Както и да е… В случая, за да защитим WordPress информацията за сайта си, имаме два варианта.
Вариант 1 – Plugin (Не препоръчваме)
Вариант 2 – Малко код
Тъй като за нас е важно да защитим WordPress сайта си и в същото време да не го натоварваме с WordPress Plugins, ние ще го направим с добавяне на 5 реда код в function.php файла на child директорията Ви. Добавете следния код:
// Remove version info from head and feeds
function complete_version_removal() {
return '';
}
add_filter('the_generator', 'complete_version_removal');Сега можете да изпълните пак стъпките с Ctrl+U и потърсете. Вече никой не може да разбере версията на WordPress инсталацията Ви, чрез кода.
Променяйте периодично Вашите Authentication Unique Keys and Salts
Ключовете за сигурност на WordPress са набор от случайни променливи, които подобряват криптирането на информацията, съхранявана в бисквитките на потребителя. Има общо четири ключа за сигурност: AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY и NONCE_KEY
Тези ключове за сигурност затрудняват разбиването на паролата ви. Нешифрована парола като „потребителско име“ или „wordpress“ може лесно да бъде разбита, но на случайна, непредсказуема, криптирана парола като „88a7da62429ba6ad3cb3c76a09641fc“ са необходими години, за да се намери правилната комбинация. Трябва да използвате ключовете, за да можем да защитим WordPress сайта си.
За целта отново няма нужда да добавяме излишни разширения (Plugins), а можем просто да си генерираме нови и доста сложни, чрез един WordPress генератор, който е създаден от разработчиците на системата.
https://api.wordpress.org/secret-key/1.1/salt/ – при всеки refresh, генерира низове от различни символи, които можете да използвате. Генерираните ключове, се добавят във файла wp-config.php
Задавайте силни пароли за вход
За да можем максимално да защитим WordPress, не трябва да правим компромиси с паролите си. Пароли от рода на „admin1234“ са недопустими! Паролата Ви трябва да бъде от минимум 8 символа, като трябва да съдържа букви, символи и числа в себе си. Чрез този генератор на пароли, можем да защитим WordPress паролата си перфектно.
Защитете страницата за вход
Страницата чрез която влизате в Администрацията на Вашия WordPress сайт е /wp-login.php Тя трябва да бъде защитена, за да се избехнат Brute Force Attack. Най – лесния и доста добър начин за защита на WordPress администрацията е забраната за достъп до тази страница с изключение на Вашия IP address. Как може д а стане това?… Естествено с малко добавяне на код, но този път във файла .htaccess
< Files wp-login.php>
Order Deny,Allow
Deny from all
Allow from 123.456.789 - Заместете с вашия IP адрес
< /Files>