CMS WordPress е добре защитена система, но уязвимостите могат да бъдат намерени във всяка система. Разработчиците на WordPress се опитват да направят CMS сигурността по-стабилна с всяка нова версия, но нападателите не седят със скръстени ръце. Ето защо, за да защитите сайта си от хакване, вируси и атаки, ще трябва сами да вземете някои мерки.

Мога да дам няколко практически съветиСъвети за сигурност на WordPress, които ще ви помогнат защитете своя WordPress сайт от основни заплахи, вируси и атаки.

Основни мерки за сигурност на WordPress

Защитата на WordPress от основни заплахи не е трудна, всичко, което трябва да направите, е да предприемете някои стъпки. За да опростите задачата, препоръчвам да използвате плъгина "Better WP Security".

След като инсталирате и активирате приставката в WordPress, отидете в административната зона на вашия сайт на страницата с настройки „По-добра WP сигурност“ и архивирайте базата си данни за всеки случай.

След това, за да позволите на приставката да прави промени във вашия сайт и файлове на двигателя, трябва да дадете разрешение, като щракнете върху съответния бутон.

На следващата страница, за да защитете сайта си от основни атаки, трябва да активирате тази опция, като щракнете върху съответния бутон.

Но това не е всичко. След като изпълните първите изисквания на приставката, пред вас ще се отвори таблица, която ще посочи всички потенциални точки на уязвимост на вашия сайт. За да защитите своя WordPress сайт, трябва да поправите всички пропуски в сигурността.

Отстраняване на уязвимости в WordPress

Ще видите приблизително следната таблица с уязвимости, в която критичните уязвимости са подчертани в червено, а некритичните уязвимости са подчертани в жълто и синьо, но те също трябва да бъдат коригирани.

Например взех стандартен несигурен блог на WordPress. Нека заедно поправим всички известни уязвимости в WordPress.

1. Проверете сложността на паролата за всички потребители

За да осигурите силни пароли за всички потребители, трябва да поправите първата уязвимост. Следвайте връзката „Щракнете, за да поправите“ и на страницата, която се отваря, изберете елемента, както е на снимката по-долу „Роля на силна парола – Абонат“. По този начин паролите на всички ваши потребители ще преминат проверката за сложност.

2. Премахване на допълнителна информация от заглавката на WordPress

WordPress по подразбиране публикува много допълнителна информация в заглавката на сайта, която може да бъде използвана от нападателите. За да изтриете такава информация, поставете отметка в съответното квадратче. Но бъдете внимателни, това действие може да доведе до неработоспособност на някои приложения и услуги, които по някакъв начин имат достъп до вашия блог чрез XML-RPC протокола.

3. Скриване на актуализации от неадминистратори

Третата точка е добре за нас, ако не сте, тогава ви препоръчвам да скриете наличните актуализации от неадминистратори. Тази информация все още ще бъде безполезна за вашите потребители, но нападателите могат да я използват.

4. Променете входа на администратор

Администраторският акаунт в WordPress по подразбиране е администратор и всеки знае това. Следователно вашият сайт е по-лесен за хакване. За да усложните хакването на сайта, препоръчвам да преименувате администраторския си акаунт. За да направите това, следвайте връзката „Щракнете тук, за да преименувате администратор“ и въведете ново име на администратор в съответното поле.

5. Променете Admin ID

По подразбиране на администраторския акаунт е присвоен и ID=1, който също е известен на нападателите, така че този параметър трябва да бъде променен. По-добрият плъгин за защита на wp ще промени идентификатора на администратора с едно щракване.

6. Променете префикса на таблицата на базата данни на WordPress

По подразбиране таблиците на базата данни на WordPress са с префикс wp_. Препоръчително е да промените префикса на всеки друг. Дори ако вашата база данни вече е пълна с информация, по-добрият плъгин за защита на wp ще промени префикса на таблиците на вашата база данни, без да губи данни. Препоръчително е да направите резервно копие на базата данни преди това действие, което направихме в самото начало.

7. Планирайте своите архиви

За да създадете редовно архивиране на вашата база данни, задайте някои условия и въведете вашия имейл, където ще бъдат изпратени копията на базата данни. По този начин можете да възстановите базата данни от копие по всяко време, ако е необходимо.

8. Забранете достъпа до административния панел в определено време

Този параметър не е критичен, но въпреки това, ако се притеснявате за сигурността на вашия WordPress сайт, тогава вероятно си струва да деактивирате хаотичния достъп до административния панел и да разрешавате достъп само в определени моменти, например в момента, когато ще работите със сайта.

9. Блокирайте подозрителни хостове

Ако знаете IP адресите на подозрителни хостове, от които може да се извърши атака на вашия сайт, добавете тези IP адреси към списъка за забрана и достъпът до сайта от тези IP адреси ще бъде затворен.

10. Защитете влизането от груба сила

По подразбиране плъгинът защитава входа от груба сила и блокира IP адреса след 3 неуспешни опита.

11. Скрийте администратора на WordPress

Тази точка не е критична, но все пак ще бъде полезно да скриете административната област на WordPress. Скриването на административната област на WordPress става чрез преименуване на директорията с администраторския панел. Физически, администраторският панел ще бъде в същата папка, но няма да е достъпен на http://your_site.ru/wp-admin.

Скрийте административния панел на WordPress, като въведете нови имена на директории в съответните полета и поставите отметка в квадратчето, за да активирате тази опция.

12. Защитете .htaccess файла и скрийте директории от изглед

Препоръчвам ви да скриете директориите на сайта от безплатно сърфиране, както и да защитите файла .htaccess. Можете също да деактивирате различни заявки към сайта чрез адресната лента. Напомням ви, че тези действия могат да доведат до конфликт с някои плъгини и теми.

18. Деактивирайте записването на wp-config.php и .htaccess файлове

Някои от елементите бяха завършени по подразбиране, така че предлагам да завършите най-важния елемент 18 за защита, който ще помогне да се предотврати презаписването на файловете wp-config.php и .htacces. Този момент е много важен, тъй като производителността на вашия сайт може да зависи от безопасността на файловете wp-config.php и .htacces.

20. Преименувайте папката със съдържание wp-content

Можете също да преименувате папката с основното съдържание на сайта wp-content. Нестандартното разположение на файловете ще затрудни достъпа на нападателите до тях.

Системата за управление на съдържанието на WordPress, поради огромната си популярност, също привлича недоброжелатели. Освен това „двигателят“ се разпространява безплатно, така че е още по-застрашен от пробив в сигурността. Самият WordPress е доста сигурен софтуер. Дупките започват да се отварят, когато потребителят инсталира плъгини и теми.

Несигурност на приставки и теми

За съжаление, не винаги е възможно да сме сигурни, че темите или плъгините са безопасни и безвредни. Техните платени версии имат много специфични разработчици, които ценят репутацията си. В резултат на това техните продукти са повече Високо качество, и вероятността да получите някакъв злонамерен код заедно с тях е доста ниска. Но, като нашите житейски опитИма изключения от всяко правило. Някои хора добавят безобиден код, за да предоставят обратна връзка, докато други го правят с напълно различна цел. Дори в самия „двигател“ понякога се разкриват уязвимости, които позволяват на нападателя да инжектира кода си в ядрото му.

Плъгини за защита от вируси

За щастие има редица полезни решения за WordPress, които могат напълно да сканират вашия ресурс за всякакви уязвимости и злонамерен код и ако бъдат открити, да посочат конкретното местоположение на тяхното „обитание“ или напълно да ги неутрализират. Нека да разгледаме някои доста висококачествени и надеждни плъгини за защита на вашия WordPress сайт.

Sucuri Security

Безплатният плъгин Sucuri Security е водещ инструмент за сигурност и се използва от огромен брой потребители на WordPress. Решението предоставя сайтове с няколко вида и нива на защита, сред които са следните:

• сканиране на всички файлове за злонамерен код;
• следене на целостта на файловете;
• регистриране на всички операции, свързани с безопасността;
• идентифициране и уведомяване за риска сайт да бъде в черен списък ESET, Нортън, AVGи т.н.;
• автоматично изпълнение на определени действия в случай на откриване на хакване.

Wordfence сигурност

Wordfence Security е решение, което извършва задълбочена проверка на уеб ресурс за уязвимости и злонамерен код не само във файловете на теми и плъгини, но и в самото ядро ​​на „двигателя“.

Плъгинът използва КОЙ Е-услуги за наблюдение на връзки. Благодарение на вградената защитна стена, той е в състояние да блокира цели мрежи. Веднага след като се открие мрежова атака, наборът от правила на защитната стена автоматично се актуализира незабавно, за да се противодейства най-ефективно на заплахите.

Антивирус

Приставката AntiVirus извършва ежедневно сканиране на всички файлове на сайта (включително теми, база данни) и изпраща електронна поща- докладвайте на посочения адрес. Освен това, Антивируссканира и почиства следи и при премахване на плъгини.

Quttera уеб скенер за злонамерен софтуер

Списъкът за сканиране и откриване на мощния Quttera Web Malware Scanner включва следните уязвимости:

• злонамерени скриптове;
• троянски червеи;
• шпионски софтуер;
• задни врати;
• подвизи;
• пренасочва;
• злонамерен вградени рамки;
• замъгляване и др.

В допълнение към този списък, плъгинът проверява дали сайтът е в черен списък.

Защита срещу злонамерен софтуер и защитна стена за груба сила

Добавяне Защита срещу злонамерен софтуер и защитна стена за груба сила l Проектиран да сканира и неутрализира познатите в момента уязвимости, включително скриптове задна врата. Антивирусните бази данни на приставката се актуализират автоматично, което ви позволява да откривате най-новите вируси и експлойти. Плъгинът има вградена защитна стена, която блокира мрежовите заплахи.

Характеристика на приставката е да осигури допълнителна защита на сайта (защита срещу груба сила, DDoSатаки, както и проверка на целостта на ядрото на WordPress). За да направите това, просто трябва да се регистрирате на уебсайта gotmls.net.

WP Antivirus Защита на сайта

WP Antivirus Site Protection сканира всички свързани със сигурността файлове на сайта, включително теми, плъгини и изтегляния в папка качвания. Откритият злонамерен код и вирусите ще бъдат незабавно премахнати или преместени в карантина.

Скенер за експлоатиране

Приставката Exploit Scanner се занимава единствено с идентифициране на подозрителен код (файлове на уебсайтове и база данни). Веднага щом нещо бъде открито, администраторът на сайта ще бъде незабавно уведомен за това.

Centrora WordPress сигурност

Цялостното решение Centrora WordPress Security е многостранен инструмент за защита на уеб ресурс от всички видове заплахи. Включва следните функции:

• търсене на злонамерен код, спам, SQL- инжекции;
• наличието на защитна стена;
• наличието на скенер за проверка на правата за достъп;
• извършване на архивиране.

Моля, кликнете върху един от бутоните, за да разберете дали статията ви е харесала или не.

Харесва ми не ми харесва

WordPress е една от най-популярните системи за управление на съдържанието, използвана за всичко - от блогове до електронна търговия. Има широка гама от плъгини и теми за WordPress. Случва се някои от тези разширения да попаднат в ръцете на уеб администратори, след като някой нападател е работил върху тях.

За своя полза той би могъл да остави рекламни връзки в тях или код, с който ще управлява вашия сайт. Много потребители на WordPress нямат страхотно преживяванев уеб програмирането и не знаят как да действат в такава ситуация.

За тях прегледах деветте най-ефективни инструмента за откриване на злонамерени промени в кода на сайт на живо или инсталирани добавки.

1. Проверка за автентичност на темата (TAC)

Theme Authenticity Checker (TAC) е плъгин за WordPress, който сканира всяка инсталирана тема за подозрителни елементи като невидими връзки или Base64 криптиран код.

Когато бъдат намерени такива елементи, TAC ги докладва на администратора на WordPress, което му позволява самостоятелно да анализира и, ако е необходимо, да коригира изходните файлове на темата:

2. Скенер за експлоатиране

Exploit Scanner сканира целия изходен код на вашия сайт и съдържанието на базата данни на WordPress за съмнителни включвания. Точно като TAC, този плъгин не предотвратява автоматично атаки или се справя автоматично с техните последици.

Той показва само откритите симптоми на инфекция на администратора на сайта. Ако искате да премахнете злонамерения код, ще трябва да го направите ръчно:

3. Sucuri Security

Sucuri е добре познато решение за сигурност на WordPress. Плъгинът Sucuri Security следи файловете, качени на вашия WordPress сайт, поддържа собствен списък с известни заплахи и ви позволява да сканирате отдалечено сайта с помощта на безплатния скенер Sucuri SiteCheck. Срещу месечна такса можете допълнително да засилите защитата на сайта, като инсталирате мощна защитна стена Sucuri Website Firewall:

4. Анти-зловреден софтуер

Anti-Malware е плъгин за WordPress, който може да открива и премахва троянски коне, бекдори и друг злонамерен код.

Опциите за сканиране и изтриване могат да бъдат конфигурирани. Този плъгин може да се използва след безплатна регистрация в gotmls.

Плъгинът редовно осъществява достъп до уебсайта на производителя, като предава статистика за откриване на злонамерен софтуер и получава актуализации. Ето защо, ако не искате да инсталирате плъгини на вашия сайт, които следят работата му, тогава трябва да избягвате използването на Anti-Malware:

5.WP Antivirus Site Protection

WP Antivirus Site Protection е плъгин, който сканира всички файлове, качени на сайта, включително теми на WordPress.

Плъгинът има собствена база данни с подписи, автоматично актуализирана през мрежата. Той може автоматично да премахва заплахите, да уведомява администратора на сайта по имейл и много други.

Плъгинът е инсталиран и функционира безплатно, но има няколко платени добавкизаслужава да се обърне внимание на:

6. Антивирус за WordPress

AntiVirus за WordPress е лесен за използване плъгин, който е в състояние редовно да сканира вашия сайт и да изпраща имейл сигнали за проблеми със сигурността. Плъгинът има персонализиран бял списък и други функции:

7. Quterra Web Malware Scanner

Скенерът Quterra проверява сайта за уязвимости, инжекции на код на трети страни, вируси, бекдори и др. Скенерът има такива интересни функции като евристично сканиране, откриване на външни връзки.

Основните функции на скенера са безплатни, докато някои допълнителна услугаще ви струва $60 на година:

8.Wordfence

Ако търсите цялостно решение на проблемите със сигурността на вашия сайт, не търсете повече от Wordfence.

Този плъгин осигурява постоянна защита за WordPress срещу известни видове атаки, двуфакторна автентификация, черен списък на IP адреси на компютри и мрежи, използвани от хакери и спамери, сканиране на сайта за известни бекдори.

Този плъгин е безплатен в основната си версия, но има и първокласна функционалност, за която производителят изисква скромна абонаментна такса.

Смешно е, че понякога се случват неща в живота. Попаднах на страхотен курс за Udemy за съвременните начини за защита и хакване на сайтове. Надграждайки нивото си на умения, пропуснах заразяването с вируси на моя блог. Най-вероятно потребителите на WordPress са изпитали симптомите по един или друг начин, които ще опиша по-нататък. Ако не, значи сте късметлия. Аз съм много дълго времеНе прикачих нищо към сайтовете, мислейки си как те все още успяват да заразят своите уеб ресурси. Още през 2014 г. бях изненадан от съобщения във форумите, че сайтът им с отлична посещаемост просто е заразен и отнет.

И така тази сутрин по пощата пристигна писмо от моя хост, което ме озадачи. Да, бях приятно изненадан, че ihc следи сайтовете за злонамерен софтуер, но съобщението, че един файл е променен през нощта без мое знание и това подозрение за вирусна активност предизвика хаотични емоции. Всъщност това беше потвърждение на подозренията ми.

Преди време открих, че показателят има кликвания към сайтове, които просто не мога да напиша в публикациите си. Когато се опитах да намеря тези връзки глупаво чрез търсачката на блога, бях пренасочен към Apache със съобщение за грешка. Дори тогава, подозирайки, че нещо не е наред, влязох в файла Търсене.phpактивна тема, в която видях объркан код. Тогава ме вкара в ступор, но поради липса на време не задълбавах. Както се оказа напразно. В крайна сметка това беше един от признаците на инфекция.

Пример за кодиран зловреден софтуер

Глупаво разчитах на средствата за откриване на злонамерен код от различни услуги, които засипват интернет. Всички те "радостно" ме информираха, че обектът е чист като утринна роса.

Представете си парадоксална ситуация - има неработеща функция за търсене, има обфуциран php код, така че злощастният уеб администратор да не види "подаръка", а антивирусните услуги просто мълчат.

Но да се върнем към нашите овце, по-точно към сайтовете. На всички тези сайтове имам разрешение на две нива. Може би това спаси сайта от отнемане от хакер. Два дни след заразяването search.phpПолучих известие от ihc.ru, че някои файлове са променени и ако не съм направил нищо, препоръчително е да проверя с антивирусната програма, предоставена от самия хостинг. Е, сега се появи възможността да тествам тази антивирусна програма, жалко, че любимият ми сайт беше обект на тест 🙁

Резултатът от проверката, меко казано, доста ме озадачи. Антивирусът изрита сайта за около четиридесет минути и след това изпрати своята „присъда“. 42 файла бяха заразени...

Тук беше време да се хванете за главата и да помислите как е могло да се случи такова нещо. От само себе си се разбира, че е имало експлоат. Но повече за това по-късно.

Беше необходимо да се обработи мястото, но за това трябваше да бъде внимателно проучено. Да, можеше да се направи много по-лесно - обединете дъмп на базата данни, прехвърлете снимки от wp-съдържаниеи качете отново всичко това в току-що инсталиран WordPress двигател. Но „по-лесно“ не означава „по-добро“. Всъщност, без да се знае какво е променено, човек би очаквал дупката да се появи и на повторно качения сайт. И тогава беше правилно да се превърнете в новоизсечен Шерлок Холмс, за да извършите пълен одит на сайта.

Намирането на зловреден софтуер е като да си детектив

Честно казано, такава страст и интерес не съм изпитвал отдавна. Да, хостинг антивирусът ми помогна по много начини, като посочи в кои файлове намери промени. Но дори той не можа да открие напълно всичко, тъй като кодът се редува с обфускиране и банално шестнадесетично кодиране, използвайки злонамерен js. Беше необходимо да се направи много с химикалки, като се използват всички инструменти на трети страни просто като помощници.

И така, стартираме редактора на кода и разглеждаме заразените файлове. Всъщност в кода те се „изстрелват“ достатъчно бързо поради своето криптиране. Това обаче далеч не е така навсякъде. Случи се, че е необходимо да се анализира кода на php файла ред по ред и да се разбере какво не е наред с него. Трябва да кажа веднага, че беше с файловете с теми. В този случай оригиналните тематични файлове са много полезни за сравнение, ако не сте сигурни за какво точно служи тази или онази функция (а правилно написан вирус трябва да наследява възможно най-малко).

Но нека разгледаме всичко по ред. Вече публикувах екранна снимка на кода, обфуциран от вируса в началото на статията. Използвайки ресурса https://malwaredecoder.com/, можете да го декодирате в смилаема форма и да го изучавате. В моя случай някои файлове съдържаха инжекцията. Изтриваме всичко това по дяволите.

Въпреки това, понякога може да срещнете кратък код с включване. По правило те се заразяват индекс.phpИ wp-конфиг.php. За съжаление не направих екранна снимка на такъв код, тъй като по това време не планирах да пиша статия. От този код стана ясно, че това е кодът за извикване на конкретен файл, кодиран чрез js. За да декодираме шестнадесетичния код, ще използваме услугата http://ddecode.com/hexdecoder/, с помощта на която ще определим, че файлът е извикан на адреса wp-includes/Text/Diff/.703f1cf4.ico(Пропуснах пълния път, важна е самата същност). Какво мислите, струва ли си да се кодира извикването на обикновен файл с икона, макар и относително просто кодиране? Мисля, че отговорът е очевиден и отворете тази "икона" през бележника. Естествено, това отново се оказа напълно кодиран php. Изтриваме го.

След като изчистите очевидните файлове, можете да преминете към не толкова очевидните - файловете с теми на WordPress. Тук обфускацията не се използва, трябва да изкопаете кода. Всъщност, ако не знаете какво първоначално е планирал разработчикът, тогава тази задача е много креативна, въпреки че може да бъде решена доста бързо. Ако не сте променили кода на темата, по-лесно е да замените заразените файлове (антивирусът ги идентифицира със сигурност) и да продължите напред. Или можете да разровите като мен и да откриете, че много често такива вируси се приписват на файла функция.phpабсолютно лява функция, в която със сигурност ще има код за достъп до sql. В моя случай изглежда така (форматирането остава непроменено):

$sq1="ИЗБЕРЕТЕ DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) КАТО com_excerpt-> ИЗ $comments-wdb JOPDB публикации ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\"1\" И comment_type=\"\" A ND post_author=\"li".$sepr."vethe". $comment_types."mes".$sepr."@".$c_is_approved."gm".$comment_auth."ail".$sepr.".".$sepr."co"."m\" И post_password=\ "\" И comment_date_gmt >= CURRENT_TIMESTAMP() ПОРЪЧАЙ ПО comment_date_gmt DESC LIMIT $src_count";

Къде отива тази проба, вече сме почистили. Затова спокойно разглеждаме в коя функция се намира този код и изтриваме цялата тази функция - тя беше приписана на злонамерения софтуер. Но, отново, е много по-лесно и по-добре да презапишете целия файл от готовата тема, ако се страхувате да не счупите нещо.

Е, последният щрих - проверете броя на потребителите на сайта. Всички мои сайтове винаги съм водил сам. Съответно не може и не трябва да има други потребители. Въпреки това, като се има предвид заразата, е лесно да се предположи, че те ще се опитат да откраднат сайта и да създадат собствен потребител с администраторски права. В моя случай се оказа wp.service.controller.2wXoZ. Изтриваме го.

Много работа е свършена, но има ли ауспух? Нека проверим отново с антивирусна програма, която съобщава, че не са открити повече вируси. Всичко, сайтът е излекуван.

Резултати

Както можете да видите, излекуването на сайт е доста просто, макар и отнема много време. След лечението е необходимо да се предотвратят подобни ситуации в бъдеще. Тук трябва да направите само няколко стъпки:

1. Актуализирайте самия WordPress до последна версия. Възможно е да са използвали експлойт за остарял двигател.
2. Проверете всички плъгини. Изтрийте всички ненужни (които сте сложили на "бъдеще" и не използвате) и проверете уместността на тези, които вече работят. Въпреки това, дори изтеглянето на плъгин от хранилището на WordPress не ви дава гаранция, че приставката ще бъде чиста. Зачестиха случаите, когато купуват този или онзи плъгин, правят злонамерен софтуер от него и при актуализиране на вашия сайт ще срещнете същите „радости“ като мен. В моя случай бях заразен точно така.
3. Винаги проверявайте темата. Ако е публичен - актуализирайте. Разбира се, по-добре е да го купите на същия templatemonster, въпреки че това не дава 100% защита.
4. Не пренебрегвайте инструменти като Wordfence. Въпреки че безплатната версия на приставката е много, много ограничена, поне ще знаете какво е подозрително на вашия сайт.
5. Веднъж месечно не бъдете мързеливи да стартирате сайта wpscan,за да видите какви уязвимости са се появили на него.
6. Обърнете внимание на корена на сайта. Може да има файл индекс.html.bak.bak. Това също показва, че имате заразен сайт (можете веднага да редактирате index.php, той е 100% заразен)
7. Не се доверявайте на антивирусите за публични сайтове. Има малко смисъл от тях.

Опитах се да покажа с моя пример как можете да излекувате WordPress сайт. Антивирусната програма на ihc.ru е просто скенер за злонамерен софтуер. Но той също направи нещата лесни. Независимо от това, дори ако вашият хостинг няма такава услуга, можете да идентифицирате и предотвратите инфекция, като използвате горния алгоритъм.

Здравейте приятели. Днес ще говорим за сигурността на нашия бизнес в Интернет. Всичко се случва в живота и нашите ресурси не са имунизирани от различни неприятности и изненади. Информацията е нематериална, така че може лесно да бъде повредена или унищожена. Има рискове, свързани с оборудването, на което се хостват сайтовете, някъде ние самите можем да „прецакаме“ и никой не е имунизиран от злонамереното намерение на външни лица.

По време на блога ми се натъкнах на първото и второто, и третото. А хакерите разбиваха сайтовете ми и понякога правеха нещо нередно. Но, за щастие, всичко се получи благодарение на предварително организирана защита.

Използвам няколко плъгини в моя блог, за да помогна за смекчаване на рисковете. Сега ще ви разкажа за тях. За първия вече говорих, а другите 2 разглеждам за първи път.

Плъгини за сигурност за WordPress

Разбира се, защитата на WordPress може да бъде организирана по други начини и плъгини, но аз използвам тези. Няма да говоря за инсталиране на плъгини, тъй като вече (намерете необходимия видео урок в статията) ще покажа само как да ги конфигурирате.

1. Приставка за архивиране на база данни на WordPress

Този плъгин ви позволява да архивирате базата данни на вашия уебсайт както автоматично, така и ръчно. Можете да ги изтеглите директно на вашия компютър или да ги изпратите по имейл до себе си. За да разберете по-добре. Този плъгин напълно запазва информационната част на сайта - текстове, техния дизайн, данни за потребители и други компоненти на сайта, но не записва самите файлове. Трябва сами да запазвате снимки и теми.

Този плъгин не трябва да се изтегля на вашия компютър, той е в базата данни с плъгини за wordpress, така че е лесен за инсталиране през административния панел, чрез търсене на плъгини.

Видео урок за настройка на архивиране на база данни на WordPress

Ако не ви е удобно да гледате видеото, ще дублирам настройката с текст и екранни снимки.

Как да инсталирате архивиране на база данни на WordPress

За да започнете, отидете на административния панел на вашия блог в секцията за инсталиране на плъгини и изберете секцията за търсене на плъгини. В полето за търсене въведете "wp db backup".

В списъка с плъгини той трябва да се появи на първо място, ако не, тогава превъртете малко надолу. Името на приставката ще бъде бутона за инсталиране. Използвайте го, за да инсталирате приставката. След инсталиране щракнете върху връзката, за да активирате.

След това преминаваме към неговите настройки. За да направите това, в контролния панел на блога трябва да намерите раздела инструменти и връзката за архивиране в него. Кликнете върху него.

Какви таблици да запазите?

В началото на настройката от нас се иска да изберем онези таблици на базата данни, които ще бъдат копирани. Сред тях са тези, които винаги се запазват и тези, които можем да спасим допълнително. Дори ако оставите всичко по подразбиране, ще се оправи. Ако разбирате какво означават тези или други таблици и какви функции изпълняват, поставете необходимите отметки.

Запазване на копие "тук и сега"

Следващият елемент "Настройки за архивиране" е отговорен за архивирането "тук и сега". Това е същият ръчен режим, когато можем да влезем веднага този моментнаправете резервно копие на базата данни. Като цяло всичко, което можем да конфигурираме тук, е място за запазване на архива. Първият елемент записва файла на сървъра на хостинг доставчика. Втората точка го изтегля на вашия компютър. Третата опция ви позволява да изпращате по имейл.

Бутонът "Създаване на архив" започва да записва.

Ако трябва да направите спешно копие, например преди голяма промяна на сайта, използвайте тази функция.

Планирано архивиране

Планираните архиви на база данни с приставката за архивиране на база данни на WordPress са точно това, което харесвам в него. В живота вие постоянно се въртите в бизнеса и поради суматохата може да забравите да направите нещо или просто няма достатъчно време. И с помощта на тази функция самият сайт прави всичко с определена честота.

Можете да настроите копиране на различни интервали от време от един час до два пъти месечно. Всичко зависи от това колко често добавяте нови публикации към сайта. Ако пишете често, архивирайте по-често и ако имате една статия на седмица, тогава веднъж седмично е достатъчно.

Освен това има отделен списък със запазени таблици за автоматично копиране. С една дума посочете честотата, изберете необходимите таблици, посочете пощенската си кутия, където ще идват копията, и щракнете върху „запомнете графика“.

Това завършва настройката на този плъгин. Да преминем към следващия.

2. Плъгин за защита на администраторския панел Login LockDown

Преди да говоря за настройката на плъгина, искам да дам една препоръка, свързана със същата тема. Не използвайте потребителското име за администратор по подразбиране, което ви дава wordpress, тъй като е лесно да отгатнете. Ако имате вход, различен от стандартния, достъпът до администраторския панел ще бъде много по-труден.

Инсталиране и конфигуриране на плъгина Login LockDown

Както в случая с предишния плъгин, Login LockDown е в базата данни на WordPress, така че също се инсталира чрез търсенето на плъгини. Намерете, инсталирайте, активирайте.

След това, през раздела параметри, отидете на Login LockDown

Има няколко полета, в които стойностите на всички параметри са зададени по подразбиране.

По принцип не можете да промените нищо. Ако искате да персонализирате плъгина за себе си, тогава полетата означават следното:

Макс. повторни опити за влизане - максимална сумасе опитва да въведе потребителско име/парола преди блокиране. Ако е посочено 3 и сте въвели грешна парола 3 пъти, административният панел се блокира.

Ограничение във времето за повторен опит (минути)- времето, за което административният панел е блокиран, ако паролата е въведена неправилно.

Дължина на блокиране (минути) - времето, за което административният панел е блокиран, когато е разрешен максималният брой невалидни записи за влизане. Моля, имайте предвид, че тук се проследява невалидно влизане. Тоест този, който въвежда данните, не знае входа.

Блокиране Невалидни потребителски имена? – активирайте или деактивирайте силното блокиране от предишния параграф.

Грешки при влизане в маска? – дали да скриете или не съобщението, че входът е въведен неправилно.

Задайте стойностите, от които се нуждаете, и натиснете бутона за потвърждение - Update Setting.

3. Плъгин за wordpress - AntiVirus

Името на този плъгин говори само за себе си. Той търси вируси и различен шпионски софтуер в шаблонния код на вашия сайт. Той няма такава изискана функционалност като антивирусните програми за персонални компютри. Антивирусът работи много просто - сканира файлове и, ако открие подозрителни кодове, ги докладва на собственика по имейл и в административния панел.

Той не може автоматично да защити wordpress файлове, вие сами трябва да проверите всичко, което подозира, и или да го оставите, или да го изтриете.

Инсталиране и конфигуриране на AntiVirus

По традиция влизаме в търсенето на плъгини през административния панел. Той е в базата данни на wordpress, така че се инсталира бързо и лесно.

Не изисква никакви настройки. И започва да работи веднага след активиране. Единственото нещо, което можете да направите с ръцете си, е незабавно да обходите сайта си. За да направите това, след активиране, трябва да отворите раздела AntiVirus в администраторския панел. Ще има бутон "Сканиране на шаблоните за тема сега" - той започва незабавно сканиране.

Също така на тази страница можете да посочите пощенската кутия, до която плъгинът ще изпраща съобщения. Ако това не бъде направено, всички имейли ще бъдат изпратени на адреса на администратора на сайта.

Всички подозрителни кодове са подчертани в резултатите от сканирането. Но не е нужно незабавно да бързате да ги премахнете. Подозрителен не означава злонамерен. Всеки елемент си струва да се провери. Ако разбирате php, няма да ви е трудно да разберете проблема.

Но ако не сте експерт в програмирането (аз също не съм експерт) - не се отчайвайте. Можете просто да сравните файловете, които AntiVirus е маркирал като подозрителни, с изходните файлове на вашия шаблон – те трябва или да са на вашия компютър, или на официалния уебсайт на създателя на темата. Ако тези части от кода са в оригинала, значи всичко е наред.

Трябва да потвърдите всеки проверен елемент, като щракнете върху бутона „Няма вирус“ - плъгинът вече няма да възприема този елемент като подозрителен.

Както всички допълнителни плъгини за wordpress, AntiVirus зарежда сървъра и забавя сайта, така че препоръчвам да не го поддържате активен през цялото време, да го включвате периодично, за да проверявате.

Резюме

Защитата на WordPress всъщност не е толкова трудна. Разбира се, няма начин да застраховате 100% от всички случаи в живота - хакерите постоянно намират нови вратички и вие се натъквате на нови решения на проблеми, но няколко предпазни мерки и няколко полезни плъгина ще ви позволят да спите спокойно, без да се притеснявате за работата на вашия сайт.