Сигурен уебсайт на WordPress

1] Уверете се, че компютърът ви с Windows^{(Windows computer)} не съдържа зловреден софтуер. Никаква сигурност в WordPress или на вашия уеб сървър няма да има разлика, ако на компютъра ви има инсталиран нелегален кейлогър.

2] Винаги се уверете, че имате инсталирана най -новата версия^{(latest version)} на WordPress и вашите плъгини. Вашият уеб сървър също може да има уязвимости. Затова се уверете, че вашият уеб хост^{(Web Host)} работи с най-новите, сигурни и стабилни версии на сървърния софтуер. Още по-добре, уверете се, че използвате доверен хост, който се грижи за тези неща вместо вас.

3] Използвайте силно потребителско име^{(strong username)} и силни пароли^{(strong passwords)} . Най-добре е да изберете смесени сложни пароли, използващи главни, малки букви, цифри и специални знаци с дължина над 15 знака. Наложете^(Enforce) използването на силни пароли и за всички ваши Автори.

4] Променете потребителското име^{(Change the Administrator username)} на администратор на вашата инсталация на WordPress от администратор^(admin) по подразбиране на нещо силно и несвързано с вашето собствено име или име на сайтове. Можете да създадете друг акаунт на администратор, да влезете като нов потребител на администратор и да изтриете стария акаунт за потребителско име на администратор по подразбиране. Или можете да използвате функцията за промяна на потребителското име^{(Admin username changer)} на администратор или разширения^{(Admin renamer extended)} плъгин за преименуване на администратор или някой от приставките за сигурност, споменати по-долу, за да преименувате потребителското име на администратор по подразбиране.

5] Използвайте ^(Use)Captcha за целите на влизане.

Плъгинът Captcha от BWS^{(Captcha plugin from BWS)} е добър, който може да искате да разгледате. Позволява ви да избирате операциите и нивата на сложност.

6] Плъгинът за ограничаване на опитите за влизане^{(Limit Login Attempts)} ще ограничи честотата на опитите за влизане чрез бисквитки за всеки IP. Той ще позволи само конфигурирания брой опити, след които потребителят ще бъде заключен. Можете да конфигурирате всички негови настройки като брой разрешени опити, период на блокиране, разрешени повторни опити и така нататък. Този плъгин е полезен за предотвратяване на атаки с груба сила^{(brute force attacks)} .

Ако потребител използва неправилно потребителско име или парола, той или тя ще види това съобщение.

7] Променете URL адреса за влизане в панела на WordPress^{(Change the WordPress Panel login URL)} от по подразбиране /wp-admin/ на нещо друго, като използвате приставката Rename wp-login . Този плъгин е полезен и за предотвратяване на атаки с груба сила.

8] Използвайте плъгин за скенер за сигурност^{(Security Scanner plugin)} , за да сканирате периодично вашите инсталационни файлове на WordPress . Приставката Sucuri Security – SiteCheck Malware Scanner ви позволява да сканирате вашия WordPress сайт, като използвате Sucuri SiteCheck направо във вашето табло за управление на WordPress . Той проверява за злонамерен софтуер, спам, черен списък, пренасочвания на .htaccess, скрит eval код и други проблеми със сигурността.

Освен това той проверява дали WordPress и PHP са актуални и скрива версията на WordPress от обществеността и т.н., ако вашият сайт е защитен от ^(WordPress)уеб защитна стена^{(Web Firewall)} . Той също така защитава вашата директория за качвания^{(Uploads Directory)} , ограничава wp-съдържанието и wp-включва достъпа чрез засилване на разрешенията за файлове и проверява целостта на вашите основни WordPress файлове. Той следи голям брой действия, включително опити за влизане^(Login) , неуспешни влизания^(Logins) , промени на файлове^{(File Changes)} и т.н.

Sucuri също така проверява дали вашият сайт е бил в черен списък някъде като Google Safe Browsing , Norton Safe Web , Phish Tank , SiteAdvisor , Eset , Yandex и т.н. и ви информира за това.

Освен Sucuri, Secure WordPress плъгин, Exploit Scanner , WordFence Security , WordPress Sentinel , Quttera , VIP Scanner , iThemes Security (по-рано Better WP Security),  BulletProof Security и All In One WP Security & Firewall са сред другите добри скенери и плъгини за сигурност може да искате да разгледате. Повечето от тези плъгини, освен сканиране на вашия сайт за злонамерен софтуер, също ще ви помогнат да втвърдите разрешенията^{(Harden File Permissions)} за файлове , да изтриете ReadMe файлове, да скриете версии на WordPress и др.

Не забравяйте^(Remember) да архивирате вашата база данни или целия сайт, преди да направите каквито и да е забележителни промени в инсталацията на WordPress , тъй като някои от тези корекции с 1 щракване потенциално могат да нарушат някои функционалности на вашия сайт. Така че, моля, бъдете внимателни тук.

8] Използвайте безплатна мрежа за доставка на съдържание Cloudflare , за да филтрирате целия си трафик и да сведете до минимум риска вашият WordPress уебсайт да стане мишена, тъй като той действа като прокси между вашите посетители и сървъра, на който се хоства уебсайтът ви. Cloudflare basic е безплатен, но ако платите номинална сума, можете също да се възползвате от услугата му защитна стена на уеб приложения^{(Web Application Firewall)} . Той спира атаките в реално време като SQL инжектиране, междусайтови скриптове, спам за коментари и други злоупотреби в периферията на мрежата. Тук използваме защитна стена на Sucuri^{(Sucuri Firewall)} . Sucuri предлага страхотна защитна стена, но не е безплатна. Google Project Shield предлага безплатен DDoSзащита за избрани уебсайтове.

9] Намалете до минимум броя на плъгините^{(number of plugins)} , които използвате. Деактивирайте^(Deactivate) или още по-добре, изтрийте тези, които не използвате.

10] Продължавайте да създавате резервни копия^(backups) на вашия сайт на редовни интервали и ги качвайте в някаква облачна^(Cloud) услуга и/или на вашия работен плот. BackWPUp , VaultPress , BackupBuddy , DropBox за WordPress, ^{(DropBox for WordPress,)} BackUpWordPress са сред добрите приставки за архивиране^(Backup) , които може да искате да проверите.

Въпреки че това може да е достатъчно за повечето сайтове на WordPress , ако трябва да отидете по-далеч, можете да прочетете тази публикация на WordPress.org .

Прочетете: ^(Read:) Защо уебсайтовете са хакнати ?

Някои от вас може да искат да разгледат публикацията ми за Полезни съвети за нови блогъри^{(Useful tips for new bloggers)} .^{(Some of you might want to check out my post on Useful tips for new bloggers.)}

Protect and secure WordPress website from Hackers

Secure WordPress website

1]  Make sure your Windows computer is free of malware. No amount of security in WordPress or on your web server will make any difference if there is an illegal keylogger installed on your computer.

2] Always make sure that you have the latest version of WordPress and your Plugins installed. Your web server can have vulnerabilities too. Therefore, make sure that your Web Host is running latest, secure, stable versions of server software on it. Better still, make sure you are using a trusted host that takes care of these things for you.

3] Use a strong username and a strong passwords. Best to go for mixed complex passwords using upper, lower case alphabets, numerals and special characters of length exceeding 15 characters. Enforce usage of strong passwords for all your Authors too.

4] Change the Administrator username of your WordPress installation from the default admin to something strong and unrelated to your own or sites name. You can create another administrator account, login as new administrator user and delete the old default admin username account. Or you could use Admin username changer or Admin renamer extended plugin or one of the security plugins mentioned below to rename the default admin username.

5] Use a Captcha for login purposes.

The Captcha plugin from BWS is a good one you may want to have a look at. It lets you choose the operations and the complexity levels.

6] The Limit Login Attempts plugin will limit the rate of login attempts, by way of cookies, for each IP. It will allow only the configured number of attempts after which the user will get locked out. You can configure all its settings like the number of attempts allowed, lockout period, allowed re-tries and so on. This plugin is useful in preventing brute force attacks.

If a user uses an incorrect username or password, he or she will see this message.

7] Change the WordPress Panel login URL from default /wp-admin/ to something else using Rename wp-login plugin.  This plugin is useful in preventing brute force attacks too.

8] Use a Security Scanner plugin to scan your WordPress installation files periodically. The Sucuri Security – SiteCheck Malware Scanner plugin enables you to scan your WordPress site using Sucuri SiteCheck right in your WordPress dashboard. It checks for malware, spam, blacklisting, .htaccess redirects, hidden eval code, and other security issues.

Furthermore, it verifies if WordPress and PHP are up-to-date and hides the WordPress version from the public, etc if your site is protected by a Web Firewall. It also protects your Uploads Directory, restricts wp-content and wp-includes access by hardening file permissions, and checks for the integrity of your core WordPress files. It monitors a large number of actions, including, Login attempts, Failed Logins, File Changes, and so on.

Sucuri also checks if your site has been black-listed anywhere like Google Safe Browsing, Norton Safe Web, Phish Tank, SiteAdvisor, Eset, Yandex, etc and informs you about it.

Apart from Sucuri, Secure WordPress plugin, Exploit Scanner, WordFence Security, WordPress Sentinel, Quttera, VIP Scanner, iThemes Security (formerly Better WP Security), BulletProof Security and All In One WP Security & Firewall are among the other good scanners and security plugins you may want to have a look at. Most of these plugins, apart from scanning your site for malware, will also help you Harden File Permissions, delete ReadMe files, hide WordPress versions, and more.

Remember to back up your database or full site before making any notable changes to your WordPress installation as some of these 1-click fixes could potentially break some functionality of your site. So please be careful here.

8] Use Cloudflare free content delivery network to filter all your traffic and minimizes the risk of your WordPress website from becoming a target, as it acts as a proxy between your visitors and the server your website is hosted on. Cloudflare basic is free, but if you pay a nominal amount, you can also avail of its Web Application Firewall service. It stops real-time attacks like SQL injection, cross-site scripting, comment spam and other abuse at the network edge. We use Sucuri Firewall here. Sucuri offers a great firewall, but it is not free. Google Project Shield offers free DDoS protection to select websites.

9] Minimize the number of plugins you use. Deactivate or even better, delete the ones you don’t use.

10] Keep creating backups of your site at regular intervals, and upload them to some Cloud service and/or to your desktop. BackWPUp, VaultPress, BackupBuddy, DropBox for WordPress, BackUpWordPress are among the good Backup plugins you may want to check out.

While this may be enough for most WordPress sites, if you need to go further, you could read this post on WordPress.org.

Read: Why are websites hacked?

Some of you might want to check out my post on Useful tips for new bloggers.

Related posts

• Най-добрите безплатни отзиви за личен уеб хостинг

• Как да се справим с плагиатството и кражбата на онлайн съдържание

• Списък на най-добрите блогове в Индия по трафик

• Практически съвети за блогове за нови блогъри и начинаещи

• Намерете неработещи връзки, потвърдете HTML и CSS на вашия уебсайт с помощта на DeepTrawl

• 8 безплатни премиум теми за WordPress за инсталиране

• Как да намерите своя вход за администратор на WordPress

• Как да използвате Lumen5, за да превърнете публикацията си в блог във видео

• Как да инсталирате тестов сайт на WordPress на вашия компютър

• Как да защитите с парола страници на вашия WordPress уебсайт

• Трябва да имате WordPress Yoast SEO настройки 2022

• Как да ускорите WordPress сайт в 11 стъпки

• Как да стартирате невероятно бърз WordPress на Microsoft Azure

• Урок за WordPress Gutenberg: Как да използвате новия редактор

• Как да направим WordPress сайт сигурен

• Как да проследявате счупени връзки с Google Webmaster Tool

• 3-те най-добри SEO плъгини за WordPress

• Как да инсталирате тема на WordPress

• Пренасочване на потребителите от 404 страница в WordPress

• WordPress Jetpack: Какво е това и заслужава ли си да инсталирате?