Как защитить свой сайт WordPress от атак (шаг за шагом)

/

Вы хотите защитить свой сайт WordPress от атак грубой силы? Эти атаки могут замедлить работу вашего сайта, сделать его недоступным и даже взломать ваши пароли для установки вредоносного ПО на ваш сайт. В этой статье мы покажем вам, как защитить свой сайт WordPress от атак грубой силы.

защита WordPress от атак методом перебора

Что такое атака?

Атака грубой силой - это метод взлома, который использует методы проб и ошибок для взлома веб-сайта, сети или компьютерной системы.

Хакеры используют автоматизированное программное обеспечение для отправки большого количества запросов целевой системе. При каждом запросе это программное обеспечение пытается угадать информацию, необходимую для получения доступа, например пароли или пин-коды.

Эти инструменты также могут маскироваться, используя разные IP-адреса и местоположения, что затрудняет целевой системе идентификацию и блокировку этих подозрительных действий.

Успешная атака методом грубой силы может дать хакерам доступ к админке вашего сайта. Они могут установить бэкдор, вредоносное ПО, украсть информацию о пользователях и удалить все на вашем сайте.

Даже неудачные атаки методом грубой силы могут нанести ущерб, посылая слишком много запросов, что замедляет работу ваших серверов хостинга WordPress и даже приводит к их сбою.

При этом давайте посмотрим, как защитить ваш сайт WordPress от атак грубой силы.

Шаг 1. Установите плагин брандмауэра WordPress

Атаки методом грубой силы создают большую нагрузку на ваши серверы. Даже неудачные могут замедлить работу вашего сайта или полностью вывести из строя сервер. Вот почему важно заблокировать их, прежде чем они попадут на ваш сервер.

Для этого вам понадобится брандмауэр веб-сайта. Брандмауэр отфильтровывает плохой трафик и блокирует ему доступ к вашему сайту.

Как работает брандмауэр веб-сайта

Есть два типа межсетевых экранов веб-сайтов, которые вы можете использовать.

Брандмауэр уровня приложения - эти плагины брандмауэра проверяют трафик, когда он достигает вашего сервера, но перед загрузкой большинства скриптов WordPress. Этот метод не так эффективен, потому что атака методом перебора все еще может повлиять на загрузку вашего сервера.

Брандмауэр веб-сайта уровня DNS - этот брандмауэр направляет трафик вашего веб-сайта через свои облачные прокси-серверы. Это позволяет им отправлять только настоящий трафик на ваш основной сервер веб-хостинга, одновременно повышая скорость и производительность WordPress.

Мы рекомендуем использовать сукури. Это лидер отрасли в области безопасности веб-сайтов и лучший брандмауэр WordPress на рынке. Поскольку это брандмауэр веб-сайта уровня DNS, это означает, что весь трафик вашего веб-сайта проходит через прокси-сервер, где плохой трафик фильтруется.

Мы используем Sucuri на нашем веб-сайте, и вы можете прочитать наш полный обзор Sucuri, чтобы узнать больше.

Шаг 2. Установите обновления WordPress

Некоторые распространенные атаки методом грубой силы активно нацелены на известные уязвимости в старых версиях WordPress, популярных плагинах WordPress или темах.

Ядро WordPress и самые популярные плагины WordPress имеют открытый исходный код, и уязвимости часто очень быстро исправляются с помощью обновления. Однако, если вам не удается установить обновления, вы оставляете свой сайт уязвимым для этих старых угроз.

Просто перейдите на страницу «Панель управления» »Обновления в админке WordPress, чтобы проверить наличие доступных обновлений. На этой странице будут отображаться все обновления для вашего ядра WordPress, плагинов и тем.

Страница обновлений в админке WordPress

Для получения дополнительной информации см. Наше руководство о том, как правильно обновлять плагины WordPress.

Шаг 3. Защитите каталог администратора WordPress

Большинство атак методом грубой силы на сайт WordPress пытаются получить доступ к админке WordPress. Вы можете добавить защиту паролем в свой административный каталог WordPress на уровне сервера. Это заблокирует несанкционированный доступ к вашей админке WordPress.

Просто войдите в панель управления хостингом WordPress (cPanel) и щелкните значок «Конфиденциальность каталога» в разделе «Файлы».

Примечание. Мы используем Bluehost на нашем скриншоте, но аналогичные настройки доступны в других ведущих хостинговых компаниях, а также в SiteGround, HostGator и т. Д.

Конфиденциальность каталогов в cPanel

Затем вам нужно найти папку wp-admin и щелкнуть имя папки.

Найдите и найдите папку wp-admin

cPanel теперь попросит вас указать имя для папки с ограниченным доступом, имя пользователя и пароль. После ввода этой информации нажмите кнопку «Сохранить», чтобы сохранить настройки.

Защита паролем административного каталога WordPress

Ваш административный каталог WordPress теперь защищен паролем. Вы увидите новое приглашение для входа в систему, когда зайдете в админку WordPress.

Подсказка входа

Если вы столкнулись с ошибкой 404 или сообщением об ошибке слишком много перенаправлений, вам необходимо добавить следующую строку в свой файл WordPress .htaccess.

ErrorDocument 401 default

Для получения дополнительных сведений см. Нашу статью о том, как защитить паролем каталог администратора WordPress.

Шаг 4. Добавьте двухфакторную аутентификацию в WordPress

Двухфакторная аутентификация добавляет дополнительный уровень безопасности на ваш экран входа в WordPress. По сути, пользователям потребуется их телефоны для создания одноразового пароля вместе с учетными данными для доступа к области администрирования WordPress.

Введите код двухэтапной аутентификации

Добавление двухфакторной аутентификации затруднит доступ хакерам, даже если они смогут взломать ваш пароль WordPress.

Подробные пошаговые инструкции см. В нашем руководстве о том, как добавить двухфакторную аутентификацию в WordPress.

Шаг 5. Используйте уникальные надежные пароли

Пароли - это ключи для получения доступа к вашему сайту WordPress. Вам необходимо использовать уникальные надежные пароли для всех ваших учетных записей. Надежный пароль - это комбинация цифр, букв и специальных символов.

Важно, чтобы вы использовали надежные пароли не только для своих учетных записей WordPress, но и для FTP, панели управления веб-хостингом и базы данных WordPress.

Большинство новичков спрашивают нас, как запомнить все эти уникальные пароли? Что ж, в этом нет необходимости. Доступны отличные приложения для управления паролями, которые надежно хранят ваши пароли и автоматически вводят их за вас.

Чтобы узнать больше, ознакомьтесь с нашим руководством для начинающих по лучшему способу управления паролями в WordPress.

Шаг 6. Отключите просмотр каталогов

По умолчанию, когда ваш веб-сервер не находит индексный файл (например, файл index.php или index.html), он автоматически отображает индексную страницу, показывающую содержимое каталога.

Индекс каталога

Во время атаки методом грубой силы хакеры могут использовать просмотр каталогов для поиска уязвимых файлов. Чтобы исправить это, вам нужно добавить следующую строку в конец вашего файла WordPress .htaccess.

Options -Indexes

Подробнее читайте в нашей статье о том, как отключить просмотр каталогов в WordPress.

Шаг 7. Отключите выполнение файла PHP в определенных папках WordPress

Хакеры могут захотеть установить и запустить PHP-скрипт в ваших папках WordPress. WordPress написан в основном на PHP, что означает, что вы не можете отключить это во всех папках WordPress.

Однако есть некоторые папки, для которых не нужны скрипты PHP. Например, ваша папка для загрузок WordPress находится в / wp-content / uploads.

Вы можете безопасно отключить выполнение PHP в папке загрузок, которую хакеры часто используют для сокрытия файлов бэкдора.

Во-первых, вам нужно открыть текстовый редактор, например Блокнот, на вашем компьютере и вставить следующий код:

<files *.php="">deny from all</files>

Теперь сохраните этот файл как .htaccess и загрузите его в папки / wp-content / uploads / на своем веб-сайте с помощью FTP-клиента.

Шаг 8. Установите и настройте плагин резервного копирования WordPress

Плагины резервного копирования WordPress

Резервное копирование - самый важный инструмент в вашем арсенале безопасности WordPress. Если ничего не помогает, резервные копии позволят вам легко восстановить ваш сайт.

Большинство хостинговых компаний WordPress предлагают ограниченные варианты резервного копирования. Однако создание этих резервных копий не гарантируется, и вы несете полную ответственность за создание собственных резервных копий.

Есть несколько отличных плагинов для резервного копирования WordPress, которые позволяют планировать автоматическое резервное копирование.

Мы рекомендуем использовать UpdraftPlus. Он удобен для новичков и позволяет быстро настраивать автоматические резервные копии и хранить их в удаленных местах, таких как Google Диск, Dropbox, Amazon S3 и т. Д.

Пошаговые инструкции см. В нашем руководстве по резервному копированию и восстановлению вашего сайта WordPress с помощью UpdraftPlus.

Все вышеперечисленные советы помогут вам защитить ваш сайт WordPress от атак грубой силы. Для более полной настройки безопасности вам следует следовать инструкциям в нашем полном руководстве по безопасности WordPress для начинающих.

Мы надеемся, что эта статья помогла вам узнать, как защитить свой сайт WordPress от атак грубой силы. Вы также можете обратить внимание на признаки того, что ваш WordPress взломан, и как исправить взломанный сайт WordPress.

Нужна помощь с WordPress? Свяжитесь сейчас
[email protected]

Это переведенная версия оригинальной статьи от wpbeginner, весь контент, изображения и авторство принадлежит автору

Как сохранить данные контактной формы в базе данных WordPress

Недавно один из наших читателей спросил, можно ли сохранить данные контактной формы WordPress в базе данных? Обычно самые популярные плагины форм

Как добавить блокировку контента в WordPress

Вы хотите добавить блокировку контента на свой сайт WordPress? Многие веб-сайты используют блокировку контента, чтобы увеличить количество потенциальных

Как полностью отключить комментарии в WordPress (полное руководство)

Вам интересно, как отключить комментарии WordPress? Хотя комментарии - отличный способ взаимодействия с посетителями вашего сайта, некоторые владельцы

Как встроить видео из Facebook в WordPress

Вы хотите встроить видео из Facebook в WordPress? В связи с недавней популярностью платформ Facebook Live и Facebook для видео, некоторые из наших пользователей спросили,