Якщо у вас сайт на WordPress, приділяти увагу безпеці дуже важливо. Безпеки блогів та сайтів на WordPress постійно щось загрожує. Часто ви дізнаєтеся про дірку в безпеці тоді, коли вже пізно.
Краще подбати про те, щоб погрози не матеріалізувалися, аніж реагувати пізніше. Турбота про безпеку WordPress може бути найкращим, що ви робили.
Ось 5 загроз безпеки WordPress, на які ви повинні звернути увагу, а також способи запобігання їм.
1. Логін під час використання різних комбінацій
Неавторизовані користувачі можуть спробувати логіна, використовуючи комбінації імен і паролів. За допомогою доступних їм програм та інструментів вони зможуть отримати логін і пароль. Цей метод називається брутфорс.
Але у нас є хороша новина: ви можете запобігти цьому, встановивши плагін. Плагін Обмеження спроб входу встановлює обмеження кількість спроб логіну, які може зробити користувач. При перевищенні цієї кількості користувач блокується.
Читайте також: Як обмежити кількість спроб входу в консоль WordPress
2. Підтвердження інформації для входу
Основний недолік поточної форми авторизації WordPress у цьому, що він інформує у тому, яку частину інформації введено неправильно. Наприклад, якщо ім'я користувача правильне, а пароль неправильний, WordPress повідомить про це користувача. Це спрощує використання брутфорсу, оскільки хакер точно знає, що потрібно змінити — логін або пароль.
Це можна виправити, вставивши наступний код у файл functions.php вашої WordPress теми:
function failed_login () { return 'the login information you have entered is incorrect.'; } add_filter ( 'login_errors', 'failed_login' );
3. Відкрита глобальна реєстрація
Кожна людина із будь-якої точки світу може зареєструватися на вашому сайті. Ця можливість є у всіх сайтів WordPress, але за замовчуванням вона відключена. Якщо ви не орієнтовані на всесвітню аудиторію, вам варто залишити цю опцію вимкненою.
Щоб переконатися, що вона вимкнена, перейдіть у консолі у вкладку Параметри → Загальні налаштування. Переконайтеся, що навпроти пункту членство не варто галка "Будь-хто може зареєструватися". Також про всяк випадок встановіть роль"передплатникяк роль за промовчанням для нового користувача.
Читайте також: Ролі користувачів WordPress: знаємо, хто є хто
4. Доступ до редакторів
Те, що власники WordPress сайтів надають доступ редакторам, — звичайна ситуація. Хоча це допомагає у розробці та верстці сайту, це також призводить до ризику того, що хтось отримає доступ до вашої консолі. Через неї він зможе змінювати тему, розмітку, тло вашого сайту тощо. Додати до файлу functions.php наступний рядок, щоб запобігти несанкціонованому доступу:
define ( 'DISALLOW_FILE_EDIT', true );
5. Версія WordPress
Будь-хто з базовими знаннями WordPress зможе дізнатися, яку версію платформи використовує ваш сайт. Потім він зможе використати конкретні слабкі місця цієї версії платформи, щоб отримати доступ до вашого сайту. Ви можете запобігти цьому, змінивши інформацію в метаданих шапки та у файлі readme.html.
Щоб змінити метадані, використовуйте наступний код:
function remove_wp_version () { return ''; } add_filter ( 'the_generator', 'remove_wp_version' );
Що стосується файлу readme.html, просто змініть заголовок на будь-що, що прийде вам в голову. Тільки переконайтеся, що це не буде розшифровано зломщиком. Ви можете видалити його, якщо захочете, або просто видалити версію з файлу.
Висновок
Ми розповіли про п'ять загроз безпеки WordPress, на які ви повинні звернути увагу, а також про способи їх запобігання. Звичайно, це не єдині ризики, з якими ви зіткнетеся під час роботи з сайтом на WordPress. Є багато способів і трюків, які ви можете використовувати, щоб зробити ваш сайт надійним та захищеним від спроб втручання чи злому. Почніть із цих п'яти загроз, щоб стати на правильний шлях.
Коментарі до запису: 6
Дякую за корисний матеріал.
3.5.1
Пункт 2 не працює
Пункт 4 забороняє редагувати тему всім, навіть адміністраторам
За Пункт 1 дякую
Пункт 2 не працює через помилку, після тексту має бути прямий апостроф, а не письмовий, і точка з комою, так - ..is incorrect.';
Дякую, виправили!
А ви не в курсі, я створив нову роль у WP, з правами редактора додавати мультимеді файли, але з модерацією постів. У консолі цього користувача є доступ до Category & Page I cons, як обмежити?
Пошукайте плагін, який вміє додавати нові ролі користувачів із певним набором прав.