Как думаете, многие уделяют внимание своей информационной безопасности? Даже если вы никогда не задавались этим вопросом, уверяем вас — они в меньшинстве. А ведь достаточно потратить всего пару минут на то, чтобы настроить менеджер паролей или убедиться, что вы совершаете денежные операции по зашифрованному протоколу https. Это очень просто — и это в разы увеличивает вашу интернет-безопасность.

1. Удалите пользователя Admin

Начнем с азов: по умолчанию администратор вашего блога носит имя Admin, которое, по существу, является половиной необходимой для хакеров информации. Узнав имя пользователя, злоумышленнику остается взломать пароль. Не исключено, что и здесь все пойдет как по маслу — вряд ли человек, который не удосужился изменить имя пользователя, будет выдумывать сложный пароль, а тем более — использовать для этого какие-либо дополнительные инструменты.

Итак, первым делом вам следует создать нового пользователя с вменяемым именем и передать ему администраторские полномочия, а оригинального Admin попросту удалить.

2. Используйте добротные пароли

Как бы там ни было, узнать имя пользователя — плевое дело. Именно поэтому вся ответственность ложиться на ваш пароль.

Проблема простых паролей выходит далеко за пределы сайтов на «Вордпрессе», однако решается она так же просто, как и предыдущая. Чтобы не ломать себе голову, выдумывая надежный пароль, а потом, в случае его «пропажи», не рвать на себе волосы, лихорадочно вспоминая заветную комбинацию или хотя бы адрес электронной почты, на которую был зарегистрирован аккаунт, используйте менеджеры паролей типа LastPass или 1password. Они генерируют по-настоящему надежные комбинации, избавляют вас от необходимости эти комбинации запоминать, а также обладают высоким уровнем защиты от взлома.

Если у вас на сайте несколько авторов, сделайте подобную практику обязательной. В противном случае, даже если вы защитите свой аккаунт всеми возможными способами, а логин и пароль вашего коллеги будет max и max123, соответственно, то ничего хорошего из этого не получится. К слову, менеджеры паролей обладают массой других преимуществ. Судите сами:

3. Вовремя обновляйте движок WordPress

Каждое обновление данной CMS — это не только визуальные доработки или новые функциональные возможности, но и постоянные улучшения безопасности. То же самое касается плагинов и даже темы, которую вы используете на своем сайте.

Апдейт — это также сущий пустяк. Во-первых, вам не нужно следить за обновлениями на специализированных форумах или рыскать в их поисках по другим сайтам — уведомления о новых версиях появляются прямо в вашей панели администратора. Во-вторых, далее от вас потребуется ровно два клика: активировать и подтвердить установку обновления.

4. Регулярно делайте резервные копии базы данных

Бекапы — еще одна важная составляющая вашей безопасности. Последствия взлома бывают разные: может пострадать ваша репутация, можно лишиться домена, могут исчезнуть данные, которые хранились на сайте в единственном экземпляре, не говоря уж о том, что все те часы, потраченные на оформление и публикацию страниц и материалов, попросту потеряют смысл.

Резервное копирование успешно решает половину из этих проблем, причем WordPress поддерживает разные сценарии как платных, так и бесплатных бекапов. Плагин WP-DB-Backup — один из самых популярных инструментов в своем роде. Помимо прочего, он позволяет настроить автоматическое создание резервной копии, которая затем будет отправлена вам на почту.

WP Backup to Dropbox

Если вы пользуетесь облачным хранилищем данных Dropbox, то WordPress Backup to Dropbox — еще один отличный способ прикрыть тылы. Плагин подключается к Dropbox по протоколу авторизации OAuth, который обеспечивает ограниченный доступ к защищенным ресурсам пользователя без использования его чувствительных данных (логин-пароль).

5. Ограничьте кол-во попыток входа в админку

Limit Login Attempts — отличный плагин, который предназначен для защиты от brute-force (англ. «метод грубой силы») хакерских атак. Он ограничивает количество неправильных попыток ввода логина и пароля (точка входа: http://example.ua/wp-login.php), что значительно повышает устойчивость вашего сайта ко взлому.

Limit Login Attempts

Плагин отличается простыми настройками, которые позволят регулировать количество неудачных попыток, а также определить, при каких условиях и на какое время незадачливый взломщик будет «изолирован».

5.1 Спрячьте сам вход в панель администратора

Вход в админку можно замаскировать, установив WordPress в директорию с каким-нибудь заковыристым именем. Это может быть и девичья фамилия вашей матери, и какое-нибудь iloveseoverymuch. Имя не имеет значения, главное — изменить адрес точки входа.

Важно: если вы изменили путь установки «Вордпресса», необходимо зайти в «Параметы — Общие» и указать в графе «Адрес WordPress (URL)» новый путь к CMS-системе, а в «Адресе сайта (URL)» — реальный адрес http://exаmple.ua/, который и будут видеть ваши посетители.

6. Скройте версию WordPress

Версия вашей CMS-системы — весьма ценная информация для злоумышленников. По умолчанию она доступна всем и каждому, но это легко исправить. Если вы разработчик, проще всего внести изменения в файл functions.php, если же программирование не для вас, можно установить популярный плагин Better WP Security и скрыть версию «Вордпресса» с его помощью.

Better WP Security

К слову, Better WP Security умеет «из коробки» делать практически все, о чем мы говорили выше, а также многое другое. Но плагины, как известно, время от времени барахлят, конфликтуют с себе подобными и даже тормозят работу всего ресурса, потому мы рекомендуем обезопасить свой сайт своими же руками. Благо, это действительно просто.

7. Проверяйте

Наконец, никогда не устанавливайте плагины из непроверенных источников. Из плагинов получаются отличные троянские лошадки, чем и пользуются взломщики. Убедитесь, что вы инсталлируете именно то, что вам нужно, и обязательно просмотрите отзывы на WordPress.org. Естественно, нет никакой нужды собирать подробное досье на каждого из разработчиков, но и слепо верить каждому, кто предлагает вам очередную утилиту, не стоит.

А какие меры по безопасности принимаете вы? И сталкивались ли вы с попытками взлома вашего сайта?