Захист сайту на WordPress від злому

Якщо ви використовуєте CMS WordPress для вашого сайту, то переконайтеся, що пароль в адмін-панель стійкий для підбору, а також постарайтеся убезпечити свій сайт.

Поради щодо захисту від Brute Force атак, які наводить сам Wordpress:

1. Не використовуйте ім'я користувача "admin". Якщо ви не змінювали ім'я після створення свого облікового запису на WordPress, то створіть новий обліковий запис з іншим ім'ям, перенесіть туди всі пости і змініть ім'я користувача "admin" (або взагалі його видаліть). Крім того, ви можете використовувати плагін Admin Renamed Extended, який дозволяє швидко поміняти ім'я користувача.

2. Використовуйте складний пароль. Для генерації пароля можна використовувати автоматичні системи генерації паролів.

Придумуючи пароль, не використовуйте в ньому імена, назва вашої компанії або сайту, не використовуйте словникові слова, тільки букви або тільки цифри, уникайте коротких паролів.

Складний пароль захистить не тільки вміст сайту. Отримавши доступ в адмін-панель сайту, хакер може встановити різні скрипти, які можуть завдати шкоди всьому серверу.

3. Ви можете використовувати наступні плагіни, які обмежують кількість спроб входу або блокують тих, хто намагається отримати доступ до wp-admin:

4. Якщо ви - єдиний адміністратор свого сайту, ви можете заблокувати вхід в адмін-панель для всіх, крім себе через файл .htaccess. Ви можете використовувати цей спосіб, тільки якщо у вас статичний IP-адресу. Відкрийте файл в текстовому редакторі в кореневій директорії вашого сайту, наприклад public_html, і додайте наступне:

   <Files wp-login.php>
   order deny,allow
   deny from all
   allow from  x.x.x.x
   </Files>

x.x.x.x – ваш IP адрес (дізнатись свій IP адрес).
 
Для Nginx ви можете додати наступний блок, який працює так само, як і наведений вище.
               SetEnvIf Remote_Addr х.х.х.х realremoteaddr
               order allow, deny
               allow from env=realremoteaddr
               deny from all
Якщо необхідно додати ще один IP-адрес доступу, то прописуємо аналогічний рядок з іншою адресою під вказаною. Якщо теми або плагіни вашого сайту використовують AJAX, в файл .htaccess необхідно додати наступну інформацію.
               # Allow acces to wp-admin/admin-ajax.php
               <Files admin-ajax.php>
               Order allow,deny
               Allow from all
               Satisfy any
               </Files>
Збережіть файл і завантажте його в вашу папку wp-admin. Якщо ви обмежуєте доступ до wp-admin в Nginx і використовуєте AJAX, ви повинні додати в файл наступний запис
               location /wp-admin/admin-ajax.php {
               allow all;
               }
Додаткову інформацію щодо захисту вашого сайту на Wordpress від злому ви можете прочитати тут. Подбайте про захист вмісту ваших сайтів.
Ця відповідь Вам допомогла? 58 Користувачі, які знайшли це корисним (143 Голосів)