Усиливаем безопасность сайта


Как только вы опубликуете ваш сайт в сети, то боты будут постоянно стараться получить доступ к админ панели, чтобы зарегистрировать самих себя в роли администратора и внести изменения в код сайта по своим интересам. Как правило это происходит незаметно, системы взлома совершенствуются. После взлома сайта через некоторое время он перестаёт работать. Восстановить его самостоятельно не всегда представляется возможным так как бот вносит на сайт вирусы и удаляет часть системных файлов. Если ваш хостинг хранит 1 резервную копию в месяц, то вам придётся произвести восстановление месячной давности. Если ваш сайт редко наполняется материалами, но это не большая проблема. Если же у вас постоянные обновления, то можете попрощаться с месяцем работы. Чтобы такого не произошло выбирайте хостинг с ежедневным бэкапом. Предложений на рынке услуг достаточно.

Итак, чтобы усилить безопасность вашего сайта сделайте следующее.
В Админ панели в разделе Плагины выберите Добавить новый и в строке поиска введите слово cerber. Плагин называется WP-Cerber и обычно находится на первом месте.
wp cerber плагин
Установите его.
После установки перейдите в раздел плагина Главные настройки.
В разделе Проактивные правила безопасности включите
— Блокировать IP при попытке авторизации с логином несуществующего пользователя
— Блокировать IP при любом запросе wp-login.php
wp cerber настройка

В разделе Смена URL страницы авторизации измените название страницы входа на любую вам удобную. Суть в том, что боты будут стараться войти через адрес /wp-login.php а здесь вы прописываете другой адрес входа, который боты не знают. А раз не знают, то не смогут войти.
У меня указан для примера адрес /papamama, вы можете изменить его на любой вам удобный. Теперь этот адрес будет вашей формой входа на сайт. Имя пользователя и пароль останутся те же.

wp cerber настройка

Теперь выйдите с сайта и войдите снова используя новый адрес входа.
wordpress вход

В настройках выше мы указали что при попытке входа по адресу wp-login.php любой ip будет блокироваться. Но боты заходят с разных ip и все не заблокируешь. Чтобы решить этот вопрос нужно запретить доступ к странице wp-login.php полностью.

Чтобы это сделать вам необходимо войти на хостинг сайта и выбрать файл .htacess в который необходимо внести небольшие изменения.
htacess на хостинге

Откройте этот файл
htacess блокировать wp-login.php
и внесите в него эти строчки

<Files wp-login.php>
Order Deny,Allow
Deny from all
</Files>

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Сохраните изменения.

После этого вы можете проверить работоспособность выполненных действий. Для этого войдите по старому адресу авторизации вашсайт/wp-login.php и если вы увидите примерно это
wordpress заблокировать wp-login
то вы всё сделали правильно.
Теперь попытки взлома вашего сайта сократятся на 99%

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *