Здравствуйте !
Наболевшая тема: защита сайта от взлома, но как всегда актуальна, так как 80% пользователей не следуют элементарным правилам по безопасности своего сайта.
Вот краткий чек лист.
Безопасность сайта начинается с вашего пк или ноутбука ( с того устройства, которого регулярно заходите)
1. Установите платный антивирус, который регулярно обновляется
Не скачивайте взломанные антивирусы, вам никто не гарантирует надежную работу системы, если вы пользуетесь чьим то крякованным антивирусником.
2. Не в коем случаи не храните пароли в браузерах
Все браузеры предлагают сохранять пароли, но это категорически не рекомендуется так как они легко взламываются программами которые предназначены для восстановления паролей.
3. Сделайте уникальные пароли
Всегда генерируйте пароли к FTP доступу, админ панели вашего сайт, хостингу/серверу
Сгенерированные пароли сложно взламывать, так как они рандомные и нет в них логики,например:
Придумал человек: vas11ya85sept
Сделал генератор: C@82+w(14f3b(uSk
Вам всего лишь остается записать пароль в блокнот и сохранить на удаленном устройстве.
4. Для каждого сайта отдельный пароль
Обязательно сделайте разные пароли для каждого ресурса, не поленитесь и не делайте 1 пароль для всех сайтов.
5. Не пересылайте пароли без шифровки
Если вебмастер, фрилансер или сотрудник попросил пароль не в коем случае не отправляйте его вот так:
логин: marsianin
пароль: sdf546ds
или так
pass:
login:
Пароль должен быть зашифрован или в худой конец отправляться отдельно от логин
Ниже простой пример шифровки
Вот сайт [urlspan]http://base64.ru/ [/urlspan]
6. Храните пароли в надежном месте
На удаленном хранилище (внешний ссд.хдд, флешке, листовой блокнот)
Не храните пароли на рабочем столе под названием
мои пароли
пароли
passwords
пассвордс
мои данные
важно
код
7. Смените стандартный логин в админку
Зайдите в админ панель изменить профиль, добавьте нового пользователя ( с правами администратора) а старого пользователя удалите (админ)
Логин admin знает любой хакер и пользуется при взломах, многие либо не знают либо ленятся менять стандартный логин admin
8. Измените путь в админ панель
Измените стандартный путь /wp-admin на другой /vasyastasya879
9. Делайте бекапы
Делайте резервные копии ваших сайтов ежедневно и храните у себя на пк или на внешнем накопителе.
Даже при сбое на сервере у вас будут свои копии сайтов
Также обязательным является рез копирование при внесении каких либо данных на сайте
10. Всегда обновляйтесь
Обновляйте регулярно движок сайта и плагины.
Разработчики смотрят и изучают ошибки своих продуктов и вносят какие либо изменении для защиты, так что обновление до последней версии более чем важно для безопасности.
11. Скачивайте и устанавливайте с сайта разработчика
Темы/шаблоны, плагины и скрипты только с официальных репозиторий, а не с непонятных сайтов раздатчиков
12. Мониторинг сайта регулярно
Всегда следите за здоровьем вашего ресурса, для этого добавьте сайт в гугл и яндекс вебмастерс (они своевременно оповестят вас о каких либо проблемах)
13. Контролируйте все от и до
Контролируйте все действия, кто имеет доступ в админ-панель вашего сайта (сотрудники, фрилансеры), а также к внимательно смотрите на действия посетителей сайта.
14. Проверка чужими руками
Например если вы заказали какую либо доработку у чужого исполнителя и очень сильно сомневаетесь в качестве *работы* или есть подозрения что он что то оставил после себя (вирус, скрипт для слежения) закажите проверку у другого специалиста (так как другой спец заинтересован чтобы найти баги или лазейки в правках, от этого же зависит его заработок)
Например 1 найденная ошибка стоит столько то и представьте себя насколько он будет заинтересован в поисках уязвимостей 🙂
Регулярно проверяйте сайт, вот классный сервис с отличной техподдержкой [urlspan]virusdie.ru[/urlspan] (в переводе: сдохни вирус)
Начнем с того, что ни один антивирус не даст 100% гарантии от взлома компа и, соответственно, сайта. Однако в сочетании с соблюдением правил безопасности работы и серфинга в интернете, шансы на защиту значительно увеличиваются. Теперь по сути. 😎
Обязательно устанавливайте сложный пароль на админку сайта и панель аккаунта на хостинге, причем символов в пароле должно быть столько, насколько позволяет платформа.
Один из самых действенных способов защиты сайта от взлома через админку – указание в файле .htaccess, который находится в папке administrator на хостинге конкретного IР-адреса, с которого позволен вход в админку. Да, при изменении айпишника вам надо будет каждый раз заходить в акк хостинга и изменять этот параметр, но степень защиты сайта при этом возрастает многократно. То же касается установки страны входа в аккаунт на хостинге, например, только с айпишника РФ и так далее, все солидные хостеры предлагают такую опцию.
Про своевременное обновление движка и модулей сказано в статье, не буду повторяться. И конечно же хостинг, на котором расположен ваш сайт, должен использовать актуальную версию MySQL во избежание ее взлома, иначе все остальные движения в плане превентивных мер безопасности будут бесполезны.
Еще можно отключить или вообще убрать не используемые не нужные модули, расширения и скрипты, например форму регистрации на сайте, потому что чем больше лазеек, тем большая вероятность взлома. Уберите с главной и кода любое упоминание про движок сайта. Вообще это обширная тема, где для каждого движка присутствуют свои нюансы. ❗