Стартирането на свой собствен WordPress сайт в наши дни е доста лесно. За съжаление, няма да отнеме много време хакерите да започнат да се насочват към вашия сайт.

Най-добрият начин да направите WordPress сайт сигурен е да разберете всяка точка на уязвимост, която идва от стартирането на сайт на WordPress . След това инсталирайте подходящата защита, за да блокирате хакерите във всяка от тези точки.

В тази статия ще научите как да защитите по-добре своя домейн, вашето влизане в WordPress и наличните инструменти и плъгини за защита на вашия WordPress сайт.

Създайте частен домейн

В наши дни е твърде лесно да намерите наличен домейн^{(find an available domain)} и да го закупите на много ниска цена. Повечето хора никога не купуват добавки за домейни за своя домейн. Въпреки това, една добавка, която винаги трябва да имате предвид, е защитата на поверителността^{(Privacy Protection)} .

Има три основни нива на защита на поверителността с GoDaddy , но те също отговарят на предложенията на повечето доставчици на домейни.

• Основно^(Basic) : Скрийте вашето име и информация за контакт от директорията WHOIS . Това е достъпно само ако правителството ви позволява да скриете информацията за връзка с домейна.
• Пълен^(Full) : Заменете собствената си информация с алтернативен имейл адрес и информация за контакт, за да прикриете действителната си самоличност.
• Ultimate : Допълнителна защита, която блокира злонамерено сканиране на домейни и включва наблюдение на сигурността на уебсайта за действителния ви сайт.

Обикновено надграждането на вашия домейн до едно от тези нива на сигурност изисква просто да изберете надстройка от падащо меню на страницата с списък на вашия домейн.

Основната^(Basic) защита на домейна е сравнително евтина (обикновено около $9,99 на година), а по-високите нива на сигурност не са много по-скъпи.

Това е отличен начин да спрете разпространителите на спам да изтриват информацията ви за контакт от базата данни WHOIS или други със злонамерени намерения, които искат да получат достъп до информацията ви за контакт.

Скриване^(Hide) на файловете wp-config.php и .htaccess

Когато за първи път инсталирате WordPress^{(install WordPress)} , ще трябва да включите административния идентификатор и паролата за вашата WordPress SQL база данни във файла wp-config.php. 

Тези данни се криптират след инсталиране, но вие също така искате да блокирате хакерите да могат да редактират този файл и да разбият уебсайта ви. За да направите това, намерете и редактирайте файла .htaccess в главната папка на вашия сайт и добавете следния код в долната част на файла.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

За да предотвратите промени в самия .htaccess, добавете и следното в долната част на файла.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Запазете файла и излезте от редактора на файлове.

Може също да помислите да щракнете с десния бутон върху всеки файл и да промените разрешенията, за да премахнете достъпа за запис^(Write) изцяло за всички.

Докато правенето на това с файла wp-config.php не би трябвало да създава проблеми, правенето на това на .htaccess може да причини проблеми. Особено ако използвате някакви защитни WordPress плъгини, които може да се наложи да редактират файла .htaccess вместо вас.

Ако получите някакви грешки от WordPress , винаги можете да актуализирате разрешенията, за да разрешите отново достъп за запис^(Write) във файла .htaccess.

Променете URL адреса си за влизане в WordPress

Тъй като страницата за вход по подразбиране за всеки WordPress сайт е yourdomain/wp-admin.php, хакерите ще използват този URL, за да опитат да проникнат във вашия сайт.

Те ще направят това чрез така наречените „груба сила“ атаки, при които ще изпращат вариации на типични потребителски имена и пароли, които много хора често използват. Хакерите се надяват, че ще извадят късмет и ще получат правилната комбинация.

Можете да спрете тези атаки изцяло, като промените URL адреса си за влизане в WordPress^{(WordPress login URL)} на нещо нестандартно.

Има много WordPress плъгини, които да ви помогнат да направите това. Един от най-често срещаните е WPS Hide Login .

Този плъгин добавя раздел към раздела Общи^(General) под Настройки^(Settings) в WordPress.

Там можете да въведете всеки URL адрес^(URL) за влизане , който искате, и да изберете Запазване на промените^{(Save Changes)} , за да го активирате. Следващия път, когато искате да влезете в своя WordPress сайт, използвайте този нов URL адрес^(URL) .

Ако някой се опита да получи достъп до стария ви URL адрес^(URL) на wp-admin , той ще бъде пренасочен към 404 страница на вашия сайт.

Забележка^(Note) : Ако използвате плъгин за кеширане, не забравяйте да добавите новия си URL адрес^(URL) за вход към списъка със сайтове, които не^(not) трябва да се кешират. След това не забравяйте да изчистите кеша, преди да влезете отново в своя WordPress сайт.

Инсталирайте приставка за сигурност на WordPress

Има много приставки за сигурност на WordPress,^{(WordPress security plugins)} от които да избирате. От всички тях Wordfence е най-често изтегляният, по основателна причина.

Безплатната версия на Wordfence включва мощна машина за сканиране, която търси заплахи от задната врата, злонамерен код във вашите плъгини^{(malicious code in your plugins)} или на вашия сайт, заплахи за инжектиране на MySQL и други. Той също така включва защитна стена за блокиране на активни заплахи като DDOS атаки. 

Освен това ще ви позволи да спрете атаките с груба сила, като ограничите опитите за влизане и блокирате потребители, които правят твърде много неправилни опити за влизане.

В безплатната версия има доста настройки. Повече от достатъчно за защита на малки и средни уебсайтове от повечето атаки.

Има и полезна страница за табло, която можете да прегледате, за да наблюдавате скорошни заплахи и атаки, които са били блокирани.

Използвайте генератора на пароли за WordPress^{(WordPress Password Generator)} и 2FA

Последното нещо, което искате, е хакерите лесно да отгатнат паролата ви. За съжаление твърде много хора използват много прости пароли, които са лесни за отгатване. Някои примери включват използване на името на уебсайта или собственото име на потребителя като част от паролата или неизползване на специални знаци.

Ако сте надстроили до най-новата версия на WordPress , имате достъп до мощни инструменти за защита с парола, за да защитите своя WordPress сайт. 

Първата стъпка за подобряване на сигурността на вашата парола е да отидете на всеки потребител за вашия сайт, да превъртите надолу до секцията Управление на акаунти^{(Account Management)} и да изберете бутона Генериране на парола^{(Generate Password)} .

Това ще генерира дълга, много сигурна парола, която включва букви, цифри и специални знаци. Запазете тази парола на безопасно място, за предпочитане в документ на външно устройство, което можете да изключите от компютъра си, докато сте онлайн.

Изберете Изход навсякъде другаде^{(Log Out Everywhere Else)} , за да се уверите, че всички активни сесии са затворени.

И накрая, ако сте инсталирали приставката за защита на Wordfence , ще видите бутон Активиране на 2FA . ^{(Activate 2FA)}Изберете това, за да активирате двуфакторно удостоверяване за вашите потребителски влизания.

Ако не използвате Wordfence , ще трябва да инсталирате някой от тези популярни 2FA плъгини.

• Google Authenticator
• Двуфакторна автентификация^{(Two Factor Authentication)}
• Двуфакторна автентификация на Rublon^{(Rublon Two-Factor Authentication)}
• Двуфакторно удостоверяване на Duo^{(Duo Two-Factor Authentication)}

Други важни съображения за сигурност^{(Important Security Considerations)}

Има още няколко неща, които можете да направите, за да защитите напълно своя WordPress сайт.

Както приставките на WordPress,^{(WordPress plugins)} така и самата версия на WordPress трябва да се актуализират по всяко време. Хакерите често се опитват да използват уязвимостите в по-старите версии на кода на вашия сайт. Ако не актуализирате и двете, излагате сайта си на риск.

1. Редовно избирайте Plugins и Installed Plugins в административния панел на WordPress . Прегледайте^(Review) всички плъгини за състояние, което казва, че е налична нова версия.

Когато видите нещо, което е остаряло, изберете актуализиране сега^{(update now)} . Можете също да помислите да изберете Активиране на автоматичните актуализации за вашите плъгини. 

Някои хора обаче са предпазливи да правят това, тъй като актуализациите на плъгини понякога могат да нарушат вашия сайт или тема. Така че винаги е добра идея да тествате актуализациите на плъгини на локален тестов сайт на WordPress,^{(local WordPress test site)} преди да ги активирате на вашия сайт на живо.

2. Когато влезете в таблото си за управление на WordPress , ще видите известие, че WordPress е остарял, ако използвате по-стара версия.

Отново архивирайте сайта и го заредете в локален тестов сайт на вашия собствен компютър, за да проверите дали актуализацията на WordPress не нарушава сайта ви, преди да го актуализирате на живия си уебсайт.

3. Възползвайте се от безплатните функции за сигурност на вашия уеб хост. Повечето уеб хостове предлагат различни безплатни услуги за сигурност за сайтовете, които хоствате там. Те правят това, защото не само защитава вашия сайт, но и защитава целия сървър. Това е особено важно, когато сте на споделен хостинг акаунт, където други клиенти имат уебсайтове на същия сървър.

Те често включват безплатни инсталирания на SSL сигурност за вашия сайт, ^{(free SSL security)}безплатни архиви^{(free backups)} , възможност за блокиране на злонамерени IP адреси и дори безплатен скенер на сайтове, който редовно ще сканира вашия сайт за злонамерен код или уязвимости.

Стартирането на уебсайт никога не е толкова просто, колкото инсталирането на WordPress и простото публикуване на съдържание. Важно е да направите своя уебсайт на WordPress възможно най-сигурен. ^(WordPress)Всички горепосочени съвети могат да ви помогнат да го направите без много усилия.

How to Make a WordPress Site Secure

Launching your own WordPress site these days is prettу easy. Unfortunately, it won’t take long for hackers to start tаrgeting your site.

The best way to make a WordPress site secure is to understand every point of vulnerability that comes from running a WordPress site. Then install the appropriate security to block hackers at each of those points.

In this article you’ll learn how to better secure your domain, your WordPress login, and the tools and plugins available to secure your WordPress site.

Create a Private Domain

It’s all too easy these days to find an available domain and purchase it at a very cheap price. Most people never purchase any domain addons for their domain. However, one add-on you should always consider is Privacy Protection.

There are three basic levels of privacy protection with GoDaddy, but these also match offerings of most domain providers.

• Basic: Hide your name and contact info from the WHOIS directory. This is only available if your government allows you to hide domain contact information.
• Full: Replace your own information with an alternative email address and contact info to cloak your actual identity.
• Ultimate: Additional security that blocks malicious domain scanning, and includes website security monitoring for your actual site.

Usually, upgrading your domain to one of these security levels just requires choosing to upgrade from a dropdown on your domain listing page.

Basic domain protection is fairly cheap (usually around $9.99/yr), and higher levels of security aren’t much more expensive.

This is an excellent way to stop spammers from scraping your contact info off of the WHOIS database, or others with malicious intent who want to get access to your contact information.

Hide wp-config.php and .htaccess Files

When you first install WordPress, you’ll need to include the administrative ID and password for your WordPress SQL database in the wp-config.php file. 

That data gets encrypted after installation, but you also want to block hackers from being able to edit this file and break your website. To do this, find and edit the .htaccess file on the root folder of your site and add the following code at the bottom of the file.

# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>

To prevent changes to .htaccess itself, add the following to the bottom of the file as well.

# Protect .htaccess file
<Files .htaccess>
order allow,deny
deny from all
</Files>

Save the file and exit the file editor.

You might also consider right-clicking each file and changing the permissions to remove Write access entirely for everyone.

While doing this on the wp-config.php file shouldn’t cause any issues, doing it on .htaccess could cause issues. Especially if you’re running any security WordPress plugins that may need to edit the .htaccess file for you.

If you do receive any errors from WordPress, you can always update permissions to allow Write access on the .htaccess file again.

Change Your WordPress Login URL

Since the default login page for every WordPress site is yourdomain/wp-admin.php, hackers will use this URL to try and hack into your site.

They will do this through what’s known as “brute force” attacks where they’ll send variations of typical usernames and passwords many people commonly use. Hackers hope that they’ll get lucky and land the right combination.

You can stop these attacks entirely by changing your WordPress login URL to something non-standard.

There are lots of WordPress plugins to help you do this. One of the most common is WPS Hide Login.

This plugin adds a section to the General tab under Settings in WordPress.

There, you can type in any login URL you want and select Save Changes to activate it. Next time you want to log into your WordPress site, use this new URL.

If anyone tries to access your old wp-admin URL, they’ll get redirected to your site’s 404 page.

Note: If you use a cache plugin, make sure to add your new login URL to the list of sites not to cache. Then make sure to purge the cache before you log back into your WordPress site again.

Install a WordPress Security Plugin

There are a lot of WordPress security plugins to choose from. Of all of them, Wordfence is the most commonly downloaded one, for good reason.

The free version of Wordfence includes a powerful scan engine that looks for backdoor threats, malicious code in your plugins or on your site, MySQL injection threats, and more. It also includes a firewall to block active threats like DDOS attacks. 

It will also let you stop brute force attacks by limiting login attempts and locking out users who make too many incorrect login attempts.

There are quite a few settings available in the free version. More than enough to protect small to medium websites from most attacks.

There is also a useful dashboard page you can review to monitor recent threats and attacks that have been blocked.

Use the WordPress Password Generator and 2FA

The last thing you want is for hackers to easily guess your password. Unfortunately, too many people use very simple passwords that are easy to guess. Some examples include using the website name or the user’s own name as part of the password, or not using any special characters.

If you’ve upgraded to the latest version of WordPress, you have access to powerful password security tools to secure your WordPress site. 

The first step to improve your password security is to go to each user for your site, scroll down to the Account Management section, and select the Generate Password button.

This will generate a long, very secure password that includes letters, numbers, and special characters. Save this password somewhere safe, preferably in a document on an external drive that you can disconnect from your computer while you’re online.

Select Log Out Everywhere Else to make sure all active sessions are closed.

Finally, if you’ve installed the Wordfence security plugin, you’ll see an Activate 2FA button. Select this to enable two-factor authentication for your user logins.

If you aren’t using Wordfence, you’ll need to install any of these popular 2FA plugins.

• Google Authenticator
• Two Factor Authentication
• Rublon Two-Factor Authentication
• Duo Two-Factor Authentication

Other Important Security Considerations

There are a few more things you can do to fully secure your WordPress site.

Both the WordPress plugins and the version of WordPress itself should be updated at all times. Hackers often try to exploit vulnerabilities in older versions of code on your site. If you don’t update both of these, you’re leaving your site at risk.

1. Regularly select Plugins and Installed Plugins in your WordPress admin panel. Review all plugins for a status that says a new version is available.

When you do see one that’s out of date, select update now. You may also consider selecting Enable auto-updates for your plugins. 

However, some people are wary of doing this since plugin updates can sometimes break your site or theme. So it’s always a good idea to test plugin updates on a local WordPress test site before enabling them on your live site.

2. When you log into your WordPress dashboard, you’ll see a notification that WordPress is out of date if you’re running an older version.

Again, backup the site and load it to a local test site on your own PC to test that the WordPress update doesn’t break your site before you update it on your live website.

3. Take advantage of your web host’s free security features. Most web hosts offer a variety of free security services for the sites you host there. They do this because it not only protects your site, but it keeps the entire server safe. This is especially important when you’re on a shared hosting account where other clients have websites on the same server.

These often include free SSL security installs for your site, free backups, the ability to block malicious IP addresses, and even a free site scanner that’ll regularly scan your site for any malicious code or vulnerabilities.

Running a website is never just as simple as installing WordPress and just posting content. It’s important to make your WordPress website as secure as possible. All of the above tips can help you do so without too much effort.

Related posts

• 3 начина да измислите най-сигурната парола

• Вашето приложение за съобщения наистина ли е сигурно?

• 3 начина да направите снимка или видео на Chromebook

• Как да открием софтуер за наблюдение на компютър и имейл или шпиониране

• Демистифицирана технология за плосък дисплей: TN, IPS, VA, OLED и др

• Как да коригирам кода за грешка на Hulu RUNUNK13

• Как да направите екранна снимка в Steam

• Как да проверите твърдия диск за грешки

• Как да изтеглите видеоклипове от Twitch

• Как да предавате на Roku TV от компютър или мобилен телефон

• Как да изтеглите и инсталирате Peacock на Firestick

• Как да създадете прозрачен фон в GIMP

• 7 бързи поправки, когато Minecraft продължава да се срива

• Как да възстановите пари за игра в Steam

• Как да намерите спомени във Facebook

• 4 начина да намерите най-добрите интернет опции (ISP) във вашия район

• Как да заглушите някого в Discord

• OLED срещу MicroLED: Трябва ли да изчакате?

• Какво представлява рейтингът на пътниците на Uber и как да го проверите

• Как да поправите код за грешка на Disney Plus 83