Как эффективно защитить WordPress: список обязательных действий

English version: How to protect WordPress effectively: a must-do list

Список обязательных действий для обеспечения надежной и надежной защиты вашего веб-сайта.

Чтобы получить максимальную отдачу от алгоритмов безопасности Cerber, вы должны настроить все параметры ниже. Делайте это обдуманно, потому что некоторые настройки могут конфликтовать с другим плагином или настройками вашего веб-сервера. В случае возникновения каких-либо проблем проверьте журнал активности на наличие связанных событий, таких как отклоненные запросы или заблокированные IP-адреса. Обратите внимание, что некоторые из функций, описанных ниже, доступны только в профессиональной версии .

1. Проверьте основные настройки

1. Установите « Загрузить модуль безопасности» на «Стандартный режим».
2. Настройте «Пользовательский URL-адрес входа» и включите «Отключить wp-login.php».
3. Включите «Немедленно блокировать IP-адрес при попытке входа с несуществующим именем пользователя».
4. Включите «Отключить перенаправление панели инструментов»
5. Включите «Немедленно блокировать IP после любого запроса к wp-login.php»

2. Активируйте политики безопасности на вкладке «Защита».

Минимальный набор настроек, которые вы должны включить в разделе Hardening WordPress :

1. "Остановить перечисление пользователей"
2. «Блокировать выполнение PHP-скриптов в папке мультимедиа WordPress»
3. «Отключить XML-RPC»
4. "Отключить отображение ошибок PHP"

В разделе « Доступ к WordPress REST API » рекомендуется включить следующие настройки:

1. «Остановить перечисление пользователей / Заблокировать доступ к пользовательским данным через REST API»
2. «Отключить REST API»
3. «Разрешить REST API для зарегистрированных пользователей»

Подробнее: Ограничение доступа к REST API

3. Включите настройки брандмауэра Traffic Inspector.

1. Установите «Включить проверку трафика» на «Максимальная безопасность».
2. Установите «Включить защиту от ошибок» на «Максимальная безопасность».

4. Включите запланированное сканирование вредоносных программ и автоматическое удаление вредоносных программ.

На вкладке « Настройки » должны быть включены следующие настройки.

1. "Сканировать временный каталог"
2. "Сканировать каталог сеанса"

На вкладке « Очистка »:

1. Вы должны включить: «Удалить файлы без присмотра», «Восстановить файлы WordPress», «Восстановить файлы плагинов».
2. Все галочки в настройках "Файлы в папке загрузок" должны быть отмечены

5. Включите защиту от спама, даже если считаете, что она вам не нужна

На вкладке Механизм защиты от спама советуем включить следующие настройки:

1. «Форма комментариев (Защитить форму комментариев с помощью механизма обнаружения ботов)»
2. «Регистрационная форма (Защитить регистрационную форму с помощью механизма обнаружения ботов)»
3. «Другие формы (защитить все формы на веб-сайте с помощью механизма обнаружения ботов)»

6. Используйте правила GEO: блокируйте страны, с которыми не собираетесь иметь дело

На странице администрирования правил безопасности настройте политики GEO для стран, которым разрешено взаимодействовать с вашим сайтом: отправка форм, возможность входа или регистрации и т. д. Эти настройки не препятствуют индексации сайта поисковыми системами.

7. Переименуйте папку плагинов

Изменение имени папки плагинов — один из самых недооцененных способов усилить защиту WordPress. И все же это бесплатно и легко.

Подробнее: Как переименовать папку плагинов WordPress

8. Включите двухфакторную аутентификацию

Для защиты учетных записей пользователей включите двухфакторную аутентификацию. Он обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации помимо имени пользователя и пароля.

Подробнее: Как включить двухфакторную аутентификацию для WordPress