Security Blog

Как эффективно защитить WordPress: список необходимых действий


English version: How to protect WordPress effectively: a must-do list


Список обязательных действий, чтобы обеспечить высокий уровень безопасности и надежную защиту вашего веб-сайта.

Чтобы получить максимальную отдачу от алгоритмов безопасности WP Cerber, вам необходимо настроить все параметры ниже. Делайте это обдуманно, поскольку некоторые настройки могут конфликтовать с другим плагином или настройками вашего веб-сервера. В случае возникновения каких-либо проблем проверьте журнал активности на предмет связанных событий, таких как отказ в запросах или заблокированные IP-адреса. Обратите внимание, что некоторые из описанных ниже функций доступны только в профессиональной версии .

1. Включите автоматические обновления.

Регулярные обновления WP Cerber имеют решающее значение для надежной безопасности WordPress, поскольку мы постоянно совершенствуем его алгоритмы, реализуем защиту от возникающих угроз и исправляем ошибки программного обеспечения. Включить их можно в пару кликов: Как включить автоматические обновления для WP Cerber .

2. Проверьте основные настройки

  1. Перейдите на страницу «Основные настройки».
  2. Установите для параметра « Загрузить механизм безопасности» значение «Стандартный режим».
  3. Настройте «Пользовательский URL-адрес входа»
  4. Установите для параметра «Обработка запросов аутентификации wp-login.php» значение «Блокировать доступ к wp-login.php» или, что более сложно, «Запретить аутентификацию через wp-login.php».
  5. Включите «Немедленно блокировать IP-адрес при попытке войти в систему с несуществующим именем пользователя».
  6. Включите «Отключить перенаправление панели управления».
  7. При желании включите «Немедленно блокировать IP после любого запроса к wp-login.php».

3. Активируйте политики безопасности на вкладке «Укрепление безопасности».

Минимальный набор настроек, которые необходимо включить в разделе «Усиление безопасности WordPress »:

  1. «Остановить перечисление пользователей»
  2. «Запретить обнаружение имени пользователя через oEmbed»
  3. «Запретить обнаружение имени пользователя через XML-карты сайта пользователя»
  4. «Блокировать доступ к страницам пользователей по их имени»
  5. «Блокировать выполнение PHP-скриптов в медиа-папке WordPress»
  6. «Отключить отображение ошибок PHP»
  7. «Отключить XML-RPC»

В разделе «Доступ к REST API WordPress» рекомендуется включить следующие настройки:

  1. «Остановить перечисление пользователей / Заблокировать доступ к пользовательским данным через REST API»
  2. «Отключить REST API»
  3. «Разрешить REST API для зарегистрированных пользователей»

Подробнее: Ограничить доступ к REST API

4. Включите брандмауэр Traffic Inspector.

  1. Установите для параметра «Включить проверку трафика» значение «Максимальная безопасность».
  2. Установите для параметра «Включить защиту от ошибок» значение «Максимальная безопасность».

5. Включите запланированное сканирование вредоносных программ и автоматическое удаление вредоносных программ.

На вкладке Настройки должны быть включены следующие настройки

  1. «Сканировать временный каталог»
  2. «Сканировать каталог сеанса»

На вкладке «Очистка» :

  1. Вам необходимо включить: «Удалить автоматические файлы», «Восстановить файлы WordPress», «Восстановить файлы плагинов».
  2. Все галочки в настройках «Файлы в папке закачек» должны быть отмечены галочками.

6. Включите защиту от спама, даже если вы считаете, что она вам не нужна.

На вкладке Механизм защиты от спама советуем включить следующие настройки:

  1. «Форма комментариев (защита формы комментариев с помощью механизма обнаружения ботов)»
  2. «Регистрационная форма (защита регистрационной формы с помощью механизма обнаружения ботов)»
  3. «Другие формы (защита всех форм на сайте с помощью механизма обнаружения ботов)»

7. Используйте правила GEO: блокируйте страны, с которыми вы не собираетесь заключать соглашения.

На странице администратора «Правила безопасности» настройте политики GEO для стран, которым разрешено взаимодействовать с вашим веб-сайтом: отправка форм, возможность входа или регистрации и т. д. Эти настройки не запрещают поисковым системам индексировать веб-сайт.

8. Переименуйте папку плагинов WordPress.

Изменение имени папки плагинов — один из наиболее недооцененных способов повышения защиты WordPress. И при этом это бесплатно и легко.

Подробнее: Как переименовать папку плагинов WordPress

9. Включите двухфакторную аутентификацию.

Чтобы защитить учетные записи пользователей, включите двухфакторную аутентификацию (2FA). Он обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации, помимо имени пользователя и пароля.

Подробнее: Как включить двухфакторную аутентификацию для WordPress


I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.