Как защитить wordpress?

У меня такое ощущение, что все хакеры мира ополчились на мои сайты! Но на самом деле я просто стал видеть то, что видят работники хостингов - масса ботов просто решетят все сайты подряд, как из пулемета, в поисках дыр! Как я это обнаружил? И как защитить wordpress от взлома?

Все дело в том, что на сервере мне доступна статистика входящего и исходящего трафика ВИЗУАЛЬНО! И что же я вижу? А вот что:

Как защитить wordpress?

Периодически на сайт обрушивается лавина входящего трафика. Я догадывался, что тут что-то не так, но все стало ясно, когда я установил плагин limit-login-attempts.

Этот плагин делает простую вещь - блокирует доступ к админке, если пароль введен неправильно более скольких то раз. Это защищает сайт от взлома перебором паролей.

Все отлично, я тут же, после установки плагина понял, что мои сайты ПОСТОЯННО пытаются взломать. Очень скоро я получил вот это:

Как защитить wordpress от взлома?

Атака была такой интенсивной, что плагин перестал пускать даже меня. Ждать 24 часа я не стал, зашел по FTP и переименовал папку с плагином. Стало очевидно, что нужно что-то делать, и этот плагин тут не помощник.

Как защитить WordPress от брутфорса?

Брутфорс (от английского brute force — полный перебор или метод «грубой силы») – один из популярных методов взлома паролей на серверах и в различных программах.

Решение нашлось и оказалось ОЧЕНЬ простым! Следите за моими ручками....

Открываем файл .htaccess в корне сайта и вписываем туда такой код:

<Files wp-login.php>
 Order Deny,Allow
 Deny from all
</Files>

Мы блокируем таким образом доступ к странице авторизации site.com/wp-login.php. Теперь злобные хакеры будут упираться лбом в стену, и у них не то что пароль подобрать не получиться, а вообще ничего не получиться! Сайт будет показывать им такую страницу:

Читайте также:  Как заблокировать ботов через robots.txt?

Как защитить сайт wordpress?

Ну а как же нам зайти на свой сайт? Все просто! Переименуйте файл wp-login.php в типа login777.php. Теперь откройте этот файл и все слова wp-login.php переименуйте на ваше название login777.php. Теперь на сайт зайти можно по адресу site.com/login777.php. Вот можно просто защитить сайт wordpress от перебора паролей.

Но это еще не все. Злобный хакер может понять, что с этим сайтом какая-то беда и захочет вручную найти страницу входа вордпресс. Как он это может сделать?

Как скрыть wordpress админку?

Посмотрит он в site.ru/robots.txt, так как многие там, в том числе и я, закрывают эту страницу от индексации:

Как скрыть wordpress?

Вот, спалил свою админку, придется менять 😉 Хотя, хакеры не будут читать мои статьи, думаю.... Вы уже изменили логин admin на что-то другое? Если нет, то немедленно это сделайте, так как это может спасти вам жизнь сайт...

Как защитить сайт от взлома еще?

Вот некоторые мои рекомендации, вымученные годами:

  1. Не используйте FTP. FTP -  не защищенный протокол, и любой студент, подрабатывающий у вашего провайдера, может запустить сниффер и спарсить все ваши пароли. Используйте только SSH для доступа к сайту, или панель хостинга.
  2. Используйте VPS. Пока я был на простых shared хостингах меня постоянно ломали. Ломали даже не меня, ломали моих соседей, и так как сервер один, то попадал под раздачу и я. Мне заражали сайты, заливали дорвеи, воровали пароли, DOSSили и может что еще, чего я даже не знаю. Как только я перешел на VPS - ВСЕ эти проблемы исчезли!
  3. Отключите XML-RPC. Это такой протокол для удаленной публикации, вам он, скорее всего, СТО ЛЕТ не нужен, но через него могут осуществлять атаку на сайт. Можно просто удалить в корне сайта файл xmlrpc.php или добавьте лучше в function.php такой код:
add_filter('xmlrpc_enabled', '__return_false');

Еще советую просто на время установить плагин Acunetix WP и выполнить все его требования.

Читайте также:  Как проверить сайт на вирусы?

Acunetix WP

Нужно добиться того, чтобы все кружочки были зелеными, как у меня:

как защитить вордпресс

Вот как защитить вордпресс и усложнить жизнь мерзким хакерам за 15 минут. Я уже защитил так все свои сайты, а вы?

7 комментариев уже оставлено!

Опубликовано © Блокнот вебмастера

Статью прочитало 348 человек(а) , сегодня - 1 ...