Security Blog
Posted By Gregory

Как эффективно защитить WordPress: список обязательно делать


English version: How to protect WordPress effectively: a must-do list


Обязательный список, который обеспечивает надежную и надежную защиту вашего сайта.

Мы хотим, чтобы вы максимально использовали наши алгоритмы безопасности. Вот почему мы рекомендуем вам настроить все параметры ниже. Сделайте это вдумчиво, потому что некоторые настройки могут конфликтовать с другим плагином или настройками вашего веб-сервера. В случае каких-либо проблем проверьте журнал активности на наличие связанных событий, таких как отклоненные запросы или заблокированные IP-адреса.

1. Проверьте основные настройки

  1. Установите « Загрузить систему безопасности» в «Стандартный режим»
  2. Настройте «Пользовательский URL-адрес входа» и включите «Отключить wp-login.php»
  3. Включите «Немедленно блокировать IP при попытке войти с несуществующим именем пользователя»
  4. Включить «Отключить перенаправление панели управления»
  5. Включите «Немедленно заблокировать IP после любого запроса к wp-login.php»

2. Активируйте политики безопасности на вкладке «Укрепление».

Минимальный набор настроек, который вы должны включить в разделе « Укрепление WordPress »:

  1. «Остановить перечисление пользователей»
  2. «Блокировать выполнение PHP-скриптов в медиа-папке WordPress»
  3. «Отключить XML-RPC»
  4. «Отключить отображение ошибок PHP»

Следующие параметры рекомендуется включить в разделе Доступ к WordPress REST API :

  1. «Остановить перечисление пользователя / заблокировать доступ к данным пользователя через REST API»
  2. «Отключить REST API»
  3. «Разрешить REST API для зарегистрированных пользователей»

Подробнее: Ограничить доступ к REST API

3. Включите настройки брандмауэра Traffic Inspector

  1. Установите «Включить проверку трафика» на «Максимальная безопасность»
  2. Установите «Включить защиту от ошибок» на «Максимальная безопасность»

4. Включите запланированное сканирование вредоносных программ и автоматическое удаление вредоносных программ.

На вкладке Параметры, следующие параметры должны быть включены

  1. «Сканировать временный каталог»
  2. "Сканирование каталога сессий"

На вкладке Очистка :

  1. Параметр «Автоматические файлы» должен быть включен
  2. Все флажки в настройках «Файлы в папке загрузки» отмечены

5. Включите защиту от спама, даже если вы считаете, что она вам не нужна

На вкладке Антиспам-движок рекомендуется включить следующие параметры:

  1. «Форма комментария (форма защиты комментариев с помощью механизма обнаружения ботов)»
  2. «Регистрационная форма (Защитите регистрационную форму с помощью механизма обнаружения ботов)»
  3. «Другие формы (Защитите все формы на сайте с помощью механизма обнаружения ботов)»

6. Используйте правила GEO: блокируйте страны, с которыми вы не собираетесь заключать сделку

На странице администрирования правил безопасности настройте политики GEO для стран, которым разрешено взаимодействовать с вашим веб-сайтом: отправка форм, возможность входа в систему или регистрации и т. Д. Эти параметры не мешают поисковым системам индексировать сайт.

7. Переименуйте папку плагинов

Изменение имени папки плагинов – один из самых недооцененных способов сделать вашу защиту WordPress сильнее. И все же это бесплатно и просто.

Подробнее: Как переименовать папку плагинов WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.