Всех приветствую! Сегодня у нас важная статья о плагинах, которые предотвращают  и значительно уменьшают вероятность взлома, хакинга, вирусного заражения вашего wordpress сайта. Как то довелось мне боротся с очень серьезным вирусом который заразил целую сеть сайтов, шифровал себя и вновь создавал. Также были атаки на сайт по подбору пароля и прочая мелочь, поэтому выбрал для себя народные методы/хаки защиты + несколько плагинов, этот флакон с огромной вероятностью защитит фаш wordpress сайт.

В Начале несколько общих рекомендаций (защита сайта):

  • Старайтесь не использовать взломанные темы wordpress, в них зачастую скрыт зловредный код, который может вам причинить больше вреда чем вы сэкономите денег, шикарную вордпресс тему можно купить за 30-50 долларов, это не такие уж и большие деньги;
  • Не ставьте массово плагины да еще и откуда попало, возьмите за правило устанавливать самые необходимые плагины и только из официального сайта вордпресс;
  • Обязательно используйте капчу не только для написания комментариев, но и для формы регистрации/входа на сайт. Вообще если вы сами ведете свой блог/сайт, отключите возможность зарегистрироваться;

Пройдемся по самым необходимым плагинам для защиты wordpress сайта

WordPress File Monitor Plus — это плагин, который должен быть установлен самым первым, он просто незаменим. Он показывает все новые/удаленные/измененные файлы на вашем сайте. Если на вашем сайте появился вирус, вы сразу же сможете его удалить + по горячим следам поймете где возникла «дыра» — либо плагин новый поставили, либо дали кому то доступ по фтп и т.д. Настройки крайне просты, я ставлю сканирование раз в день по хешу и уведомлять на почту.

WP Security Scan — плагин сканирует ваши настройки, папки вордпресс и выдает предупреждения и рекомендации по исправлению:

взлом wordpress, защита сайта, защита сайта на wordpress

после устранения уязвимостей плагин можно деактивировать.

 

За долгие годы сайто-строения и ведения блогов, меня всегда выручает и никогда не подводит простая, но 100% эффективная капча для комментариев, регистрации и входа на сайт  wordpress.org/plugins/captcha

 

AntiVirus For WordPress — плагин, который проверяет ваш сайт на наличие вирусов, можно запланировать регулярную проверку по расписанию, но я например на заведомо чистом блоге не устанавливаю, так как стоит вордпресс файл монитор. Кстати если Вы из СПБ, то на сайте быстро, а главное качественно ремонтируют ноутбуки.

Есть еще различные комбайны по защите, например — Better WP Security. Плагин прекрасно справляется с своей задачей и имеет огромное количество плюшек, например блокирует айпишник после 4 попыток войти в консоль, добавляет его в черный список, находит и исправляет уязвимости и много другого. Я не стал его использовать, так как он создавал лишнюю нагрузку. Как то к моему сайту была попытка автоматического подбора пароля на вход, я это увидел по логам доступа в админке хоста (один и тот же айпишник беспрерывно долбился к странице логина), я этот айпишник просто добавил в черный список используя инструменты хостера.

Напоследок несколько хаков для защиты wordpress сайта

[lock]

  1. Ограничьте доступ к файлу wp-login.php в .htaccess: <Files wp-login.php>
    Order Deny,Allow
    Deny from all
    </Files>
  2. Также необходимо защитить файл wp-config.php: <Files wp-config.php>
    Order Deny,Allow
    Deny from all
    </Files>
  3. Этот код блокирует использование XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST. Вставьте код в ваш файл .htaccess: Options +FollowSymLinks
    RewriteEngine On
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
    RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
    RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
    RewriteRule ^(.*)$ index.php [F,L]
  4. Eсли ввести в адресную строку www.сайт.ru/wp-includes, то довольно часто можно увидеть содержимое этой директории. Необходимо это устранить. В .htaccess добавляем: Options All -Indexes

[/lock]