Как эффективно защитить WordPress: список обязательных действий
English version: How to protect WordPress effectively: a must-do list
Список обязательных действий для обеспечения надежной и надежной защиты вашего веб-сайта.
Чтобы получить максимальную отдачу от алгоритмов безопасности Cerber, вы должны настроить все параметры ниже. Делайте это обдуманно, потому что некоторые настройки могут конфликтовать с другим плагином или настройками вашего веб-сервера. В случае возникновения каких-либо проблем проверьте журнал активности на наличие связанных событий, таких как отклоненные запросы или заблокированные IP-адреса. Обратите внимание, что некоторые из функций, описанных ниже, доступны только в профессиональной версии .
1. Проверьте основные настройки
- Установите « Загрузить модуль безопасности» на «Стандартный режим».
- Настройте «Пользовательский URL-адрес входа» и включите «Отключить wp-login.php».
- Включите «Немедленно блокировать IP-адрес при попытке входа с несуществующим именем пользователя».
- Включите «Отключить перенаправление панели инструментов»
- Включите «Немедленно блокировать IP после любого запроса к wp-login.php»
2. Активируйте политики безопасности на вкладке «Защита».
Минимальный набор настроек, которые вы должны включить в разделе Hardening WordPress :
- "Остановить перечисление пользователей"
- «Блокировать выполнение PHP-скриптов в папке мультимедиа WordPress»
- «Отключить XML-RPC»
- "Отключить отображение ошибок PHP"
В разделе « Доступ к WordPress REST API » рекомендуется включить следующие настройки:
- «Остановить перечисление пользователей / Заблокировать доступ к пользовательским данным через REST API»
- «Отключить REST API»
- «Разрешить REST API для зарегистрированных пользователей»
Подробнее: Ограничение доступа к REST API
3. Включите настройки брандмауэра Traffic Inspector.
- Установите «Включить проверку трафика» на «Максимальная безопасность».
- Установите «Включить защиту от ошибок» на «Максимальная безопасность».
4. Включите запланированное сканирование вредоносных программ и автоматическое удаление вредоносных программ.
На вкладке « Настройки » должны быть включены следующие настройки.
- "Сканировать временный каталог"
- "Сканировать каталог сеанса"
На вкладке « Очистка »:
- Вы должны включить: «Удалить файлы без присмотра», «Восстановить файлы WordPress», «Восстановить файлы плагинов».
- Все галочки в настройках "Файлы в папке загрузок" должны быть отмечены
5. Включите защиту от спама, даже если считаете, что она вам не нужна
На вкладке Механизм защиты от спама советуем включить следующие настройки:
- «Форма комментариев (Защитить форму комментариев с помощью механизма обнаружения ботов)»
- «Регистрационная форма (Защитить регистрационную форму с помощью механизма обнаружения ботов)»
- «Другие формы (защитить все формы на веб-сайте с помощью механизма обнаружения ботов)»
6. Используйте правила GEO: блокируйте страны, с которыми не собираетесь иметь дело
На странице администрирования правил безопасности настройте политики GEO для стран, которым разрешено взаимодействовать с вашим сайтом: отправка форм, возможность входа или регистрации и т. д. Эти настройки не препятствуют индексации сайта поисковыми системами.
7. Переименуйте папку плагинов
Изменение имени папки плагинов — один из самых недооцененных способов усилить защиту WordPress. И все же это бесплатно и легко.
Подробнее: Как переименовать папку плагинов WordPress
8. Включите двухфакторную аутентификацию
Для защиты учетных записей пользователей включите двухфакторную аутентификацию. Он обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации помимо имени пользователя и пароля.
Подробнее: Как включить двухфакторную аутентификацию для WordPress