Любой, у кого есть проект на Вордпресс (или на других CMS) может столкнуться с проблемой взлома его любимого детища. Если ваш сайт не мега популярен, то взламывать его специально никто не станет. Однако в сети круглосуточно шныряет огромное количество ботов и вредоносных программ, однажды туда запущенных злоумышленниками. Эти программы постоянно проверяют на предмет уязвимости то один, то другой сайт. В любое время очередь может дойти и до вас.
Что бы не было мучительно больно за свое детище, из за взлома которого вы потеряете все свои труды, на начальном этапе создания сайта необходимо принять меры по защите своего блога от взлома.
Рекомендуется все процедуры провести тогда, когда ваш сайт еще пустой. Это связано с тем, что некоторые защитные плагины вносят изменения в структуру сайта и отдельные его файлы. Когда сайт уже наполнен и работает, такие изменения могут привести к проблемам с работоспособностью или доступностью ресурса.
1. При установке Вордпресс на ваш сайт CMS по умолчанию ставит ваш логин как admin. В обязательном порядке меняйте логин на любой свой. Это первое правило безопасности.
2. Серьезный пароль. Помните, что блог – это ваш бизнес. Не нужно ставить пароль в виде даты своего рождения, цифр вида 12345 или 55555 и тому подобного. Такие пароли с легкостью взламываются программами путем простого перебора. Отнеситесь к созданию пароля серьезно: минимум 8 знаков, сочетание больших и маленьких букв, а так же цифр. Используйте в пароле знаки дефиса, скобки и нижнее подчеркивание. Это максимально усложнит подбор, а при наличии спец. символов делает взлом путем простого перебора практически невозможным.
3. Убираем виджет входа. По умолчанию в сайдбаре сайта на Вордпресс практически всегда стоит виджет «Мета». В нем есть пункт «Войти». Убираем этот виджет и больше никогда его не выставляем на всеобщее обозрение. Это делается для того, что бы не дать злоумышленникам доступ к странице со входом в админпанель.
4. Прячем страницу входа в панель управления. По умолчанию страница входа на любой блог Вордпресс имеет вид http:// адрес блога/wp-admin Бот или хакер заходит на страницу входа и начинает попытки получить доступ к сайту путем подбора пароля. Для того, что бы избежать таких попыток взлома необходимо изменить адрес страницы на другой, известный только вам. Сделать это можно например с помощью плагина WPS Hide Login.
Плагин устанавливается стандартно из репозитория Вордпресс. После установки заходим в «Настройки». Находим там вот такое поле:
И вписываем туда любой адрес, какой вам понравится. Не забудьте обязательно записать его в блокнот. Теперь ваша страница для входа на сайт будет находиться по этому адресу. Любой, кто попытается зайти на стандартную страницу входа /wp-admin или /wp-login.php получит сообщение об ошибке 404 (страница не найдена).
Этот плагин далеко не единственный, кто прячет страницу входа на сайт. Подобные плагины вы легко сможете найти в официальном репозитарии WordPress.
5. В большинстве тем, при публикации поста выводится имя автора. А это как вы наверное догадались – ваш логин входа на сайт. Необходимо изменить его через панель управления. Для этого зайдите в ваш профиль и отредактируйте его.
6. Если вы планируете разрешить регистрацию на вашем сайте, не давайте пользователям прав выше «Участник». Если регистрации не будет, обязательно проверьте запрет на регистрацию в панели управления.
Будьте внимательны, не храните пароли на компьютере или телефоне. Самым надежным способом остается на данное время старая добрая бумага. Записывайте пароли в блокнот, не открывайте спам и не переходите по подозрительным ссылкам. Будьте бдительны и удачи вам в сайтостроении!