WordPress կայքի անվտանգություն. 10 պարտադիր քայլ

Ամեն օր կոտրվում է մոտ 30,000 կայք, որոնց մեծ մասը՝ WordPress։ Բայց վիճակագրությունը խաբուսիկ է. կոտրվում են ոչ թե «WordPress-ը», այլ չթարմացված ու անփույթ կարգավորված կայքերը։

1. Թարմացրեք ամեն ինչ

Կոտրումների ~60%-ը հնացած plugin-ների խոցելիություններից է։ Միացրեք ավտոմատ թարմացումները core-ի համար և շաբաթը մեկ ստուգեք plugin-ները։

2. Ջնջեք չօգտագործվող plugin-ներն ու թեմաները

Անջատված plugin-ը նույնպես խոցելի է. ֆայլերը սերվերի վրա են։ Ինչ չեք օգտագործում՝ ջնջեք։

3. Ուժեղ գաղտնաբառ + երկգործոն մուտք

«admin / admin123»-ը կոտրվում է վայրկյանների ընթացքում։ Օգտագործեք գաղտնաբառերի մենեջեր և միացրեք 2FA՝ հատկապես ադմինների համար։

4. Փոխեք admin օգտանունը

Brute-force բոտերը սկսում են «admin» օգտանունից։ Ստեղծեք նոր ադմին այլ անունով, հինը ջնջեք։

5. Սահմանափակեք մուտքի փորձերը

Login LockDown կամ նմանատիպ plugin-ով 5 սխալ փորձից հետո արգելափակեք IP-ն։ MyWeb.am-ի սերվերներում brute-force պաշտպանությունն աշխատում է նաև սերվերի մակարդակում։

6. SSL ամենուր

HTTPS-ը պաշտպանում է մուտքի տվյալները և պարտադիր է Google-ի համար։ Անվճար Let's Encrypt սերտիֆիկատը այսօր ստանդարտ է։

7. Ամենօրյա պահուստավորում

Անվտանգության վերջին գիծը backup-ն է։ Կարևորը՝ պահուստը պետք է պահվի կայքից դուրս. կոտրված սերվերի վրա պահվող backup-ը նույնպես կոտրված է։

8. Անջատեք ֆայլերի խմբագրումը վահանակից

wp-config.php-ում ավելացրեք define('DISALLOW_FILE_EDIT', true); - կոտրված ադմին հաշիվը չի կարողանա կոդ ներարկել թեմայի մեջ։

9. Ստուգեք օգտատերերի դերերը

Editor-ին Administrator մի դարձրեք «հարմարության համար»։ Ամեն ավելորդ ադմին հաշիվ կրկնապատկում է ռիսկը։

10. Մոնիտորինգ

Wordfence կամ նմանատիպ սկաներ՝ ֆայլերի փոփոխությունները ու կասկածելի մուտքերը ժամանակին նկատելու համար։ Կոտրումը հայտնաբերել մեկ ժամում թե մեկ ամսում՝ հսկայական տարբերություն է։

Ամփոփում. այս 10 քայլը ծածկում է իրական հարձակումների ճնշող մեծամասնությունը։ Մեկ երեկո ներդրած ժամանակը կփրկի ձեզ շաբաթների վերականգնումից։