Security Blog
Posted By Gregory

Как эффективно защитить WordPress: список обязательных дел

English version: How to protect WordPress effectively: a must-do list


Список обязательных действий для обеспечения высокой безопасности и надежной защиты вашего сайта.

Чтобы максимально эффективно использовать алгоритмы безопасности WP Cerber, вам следует настроить все параметры ниже. Делайте это обдуманно, поскольку некоторые параметры могут конфликтовать с другими плагинами или настройками вашего веб-сервера. В случае возникновения проблем проверьте журнал активности на наличие связанных событий, таких как отклоненные запросы или заблокированные IP-адреса. Обратите внимание, что некоторые из функций, описанных ниже, доступны только в профессиональной версии .

1. Включите автоматические обновления

Регулярные обновления WP Cerber имеют решающее значение для надежной безопасности WordPress, поскольку мы постоянно совершенствуем его алгоритмы, внедряем защиту от возникающих угроз и исправляем ошибки программного обеспечения. Вы можете включить их в пару кликов: Как включить автоматические обновления для WP Cerber .

2. Проверьте основные настройки.

  1. Перейти на страницу «Основные настройки»

  2. Установите « Загрузить модуль безопасности» в «Стандартный режим»

  3. Настройте «Пользовательский URL-адрес входа»

  4. Установите для параметра «Обработка запросов аутентификации wp-login.php» значение «Блокировать доступ к wp-login.php» или, что более продвинуто, значение «Запретить аутентификацию через wp-login.php».

  5. Включите «Немедленно блокировать IP при попытке входа с несуществующим именем пользователя»

  6. Включить «Отключить перенаправление панели мониторинга»

  7. При желании можно включить «Немедленно блокировать IP после любого запроса к wp-login.php».

3. Активируйте политики безопасности на вкладке «Усиление защиты».

Минимальный набор настроек, которые необходимо включить в разделе «Усиление защиты WordPress» :

  1. «Остановить перечисление пользователей»

  2. «Запретить обнаружение имени пользователя через oEmbed»

  3. «Запретить обнаружение имени пользователя с помощью XML-карт сайта пользователя»

  4. «Блокировать доступ к страницам пользователей по их именам пользователей»

  5. «Блокировать выполнение PHP-скриптов в папке WordPress media»

  6. «Отключить отображение ошибок PHP»

  7. «Отключить XML-RPC»

В разделе «Доступ к WordPress REST API» рекомендуется включить следующие настройки:

  1. «Остановить перечисление пользователей / Заблокировать доступ к данным пользователей через REST API»

  2. «Отключить REST API»

  3. «Разрешить REST API для вошедших в систему пользователей»

Подробнее: Ограничить доступ к REST API

4. Включите брандмауэр Traffic Inspector

  1. Установите «Включить проверку трафика» на «Максимальная безопасность»

  2. Установите «Включить экранирование ошибок» на «Максимальная безопасность»

5. Включите запланированное сканирование на наличие вредоносных программ и автоматическое удаление вредоносных программ.

На вкладке «Настройки» должны быть включены следующие настройки:

  1. «Сканировать временный каталог»

  2. «Сканировать каталог сеанса»

На вкладке «Очистка» :

  1. Вам необходимо включить: «Удаление неконтролируемых файлов», «Восстановление файлов WordPress», «Восстановление файлов плагинов».

  2. Все флажки в настройках «Файлы в папке загрузок» должны быть отмечены.

6. Включите защиту от спама, даже если вы считаете, что она вам не нужна

На вкладке «Антиспам-движок» советуем вам включить следующие настройки:

  1. «Форма комментариев (Защитите форму комментариев с помощью механизма обнаружения ботов)»

  2. «Форма регистрации (Защита формы регистрации с помощью системы обнаружения ботов)»

  3. «Другие формы (Защитите все формы на сайте с помощью механизма обнаружения ботов)»

7. Используйте правила GEO: блокируйте страны, с которыми вы не собираетесь иметь дело

На странице администратора «Правила безопасности» настройте политики GEO для стран, которым разрешено взаимодействовать с вашим сайтом: отправлять формы, иметь возможность входа в систему или регистрации и т. д. Эти настройки не мешают поисковым системам индексировать сайт.

8. Переименуйте папку плагинов WordPress.

Изменение имени папки плагинов — один из самых недооцененных способов усилить защиту WordPress. И все же это бесплатно и просто.

Подробнее: Как переименовать папку плагинов WordPress

9. Включите двухфакторную аутентификацию

Для защиты учетных записей пользователей включите двухфакторную аутентификацию (2FA). Она обеспечивает дополнительный уровень безопасности, требуя второго фактора идентификации помимо имени пользователя и пароля.

Подробнее: Как включить двухфакторную аутентификацию для WordPress

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.