Как обезопасить сайт на WordPress

Несмотря на большое количество взломов интернет-ресурсов, начинающим вебмастерам кажется, что их сайт проблема обойдет стороной. Озарение наступает лишь после того, как раскрученный ресурс, в который вложено много трудов и денежных средств, становится жертвой злоумышленников. Объектами взлома нередко становятся и проекты, созданные на платформе Вордпресс.

Способы защиты сайта

При наличии резервной копии сайта его можно восстановить, однако лучше позаботиться о защите заранее. Для этого существуют простые в применении и проверенные на практике методы:

Смена стандартного логина
При создании сайта на движке WordPress администратор для входа в панель управления получает стандартное имя пользователя (admin), изменение которого внутри системы не предусмотрено. Однако данный запрет можно обойти, добавив нового пользователя, связав с ним содержимое сайта и удалив пользователя admin. Сменить логин также можно в окне управления базами данных непосредственно на сайте хостинг-провайдера.

Создание надежного пароля
Ни в коем случае в качестве пароля нельзя указывать имена или даты рождения близких, а также логичные фразы, набранные на латинской раскладке. Password должен представлять собой набор из цифр, прописных и заглавных букв длиной минимум 8 знаков. Не рекомендуется использовать специальные онлайн-генераторы паролей, поскольку алгоритм их генерации легко может стать достоянием хакеров, а некоторые сервисы создаются именно с целью захвата паролей.

Удаление информации о версии движка
Если система не была обновлена до последней версии, злоумышленники могут воспользоваться оставшимися уязвимостями для взлома сайта. Эти данные, а также другая служебная информация хранится в файлах readme.html и license.txt корневого каталога, поэтому их нужно удалить. Версия платформы также может отображаться в файле header.php. Найти строку можно, открыв файл в редакторе админпанели.

Смена стандартной страницы входа в админпанель
По умолчанию все сайты, созданные на Вордпресс, имеют стандартный адрес входа в панель управления (адрес_сайта/wp-login.php или адрес_сайта/wp-admin). Чтобы запутать хакеров следует сменить адрес входа. Сделать это можно с помощью специальных плагинов или вручную, изменив имя файла wp-login.php, а также произведя замену всех упоминаний старого названия на новое в переименованном файле, а также файле wp-includes/general-template.php.

Помимо принятия перечисленных мер следует обновлять версии движка по мере их выхода, свести к минимуму использование плагинов и удалить все установленные, но не используемые, осуществлять закачку файлов на сервер через файловый менеджер хостинга, а не ftp-клиенты. Действия по защите сайта не займут много времени, но позволят избежать серьезных проблем.