Зашита сайта на WP

Зашита сайта на WordPress - Меня неоднократно взламывали!

Меня неоднократно взламывали!

Особенно те сайта которые писал быстро и не думал, что они имеют ценность! На них не было сбора телефонов и Email клиентов.

Не задумывался их защищать, т.к. всегда сохраняю копии на своем ПК и храню в архиве на хостинге.

Как и полагается в 3 экземплярах! 3-я копия на внешнем диске.

 

ПЕРЕД ЛЮБЫМ изменением на сайте сделать копию себе на ПК.

Это должно стать вашей первой привычкой — купите внешний диск для сохранения второй копии!

По правилам хранения данных, нужно три копии — будем считать ваш сайт на хостинге ПЕРВОЙ копией!

 

С 2024 года сайты стали просто атаковываться извне очень часто (((

Такие как этот и типа HOLTER24-ONLINE.RU. Особенно после того как отказался от импортного домена HOLTER24.ONLINE

Пришлось задуматься, так на восстановление даже из архива требуется время, а сайтов я наклепал под 50!

Способы защиты админки

Первое, не ставить WP с админ логином «admin»,

который предлагает установщик по умолчанию.

Если у вас старый сайт измените имя в записи базы: wp_users — на, например, такое «SiteAdmFamilia» или даже еще сложнее… пароль никогда не делайте менее 8 симовлов!

«сегодня» WP предлагает пароль из 24 символов, типа:  «YZs%VypCsn&Qky)z4TafM&Rl» — рекомендую Его сохранять и менять в нем , анпрмиер 5 символ ан следующий на клавиатуре!, например пароль тут реально такой: «YZs$VypCsn&Qky)z4TafM&Rl».

 

Второе, using плагин  «WPS Hide Login«. Меняю «wp-login.php» на «HUY_Ugadaysch» ;-)

Конечно , шутка в имени!

 

Можно еще использовать плагин Limit Login Attempts Reloaded.

Плагин позволяет ограничить логирование после 2-4 попыток входа.

Рекомендую ставить 2 попытки lzk входа и потом блокировку на 1 или 24 часа! Что хватает для ботов!

Кроме того, версия PRO позволяет блокировать входы из других стран. В версии FREE до 1000 блокировок в месяц.

 

For FREE установлю эти плагины и настрою, но за 500 рублей сделаю это лучше! ;-)

 

Блокировка API WordPress

Лучше всего сделать это вручную, но кто не знаком хорошо с кодами  плагин Disable XML-RPC-API от Автора: Neatma

Настройки для импорта (ГЛУХИЕ, пости все откл.):

{«dsxmlrpc-switcher»:»»,»xmlrpc-slug»:»»,»jetpack-switcher»:»»,»disabled-methods»:[«pingback.ping»,»mt.getTrackbackPings»,»pingback.extensions.getPingbacks»,»x-pingback»],»White-list-IPs»:»»,»Black-list-IPs»:»»,»json-rest-api»:»1″,»htaccess protection»:»1″,»remove-wp-ver»:»1″,»disable-code-editor»:»1″,»disable-wlw»:»1″,»slow-heartbeat»:»1″,»hotlink-fix»:»1″,»remove-emojis»:»1″,»remove-rss»:»1″,»disable-oembed»:»1″}

ОСОБЕННОСТИ ПЛАГИНА
(Вы можете включить или отключить каждую из этих опций)

1.Отключите доступ к файлу xmlrpc.php, используя файл .httacess
Автоматически измените разрешение файла htaccess на доступ только для чтения (0444)
Отключите X-pingback, чтобы минимизировать загрузку процессора
Отключите выбранные методы из XML-RPC
Удалите ссылку pingback из заголовка
Отключите отслеживание и пингбэки, чтобы избежать спамеров и хакеров
Переименуйте XML-RPC slug на любой другой, который вам нужен
IP-адреса из черного списка для XML-RPC
IP-адреса из белого списка для XML-RPC
Некоторые опции для ускорения работы вашего веб-сайта wordpress
Отключите JSON REST API
Скройте версию WordPress
Отключите встроенный файловый редактор WordPress
Отключите манифест wlw
И некоторые другие опции
Что такое XMLRPC

XML-RPC, или удаленный вызов процедур XML, — это протокол, который использует XML для кодирования своих вызовов и HTTP в качестве транспортного механизма.
Начиная с версии WordPress 3.5, XML-RPC включен по умолчанию. Кроме того, была удалена возможность отключать/включать XML-RPC. По разным причинам владельцы сайтов могут захотеть отключить эту функциональность. Этот плагин предоставляет простой способ сделать это.

Почему вам следует отключить XML-RPC
У Xmlrpc есть два основных недостатка

Атаки методом перебора:
Злоумышленники пытаются войти в WordPress с помощью xmlrpc.php, используя столько комбинаций имени пользователя и пароля, сколько они могут ввести. Метод внутри xmlrpc.php позволяет злоумышленнику использовать одну команду (system.multicall) для подбора сотен паролей. Дэниел Сид из Sucuri хорошо описал это в октябре 2015 года: “С помощью всего лишь 3 или 4 HTTP-запросов злоумышленники могут перепробовать тысячи паролей, обходя средства безопасности, которые предназначены для поиска и блокирования попыток перебора”.
Атаки типа «Отказ в обслуживании» с помощью Pingback:
Еще в 2013 году злоумышленники отправляли запросы на Pingback через xmlrpc.php примерно 2500 сайтов WordPress, чтобы “объединить (эти сайты) в добровольную ботнет-сеть”, по словам Гура Шатца из Incapsula. “Это дает любому злоумышленнику практически неограниченный набор IP-адресов для распространения атаки типа ”Отказ в обслуживании» по сети, состоящей из более чем 100 миллионов сайтов WordPress, без необходимости их компрометировать».

Больше защиты с Wordfence Security

Плагин Wordfence Security использую давно!  Всегда можно посмотреть что и где осталось уязвимым на сайте и предпринять меры!

Кроме того, разработчики постоянно информируют о последних уязвимостях WP, а собирают их за деньги, просто платят за взломы ))).

 

Самая главная защита:  не использовать null версии тем и плагинов.

Но это сколько не говори ,не для нас ))).

Тогда основное правило, которое должно стать привычкой: ПЕРЕД ЛЮБЫМ изменением на сайте сделать копию себе на ПК.

 

 

 

 

 

Оцените статью
Добавить комментарии
Зашита сайта на WP
сайт на теме Yelly для WordPress
САЙТ ПОД КЛЮЧ от 2950Р
× Спросить