Как защитить wordpress?

Регистрация доменов
Домен RU - 99 руб
Домен РФ - 99 руб
www.

У меня такое ощущение, что все хакеры мира ополчились на мои сайты! Но на самом деле я просто стал видеть то, что видят работники хостингов - масса ботов просто решетят все сайты подряд, как из пулемета, в поисках дыр! Как я это обнаружил? И как защитить wordpress от взлома?

Все дело в том, что на сервере мне доступна статистика входящего и исходящего трафика ВИЗУАЛЬНО! И что же я вижу? А вот что:

Как защитить wordpress?

Периодически на сайт обрушивается лавина входящего трафика. Я догадывался, что тут что-то не так, но все стало ясно, когда я установил плагин limit-login-attempts.

Этот плагин делает простую вещь - блокирует доступ к админке, если пароль введен неправильно более скольких то раз. Это защищает сайт от взлома перебором паролей.

Все отлично, я тут же, после установки плагина понял, что мои сайты ПОСТОЯННО пытаются взломать. Очень скоро я получил вот это:

Как защитить wordpress от взлома?

Атака была такой интенсивной, что плагин перестал пускать даже меня. Ждать 24 часа я не стал, зашел по FTP и переименовал папку с плагином. Стало очевидно, что нужно что-то делать, и этот плагин тут не помощник.

Как защитить WordPress от брутфорса?

Брутфорс (от английского brute force — полный перебор или метод «грубой силы») – один из популярных методов взлома паролей на серверах и в различных программах.

Решение нашлось и оказалось ОЧЕНЬ простым! Следите за моими ручками....

Открываем файл .htaccess в корне сайта и вписываем туда такой код:

<Files wp-login.php>
 Order Deny,Allow
 Deny from all
</Files>

Мы блокируем таким образом доступ к странице авторизации site.com/wp-login.php. Теперь злобные хакеры будут упираться лбом в стену, и у них не то что пароль подобрать не получиться, а вообще ничего не получиться! Сайт будет показывать им такую страницу:

Читайте также:  Взломали сайт, что делать?

Как защитить сайт wordpress?

Ну а как же нам зайти на свой сайт? Все просто! Переименуйте файл wp-login.php в типа login777.php. Теперь откройте этот файл и все слова wp-login.php переименуйте на ваше название login777.php. Теперь на сайт зайти можно по адресу site.com/login777.php. Вот можно просто защитить сайт wordpress от перебора паролей.

Но это еще не все. Злобный хакер может понять, что с этим сайтом какая-то беда и захочет вручную найти страницу входа вордпресс. Как он это может сделать?

Как скрыть wordpress админку?

Посмотрит он в site.ru/robots.txt, так как многие там, в том числе и я, закрывают эту страницу от индексации:

Как скрыть wordpress?

Вот, спалил свою админку, придется менять 😉 Хотя, хакеры не будут читать мои статьи, думаю.... Вы уже изменили логин admin на что-то другое? Если нет, то немедленно это сделайте, так как это может спасти вам жизнь сайт...

Как защитить сайт от взлома еще?

Вот некоторые мои рекомендации, вымученные годами:

  1. Не используйте FTP. FTP -  не защищенный протокол, и любой студент, подрабатывающий у вашего провайдера, может запустить сниффер и спарсить все ваши пароли. Используйте только SSH для доступа к сайту, или панель хостинга.
  2. Используйте VPS. Пока я был на простых shared хостингах меня постоянно ломали. Ломали даже не меня, ломали моих соседей, и так как сервер один, то попадал под раздачу и я. Мне заражали сайты, заливали дорвеи, воровали пароли, DOSSили и может что еще, чего я даже не знаю. Как только я перешел на VPS - ВСЕ эти проблемы исчезли!
  3. Отключите XML-RPC. Это такой протокол для удаленной публикации, вам он, скорее всего, СТО ЛЕТ не нужен, но через него могут осуществлять атаку на сайт. Можно просто удалить в корне сайта файл xmlrpc.php или добавьте лучше в function.php такой код:
add_filter('xmlrpc_enabled', '__return_false');

Еще советую просто на время установить плагин Acunetix WP и выполнить все его требования.

Читайте также:  Как защитить контент от воровства?

Acunetix WP

Нужно добиться того, чтобы все кружочки были зелеными, как у меня:

как защитить вордпресс

Вот как защитить вордпресс и усложнить жизнь мерзким хакерам за 15 минут. Я уже защитил так все свои сайты, а вы?

Смотрите так же видео по теме статьи:


Понравилась ИГРА? Возьми КОД, поставь себе на сайт и улучши поведенческие факторы!


7 комментариев уже оставлено!
    • Переходите на VPS и забудете о взломах, ломают чаще всего на шаред хостинге - взломали соседа, взломают и вас. К тому же очень важно отключать ftp, через него ломают легче всего, так как протокол вообще не защищенный.

  1. досадно, но способ не сработал. при попытке входа в админпанель получаю - "На этой странице обнаружена циклическая переадресация", админка не открывается. файл wp-login.php переименовал. внутри этого файла слов wp-login.php не было.

    • Все должно работать, у меня на всех сайтах так сделано, вот возьмите мой файл https://yadi.sk/d/93i9i906ipcJP И еще при логине он будет обращаться к старому возможно файлу wp-login, нужно просто в стоке браузера убрать знаки wp-

  2. Сделал, как было сказано, только пароль входа в админку сайта изменился что ли и стал какой - то другой, придется wp-login.php возвращать обратно.

Написать комментарий

Опубликовано © Блокнот вебмастера