Захист WordPress від злому

19

Від автора: вітаю вас, шановні читачі сайту WebForMyself. У цій статті ми зупинимося на деяких моментах безпеки сайту WordPress і розглянемо таку важливу тему, як захист WordPress від злому. Захист WordPress від злому і спаму – це, мабуть, одні з найважливіших питань при роботі з сайтом.

Якщо ви пошукайте в мережі, знайдете сотні статей з назвою типу 10 кроків для захисту WordPress від злому або як захистити сайт на WordPress. Статті ці фактично копіюють один одного не тільки за змістом, але часто навіть і за назвою. І це не дивно, оскільки всі поради, що стосуються безпеки WordPress та запобігання злому, за великим рахунком, універсальні і щось нове тут придумати складно.

Власне, ця стаття навряд чи буде винятком, і якщо ви вже знайомі з подібними статтями, тоді навряд чи знайдете в цій щось нове для себе. Однак для новачків стаття буде безумовно корисна, оскільки для неї я вирішив взяти, на мій погляд, один з найбільш важливих порад, слідуючи яким ви зможете захистити сайт на WordPress і зробити його роботу значно безпечніше.

Отже, для початку слід зрозуміти, якими способами можуть зламати сайт WordPress, адже знаючи спосіб атаки, простіше захиститися від неї. Найбільш поширеним способом злому WordPress, як і будь-якого іншого сайту, є підбір пароля адміністратора. Науковий термін даного виду злому носить назву брутфорс (з англійської – груба сила).
Це дійсно досить образну назву, оскільки суть методу полягає в простому переборі паролів до тих пір, поки не буде досягнутий результат у вигляді пароля адміністратора. Метод простий, але дуже дієвий. Як же захистити сайт на WordPress від методу «грубої сили»? Один з найбільш простих і дієвих способів захисту є унікальний логін адміністратора.

Всі. Вже одне тільки це рішення значно посилить захист WordPress від злому. Справа в тому, що при установці WordPress більшість користувачів не заморочуються і в якості логіна адміністратора вибирають нехитрий логін admin. Це помилка. Потенційні хакери, звичайно ж, чудово обізнані про це і тому фактично півсправи за них зробив уже адміністратор сайту, вибравши небезпечний логін. Зломщикові залишається лише перебирати пароль для цього логіна.

Саме тому, якщо ви використовуєте для адміністратора логін admin – терміново змініть його. Як це зробити? Насправді логін WordPress змінити не можна. Однак можна створити нового користувача з правами адміністратора, а колишнього просто видалити. Перейдемо в меню Користувачі – Додати нового і реєструємо нового адміністратора. В якості логіна я для прикладу вказав admin111, такий логін цілком безпечний. Можете придумати зручний для вас логін, але при його виборі намагайтеся керуватися наступними правилами:

не використовуйте в якості логіна слова admin або administrator

логін не повинен співпадати з ім’ям, яке додається після поля E-mail

логін не повинен збігатися з доменним ім’ям сайту

При виборі пароля намагайтеся керуватися одним простим правилом – це не повинен бути пароль словника, тобто в якості пароля не варто вибирати значуще слово. Також не варто в якості пароля вибирати дату народження або просто набір цифр. Створюваний пароль в ідеалі повинен складатися не менш ніж з шести символів і включати в себе маленькі та великі літери, цифри та інші знаки.

Захист WordPress від злому

Після додавання нового адміністратора вийдемо з адмінки і зайдемо заново, але вже під новою адмінської обліковим записом. Перейдемо до розділу користувачі і видалимо колишню адміністраторську запис. При видаленні всі записи, зроблені колишнім адміністратором, пов’язуємо з новим адміністратором.

Захист WordPress від злому

Тепер у нас на сайті є новий адміністратор, логін якого відомий тільки вам.

Захист WordPress від злому

Це значно посилить захист сайту на WordPress. Однак можливий варіант, коли логін все одно може стати відомий потенційного зломщикові. У цьому випадку він може підбирати пароль до вашого логіну. Щоб ви були в курсі даної проблеми, рекомендую скористатися плагіном Limit Login Attempts.

Плагін дуже простий в налаштуванні і використанні, але разом з тим дуже корисний. Його основне призначення – запобігти підбір пароля. Якщо для облікового запису підбирається пароль, тоді після трьох невдалих спроб IP, з якого підбирається пароль, буде заблокований і плагін повідомить вас про проблему.

Це дуже зручно, оскільки в цьому випадку ви будете знати, що логін вже дискредитований і можете просто створити нового адміністратора з новим логіном, видаливши колишній.

Ось, власне, все, що я хотів вам розповісти в даній статті. Це всього-навсього одна порада щодо того, як захистити WordPress від злому, однак, як я зазначав вище, це один з найбільш важливих порад. На цьому я з вами прощаюся. Удачі!