Как защитить wordpress?

Опубликовано: 01.09.2018

видео Как защитить wordpress?

Уязвимые места Wordpress. Защита от взлома.

У меня такое ощущение, что все хакеры мира ополчились на мои сайты! Но на самом деле я просто стал видеть то, что видят работники хостингов - масса ботов просто решетят все сайты подряд, как из пулемета, в поисках дыр! Как я это обнаружил? И как защитить wordpress от взлома?



Все дело в том, что на сервере мне доступна статистика входящего и исходящего трафика ВИЗУАЛЬНО! И что же я вижу? А вот что:

Периодически на сайт обрушивается лавина входящего трафика. Я догадывался, что тут что-то не так, но все стало ясно, когда я установил плагин limit-login-attempts .


Защита WordPress. iTheme Security полный обзор плагина.

Этот плагин делает простую вещь - блокирует доступ к админке, если пароль введен неправильно более скольких то раз. Это защищает сайт от взлома перебором паролей.

Все отлично, я тут же, после установки плагина понял, что мои сайты ПОСТОЯННО пытаются взломать. Очень скоро я получил вот это:


Настройка All In One WP Security и базовые принципы безопасности в WordPress

Атака была такой интенсивной, что плагин перестал пускать даже меня. Ждать 24 часа я не стал, зашел по FTP и переименовал папку с плагином. Стало очевидно, что нужно что-то делать, и этот плагин тут не помощник.

Как защитить WordPress от брутфорса?

Брутфорс (от английского brute force — полный перебор или метод «грубой силы») – один из популярных методов взлома паролей на серверах и в различных программах.

Решение нашлось и оказалось ОЧЕНЬ простым! Следите за моими ручками....

Открываем файл .htaccess в корне сайта и вписываем туда такой код:

<Files wp-login.php> Order Deny,Allow Deny from all </Files>

Мы блокируем таким образом доступ к странице авторизации site.com/wp-login.php. Теперь злобные хакеры будут упираться лбом в стену, и у них не то что пароль подобрать не получиться, а вообще ничего не получиться! Сайт будет показывать им такую страницу:

Ну а как же нам зайти на свой сайт? Все просто! Переименуйте файл wp-login.php в типа login777.php. Теперь откройте этот файл и все слова wp-login.php переименуйте на ваше название login777.php. Теперь на сайт зайти можно по адресу site.com/login777.php. Вот можно просто защитить сайт wordpress от перебора паролей.

Но это еще не все. Злобный хакер может понять, что с этим сайтом какая-то беда и захочет вручную найти страницу входа вордпресс. Как он это может сделать?

Как скрыть wordpress админку?

Посмотрит он в site.ru/robots.txt, так как многие там, в том числе и я, закрывают эту страницу от индексации:

Вот, спалил свою админку, придется менять ???? Хотя, хакеры не будут читать мои статьи, думаю.... Вы уже изменили логин admin на что-то другое? Если нет, то немедленно это сделайте, так как это может спасти вам жизнь сайт...

Как защитить сайт от взлома еще?

Вот некоторые мои рекомендации, вымученные годами:

Не используйте FTP . FTP -  не защищенный протокол, и любой студент, подрабатывающий у вашего провайдера, может запустить сниффер и спарсить все ваши пароли. Используйте только SSH для доступа к сайту, или панель хостинга. Используйте VPS . Пока я был на простых shared хостингах меня постоянно ломали. Ломали даже не меня, ломали моих соседей, и так как сервер один, то попадал под раздачу и я. Мне заражали сайты, заливали дорвеи, воровали пароли, DOSSили и может что еще, чего я даже не знаю. Как только я перешел на VPS - ВСЕ эти проблемы исчезли! Отключите  XML-RPC . Это такой протокол для удаленной публикации, вам он, скорее всего, СТО ЛЕТ не нужен, но через него могут осуществлять атаку на сайт. Можно просто удалить в корне сайта файл xmlrpc.php  или добавьте лучше в function.php такой код: add_filter('xmlrpc_enabled', '__return_false');

Еще советую просто на время установить плагин Acunetix WP и выполнить все его требования.

Нужно добиться того, чтобы все кружочки были зелеными, как у меня:

Вот как защитить вордпресс и усложнить жизнь мерзким хакерам за 15 минут. Я уже защитил так все свои сайты, а вы?

СОВЕТ ВЕБМАСТЕРУ: Умение зарабатывать в интернете - это только пол дела, вторая половина - это умение ВЫГОДНО обналичивать электронные деньги. Вот список офшорных банковских карт, на которые можно выводить средства и потом снимать с них хрустящие купюры:

1. Epayments - можно открыть счет в долларах, евро и рублях. Формально банка нет, юридический адрес в Лондоне, но можно получить реквизиты банка в Латвии.

2. AdvCash - Офшорный банк находится в Белизе, можно открыть счет в долларах, евро, фунтах и рублях.

3. Payeer - Штаб квартира этой платежной системы находится в Грузии, тут так же можно открыть счет в долларах, евро и рублях.

4. Capitalist - Можно создать счета в долларах, евро и рублях. Низкие тарифы на вывод. Компания зарегистрирована в юрисдикции Британских Виргинских Островов.

Во всех случаях можно заказать банковскую карту, которую пришлют вам по обычной почте. Активируете ее и идете снимать деньги банкомат! Тарифы смотрите на сайтах платежных систем.

rss