20 приемов для обеспечения безопасности WordPress-сайта


Оглавление (нажмите, чтобы открыть):

Как защитить сайт на WordPress — 17 способов

На сегодняшний день WordPress – это одна из самых популярных и распространенных систем управления контентом в мире. На основе этого удобного и простого движка строится множество блогов, сайтов, порталов. Но такая простота и распространенность привлекают внимание не только честных пользователей, но и злоумышленников. Сделать сайт сейчас может любой школьник, а вот чтобы грамотно его защитить, потребуются знания и хотя бы небольшой опыт.

Именно поэтому защищенность и безопасность WordPress – это один из главнейших аспектов работы над вашим веб-сайтом. Защита WordPress от взлома включает в себя множество способов, которые важно применять всем, кто не хочет, чтобы их сайт пострадал.

Сегодня мы рассмотрим ряд простейших, но в то же время очень важных способов защиты сайта на WordPress.

Из статьи вы узнаете:

1. Используйте хороший логин.

Защита сайта на WordPress начинается с элементарного — создания хорошего логина. Устанавливая WordPress, пользователи часто используют логин, который программа установки предлагает по умолчанию, а именно – admin. Это то, что проверяют боты, ищущие дыры в безопасности вашего сайта, в первую очередь. Используя этот логин, вы уже предоставляете половину необходимой информации для хакеров, и им остается только подобрать пароль.

Если вы уже установили платформу и работаете над вашим сайтом, то вряд ли вам захочется удалять установку и начинать всё с чистого листа, чтобы использовать более надежный логин. Выход есть:

Шаг 1 – Создание нового пользователя

Войдите в административную панель WordPress и создайте новую учётную запись с более сложным логином, наделенную полным доступом ко всем функциям сайта, то есть правами администратора.

В главном меню слева выберите Пользователи >> Добавить нового.

Введите всю необходимую информацию для нового пользователя, определив его роль как «Администратор» и нажмите «Добавить нового пользователя».

Шаг 2 – Удаление пользователя admin

После этого выйдите из системы управления, войдите под новой учетной записью и удалите пользователя admin из системы одним из способов:

Способ 1 – В главном меню слева выберите Пользователи >> Все пользователи. Наведите на имя пользователя admin, и вы увидите функцию «Удалить».

Способ 2 — В главном меню слева выберите Пользователи >> Все пользователи. Найдите пользователя admin, отметьте его галочкой и из выпадающего меню «Действия» выберите «Удалить». После этого нажмите на опцию «Применить» под списком пользователей. Эта опция удобна, если вам необходимо удалить сразу несколько пользователей.

Так же вы можете изменить имя пользователя admin через запрос к базе данных:
UPDATE wp_users SET user_login = ‘новый_логин’ WHERE user_login = ‘admin’;

У данного способа есть минус: автор для постов, написанных пользователем admin, не будет изменен. Для того, чтобы это исправить, необходимо сделать еще один запрос к базе данных:
UPDATE wp_posts SET post_author = ‘новый_логин’ WHERE post_author = ‘admin’;

2. Используйте сложный и уникальный пароль.

Защита админки WordPress, конечно, невозможна без сложного хорошего пароля. Важно, чтобы он был уникальным и включал в себя цифры, буквы разных регистров, знаки пунктуации, символы и прочее. Пароли типа: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, дата вашего рождения и т.д. – не являются надежными, но многие пользователи продолжают их использовать. Пример хорошего пароля: pcVaOF8r39. Конечно, вам сложно будет запомнить такой пароль, но для этого существует ряд программ, которые хранят и генерируют пароли, а также могут быть интегрированы в интерфейс вашего браузера (например, Password Agent, KeyPass, Roboform и т.д.)

Если вы все же хотели бы помнить свои пароли наизусть, рекомендуем создавать комбинированный пароль из хорошо знакомого вам названия/слова с несколькими большими буквами/цифрами в случайных местах и несколькими специальными символами в начале или конце. Такой пароль также будет сложен для подбора, но его будет достаточно легко запомнить.

Не забывайте регулярно обновлять свои пароли.

3. Обновляйте версию WordPress.

WordPress заботится о своих пользователях, и поэтому в административной панели управления вы можете найти уведомления о выходе новой версии. Рекомендуем совершить обновление, как только вы увидите его, поскольку одной из самых распространенных брешей в защищенности вашего сайта является использование устаревшей версии платформы.

4. Скрывайте версию WordPress.

WordPress по умолчанию добавляет номер текущей версии в исходный код своих файлов и страниц. И поскольку довольно часто не всегда удается вовремя обновлять версию WordPress, это может стать слабым местом вашего веб-сайта. Зная, какая у вас версия WordPress, хакер может принести много вреда.

С помощью файла functions.php можно запретить вывод информации о версии вашей платформы. Для этого вам необходимо открыть файл functions.php, расположенный в корневой папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_wordpress), и добавить следующий код:
remove_action(‘wp_head’, ‘wp_generator’);

Или же можно добавить следующий код в файл functions.php:

/* Hide WP version strings from scripts and styles
* @return $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) <
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) <
$src = remove_query_arg(‘ver’, $src);
>
return $src;
>
add_filter( ‘script_loader_src’, ‘fjarrett_remove_wp_version_strings’ );
add_filter( ‘style_loader_src’, ‘fjarrett_remove_wp_version_strings’ );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() <
return »;
>
add_filter(‘the_generator’, ‘wpmudev_remove_version’);

Помимо вышесказанного, в папке любой темы WordPress, вы найдете header.php файл. В нём также указывается версия вашей установки, что для хакера является очень интересным, как упоминалось ранее. Удалив следующую строку из файла, вы избавитесь от этой лишней информации:

5. Скачивайте темы и плагины с надежных ресурсов.

WordPress является настолько распространенным, что всё больше разработчиков создают для него готовые темы и плагины. В то время как большинство из них облегчат работу с вашим сайтом и расширят его функциональность, некоторые могут скрывать в себе весьма неприятные последствия в виде вирусов и открывать двери для хакеров. Используйте только проверенные ресурсы для скачивания тем и плагинов, например, wordpress.org, а также обращайте внимание на все появляющиеся предупреждения о вредоносности файлов. Как и в случае с самим WordPress, важно вовремя обновлять плагины до последних версий.

6. Не храните ненужные файлы.

Неактивные расширения могут представлять серьезную угрозу для безопасности вашего сайта. Поэтому смело удаляйте все неиспользуемые плагины и темы. Например, вы устанавливали woocommerce-плагины, чтобы потестировать и выбрать тот, который будете использовать. После выбора не забудьте удалить все ненужные.

7. Регулярно проверяйте свой локальный компьютер на наличие вирусов.

Осуществление различных шагов по обеспечению безопасности сайта на WordPress – это хорошо, но и за компьютером необходимо следить. У вас должен быть установлен постоянно обновляемый антивирус. В противном случае, вы рискуете заразить ваш веб-сайт, загрузив на него вирусные файлы.

8. Делайте резервные копии сайта.

Не все атаки злоумышленников возможно предупредить, но всего лишь одна успешная атака может уничтожить все усилия по работе над вашим сайтом. Советуем делать регулярные резервные копии веб-сайта. Многие хостинговые компании предоставляют опцию серверных резервных копий и в случае чего, вы сможете восстановить сайт из копии, которая доступна на сервере.

Но рекомендуем не ограничиваться такими серверными резервными копиями, поскольку важно позаботиться о бекапах и с вашей стороны. Вы можете вручную создавать копии вашего сайта с определенной периодичностью или перед важными обновлениями, но также существует ряд плагинов, которые помогут автоматически создавать копии WordPress. Вы можете ознакомиться с различными вариантами здесь: wordpress.org/plugins/tags/backup

Установив плагин WordPress Database Backup, вы дополнительно сможете обезопасить базу данных вашего сайта. Настройки плагина позволяют установить опцию ежедневной отправки резервной копии базы данных на ваш контактный почтовый ящик.

9. Используйте защищенное соединение.

Если вы предпочитаете загружать ваши файлы с помощью FTP-клиента, используйте защищенный протокол соединения к серверу SFTP.

10. Создайте .htaccess файл.

.htaccess файл — это главный конфигурационный файл веб-сервера, который находится в корневой папке вашего веб-сайта. Если у вас нет этого файла, просто создайте его с помощью текстового редактора. Расширения у файла нет, поэтому вам достаточно будет назвать новый файл .htaccess.

Это вид стандартного WordPress файл .htaccess:

Важно: Все изменения в .htaccess необходимо вносить только после #END WordPress.

Добавляя в этот файл различные вариации кода, можно значительно обезопасить ваш сайт:

Код, блокирующий доступ к вашему wp-config.php файлу, который содержит важную информацию, необходимую для соединения к серверу MySQL и базе данных:

order allow, deny
deny from all

Код, который ограничит доступ к самому .htaccess файлу:

order allow, deny
deny from all

Таким же образом можно защитить любой другой файл, просто заменив в коде «.htaccess» на название необходимого файла.

Код, который ограничивает доступ пользователей с определенным IP-адресом к вашему сайту:

order allow,deny
allow from all
deny from X.X.X.X

Так вы можете запретить доступ подозрительных пользователей, спамеров и ботов, поскольку их IP-адреса часто повторяются. Тем самым вы также снизите нагрузку на сервер.

Код, который дает доступ к вашему сайту только пользователям с определенным IP-адресом:

order deny,allow
deny from all
allow from X.X.X.X

Код, который ограничивает доступ к админ-панели управления вашего сайта (это удобно, если у вас статический IP-адрес, и вы можете установить доступ только для себя):

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName «Access Control»
AuthType Basic
order deny, allow
deny from all
allow from X.X.X.X

Код, запрещающий отслеживание HTTP заголовков:

RewriteEngine On
RewriteCond % ^TRACE
RewriteRule .* — [F]

Код, защищающий от SQL-инъекций – самый распространенный вид атак на WordPress сайты:

RewriteCond % (\ |%3E) [NC, OR]
RewriteCond % GLOBALS(=|\[|\%[0 — 9A-Z]<0, 2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0 — 9A-Z] <0,2>)
RewriteRule ^(.*)$ index.php [F.L]

Код, который не даст просмотреть папки на вашем сервере, набрав их полный путь:

Например, набрав в браузере http://yourdomain.com/wp-includes, вы увидите всё содержимое папки «wp-includes», что, конечно же, не является безопасным. С этим кодом пользователи увидят ответ от сервера — 403 Forbidden.

Альтернативным методом скрытия подпапок, является создание пустого index.php файла в каждой директории. Таким образом, при открытии http://yourdomain.com/wp-includes браузер отобразит пустую страницу.

Код, который защищает от использования XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST:

Options +FollowSymLinks
RewriteEngine On
RewriteCond % (\ |%3E) [NC,OR]
RewriteCond % GLOBALS(=|\[|\%[0-9A-Z]<0,2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0-9A-Z]<0,2>)
RewriteRule ^(.*)$ index.php [F,L]

Для этой же цели можно использовать ряд WordPress плагинов, которые вы сможете найти здесь: wordpress.org/plugins/tags/xss

Код, защищающий от хотлинкинга:

RewriteEngine On
RewriteCond % !^http://(.+\.)?yourdomain\.com/ [NC]
RewriteCond % !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Хотлинкинг – это вставка изображения с вашего сервера на чужой сайт\блог. Трафик же при этом идет непосредственно на ваш сервер.

При помощи кода, указанного выше, вы можете заставить сервер проверить, откуда именно пришел запрос: если со страниц вашего веб-сайта, то сервер отдает изображение пользователю без проблем; если же с чужого веб-сайта – то показывает изображение с ошибкой.

11. Измените префикс таблиц базы данных.

Защита WordPress от хакеров также усилится, если убрать первоначальный префикс wp_ — это усложнит поиск для злоумышленников. Рассмотрим несколько способов:

Способ 1 – Подходит для новых установок через Softaculous
Если ваш хостинг-провайдер предоставляет вам возможность использования скрипта Softaculous для установки WordPress, то изменить префикс вы можете во время первоначальной установки: в секции Advanced Options вам необходимо будет внести требуемые изменения.

Способ 2 – Для уже работающих сайтов и свежих установок WordPress
Если ваш WordPress давно установлен и сайт работает, то вы можете поменять префикс базы данных с помощью программы phpMyAdmin.

Выберите необходимую базу данных из списка и сделайте следующий запрос к базе данных:

RENAME table `wp_commentmeta` TO `newprefix_commentmeta`;
RENAME table `wp_comments` TO `newprefix_comments`;
RENAME table `wp_links` TO `newprefix_links`;
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

где «newprefix_» необходимо заменить на новый префикс, который вы хотите использовать вместо префикса «wp_».

После этого вы увидите новый префикс в таблицах базы данных:

Чтобы убедиться, что все изменения прошли успешно и префикс wp_ больше не используется в таблице _options и _usermeta, вам необходимо будет сделать еще один запрос к базе данных:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE ‘%wp_%’

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE ‘%wp_%’

В результате вы можете найти ряд префиксов, которые вам необходимо будет переименовать вручную с помощью кнопки Изменить:

Количество изменений, которые вам необходимо будет внести, может различаться. Но все префиксы wp_ вы должны изменить на ваш новый префикс для нормального функционирования веб-сайта.

После этого не забудьте также внести изменения префикса в wp-config.php файле:

Вы также можете использовать специальные плагины для изменения префикса базы данных: Change DB prefix или Change table prefix.

12. Ограничивайте количество попыток доступа.

Чаще всего злоумышленники делают огромное количество попыток входа на ваш сайт, подбирая пароль. Вы можете настроить систему таким образом, чтобы IP-адрес был заблокирован на несколько часов после определенного количества неудавшихся попыток входа.

Для этого вы можете использовать дополнительные плагины, например, Login LockDown или Limit Login Attempts. В настройках этих плагинов, вы можете самостоятельно установить количество попыток входа и время блокировки.

Дополнительно существует возможность убрать отображение сообщения о том, что введенный логин и пароль неверен. Ведь это тоже информация, которая может помочь злоумышленнику.

Чтобы убрать вывод этого сообщения, необходимо открыть файл functions.php, расположенный в папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_WordPress) и добавить такой код:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));

13. Удалите readme.html и license.txt.

Файлы readme.html и license.txt присутствуют в корневой папке любой установки WordPress. Вам эти файлы ни к чему, а хакерам они могут облечить их злодеяния. Например, чтобы выяснить текущую версию вашего WordPress и много чего другого полезного для взлома веб-сайта. Рекомендуем удалить их сразу же после установки WordPress.

14. Используйте SSL-сертификат.

Для передачи защищенной информации и конфиденциальности обмена данными, рекомендуем использовать SSL-протокол. Особенно это актуально для интернет-магазинов, если вы не хотите, чтобы личные данные о ваших клиентах передавалась незащищенным путем.

Прежде всего вам необходимо будет приобрести SSL-сертификат и установить его для вашего доменного имени.

После этого вы сможете установить обязательное использование SSL-протокола при входе в панель управления вашим сайтом. Для этого откройте wp-config.php файл, расположенный в корневой папке вашего веб-сайта, и добавьте следующую строку:
define(‘FORCE_SSL_ADMIN’, true);

15. Измените файл wp-config.php.

Добавив такой код в wp-config.php файл, вы так же сможете укрепить защиту вашего веб-сайта:

Ограничение на изменения темы и плагинов:
define( ‘DISALLOW_FILE_EDIT’, true );

Отключение возможности установки и удаления плагинов:
define( ‘DISALLOW_FILE_MODS’, true );

Добавление salt-ключей или так называемых ключей безопасности: сначала необходимо будет найти такие строки в wp-config.php файле:

Вы увидите, что ключи уже установлены и их можно поменять. Либо вы увидите строки такого типа: ‘put your unique phrase here’, что говорит о том, что ключи пока не установлены:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the <@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service>
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

Просто перейдите по ссылке api.wordpress.org/secret-key/1.1/salt/, где будут сгенерированны новые ключи. Скопируйте их и вставьте в wp-config.php файл.

Такие salt-ключи используются для усиления защищенности информации, хранящейся в cookie пользователей. Они усложняют процесс взлома пользовательских паролей.

16. Используйте двухфакторную аутентификацию учетных записей.

Для усиления безопасности ваших паролей все чаще используется метод нескольких видов аутентификации. После того, как вы вводите пароль на сайте, вам высылается запрос на новый одноразовый пароль, который вы получаете на контактный номер телефона или электронную почту (возможен переход по определенной ссылке из письма). Поэтому даже если ваш основной пароль был взломан, хакеру не удастся войти в аккаунт без доступа к вашему телефону или электронной почте.

Одни из самых популярных плагинов двухфакторной верификации WordPress – это Google Authenticator и Clef Two-Factor Authentication.

17. Используйте плагины, обеспечивающие безопасность.

Помимо всех перечисленных способов обезопасить свой веб-сайт, существует так же большое количество специальных плагинов, разработанных для WordPress. Вы можете найти их здесь: wordpress.org/plugins/tags/security

О некоторых плагинах хочется упомянуть отдельно:

Это плагин безопасности WordPress, который позволяет сканировать ваш веб-сайт с целью поисков вредоносного кода, брешей и лазеек, оставленных хакерами, показывая аналитику сайта и трафика в реальном времени. Также существует возможность настройки автоматического сканирования и многое другое.

Этот плагин проверяет ваш веб-сайт на различные уязвимости в безопасности и предлагает ряд методов по их устранению. Например, пароли, разные права доступа к файлам, защита баз данных, защита информации о версии WordPress, защита администратора и прочее.

Этот плагин позволяет обезопасить пользовательские аккаунты и логины, базы данных и файловую систему, предотвратить брутфорс атаки (атаки, связанные с подбором пароля), сканировать сайт и прочее.

Также рекомендуем плагин для защиты админки на WordPress LoginLockDown, который защищает от подбора пароля и логина.

Как бы грустно это ни звучало, но защита WordPress — вещь сложная, и описанные в этой статье способы не гарантируют на 100%, что ваш сайт будет полностью защищен от каких-либо действий мошенников. Однако, пренебрегать ими не стоит, так как они значительно уменьшат возможность взлома сайта злоумышленниками.

Читайте также другие статьи по теме WordPress:

5 основных советов для обеспечения безопасности сайтов на WordPress

Главное меню » Блог-платформа wordpress » 5 основных советов для обеспечения безопасности сайтов на WordPress

WordPress на сегодняшний день является самой популярной блог-платформы.

Б удучи популярным, в системе есть своими сильные и слабые стороны. Сам факт того, что почти каждый использует его, делает его более склонным к атакам. Разработчики WordPress делают большую работу по фиксации и латание дыр, когда обнаруживаются новые недостатки, но это не значит, что вы можете просто установить и забыть.

В этом посте, мы расскажем вам некоторые из наиболее распространенных способов защиты сайта на WordPress.

Всегда используйте SSL при входе в админку в WordPress

Само собой разумеется, что вы всегда должны реализовать SSL, если вы собираетесь сделать что – нибудь больше, чем просто случайный блог. Вход в систему на ваш сайт, не используя шифрованное соединение выставляет свое имя пользователя и пароль открытым текстом. Любой на данный момент может открыть свой пароль. Это особенно актуально, если вы занимаетесь серфингом через Wi-Fi или если вы подключены к общественной точке доступа, то есть вероятность того, что вы будете взломаны. Прочитайте статью о том как получить сертификат доверенного SSL от Let’s Encrypt.

Будьте разборчивы в дополнительных плагинах

Разработанный сторонними разработчиками плагин по качеству и безопасности всегда под вопросом и зависит исключительно от опыта его разработчика. При установке каких-либо дополнительных плагинов следует тщательно выбирать плагин и принимать во внимание его популярность, а также как часто плагин поддерживается. Плохо обслуживаемые плагины следует избегать, поскольку они более склонны к ошибкам и уязвимостям, которые могут быть легко взломаны.

Эта тема также как дополнение к предыдущей теме о SSL, так как многие плагины неправильно разработаны в той степени, что они содержат скрипты, которые могут явно запросить небезопасные соединения (HTTP). Кажется, все хорошо до тех пор, пока ваш сайт станет доступен через HTTP. Однако, как только вы решили реализовать шифрование и принудительный доступ SSL, который может привести к немедленной поломки сайта, потому что сценарии в плагинах будет продолжать выполнять свои запросы через HTTP, тогда как остальная часть вашего сайта доступна через HTTPS.

Установить Wordfence

Будучи разработанной Feedjit Inc., Wordfence является самым популярным плагином безопасности WordPress сегодня, и нужно обязательно иметь для каждого серьезного сайта WordPress, особенно для тех , которые используют WooCommerce или другую платформу электронной коммерции в WordPress. Wordfence это не просто плагин, он скорее предлагает набор функций безопасности, которые позволят укрепить ваш сайт. Он имеет брандмауэр веб-приложений, сканер вредоносных программ, живой анализатор трафика и множество дополнительных инструментов, которые могут улучшить безопасность вашего сайта. Брандмауэр блокирует вредоносные попытки входа в систему по умолчанию, и даже может быть настроен, чтобы блокировать целые страны по их диапазонам IP – адресов. Что нам действительно нравится в Wordfence, что даже если ваш сайт находится под угрозой по какой – то причине т.е. с вредоносных скриптов, Wordfence может найти после сканирования и очистить ваш сайт от зараженных файлов.

Компания предлагает платные и бесплатные планы подписки для плагина, но даже со свободным планом, ваш сайт будет обеспечен на удовлетворительном уровне.

Изоляция /wp-admin и /wp-login.php с дополнительным паролем

Еще один шаг к защите вашей WordPress бэкэнда, это дополнительно защитить паролем другие каталоги (чтение URL – адресов), которые не предназначены для использования кем – либо еще , кроме вас. Каталог /wp-admin в этом списке один из критических каталогов. Если вы не позволяете WordPress вход для обычных пользователей, вы должны ограничить файл wp.login.php с дополнительным паролем. Используете ли вы Apache или Nginx, вы можете посетить эти две статьи, чтобы узнать, как дополнительно защитить установку WordPress.

Отключить перебор пользователей

Это довольно простой способ для злоумышленника, обнаружить действительные имена пользователей на вашем сайте, (читайте, чтобы узнать имя пользователя администратора). Итак, как это работает? Это просто. На любом сайте WordPress укажите /?author=1 после основного URL. Примером может быть: andreyex.ru/?author=1

Для того, чтобы защитить ваш сайт от этого, просто установите плагин Disable XML-RPC.

Отключите XML-RPC

RPC расшифровывается как удаленных вызовов процедур, это протокол, который одна программа может использовать, чтобы запросить услугу от программы, расположенной на другом компьютере в сети. С точки зрения WordPress, XML-RPC позволяет размещать на своем блоге WordPress с использованием популярных клиентов веб-блогов как Windows Live Writer, но он также необходим, если вы используете WordPress как мобильное приложение. XML-RPC был отключен в более ранних версиях, но в WordPress версии 3.5 она включена по умолчанию, что позволяет провести атаки на ваш сайт. Хотя различные исследователи в области безопасности советуют, что если вы не собираетесь использовать клиенты веб-блогов или WP Mobile App, вы должны отключить службу XML-RPC.

Есть несколько способов сделать это , и самое простое было бы просто установить плагин Disable XML-RPC.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Безопасность сайта — полное руководство по безопасности вашего сайта

Безопасность и защита сайта — самый важный момент при создании сайта. Эксперты прогнозировали, что в 2020 году бизнес-сайты станут жертвами вымогателей со скоростью одного сайта каждые 14 секунд. В 2020 году ущерб сайтам, атакованным киберпреступниками, превысил 5 миллиардов долларов. Каждый год эти атаки увеличиваются в размерах, и, прежде чем вы узнаете о них, Ваш сайт уже может быть атакован.

WordPress, также является самой популярной системой управления контентом (CMS) и поддерживает более 40% веб-сайтов. Однако, по мере роста, хакеры обратили внимание и начинают специально ориентироваться на сайты WordPress. Неважно, какие типы контента предоставляет ваш сайт, вы не исключение.

Если вы не примете определенные меры предосторожности, вас могут взломать. Как и все, что связано с технологиями, вам нужно проверить безопасность своего сайта. Я думаю, что каждый из Вас усердно работал над своим сайтом (и своим брендом), именно поэтому важно не торопиться, чтобы защитить его с помощью этих основных советов по защите от хакеров!

Содержание статьи:

Почему нужно держать свой сайт в безопасности

Каждый сайт потенциально уязвим для атак. Поэтому Вы должны держать свои сайт в безопасности. Незащищенный сайт может быть взломан. Данные ваших клиентов могут быть украдены. Это может привести к потере дохода, дорогостоящему ремонту веб-сайта и многим другим проблемам.

Вы можете защитить свой сайт от хакеров. Я начну с нескольких основных описаний типов атак, с которыми вы можете столкнуться. Далее следуют одиннадцать советов по защите вашего сайта.

Потенциальные веб-атаки — фишинг и прочие

Атаки могут быть разные, давайте рассмотрим некоторые из них. Самые распространенные:

Фишинговые атаки используются, чтобы заставить людей выдавать свои личные данные, такие как номер социального страхования или пин-код банковского счета. Эти атаки нацелены на широкую аудиторию в надежде обмануть как можно больше людей. Как правило, фишинг осуществляется по электронной почте.

Например, хакер отправляет электронное письмо, которое выглядит так, как будто оно пришло из банка, в результате чего получатель нажимает на ссылку. По этой ссылке человек попадает на стандартный банковский сайт. Но это сайт, создан только для того, чтобы выглядеть как настоящий. Тот, кто попадает на одну из этих уловок и заполняет форму на этом сайте, полностью отдает свою информацию злоумышленнику.

Spear-фишинг похож, но он нацелен на одного конкретного человека, а не на много людей в целом. Хакеры выбирают конкретную цель, а затем пытаются заставить их выдать свою конфиденциальную информацию.

Китобойный промысел (whaling phishing — «китобойная атака») похож на фишинг. Только в этом случае критический руководитель, компании под прицелом. Этот человек называется «кит» из-за его влияния и власти. Хакеры пытаются заманить китов, надеясь получить доступ к веб-сайтам компании и банковским счетам на высоком уровне.

Серверные вымогателей

Ransomware поражает всех, от среднего юзера до тех, кто управляет веб-сайтами. Эти атаки состоят в том, что хакер берет на себя управление пк и отказывает пользователю в доступе даже к самым простым командам. Серверный вымогатель работает аналогично, за исключением того, что хакер получает контроль над сервером веб-сайта. Доступ к каждому веб-сайту на этом сервере теряется до тех пор, пока хакеры не будут переопределены или не будут выполнены их требования.

IoT Уязвимости

IOT означает Интернет вещи. Термин относится к большому количеству устройств, которые подключаются к Интернету, таких как смартфоны и планшеты, которые подключаются к Интернету и имеют доступ к сайтам.

Основными уязвимостями IoT являются проблемы конфиденциальности, ненадежные мобильные интерфейсы и недостаточная безопасность мобильных устройств. Все это происходит от веб-сайтов, на которых не установлены правильные меры защиты, или сайтов, которые не оптимизированы для мобильных устройств.

Хакеры могут воспользоваться этими проблемами и использовать их для получения доступа к вашему веб-сайту.
Обеспечение безопасности вашего сайта и защита от взлома может быть достигнуто за 11 простых шагов.

1. Используйте безопасные пароли для доступа к сайту

На хорошем сайте, защита начинается с безопасного пароля. Серверная часть (сторона разработчика) каждого веб-сайта защищена паролем. Хоть и заманчиво использовать легко запоминающийся пароль, все же этого делать не стоит. Вместо этого создайте чрезвычайно сложным для всех, кроме вас пароль, чтобы Вы могли его запомнить.

Пароли являются очень важной частью безопасности сайта и, к сожалению, часто упускаются из виду. Если вы используете простой пароль, например, «1246895128, rty987, пароль», вам нужно немедленно изменить его. Хоть этот пароль может быть и легко запомнить, его также очень легко угадать. Опытный юзер может легко взломать ваш пароль и войти без особых проблем.

Важно, чтобы вы использовали сложный пароль или, что еще лучше, пароль, который генерируется автоматически с различными числами, бессмысленными комбинациями букв и специальными символами, такими как% или ^.

2. Будьте внимательны при открытии писем

Многие фишинговые атаки появляются в электронных письмах. Хакеры также рассылают вирусы по электронной почте. Каждый из ваших сотрудников (включая вас) должен соблюдать осторожность при открытии электронных писем от людей, которых вы не знаете, особенно если в этих письмах есть вложения. Хакер может поставить под угрозу безопасность сайта с помощью вируса, нанося ущерб вашему сайту.

Даже вложения в письме, которые отсканированы и объявлены «чистыми», могут содержать вредоносные вирусы. Научите своих сотрудников соблюдать меры безопасности при открытии электронных писем с вложениями.

3. Установите свежие обновления программного обеспечения

Производители поддерживают операционные системы и программное обеспечение в рабочем состоянии с регулярными обновлениями. Может быть заманчиво отключить эти обновления, чтобы сэкономить время. В конце концов, многие из них требуют полного перезапуска системы и некоторого времени установки, что снижает производительность.

Это опасная практика, поскольку эти обновления содержат важные новые исправления безопасности. Вам необходимо устанавливать их, поскольку они доступны для того, чтобы обеспечить безопасность всей вашей системы.

4. Используйте безопасный хостинг сайта

Ваш веб-хостинг играет жизненно важную роль в обеспечении безопасности каждого веб-сайта под их юрисдикцией. Выберайте свой с умом. Прежде чем строить или перемещать свой сайт на хост, спросите их об их платформе безопасности. Лучшие хосты работают или нанимают экспертов в области интернет-безопасности. Они понимают важность того, что сайты их клиентов не подвержены атакам.

Убедитесь, что они включают опцию резервного копирования. Вы можете потерять ценную информацию из-за хакера. Легче восстановить ваш сайт из резервной копии, чем с нуля. Также должны быть доступны управляемые параметры, такие как Безопасность, как услуга (Saas).

5. SSL-сертификат защищает информацию

Буквы в «https» означают «Безопасный протокол передачи гипертекста». Любая веб-страница, которая использует этот протокол, является безопасной. Эти страницы существуют на определенном сервере и защищены. Любая страница, которая содержит логин или запрашивает платежную информацию, должна находиться в этой защищенной системе. При этом можно настроить весь ваш сайт, используя https.

Мастер Йода рекомендует:  300 000 долларов за взлом Telegram

6. Безопасные разрешения для папок

Веб-сайты состоят из папок и файлов, которые содержат важную информацию, необходимую для правильной работы вашего сайта. Все они живут на вашем веб-сервере. Без правильной защиты конфиденциальности и мер безопасности, любой человек с нужными навыками может получить доступ к этой информации и просмотреть ее.

Отключите такой доступ, назначив разрешения безопасности для этих файлов и папок. Зайдите в файловый менеджер вашего сайта и измените атрибуты файлов.

В разделе «числовые значения» установите разрешения для этих параметров:

  1. 644 для отдельных файлов;
  2. 755 для файлов и каталогов;

7. Запустите регулярные проверки безопасности сайта

Хорошая проверка безопасности может выявить любые проблемы с вашим сайтом. Используйте сервис веб-мониторинга для автоматизации этого процесса. Вам необходимо запускать тестирование вашего сайта каждую неделю (как минимум). У служб мониторинга есть программы, которые делают это легко.

Как только вы получите отчет, обратите пристальное внимание на результаты. Это все уязвимости на вашем сайте. Отчет должен содержать подробную информацию о них. Это может даже классифицировать их в соответствии с уровнем угрозы. Начните с самых вредных, а затем исправьте все остальные проблемы.

8. Обновите веб-сайт платформы и скрипты

Я уже рассматривал важность обновления программного обеспечения вашего пк. То же самое относится и к вашей платформе веб-хостинга, и к вашим плагинам и скриптам, таким как Javascript.

Если вы используете WordPress, убедитесь, что вы используете самую последнюю версию. Если это не так, обновите ее, нажав на кнопку в левой верхней части экрана. Крайне важно поддерживать актуальность сайта WordPress, чтобы избежать возможных угроз.

Для людей, которые не используют WordPress, проверьте панель инструментов ваших веб-хостов на наличие обновлений. Многие из них сообщат вам, какую версию своего программного обеспечения вы используете, и сообщат вам о любых исправлениях безопасности.

Вы также должны проверять свои плагины и инструменты. Большинство плагинов WordPress создаются сторонними компаниями (или частными лицами). Хоть они и безопасны, по большей части вы полагаетесь на третьи стороны для поддержания их параметров безопасности в актуальном состоянии. Выделите время для проверки обновлений плагинов, по крайней мере, один раз в неделю, и следите за всем, что может показаться странным, например, плагином, который перестает работать правильно. Это может быть признаком того, что он скомпрометирован.

9. Установите плагины безопасности

Тут есть несколько вариантов, в зависимости от того, какой тип сайта вы используете. Для тех, кто основан на WordPress, есть специальные плагины безопасности WordPress, которые обеспечивают дополнительную защиту. Если ваш сайт не на WordPress, то защитите его с помощью такой программы, как SiteLock. Плагины безопасности предотвращают проникновение хакеров на ваш сайт. Даже самые современные хостинговые платформы имеют некоторую уязвимость. Эти плагины гарантируют, что никто не сможет ими воспользоваться.

SiteLock постоянно отслеживает ваш сайт на наличие вредоносных программ и вирусов. Он также закрывает эти уязвимые лазейки, таким образом предоставляя дополнительные обновления безопасности.

10. Остерегайтесь атак XSS

XSS — это межсайтовый скриптинг. Атака XSS — это когда хакер вставляет вредоносный код на ваш сайт, который может изменить свою информацию или даже украсть информацию о пользователе. Как они входят? Это так же просто, как добавить код в комментарии блога.

Следует предотвращать атаки XSS, вставив заголовок CSP в код своего сайта. CSP обозначает Политику безопасности контента. Он ограничивает количество Javascript на вашем сайте, не позволяя запускать иностранные и потенциально зараженные сценарии. Установите их так, чтобы работал только Javascript, добавленный на страницу вами или вашим веб-разработчиком.

11. Остерегайтесь SQL-инъекций

SQL — это язык структурированных запросов. Это тип кода, который управляет и позволяет людям искать информацию в базах данных.

Этот код может удалить информацию и затруднить поиск на веб-сайте. Хакеры получают доступ через параметры URL и поля веб-форм и наносят ущерб. Для того чтобы этого не происходило, вам следует настроить параметризованные запросы и обязательно создать безопасные формы.

Безопасность для обладателей сайта на WordPress


Безопасность WordPress является одной из важнейших частей веб-сайта. Если вы не поддерживаете безопасность WordPress, хакеры могут легко атаковать ваш сайт. Поддержание безопасности вашего сайта не сложно и может быть сделано без затрат за копейки. Некоторые из этих решений предназначены для опытных пользователей, но если у вас есть какие-либо вопросы, пишите в личку, подскажу.

Скройте файлы wp-config.php и .htaccess

Несмотря на то, что это сложный процесс повышения безопасности вашего сайта, если вы серьезно относитесь к своей безопасности, рекомендуется скрыть файлы .htaccess и wp-config.php вашего сайта, чтобы хакеры не получили к ним доступ.

Мы настоятельно рекомендуем, чтобы эта опция была реализована опытными разработчиками, так как необходимо сначала сделать резервную копию вашего сайта, а затем действовать с осторожностью. Любая ошибка может сделать ваш сайт недоступным.

Чтобы скрыть файлы, после резервного копирования необходимо сделать две вещи: во-
первых, перейдите в файл wp-config.php и добавьте следующий код:

Хотя сам процесс очень прост, важно убедиться, что у вас есть резервная копия перед началом, на случай, если что-то пойдет не так в процессе.

Важно ограничить попытки входа в админку

По умолчанию WordPress позволяет пользователям пытаться войти в систему столько раз, сколько они захотят. Хотя это может помочь, если вы часто забываете, какие буквы являются заглавными, это также открывает вам возможности для атаки методом грубой силы.
Ограничивая количество попыток входа в систему, пользователи могут ограниченное количество попыток, пока они не будут временно заблокированы. Ограничивает ваши шансы на попытку грубой силы, поскольку хакер блокируется, прежде чем он сможет закончить свою атаку.

Вы можете легко включить ее с помощью плагина безопасности для WordPress.

Измените свой URL для входа в WP — другой адрес админки

По умолчанию для входа в WordPress используется адрес «yoursite.com/wp-admin». Оставив его по умолчанию, вы можете стать целью атаки методом перебора, чтобы взломать вашу комбинацию имени пользователя и пароля. Если вы принимаете пользователей для регистрации подписки, вы также можете получить много спам-регистраций. Чтобы предотвратить это, вы можете изменить URL-адрес для входа администратора или добавить секретный вопрос на страницу регистрации и входа.

Совет для профессионалов: Вы можете дополнительно защитить свою страницу входа, добавив плагин для двухфакторной аутентификации в свой WordPress. Когда вы пытаетесь войти в систему, вам потребуется дополнительная аутентификация, чтобы получить доступ к вашему сайту — например, это может быть ваш пароль и электронная почта (или текст). Это расширенная функция безопасности, предотвращающая доступ хакеров к вашему сайту.

Не используйте Nulled Themes для своего сайта

Темы WordPress Premium выглядят более профессионально и имеют больше настраиваемых параметров, чем бесплатная тема. Можно быть уверенным, что вы получаете то, за что платите. Премиум-темы написаны высококвалифицированными разработчиками и протестированы для прохождения нескольких проверок WordPress прямо из коробки. Нет никаких ограничений в настройке вашей темы, и вы получите полную поддержку, если что-то пойдет не так на вашем сайте. Больше всего вы будете получать регулярные обновления темы.

Но есть несколько сайтов, которые предоставляют обнуленные или взломанные темы. Обнуляемая или взломанная тема — это взломанная версия премиум-темы, доступная незаконным путем. Они также очень опасны для вашего сайта. Эти темы содержат скрытые вредоносные коды, которые могут уничтожить ваш сайт и базу данных. Более того, зарегистрировать ваши учетные данные администратора. Всегда избегайте обнуленные темы.

Отключите редактирование файлов

Когда вы настраиваете свой сайт WordPress, на панели инструментов есть функция редактора кода, которая позволяет редактировать тему и плагин. Доступ к нему можно получить, зайдя в Внешний вид> Редактор. Другой способ найти редактор плагинов — перейти в меню «Плагины»> «Редактор».

Как только ваш сайт заработает, мы рекомендуем отключить эту функцию. Если какие-либо хакеры получат доступ к вашей панели администратора WordPress, они могут внедрить тонкий, вредоносный код в вашу тему и плагин. Часто код бывает настолько тонким, что вы можете не заметить ничего плохого, пока не станет слишком поздно.
Чтобы отключить возможность редактирования плагинов и файла темы, просто вставьте следующий код в файл wp-config.php .

Установите плагин безопасности WordPress на свой сайт

Требуется много времени для регулярной проверки безопасности вашего сайта на наличие вредоносных программ, и если вы не будете регулярно обновлять свои знания о методах кодирования, вы можете даже не осознавать, что смотрите на вредоносную программу, записанную в коде. К счастью, разработчики поняли, что не все вебмастера являются разработчиками, и выпустили плагины безопасности WordPress, чтобы помочь.

Плагин безопасности заботится о безопасности вашего сайта, сканирует на наличие вредоносных программ и контролирует ваш сайт 24/7, чтобы регулярно проверять, что происходит на вашем сайте.

В заключение

Теперь вы знаете, как защитить сайт от хакеров! Надеюсь, теперь вы понимаете важность создания безопасного сайта. Я думаю, что теперь вы понимаете эти одиннадцать необходимых шагов, которые помогут Вам, не дать хакерам получить доступ к его коду и элементам.

К примеру, если Вы оставляете сайт уязвимым для хакеров. В этом случае, они могут просто разрушить ваши средства к существованию, в особенности если вы занимаетесь веб-бизнесом. Все, что требуется, — это один шаг, и собранная годами информация о клиентах, может быть скомпрометирована. Это делает вашу компанию низко-авторитетной и вызывает негативное внимание. Вы потеряете клиентов, многие из которых могут не вернуться. Не позволяйте этому сценарию случиться. Вместо этого берите упор на безопасности сайта, используя советы, представленные в этой статье.

28 полезных советов как обезопасить WordPress без плагинов

Давненько я не писал в эту рубрику. Но сегодня исправляю этот промах.

Безопасность WordPress – это как безопасность вашего дома или квартиры.

Когда вы выходите из дома, вы закрываете двери и закрываете окна, верно? Почему бы вам не сделать то же самое для вашего сайта?

В конце концов – так же, как и ваше место жительства, оно также представляет собой значительную инвестицию во время, усилия и часто в деньги. Ваше присутствие в интернете, скорее всего, напрямую связано с получением средств к существованию. Это будет либо прямой источник дохода (например, интернет-магазин), либо реклама ваших услуг для остального мира.

По этой причине в этой статье я хочу глубоко погрузиться в то, как обеспечить безопасность вашего сайта WordPress. Первая часть этого поста расскажет о рисках, связанных с работой сайта. Вторая часть будет о том, как повысить безопасность WordPress, чтобы ваш сайт не был взломан.

Это очень подробный (и, следовательно, длинный) пост. Так что возьмите себе кофе и начнем!

Как веб-сайты WordPress подвергаются риску?

Чтобы использовать упреждающий подход, сначала нужно узнать, как сайты взламываются. Только когда вы знаете слабые места, вы можете принять меры для их защиты.

Исследование еще 2012 года показало следующие основные направления успешных попыток взлома:

  • 41% пришел через уязвимость в платформе хостинга
  • 29% через уязвимость темы WordPress
  • 22% были охвачены проблемами безопасности плагинов WordPress
  • 8% взлома были через слабую защищенность для входа

Знание этого дает нам глубокое понимание того, как повысить безопасность WordPress. В этой статье вы узнаете, как защитить себя от взлома вашего сайта всеми способами, упомянутыми выше.

28 советов, как защитить свой WordPress

Принятие основных мер безопасности может пройти долгий путь, чтобы защитить себя от большинства атак. Люди, которые атакуют веб-сайты, не любят много работать. По этой причине решение наиболее распространенных проблем позаботится о значительной части попыток взлома.

1. Держите ваш компьютер в безопасности

Безопасность вашего сайта начинается с того компьютера, который вы используете для его обслуживания. Если ваш компьютер скомпрометирован, он может легко распространиться на ваше присутствие в интернете. Следовательно, важно соблюдать основные правила безопасности.

  • Установите на компьютер сканер вирусов и вредоносных программ и регулярно запускайте сканирование.
  • Настройте брандмауэр компьютера. Загрузите один или используйте тот, который поставляется с вашей операционной системой.
  • Не входите на свой сайт WordPress через общедоступный Wi-Fi или незащищенное соединение. Если вы это сделаете, ваши учетные данные могут быть отслежены. Кроме того, будьте осторожны, чтобы никто не увидел ваш экран при входе в систему.
  • При доступе к серверу используйте SFTP (защищенный протокол передачи файлов) вместо незащищенного FTP, чтобы предотвратить мониторинг соединения.

2. Используйте хорошую хостинговую компанию

Другой основной мерой является выбор качественного хоста. Как видно выше, большинство успешных атак происходит с платформы хостинга. Это ваша первая линия обороны, и вы бы неплохо пошли на ту, которая серьезно относится к безопасности.

Как вы найдете один из них?

Один из способов – прочитать статью о лучшем хостинге WordPress на этом сайте. Кроме того, ищите хост, который:

  • поддерживает последние версии основных веб-технологий, таких как PHP и MySQL
  • предлагает хостинг, оптимизированный для WordPress
  • имеет брандмауэр, который также ориентирован на WordPress
  • предлагает сканирование вредоносных программ и обнаружение вторжений
  • кроме того, поставляется с CDN, который может рассортировать атаки и спам до того, как они попадут на ваш сайт.

Стоит также уделить время чтению о различных типах хостинга, чтобы вы лучше поняли, во что вы ввязываетесь.

3. Измените префикс таблицы WordPress во время установки

Помимо размещения вашего сайта на качественном хосте, во время установки вы также можете сделать несколько вещей, чтобы сделать WordPress более безопасным. Одним из них является установка пользовательского префикса таблицы.

Если вы загляните в базу данных WordPress стандартной установки, вы увидите, что все таблицы начинаются с wp_.

Сохранение этого делает ваш сайт более уязвимым для SQL-инъекций. Это потому, что для такого рода атак хакерам необходимо знать префикс таблицы. Конечно, стандартная настройка WordPress общеизвестна.

Простой способ повысить безопасность WordPress – превратить его в нечто случайное 8uh7zgokm_. Вы можете сделать это во время установки или, если у вас уже есть веб-сайт, изменив настройки ниже в файле wp-config.php.

Если вы не знаете, вы можете найти этот файл в корневом каталоге вашей установки WordPress. Я расскажу об этом подробнее ниже. Если вы нашли правильную строку, измените ее на свой собственный префикс, например:

После этого вам все равно придется обновить префикс внутри вашей базы данных. Один из самых простых способов сделать это через плагин безопасности, такой как iThemes Security.

4. Перейти на качественные темы и плагины

Следующими в очереди по наиболее распространенным направлениям атаки являются темы и плагины. Вместе они составили более половины всех взломанных сайтов. Вот как устранить их в качестве шлюзов для хакеров:

  • Имейте только то, что вам нужно. Наличие десятков плагинов, активных на вашем сайте, не только снижает производительность вашего сайта, но и делает его менее безопасным. Чем больше компонентов, тем выше риск. Поэтому регулярно проверяйте, можете ли вы деактивировать и удалять плагины и темы.
  • Ищите хорошо поддерживаемые плагины и темы. Если тема или плагин долгое время не обновлялись, высока вероятность того, что в них есть непропатченные дыры в безопасности или просто какой-то плохой код, который делает ваш сайт более уязвимым. По этой причине обратите внимание на уровень поддержки перед установкой.

Кроме того, крайне важно, чтобы вы не скачивали из неизвестных источников. Не все из них имеют в виду ваши интересы.

В лучшем случае вы получаете плохо запрограммированный плагин или тему, которая делает ваш сайт небезопасным. В худшем случае создатель намеренно включил вредоносный код для компрометации вашего сайта. Это особенно верно, если вы загружаете премиум-плагины “бесплатно”. Поэтому лучше придерживаться качественных источников, таких как каталог WordPress и проверенные поставщики.

5. Держите WordPress и его компоненты в актуальном состоянии

Новые версии WordPress не только приносят новые функции и улучшения, но и устраняют дыры в безопасности, выявленные на предыдущих итерациях. Это особенно верно для незначительных обновлений (которые вы можете определить по третьей цифре в их номере версии, например 5.1.1). Они выходят специально для этой цели.

Следовательно, крайне важно, чтобы вы применяли новые версии на своем сайте как можно скорее.

Незначительные обновления WordPress 5.0 применяются автоматически. Это было добавлено, чтобы обеспечить актуальность веб-сайтов с точки зрения безопасности. Тем не менее, основные обновления по-прежнему под вашей ответственностью. Создайте резервную копию и обновите свой сайт, как только увидите предупреждение на своем сервере. Сделайте то же самое для тем и плагинов.

Обратите внимание, что WordPress может автоматически применять основные обновления, а также обновления для плагинов и тем. Мы поговорим об этом ниже. Однако риск того, что что-то пойдет не так без вашего ведома, слишком велик. Поэтому, настоятельно не рекомендуется.

6. Предоставляйте доступ только тем, кому доверяете

Первый способ – предоставить доступ к сайту только тем людям, которые, как вы уверены, не будут использовать его в плохих целях. Любой, кому абсолютно не нужен доступ, не должен быть там.

Даже с теми, кого вы считаете заслуживающими доверия, важно предоставить им только те роли и возможности, которые им абсолютно необходимы. Таким образом, вероятность несчастных случаев (или умышленно плохих действий) значительно уменьшается.

Кстати, такое же усмотрение следует применять для доступа к вашей учетной записи хостинга, FTP-серверу и другой конфиденциальной информации.

7. Усильте свою регистрационную информацию

Самый простой способ повысить безопасность WordPress – использовать безопасную информацию для входа. Это долгий путь, чтобы предотвратить атаки методом “перебора паролей”, когда хакеры автоматически пробуют сотни различных комбинаций имени пользователя и пароля с помощью сценария, пока один из них не сработает.

Только WordFence зарегистрировал около 35 миллионов таких атак в июле 2020 года за день! И это только на сайтах, где работает их плагин.

Как следствие, лучше всего учитывать эти лучшие практики:

  • Не используйте имя пользователя “admin” – в более ранних версиях WordPress admin было именем пользователя по умолчанию для администратора. Хакеры нашли это легкой целью, поэтому она была изменена. Однако некоторые люди все еще создают это имя пользователя вручную. Не надо! Это одна из первых вещей, которую проверит любой хакер.
  • Создайте отдельную учетную запись для публикации. На заметку о том, что ваше имя пользователя должно храниться в секрете, рекомендуется создать отдельные учетные записи для администрирования и публикации контента. Если вы публикуете статьи под своей учетной записью администратора, имя пользователя будет отображаться в URL архива автора. Кроме того, наличие отдельных учетных записей для контента и администрирования также снижает вероятность несчастных случаев.
  • Выберите надежный пароль – WordPress предложит надежный пароль во время установки и всякий раз, когда вы захотите изменить его. Хотя вы, возможно, захотите пойти на что-то, что вы помните, обязательно обратите пристальное внимание на индикатор. Вы также можете использовать такой сервис, как Online Password Generator, чтобы создать его для вас.

Вы также можете использовать службу для защиты всех своих паролей, например, LastPass. Кроме того, если на вашем сайте есть другие люди с высоким уровнем разрешений, вы можете также заставить их использовать правильную информацию для входа в систему. Вместо того, чтобы просить их по электронной почте, делайте это с помощью Force Strong Passwords. На всякий случай, если вам нужно изменить имя администратора, следуйте этим инструкциям.

8. Измените сообщения об ошибках входа

По умолчанию, если кто-то пытается войти на ваш сайт с неверными учетными данными, WordPress сообщит ему, связана ли проблема с его именем пользователя или паролем.

Это определенно слишком много информации, поскольку она отдает половину того, что кому-то нужно, чтобы проникнуть на ваш сайт. Чтобы изменить его, используйте этот фрагмент кода в файле functions.php чтобы изменить сообщение.

Измените “Это было не совсем правильно …” на все, что вы хотите передать. Просто, но эффективно.

9. Ограничить попытки входа

Надежная информация для входа – это только одна часть уравнения. Если у вас будет достаточно времени и попыток, кто-нибудь все же сможет это сделать.

Поэтому рекомендуется повысить уровень безопасности, ограничив количество попыток. Плагины, такие как WP Limit Login Attempts, позволяют установить, как часто данный IP-адрес может отказать при входе в систему до того, как он будет временно или навсегда запрещен на вашем сайте.

10. Реализовать двухфакторную аутентификацию

Двухфакторная аутентификация означает не что иное, как создание дополнительного шага для входа людей на ваш сайт. Это может быть что-то вроде необходимости ввести код с мобильного телефона. Он блокирует автоматические атаки.

Вот некоторые плагины, которые позволяют вам реализовать двухфакторную аутентификацию:

11. Скрыть страницу входа

Еще один способ сохранить страницу входа в WordPress – это скрыть ее. Как известно всем, кто работал с WordPress, вы обычно обращаетесь к нему через “yourdomain.ru/wp-admin” или “yourdomain.ru/wp-login.php”.

Перемещение его на другой адрес означает, что автоматизированные сценарии будут нацелены не на то место. Многие из приведенных выше плагинов безопасности могут сделать это для вас. В дополнение к этому, Cerber Security & Antispam и WP Hide & Security Enhancer также имеют такую возможность. Вы также можете сделать это самостоятельно, используя код, описанный здесь.

12. Настройте SSL и HTTPS

Использование шифрования SSL предотвратит захват конфиденциальной информации. Если у вас есть интернет-магазин или другие вещи, которые необходимо защитить, это обязательно нужно иметь.

Однако шифрование также защищает ваши данные для входа и становится все более обязательным.

13. Автоматически обновляйте ваш сайт

Я говорил об автоматических обновлениях ранее. Помимо обновлений для минорных версий, вы также можете активировать ту же функцию для крупных обновлений, плагинов и тем. Это работает путем добавления следующих строк в wp-config.php:

Тем не менее, я должен еще раз предупредить вас, что риск взлома вашего сайта выше при использовании плагинов и крупных обновлений WordPress. По этой причине, может быть, лучше применить их вручную.

14. Добавить ключи безопасности

Ключи безопасности WordPress, также называемые “солями”, шифруют информацию, хранящуюся в файлах cookie браузера. Таким образом, они защищают пароли и другую конфиденциальную информацию. Сами ключи представляют собой фразы, используемые для рандомизации этой информации и хранящиеся внутри wp-config.php, в котором он говорит, что это:

Вы должны добавить их вручную (как видно из подсказки). К счастью, вам не нужно придумывать фразы самостоятельно. Вместо этого просто нажмите на генератор ключей и скопируйте и вставьте то, что вы там найдете. Это будет выглядеть примерно так:

15. Отключить редактор тем и плагинов

Чтобы внести изменения в ваш сайт, WordPress содержит внутренний редактор файлов тем и плагинов. Хотя это может быть полезно в некоторых ситуациях, это также очень рискованно.

Причина в том, что если кто-то получит доступ к бэк-энду вашего сайта, он может использовать редактор для удаления вашего сайта, даже не имея доступа к вашему серверу.

Чтобы избежать этого, отключите редактор, добавив следующую строку в ваш файл wp-config.php:

16. Отключите отчеты об ошибках PHP

Когда плагины или темы вызывают ошибку на вашем сайте, WordPress отобразит сообщение на вашем интерфейсе.

Это сообщение может содержать путь к проблемному файлу. Хакеры могут использовать эту информацию, чтобы лучше понять структуру вашего сервера и атаковать ваш сайт. Вот как это отключить внутри wp-config.php:

Если это не работает, это может быть связано с настройками хоста. В этом случае вам нужно поговорить с ними об отключении.

17. Защита важных файлов от доступа

.htaccess – еще один важный файл, который настраивает ваш сервер. Среди прочего, он содержит код, который позволяет использовать красивые постоянные ссылки в WordPress. Он также может устанавливать перенаправления и, как вы уже догадались, повысить безопасность WordPress.

Для последнего вам сначала нужно получить доступ к файлу, который находится в корневом каталоге вашего сервера и по умолчанию скрыт. Поэтому для его редактирования убедитесь, что ваш FTP-клиент отображает скрытые файлы ( “Сервер – Принудительно показывать скрытые файлы” в FileZilla). После этого примите следующие меры.

Приведенный ниже код запретит доступ к критическим файлам, таким как wp-config.php, php.ini, журналам ошибок и .htaccess.

При необходимости измените имя вашего файла php.ini (например, php5.ini или php7.ini). Обязательно размещайте код вне скобок #BEGIN WordPress и #END WordPress. Все внутри этого пространства может быть отредактировано WordPress и может привести к потере ваших изменений.

18. Ограничить доступ к файлам PHP

Кроме того, вы можете запретить другим пользователям получать доступ к файлам PHP и внедрять в них вредоносное ПО:

19. Предотвратите выполнение файлов PHP

Хакеры чаще всего загружают вредоносное ПО в папку “wp-content/uploads”. Чтобы предотвратить выполнение ими плохих кодов в случае взлома, используйте этот фрагмент кода:

20. Отключить инъекции скрипта

Пока вы это делаете, используйте этот фрагмент, чтобы посторонние не могли внедрить вредоносный код в ваши существующие файлы PHP:

21. Безопасный wp-includes

В этой папке wp-includes хранятся файлы ядра WordPress, в которые никто не должен вмешиваться. Чтобы убедиться, что этого не произойдет, используйте следующий код.

Не волнуйтесь, это не повлияет на вашу тему или файлы плагинов, так как они находятся в другом месте.

22. Ограничить доступ администратора к определенному IP-адресу

С .htaccess вы также можете ограничить доступ к вашей странице входа WordPress по IP-адресу. Только ты сможешь туда попасть. Для этого скопируйте и вставьте в него следующий код:

Не забудьте заменить примеры IP-адресов тем, к которому вы хотите предоставить доступ. Вы также можете добавить больше адресов, скопировав и вставив строку “Allow from…”. Все остальные попадут на страницу с ошибкой. Если вы не знаете свой IP, просто проверьте его здесь.

Имейте в виду, что для того, чтобы попасть в админ-панель WordPress с другого IP-адреса, вам нужно сначала изменить или добавить его в файл.

23. Блокировка определенных IP-адресов

Подобный метод доступен для блокировки IP-адресов, которые постоянно пытаются проникнуть на ваш сайт. Если вы заметили что-то подобное (например, из журналов вашего сервера), вы можете заблокировать их на своем сайте с помощью этого дополнения к .htaccess:

24. Запрет просмотра каталогов

По умолчанию любой может посмотреть на структуру каталогов любого сайта WordPress, просто указав полный путь к каталогам на панели браузера.

Хотя это не позволяет хакерам вносить изменения, знание структуры вашего сайта все равно поможет им. Поскольку вы хотите сделать их как можно более сложными, отключите просмотр каталогов внутри .htaccess.

25. Обратите внимание на права доступа к файлам

Использование правильных прав доступа к файлам на вашем сервере – это способ предотвратить изменение ваших файлов неуполномоченными лицами.

Как вы можете изменить права доступа к файлам?

С FileZilla это так же просто, как пометить элементы, которые вы хотите изменить, щелкнув правой кнопкой мыши, а затем выбрав “Права доступа к файлу…”.

В следующем окне вы можете установить уровень разрешений с помощью числового значения.

Как вы можете видеть, также возможно применить то же самое к файлам и/или каталогам на более низких уровнях. Гораздо практичнее, чем индивидуальное изменение разрешений.

Что касается того, что вы должны изменить их, WordPress рекомендует следующие настройки:

  • 755 или 750 для каталогов
  • 644 или 640 для файлов
  • 600 для wp-config.php

26. Удалить номер версии WordPress

По умолчанию WordPress содержит метатег внутри исходного кода, который будет отображать версию вашего сайта, а также добавлять ее в скрипты, загруженные в ваш раздел .

К сожалению, эта информация очень полезна для всех, кто пытается взломать ваш сайт, особенно если вы используете более старую версию WordPress с известной уязвимостью в безопасности. К счастью, удалить номер версии так же просто, как добавить следующее в начало файла function.php вашей темы:

27. Отключить XML-RPC

Эта аббревиатура является названием функции, которая позволяет удаленно подключаться к WordPress. Например, клиенты блогов используют это, и это также используется для трекбэков и пингбеков. К сожалению, это также иногда является целью хакеров, поэтому вы должны защитить его с помощью плагина Disable XML-RPC Pingback.

28. Резервное копирование

Упомянутые выше меры предосторожности хороши для обеспечения безопасности WordPress. Однако несчастные случаи все же случаются. Для дополнительной страховки всегда имейте под рукой свежую резервную копию.

Существует множество вариантов резервного копирования WordPress, поэтому я создал обширное руководство по этой теме. В нем вы найдете все, что вам нужно знать о создании резервных копий вашего сайта WordPress.

Думаешь, тебя взломали?

Если вы считаете, что приведенный выше совет пришел слишком поздно, и, возможно, вас уже взломали, есть способы выяснить это. Используйте эти инструменты, чтобы проверить, обоснованы ли ваши страхи (или просто используйте их в качестве меры предосторожности):

  • Общие проблемы безопасности – используйте Unmask Parasites и Web Inspector для проверки общих уязвимостей.
  • Спам – MX Toolbox сообщит вам, был ли ваш сайт включен в более ста черных списков рассылки.
  • Вредоносные программы – бесплатный сканер вредоносных программ Sucuri Website проверит ваш веб-сайт на наличие вредоносного кода и других проблем безопасности.

Как ваша безопасность WordPress?

Как и в реальном мире, важно защищать свои цифровые активы. Для многих из нас самым большим является наш веб-сайт. По этой причине инвестиции в безопасность WordPress равносильны покупке страховки арендатора или установке лучшего замка на вашей двери.

Выше вы узнали об опасностях, с которыми сталкиваются веб-сайты WordPress, а также о множестве способов их предотвращения. Начиная с базовых рекомендаций по защите входа в систему, укреплению безопасности WordPress через wp-config.php и заканчивая универсальными подключаемыми .htaccess модулями безопасности, вы можете многое сделать.

Имейте в виду, что вам не нужно принимать все меры, описанные выше. Даже если вы возьмете только основные, вы будете лучше подготовлены, чем многие другие.

Тем не менее, большинство действий занимают очень мало времени. Следовательно, вы можете подумать о том, чтобы потратить десять минут здесь и там для дальнейшего улучшения вашей системы безопасности WordPress. Поверь мне, в конце ты будешь благодарен.

Какие ваши любимые меры безопасности WordPress? У вас есть что-нибудь добавить к вышесказанному? Дайте мне знать в комментариях ниже.

WP Magazine

Про WordPress на русском языке

Основы безопасности WordPress

Безопасность в WordPress является очень важной темой при создании вашего интернет проекта. В этой статье мы рассмотрим основы безопасности при использовании WordPress, самые частые методы и причины взлома, меры и средства защиты вашего сайта от злоумышленников.

Начнём с самого явного и простого.

Слабый пароль

Самой распространённой причиной взлома, является использование слабого пароля. Это относится не только к сайтам на WordPress, но и к почтовым аккаунтам, Twitter и Facebook профилям и прочее. Речь идёт о паролях вида 123456, «qwerty» и т.д.

Индикатор надёжности пароля в WordPress

При создании или смены пароля в WordPress, есть индикатор надёжности, который поможет выбрать вам более надёжный пароль:

  • Не используйте словарные слова
  • Не используйте один и тот же пароль дважды
  • Используйте буквы нижнего и верхнего регистра
  • Используйте буквы в перемешку с цифрами
  • Добавьте символы

Так же стоит серьёзно отнестись к привилегиям ваших пользователей. Если вам нужно добавить пользователя на ваш сайт, который будет писать новые статьи, то не рекомендуется давать этому пользователю права редактора, и уж тем более права администратора.

Иногда полезно и для самого себя иметь аккаунт редактора, отличный от администратора. Таким образом, если злоумышленник доберётся до вашего аккаунта, он сможет удалить все записи и страницы, но он не сможет редактировать код темы, устанавливать плагины и изменять настройки сайта.

Логин пользователя так же играет немаловажную роль, так что избегайте использование «admin» или «administrator» в качестве имени пользователя администратора, в этом случае злоумышленнику будет сложнее подобрать комбинацию.

Перебор или «брутфорс» пароля

Брутфорс (bruteforce) — это полный перебор всевозможных комбинаций. Подобрать можно пароль любой сложности — вопрос всего лишь во времени, и чем сложнее пароль, тем дольше займёт его полный переобор. Для защиты от перебора рекомендуется время от времени менять пароль.

Средства защиты админ-панели

Существует множество способов защитить панель администратора WordPress от злоумышленников. Самые эффективные и распространённые методы:

  • Блокировка директории wp-admin по IP-адресу
  • Серверная утилита fail2ban
  • Плагин Limit Login Attempts — ограничивает количество неверных попыток при входе
  • Плагин Google Authenticator — дополнительный фактор аутентификации с помощью мобильного приложения
  • Плагин Captcha для входа в административную часть сайта

Плагин Google Authenticator для WordPress

Уязвимый плагин WordPress

На сегодняшний день, в директории WordPress.org насчитывается почти 25,000 различных плагинов. Среди них есть и уязвимые плагины, которые могут обеспечить злоумышленнику полный доступ к вашему сайту. Заранее знать безопасен ли тот или иной плагин невозможно, а проверка на уязвимость может занять от нескольких часов, до нескольких недель.

Здесь в основном вопрос в доверии и репутации разработчика плагина. Вероятность уязвимости в популярном плагине известного разработчика гораздо меньше, чем в совершенно новом сомнительном плагине. При выборе плагина, обратите внимание на количество скачиваний, частоту обновлений, форумы поддержки и другие плагины того же автора, и если есть какие-либо сомнения, лучше поискать аналог.

Если вы обнаружили уязвимость в том или ином плагине, то первым делом стоит обратиться лично к разработчику, по электронной почте, через Skype и т.д. Если разработчик плагина не откликнулся, то стоит сообщить об этом по адресу plugins@wordpress.org, чтобы плагин исключили из директории WordPress.org.

Уязвимая тема для WordPress

В отличии от плагинов, все темы перед публикацией в директории WordPress.org проходят тщательную проверку, поэтому вероятность обнаружить уязвимую тему в директории небольшая. Если все же вы обнаружили небезопасную тему, то в первую очередь обратитесь к разработчику темы, а затем по адресу themes@wordpress.org для снятия её из директории.

Так же напоминаем, что темы для WordPress стоит скачивать только с официальных ресурсов. Большинство проблем возникает как раз с темами, скачанными со сторонних и сомнительных ресурсов.

Устаревшая версия плагина или темы

При обнаружении уязвимости в своей теме или плагине, разработчик старается как можно быстрее её исправить и выпустить обновление к своему продукту. Продолжать работать со старой версией темы или плагина не безопасно, и лучше всего обновляться в день выхода новой версии.

Это относится больше к крупным и популярным продуктам, как недавний пример с известным плагином кэширования W3 Total Cache, который при определённой конфигурации обеспечивал злоумышленнику полный доступ к базе данных сайта (подробнее на англ.). Спустя несколько дней, было выпущено обновление к плагину.

Однако, обновления не всегда проходят так гладко, как хотелось бы. Если вы сомневаетесь в обновлении, то его лучше протестировать на локальном компьютере, или на тестовом сервере, прежде чем выполнять его на живом сайте. Если возникли проблемы при обновлении, вы всегда можете обратиться за помощью к разработчику через форумы поддержки.

Устаревшая версия WordPress

В самом ядре WordPress тоже иногда встречаются уязвимости, поэтому работать со старой версией небезопасно. Так же как и с темами и плагинами, обновлять WordPress стоит в день выхода обновления, особенно если речь идёт о «техническом релизе».

Если вы обнаружили уязвимость в WordPress, то обязательно напишите на security@wordpress.org подробное описание проблемы, но не распространяйте информацию публично.

Неправильная конфигурация хостинга

Хосинг-провайдер играет огромную роль в защите вашего сайта, особенно когда речь идёт о компонентах, над которыми вы не имеете никакого контроля, например устаревшая и уязвимая версия PHP, или уязвимый модуль для веб-сервера Apache. Чаще всего это случается с дешёвыми хостинг-провайдерами, у которых «всё включено и безлимитно» за 5 копеек в год. Помните: хороший и надёжный хостинг стоит денег!

Что делать если сайт взломали

Если злоумышленники добрались до вашего сайта, то вам придётся нелегко, главное в этом случае не паниковать. Злоумышленники часто оставляют за собой след (или открытую дверь) в виде посторонних плагинов, изменённого кода в ядре и т.д. Ниже приведены несколько советов по устранению следов злоумышленника:


  • Изменить все пароли доступа к хостинг-площадке, включая пароль к базе данных
  • Установить WordPress с нуля, скачав самую свежую версию
  • Изменить все секретные ключи в wp-config.php
  • Экспортировать всю старую базу данных и тщательно её почистить
  • Изменить в экспорте все пароли для всех пользователей
  • Импортировать содержимое в новый установленный WordPress
  • Просмотреть директорию загрузок на лишние файлы
  • Импортировать директорию загрузок
  • Тщательно просмотреть каждый плагин и установить самые свежие версии из директории WordPress.org
  • Тщательно просмотреть используемую тему и установить самую свежую версию

Средства подобные Google Webmaster Tools и Exploit Scanner так же помогут найти и устранить признаки взлома вашего сайта. После восстановления работоспособности, следует попытаться понять, как именно злоумышленник пробрался на ваш сайт. С этим вам чаще всего поможет хороший хостинг-провайдер, предоставив журнал доступа.

Мастер Йода рекомендует:  Как стать программистом инструкция по «горячим следам» вчерашнего новичка

Дополнительные советы и инструменты

Здесь приведены несколько дополнительных советов и инструментов для повышения безопасности вашего сайта, как для новичков, так и для более опытных пользователей и программистов:

  • Не забывайте о полном резервном копировании
  • По возможности включите SSL/HTTPS для административной панели
  • Используйте защищённые SFTP или SSH вместо FTP для работы с хостингом
  • Удаляйте темы и плагины, которыми не пользуетесь
  • Используйте префикс отличный от стандартного для базы данных
  • Запретите редактирование файлов через wp-config.php
  • Запретите исполнение .php файлов в директории wp-content

Сторонние платные сервисы подобные Sucuri и VaultPress так же помогут защитить сайт на WordPress от злоумышленников.

Если у вас остались вопросы, касающиеся безопасности WordPress, мы с радостью на них ответим, а если у вас есть дополнительные рекомендации по средствам защиты, не стесняйтесь оставить комментарий.

Урок 9 Самая лучшая защита WordPress сайта – плагин All In One WP Security

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку своего хостинга с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.

Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.

Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

  • Делает резервные копии базы данных, файла конфигурации wp-config. и файла .htaccess
  • Смена адреса страницы авторизации
  • Скрывает информацию о версии WordPress
  • Защита админки – блокировка при неправильной авторизации
  • Защита от роботов
  • И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.

Настройка All In One WP Security

Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:

  • база данных;
  • файл wp-config;
  • файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

сделайте бэкап (резервную копию) перед началом работы

Пройдусь только по самым важным пунктам.

пункты настройки плагина all in one wp security

Панель управления

Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Счетчик защиты сайта на wordpress

Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.

цифра прибавляется к общему счету безопасности

Настройки

Вкладка WP Version Info

Чекаем галочку Удаление метаданных WP Generator.

Удаление метаданных WP Generator

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.

Администраторы

Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.

Пароль

Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:

  • Пароль должен состоять из букв и цифр
  • Используйте строчные и прописанные буквы
  • Не используйте короткие пароли (минимум 6 символов)
  • Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)

Сложность пароля

Авторизация

вкладка Блокировка авторизаций

Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы 🙂
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.

опции блокировки авторизации

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).

Опции автоматического разлогинивания пользователей

Регистрация пользователей

Подтверждение вручную

Чекаем “Активировать ручное одобрение новых регистраций”

Ручное одобрение новых регистраций

CAPTCHA при регистрации

Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.

Registration Honeypot (бочка мёда)

Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью

Если вы только что создали свой сайт, то можете смело менять префикс.

Префикс таблиц Базы данных

Резервное копирование базы данных

Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Настройки резервного копирования Базы данных

Защита файловой системы

Доступ к файлам

Тут меняем права доступа к файлам, чтобы все было зелёным.

Доступ к файлам

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.

Доступ к файлам wp

Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.

Черный список

Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.

Блокировка пользователей по IP

Файрволл

Базовые правила файрволла.

Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.

Теперь можно проставить нужные галочки:

Активировать основные функции брандмауэра Защита от уязвимости XMLRPC и Pingback WordPress Блокировать доступ к debug.log

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

  • Отключить возможность просмотра директорий
  • Отключить HTTP-трассировку
  • Запретить комментарии через прокси
  • Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
  • Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
      У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.

6G Blacklist Firewall Rules

Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.

Настройки файрволла (брандмауэра)

Интернет-боты

Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.

Настройки отслеживания ошибок 404

Защита от брутфорс-атак

Переименовать страницу логина

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой хостинг автоматически изменил мне эту страницу во время установки системы.

Переименовать страницу логина

Защита от брутфорс-атак с помощью куки

Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.

Защита капчей при авторизации

Белый список для логина

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.

Только указанные в списке IP имеют доступ к сайту

Бочка с медом (Honeypot)

Таже знакомая нам Бочка с мёдом – скрытое поле для роботов, но теперь для страницы авторизации.

Защита от роботов при попытке авторизации

Защита от SPAM

Вкладка Спам в комментариях

Капчу в формах для комментариев я не активирую, так как не хочу усложнять комментирование. Терпеть не могу когда приходится выполнять целый квест, что-бы написать пару строчек.
А вот блокировку спам-ботов от комментирования включаем обязательно.

Сканнер

Отслеживание изменений в файлах

Конечно ставим галочку.
Если защита wordpress плагина All In One WP Security все же пропустит хакера, то вы сможете узнать какие именно файлы изменил взломщик. Тогда вы сможете восстановить эти файлы из резервной копии.

Отслеживание изменений в файлах

Режим обслуживания

Защиты сайту не прибавит, но позволит создать заглушку на время пока вы “ремонтируете” сайт, тогда посетители поймут, что сайт не сломан, а идут профилактические работы.

Разное

Здесь может быть полезным только одна вкладка – Защита от копирования. Включив эту опцию – на сайте нельзя будет выделить и скопировать текст.

Защита от копирования текста

Настройка плагина безопасности WordPress All In One WP Security завершена.
Теперь самое время вернуться к пункту Панель управления и посмотреть, сколько балов показывает счетчик защиты.

Мой сайт защищен на 290 балов

Это был один из серии уроков про лучшие бесплатные плагины wordpress, так что подписывайся на новые статьи и читай только полезные уроки.
Шутка дня:
Если Вы проснулись на улице, значит Вы там заснули

Аудит безопасности WordPress сайта. 11 шагов проверки безопасности рабочего сайта WordPress

Вступление

Безопасность и как следствие нормальная работа сайта остается актуальной уже многие годы. Не секрет, что сайты, созданные на CMS WordPress, особенно активно подвергаются стороннему вмешательству. Для периодической проверки защищенности сайте, существует ряд действий, которые принято называть аудит безопасности WordPress сайта. О нём речь в этой статье.

Проблемы безопасности WordPress

Под безопасностью сайта, понимаем закрытие потенциальных и существующих возможностей проникнуть в код сайта для внедрения вирусных кодов, а также спам атак сайта через формы комментирования и обратной связи. Если второй вариант, угроз безопасности, можно отнести к неудобствам администрирования, мало влияющим на функционал сайта, то проникновение в код чревато от периодического воровства контента, до воровства сайта целиком.

Основные проблемы безопасности WordPress это их динамичность и скрытость. Под динамичностью понимаем, всё новые варианты взломать сайт. Скрытность, подразумевает невозможность понять, что сайт взломан без специальных инструментов анализа.

Аудит безопасности WordPress сайта

Как хакеры взламывают сайты WordPress

При написании кода почти невозможно не создавать никаких дыр в безопасности. Когда хакеры находят эти уязвимости, они используют их, и вы остаетесь с уязвимым сайтом. Существуют и другие способы, которыми сайт может стать уязвим, включая человеческие ошибки, такие как использование паролей, которые легко угадать, а также небезопасный или ненадежный хостинг.

Существует ряд часто используемых и потенциальных уязвимостей WordPress, он включает:

  • SQL Injection (SQLI) — возникает, когда SQL-запросы могут вводиться и выполняться с URL-адреса сайта;
  • Межсайтовый скриптинг (XSS) — хакер может вводить код в сайт, как правило, через поле ввода;
  • Загрузка файла с вредоносным кодом на незащищенный сервер;
  • Подпрограмма запроса на межсайтовый запрос (CSRF) — код или строки вводятся и выполняются с URL-адреса сайта;
  • Brute Force – Метод подбора. Постоянные попытки войти в систему, угадывая имя пользователя и пароль учетной записи администратора;
  • Отказ в обслуживании (DoS) — когда сайт падает из-за постоянного потока трафика, исходящего от хакбота;
  • Распределенный отказ в обслуживании (DDoS). Подобно атаке DoS, за исключением того, что hackbot отправляет трафик из нескольких источников, таких как зараженные компьютеры или маршрутизаторы;
  • Open Redirect – внедряется код и страница сайта, постоянно перенаправляется на другую страницу, установленную хакером со спамом или на другой сайт (фишинговый) сайт;
  • Фишинг (кража личных данных) — сайт или страница, созданная хакером, которая похожа на хорошо известный, общепринятый сайт, но используется для сбора учетных данных для входа в систему, обманывая пользователя для ввода их сведений;
  • Вредоносное ПО — вредоносный скрипт или программа с целью заражения сайта или системы;
  • Локальное включение файлов (LFI) — злоумышленник может контролировать, какой файл выполняется в запланированное время, установленное CMS или веб-приложение;
  • Обход аутентификации — дыра в безопасности, позволяющая хакеру обойти регистрационную форму и получить доступ к сайту;

Еще варианты взломов

  • Полное раскрытие пути (FPD). Когда путь к веб-сайту сайта раскрывается, например, когда видны листы каталога, ошибки или предупреждения;
  • Список пользователей. Возможность определения действительного имени пользователя для его последующего использования ватаке с использованием «тупого» добавления имени в конец URL-адреса сайта WordPress. Это даст идентификатор пользователя, который может вернуть профиль автора с действительным именем пользователя;
  • XML External Entity (XXE) — XML-вход, который ссылается на внешний объект и плохо обрабатывается неправильно настроенным парсером XML и может привести к раскрытию конфиденциальной информации;
  • Обход безопасности — аналогично обход аутентификации, за исключением того, что хакер может обойти существующую систему безопасности, чтобы получить доступ к некоторой части сайта;
  • Удаленное выполнение кода (RCE) . Хакер имеет возможность выполнять произвольный код на машине или сайте с другого компьютера или сайта;
  • Включение удаленного файла (RFI). Использование на сайте ссылки на внешний скрипт, с целью загрузки вредоносного ПО с совершенно другого компьютера или сайта;
  • Подделка запроса на стороне сервера (SSRF). Когда хакер может управлять сервером частично или полностью, чтобы заставить его выполнять запросы удаленно;
  • Обход каталога. Случаи, при которых HTTP может быть использован для доступа к каталогам сайта и выполнения команд за пределами корневого каталога сервера;

Хотя это не полный список уязвимостей WordPress, они являются наиболее распространенными способами взлома сайта, с помощью бота. Могут быть применены несколько методов одновременно. Источник списка уязвимостей: https://premium.wpmudev.org

Как проводить аудит безопасности WordPress сайта

Посмотрим основные мероприятия, которые нужно включить в аудит безопасности WordPress сайта.

Актуальность версии

Прежде всего убедитесь, что ваша версия WordPress актуальна и обновлена до последней версии. Стоит отдать должное разработчикам системы и сообществу WordPress, они постоянно следят за возникающими проблемами уязвимости. В кротчайшие сроки после выявления уязвимости, выпускаются релизы безопасности с её устранением. Так что, проверка версии системы это первый шаг в комплексном аудите безопасности.

Префикс базы данных

Это нужно было делать во время установки. Раньше, во время установки система всем выставляла префикс базы данных wp_. Это уязвимость. Сейчас, система предлагает (если я не ошибаюсь) для префикса произвольные символы. Как бы то ни было, префикс базы данных в виде двух букв [wp_] нужно сменить и использовать для префикса 4 цифры и/или буквы (можно больше). Как сменить префикс рабочего сайта читать Как поменять префикс базы данных WordPress.

Простые логины

Исключите из пользователей и не допускайте регистрации тех, кто в качестве логина (имени пользователя) выбрал логины «administrator», «admin». Если по каким либо причинам, вы имеет такой логин, сначала создайте нового пользователя с правами «администратор», поменяйте автора у статей и удалите пользователей «administrator», «admin».

Почему это важно? Логины «administrator», «admin» используются первыми в варианте проникновения н сайт через подбор паролей.

Уберите простой пароль администратора

В продолжение борьбы с подбором, поменяете лёгкий пароль администратора или администраторов, если их несколько. С недавних пор на WordPress стоит генератор сложных паролей, которого вполне достаточно для создания сложного пароля. Посмотреть и поменять пароль можно на вкладке Пользователи>>> ваш профиль.

Если вас не устраивает встроенный генератор паролей, используйте сторонний тут ( http://randstuff.ru/password/ ) или тут ( http://www.webtoolhub.com/tn561383-random-password-generator.aspx ).

Двухфакторная аутентификация

Если вы предъявляете повышенные требования к безопасности сайта, активируйте двухфакторную аутентификацию. Не забывайте, что для такой авторизации понадобится рабочий телефон или действующий email. Не забывайте, что двухфакторная аутентификация распространится на всех ваших пользователей.

Ключи безопасности

Современный способ установки WordPress, позволяет устанавливать систему без непосредственного редактирования файла конфигурации. То есть, уже давно можно обходить ручную правку файла wp-config.php, в текстовом редакторе.

А именно в этом файле есть набор ключей безопасности, который нужно периодически менять. В этом файле есть ссылка на смену ключей, вот она: https://api.wordpress.org/secret-key/1.1/salt/ . Перейдите по ссылке, возьмите набор ключей и в текстовом редакторе замените их в файле wp-config.php.

Примечание: если вы давно не меняли ключи, лучше это сделать сейчас.

Актуальность активных и пассивных плагинов сайта

Напомню, что обновления CMS WordPress делаются не только для изменения функционала сайта, но и для исправления безопасности системы. Как следствие, обновление плагинов тоже часть исправления безопасности. Если вы используете плагины, которые не обновляются, то есть вероятность взлома сайта через эти плагины.

Именно поэтому, все не обновляемые плагины помечаются, как потенциально опасные.

Неактивные пользователи

Система WordPress изначально создавалась очень интерактивной. Возможность комментирования, регистрация, отправка сообщений, всё это элементы интерактивного общения с пользователями входящие в коробочную версию.

Давно замечено, что на одного «живого» пользователя, регистрируется десяток «пустышек» или «ботов». При атаках спам ботов, эти показатели увеличиваются значительно.

Обычно, при организации безопасности сайта, ставится защита от спам регистрации. Однако, даже «живых» пользователей, нужно периодически просеивать. Удаляйте, зарегистрированных пользователей, не проявляющих активность на сайте. Замечено, что они могут использоваться для попыток взлома.

Резервное копирование

Если у вас нет решений по постоянному резервному копированию сайта, нужно его сделать. Решить проблему периодического резервного копирования сайта можно:

  • Настройкой резервного копирования на вашем хостинге;
  • Установкой плагина автоматического резервного копирования;
  • Периодическим ручным резервным копированием.

Важно , чтобы у вас пол рукой, всегда была свежая резервная копия сайта.

Удалите лишние файлы

После установки и настройки сайта удалите из каталога сайта, следующие файлы:

  • /wp-admin/install.php
  • wp-config-sample.php
  • readme.html

Если вам нужно оставить файл конфигурации для исходного образца, просто его переименуйте. Файл readme содержит описание вашей версии WP, что также может стать элементом уязвимости.

Плагин безопасности

Завершите аудит безопасности WordPress сайта установкой профильного плагина.

После полдюжины взломов сайта, я могу утверждать, на сайте WordPress, обязательно нужно использовать один из плагинов безопасности.

Плагин Wordfence


Я использую плагин Wordfence ( https://ru.wordpress.org/plugins/wordfence/). Отличный плагин с бесплатным и платным функционалом.

Как альтернативу, рекомендую рассмотреть плагины:

iThemes Security

Плагин iThemes Security имеет более 30 функций безопасности, которые вы можете использовать, и вы можете включить больше тонн, если будете обновлены.

Defender Security

Defender Security является бесплатным и невероятно простым в использовании с интуитивно понятным интерфейсом и подойдет чтобы сделать, аудит безопасности WordPress сайта. За несколько кликов вы можете закрепить безопасность своего сайта. Также доступна версия премиум-класса, если вам нравятся другие методы безопасности, которые вы также можете установить и забыть за пару кликов.

Sucuri Security

Sucuri Security — популярный вариант защиты WordPress. В нем есть много функций, которые вставляются в один плагин, а также в премиум-версию, если вы хотите включить дополнительные функции.

BulletProof Security

Это плагин для безопасности и базы данных, все в одном, что помогает сократить количество плагинов, которые вы используете, чтобы ускорить ваш сайт. Доступна версия премиум-класса, которая включает в себя резервные копии всего сайта и многие другие функции безопасности.

SecuPress Free — WordPress Security

С помощью SecuPress вы можете сканировать свой сайт на наличие вредоносных программ, блокировать боты и подозрительные IP-адреса. Существует также версия премиум-класса с более широкими возможностями.

SiteLock Security

Бесплатный плагин SiteLock имеет множество ценных функций безопасности и может сканировать ваш сайт на предмет уязвимостей безопасности с обновлениями в реальном времени.

Выводы

Можно еще долго перечислять все возможные шаги по повышению безопасности. Они в следующей статье по безопасности, так как требуют расширенных пояснений. Однако, будем считать, что априори, более серьезные защиты включены в функционал плагинов, которые я перечислил. В этой статье, будем считать, что аудит безопасности WordPress сайта, а точнее проверка необходимых базовых защит сайта от взлома проведена.

20 приемов для обеспечения безопасности WordPress-сайта

Согласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту. Некоторые думают, что сайт в безопасности, потому что он не представляет интереса для хакеров, но это не так.

В большинстве случаев для хакеров не имеет значения кому принадлежит сайт, возраст сайта, размер сайта, содержание сайта и так далее. Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла.

Обычно хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. Очень редко хакеры взламывают какой-то конкретный сайт. В большинстве случаев хакеры при помощи ботов автоматически взламывают десятки сайтов, и используют ресурсы этих сайтов для своих дел.

В этой статье вы узнаете, какими способами можно обезопасить сайт, как Вордпресс может быть атакован, как злоумышленники могут получить доступ к сайту, какие признаки у взломанного сайта, что можно сделать, если сайт был взломан и какие плагины для безопасности сайта вы можете использовать.

Насколько безопасен Вордпресс

На Вордпрессе работает более 30% сайтов в Интернете, и он является самой популярной системой управления контентом. Более 80% атак на CMS приходится на Вордпресс, но он остается самой популярной платформой.

Разработчики Вордпресс постоянно работают над устранением найденных уязвимостей и выпускают обновления Вордпресс.

C момента выхода первой версии Вордпресс было выпущено более 2.500 исправлений уязвимостей. Были случаи, когда обновления выходили менее чем через 40 минут после обнаружения уязвимости.

Хакботы обходят десятки тысяч сайтов в час, имея описания известных уязвимостей устаревших версий Вордпресс, тем и плагинов. Если вы используете устаревший софт, то рано или поздно такой бот найдет сайт, на котором используется устаревшая версия.

Правило безопасности №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте Вордпресс, плагины и темы. Другие меры безопасности тоже нужны, но они становятся менее эффективными, если ядро Вордпресс не обновлено.

Для максимальной безопасности сайта нужно обновлять Вордпресс. Можно включить автоматическое обновление, или оставить обновление в ручном режиме.

Почему ваш сайт является целью для злоумышленников

Не только ваш, но вообще все сайты на Вордпресс являются целью для хакеров. Даже абсолютно новый сайт без контента, без трафика, с обновленным ядром может быть взломан хакерами и использован в своих целях.

Все Вордпресс сайты являются целью для хакеров из-за своей популярности. Хакеры пишут ботов, которые обходят сотни тысяч сайтов и сканируют их на списки уязвимостей. Чем больше сайтов будет просканировано, тем выше вероятность найти уязвимость и получить какой-то контроль над сайтом.

В 2020 году более 85 млн. сайтов в Интернете работает на Вордпресс, поэтому вероятность что-то найти достаточно высока.

Молодые сайты обычно менее защищены от атак, потому что их владельцы думают, что их сайты не представляют интереса для хакеров, но на самом деле молодые сайты — одна из целей хакеров, потому что их проще взломать.

Хакеры взламывают сайты для того, чтобы:

  • Добавить вредоносный контент на сайт — Хакеры взламывают сайты, чтобы внедрить вредоносный контент во фронт-энд. Обычно это ссылки на хакерские сайты, реклама казино, кошельков, виагры и тому подобное.
  • Использовать ресурсы сервера — Хакеры используют ресурсы сервера или канал интернета для рассылки спама, криптовалютного майнинга, файлообменника, хранения информация или для атаки на другие сайты.
  • Получить данные посетителя — Кибератаки касаются не только владельцев сайтов, но и посетителей сайта. Многие люди используют одни и те же данные для своих аккаунтов на разных сайтах или сервисах, для е-мейла, интернет банка и так далее.
  • Получить бизнес-информацию — Хакеры не всегда атакуют сайты для получения пользовательских данных. Иногда они взламывают сайты, чтобы получить важную информацию о бизнесе этого сайта.
  • Распространение вредоносных программ — Распространение вирусов и вредоносных программ на компьютеры и устройства посетителей.

Большие сайты тоже являются целью хакеров, потому что большой аудитории сайта можно начать рассылать спам.

Как хакеры взламывают сайты

Когда разработчики пишут код, практически невозможно не оставить какую-то уязвимость в безопасности. Когда хакеры находят эти дыры, они используют их, чтобы взломать сайт.

Другие способы получить контроль над сайтом — использование человеческих ошибок, например, слишком простые пароли, или ненадежный или небезопасный хостинг.

Список основных типов угроз для Вордпресс:

  • Межсайтовое выполнение сценариев (XSS, Cross-site Scripting) — хакер внедряет какой-то код на страницу сайта, при загрузке страницы скрипт выполняется на компьютере посетителя.
  • SQL внедрения (SQLI, SQL Injections) — SQL запросы исполняются из строки браузера.
  • Загрузка файла — файл с вредоносным кодом загружается на сервер.
  • Фальсификация межсайтового запроса (CSRF, Cross-Site Request Forgery) — код или запрос исполняется из строки браузера.
  • Перебор паролей (Brute Force) — множественные попытки подобрать логин и пароль.
  • DoS-атаки (Denial of Servise) — попытка перегрузить и повесить сайт большим количеством трафика от ботов.
  • DDoS-атаки (Distributed Denial of Servise) — попытка повесить сайт из разных мест, например, с зараженных компьютеров или роутеров.
  • Кража личных данных (Phishing) — хакеры публикуют страницы, которые похожи на страницы атакованного сайта. Пользователь не видит подмены и может оставить свои личные данные в форме авторизации, подписки и так далее.
  • Редирект — используется какая-то уязвимость, которая переадресует запрос к странице на постороннюю страницу, обычно с целью кражи личных данных или спама.
  • Вредоносный код (Malware) — скрипт или программа, которая делает нужные хакеру действия на вашем сайте.
  • Внедрение файла (LFI, Local File Inclusion) — злоумышленник может контролировать, какой файл исполняется в определенное время по расписанию CMS или какого-то приложения.
  • Обход авторизации (Authentication Bypass) — дыра в безопасности, которая позволяет хакерам обходить форму входа и получать доступ к сайту.
  • Показ пути к сайту (FPD, Full Path Disclosure) — отображается полный путь к корневой папке сайта, видимы папки, логи ошибок и предупреждений.
  • Нумерация пользователей (User Enumeration) — возможность узнать логины пользователей сайта. К URL сайта добавляется запрос ID пользователя, который возвращает профиль пользователя с его логином. Используется вместе с методом перебора паролей.
  • Обход системы безопасности (Security Bypass) — хакеры обходят систему безопасности и получают доступ к незащищенной части сайта.
  • Удаленное исполнение кода (RCE, Remote Code Execution) — хакер запускает исполнение кода на сайте с другого сайта или компьютера.
  • Удаленное внедрение файла (RFI, Remote File Inclusion) — использование ссылки на внешний скрипт для загрузки вредоносного кода с другого компьютера или сайта.
  • Подделка запроса на стороне сервера (SSRF, Server Side Request Forgery) — хакер управляет сервером частично или полностью для выполнения удаленных запросов.

Это основные уязвимости Вордпресс, которые хакеры используют для взлома, в основном при помощи ботов. Боты также могут найти сразу несколько уязвимостей.

Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах Вордпресс, 31,5% уязвимостей в ядре Вордпресс и 14,3% уязвимостей — в темах Вордпресс.

Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity:

Другое исследование WP WhiteSecurity, проведенное на 42.000 сайтах из рейтинга Алекса Топ-1.000.000, говорит о том, что 73,2% сайтов имеют уязвимости из-за необновленной версии Вордпресс.

Основные требования к безопасности сайта

От безопасности вашего компьютера зависит безопасность вашего сайта. Вредоносное ПО и вирусы могут заразить ваш сайт и сотни других сайтов.

Эти рекомендации увеличат безопасность вашего компьютера и сайта:

  1. Используйтете антивирус и файрвол на своем компьютере.
  2. Не заходите на свой сайт в публичных местах, потому что данные, которые вы пересылаете через публичный Wi-Fi, могут быть перехвачены злоумышленниками.
  3. Не используйте небезопасные сети или соединения.
  4. Используйте надежный хостинг.
  5. Используйте сложные пароли для входа на сайт. Установите рекомендуемый минимум сложности паролей для других пользователей сайта.
  6. Подумайте о выключении возможности для пользователей загружать картинки на сайт. Злоумышленник может загрузить скрипт на сайт под видом аватара с названием avatar.jpg.php, который может использовать какую-то уязвимость.
  7. Используйте безопасный FTP (FTPS) вместо обычного FTP.
  8. Вместо FTP вы можете использовать SSH (SFTP), он безопаснее FTP.
  9. Давайте доступ к админской или редакторской части только тем, кому вы доверяете.
  10. Давайте доступ к хостингу и FTP только тем, кому доверяете. Вы можете создать еще один аккаунт с уменьшенными правами и дать доступ к нему.
  11. Если вы не пользуетесь FTP, удалите или отключите подключения.
  12. Настройте бэкап сайта.
  13. Регулярно обновляйте Вордпресс, плагины и темы.
  14. Не одобряйте непонятные комментарии с бэклинками.
  15. Используйте популярные плагины с большим количеством установок и частым обновлением.
  16. Установите SSL сертификат на сайт.
  17. Используйте CDN, это помогает предотвратить DoS и DDoS атаки.
  • Бэкап Вордпресс
  • Минимальная безопасность Вордпресс

Как скрыть данные о Вордпресс

Скрытие данных о Вордпресс, например, версии ядра или изменение адреса входа в админку — один из способов увеличить безопасность сайта.

Еще в одном исследовании WP WhiteSecurity говорится, что только 8% сайтов было взломано вручную методом перебора паролей, 92% сайтов были взломаны ботами автоматически, из них 41% — через уязвимости в ПО хостинга, 29% — через уязвимости в файлах темы, 22% — через уязвимости в плагинах.

Боты пытаются взломать сайт по заранее определенному алгоритму. Они пытаются подобрать логин и пароль на странице входа или пытаются получить тот или иной контроль над сайтом по спискам уязвимостей устаревших версий. Если взлом не получился — они уходят на другие сайты.

Большинство ботов используют этот тип взлома, для защиты сайта от более редких ботов настройте как можно больше рекомендаций из этой статьи.

Удалите версию Вордпресс

Списки уязвимостей предыдущих версий Вордпресс находятся в открытом доступе, поэтому удаление информации об используемой версии ПО увеличивает безопасность сайта.

Удалите все упоминания о версии ядра Вордпресс, версии скриптов и стилей и тег в фиде RSS.

Перенесите страницу авторизации

По умолчанию страница авторизации находится по адресу /wp-login.php . Боты приходят по этому адресу и пытаются подобрать логин и пароль по спискам популярных логинов и паролей, которые находятся в открытом доступе.

Это называется brute force attack, или атака грубой силой, или атака методом перебора паролей.

Чтобы боты не могли пробовать подобрать комбинацию для входа, перенесите страницу авторизации в другое место. Например, /settings .

Измените структуру расположения файлов и папок

Вордпресс — открытая платформа, информация о которой находится в открытом доступе, поэтому хакеры могут использовать какую-то информацию о Вордпресс для взлома сайта.

В документации Вордпресс описана структура расположения файлов и папок. Используя эту информацию, хакеры могут решить, каким путем они попытаются проникнуть на сайт.

Измените имя пользователя по умолчанию

Когда вы устанавливаете Вордпресс, администратору сайта по умолчанию дается имя пользователя «admin». Это одно из стандартных имен, которое пробуется ботами, когда они пытаются попасть на сайт методом перебора паролей.

Если вы оставите как есть, то злоумышленнику остается подобрать только пароль, так как имя «admin» уже известно.

Измените стандартное имя пользователя, тогда хакерам придется подобрать и логин, и пароль.

Ограничьте количество попыток доступа на сайт

По умолчанию Вордпресс не ограничивает количество попыток входа на сайт. То есть, если посетитель ввел неверный логин или пароль, он может попробовать ввести их еще раз столько раз, сколько захочет. Это дает хакерам возможность перебирать логины и пароли большое количество раз, пока они не подберут верную комбинацию.

Чтобы этого не случилось, установите плагин безопасности, который будет ограничивать количество попыток входа на сайт. Есть специальные плагины для решения только этой задачи, например, Limit Login Attempts Reloaded или Login LockDown, есть большие плагины безопасности, в которых эта функция находится в числе других, например, Wordfence или All In One WP Security & Firewall.

Удалите ненужные файлы

После установки Вордпресс можно удалить несколько файлов, которые больше не нужны.

  • readme.html
  • wp-config-sample.php
  • /wp-admin/install.php

В файле readme.html содержится информация об используемой версии Вордпресс. Хакеры могут использовать публичную информацию об уязвимостях используемой версии Вордпресс, чтобы проникнуть на ваш сайт.

Добавьте правила в WP-Config.php

Это главный файл сайта, который находится в корневой папке. Добавляйте свои записи в wp-config перед строкой:

В этом разделе правила для повышения безопасности сайта в файле wp-config.php.

Переместите файл wp-config.php

В файле wp-config.php находится много важной информации, которая не должна быть доступна посторонним. Вы можете переместить этот файл в другое место, чтобы хакеры не смогли найти его в его обычном месте.

Если ваш сайт находится в корневой папке, перенесите wp-config.php на один уровень вверх.

Или вы можете перенести этот файл в любое другое место. Создайте в корневой папке новый файл с именем wp-config.php, и вставьте в него этот код:

Замените /путь/к/wp-config.php на ваш адрес к файлу после перемещения.

Проверьте права доступа к файлам и папкам

Файлам и папкам Вордпресс должны быть даны права доступа 644 и 755. Некоторым файлам и папкам могут быть даны особые права, например, файлу wp-config.php должны быть даны права 440 или 400.

В файле wp-config вы можете автоматически установить права доступа ко всем файлам и папкам на сайте:

Важным файлам и папкам вы можете дать более строгие права вручную.

  1. Корневая папка сайта — /сайт.ru/public_html/ — 750
  2. .htaccess — /сайт.ru/public_html/.htaccess — 640
  3. wp-admin/ — /сайт.ru/public_html/wp-admin — 750
  4. wp-admin/js/ — /сайт.ru/public_html/wp-admin/js/ — 750
  5. wp-admin/index.php — /сайт.ru/public_html/wp-admin/index.php — 640
  6. wp-content/ — /сайт.ru/public_html/wp-content — 750
  7. wp-content/themes/ — /сайт.ru/public_html/wp-content/themes — 750
  8. wp-content/plugins/ — /сайт.ru/public_html/wp-content/plugins — 750
  9. wp-includes/ — /сайт.ru/public_html/wp-includes — 750
  • Права доступа к файлам и папкам.

Измените префикс базы данных

Таблицы базы данных имеют по умолчанию префикс wp_ . Измените префикс на что-нибудь другое, чтобы усложнить задачу хакерам.

Для изменения префикса базы данных надо внести изменения в файл wp-config.php и базу данных.

Отключите редактирование файлов в панели Вордпресс

В панели администратора находится редактор файлов, в котором вы можете редактировать файлы установленных плагинов и тем.

Редактировать файлы тем вы можете в разделе Внешний видРедактор, файлы плагинов в разделе ПлагиныРедактор.

Многие разработчики считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.

С другой стороны, если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.

Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:

Смените ключи безопасности

В файле wp-config.php находятся ключи безопасности, с помощью которых шифруется информация, хранящаяся в cookies. Меняйте их время от времени, это сделает cookies, хранящиеся в браузерах пользователей, в том числе хакеров, недействительными. Для входа на сайт нужно будет авторизоваться еще раз.

Вы можете сгенерировать новые ключи безопасности в генераторе ключей Вордпресс, скопируйте их оттуда и вставьте в свой файл wp-config.php:

Используйте SSL

После того, как вы установили SSL сертификат на свой домен, включите его принудительное использование, чтобы все посетители сайта подключались к сайту по безопасному соединению.

Мастер Йода рекомендует:  12 частых ошибок начинающих веб-разработчиков

Чтобы зашифровать логин и пароль во время передачи их серверу, добавьте эту строку:

Чтобы использовать SSL в админской части сайта, например, для шифрования cookies сессии, добавьте эту строку:

Добавьте эти строки в файл wp-config.php перед строкой:

Чтобы использовать SSL во фронт-энде сайта добавьте эту запись в файл .htaccess:

Замените ваш-сайт.ru на свой адрес.

Если у вас уже есть стандартная запись, которую добавляет Вордпресс,

то вы можете добавить в эту запись только строки 3 и 4 из первого правила.

Используйте FTPS

Чтобы использовать FTPS через небезопасное FTP соединение, добавьте это правило перед строкой «Это все, дальше не редактируем»:

Используйте SFTP

Чтобы повысить безопасность SSH подключения, вы можете использовать SFTP соединение, если эта функция включена на хостинге.

Выключите режим debug

По умолчанию режим debug выключен и должен быть выключен до тех пор, пока вы не обнаружите ошибки на сайте.

Если вы хотите включить режим debug и отображение ошибок во фронтэнде, замените false на true .

Включите автообновление Вордпресс

Если вы хотите включить автообновление Вордпресс, добавьте это правило:

Если вы хотите сначала протестировать обновления, то оставьте обновление вручную, или включите выборочное обновление плагинов:

Добавьте правила в .htaccess

В этом разделе правила для повышения безопасности сайта в файле .htaccess.

Запретите доступ к важным файлам

Вы можете закрыть доступ к важным файлам wp-config.php, htaccess, php.ini и логам ошибок. Добавьте это правило из Кодекса Вордпресс:

Если у вас есть файл php5.ini или php7.ini вместо php.ini, замените php.ini в первой строке на ваш файл.

Запретите доступ к PHP файлам

Ограничьте доступ к php файлам тем и плагинов, так как хакеры могут внедрить в них вредоносный код.

Запретите доступ к папке wp-includes

В папке wp-includes находятся важные файлы, которые могут быть использованы для взлома сайта.

Добавьте это правило, чтобы защитить /wp-includes/ :

Ограничьте доступ к странице авторизации

Кроме изменения адреса страницы авторизации вы можете ограничить пользователей, которым разрешено заходить на страницу входа.

Вы можете разрешить доступ нескольким статическим IP адресам:

Строки 2 и 3 перенаправляют посетителя на страницу с ошибкой 404, если они пришли не с адресов, указанных в этом правиле. Это правило не вызывает ситуацию цикличных редиректов, поэтому ваш сайт не будет выглядеть как зависший.

Замените /путь-к-вашему-сайту/ в двух первых строчках на свой адрес.
Замените IP Адрес 1 , IP Адрес 2 и IP Адрес 3 на те IP адреса, с которых вы хотите иметь доступ к страницам wp-login.php и wp-admin.

Если вам нужен только один IP адрес, удалите строки 10 и 11, если вам нужно больше адресов, добавьте нужное количество строк.

Не забудьте дополнить или отключить это правило если вы поедете путешествовать, иначе вы попадете на страницу 404.

Если вы или другие пользователи имеете динамические IP (или Мультисайт), используйте это правило:

Замените /путь-к-вашему-сайту/ и /ваш-сайт.ru/ на свой адрес.

Хакеры используют ботов, чтобы пытаться попасть в админку Вордпресс. Это правило определяет, что только те пользователи, которые вручную набрали wp-login.php или wp-admin в браузере, получат доступ к этим страницам.

Этот способ не защитит от хакеров, которые вручную набирают адрес страницы авторизации, но значительно уменьшит количество атак с перебором паролей.

Еще один способ — создайте файл .htaccess в папке wp-admin . Это правило разрешает доступ к папке только указанным ip:

Замените IP Адрес 1 и IP Адрес 2 на свои IP.

Запретите доступ к директориям сайта

Хакер может получить доступ к папкам сайта, если введет в адресной строке полный путь к нужной папке.

Например, злоумышленник может увидеть содержимое папки uploads, если введет в адресной строке ваш-сайт.ru/wp-content/uploads/ .

Если у вас настроены права доступа, то редактировать эти файлы должно быть невозможно, но доступ к этим папкам все равно лучше запретить.

Чтобы закрыть доступ к директориям сайта, добавьте это правило в .htaccess:

Добавьте лимит на загружаемые файлы

Ограничьте максимальный размер загружаемых файлов 10Мб:

Отключите нумерацию пользователей

Если злоумышленник введёт в строку адреса ваш-сайт.ru/?author=1 , он будет перенаправлен на страницу пользователя с >

В этом случае хакер будет знать имя пользователя, и ему останется только узнать пароль.

Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей. Добавьте этот код в .htaccess:

Или добавьте этот код в functions.php:

Запретите исполнение php файлов

Обычно хакеры загружают вредоносный код в папку /wp-content/uploads/ .

Добавьте это правило, чтобы отключить возможность исполнять php файлы в папке uploads:

Замените /var/www/ в строке 2 на свой адрес.

Защитите сайт от внедрения вредоносных скриптов

Запретите внедрение кода в php файлы. Добавьте это правило:

Отключите информацию об используемой версии ПО сервера

Подпись Сервера — это служебная информация, в которой говорится, что сайт использует, например, сервер Apache определенной версии и ОС Ubuntu определенной версии.

Чтобы отключить показ версий ПО на вашем сервере, добавьте этот код .htaccess:

Удалите пользователя с ID 1

При установке Вордпресс по умолчанию создается пользователь с правами администратора с >

Создайте нового пользователя с правами администратора, зайдите на сайт под новым аккаунтом и удалите старого администратора с ID 1.

С другой стороны, некоторым плагинам требуются дополнительные права для своей работы, которых у них может не быть, если создать нового пользователя с правами администратора.

Измените текст ошибки при входе на сайт

По умолчанию Вордпресс показывает стандартное сообщение на странице авторизации, когда посетитель вводит неправильный логин или пароль. В этом сообщении говорится, что именно было введено неправильно, — логин или пароль.

Когда хакер вводит неверный пароль к верному имени пользователя, Вордпресс показывает сообщение, что пароль неверный. Это дает ему понять, что имя пользователя верное.

Чтобы изменить текст сообщения, добавьте эти строки в functions.php .

Замените сообщение в строке 2 на свое сообщение.

Отключите XML-RPC

XML-RPC — это API интерфейс, который используется для доступа к сайту через мобильные приложения, для трекбэков и пингбэков и используется плагином Jetpack. Если вы пользуетесь чем-то из этого, то оставьте эту функцию включенной или частично включенной. С другой стороны, XML-RPC может быть использован хакерами для атак с перебором логинов и паролей.

Вместо того, чтобы пытаться подобрать логин и пароль на обычной странице авторизации, где у вас может быть установлено ограничение на количество попыток входа, бот может попробовать неограниченное количество комбинаций через интерфейс xml-rpc.

Чтобы противостоять таким атакам, используйте сложные логины и пароли. Другая проблема в том, что брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за использования всех ресурсов сервера.

Чтобы полностью отключить XML-RPC, добавьте это правило в .htaccess:

Установите пароль на доступ к wp-login.php

Вы можете установить дополнительный пароль на доступ к странице wp-login.php или папке wp-admin.

Для этого нужно создать файл с паролями и добавить код в .htaccess.

Используйте двух-факторную авторизацию

Двух-факторная авторизацация — это идентификация через логин и пароль и дополнительная идентификация через е-мейл или смартфон. Для включения двойной авторизации есть бесплатные плагины, например, Google Two-Factor Authentication, Google Authenticator или Duo Two-Factor Authentication.

Как бороться со спамом

Спам на сайте — это намного больше, чем просто надоедливый мусор. Спам может привести к заражению сайта, брут-форс или DDoS атакам. Защита от спама — одна из составляющих безопасности сайта.

Плагин Kama SpamBlock — очень эффективное средство для борьбы со спамом. Если вы знаете что-то более эффективное — поделитесь этим в комментариях.

Плагины безопасности Вордпресс


Sucuri Security

Current Version: 1.8.21

Last Updated: 09.05.2020

Sucuri Inc является «всемирно признанным авторитетом во всем, что касается безопасности Вордпресс». Так и есть, сервис Сукури предлагает комплексную защиту сайта: обработку и фильтрацию всего входящего трафика на серверах Сукури, кеширование, сеть CDN и гарантию бесплатного лечения сайта в случае, если сайт взломают.

Бесплатный плагин сравнивает файлы ядра Вордпресс с файлами в репозитарии Вордпресс, сканирует сайт на вирусы, проверяет, был ли сайт был занесен в черные списки и ведет логи событий.

В случае подозрительной активности на сайте плагин посылает сообщение на е-мейл.

Вся эта информация отображается в удобном виде в админке Вордпресс.

Wordfence

Current Version: 7.4.1

Last Updated: 06.11.2020

Один из самых популярных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, — как только появляется новая угроза, она попадает в базу данных платной версии, и через 30 дней — в базу бесплатной версии.

В Wordfence есть функция обнаружения изменения или добавления файлов. Когда существующий файл сайта обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов сайта, встроенный файрвол и множество других функций.

У плагина более 2-х миллионов установок и высокий рейтинг.

iThemes Security

Current Version: 7.4.1

Last Updated: 15.08.2020

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, имеет более 30 функций, но если вы хотите знать, когда файлы изменялись и делать подробное скаирование сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы обнаружили, что сайт был взломан, можно попробовать восстановить более раннюю версию сайта.

Security Ninja

Current Version: 5.70

Last Updated: 07.11.2020

Мощный премиум плагин безопасности, который легко настроить. В бесплатной версии проверяет сайт на наличие основных уязвимостей и предлагает инструкции по их устранению.

В платной версии добавляется авто-применение защитных функций плагина, сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

Весь плагин можно настроить за 15 минут.

All In One WP Security & Firewall

Current Version: 4.4.2

Last Updated: 24.10.2020

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол. Защищает файлы сайта и базу данных. Большинство функций работают в пассивном режиме, потребляет мало ресурсов. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, если были какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подробные описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт.

BulletProof Security

Current Version: 3.7

Last Updated: 25.09.2020

Еще один плагин, который вы можете использовать. У этого плагина есть премиум версия, в которой доступен полный бэкап сайта и несколько других опций для повышения безопасности.

Defender Security, Monitoring, and Hack Protection

Current Version: 2.1.5

Last Updated: 16.10.2020

Хороший плагин с простым интерфейсом. Большинство функций доступно только в платной версии.

SecuPress

Current Version: 1.4.10

Last Updated: 25.10.2020

Плагин сканирует сайт на наличие вредоносного кода, блокирует ботов и подозрительные IP адреса, как и другие плагины. В платной версии доступно больше опций.

SiteLock Security

Current Version: 4.0.5

Last Updated: 20.04.2020

Бесплатный плагин с множеством функций, сканирует сайт на уязвимости с обновлениями в реальном времени.

Как поддерживать безопасность сайта

Безопасность Вордпресс — это устранение как можно большего количества уязвимостей, так как уязвимость — это пропуск на сайт. Хакеры ищут самый простой способ попасть на сайт. Сайты с уязвимостями в безопасности являются для них такой целью. С помощью этого руководства вы можете эффективно отражать 99,99% атак на свой сайт.

Используйте плагин безопасности

Большинство техник из этого руководства можно включить в плагинах безопасности. Установите и настройте один из них, это защитит ваш сайт и вам не нужно будет помнить, какие техники вы применили или могли забыть.

Сам по себе Вордпресс достаточно безопасен если его регулярно обновлять, но хакеры постоянно находят новые уязвимости в ПО. Плагин безопасности поможет защитить ваш сайт, пока разработчики Вордпресс работают над устранением этой уязвимости.

Регулярно сканируйте сайт

После того, как вы установили плагин безопасности, настройте регулярное сканирование. Автоматическое сканирование по расписанию находится в платных плагинах, но в некоторых бесплатных оно тоже есть. Например, Sucuri Security.

Без регулярного сканирования уязвимость может пройти незамеченной, и это может привести ко взлому сайта. Вы об этом можете узнать, когда поисковики пометят ваш сайт как «содержащий вредоносный код» и понизят его в поисковой выдаче.

Установите частоту сканирования немного меньше, чем частота бэкапа. Если сайт взломают, будет из чего его восстановить.

Просматривайте логи событий

Когда вы устанавливаете сайт на хостинге, в это же время начинают вестись логи событий. Где-то на вашем аккаунте должны храниться логи ошибок и логи доступа.

Обычно называются «Логи», если вы не можете их найти, спросите у техподдержки.

Логи событий — это записи о том, как кто-то получал доступ к сайту, просматривал важные файлы или пытался получить к ним доступ. Если вы будете время от времени просматривать логи, вы можете обратить внимание на какую-то необычную активность.

Например, если обычные посетители пытались получить доступ к файлам .htaccess или wp-config.php. Если вы видите, что какой-то посетитель получил доступ к этим файлам, это может значить, что ваш сайт взломали.

Если вы будете время от времени просматривать логи событий и заметите что-то странное, вы сможете вовремя отреагировать на изменения.

Установите файрвол на сервере

Вы можете установить файрвол на сервере, это защитит сайт и сервер от хакеров еще на подходе. Не путайте файрвол на сервере с WAF (web application firewall), файрволом на сайте, который находится в плагине Wordfence.

Если хакер уже попал на сайт, то остановить его будет труднее, поэтому лучше остановить его на подходе к сайту, то есть на уровне сервера.

Вы можете попробовать установить бесплатный файрвол ConfigServer Security & Firewall. Перед установкой поговорите с техподдержкой хостинга, у вас может не быть прав на установку ПО, или, возможно, какой-то файрвол уже установлен на сервере.

Признаки взломанного сайта

1. Постоянные ссылки. Зайдите в НастройкиПостоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname% . Если ссылка изменилась на %postname%/% , например,

значит, ваш сайт взломали.

2. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

3. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

4. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, статьи и тому подобное. Проверьте все страницы сайта, включая Главную.

5. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страницы на рекламный мусор.

6. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

7. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta , которая маскируется под стандартную таблицу wp_postmeta .

Еще одна вещь, которую вы можете — проверить сайт на уязвимости с помощью бесплатного плагина Security Ninja.

Или скачайте сайт на компьютер и проверьте его антивирусом.

Решение проблем со взломанным сайтом

Если сайт взломали, читайте в этом разделе об очистке от вредоносного кода и возвращении сайта в рабочее состояние.

Предотвратить заражение проще, чем лечение, поэтому применяйте эти рекомендации, чтобы не пришлось лечить сайт.

Хотя этой информации может показаться много, это стандартная базовая безопасность Вордпресс.

Если эта статья несколько сложна для вас, попробуйте начать с этого:

Если вы хотите применить эти настройки автоматически и наблюдать за состоянием безопасности сайта в админке Вордпресс, переходите на страницу

Надеюсь, статья была полезна. Оставляйте комментарии.

MnogoBlog

как создать сайт на wordpress, настроить и оптимизировать wordpress

Необходимые меры для повышения безопасности вашего сайта на WordPress

Здесь я расскажу вам про 10 приемов, необходимых для улучшения безопасности вашего сайта, также расскажу про самый надежный метод сохранения вашего сайта – это регулярное создание копий базы данных вашего сайта и постоянный контроль над изменениями файлов вашего сайта.
Скачать исходники для статьи можно ниже

Начну с того, что 100% защиты не существует, то есть, если ваш сайт захотят взломать, то его взломают.

Поэтому, если это случилось, нужно как можно быстрее об этом узнать и предпринять необходимые меры.

Почему реагировать нужно быстро?

Во-первых, это поисковики, если они определят, что ваш сайт подвергся заражению, они опустят вас в результатах поиска, и чтобы восстановить их доверие нужно будет потратить много времени, а возможно придется и вовсе поменять домен сайта. Так что поисковиков нужно в обязательном порядке опередить.

Во-вторых, это сами посетители, на зараженные сайты никто не хочет заходить, и если они увидят в следующий раз ссылку на ваш сайт, они не перейдут по ней.

В-третьих, лечить зараженный сайт легче и дешевле на ранних стадиях.

Регулярное резервное копирование базы данных вашего сайта.

Для того, чтобы обезопасить себя от вышеперечисленных нежелательных последствий заражения сайта, вам необходимо создавать регулярно резервные копии базы данных вашего сайта (это сохранит ваши статьи, комментарии, странички и прочее наполнение вашего сайта), а также иногда желательно делать копию всех файлов темы через FTP (например через программу FileZilla).

Для регулярного резервного копирования базы данных можно воспользоваться плагином WordPress Database Backup (установка стандартная: переходим в панель управления вашим сайтом – далее нажимаем на пункт “Плагины” – далее подпункт “Добавить новый” – в строке поиска вводим WordPress Database Backup и находим вот такую строчку WP-DB-Backup, далее жмем активировать и установить).

По данным сайта wordpress.org:

Количество скачиваний данного плагина: 1,327,168 раз

Количество проголосовавших: 515 человек (4 звезды из 5).

После активизации в панели управления вашим сайтом в левом меню в пункте “Инструменты” появился подпункт “Резервное копирование”, открываем его и видим следующие настройки:

Я поставил пункты «Отправить на e-mail», на который будет отправляться резервная копия, а периодичность отправки базы данных – раз в день.

Можно не отправлять на свой e-mail базу данных, а создавать ее копию только при каких-нибудь ваших изменениях, для этого необходимо выбрать пункт ” Скачать на компьютер” и нажать на кнопку “Создать архив!”.

Также возможно создавать копии ваших баз данных через ваш хостинг.

Желательно после скачивания базы данных на ваш компьютер сохранить ее на флешку или диск, так будет надежнее.

Отслеживание изменений файлов вашего сайта.

Далее приступим к мониторингу изменений файлов сайта.

Плагины контроля за изменением файлов сайта:

1. WordPress File Monitor Plus – на русском языке.

Особенности

  • Контроль файловой системы на предмет добавленных, удаленных, измененных файлов
  • Отправка по электронной почте при обнаружении изменений
  • Предупреждения в админ. панели для уведомления об изменениях
  • Возможность контролировать изменения файлов по изменению хэш функции файла, времени изменения или изменению размера файла
  • Возможность исключения файлов и каталогов из проверки (например, если вы используете кэширование системы, которая хранит свои файлы в контролируемой зоне)
  • Включение URL сайта в уведомление по электронной почте в случае, если плагин используется на нескольких сайтах
  • Возможность запуска проверки таким образом, чтобы не замедлять визиты на сайт и обеспечить большую гибкость планирования
  • Возможность перечисления расширений файлов, которые будут проигнорированы или наоборот просканированы.

Если у вас есть подозрения на вредоносное изменение, то нужно просмотреть этот файл с помощью редактора или, пройдя по указанному пути на хостинге. Если в указанное время Вы собственноручно ничего не меняли, то изменения появились в результате взлома или заражения. Т.е в этом файле нужно найти подозрительный вредоносный код и удалить его.

Данный плагин я поставил на свой сайт, достаточно удобно, когда уведомления об изменениях появляются при входе в панель управления, а также отсылаются на ваш почтовой адрес.

2. Simple Changed Files – на английском, но плагин очень прост в использовании.

В отличие от WordPress File Monitor Plus, плагин не отсылает уведомлений на электронную почту и не показывает предупреждений в админ. панели. Работает только по требованию. Плагин способен показывать изменения в файлах, произошедшие до его установки. Поэтому его не обязательно держать постоянно включенным – можно проверить файлы, далее его удалить или деактивировать, а когда нужно выполнить проверку заново, опять активировать или установить заново.После установки и активизации плагина заходим в левом меню нашей панели управления в пункт “Инструменты” и выбираем подпункт “Simple Changed Files” и видим его настройки:

В строке Start Time вводится момент времени, начиная с которого интересуют изменения файлов (указывать обязательно). В строке End Time вводится конец интересующего промежутка времени (указывать не обязательно, то есть при не указанном данном параметре отчет об изменениях будет выводится до текущего времени). Формат ввода времени поддерживает следующий: “May 4” или “2011-05-04” (год-месяц-день) или “2pm” (здесь “2”- это часы от 1 до 12, а далее следует параметр обозначающий время до обеда или после, так “am” (утро) – это время с 00.00 до 12.00, а “pm” (вечер) – с 12.00 до 24.00 ). Можно так же комбинировать данные параметры, ну например: 2012-04-29 2am (2.00 ч. 29 апреля 2012 г.). Кнопка Review Setting показывает за какой временной промежуток будет выводиться отчет об измененных файлах. Кнопка Run запускает сканирование изменений и выводит отчет. Изменившиеся файлы будут показаны в таблице ниже.

Необходимые приемы для улучшения безопасности вашего сайта на WordPress.

Перед проведением ниже указанных действий не забудьте сделать резервную копию вашей базы данных и всех папок и файлов вашего сайта, чтобы не потерять данные.

Здесь я перечислю самые необходимые меры:

1. Следим за последними обновлениями самой WordPress и установленными на нашем сайте плагинами.

Обновить WordPress и имеющиеся у вас плагины можно автоматически, если зайти в панели управления вашим сайтом и в левом меню в пункте “Панель” выбрать подпункт “Обновления”.

2. Усложняем пароли.

В первую очередь, усложните пароль от вашего домена – здесь можно поставить пароль длиною 20-30 символов, при этом используя буквы, цифры, специальные символы и регистр (заглавные буквы).

Также рекомендуется усложнить пароли для входа в панель управления, базы данных, для хостинга, для почтовых ящиков, но так как данные пароли часто используются для создания и редактирования контента, то есть для вашей работы над сайтом, сильно сложными и длинными делать их не советую – это замедлит вашу работу.

Также стараемся не сохранять пароли в программах и браузерах, то есть функция “автозаполнения пароля” или функция “запомнить меня”.

3. Меняем логин admin на другой.

У большинства пользователей логин администратора – admin, что упрощает взломщику войти в вашу панель управления, ведь ему остается только подобрать пароль.

Рассмотрим самый простой и быстрый способ смены логина администратора через панель управления вашим сайтом.

Входим в левом меню панели управления вашим сайтом в пункт “Пользователи”, далее выбираем подпункт “Добавить нового”.

Вписываем новое имя администратора, адрес почты, отличный от старого адреса, пароль.

В строке “Роль” выставляем Администратор.

Далее жмем на кнопку Добавить нового пользователя.

Выходим из админ панели (так как мы сами себя удалить не сможем), заходим под новым именем администратора и удаляем пользователя со старым именем (с логином admin).

Как видите записи и ссылки старого администратора можно перенести на нового и ничего не потеряется.

Можно и не удалять администратора с логином admin, а просто понизить его роль, например до “Подписчика”, думаю этого будет достаточно.

4. Убираем подсказку о неверно набранном логине, пароле при входе в панель управления.

Для того, чтобы убрать подсказку необходимо добавить небольшой код в functions.php:

5. Удаляем ссылку входа в панель управления со страниц вашего сайта, чтобы вашим пользователям не захотелось взломать ваш сайт просто для интереса.

6. Скрываем страничку входа с помощью плагина wSecure Authentication – как его настроить – читайте в моей предыдущей статье.

7. Ограничиваем количество попыток ввода пароля и логина на страничке входа в панель управления.

Имеются 2 достаточно популярных плагина (оба есть на wordpress.org):

– плагин Login Lockdown

Последняя дата обновления: 2009-9-17

Количество загрузок: 157,894 раз.

Но он достаточно давно не обновлялся, поэтому я выбрал следующий плагин, а именно:

– плагин Limit Login Attempts

Последняя дата обновления: 2011-8-25

Количество загрузок: 125,155 раз.

Устанавливаем данный плагин стандартно, а именно: переходим в панель управления вашим сайтом, далее в левом меню выбираем пункт “Плагины”, далее подпункт “Добавить новый”, в строке поиска печатаем Limit Login Attempts, далее жмем установить и активизировать.

Для того, чтобы перейти к настройке плагина заходим в левом меню вашей панели управления в пункт “Настройки” и выбираем подпункт Limit Login Attempts.

Выше вы можете увидеть мои настройки, однако можно оставить и настройки по умолчанию, кроме пункта “Обрабатывать куки логина”. Здесь я рекомендую вам поставить параметр “Нет”. Параметр “Да” в этой строке можно оставить только тогда, когда Вы уверены, что будете входить в админ панель своего сайта только с одного компьютера, только с одного браузера и никогда не будете удалять куки. Разумеется, в браузере должен быть разрешен прием куки.

8. Вводим пароль, логин и прочую важную информацию через виртуальную клавиатуру.

Если у вас Windows, то есть стандартная экранная клавиатура, я использую именно ее, хотя в интернете есть более удобные аналоги.

Добраться до нее очень просто:

Пуск- Все программы -Стандартные – Специальные возможности – Экранная клавиатура.

9. Изменяем расположение файла wp-config.php.

Файл конфигурации WordPress «wp-config.php», можно убрать из папки блога, на один уровень вверх, там где его никто не найдет, что повысить безопасность блога. К примеру, блог находится в папке «/ваш сайт.ru/public_html/» как правило, к папке «ваш сайт.ru» доступа через веб уже нет, но если переместить туда файл wp-config.php, WordPress все еще будет работать, потому, как умеет искать файл конфигурации в папке на уровень выше.

10. Настраиваем необходимые права доступа на файлы и папки.

Для этого воспользуемся плагином WP Security Scan установим его посмотрим какие права должны стоять и исправим, а после можно его удалить.

Устанавливаем данный плагин как обычно – в панели управления в левом меню выбираем “Плагины” – подпункт “Добавить новый” – в строке поиска вводим WP Security Scan – далее жмем установить и активировать.

В левом меню в панели управления появился пункт WSD security, выбираем в нем подпункт “Scanner” и видим следующую таблицу:

Name – наименование файлов и папок Вашего сайта (root directory – это папка public_html).
File/Dir – показывает путь к папке или файлу.
Needed Chmod – показывает рекомендуемый код прав доступа на данную папку или файл.
Current Chmod – демонстрирует код прав доступа, который существует у Вас на данный момент.

Расхождения столбцов Needed Chmod и Current Chmod выделяются желтым цветом.

Код доступа тем выше, чем больше возможностей у других лиц использовать данный файл (просматривать, записывать, выполнять над ним какие-либо действия).

Так например при коде доступа 777 – каждый может читать, записывать и выполнять все действия над папкой и файлом, а при коде 644 – все могут просматривать (читать) данный файл, папку, но только владелец может изменять ее.

Что вам нужно сделать? Во первых проверяете все выделенные желтым цветом строчки и если код доступа в столбце Needed Chmod ниже, чем в столбце Current Chmod – то необходимо поменять права доступа ( в других случаях, когда Needed Chmod больше или равен Current Chmod можно оставлять все как есть – угрозы нет).

Для изменения значений кода прав доступа я пользуюсь программой FileZilla, для этого просто подключаетесь к вашему хостингу, ищите необходимую вам папку или файл, у которого необходимо изменить права доступа, нажимаете не ней правой кнопкой мыши и выбираете пункт “Атрибуты файла” и у вас появиться окошко наподобие скриншота выше, там в поле “Числовое значение” ставите нужный вам код прав доступа, такой как в столбце Needed Chmod .

А вообще возможности плагина WP Security Scan достаточно большие, а именно:
1. Установка надежных паролей и смена логина
2. Установка прав доступа
3. Безопасность баз данных
4. Сокрытие версии
5. Защита директории администратора WordPress

Однако, разработчики плагина предупреждают, что все действия, который плагин произвел для увеличения безопасности вашего сайта, а именно: сокрытие версии, отключение ошибок БД, удаление WP ID META тегов из HTML-вывода и другие функциональные возможности прекратятся, если отключить плагин.

Более подробно читайте про этот плагин по следующей ссылке:

5 лучших плагинов для настройки безопасности и защиты вашего сайта на WordPress

WordPress является популярной CMS, которую легко использовать. Вот почему множество новичков выбирают WordPress для создания динамичных веб-сайтов. Но они сталкиваются с трудностями выбора системы безопасности. Поскольку WordPress переполнен разнообразными решениями по её обеспечению.

Знание современных и актуальных систем безопасности может помочь людям спасти свои веб-сайты от взлома, но не все новички хотят углубляться в код. Да, мы имеем в виду энтузиастов и новичков, которые хотят обезопасить свой веб-сайт, не используя код.

В этой статье мы постараемся помочь вам защитить ваш веб-сайт, вне зависимости от ваших знаний кода WordPress.

Итак, давайте поговорим о безопасности в WordPress для новичков.

Безопасность WordPress для новичков

Если вы хотите усилить безопасность вашего WordPress сайта, не используя код, или если вы хотите, чтобы кто-то позаботился о системе безопасности за вас, то эта статья для вас. Тут вы найдёте для этого бесплатные и премиум инструменты.

Как оказалось, для безопасности WordPress существует масса приложений. Вы найдёте более 1000 вариантов, если просто введёте в поиск по WordPress плагинам слово «безопасность». Но появляется проблема выбора. На какой плагин можно положиться? Мы используем несколько плагинов уже более 5 лет и расскажем о некоторых из них.

Плагины, которые мы перечислим, входят в список наиболее популярных на WordPress на сегодняшний день. Вы не пожалеете, если выберете один из них.

1. iThemes Security

Начнём мы наш список с iThemes Security потому, что его используют на более 700,000 сайтах.

Крис Вигман создал этот плагин, который впоследствии купили iThemes. Мы говорим это по двум причинам:

  1. Крис является потрясающим разработчиком, и мы доверяем его работе
  2. iThemes – это одна из сильнейших компаний WordPress, все её плагины обновляются довольно часто и имеют отличную техническую поддержку.

На данный момент — это наилучший плагин безопасности. Он возглавляет список с 700,000 активными установками. Он предлагает более 30 способов защиты вашего веб-сайта WordPress.

После установки просто дайте плагину сделать свою работу. Он выполняет функции поиска, удаления и защиты в дальнейшем от вредоносных программ. Этот плагин могут легко настроить под свои нужды как новички, так и опытные пользователи.

iThemes Security защищает от большинства угроз. Он блокирует вредоносные аккаунты, проверяет изменения в базовых файлах, сохраняет надёжные пароли, скрывает логин и админ страницу, и многое другое.

Премиум версия имеет несколько дополнительных опций и стоит от $80 за год защиты для двух сайтов.

2. Sucuri

Sucuri на рынке премиум плагинов WordPress имеет репутацию престижного плагина. Разработчики проделали отличную работу, следуя новейшим течениям в сфере безопасности, чем обезопасили тысячи веб-сайтов WordPress.

Для WordPress у Sucuri есть бесплатный плагин для аудита, сканера вредоносных программ и повышения уровня безопасности вашего сайта. Но премиум версия стоит каждой своей копейки. Цена в месяц начинается от $16,66. Если вы профессионал и хотите найти лучший плагин для обеспечения безопасности вашего сайта, то обязательно обратите внимание на Sucuri.

Sucuri предоставляет полный цикл для отслеживания и предотвращения нападения и взлома вашего веб-сайта. В него входят WAF брандмауэр, антивирус и служба удаления вредоносных программ. По любым вопросам вы всегда можете обратиться в службу поддержки.

Помимо обнаружения вредоносных программ и защиты вашего сайта, Sucuri работает и с взломами. Предположим, что ваш сайт взломали. Плагин удалит вредоносное программное обеспечение в течение 12 часов, а также пришлёт вам уведомление о любом вредоносном действии.

Sucuri также предлагает такие функции как регулярные бэкапы, защита и сканирование в реальном времени, сертификаты SSL, защита от DDoS атак, идентификация DNS и изменения WHOIS, и многое другие.

3. VaultPress

Регулярное создание резервных копий тоже принадлежит к числу мер для обеспечения безопасности сайта. За разумную цену VaultPress обеспечивает своих клиентов созданием бэкапов и работой системы безопасности. В набор функций входят также регулярное сканирование сайта, автоматические бэкапы, техническая поддержка.

Мы начали использовать этот плагин, как только он вышел. Команда поддержки помогла нам отследить и решить несколько проблем с безопасностью некоторых сторонних плагинов. Мы можем без сомнений порекомендовать этот плагин для создания резервных копий и сканирования системы.

Если сайт таки удалось взломать, то VaultPress очень быстро возвращает вам контроль над веб-сайтом.

4. Wordfence Security

Wordfence Security – это ещё один плагин для настройки безопасности, который доступен как в платной, так и в бесплатной версии. Его используют более миллиона веб-сайтов. Его мощный Web Application Firewall с Threat Defense Feed защитит ваш веб-сайт от взлома. Обе эти функции блокируют угрозы, к примеру, поддельные Google Bots, Botnets и так далее.

Плагин имеет надежный механизм сканирования, который уведомляет вас о всех подозрительных действиях. Он отслеживает не только вредоносное программное обеспечение, но и любые изменения в файлах, внедрение кода, попытки входа в систему и прочее.

Wordfence Security предлагает уникальную функцию Live Traffic View, которая показывает статистику вашего веб-сайта в режиме реального времени. Это значит, что вы успеете принять своевременные меры при попытках взлома вашего сайта.

Плагин содержит Falcon Engine, который обеспечивает быстрый процесс кэширования. Также наравне с функциями управления кэшем существуют 2 режима кэширования, и это возможность очистить кэш и отслеживание использования кэша.

Чтобы получить расширенный список функций, нужно установить премиум версию .

5. All In One WP Security & Firewall

All In One WP Security & Firewall – это уникальный плагин, который очень нравится пользователям. Его легко настроить, а потом просто наслаждаться защищённостью своего сайта. На данный момент у него более 400,000 установок на сайты, что ставит его в один ряд с iThemes Security.

С интуитивно понятным набором функций вы можете вывести безопасность вашего сайта на новый уровень. Интересной особенностью является система оценки безопасности, которая варьируется от 0 до 470. Так вы поймёте, какой веб-компонент нуждается в дополнительной защите. Вся информация отображается в консоли.

Для избежания поломки сайта All In One WP Security & Firewall работает в 3 режимах: базовый, средний и расширенный. Для начала вы можете выбрать базовый режим, а потом перейти на следующие.

В набор функций этого плагина входят также запрет на прямые ссылки изображений, защита от атак, управление префиксом базы данных, защита с помощью брандмауэра, блокировка IP адресов и многое другое.

Итоги

Всегда необходимо заботиться о безопасности своего веб-сайта. Это ставит вас в более выгодное положение в сравнении с теми, кто решил игнорировать этот вопрос. Существует ещё несколько достойных плагинов помимо тех, которые мы уже назвали. Но мы выносим такой вердикт:

  • Лучший бесплатный плагин — iThemes Security
  • Лучший премиум плагин — Sucuri

А какие плагины для настройки безопасности используете вы? Расскажите нам в комментариях!

Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить этот пост!

Средний рейтинг: 5 / 5. Количество голосов: 3

Добавить комментарий