Security Blog
Posted By Gregory

Как эффективно защитить WordPress: список обязательных действий

English version: How to protect WordPress effectively: a must-do list


Список обязательных действий для обеспечения высокой безопасности и надежной защиты вашего веб-сайта.

Чтобы максимально эффективно использовать алгоритмы безопасности WP Cerber, вам следует настроить все параметры, указанные ниже. Делайте это обдуманно, поскольку некоторые настройки могут конфликтовать с другими плагинами или настройками вашего веб-сервера. В случае возникновения проблем проверьте журнал активности на наличие связанных событий, таких как отклоненные запросы или заблокированные IP-адреса. Обратите внимание, что некоторые из описанных ниже функций доступны только в профессиональной версии .

1. Включите автоматические обновления.

Регулярные обновления WP Cerber крайне важны для надежной безопасности WordPress, поскольку мы постоянно совершенствуем его алгоритмы, внедряем защиту от новых угроз и исправляем программные ошибки. Вы можете включить их всего за несколько кликов: Как включить автоматические обновления для WP Cerber .

2. Проверьте основные настройки.

  1. Перейдите на страницу «Основные настройки».

  2. Установите параметр " Загрузить механизм безопасности" в "Стандартный режим".

  3. Настройте "Пользовательский URL-адрес для входа"

  4. Установите параметр «Обработка запросов аутентификации wp-login.php» в значение «Блокировать доступ к wp-login.php» или, что является более сложным вариантом, в значение «Запретить аутентификацию через wp-login.php».

  5. Включите параметр «Немедленно блокировать IP-адрес при попытке входа в систему с несуществующим именем пользователя».

  6. Включите параметр "Отключить перенаправление на панель управления"

  7. При желании можно включить опцию "Немедленно блокировать IP-адрес после любого запроса к wp-login.php".

3. Активируйте политики безопасности на вкладке «Усиление защиты».

Минимальный набор настроек, которые необходимо включить в разделе «Усиление безопасности WordPress» :

  1. "Остановить перечисление пользователей"

  2. «Предотвратить обнаружение имени пользователя через oEmbed»

  3. «Предотвращение обнаружения имен пользователей с помощью XML-карт сайта пользователей»

  4. «Заблокировать доступ к страницам пользователей по их именам пользователей»

  5. «Заблокировать выполнение PHP-скриптов в медиапапке WordPress»

  6. "Отключить отображение ошибок PHP"

  7. "Отключить XML-RPC"

В разделе «Доступ к REST API WordPress» рекомендуется включить следующие параметры:

  1. "Остановить перечисление пользователей / Заблокировать доступ к данным пользователей через REST API"

  2. "Отключить REST API"

  3. «Разрешить доступ к REST API для авторизованных пользователей»

Подробнее: Ограничение доступа к REST API

4. Включите брандмауэр Traffic Inspector.

  1. Установите параметр «Включить проверку трафика» в значение «Максимальная безопасность».

  2. Установите параметр «Включить защиту от ошибок» в значение «Максимальная безопасность».

5. Включите запланированное сканирование на наличие вредоносных программ и автоматическое удаление вредоносных программ.

На вкладке «Настройки» должны быть включены следующие параметры.

  1. "Сканировать временный каталог"

  2. "Сканировать каталог сессий"

На вкладке «Очистка» :

  1. Необходимо включить следующие параметры: «Удаление файлов, удаленных без вашего участия», «Восстановление файлов WordPress», «Восстановление файлов плагинов».

  2. В настройках «Файлы в папке загрузок» необходимо установить все флажки.

6. Включите защиту от спама, даже если считаете, что она вам не нужна.

На вкладке «Антиспам-движок» рекомендуем включить следующие настройки:

  1. Форма для комментариев (Защита формы для комментариев с помощью системы обнаружения ботов)

  2. «Регистрационная форма (Защита регистрационной формы с помощью механизма обнаружения ботов)»

  3. «Другие формы (Защитите все формы на веб-сайте с помощью системы обнаружения ботов)»

7. Используйте географические правила: блокируйте страны, с которыми вы не собираетесь заключать сделки.

На странице администрирования «Правила безопасности» настройте географические политики для стран, которым разрешено взаимодействовать с вашим веб-сайтом: отправлять формы, входить в систему или регистрироваться и т. д. Эти настройки не препятствуют индексации веб-сайта поисковыми системами.

8. Переименуйте папку плагинов WordPress.

Изменение названия папки плагинов — один из самых недооцененных способов повысить защиту вашего WordPress. И при этом это бесплатно и просто.

Подробнее: Как переименовать папку плагинов WordPress

9. Включите двухфакторную аутентификацию.

Для защиты учетных записей пользователей включите двухфакторную аутентификацию (2FA). Она обеспечивает дополнительный уровень безопасности, требуя второго фактора идентификации помимо имени пользователя и пароля.

Читайте также: Как включить двухфакторную аутентификацию в WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.