Всем привет! Защита сайта на wordpress от взлома базируется на 3-х основных «китах»:

  1. Своевременное обновление движка вордпресс и всех плагинов, которые установлены на сайт.
  2. Прописывание специальных команд защиты в файлах сайта и подключение дополнительных модулей.
  3. Резервное копирование сайта. Этот процесс осуществляется несколькими способами: вручную, с помощью специальных плагинов, через командную строку SSH. Резервное копирование делают практически все хостинг-провайдеры, которые заботятся о своей «репутации». Всегда можно уточнить в техподдержке, через какой промежуток времени происходит сохранение сайтов на вашем хостинге.

В этой статье предлагаю рассмотреть более подробно, как защитить сайт на вордпресс с помощью дополнительных команд  в файле .htaccess. И конечно же рассмотрим несколько плагинов, отвечающих за защиту вашей веб-площадки.

Сложный пароль

Защита сайта на wordpress начинается с генерации сложного пароля для входа в админку. Сложный пароль можно придумать самостоятельно, но чтобы облегчить этот процесс, просто сгенерируйте его в консоли сайта.

Для этого необходимо перейти в раздел Пользователи – Ваш профиль.

Создание нового пароля находится в пункте Управление учетной записью. Все, что нужно сделать – это кликнуть по кнопке Создать пароль. Обязательно сохраните сложный пароль в «укромной» папке для последующей авторизации на сайте.

генерация пароля

Очень непросто вводить сложный пароль вручную, поэтому предварительно позаботьтесь о месте его хранения на компьютере или флешке.

Замена логина admin

Второй способ, обеспечивающий защиту веб-площадки от взлома, заключается в смене логина в админке.

Наверняка вы знаете, что по умолчанию при создании сайта на движке вордпресс, авторизация в консоли происходит через стандартный логин admin. Но об этом можете знать не только вы, но и хакеры, которые захотят причинить вред вашей площадке.

Сменить логин из консоли сайта невозможно. Для этого необходимо перейти на хостинг, на котором расположен сайт.

Я работаю с хостингом Timeweb, поэтому буду объяснять на его примере.

Для того, чтобы изменить логин для входа в консоль сайта, необходима внести изменения в базу данных.

Чтобы попасть в базу данных на Таймвеб, нужно знать пароль для входа. На Timeweb данные для входа хранятся в конфигурационных файлах. Для wordpress используется следующий путь (wp-config.php).

место хранения пароля

Именно здесь вы найдете имя базы данных (это важно, когда у вас несколько веб-ресурсов) и пароль.

После получения необходимой информации перейдите в раздел Базы данных MySQL и авторизируйтесь в ней.

вход в базу данных

Следующий шаг – выбор папки wp-users.

выбор папки

Клик по папке открывает окно с возможностью изменения стандартного логина. Смотрите, как это выглядит на скриншоте.

функция имзменить активна

Переход по активной ссылке со словом Изменить открывает новую страницу, где заключительным этапом в поле user-login мы можем вместо стандартного логина admin прописать новый логин.

замена стандартного логина

Важно запомнить, что login должен состоять только из английских букв. Запрещено использовать русскую раскладку.

После сохранения изменений на хостинге авторизация на сайте будет происходить по новому логину.

Смена логина и генерация сложного пароля – это один из видов защиты админки wordpress. В этой статье мы разберем и другие возможности.

Блокировка по IP

Пожалуй, это самый надежный способ, который позволит защитить веб-площадку от взлома.

Блокировка по IP осуществляется за счет специальной команды, которая прописывается в файле .htaccess. Опять же для работы с этим файлом необходимо иметь доступ к хостингу.

RewriteEngine on
RewriteCond %{REQUEST_URI} ^(.*)?wp-admin$ [OR] 
RewriteCond %{REQUEST_URI} ^(.*)?wp-login.php$ 
RewriteCond %{REMOTE_ADDR} !^??.???.???.???
RewriteRule ^(.*)$ – [R=403,L]

Код устанавливается в верхней части файла.

команда для блокировки

Обратите внимание, что в код необходимо добавить ваш IP адрес. Узнать его можно на сайте 2ip.ru.

Если с вашей площадкой работает несколько человек, значит, продублируйте строки с IP и добавьте все «айпишники» сотрудников (1 строка = 1 IP).

Двойная авторизация

Защитить админку wordpress можно, установив двойную авторизацию на площадку. В этом случае при переходе по ссылке https://site/wp-admin/ всплывает первая форма авторизации, которая настраивается через специальный сервис. И только после введения верных данных, появляется стандартная форма доступа к консоли сайта.

Для настройки двойной авторизации понадобится сервис, а точнее ссылка на страницу   www.htaccesstools.com/htpasswd-generator.

Первым этапом необходимо скачать два файла к себе на компьютер с Яндекс диска: .htpasswd и path.php.

Далее эти файлы нужно закачать в корневую директорию вашего сайта. Обычно эта папка называется public_html.

загрузка файлов на хостинг

Теперь для работы понадобится ссылка на сервис (указана выше), чтобы сгенерировать логин и пароль для первой формы авторизации. Эти данные нужно придумать самостоятельно, и не забудьте их сохранить! Кнопка Create. Htpasswd fale.

генерация новых данных для первого окна

Данные из следующего окна, куда вас перекинет после клика по кнопке, нужно скопировать.

скопировать текст

Возвращаемся на хостинг, выделяем файл .htpasswd и выбираем функцию Редактировать. В пустое окно добавляем только что скопированные данные. Изменения нужно сохранить.

Возвращаемся в браузер и вводим в браузерную строку адрес сайта/path.php.

В пустом окне появляется полный путь к корневой директории блога. Не закрывайте это окно: оно нам еще понадобится.

путь к директории

Теперь скопируйте этот код.

AuthUserFile "путь_к_файлу/.htpasswd"
AuthName "Private access"
AuthType Basic
<FilesMatch "wp-login.php">
Require valid-user
</FilesMatch>

В корневой папке сайта необходимо открыть файл .htaccess. Скопированный код вставьте в начало этого файла.

Далее нужно вернуться в браузер и скопировать полный путь к корневой директории блога.

Снова открываем .htaccess и вместо слов «путь к файлу» вставляем скопированный код.

готовый вариант

Сохраните файл. На этом все! Осталось проверить, как работает новая форма двойной авторизации на сайте вордпресс.

Вновь в браузерной строке введите адрес сайта/wp-admin/. Если форма настроена верно, то первое окно авторизации будет выглядеть так (для FireFox).

форма авторизации

Не забывайте, что логин и пароль для этой формы были сгенерированы на сайте www.htaccesstools.com.

Возникшие проблемы

Может случиться так, что после установки кода в файл .htaccess, блог не будет открываться. Это связано с обновленным Apache. Так случилось на моем хостинге Таймвеб, и проблема решилась только после обращения в техподдержку. Они самостоятельно поменяли команду, и сайт снова заработал.

Теперь эта команда прописывается следующим образом:

<Files wp-login.php>
Require valid-user
AuthType Basic
AuthName "Private access"
AuthUserFile "путь к файлу/.htpasswd"
</Files>

Плагин Login LockDown

Чтобы защитить сайт от взлома, можно использовать специальные плагины. Например, плагин Login LockDown позволяет блокировать доступ к админке веб-площадки, если несколько раз была допущена ошибка при авторизации в консоли сайта.

модуль Login LockDown

Обычно путем перебора данных к админке хакеры пытаются взломать сайт. Как раз этот плагин позволяет заблокировать таких «пользователей» при неоднократной неудачной авторизации.

Login LockDown доступен для бесплатного использования и имеет стандартную установку. После установки необходимо поработать с настройками плагина.

основные опции

Max Login Retries: опция отвечает за допустимое количество ошибок неправильной авторизации, после которых IP адрес пользователя будет заблокирован. Рекомендуется выставить 3 попытки.

Retry Time Period Restriction (minutes): время между попытками авторизации в минутах. Следует выставить значение не более 1 минуты. Может случиться так, что именно вы допустите ошибку при вводе логина и пароля, и чтобы не ждать долгое время, достаточно выставить промежуток в 1 минуту.

Lockout Length (minutes): время блокировки пользователя по IP после 3-хкратной неудачной авторизации. Рекомендуется значение в 60 минут.

Lockout Invalid Usernames?: нужно ли считать ошибкой неверное введение логина в админке сайта. Выберите опцию Yes.

Mask Login Errors?: запретить показывать пользователю, какую ошибку он допустил при авторизации на веб-ресурсе (в логине или в пароле). Рекомендуется выбрать опцию Yes.

Show Credit Link?. Отвечает за рекламу плагина на сайте. Хотите рассказать о нем посетителям сайта, можете добавить ссылку. Это второстепенная настройка, и на безопасность вашей площадки никак не влияет.

Плагин All In One WP Security

Преимущество данного плагина в том, что он позволяет сменить URL авторизации. А это дополнительная защита от хакерской атаки.

замена адреса авторизации

При этом есть возможность выставить настройку блокировки пользователя при ошибке авторизации.

Плагин Clearfy Pro

Когда речь заходит о том, как защитить сайт на wordpress от всего, в этом случае следует обратить внимание на плагин Clearfy Pro. Плагин платный, но по приемлемой цене, и предоставляет возможности, которые решают целый ряд проблем, возникающих при установке движка вордпресс.

Например, Clearfy Pro  также позволяет спрятать страницу входа wp-login.php, и заменить ее адрес на новый.

обзор плагина Clearfy

Из других способов защиты можно активировать следующие настройки:

  • Убрать возможность узнать логин администратора;
  • Спрятать ошибки при входе на сайт;
  • Убрать ссылку на X-Pingback и возможность спамить pingback’ами.

Также этот плагин позволяет защитить от копирования текст на сайте. Реализовано через вкладку Дополнительно – раздел Контент. Активированный рычажок позволяет отключить правую кнопку мыши, выделение текста и работу клавиш Ctrl+C.

запрет на копирование текста с блога

Вывод

Безопасность сайта зависит от действий его владельца. В этой статье представлено 7 способов защитить сайт на вордпресс. Вы можете воспользоваться любым вариантом. Самый актуальный способ защиты – это блокировка по IP. Если выбирать из плагинов, рекомендую установить All In One WP Security или Clearfy Pro.

Автор статьи Ольга Абрамова, блог Денежные ручейки