Wordpress

Защита сайта wordpress: Защита WordPress – 12 Советов, чтобы защитить ваш сайт

12.05.2020

Содержание

Защита Вордпресс для новичков

Защита сайта — одна из первых настроек на любом сайте. Каждую неделю Гугл заносит в черный список около 20.000 сайтов за распространение вредоносного кода и около 50.000 за фишинг.

Если вы не хотите, чтобы ваш сайт попал в черные списки поисковиков из-за взлома или размещения на нем вредоносного кода, посвятите некоторое время изучению безопасности сайта.

Хотя сам Вордпресс достаточно безопасен и регулярно обновляется разработчиками, можно сделать несколько настроек для усиления безопасности.

В этой статье вы узнаете основные настройки, которые помогут защитить сайт от вирусов и хакеров.

Содержание:

Основы безопасности сайта

  1. Регулярно обновляйте Вордпресс
  2. Пароли и права пользователей
  3. Хостинг

Безопасность Вордпресс с помощью плагинов

  1. Установите плагин бэкапа
  2. Лучший плагин безопасности
  3. Включите файрвол

Безопасность Вордпресс без плагинов

  1. Измените стандартное имя администратора Admin
  2. Отключите редактор файлов
  3. Проверьте права доступа к файлам и папкам
  4. Отключите исполнение PHP файлов
  5. Ограничьте количество попыток авторизации на сайте
  6. Измените стандартный префикс базы данных
  7. Измените страницу авторизации
  8. Отключите доступ к папкам сайта
  9. Отключите XML-RPC
  10. Настройте автоматический лог аут неактивных пользователей
  11. Добавьте дополнительные вопросы на странице авторизации
  12. Очистка зараженного сайта 

После взлома сайта поисковики понизят его репутацию, и это уменьшит посещаемость. Хакеры могут украсть личную информацию пользователей, установить вредоносный софт или заразить посетителей сайта.

Иногда хакеры требуют выкуп, чтобы вернуть доступ к сайту. 

В конце 2018 года по сообщению Internet Live Stats, более 100.000 сайтов взламывалось ежедневно. Около 10.000 сайтов Гугл заносит в черные списки каждый день. 

Примените как можно больше рекомендаций из этой статьи для усиления защиты сайта.

Регулярно обновляйте Вордпресс

Вордпресс — открытая платформа, которая поддерживается и регулярно обновляется разработчиками. Самая последняя версия Вордпресс самая безопасная.

Правило №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте Вордпресс, плагины и темы.

По умолчанию Вордпресс автоматически устанавливает минорные обновления. Чтобы включить мажорные обновления, нужно добавить эту опцию вручную. 

Для Вордпресса написано большое количество плагинов и тем, их разработчики поддерживают свой софт и выпускают обновления.   

Обновляйте темы и плагины. Около 30% атак на Вордпресс приходится на темы и плагины.

Сложные пароли и права пользователей

Самый распространенный способ взлома сайтов — подбор логина и пароля. Используйте сложные пароли для сайта, FTP аккаунта, базы данных, аккаунта на хостинге и для е-мейла.

Используйте встроенный генератор паролей

Одна из причин, почему некоторые не хотят использовать сложные пароли, — потому что их трудно запомнить. Используйте менеджер паролей в браузере или отдельный сервис, например, LastPass. 

Если у вас на сайте несколько пользователей или авторов, дайте им только необходимый минимум прав. 

Хостинг

Хостинг играет важную роль в безопасности сайта. Хороший хостинг имеет защиту от хакерских атак.

На виртуальном хостинге сайт пользуется теми же ресурсами сервера, что и соседние сайты. Если у вас виртуальный хостинг, спросите в техподдержке изолированы ли сайты друг от друга. 

Виртуальный частный сервер обычно предлагает лучшие условия, — выделенное количество ресурсов, частый бэкап и улучшенную защиту.

 

Используйте надежный хостинг из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.

Это три главных правила безопасности Вордпресс. Если вы хотите применить еще несколько базовых правил, переходите:

Безопасность Вордпресс с помощью плагинов

Настройка безопасности сайта может казаться трудной задачей для не-технаря. В этой части настройка безопасности Вордпресс с помощью плагинов, установите эти плагины и настройте их шаг за шагом.

Установите плагин бэкапа

Бэкап — одна из составляющих безопасности сайта. Не существует 100% защиты от взлома, даже самую лучшую защиту можно взломать. Если однажды это случится с вашим сайтом, вы сможете восстановить сайт из бэкапа.

Для Вордпресса есть много платных и бесплатных плагинов, которые вы можете использовать. Сохраняйте бэкап на свой компьютер, на облако или удаленный сервер, но не сохраняйте на тот же сервер, на котором находится ваш сайт. 

Настройте частоту бэкапа в зависимости от того, как часто вы обновляете сайт или контент.

Хорошие бесплатные плагины All in One WordPress Migration (ручной бэкап), и Updraft Plus (автоматический бэкап). Платные плагины — BackWPup, VaultPress (от Automattic), и BackupBuddy.

Плагин безопасности

После плагина бэкапа установите плагин безопасности. Плагин наблюдает за сайтом и записывает события в журнал событий.

Для Вордпресс существует большое количество платных и бесплатных плагинов безопасности. Некоторые из них после установки не нужно настраивать.

Sucuri Security − лучший платный плагин безопасности, в этой статье мы будем использовать бесплатную версию плагина Sucuri, которая отличается от платной тем, что в ней неактивен файрвол. 

Плагин сканирует сайт на заражение, сравнивает файлы Вордпресс с оригинальными файлами в репозитарии, проверяет, что сайт не занесен в черные списки и наблюдает за неудачными попытками доступа на сайт.

Плагин устанавливается как обычно из репозитария Вордпресс. После установки сгенерируйте API ключ, который включает логи событий, сравнение файлов ядра Вордпресс с оригинальными файлами, сообщения на е-мейл о событиях сайта и другие функции.  

1. После активации ключа переходите в Sucuri SecuritySettingsGeneral и настройте Timezone. Выберите ваш часовой пояс.

2. Переходите в Sucuri SecuritySettingsScanner и включите сравнение файлов Вордпресс на сайте с файлами в репозитарии Вордпресс:

Включите сравнение файлов Вордпресс с оригинальными файлами

3. В разделе Sucuri SecuritySettingsHardening включите все настройки, кроме первой, — эта функция доступна в премиум подписке.

Нажмите Apply Hardening для включения настроек

Эти настройки защищают наиболее часто атакуемые места сайта. Файрвол добавляет мощную защиту на DNS сервере, но это платная функция. Подробнее в следующем разделе.

Настройте оповещения на емейл о событиях на сайте в разделе Sucuri SecuritySettingsAlerts

.

Кроме этих функций можно настроить другие, но у них уже хорошие настройки по умолчанию.

Включите файрвол (WAF, Web Application Firewall)

Один из простых способов защитить сайт — установить файрвол, который будет блокировать вредоносный трафик до того, как он попадет на сайт.

В платной версии Sucuri проводит весь трафик через свои серверы, анализирует его и блокирует все подозрительные и вредоносные запросы.

Для ускорения загрузки сайт подключается к сети CDN. В случае, если сайт был взломан — бесплатное лечение и удаление из черных списков поисковиков и сервисов.

Это хорошее предложение, потому что лечение сайта может стоит дорого. Стоимость часа работы специалиста может доходить до 250$, в то время как 1 год лицензии Sucuri стоит 199$.

Безопасность Вордпресс без плагинов

Чтобы применить эти правила, добавьте код в файлы .htaccess, wp-config.php и functions.php.

Измените стандартное имя пользователя Admin

При установке Вордпресс администратору по умолчанию дается имя Admin.

Имя пользователя это половина данных для входа на сайт, поэтому лучше изменить имя пользователя на что-нибудь уникальное. Это усложнит задачу хакерам по подбору логина и пароля. 

После установки Вордпресс изменить имя администратора в профиле пользователя нельзя, но есть три способа это сделать без редактирования профиля:

  1. Создать нового администратора и удалить старого
  2. Изменить имя администратора с помощью плагина
  3. Изменить имя администратора в базе данных

Как это сделать читайте в статье:

Отключите редактор файлов

В Вордпрессе есть встроенный редактор файлов, который позволяет изменять файлы плагинов и тем в админке Вордпресс. Если хакер попадет в админку, он сможет делать все, что захочет с файлами сайта. Если вы не пользуетесь этим редактором, то его лучше отключить.

Чтобы отключить редактор файлов в админке, добавьте этот код в wp-config.php:

То же самое можно сделать одним кликом в Sucuri Security в разделе Hardening.

Проверьте права доступа к файлам и папкам

Права доступа определяют какие пользователи имеют доступ к файлам и папкам сайта. Максимальные разрешения для файлов должны быть 644, для папок 755.

Добавьте этот код в wp-config.php, он установит стандартные права для всех файлов и папок:

Некоторым важным файлам и папкам можно дать еще меньше прав доступа.

Отключите исполнение PHP файлов в некоторых папках

Еще один способ усилить безопасность — отключить исполнение PHP файлов в тех папках, где это не нужно, например /wp-content/uploads/ и /wp-includes/.

Создайте пустой текстовый файл и вставьте в него этот код:

Сохраните файл как .htaccess и поместите его в папку /wp-content/uploads/ и /wp-includes/ через FTP.

То же самое можно сделать в Sucuri Security Settings — Hardening.

Ограничьте количество попыток авторизации на сайте

По умолчанию Вордпресс разрешает пользователям делать столько попыток авторизации, сколько они хотят. Хакеры пользуются этим и перебирают самые распространенные логины и пароли. Это называется брут-форс атака, или атака грубой силой, или атака методом перебора паролей. 

Ограничьте количество неудачных попыток авторизации, которое может сделать пользователь. Это можно сделать с помощью плагина Limit Login Attempts, Login LockDown, Limit Login Attempts Reloaded.

После 4 неудачных попыток входа IP посетителя попадает в бан на 23 минуты. После 4 раз бана IP блокируется на 24 часа.  

Измените префикс базы данных

По умолчанию Вордпресс использует префикс wp_ для всех таблиц базы данных. Если ваша база данных использует стандартный префикс, хакерам легче его угадать и получить некоторый контроль над сайтом.

Префикс базы данных лучше изменить. Это можно сделать с помощью плагинов или вручную.

Измените страницу авторизации

По умолчанию страница авторизации находится по адресу wp-login.php. Хакботы приходят на эту страницу и пытаются подобрать логин и пароль.

Вы можете перенести страницу авторизации на новый адрес. Это уменьшит количество таких атак и снизит нагрузку на сервер.

Перенесите страницу авторизации на новый адрес. Например, /auth или /login.html.

Отключите доступ к папкам сайта

Хакеры используют доступ к папкам сайта для того чтобы выяснить, есть ли на сайте файлы с известными уязвимостями, описание которых находится в открытом доступе. Если они найдут такие файлы, они могут попасть на сайт.

Кроме этого, просмотр файлов и папок используется для копирования файлов, для выяснения структуры сайта и другой информации. Доступ к папкам лучше отключить.

Зайдите на сайт через FTP или через Менеджер файлов на хостинге и найдите файл .htaccess в корневой папке сайта. Файл может быть скрытым, поэтому включите в настройках отображение скрытых файлов.

Показывать скрытые файлы в Filezilla

Добавьте этот код в самом низу .htaccess:

Сохраните файл, загрузите обратно на сайт.

Отключите XML-RPC

XML-RPC стал включен по умолчанию в версии 3.5 для соединения Вордпресс с веб и мобильными приложениями. Этот шлюз используется для подключения к сайту мобильного приложения, используется для трекбеков и пингбеков и для плагина Jetpack.

К файлу xmlrpc.php приходят боты и пробуют подобрать логин и пароль. Они используют функцию system.multicall, чтобы попробовать несколько тысяч паролей в нескольких десятках запросов.

Эти запросы нагружают сервер.

Если вы не используете XML-RPC, его лучше отключить. Существует 3 способа отключить XML-RPC в Вордпресс. Лучше всего его отключить в файле .htaccess, потому что это наименее ресурсозатратный способ.

Настройте автоматический логаут неактивных пользователей

Залогиненные пользователи могут отойти от компьютера и оставить свой аккаунт открытым, это может создать угрозу безопасности. Хакер может перехватить сессию, сменить пароли и редактировать аккаунт.

Поэтому многие банки и финансовые организации автоматически отключают неактивных пользователей. Вы можете настроить такую же функцию на вашем сайте. 

Установите плагин Inactive Logout. Настройки плагина находятся в НастройкиInactive Logout

Мощный плагин со всеми нужными настройками

Настройте время, после которого неактивный пользователь будет разлогинен и настройте сообщение, которое показывается посетителю. Можно настроить только предупреждающее сообщение без лог-аута. Если вы хотите сделать разные настройки для разных ролей, переходите на вкладку Advanced Management

Добавьте дополнительные вопросы на странице авторизации

Добавьте дополнительные вопросы на странице авторизации для увеличения безопасности. Установите плагин  WP Security Questions.

Вы можете использовать стандартные вопросы, или добавить свои собственные вопросы. Можно добавить вопросы на странице Регистрации, Входа и Восстановления пароля.

Очистка зараженного сайта

Согласно исследованию Virusdie, «72% людей, впервые столкнувшихся с проблемами инфицирования стараются разобраться в вопросе самостоятельно и надеются на удачу».  

«Около 98% клиентов сервисов безопасности обращаются к профессиональной помощи только когда они уже столкнулись с проблемой. 85% из них хотят получить помощь один раз и не желают снижать риск возможных проблем в будущем. <…> Люди не хотят тратить время на развитие в области безопасности, но и не хотят нанимать экспертов, поскольку это дорого.»

Очистка зараженного сайта может быть долгой и сложной, лучше заранее принять меры предосторожности.

Если вы сделали эти настройки и хотите узнать, что еще можно сделать, читайте

Если вы думаете, что сайт могли взломать, читайте Как проверить безопасность Вордпресс сайта.

Если сайт взломали, переходите в Чек-лист: что делать, если сайт взломали. 

Читайте также:

  1. Минимальная безопасность Вордпресс
  2. Основные настройки безопасности Вордпресс
  3. Вход в админку Вордпресс

Надеюсь, статья была полезна. Оставляйте комментарии.

Безопасность сайта на WordPress: подробная инструкция по настройке

В этой статье говорим о лучших методах безопасности веб-сайтов на WordPress 

Не секрет, что WordPress является лидером среди CMS по разработке сайтов, в частности для создания блогов. Поэтому хакеры часто нацелены на взлом защиты сайтов на WordPress. Несмотря на простую установку и запуск сайта на WP, рекомендуем владельцам принять некоторые меры безопасности. Другими словами вся информация вашего сайта, не важно какая это информация (компании или клиентов), находится в зоне риска, даже если вы размещаете его на надежном хостинге. 

Итак, сегодня поговорим о лучших методах, решающих проблемы безопасности сайтов..

УВЕЛИЧЬТЕ БЕЗОПАСНОСТЬ САЙТА НА WORDPRESS С ПОМОЩЬЮ РЕГУЛЯРНЫХ ОБНОВЛЕНИЙ


Самая важная вещь, которую нужно регулярно делать — это обновлять все файлы и плагины WordPress, а также шаблоны, если вы их используете без собственных корректировок. Новые обновления безопасности для WP и все остальные разные плагины выпускаются достаточно регулярно. Наличие последних версий значительно затрудняет доступ киберпреступникам к вашему сайту. Не пренебрегайте даже самыми, на первый взгляд, незначительными изменениями. Проводите тщательную проверку безопасности собственного сайта и убедитесь, что установлены все последние обновления. Любая уязвимость WP, в том числе в шаблоне блога на WordPress, имеет значение, поэтому не рискуйте и перестрахуйтесь, установив все обновления.

2. ЗАЩИТИТЕ ВАШУ ПАНЕЛЬ УПРАВЛЕНИЯ


Панель управления WP — это область, в которой вы можете вносить все изменения и совершать любые действия на вашем сайте. Важно ограничить доступ в панель администратора и предоставлять доступы только тем, кому они действительно нужны. Например, если вы не зарегистрированы на сайте, то вам как пользователю веб-сайта не нужен доступ к страницам /wp-login/ или /wp-admin/.

Следующий шаг это настроить ваш домашний IP адрес, который вы можете узнать на разных ресурсах, таких как “whatismyip.com” и добавить следующие строки в Ваш файл /.htaccess/ , находящийся в папке admin . В строке 4 замените ххх на свой ip адрес:       

  1. <Files wp-login.php>      
  2. order deny, allow      
  3. Deny fr om all      
  4. Allow from xx. xxx.xxx.xxx      
  5. </Files>

Чтобы разрешить авторизацию из разных мест или компьютеров, просто добавьте ещё одну строку “Allow from” с новым ip адресом. Часто меняете место доступа или пользуетесь сетями Wi-Fi? Тогда вам нужно иметь доступ в панель управления вне зависимости от ip адреса. Для этого уменьшите количество попыток авторизации. Теперь вы в безопасности от любых попыток взломать ваш пароль методом перебора. Вот как это можно настроить. Сначала найдите плагин “WP Lim it login attempts”, затем выберите значения количества попыток авторизации (кол-во попыток ввода неверного пароля). При превышении этого значения пользователь (клиент) будет заблокирован. Данная мера уменьшит уязвимость сайта для хакеров.

НЕ ИСПОЛЬЗУЙТЕ ЛОГИН ADMIN


Кажется это так очевидно, но очень много людей никогда не меняют логин по умолчанию, таким образом, давая хакерам возможность войти в систему под “админскими” правами. Всё что им нужно, это использовать определённые программы для подбора паролей. Киберпреступникам нет ничего проще взломать систему, используя эту уязвимость, поэтому избегайте ошибок новичков и меняйте дефолтное значение логина администратора.

УСИЛИВАЙТЕ ВАШИ ПАРОЛИ


Это же правило относится и для паролей. Многие используют простые фразы и указывают в пароле первое, что им придёт в голову. Вы можете считать ваш пароль уникальным, но фактом является то, что многие люди придумывают похожие пароли. Поэтому для укрепления безопасности сайта, создавайте пароли немного длиннее, так как хакеры знают об этом факте.

Для примера можете использовать предложение, которое вас характеризует и вы можете его легко запомнить. Используйте первые буквы каждого слова и потом добавьте числа и символы между ними для увеличения сложности.

УДАЛЯЙТЕ ВИРУСЫ И ВРЕДОНОСНЫЕ ПРОГРАММЫ


Если ваш компьютер не защищён (заражён вирусами), использование его для входа на сайт, также делает ваш сайт уязвимым. Т.е. если на вашем компьютере есть вирусы или вредоносные программы, то хакер может быстро получить ваши доступы, когда вы подключаетесь к сайту невзирая на все принятые меры безопасности. Возможно вы думаете, что наибольший риск проистекает из онлайна и прямых атак. Но большинство хакеров создают хитрые программы, которые находятся на вашем компьютере годами. Они крадут важную информацию, такие как доступы авторизации . Вот почему нужно устанавливать хорошие антивирусные программы.

Обновляйте их и сканируйте ваши компьютеры регулярно, чтобы ваши системы были не заражены.

ПРОВОДИТЕ ПРОВЕРКУ БЕЗОПАСНОСТИ С ПОМОЩЬЮ ИНСТРУМЕНТА PLESK WORLDPRESS TOOLKIT


PleskWordPress Toolkit — это панель управления, с помощью которой можно легко управлять, настраивать, и устанавливать ваш сайт на WordPress в панели Plesk (предоставляется бесплатно с редакциями Plesk Web Pro и Plesk Web Host. Также PleskWordPress Toolkit можно приобрести отдельно как дополнение (прим. редакции)). Вы можете её использовать если на вашем сервере установлена система Plesk и с её помощью проводить проверку безопасности сайта.

WordPress папка с контентом


В папке /WP-content/ есть много незащищённых РНР файлов, которые приведут к неработоспособности сайта если кто-то их повредит. После установки WP вы можете работать с рнр файлами прямо из этой директории. Эта настройка безопасности проверяет запрет выполнения данных файлов в папке. Нужно помнить, что любые кастомные директивы в файлах /web.config/ или /.htaccess/ могут переопределять установки безопасности. Дополнительно будьте внимательны к некоторым плагинам WP, которые могу перестать работать из-за настроек безопасности папки /WP-content/.

Конфигурационный файл


В файле WP-config.php много важной информации, включая доступы к базе данных. Поэтому после установки WP запустите этот файл. Так как если на веб сервер отключена обработка рнр, то любой умный хакер может открыть содержимое этого файла. Используя проверку безопасности , вы сможете заблокировать любой нежелательный доступ к этому файлу. Более того знайте, что оба файла /web.config/ и /.htaccess/ могут переопределять настройки безопасности.

Права просмотра директорий


Если разрешен просмотр каталогов, это даст хакерам возможность получить важную информацию сайта, включая информацию о его структуре, плагинах и т. д. В панели Plesk по умолчанию отключён доступ к папкам и в настройках безопасности вы также можете проверить статус прав доступа.

Префикс базы данных


Каждая установка WP использует идентичную номенклатуру для таблиц базы данных. Если вы будете использовать только стандартный префикс /WP_/ для имён таблиц базы данных, то структура базы данных будет не защищена, т.е. любой сможет получить информацию из них.

Поэтому настройка безопасности изменит все префиксы таблиц в базе данных вместо дефолтного /WP_/ . Далее она деактивирует плагины и включит режим обслуживания (поддержки). После этого данная настройка изменит префиксы в конфигурационном файле и в базе данных. Затем активирует плагины, обновит структуру постоянных ссылок и в конце выключит режим обслуживания.

Права для файлов и папок


Если права не соответствуют требованиям политики безопасности, тогда все файлы подвержены уязвимости. После окончания установки, права на файлах и папках могут быть разными. Используя проверку безопасности WP, вы можете проверить корректность прав. На папках должны быть права 755, а на файлах 644 и 600 для файла wp-config.php

Информация о версии


Все версии WP имеют разные уязвимости. Вот почему нужно избегать отображения используемой версии, так как хакеры могут знать их слабые места. Они могут найти эту информацию в файлах /readme.html/ и в метаданных страницы.

С помощью настройки безопасности WP вы можете проверить файлы /readme.html/ на наличие данных. Плюс вы можете увидеть все ли ваши темы имеют файл /functions.php/ с текстом Remove_action (/wp_head/ , /wp_generator/)

Также вы можете изменить настройки безопасности и увидеть её статус. Сначала перейдите к колонке S, которая находится в разделе Сайты и Домены-> WordPress и сделайте следующие шаги:

  1. Нажмите “Проверка безопасности” (“check security”), чтобы увидеть статус безопасности всех установленных сайтов WP      
  2. Если хотите защитить выбранную установку, тогда найдите колонку S и нажмите на иконку рядом определённой установкой.       
  3. Если хотите проверить несколько установок, проверьте их разделы сбоку и нажмите на кнопку “Проверка безопасности” (security button).      
  4. В конце выберите чекбоксы с опциями безопасности, которые хотите добавить и нажмите на кнопку установки безопасности.
Вот необходимые шаги, которые вы можете выполнить для настройки надежного уровня безопасности сайтов WP. Но помните, что это не гарантирует 100% защищённости, так как таковой не существует в природе. Но выполнив данные рекомендации, вы существенно снизите шансы на взлом вашего сайта, кражу данных и их последующее использование во вредоносных целях в сети интернет.

Перевод: Сергей Гордеев (Русоникс)
Оригинал

17 шагов, чтобы защитить ваш сайт на WordPress от хакеров

17 шагов, чтобы защитить ваш сайт на WordPress от хакеров — Заметки Сис.Админа

Сегодня мы поговорим о такой замечательной штуке как защита Ваших сайтов на популярном движке WordPress от хакеров и прочих злоумышленников.

Вас ждут простые, интересные и, самое главное, рабочие советы. Приступим.

  1. Смените ваш логин
    Он у вас всё ещё admin? При создании сайта его ставят чаще всего. Это первое, что проверяют боты, ищущие прорехи в безопасности. Войдите в административную часть и создайте новую административную учётную запись с каким-нибудь другим именем. Затем выйдите из системы управления, войдите вновь и удалите аккаунт admin.
  2. Необычный пароль
    Никто не хочет запоминать по 20 разных паролей, но жизненно важно, чтобы для вашего блога он был уникальный. Используйте прописные, строчные буквы, знаки пунктуации и пр.
    Пример: Vg8uB6Z.<4 – это отличный пароль.
    Есть программы, хранящие и генерирующие пароли – это то, что вам нужно. К примеру, Password Agent.
  3. Обновляйте WordPress
    Одним из самых часто встречающихся случаев взлома сайта является использование устаревших скриптов. WordPress уведомит вас о выходе своей новой версии прямо в панели управления. Обновите его. Потеряв минуту, вы сэкономите часы в дальнейшем – новая разработка сайтов стоит и денег и времени.
  4. Избегайте бесплатных тем
    Множество сайтов предлагают вам скачать уже готовые темы для оформления вашего веб-ресурса. В некоторых их них есть неприятные скрытые «сюрпризы». Используйте только доверенные сайты, вроде WordPress.org для скачивания тем или создавайте свою собственную с помощью бесплатных фреймворков.
  5. Бойтесь плагинов
    Конечно, плагины дают вам отличную от базовой функциональность, однако, некоторые из них открывают двери для хакеров. Скачивайте их только с официального сайта Вордпресса и обращайте внимание на все появляющиеся предупреждения. Также, не забывайте обновлять плагины.
  6. Храните только то, что вам нужно
    У вас есть несколько неиспользуемых плагинов? Даже будучи неактивированными, они могут представлять угрозу. Удалите все неиспользуемые плагины, темы, файл readme из корня сайта. Есть простое правило: меньше скриптов, меньше уязвимостей.
  7. Делайте резервные копии
    Не все хакерские атаки могут повредить вам, но даже одна успешная испортит вам жизнь. Делайте регулярные резервные копии своего сайта! У многих хостеров эта функция включена по умолчанию и в случае проблем вам можно будет восстановить сайт из копии месячной, недельной, вчерашней «свежести».
  8. Проверьте свой компьютер на наличии вирусов
    Нужно следить не только за своим сайтом на WordPress, но и за собственным компьютером. У вас должен быть часто обновляемый антивирус. Не хотите же вы заразить свой сайт, разместив там несколько вирусных файлов?
  9. SFTP это не ФТП
    Все загрузки файлов на ваш сайт должны происходить через SFTP, если ваш провайдер позволяет это делать. Если нет, перейдите к более защищённому хостеру. Соединение будет происходить по защищённому протоколу и «плохие парни» не смогут его перехватить.
  10. Защитите свои конфигурационный файлы
    Добавив специальный файл .htaccess в корень сайта, вы существенно повысите безопасность. index\.php$ — [L]
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php [L]
    </IfModule>
  11. Смените префикс у таблиц в базе данных
    Этот шаг только для новых установок (первоначальное создание сайтов, Пермь)(см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-либо другое.
    К примеру, $table-prefix=’movie_’;Как сменить префикс у уже работающих сайтов? Вам понадобится PHPMyAdmin и Dreamweaver (скачать дамп базы данных, произвести поиск/замену, закачать дамп снова).Если это выглядит слишком сложным для вас, в конце статьи будет описан более лёгкий способ.
  12. Защитите каталоги от просмотра
    Чтобы хакеры не смогли просмотреть папки на вашем сервере, набрав их полный путь, защитите их с помощью .htaccess (добавьте туда Options —Indexes) или поместите в директорию пустой файл index. html
  13. Защитите файл .htaccessВыглядит немного странным, что кто-то будет менять этот файл, но это самое сердце вашей защиты, поэтому, лучше о нём позаботиться заранее. Заприте каждую дверь, какую сможете. Поместите туда код:
    <files .htaccess>
    order allow, deny
    deny from all
    </files>
  14. Ограничения по IP адресу  Если у вас статичный IP-адрес, вы можете ограничить доступ к административной части сайта. Это отличный способ обезопасить себя. В файл .htaccess добавьте следующие строки:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName "Access Control"
    AuthType Basic
    order deny, allow
    deny from all
    allow from ??.???.???.???
  15. Ограничение попыток входа
    Обычно хакеры, подбирая пароль, делают множество попыток входа. Можно настроить систему так, что после 2й неудачной попытки ip-адрес злоумышленника будет заблокирован на несколько часов.
  16. Запрет отслеживания HTTP заголовка
    Добавьте в . (.*)$ index.php [F.L]

А чтобы не мучиться со всем этим, просто поставьте плагин Better WP Security. Он может всё вышеперечисленное и даже больше.

Белов Андрей (Sonikelf) Заметки Сис.Админа [Sonikelf’s Project’s] Космодамианская наб., 32-34 Россия, Москва (916) 174-8226

© 2008 – 2020, sonikelf.ru. «Заметки Сис.Админа». Права защищены.

Подборка плагинов WordPress для безопасности сайта

Бесплатные плагины для сайта на WordPress, чтобы защитить сайт от атак и взломов, и несколько отдельных плагинов для бэкапа, чтобы восстановить ресурс, если все-таки злоумышленники изменили сайт.

Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.

WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.

Статистика заражений за 2017 год

Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.

Плагины для защиты сайта на WordPress

All In One WP Security & Firewall

Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.

Что делает плагин:

  • добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
  • блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
  • дает просматривать активности учетных записей пользователей;
  • делает резервные копии базы данных автоматически;
  • создает резервные копии исходных файлов . htaccess и wp-config.php;
  • обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
  • генерирует сложные пароли;
  • отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
  • закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
  • устанавливает межсетевые экраны для защиты от вредоносных скриптов.

Подробнее о функциях безопасности на странице плагина.

Панель управления плагином

Понятно о настройке плагина:

All In One WP Security & Firewall переведен на русский язык, установка бесплатна.

BulletProof Security

Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.

Что делает плагин:

  • защищает файлы wp-config.php, php.ini и php5.ini через файл .htaccess;
  • включает режим технических работ;
  • проверяет права на редактирование папок и файлов в админке;
  • не пропускает спам с помощью функции JTC-Lite;
  • создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
  • ведет журналы ошибок и журнал безопасности.

Подробнее о функциях безопасности на странице плагина.

Сканер вредоносного кода

Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.

Wordfence Security

Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.

Что делает плагин:

  • сравнивает основные темы и плагины с тем, что находится в репозитории WordPress. org и при расхождениях сообщает владельцу сайта;
  • выполняет функции антивируса, проверяет сайт на уязвимости;
  • проверяет сообщения и комментарии на подозрительный контент и ссылки.

В бесплатной версии доступны и другие функции.

Премиум версия дает чуть больше:

  • проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
  • включает двухфакторную идентификацию для входа;
  • составляет черный список и блокирует все запросы от IP из базы.

Подробнее о функциях безопасности на странице плагина.

Сканер безопасности

Не переведен на русский, базовую версию можно скачать бесплатно.

Disable XML-RPC Pingback

Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.

Что делает плагин:

  • Удаляет pingback. ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
  • удаляет X-Pingback из HTTP-заголовков.
Установка плагина

Плагин на английском языке, установка бесплатна.

iThemes Security

Старое название — Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.

Что делает плагин:

  • включает двухфакторную авторизацию при входе в администраторскую панель;
  • сканирует код сайта и сигнализирует, если находит подозрительные изменения;
  • мониторит сайт на автоматизированные атаки и блокирует их;
  • генерирует сложные пароли;
  • отслеживает активность аккаунтов пользователей;
  • включает Google reCAPTCHA при входе на сайт;
  • дает возможность создавать временные доступы в админке;
  • ограничивает редактирование файлов в админке.

Подробнее о функциях безопасности на странице плагина.

Настройки плагина

Переведен на русский язык и доступен бесплатно.

Sucuri Security

Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.

Что делает плагин:

  • проверяет код сайта на подозрительные изменения и присылает уведомления;
  • сканирует вредоносные программы и запрещает доступ;
  • создает черный список IP и запрещает им взаимодействие с сайтом;
  • фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
  • автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.

В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.

Сообщения о подозрительных активностях

Плагин не переведен на русский язык, доступен для бесплатного скачивания.

Keyy Two Factor Authentication

Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.

Что делает плагин:

  • защищает сайт от взломов;
  • хранит защищенный пароль на устройстве, его не нужно вводить при входе;
  • позволяет ходить в админку по отпечатку пальца;
  • администраторам нескольких сайтов дает переключаться между панелями в один клик.
Пример работы

Плагин не переведен, доступен бесплатно.

WWPass Two-Factor Authentication

Плагин для защиты от проникновения злоумышленников в панель администратора.

Что делает плагин:

  • добавляет QR-код для сканирования при попытке войти в админку;
  • дает доступ к бесплатному использованию менеджера паролей PassHub.
Пример работы плагина

Доступно бесплатное скачивание версии на английском.

Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.

Плагины для бэкапов сайта на WordPress

BackWPup – WordPress Backup Plugin

Плагин для создания резервных копий и восстановления прежних версий сайта.

Что делает плагин:

  • делает бэкапы полного сайта с контентом;
  • экспортирует XML WordPress;
  • собирает установленные плагины в файл;
  • проверяет и восстанавливает базы данных;
  • отсылает копии на внешние облачные хранилища, email или передает по FTP.

Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.

Управление архивами резервных копий

Доступен бесплатно, есть платная PRO-версия, не переведен на русский.

UpdraftPlus WordPress Backup Plugin

Что делает плагин:

  • копирует и восстанавливает данные в один клик;
  • делает автоматические резервные копии по расписанию;
  • проверяет и восстанавливает базы данных;
  • отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.

Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.

Настройка хранения резервных копий

Не переведен на русский, доступен бесплатно.

VaultPress

Еще один плагин для резервного копирования и надежного хранения копий.

Что делает плагин:

  • ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
  • восстанавливает сайт из копии по клику;
  • защищает сайт от атак и вредоносного ПО.

Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.

Рабочая панель

Плагин не переведен на русский язык, доступен для установки бесплатно.

Почитать по теме:
Что выбрать: SaaS, IaaS или PaaS? Сравнение облачных моделей ПО

Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.

Советы по безопасности WordPress для дилетанта: безопасность входа в WordPress и другие методы обеспечения безопасности

С тех пор как он был впервые представлен более двух десятилетий назад, WordPress стал (и вырос) теперь безопасно называться самой популярной в мире системой управления контентом. Сегодня, более четверти существующих сайтов, запускаются на WordPress.

Но с незапамятных времен, чем популярнее что-то, тем больше людей хотят использовать его для гнусных средств. Просто взгляните на Microsoft Windows и огромное количество вредоносных программ, вирусов и других эксплойтов предназначенный для этой конкретной операционной системы.

Версии 10 WordPress с наибольшими уязвимостями (источник). Исследование, проведенное в 2017 году, выявило 74 различных версии WordPress в 1 миллион лучших веб-сайтов Alexa; 11 из этих версий недействительны — например версия 6.6.6 (источник).

Почему ваш блог WordPress является ценной целью?

В случае, если вам интересно, почему на земле хакер хотел бы контролировать ваш блог WordPress, есть несколько причин, включая:

  • Используя его, чтобы тайно отправлять спам-сообщения
  • Украдите ваши данные, такие как список рассылки или информацию о кредитной карте
  • Добавление вашего сайта в бот-сеть, которую они могут использовать позже

К счастью, WordPress — это платформа, которая предлагает вам множество возможностей защитить себя. Помогая самостоятельно настраивать и администрировать несколько веб-сайтов и блогов, я хотел бы поделиться с вами некоторыми из наиболее простых вещей, которые вы можете сделать, чтобы защитить ваш сайт WordPress.

Ниже приведены полезные советы по безопасности 10, которые вы можете использовать.

Защитите свою страницу входа в WordPress

Защита вашей страницы входа не может быть достигнута каким-либо конкретным способом, но, безусловно, есть шаги и бесплатные плагины безопасности Вы можете предпринять любые атаки, которые с меньшей вероятностью будут успешными.

Страница входа на ваш сайт, безусловно, является одной из наиболее уязвимых страниц вашего сайта, поэтому давайте начнем с того, чтобы сделать вашу страницу входа на WordPress немного более безопасной.

1. Выберите хорошее имя пользователя администратора

Используйте необычные имена пользователей. Ранее с WordPress вам приходилось начинать с имени пользователя-администратора по умолчанию, но это уже не так. Тем не менее, большинство новых веб-администраторов используют имя пользователя по умолчанию и должны изменить свое имя пользователя. Ты можешь использовать Admin Renamer Extended для изменения имени администратора.

Грубая форсировка страниц входа в систему — одна из распространенных форм веб-атак, с которыми может столкнуться ваш сайт. Если у вас есть легко угадываемый пароль или имя пользователя, ваш веб-сайт почти наверняка станет не просто целью, а в конечном итоге жертвой. По опыту, большинство попыток взлома сайта пытаются войти в систему с тремя основными вариантами имени пользователя. Первые два всегда являются «admin» или «administrator», а третий обычно основан на вашем доменном имени.

Например, если ваш сайт crazymonkey33.com, хакер может попытаться войти в систему с помощью «crazymonkey33».

Не хорошая идея.

2. Обязательно используйте надежный пароль

К настоящему моменту вы, вероятно, подумали бы, что люди будут знать, что используют сильные и сложные пароли для защиты своей учетной записи, но есть еще многие, кто считает, что пароль является отличным.

Всплеск данных составил список часто используемые пароли в 2018 году, Пароль по рангу с точки зрения использования.

  1. 123456
  2. пароль,
  3. 123456789
  4. 12345678
  5. 12345
  6. 111111
  7. 1234567
  8. солнечный свет
  9. БУКВ
  10. ILOVEYOU

Если вы используете один из этих паролей, и ваш веб-сайт получает какой-либо трафик, ваш веб-сайт почти наверняка будет снесен раньше или позже.

Сильный пароль будет включать в себя смесь:

  • Верхний и нижний заглавные символы
  • Быть буквенно-цифровым (AZ и az)
  • Включите специальный символ (!, @, #, $ И т. Д.).
  • По крайней мере, длина символов 8

Чем более случайным является ваш пароль, тем более безопасным он будет. Попробуйте этот генератор случайных паролей, если у вас возникнут проблемы с его выходом. https://passwordsgenerator.net/

3. Внедрить reCaptchaНастенные боты от вашего блога WP.

reCaptcha был разработан, чтобы остановить автоматические инструменты от работы на сайте. Конечно, учитывая сложность инструментов взлома сегодня, их можно довольно легко обойти, но, по крайней мере, есть дополнительный уровень безопасности.

Существуют несколько плагинов reCaptcha вы можете использовать с вашей установкой, которая будет работать в значительной степени из коробки.

4. Используйте двухфакторную аутентификацию (2FA)

2FA — это метод проверки подлинности, который требует проверки при входе в систему. Например, как только вы вошли в систему с вашим именем пользователя и паролем, система может отправить SMS на ваш мобильный телефон или отправить по электронной почте код, который вам нужно ввести для подтверждения вашей личности.

Этот метод аутентификации предлагает хорошую защиту и сегодня используется многими банками и финансовыми институтами. Опять же, эту потребность можно легко выполнить с помощью Плагин 2FA.

Посмотрите, как miniOrange (плагин 2FA) работает с входом в WordPress в следующем видео.

Чтобы защитить паролем страницу WordPress, выполните следующие действия:

  1. Войдите в WordPress как администратор.
  2. На панели управления перейдите на Страницы »Все страницы.
  3. Щелкните Изменить на содержимом страницы, которое вы хотите скрыть.
  4. В верхнем левом углу в разделе «Статус и видимость» щелкните ссылку «Публичный».
  5. Оттуда выберите опцию Защищено паролем , чтобы защитить свою страницу, и введите пароль.
  6. Затем нажмите Опубликовать или Обновить .

Теперь при просмотре страницы нужно будет ввести пароль.

Вот как будет выглядеть ваш защищенный паролем контент с точки зрения посетителя. Все, что им нужно сделать, это ввести правильный пароль, чтобы получить доступ.

Ваши страницы теперь помечены как частные в WordPress, поэтому вы можете легко увидеть, какие из них защищены, в виде списка.

Если вы хотите снять защиту паролем, просто переключите статус на общедоступный.

Вы можете спросить: «Могу ли я защитить паролем файл PDF?» и ответ: да, можно.

После добавления файла на страницу просто используйте описанный выше метод для защиты документа PDF паролем. Таким образом вы сможете защитить свой PDF-файл от людей, у которых не должно быть доступа.

При настройке заблокированной страницы или сообщений WordPress вы также можете заметить возможность пометить ее как Private .

Опция приватной видимости

WordPress ограничивает контент тем, кто его создал, или кем-либо, кто вошел в систему с ролью редактора или администратора. Так что это недопустимый вариант, когда дело доходит до ограничения контента.

Однако есть способ защитить ваш весь сайт от нежелательных посетителей, о котором мы поговорим позже.

Как защитить паролем весь сайт WordPress?

На данный момент WordPress не может заблокировать весь сайт . Вы можете заблокировать только одну запись или страницу WordPress. Вместо этого вам нужно будет установить плагин для защиты страницы паролем WordPress.

Одним из лучших плагинов WordPress для защиты или сокрытия содержимого всего сайта является плагин SeedProd Landing Page Pro.

SeedProd — лучший конструктор целевых страниц WordPress с скоро и функциональностью режима обслуживания.

Этот плагин позволяет с легкостью скрыть разделы или весь сайт от посетителей, когда вы активируете встроенную страницу «Скоро появится» или «Режим обслуживания». Это отличный способ защитить SEO вашего сайта.

Plus, вы можете использовать его мощный конструктор страниц с перетаскиванием для создания потрясающих целевых страниц в WordPress, в том числе:

Это означает, что вместо непривлекательной заблокированной страницы вы можете настроить ее и попросить посетителей сайта:

Чтобы создать настраиваемую страницу защиты паролем WordPress или защитить несколько страниц паролем с помощью SeedProd, следуйте этим инструкциям.

Сначала загрузите подключаемый модуль SeedProd Landing Page Pro. Затем после входа в систему перейдите в область обзора своей учетной записи.

Теперь щелкните Просмотреть лицензионный ключ, сведения и загружаемые материалы .

Отсюда нажмите оранжевую кнопку с надписью Download Landing Page Pro .

Теперь перейдите к Плагины » Добавьте новый в панель администратора WordPress и нажмите Загрузить плагин .

Щелкните Выберите файл , чтобы найти файл.zip-файл, который вы загрузили на свой компьютер, затем нажмите Установить сейчас .

После того, как вы установили плагин, нажмите Активировать .

SeedProd не только дает вам возможность защитить паролем ваши сайты WordPress в целом. Он также позволяет блокировать отдельные страницы и защищать паролем части вашего сайта, чтобы создать частную страницу WordPress.

Чтобы защитить весь сайт паролем, сначала выполните следующие действия, чтобы создать страницу, которая появится в ближайшее время, с помощью SeedProd.

После этого нажмите SeedProd » Pages на панели администратора WordPress, чтобы просмотреть различные доступные вам режимы страниц и целевые страницы.

В разделе Coming Soon Mode щелкните переключатель, чтобы переключить его с «Неактивный» на « Активный ».

Вот и все! Теперь вы включили на своем веб-сайте защищенные паролем страницы и подстраницы. Только люди, которые вошли в систему, могут видеть ваш обычный сайт. Посетители скоро увидят главную страницу.

Как защитить паролем отдельные страницы в WordPress

Но что, если вы хотите скрыть только определенные страницы в WordPress? Защищенные паролем функции SeedProd также позволяют вам это делать.

Находясь в обзоре страницы SeedProd, нажмите кнопку « Редактировать страницу » в разделе «Скоро появится».

Затем щелкните вкладку Параметры страницы в верхней части визуального редактора страницы. Это покажет несколько параметров конфигурации. Чтобы скрыть определенные страницы, вам нужно будет выбрать опцию Access Control .

Чтобы отобразить защищенное паролем уведомление на определенных страницах WordPress, вам нужно прокрутить вниз до раздела Включить / исключить URL-адреса .

В этом разделе установите переключатель Включить URL-адреса , затем введите URL-адрес каждой страницы, которую вы хотите защитить, в соответствующем поле. Каждый URL-адрес следует вводить с новой строки. Вы также можете добавить сюда URL-адреса отдельных сообщений.

По завершении нажмите кнопку Сохранить Изменения .

Если у вас есть посетители, которым нужен доступ к защищенной странице, но у которых нет логина, есть простое решение.

Панель управления доступом имеет параметр, позволяющий обойти страницу с ограничениями.

Здесь вы можете добавить пароль. Это создает секретный URL-адрес, который вы можете дать посетителям, который игнорирует страницу, которая скоро появится. Более того, если вы забыли свой пароль, вы можете быстро взглянуть на эту страницу, чтобы освежить свою память.

Также можно добавить IP-адреса конкретных посетителей в разделе IP-доступа.Это позволяет любому, у кого есть этот IP-адрес, обойти вашу страницу, которая появится в ближайшее время.

Теперь, двигаясь дальше, вы можете подумать:

«Это здорово, но это не защищает мои формы регистрации, не так ли?»

И вы были бы правы! Но у нас есть обходной путь и для этого, так что продолжайте читать.

Совет для профессионалов: Знаете ли вы, что вы также можете защитить паролем продукты WooCommerce, включив режим обслуживания WooCommerce?

Как защитить паролем формы WordPress

Самое замечательное в WordPress то, что он позволяет добавлять на ваш сайт всевозможные полезные функции.Пожалуй, самой популярной из них является простая форма для связи.

Но, допустим, вы хотите контролировать, кто может заполнять ваши формы. Вы можете сделать это с помощью удобного дополнения Content Locker для WPForms.

Вот некоторые из замечательных вещей, которые вы можете сделать с аддоном Content Locker:

  • Заблокировать формы — Пользователи должны будут ввести пароль для отправки формы. Это защищает вас от нежелательной отправки форм.
  • Закрывайте отправку форм в определенную дату / время — это полезно для форм заявок с установленным сроком.
  • Ограничение форм только участниками — Вы можете ограничить формы только зарегистрированными ролями пользователей, что идеально подходит для сайтов членства. Компании также могут использовать это, чтобы ограничить поддержку платежеспособным клиентам.
  • Ограничьте общее количество заявок. — Это может быть полезно для конкурсов и розыгрышей. Когда будет достигнуто максимальное количество записей, форма автоматически закроется.
  • Ограничьте количество заявок до одного на человека — Отличный выбор для бесплатных образцов форм и подарков, эта опция помогает избежать дублирования заявок.

Чтобы пользоваться этим дополнением, вам сначала нужно скачать профессиональную версию WPForms.

После того, как вы скачали и установили плагин, перейдите к WPForms » Addons .

Здесь вы увидите список доступных вам надстроек. Выберите Form Locker Addon и нажмите Install Addon .

Теперь перейдите к списку форм и нажмите Изменить в форме, которую вы хотите защитить паролем. Кроме того, вы можете создавать новые формы паролей.

Затем нажмите Settings » Form Locker на левой панели администратора.

Отсюда вы можете установить условия для следующих опций:

  • Пароль — введите пароль для доступа к форме. Вы также можете добавить собственное сообщение на страницу пароля.
  • Планирование — Установите дату / время начала и окончания, а также сообщение о закрытии записей формы.
  • Ограничение на ввод — Введите максимальное количество записей в форме.Опять же, вы можете написать сообщение, когда форма закрыта.
  • Пользователь Роли — Ограничьте вашу форму только зарегистрированными пользователями вместе с настраиваемым сообщением.

Что замечательно в этой функции, так это то, что она применима не только к формам, которые вы создаете с помощью WPForms. Вы также можете использовать Content Locker, чтобы ограничить доступ к вашим опросам и опросам. Это дает вам гораздо больше контроля над вашим контентом.

Вот и все!

Вы узнали, как создать страницу защиты паролем WordPress для своего сайта.

Блокировать страницы в WordPress легко с помощью мощных средств контроля доступа SeedProd. Кроме того, конструктор страниц с перетаскиванием и перетаскиванием дает вам полный контроль над дизайном вашей защищенной паролем страницы без необходимости кодирования!

Вы также можете ознакомиться с этим руководством, чтобы скрыть свой сайт, когда он находится в стадии разработки. А чтобы увидеть лучшие плагины для членства в WordPress, посмотрите это.

И если вам понравилась эта статья, не забудьте поставить нам отметку «Нравится» на Facebook и подписаться на нашу учетную запись Twitter, чтобы получить больше полезных руководств по WordPress.

Защита паролем WordPress (полный сайт, категории, WooCommerce и др.)

Когда вам нужно убедиться, что только определенные люди могут получить доступ ко всему или части вашего сайта WordPress или магазина WooCommerce, ответ — защитить паролем WordPress. Если это звучит сложно, не волнуйтесь — я расскажу вам, как это сделать!

Это руководство позволяет людям с любым уровнем опыта узнать, как сделать вашу WooCommerce или WordPress частной, а также создать защищенные паролем категории на вашем сайте за считанные минуты.Мы рассмотрим собственные варианты защиты паролем WordPress, а также лучшие плагины для защиты паролем WordPress.

Как вы защищаете паролем WordPress, зависит от того, какой у вас тип веб-сайта, что вашим пользователям нужно делать на вашем сайте, и какие части вашего сайта вам необходимо защитить. Это руководство объясняет все, что вам нужно знать d о том, как создавать защищенные паролем категории в магазинах WordPress и WooCommerce.

Вы узнаете, как легко защитить паролем, без необходимости кода:

  1. Весь веб-сайт WordPress
  2. Отдельные записи WordPress и страницы WordPress
  3. Категории WordPress
  4. Весь магазин WooCommerce
  5. Отдельные продукты WooCommerce
  6. Категории товаров WooCommerce

Щелкайте по ссылкам, чтобы перейти к интересующей вас области, или читайте дальше, чтобы узнать все! Вы также можете посмотреть видеоверсию этого поста ниже: