Как эффективно защитить WordPress: список необходимых действий
English version: How to protect WordPress effectively: a must-do list
Список обязательных действий, чтобы обеспечить высокий уровень безопасности и надежную защиту вашего веб-сайта.
Чтобы максимально эффективно использовать алгоритмы безопасности Cerber, вам необходимо настроить все приведенные ниже параметры. Делайте это обдуманно, поскольку некоторые настройки могут конфликтовать с другим плагином или настройками вашего веб-сервера. В случае возникновения каких-либо проблем проверьте журнал активности на предмет связанных событий, таких как отказ в запросах или заблокированные IP-адреса. Обратите внимание, что некоторые из описанных ниже функций доступны только в профессиональной версии .
1. Проверьте основные настройки
- Установите для параметра « Загрузить механизм безопасности» значение «Стандартный режим».
- Настройте «Пользовательский URL-адрес входа»
- Установите для параметра «Обработка запросов аутентификации wp-login.php» значение «Блокировать доступ к wp-login.php» или, что более сложно, «Запретить аутентификацию через wp-login.php».
- Включите «Немедленно блокировать IP-адрес при попытке войти в систему с несуществующим именем пользователя».
- Включите «Отключить перенаправление панели управления».
- При желании включите «Немедленно блокировать IP после любого запроса к wp-login.php».
2. Активируйте политики безопасности на вкладке «Укрепление безопасности».
Минимальный набор настроек, которые необходимо включить в разделе «Усиление безопасности WordPress »:
- «Остановить перечисление пользователей»
- «Запретить обнаружение имени пользователя через oEmbed»
- «Запретить обнаружение имени пользователя через XML-карты сайта пользователя»
- «Блокировать доступ к страницам пользователей по их имени»
- «Блокировать выполнение PHP-скриптов в медиа-папке WordPress»
- «Отключить отображение ошибок PHP»
- «Отключить XML-RPC»
В разделе «Доступ к REST API WordPress» рекомендуется включить следующие настройки:
- «Остановить перечисление пользователей / Заблокировать доступ к пользовательским данным через REST API»
- «Отключить REST API»
- «Разрешить REST API для зарегистрированных пользователей»
Подробнее: Ограничить доступ к REST API
3. Включите брандмауэр Traffic Inspector.
- Установите для параметра «Включить проверку трафика» значение «Максимальная безопасность».
- Установите для параметра «Включить защиту от ошибок» значение «Максимальная безопасность».
4. Включите запланированное сканирование вредоносных программ и автоматическое удаление вредоносных программ.
На вкладке Настройки должны быть включены следующие настройки
- «Сканировать временный каталог»
- «Сканировать каталог сеанса»
На вкладке «Очистка» :
- Вам необходимо включить: «Удалить автоматические файлы», «Восстановить файлы WordPress», «Восстановить файлы плагинов».
- Все галочки в настройках «Файлы в папке закачек» должны быть отмечены галочками.
5. Включите защиту от спама, даже если считаете, что она вам не нужна.
На вкладке Механизм защиты от спама советуем включить следующие настройки:
- «Форма комментариев (защита формы комментариев с помощью механизма обнаружения ботов)»
- «Регистрационная форма (защита регистрационной формы с помощью механизма обнаружения ботов)»
- «Другие формы (защита всех форм на сайте с помощью механизма обнаружения ботов)»
6. Используйте правила GEO: блокируйте страны, с которыми вы не собираетесь заключать сделку.
На странице администратора «Правила безопасности» настройте политики GEO для стран, которым разрешено взаимодействовать с вашим веб-сайтом: отправка форм, возможность входа или регистрации и т. д. Эти настройки не запрещают поисковым системам индексировать веб-сайт.
7. Переименуйте папку плагинов.
Изменение имени папки плагинов — один из наиболее недооцененных способов повышения защиты WordPress. И при этом это бесплатно и легко.
Подробнее: Как переименовать папку плагинов WordPress
8. Включите двухфакторную аутентификацию.
Чтобы защитить учетные записи пользователей, включите двухфакторную аутентификацию (2FA). Он обеспечивает дополнительный уровень безопасности, требующий второго фактора идентификации, помимо имени пользователя и пароля.
Подробнее: Как включить двухфакторную аутентификацию для WordPress