Несмотря на то, что в WordPress защита достаточно хорошая, как и во всех, даже самых защищенных системах, здесь присутствуют уязвимые места. С каждой новой версией CMS разработчики стараются сделать защиту более надежной, но и мошенники не сидят без дела. Поэтому, чтобы защитить свой сайт от атак и взломов, необходимо предпринять определенные меры самостоятельно.

Защитить свой ресурс на WordPress не сложно, а чтобы сделать этот процесс еще проще, можно установить специальный плагин «Better WP Security». Установив и активировав плагин, необходимо зайти в панель администратора сайта на страницу с настройками «Better WP Security» и сделать на всякий случай резервное копирование базы данных. Чтобы плагин мог вносить изменения в файлы движка и вашего сайта, нужно дать на это согласие, нажав на соответствующую кнопку. Далее необходимо включить защиту блога от базовых атак нажатием на предназначенную для этого кнопку. После выполнения первых требований плагина перед вами появится таблица, где можно будет увидеть все уязвимости вашего сайта, которые теперь необходимо исправить.
В открывшейся таблице красным цветом будут выделены критические уязвимости. Синим и желтым — отмечены все остальные, которые также необходимо устранять.
По умолчанию на WordPress в заголовке блога публикуется большое количество дополнительной информацией, которую могут использовать злоумышленники. Чтобы удалить ее, необходимо поставить галочку в соответствующем поле. При этом нужно быть особенно внимательными, так как это может привести к неработоспособности определенных сервисов и приложений.
Для исправления еще одной уязвимости необходимо, чтобы у всех пользователей были достаточно сложные пароли. Для этого переходим по ссылке «Нажмите для исправления» и выбираем на открывшейся странице пункт «Strong Pаssword Role — Subscriber». Теперь при регистрации пароли пользователей будут проверяться на сложность.
Также рекомендуется скрывать все доступные обновления, которые были созданы не администраторами. Никакой пользы посетителям вашего сайта данная информация не принесет, а злоумышленники могут использовать ее в своих целях.
Всем известно, что по умолчанию администратору присваивается логин admin. Такие сайты взломать намного проще, поэтому, чтобы осложнить данный процесс рекомендуется переименовать аккаунт на какой-либо другой. Для этого следует перейти по ссылке «Нажмите, чтобы переименовать администратора» и ввести новое имя в соответствующем поле. Помимо этого, по умолчанию администратору дается и ID-1, о чем также знают все, в том числе и злоумышленники. Поэтому данный параметр также требует изменения. Это можно сделать, воспользовавшись плагином «Better WP Security», который сможет изменить ID администратора одним щелчком мышки. Также данный плагин может защитить ваш логин от перебора. Таким образом, после трех неудачных попыток IP будет заблокирован.
В CMS WordPress таблицы базы данных имеют префикс wp, который рекомендуется сменить на другой. Даже если в вашей базе большое количество информации, при помощи плагина «Better WP Security» можно изменить префикс без потери данных. Перед началом этой работы рекомендуется сделать резервное копирование вашей базы данных. Для того, чтобы копии делались систематически, необходимо задать некоторые условия и ввести адрес электронной почты, куда и будут приходить копии. Таким образом, в любой момент при необходимости можно восстановить базу данных из копий.
Разрешать доступ к админке только в назначенное вами время – это решение для критических ситуаций. Но если вы переживаете за безопасность своего блога, лучше запретить постоянный доступ и разрешить его только в определенное время, например, тогда, когда вы собираетесь работать с вашим сайтом.
Обязательно блокируйте подозрительные хосты. Если на ваш блог производились атаки с каких-либо IP-адресов, их нужно занести в бан-лист, после чего доступ с этих адресов на ваш блог будет закрыт.
Полезно будет скрыть админку WordPress. Данный процесс происходит путем изменения имени директории с панелью администратора. При этом физически она будет находиться в той же папке, но будет недоступна по адресу http://ваш_сайт.ru/wp-admin. Чтобы скрыть админку, необходимо ввести новые имена для директорий в предназначенные для этого поля и поставить галочку, чтобы настройка включилась.
Также рекомендуется скрыть от свободного просмотра каталоги сайта и включить защиту файла .htaccess. Помимо этого, можно запретить запросы к сайту из адресной строки. Но эти действия также могут негативно повлиять на работу некоторых тем и плагинов. Файлы .htaccess и wp-config.php нужно защитить от перезаписи. Это очень важно, так как от их сохранности зависит работоспособность блога.
Папку wp-content, в которой находится все главное содержимое блога, лучше переименовать. В этом случае, благодаря нестандартному размещению файлов, доступ к ним для злоумышленников осложнится.
При работе с WordPress можно воспользоваться безопасным соединением SSL. Но для этого необходимо, в первую очередь, убедиться, что сервер, на котором расположен ваш сайт, поддерживает данный протокол.
Убирайте всю ненужную информацию, которой могут воспользоваться взломщики. Например, при неправильном вводе пароля и логина для авторизации появляется предупреждение, содержащее ссылку для восстановления пароля. Чтобы это удалить, нужно просто добавить строку add filter (‘login_errors’,create_function (‘$a’, “return null;”)) в файл functions.php, и ссылка для восстановления пароля полностью исчезнет.
Старайтесь удалять все плагины, которыми вы не пользуетесь. Чем больше их будет у вас, тем выше будут шансы у злоумышленников.
Используя все эти рекомендации в комплексе, вы сможете максимально защитить ваш сайт от взлома.