Как защитить wordpress?

Регистрация доменов
Домен RU - 99 руб
Домен РФ - 99 руб
www.

У меня такое ощущение, что все хакеры мира ополчились на мои сайты! Но на самом деле я просто стал видеть то, что видят работники хостингов - масса ботов просто решетят все сайты подряд, как из пулемета, в поисках дыр! Как я это обнаружил? И как защитить wordpress от взлома?

Все дело в том, что на сервере мне доступна статистика входящего и исходящего трафика ВИЗУАЛЬНО! И что же я вижу? А вот что:

Как защитить wordpress?

Периодически на сайт обрушивается лавина входящего трафика. Я догадывался, что тут что-то не так, но все стало ясно, когда я установил плагин limit-login-attempts.

Этот плагин делает простую вещь - блокирует доступ к админке, если пароль введен неправильно более скольких то раз. Это защищает сайт от взлома перебором паролей.

Все отлично, я тут же, после установки плагина понял, что мои сайты ПОСТОЯННО пытаются взломать. Очень скоро я получил вот это:

Как защитить wordpress от взлома?

Атака была такой интенсивной, что плагин перестал пускать даже меня. Ждать 24 часа я не стал, зашел по FTP и переименовал папку с плагином. Стало очевидно, что нужно что-то делать, и этот плагин тут не помощник.

Как защитить WordPress от брутфорса?

Брутфорс (от английского brute force — полный перебор или метод «грубой силы») – один из популярных методов взлома паролей на серверах и в различных программах.

Решение нашлось и оказалось ОЧЕНЬ простым! Следите за моими ручками....

Открываем файл .htaccess в корне сайта и вписываем туда такой код:

<Files wp-login.php>
 Order Deny,Allow
 Deny from all
</Files>

Мы блокируем таким образом доступ к странице авторизации site.com/wp-login.php. Теперь злобные хакеры будут упираться лбом в стену, и у них не то что пароль подобрать не получиться, а вообще ничего не получиться! Сайт будет показывать им такую страницу:

Как защитить сайт wordpress?

Ну а как же нам зайти на свой сайт? Все просто! Переименуйте файл wp-login.php в типа login777.php. Теперь откройте этот файл и все слова wp-login.php переименуйте на ваше название login777.php. Теперь на сайт зайти можно по адресу site.com/login777.php. Вот можно просто защитить сайт wordpress от перебора паролей.

Но это еще не все. Злобный хакер может понять, что с этим сайтом какая-то беда и захочет вручную найти страницу входа вордпресс. Как он это может сделать?

Как скрыть wordpress админку?

Посмотрит он в site.ru/robots.txt, так как многие там, в том числе и я, закрывают эту страницу от индексации:

Как скрыть wordpress?

Вот, спалил свою админку, придется менять 😉 Хотя, хакеры не будут читать мои статьи, думаю.... Вы уже изменили логин admin на что-то другое? Если нет, то немедленно это сделайте, так как это может спасти вам жизнь сайт...

Как защитить сайт от взлома еще?

Вот некоторые мои рекомендации, вымученные годами:

  1. Не используйте FTP. FTP -  не защищенный протокол, и любой студент, подрабатывающий у вашего провайдера, может запустить сниффер и спарсить все ваши пароли. Используйте только SSH для доступа к сайту, или панель хостинга.
  2. Используйте VPS. Пока я был на простых shared хостингах меня постоянно ломали. Ломали даже не меня, ломали моих соседей, и так как сервер один, то попадал под раздачу и я. Мне заражали сайты, заливали дорвеи, воровали пароли, DOSSили и может что еще, чего я даже не знаю. Как только я перешел на VPS - ВСЕ эти проблемы исчезли!
  3. Отключите XML-RPC. Это такой протокол для удаленной публикации, вам он, скорее всего, СТО ЛЕТ не нужен, но через него могут осуществлять атаку на сайт. Можно просто удалить в корне сайта файл xmlrpc.php или добавьте лучше в function.php такой код:
add_filter('xmlrpc_enabled', '__return_false');

Еще советую просто на время установить плагин Acunetix WP и выполнить все его требования.

Acunetix WP

Нужно добиться того, чтобы все кружочки были зелеными, как у меня:

как защитить вордпресс

Вот как защитить вордпресс и усложнить жизнь мерзким хакерам за 15 минут. Я уже защитил так все свои сайты, а вы?


Понравилась ИГРА? Возьми КОД, поставь себе на сайт и улучши поведенческие факторы!


14 комментариев
    • Переходите на VPS и забудете о взломах, ломают чаще всего на шаред хостинге - взломали соседа, взломают и вас. К тому же очень важно отключать ftp, через него ломают легче всего, так как протокол вообще не защищенный.

  1. досадно, но способ не сработал. при попытке входа в админпанель получаю - "На этой странице обнаружена циклическая переадресация", админка не открывается. файл wp-login.php переименовал. внутри этого файла слов wp-login.php не было.

    • Все должно работать, у меня на всех сайтах так сделано, вот возьмите мой файл https://yadi.sk/d/93i9i906ipcJP И еще при логине он будет обращаться к старому возможно файлу wp-login, нужно просто в стоке браузера убрать знаки wp-

  2. Сделал, как было сказано, только пароль входа в админку сайта изменился что ли и стал какой - то другой, придется wp-login.php возвращать обратно.

  3. Спасибо за статью. Все получилось, но при нажатии кнопки выхода из админки - получается перенаправление на главную страницу, при этом выход не производится?

  4. Ну так то, да...) Наверное только чтобы никто другой не зашел за твоим компьютером...) У меня еще один вопрос: Где то в видео вы говорили что лучше сделать двойной вход. Нужен ли его делать, если вход к админке, осуществляется только с определенных IP? И если все таки нужно, то как это правильно сделать, может у вас есть статья?

    • В видео не я говорил, видео под статьей берутся с ютуба. В отношении безопасности входа, то мой совет это минимум, просто от ботов, если очень переживаете за безопасность, то сделайте двойную авторизацию, есть плагины для этого. Но по моему это лишнее, если конечно у вас не сайт милионник. Важнее иметь свой сервер для сайта, а не общий хостинг, где тысячи сайтов. Взломают чужой по соседству, взломают и вас. И пароль подбирать не потребуется, со мной такое уже было.

  5. Ух ты, а я был почему то уверен, что на этой странице, в первом видео, это вы...): https://zmoe.ru/vzlomali-sajt-chto-delat/
    Еще вопрос по поводу плагина Acunetix WP, там рекомендуется поменять префиксы по умолчанию (wp_), на другие. Что вы по рекомендуете, поменять их, или не стоит?
    Спасибо за рекомендации!

    • Да, менять нужно обязательно, я все сразу ставлю уникальные еще при установке сайта.

Написать комментарий

Опубликовано © Блокнот вебмастера

СОВЕТ ВЕБМАСТЕРУ: Умение зарабатывать в интернете - это только пол дела, вторая половина - это умение ВЫГОДНО обналичивать электронные деньги. Вот список офшорных банковских карт, на которые можно выводить средства и потом снимать с них хрустящие купюры:

1. Epayments - можно открыть счет в долларах, евро и рублях. Формально банка нет, юридический адрес в Лондоне, но можно получить реквизиты банка в Латвии.

2. AdvCash - Офшорный банк находится в Белизе, можно открыть счет в долларах, евро, фунтах и рублях.

3. OkPay - Офшорная компания зарегистрирована на Британских Виргинских островах, можно открыть счет в долларах, евро и рублях.

4. Payeer - Штаб квартира этой платежной системы находится в Грузии, тут так же можно открыть счет в долларах, евро и рублях.

Во всех случаях можно заказать банковскую карту, которую пришлют вам по обычной почте. Активируете ее и идете снимать деньги банкомат! Тарифы смотрите на сайтах платежных систем.