Эта статья описывает, как улучшить безопасность вашего веб-сайта на WordPress. Сайты на WordPress часто становятся объектами атак хакеров. Менеджер WordPress от Softaculous предоставляет функции безопасности для защиты вашего сайта на WordPress.
Меры безопасности в Менеджере WordPress предоставляют подробную информацию о каждом предложенном обновлении, что позволяет вам применять их напрямую без необходимости использования плагина. Если какие-либо из этих мер безопасности вызывают проблемы с функциональностью вашего сайта, у вас есть возможность отменить их в любое время.
Примечание: Эта функция добавлена в Softaculous 5.9.2
Доступ к Менеджеру WordPress
1. Чтобы получить доступ к Менеджеру WordPress, нажмите на значок WordPress, расположенный в верхнем правом углу вашей панели управления конечного пользователя Softaculous, как показано на скриншоте ниже.
2. В качестве альтернативы вы можете получить доступ к Менеджеру WordPress, нажав на значок WordPress рядом с конкретной установкой WordPress, которую вы хотите управлять на странице “Все установки”, как указано на скриншоте ниже.
Меры безопасности Менеджера WordPress
Используя Менеджер WordPress от Softaculous, вы можете применять Меры безопасности к одному или нескольким сайтам на WordPress, выбрав флажок, расположенный справа от соответствующих установок WordPress.
Вот меры безопасности, предлагаемые Менеджером WordPress для улучшения безопасности вашего веб-сайта на WordPress.
Изменение имени администратора по умолчанию
WordPress не позволяет изменять имя пользователя, и если вы изначально установили WordPress с именем пользователя ‘admin’, ваш сайт может быть уязвимым для атак методом перебора паролей. Эта функция безопасности изменяет имя пользователя с ‘admin’ на случайно сгенерированное, улучшая защиту вашего сайта. Вы можете войти, используя только что созданную учетную запись администратора через кнопку входа в Менеджере WordPress.
Ограничение доступа к файлам и каталогам
Неправильные разрешения на файлы и каталоги могут позволить несанкционированный доступ, представляя угрозу для безопасности вашего веб-сайта. Эта настройка изменяет разрешения: файл wp-config.php до 0600, другие файлы до 0644 и каталоги до 0755, улучшая безопасность.
Блокировка несанкционированного доступа к xmlrpc.php
Эта функция безопасности блокирует доступ к xmlrpc.php.
Please note that custom directives in the .htaccess files could potentially override this setting.
Блокировка доступа к файлам .htaccess и .htpasswd
Доступ к файлам .htaccess и .htpasswd может подвергнуть ваш веб-сайт различным эксплуатациям и нарушениям безопасности. Эта мера безопасности предотвращает доступ к этим файлам в сети, усиливая защиту вашего веб-сайта.
Отключение pingbacks
Pingbacks позволяют другим веб-сайтам на WordPress автоматически комментировать ваши сообщения, когда они на них ссылается. Однако они могут быть злоупотреблены для DDoS-атак на другие сайты. Эта мера безопасности отключает XML-RPC pingbacks для вашего веб-сайта в целом и также отключает pingbacks для ранее опубликованных сообщений с включенными pingbacks.
Отключение редактирования файлов в панели управления WordPress
Отключение редактирования файлов в WordPress убирает возможность прямого редактирования файлов исходного кода плагинов и тем в интерфейсе WordPress. Этот дополнительный уровень защиты крайне важен в случае взлома учетной записи администратора WordPress, так как он предотвращает несанкционированных пользователей от легкого добавления вредоносного исполняемого кода в плагины или темы.
Блокировка сканирования авторов
Сканирование авторов используется для выявления имен пользователей, особенно администраторов WordPress, с использованием уникальных идентификаторов (uids). Затем злоумышленники предпринимают атаки методом перебора паролей на страницу входа вашего веб-сайта, чтобы получить доступ. Эта функция безопасности блокирует такие сканирования, обеспечивая неразглашение имен пользователей.
Примечание: В зависимости от настроек постоянных ссылок на вашем веб-сайте эта опция может ограничивать доступ посетителей к страницам, на которых отображаются все статьи, написанные определенным автором.
Блокировка просмотра директории
Если просмотр директории включен, хакеры могут собирать обширную информацию о вашем веб-сайте, подвергая его безопасности риску. Хотя обычно просмотр директории отключен по умолчанию, если он включен, эта функция безопасности может его заблокировать.
Запрет выполнения PHP-скриптов в директории wp-includes
Директория wp-includes может содержать уязвимые PHP-файлы, которые хакеры могут использовать для компрометации вашего веб-сайта. Эта мера безопасности предотвращает выполнение PHP-файлов в директории wp-includes.
Примечание: Пользовательские директивы в файлах .htaccess могут потенциально переопределить эту настройку.
Запрет выполнения PHP-скриптов в директории wp-content/uploads
Директория wp-content/uploads может потенциально содержать небезопасные PHP-файлы, которые хакеры могут использовать для компрометации вашего веб-сайта. Эта мера безопасности блокирует выполнение PHP-файлов в директории wp-content/uploads.
Примечание: Пользовательские директивы в файлах .htaccess могут потенциально переопределить эту настройку.
Отключение конкатенации скриптов в панели управления WordPress
Эта функция безопасности отключает конкатенацию скриптов в панели управления WordPress, обеспечивая защиту вашего веб-сайта от определенных атак типа DoS. Хотя это может немного повлиять на производительность панели управления WordPress, это не должно повлиять на опыт посетителей на вашем сайте на WordPress.
Блокировка доступа к чувствительным файлам
Эта функция безопасности блокирует общий доступ к конкретным файлам, содержащим чувствительную информацию, такую как учетные данные подключения или данные, которые могут быть использованы для выявления уязвимостей на вашем веб-сайте на WordPress.
Включение защиты от ботов
Эта функция обеспечивает защиту вашего веб-сайта от бесполезных, вредоносных или вредных ботов. Она блокирует ботов, сканирующих ваш сайт на предмет уязвимостей и перегружающих его нежелательными запросами, предотвращая избыточное использование ресурсов.
Примечание: Вам может потребоваться временно отключить эту меру, если вы планируете использовать онлайн-сервис для сканирования вашего веб-сайта на предмет уязвимостей, поскольку эти сервисы также могут использовать подобных ботов.
