Безопасность WordPress как процесс


Оглавление (нажмите, чтобы открыть):

Как защитить сайт на WordPress — 17 способов

На сегодняшний день WordPress – это одна из самых популярных и распространенных систем управления контентом в мире. На основе этого удобного и простого движка строится множество блогов, сайтов, порталов. Но такая простота и распространенность привлекают внимание не только честных пользователей, но и злоумышленников. Сделать сайт сейчас может любой школьник, а вот чтобы грамотно его защитить, потребуются знания и хотя бы небольшой опыт.

Именно поэтому защищенность и безопасность WordPress – это один из главнейших аспектов работы над вашим веб-сайтом. Защита WordPress от взлома включает в себя множество способов, которые важно применять всем, кто не хочет, чтобы их сайт пострадал.

Сегодня мы рассмотрим ряд простейших, но в то же время очень важных способов защиты сайта на WordPress.

Из статьи вы узнаете:

1. Используйте хороший логин.

Защита сайта на WordPress начинается с элементарного — создания хорошего логина. Устанавливая WordPress, пользователи часто используют логин, который программа установки предлагает по умолчанию, а именно – admin. Это то, что проверяют боты, ищущие дыры в безопасности вашего сайта, в первую очередь. Используя этот логин, вы уже предоставляете половину необходимой информации для хакеров, и им остается только подобрать пароль.

Если вы уже установили платформу и работаете над вашим сайтом, то вряд ли вам захочется удалять установку и начинать всё с чистого листа, чтобы использовать более надежный логин. Выход есть:

Шаг 1 – Создание нового пользователя

Войдите в административную панель WordPress и создайте новую учётную запись с более сложным логином, наделенную полным доступом ко всем функциям сайта, то есть правами администратора.

В главном меню слева выберите Пользователи >> Добавить нового.

Введите всю необходимую информацию для нового пользователя, определив его роль как «Администратор» и нажмите «Добавить нового пользователя».

Шаг 2 – Удаление пользователя admin

После этого выйдите из системы управления, войдите под новой учетной записью и удалите пользователя admin из системы одним из способов:

Способ 1 – В главном меню слева выберите Пользователи >> Все пользователи. Наведите на имя пользователя admin, и вы увидите функцию «Удалить».

Способ 2 — В главном меню слева выберите Пользователи >> Все пользователи. Найдите пользователя admin, отметьте его галочкой и из выпадающего меню «Действия» выберите «Удалить». После этого нажмите на опцию «Применить» под списком пользователей. Эта опция удобна, если вам необходимо удалить сразу несколько пользователей.

Так же вы можете изменить имя пользователя admin через запрос к базе данных:
UPDATE wp_users SET user_login = ‘новый_логин’ WHERE user_login = ‘admin’;

У данного способа есть минус: автор для постов, написанных пользователем admin, не будет изменен. Для того, чтобы это исправить, необходимо сделать еще один запрос к базе данных:
UPDATE wp_posts SET post_author = ‘новый_логин’ WHERE post_author = ‘admin’;

2. Используйте сложный и уникальный пароль.

Защита админки WordPress, конечно, невозможна без сложного хорошего пароля. Важно, чтобы он был уникальным и включал в себя цифры, буквы разных регистров, знаки пунктуации, символы и прочее. Пароли типа: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, дата вашего рождения и т.д. – не являются надежными, но многие пользователи продолжают их использовать. Пример хорошего пароля: pcVaOF8r39. Конечно, вам сложно будет запомнить такой пароль, но для этого существует ряд программ, которые хранят и генерируют пароли, а также могут быть интегрированы в интерфейс вашего браузера (например, Password Agent, KeyPass, Roboform и т.д.)

Если вы все же хотели бы помнить свои пароли наизусть, рекомендуем создавать комбинированный пароль из хорошо знакомого вам названия/слова с несколькими большими буквами/цифрами в случайных местах и несколькими специальными символами в начале или конце. Такой пароль также будет сложен для подбора, но его будет достаточно легко запомнить.

Не забывайте регулярно обновлять свои пароли.

3. Обновляйте версию WordPress.

WordPress заботится о своих пользователях, и поэтому в административной панели управления вы можете найти уведомления о выходе новой версии. Рекомендуем совершить обновление, как только вы увидите его, поскольку одной из самых распространенных брешей в защищенности вашего сайта является использование устаревшей версии платформы.

4. Скрывайте версию WordPress.

WordPress по умолчанию добавляет номер текущей версии в исходный код своих файлов и страниц. И поскольку довольно часто не всегда удается вовремя обновлять версию WordPress, это может стать слабым местом вашего веб-сайта. Зная, какая у вас версия WordPress, хакер может принести много вреда.

С помощью файла functions.php можно запретить вывод информации о версии вашей платформы. Для этого вам необходимо открыть файл functions.php, расположенный в корневой папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_wordpress), и добавить следующий код:
remove_action(‘wp_head’, ‘wp_generator’);

Или же можно добавить следующий код в файл functions.php:

/* Hide WP version strings from scripts and styles
* @return $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) <
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) <
$src = remove_query_arg(‘ver’, $src);
>
return $src;
>
add_filter( ‘script_loader_src’, ‘fjarrett_remove_wp_version_strings’ );
add_filter( ‘style_loader_src’, ‘fjarrett_remove_wp_version_strings’ );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() <
return »;
>
add_filter(‘the_generator’, ‘wpmudev_remove_version’);

Помимо вышесказанного, в папке любой темы WordPress, вы найдете header.php файл. В нём также указывается версия вашей установки, что для хакера является очень интересным, как упоминалось ранее. Удалив следующую строку из файла, вы избавитесь от этой лишней информации:

5. Скачивайте темы и плагины с надежных ресурсов.

WordPress является настолько распространенным, что всё больше разработчиков создают для него готовые темы и плагины. В то время как большинство из них облегчат работу с вашим сайтом и расширят его функциональность, некоторые могут скрывать в себе весьма неприятные последствия в виде вирусов и открывать двери для хакеров. Используйте только проверенные ресурсы для скачивания тем и плагинов, например, wordpress.org, а также обращайте внимание на все появляющиеся предупреждения о вредоносности файлов. Как и в случае с самим WordPress, важно вовремя обновлять плагины до последних версий.

6. Не храните ненужные файлы.

Неактивные расширения могут представлять серьезную угрозу для безопасности вашего сайта. Поэтому смело удаляйте все неиспользуемые плагины и темы. Например, вы устанавливали woocommerce-плагины, чтобы потестировать и выбрать тот, который будете использовать. После выбора не забудьте удалить все ненужные.

7. Регулярно проверяйте свой локальный компьютер на наличие вирусов.

Осуществление различных шагов по обеспечению безопасности сайта на WordPress – это хорошо, но и за компьютером необходимо следить. У вас должен быть установлен постоянно обновляемый антивирус. В противном случае, вы рискуете заразить ваш веб-сайт, загрузив на него вирусные файлы.

8. Делайте резервные копии сайта.

Не все атаки злоумышленников возможно предупредить, но всего лишь одна успешная атака может уничтожить все усилия по работе над вашим сайтом. Советуем делать регулярные резервные копии веб-сайта. Многие хостинговые компании предоставляют опцию серверных резервных копий и в случае чего, вы сможете восстановить сайт из копии, которая доступна на сервере.

Но рекомендуем не ограничиваться такими серверными резервными копиями, поскольку важно позаботиться о бекапах и с вашей стороны. Вы можете вручную создавать копии вашего сайта с определенной периодичностью или перед важными обновлениями, но также существует ряд плагинов, которые помогут автоматически создавать копии WordPress. Вы можете ознакомиться с различными вариантами здесь: wordpress.org/plugins/tags/backup

Установив плагин WordPress Database Backup, вы дополнительно сможете обезопасить базу данных вашего сайта. Настройки плагина позволяют установить опцию ежедневной отправки резервной копии базы данных на ваш контактный почтовый ящик.

9. Используйте защищенное соединение.

Если вы предпочитаете загружать ваши файлы с помощью FTP-клиента, используйте защищенный протокол соединения к серверу SFTP.

10. Создайте .htaccess файл.

.htaccess файл — это главный конфигурационный файл веб-сервера, который находится в корневой папке вашего веб-сайта. Если у вас нет этого файла, просто создайте его с помощью текстового редактора. Расширения у файла нет, поэтому вам достаточно будет назвать новый файл .htaccess.

Это вид стандартного WordPress файл .htaccess:

Важно: Все изменения в .htaccess необходимо вносить только после #END WordPress.

Добавляя в этот файл различные вариации кода, можно значительно обезопасить ваш сайт:

Код, блокирующий доступ к вашему wp-config.php файлу, который содержит важную информацию, необходимую для соединения к серверу MySQL и базе данных:

order allow, deny
deny from all

Код, который ограничит доступ к самому .htaccess файлу:

order allow, deny
deny from all

Таким же образом можно защитить любой другой файл, просто заменив в коде «.htaccess» на название необходимого файла.

Код, который ограничивает доступ пользователей с определенным IP-адресом к вашему сайту:

order allow,deny
allow from all
deny from X.X.X.X

Так вы можете запретить доступ подозрительных пользователей, спамеров и ботов, поскольку их IP-адреса часто повторяются. Тем самым вы также снизите нагрузку на сервер.

Код, который дает доступ к вашему сайту только пользователям с определенным IP-адресом:

order deny,allow
deny from all
allow from X.X.X.X

Код, который ограничивает доступ к админ-панели управления вашего сайта (это удобно, если у вас статический IP-адрес, и вы можете установить доступ только для себя):

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName «Access Control»
AuthType Basic
order deny, allow
deny from all
allow from X.X.X.X

Код, запрещающий отслеживание HTTP заголовков:

RewriteEngine On
RewriteCond % ^TRACE
RewriteRule .* — [F]

Код, защищающий от SQL-инъекций – самый распространенный вид атак на WordPress сайты:

RewriteCond % (\ |%3E) [NC, OR]
RewriteCond % GLOBALS(=|\[|\%[0 — 9A-Z]<0, 2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0 — 9A-Z] <0,2>)
RewriteRule ^(.*)$ index.php [F.L]

Код, который не даст просмотреть папки на вашем сервере, набрав их полный путь:

Например, набрав в браузере http://yourdomain.com/wp-includes, вы увидите всё содержимое папки «wp-includes», что, конечно же, не является безопасным. С этим кодом пользователи увидят ответ от сервера — 403 Forbidden.

Альтернативным методом скрытия подпапок, является создание пустого index.php файла в каждой директории. Таким образом, при открытии http://yourdomain.com/wp-includes браузер отобразит пустую страницу.

Код, который защищает от использования XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST:

Options +FollowSymLinks
RewriteEngine On
RewriteCond % (\ |%3E) [NC,OR]
RewriteCond % GLOBALS(=|\[|\%[0-9A-Z]<0,2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0-9A-Z]<0,2>)
RewriteRule ^(.*)$ index.php [F,L]

Для этой же цели можно использовать ряд WordPress плагинов, которые вы сможете найти здесь: wordpress.org/plugins/tags/xss

Код, защищающий от хотлинкинга:

RewriteEngine On
RewriteCond % !^http://(.+\.)?yourdomain\.com/ [NC]
RewriteCond % !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Хотлинкинг – это вставка изображения с вашего сервера на чужой сайт\блог. Трафик же при этом идет непосредственно на ваш сервер.

При помощи кода, указанного выше, вы можете заставить сервер проверить, откуда именно пришел запрос: если со страниц вашего веб-сайта, то сервер отдает изображение пользователю без проблем; если же с чужого веб-сайта – то показывает изображение с ошибкой.

11. Измените префикс таблиц базы данных.

Защита WordPress от хакеров также усилится, если убрать первоначальный префикс wp_ — это усложнит поиск для злоумышленников. Рассмотрим несколько способов:

Способ 1 – Подходит для новых установок через Softaculous
Если ваш хостинг-провайдер предоставляет вам возможность использования скрипта Softaculous для установки WordPress, то изменить префикс вы можете во время первоначальной установки: в секции Advanced Options вам необходимо будет внести требуемые изменения.

Способ 2 – Для уже работающих сайтов и свежих установок WordPress
Если ваш WordPress давно установлен и сайт работает, то вы можете поменять префикс базы данных с помощью программы phpMyAdmin.

Выберите необходимую базу данных из списка и сделайте следующий запрос к базе данных:

RENAME table `wp_commentmeta` TO `newprefix_commentmeta`;
RENAME table `wp_comments` TO `newprefix_comments`;
RENAME table `wp_links` TO `newprefix_links`;
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

где «newprefix_» необходимо заменить на новый префикс, который вы хотите использовать вместо префикса «wp_».

После этого вы увидите новый префикс в таблицах базы данных:

Чтобы убедиться, что все изменения прошли успешно и префикс wp_ больше не используется в таблице _options и _usermeta, вам необходимо будет сделать еще один запрос к базе данных:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE ‘%wp_%’

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE ‘%wp_%’

В результате вы можете найти ряд префиксов, которые вам необходимо будет переименовать вручную с помощью кнопки Изменить:

Количество изменений, которые вам необходимо будет внести, может различаться. Но все префиксы wp_ вы должны изменить на ваш новый префикс для нормального функционирования веб-сайта.

После этого не забудьте также внести изменения префикса в wp-config.php файле:

Вы также можете использовать специальные плагины для изменения префикса базы данных: Change DB prefix или Change table prefix.

12. Ограничивайте количество попыток доступа.

Чаще всего злоумышленники делают огромное количество попыток входа на ваш сайт, подбирая пароль. Вы можете настроить систему таким образом, чтобы IP-адрес был заблокирован на несколько часов после определенного количества неудавшихся попыток входа.

Для этого вы можете использовать дополнительные плагины, например, Login LockDown или Limit Login Attempts. В настройках этих плагинов, вы можете самостоятельно установить количество попыток входа и время блокировки.

Дополнительно существует возможность убрать отображение сообщения о том, что введенный логин и пароль неверен. Ведь это тоже информация, которая может помочь злоумышленнику.

Чтобы убрать вывод этого сообщения, необходимо открыть файл functions.php, расположенный в папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_WordPress) и добавить такой код:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));

13. Удалите readme.html и license.txt.

Файлы readme.html и license.txt присутствуют в корневой папке любой установки WordPress. Вам эти файлы ни к чему, а хакерам они могут облечить их злодеяния. Например, чтобы выяснить текущую версию вашего WordPress и много чего другого полезного для взлома веб-сайта. Рекомендуем удалить их сразу же после установки WordPress.

14. Используйте SSL-сертификат.

Для передачи защищенной информации и конфиденциальности обмена данными, рекомендуем использовать SSL-протокол. Особенно это актуально для интернет-магазинов, если вы не хотите, чтобы личные данные о ваших клиентах передавалась незащищенным путем.

Прежде всего вам необходимо будет приобрести SSL-сертификат и установить его для вашего доменного имени.

После этого вы сможете установить обязательное использование SSL-протокола при входе в панель управления вашим сайтом. Для этого откройте wp-config.php файл, расположенный в корневой папке вашего веб-сайта, и добавьте следующую строку:
define(‘FORCE_SSL_ADMIN’, true);

15. Измените файл wp-config.php.

Добавив такой код в wp-config.php файл, вы так же сможете укрепить защиту вашего веб-сайта:

Ограничение на изменения темы и плагинов:
define( ‘DISALLOW_FILE_EDIT’, true );

Отключение возможности установки и удаления плагинов:
define( ‘DISALLOW_FILE_MODS’, true );

Добавление salt-ключей или так называемых ключей безопасности: сначала необходимо будет найти такие строки в wp-config.php файле:

Вы увидите, что ключи уже установлены и их можно поменять. Либо вы увидите строки такого типа: ‘put your unique phrase here’, что говорит о том, что ключи пока не установлены:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the <@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service>
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

Просто перейдите по ссылке api.wordpress.org/secret-key/1.1/salt/, где будут сгенерированны новые ключи. Скопируйте их и вставьте в wp-config.php файл.

Такие salt-ключи используются для усиления защищенности информации, хранящейся в cookie пользователей. Они усложняют процесс взлома пользовательских паролей.

16. Используйте двухфакторную аутентификацию учетных записей.

Для усиления безопасности ваших паролей все чаще используется метод нескольких видов аутентификации. После того, как вы вводите пароль на сайте, вам высылается запрос на новый одноразовый пароль, который вы получаете на контактный номер телефона или электронную почту (возможен переход по определенной ссылке из письма). Поэтому даже если ваш основной пароль был взломан, хакеру не удастся войти в аккаунт без доступа к вашему телефону или электронной почте.

Одни из самых популярных плагинов двухфакторной верификации WordPress – это Google Authenticator и Clef Two-Factor Authentication.

17. Используйте плагины, обеспечивающие безопасность.

Помимо всех перечисленных способов обезопасить свой веб-сайт, существует так же большое количество специальных плагинов, разработанных для WordPress. Вы можете найти их здесь: wordpress.org/plugins/tags/security

О некоторых плагинах хочется упомянуть отдельно:

Это плагин безопасности WordPress, который позволяет сканировать ваш веб-сайт с целью поисков вредоносного кода, брешей и лазеек, оставленных хакерами, показывая аналитику сайта и трафика в реальном времени. Также существует возможность настройки автоматического сканирования и многое другое.

Этот плагин проверяет ваш веб-сайт на различные уязвимости в безопасности и предлагает ряд методов по их устранению. Например, пароли, разные права доступа к файлам, защита баз данных, защита информации о версии WordPress, защита администратора и прочее.

Этот плагин позволяет обезопасить пользовательские аккаунты и логины, базы данных и файловую систему, предотвратить брутфорс атаки (атаки, связанные с подбором пароля), сканировать сайт и прочее.

Также рекомендуем плагин для защиты админки на WordPress LoginLockDown, который защищает от подбора пароля и логина.

Как бы грустно это ни звучало, но защита WordPress — вещь сложная, и описанные в этой статье способы не гарантируют на 100%, что ваш сайт будет полностью защищен от каких-либо действий мошенников. Однако, пренебрегать ими не стоит, так как они значительно уменьшат возможность взлома сайта злоумышленниками.

Читайте также другие статьи по теме WordPress:

Безопасность WordPress

Перед прочтением данной статьи вы должны четко понимать, что 100% гарантии безопасности вашего сайта (не зависимо от CMS) не может дать никто. Дело лишь за тем, сколько стоит информация на сайте. И если она стоит миллионы, для защиты сайта понадобится опытная команда программистов, а если несколько тысяч долларов, то следующие советы помогут здорово улучшить безопасность вашего WordPress-сайта.

Внимание! Посмотрите основные правила безопасности, которые предназначены для большинства сайтов и не зависят от того, на каком движке они сделаны. Тем более в этой статье они не повторяются, т.к. в ней мы сосредоточились на особенностях Вордпресса.

Как защитить WordPress от взлома?

1. Обновляйте движок

Постоянно проверяйте обновления вашего WordPress, т.к. разработчики с помощью патчей устраняют уязвимости системы. Вот простой пример — хакер находит уязвимость в движке, и взламывает его. Учитывая, что этот движок стоит на тысячах сайтов, то используя этот способ можно почти в автоматическом режиме взломать и остальные сайты. Сюда также можно добавить темы и плагины. Поэтому не ленитесь и обновляйте все, что можно обновить.

2. Не используйте подозрительные плагины

Не устанавливайте себе на сайт всякую чепуху. Сейчас появляется огромное количество горе-разработчиков, которые пишут различные плагины на тяп-ляп. Такие плагины имеют большое количество дыр в безопасности и являются лакомым кусочком для хакеров. Поэтому устанавливайте на свой сайт только те расширения, которые действительно нужны и смогут улучшить его. Смотрите отзывы об этих расширениях, и проверяйте того, кто их разрабатывает.

3. Используйте надежный хостинг

Если смотреть на безопасность сайта в целом, то ее можно обозначить как связку CMS и ПО, которое установлено на сервере Вашего хостинг-провайдера. Да-да-да, именно это ПО тоже имеет дыры и его нужно постоянно обновлять. К сожалению не все хостеры делают это. Также, при DDOS-атаках на сайты, которые находятся на том же сервере, что и Ваш сайт, у плохого хостера будет долгое время недоступен и Ваш ресурс тоже. В общем выбирайте качественную хостинг-компанию, с хорошими отзывами и большим количеством клиентов. На нашем сайте есть рейтинги, которые составлены под конкретные задачи сайта, найти их можно в футере.

4. Установите надежные логин и пароль

Не используйте логин admin, т.к. это помогает хакеру подобрать пароль к Вашей админке. Также следите за тем, чтобы пароль был сложным. И самое главное — не храните логин\пароль в браузере и следите за тем, чтобы на вашем компьютере не было вирусов (они следят за всем, что вводится с клавиатуры и крадут).

5. Ограничьте количество попыток входа

Если хакер осуществляет попытку взломать сайт путем подбора логина и пароля, то теоретически когда-нибудь он это сделает. Помешать этому можно путем ограничения попыток неверного ввода с одного IP-адреса. Для этого используют плагины Limit Login Attempts и Login LockDown.

6. Используйте надежные темы

Перед установкой темы обязательно посмотрите кто ее сделал, старайтесь чтобы это была известная и опытная команда. Также следует запретить редактирование файлов вашей темы из админ-панели. Это поможет в том случае, хакер получит доступ к админке. Чтобы это сделать в файле wp-config.php добавляем следующее:

7. Измените ключи шифрования

Следует поменять ключи шифрования, т.к. стандартные могут быть известны взломщикам. Для этого переходим на специальный сервис на официальном сайте WordPress и в свой wp-config.php вставляем значения указанных там переменных. Или же придумайте сами, любые сочетания букв.

8. Установите компоненты защиты

Используйте следующие компоненты, которые помогут улучшить безопасность сайта на WordPress:

  • Better WP Security — один из самых популярных плагинов по безопасности с мощным функционалом
  • WP Security Scan — проверяет множество параметров безопасности вашего сайта
  • WP Antivirus — постоянно сканирует файлы сайта на наличие взлома, и при обнаружении присылает сообщение на имейл
  • WP File Monitor — аналогичен предыдущему плагину
  • Securi Scanner — сканер сайта на наличие взлома и уязвимостей.

9. Измените префикс базы данных

Когда хакер хочет сделать SQL-инъекцию, то он уже знает, что в стандартном варианте WordPress использует префикс wp_, поэтому желательно его изменить. Сделать это можно или с помощью плагина (легкий путь, но не всегда плагины корректно работают) или через PhpMyAdmin (чуть сложнее сделать, поэтому мы создали универсальную инструкцию).

Мастер Йода рекомендует:  7 книг с задачами по программированию

10. Перенесите wp-config.php

Следует вынести этот файл за пределы папки public_html (или ее аналога, в которой установлен WordPress), например поднять на один уровень вверх. О том как это сделать можно прочитать здесь.

11. Заблокируйте админ-панель для чужих

Сделайте так, чтобы пользоваться вашей админ-панелью могли только вы. Для этого блокируется доступ к папке wp-admin для всех, у кого IP-адрес отличается от вашего. Чтобы так сделать нужно добавить в эту папку файл .htaccess и добавить в него:

order deny,allow
allow from xxx.xx.xxx.xx
deny from all

где «xxx.xx.xxx.xx» — это IP-адрес, с которого можно зайти в админ-панель.

12. Установите нужные права на папки

В классическом варианте нужно установить на все папки — 755, на все файлы — 644. Иногда на папку wp-content ставят права 777, но лучше — 755 (хотя это как правило запрещает добавлять контент для сторонних пользователей).

Если у вы считаете, что в этой статье упущена какая-либо рекомендация, то напишите о ней в комментарии и мы с удовольствием ее добавим.

Безопасность WordPress: как защитить wp-config.php на сайте

Есть много способов защитить свой веб – сайт на основе WordPress от взлома. Оптимизация wp-config.php можно считать важной частью правильной стратегии безопасности. Конечно, сайт не превратится в Банк, но вы сделали это немного сложнее для хакеров.

Для оптимизации wp-config.php, используются так называемые константы. WordPress имеет много констант , которые могут быть использованы. Но что такое константа? PHP.net описывает константы следующим образом:

Константы встроены в функции define(), и выглядят следующим образом: define(‘NAME_OF_THE_CONSTANT’, value);

wp-config.php является файл управления для WordPress. Он загружается раньше всех других файлов, так как WordPress должен настроить подключение к базе данных. Необходимая информация находится в конфигурационном файле. При изменении значения константы, или добавления константы, вы можете также изменить поведение WordPress.

До работы: пожалуйста, создайте резервную копию wp-config.php

Перед тем, как браться за редактирование файла wp-config.php, создайте резервную копию этого файла. Ваш сайт не будет работать с неправильными или отсутствующими записями.

Важно: Всегда делайте обновление WordPress и плагинов

Вы, наверное, слышали это несколько раз уже. Но этот аспект настолько важен, что я не могу повторять это достаточно часто. Тонны сайтов взломали, потому что WordPress или подключаемые модули не были обновлены. Обновления лучшая страховка от взлома!

Ситуация в сфере безопасности:

Специалистов в области безопасности Sucuri в настоящее время предупреждают о недостатка безопасности в популярном плагине Jetpack для WordPress. Вредоносный код может быть реализован с помощью шорткод-встраиваемой-функции. Automattic будут действительно реагировать скоро и выпустят новую версию.

Как закрыть брешь в безопасности на данный момент:


Если вы будете использовать свой “оптимальный” файл .htaccess, вы не в опасности. Там, большой брандмауэр 6G, который может парировать этот тип атак.

Подготовка:

Для всех последующих работ, вам понадобится программа FTP клиент, а также редактор HTML. wp-config.php загружается на рабочий стол, и редактируется в HTML-редакторе, и загружается обратно на сервер.

1 – Используйте ключи безопасности

Ключи безопасности в WordPress имеют решающее значение, как шифровать такие вещи, как информацию для входа в куки. Даже если в вашем wp-config.php уже есть ключи безопасности, замена их через некоторое время не может повредить. Когда ключи изменяются, вто все пользователи выходят из своих сайтов. После этого вы сможете заново войти в систему, используя имя пользователя и пароль.

Тем не менее, если сайт уже взломали, вы должны сначала удалить вредоносный код с вашего сайта. Руководство по этому можно найти в дополнительной информации по этому аспекту. После этого посетите генератор для ключей защиты WordPress, и скопируйте новый набор. Заменить старую часть замените новыми – снимок экрана просмотра:

Если вы еще не реализовали ключи безопасности, то это подходящее время, чтобы сделать это.

Дополнительная информация:

2 – принудительное использование HTTPS

Сертификат SSL шифрует соединение между вашим сайтом и браузерами посетителя. HTTPS делает невозможным для хакеров ловушку и кражи персональных данных. Если у вас уже есть сертификат SSL для вашего сайта, вы можете принудительно использовать HTTPS вместо HTTP. Это увеличивает безопасность вашего сайта значительно. Если у вас нет сертификата SSL, тем не менее, вы должны серьезно рассмотреть возможность использования одного.

Вы не должны бояться крупных затрат, так как SSL также доступна бесплатно.

Следующие записи должны быть использованы, когда ваш сайт уже использует SSL. Верхний вход предназначен для защищенного входа в систему, в то время как самый низкий заставляет браузер, заставляет админку WordPress использовать только SSL.

3 – Изменение префикса базы данных

Приставка базы данных также известна под маркой “префикс таблиц” . Этот префикс используется в качестве расширения каждой таблицы базы данных, порожденного WordPress. Здесь стандарт wp_ . Этот стандарт должен быть изменен на что – то другое. Чем больше загадочными, тем лучше. Не волнуйтесь; Вам не нужно помнить, что вы вводили здесь. Это значение помещается один раз.

Думая об этом, возможность инъекции SQL снижается вплоть до нуля. Но это возможно. Таким образом, измените значение перед установкой WordPress. Используйте что – то вроде fdf2a7r_ , например.

Внимание: Если вы измените значение уже существующей установки WordPress, веб-сайт не будет доступен!

Если вы хотите изменить префикс таблиц существующего сайта WordPress, плагин Acunetix WP Security может помочь вам. Он позволяет изменять значение легко, и все, что вам нужно сделать, это снова войти в систему . Тем не менее, вы все равно должны создать резервную копию заранее.

4 – Выключить редакторы плагинов и темы

Изменения в теме или в файлах плагинов, как правило, производится с помощью (S) FTP, так как это гораздо безопаснее. Таким образом, редакторы должны быть выключены. Одной строки в wp-config.php достаточно, чтобы безопасно отключить оба редактора:

5 – Переместить wp-config.php

wp-config.php является сердцем вашего сайта. Все соответствующие данные, включая пароли базы данных, вводятся туда. Вот почему крайне важно сохранить этот файл как можно более безопасным. Существуют два подхода для этого. Первый блок доступа с помощью файла .htaccess. Второй подход перемещает файл в другое место, где хакер не будет его ожидать.

  • Перемещение это может быть проблематичным, если сайт находится на суб-домене, и вы используете дешевый виртуальный хостинг.
  • Это также может стать жестко, если у вас есть много веб-сайтов в пользовательских каталогах. Если ни одно из пунктов относится к вам, вы можете переместить файл.

Если вы настроили путь к WP-config.php правильно, ваш сайт должен работать.

6 – форсирует использование FTPS

Если ваш веб-хостинг активировал протокол передачи файлов Secure (FTPS), вы можете принудительно использовать FTPS для передачи файлов. Он будет шифровать связь между посетителем и сервером. Теперь, невозможно получить доступ к данным на сервере с небезопасного протокола FTP. FTP является небезопасным, так как доступ к информации передается на сервер в незашифрованном виде. Таким образом, если это возможно, использовать только безопасное соединение через FTPS. Ваш веб-хостинг может сказать вам, если подключение FTPS возможно.

Принуждение использование FTPS, это просто:

7 – принудительное использование SFTP

Вместо протокола FTPS, некоторые хостеры активировали протокол SFTP для передачи данных. Здесь связь между пользовательской программой FTP и сервером также шифруется. Следующая строка кода позволяет принудительно использовать SFTP:

8 – Отключение режима отладки

Если вы включили режим отладки WordPress для целей развития, жизненно важно, чтобы его выключить. В некоторых случаях режим активной отладки может передать конфиденциальные данные, которые могут помочь хакерам делать свое дело. Именно поэтому режим отладки активируется чрезвычайно опасно на живой системе. Я сделал этот маленькой, тупой ошибкой; люди быстро забывают вещи. Вот почему вы должны оперативно принять меры, чтобы проверить. Отключить режим отладки:

9 – Выключите индикацию ошибок PHP

Если по какой-то причине вам нужен режим отладки, чтобы он был активирован, я рекомендую выключая публичный показ сообщений об ошибках. Соответствующие сообщения об ошибках также могут быть записаны в журнал, который не доступен для широкой публики. Это гораздо безопаснее, и более элегантный вариант. Эта константа требуется для выхода из режима WordPress ошибок, а также запретить отображение об ошибке сторонним лицам:

10 – Включение функции автоматического обновления

Как я уже упоминал ранее, немедленно обновить ядро WordPress, и все плагины, это имеет решающее значение для обеспечения безопасности системы. С каждым выпуском новой версии WordPress, пробелы безопасности своих предшественников выкладывают в интернет. Это дает хакеру прочный фундамент, чтобы иметь возможность взломать ваш сайт. Таким образом, эти недостатки должны быть устранены как можно быстрее.

Такие как WordPress версии 3.7, имеют более мелкие обновлений безопасности и осуществляются автоматически. Тем не менее, это не так для первичных версий основных обновлений. Основные версии по-прежнему должны быть обновлены вручную. Тем не менее, активизируя автоматические обновления для всех версий WP очень легко:

Кстати, это также можно обновлять автоматически с помощью плагинов. Тем не менее, это связано с небольшим количеством работы. Это требует создания плагина:

Этот плагин должен быть перемещен в папку /wp-content/mu-plugins/. Если папка не существует, просто создайте ее. Папка /mu-plugins/ содержит “используемые” плагины. Его содержимое загружается всеми с другими плагинами.

Автоматическое обновление темы может быть сделано таким же образом. Для этого, плагин должен быть расширен с помощью следующей строки:

Пожалуйста, получите информацию об этих автоматических плагинов заранее, и используйте только код, если вы точно знаете, что он делает. Конечно, два фильтра только в состоянии поддерживать плагины и темы до настоящего времени, которые происходят из официального релиза WordPress. Темы и плагины от другого источника конечно не будут обновляться.

Дополнительная информация:

Вывод

Все эти аспекты вместе уже повысят безопасность вашего WordPress намного и должны быть частью хорошей стратегии безопасности. Тот факт, что WordPress является самой популярной в мире системы управления контентом привлекает многих хакеров. Ситуацию можно сравнить с компьютером ОС Windows. В операционной системе Windows, установить антивирусное программное обеспечение, и WordPress занимает немного ручной работы. Но выигрыш в безопасности, безусловно, стоит этого.

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Лучшие советы по безопасности WordPress, чтобы помочь защитить ваш сайт

Сегодняшний пост я решил посвятить безопасности WordPress. Я приведу вам несколько отличных советов, которые помогут вам защитить ваш сайт.

Я слышал, что многие владельцы сайтов жалуются на безопасность Вордпресс. Мысль заключается в том, что скрипт с открытым исходным кодом уязвим для всех видов атак. Действительно ли это так? И если да, то как вы защищаете свой сайт на WordPress?

К счастью, это в основном неправда. На самом деле, иногда даже бывает наоборот. Хорошо, допустим, это частично правда. Но даже тогда вина не должна падать на WordPress.

Почему? Потому что обычно это вина пользователей, что из сайты взломали. Есть некоторые обязанности, о которых вы должны заботиться как владелец веб-сайта. Таким образом, ключевой вопрос, что вы делаете, чтобы сохранить ваш сайт от взлома?

Сегодня я планирую обсудить довольно много простых трюков, которые могут помочь вам защитить ваш сайт на WordPress. После реализации этой тактики и последующих постоянных проверок безопасности, вы будете на пути к обеспечению безопасности вашего сайта WordPress навсегда.

Часть 1: обезопасите свой веб-сайт WordPress, защитив страницу входа и предотвращая brute force (в переводе: грубая сила) атаки

Все знают стандартный URL-адрес страницы входа WordPress. Отсюда можно получить доступ к бэкэнду веб-сайта, и именно по этой причине некоторые люди пытаются применить атаку грубой силы. Просто добавьте /wp-login.php или /wp-admin/ в конце вашего доменного имени.

Я рекомендую настроить URL-адрес страницы входа и даже взаимодействие с этой страницей. Это первое, что я делаю, когда начинаю защищать свой сайт.

Вот несколько советов по защите страницы входа в систему WordPress:

1. Настройка блокировки сайта и бан пользователей

Функция блокировки для неудачных попыток входа в систему может решить огромную проблему непрерывных попыток подбора паролей. Всякий раз, когда происходит попытка взлома с повторяющимися неправильными паролями, сайт блокируется, а вы получаете уведомление об этой несанкционированной деятельности.

Я узнал, что плагин iThemes Security (ранее Better WP Security) является одним из лучших таких плагинов, и я использовал его довольно долгое время. Плагин может многое предложить в этом отношении. Наряду с более чем 30 другими замечательными мерами безопасности вы можете указать определенное количество неудачных попыток входа в систему до того, как плагин заблокирует IP-адрес злоумышленника.

2. Используйте двух-факторную аутентификацию

Еще одна хорошая мера безопасности – введение 2-факторного модуля проверки подлинности (2FA) на страницу входа в систему. В этом случае пользователь предоставляет данные для входа для двух разных компонентов. Владелец веб-сайта решает, что это за компоненты. Это может быть обычный пароль, за которым следует секретный вопрос, секретный код, набор символов или более популярное приложение Google Authenticator, которое отправляет секретный код на ваш телефон. Таким образом, только человек с вашим телефоном (вы) может войти на ваш сайт.

Я предпочитаю использовать секретный код при развертывании 2FA на любом из моих сайтов. Плагин Google Authenticator помогает мне в этом всего за несколько кликов.

3. Используйте свой адрес электронной почты для входа в систему

По умолчанию вам нужно ввести свое имя пользователя для входа в WordPress. Использование идентификатора электронной почты вместо имени пользователя является более безопасным. Причины очевидны. Имена пользователей легко предсказать, а идентификаторы электронной почты – нет. Кроме того, любая учетная запись пользователя WordPress создается с уникальным адресом электронной почты, что делает ее допустимым идентификатором для входа в систему.

Несколько плагинов безопасности позволяют вам настраивать страницы входа, чтобы все пользователи использовали свои адреса электронной почты для входа в систему.

4. Переименуйте свой URL-адрес для входа в свой веб-сайт WordPress.

Изменение URL-адреса входа – это просто. По умолчанию доступ к странице входа в WordPress можно легко получить через wp-login.php или wp-admin, добавив к основному URL-адресу сайта.

Когда хакеры знают прямой URL-адрес вашей страницы входа в систему, они могут попытаться выполнить принудительный перебор паролей. Они пытаются войти в систему с помощью своего GWDb (Guess Work Database, т.е. базы данных предполагаемых имен пользователей и паролей, например, имя пользователя admin и пароль: p@ssword … с миллионами таких комбинаций).

На этом этапе мы уже ограничили попытки входа пользователя в систему и заменили имена пользователей на идентификаторы электронной почты. Теперь мы можем заменить URL-адрес входа и избавиться от 99% нападений прямой переадресации.

Этот небольшой трюк ограничивает доступ неавторизованного объекта к странице входа. Это может сделать только кто-то с точным URL. Опять же, плагин iThemes Security может помочь вам изменить URL-адреса входа. Вот так:

  • Переход /wp-login.php к чему-то уникальному, например: /my_new_login
  • Переход /wp-admin/ к чему-то уникальному, например: /my_new_admin
  • Переход /wp-login.php?action=register к чему-то уникальному, например: /my_new_registeration

5. Измените ваши пароли

Поиграйте со своими паролями и регулярно меняйте их, чтобы защитить свой сайт WordPress. Улучшите их, добавив заглавные и строчные буквы, цифры и специальные символы. Многие люди выбирают длинные фразы, поскольку для хакеров невозможно предсказать, но легче запомнить, чем кучу случайных чисел и букв.

LastPass – один из самых простых способов получить сдожные пароли. Он не только генерирует безопасные пароли для вас, но затем сохраняет их в дополнении браузера, что избавит вас от необходимости запоминать их.

6. Автоматический выход бездействующих пользователей из вашего сайта

Пользователи, оставляющие ваш сайт WordPress открытым на своих экранах, могут представлять серьезную угрозу безопасности. Любой прохожий может изменить информацию на вашем сайте, изменить учетную запись “Пользователя” или даже полностью сломать ваш сайт. Вы можете избежать этого, убедившись, что ваш сайт рассоединяет пользователей после того, как они бездействуют в течение определенного периода времени.

Вы можете настроить это с помощью плагина, такой как BulletProof security. Этот плагин позволяет вам установить индивидуальные ограничения по времени для бездействующих пользователей, после чего они будут работать автоматически.

Часть 2: защитите свой сайт WordPress через панель администратора

Для хакера самой интригующей частью сайта является панель администратора, которая действительно является самым защищенным разделом. Итак, атака на самую сильную часть – настоящая проблема. Если это сделано, это дает хакеру моральную победу и доступ к нанесению большого ущерба.

Вот что вы можете сделать, чтобы защитить свою панель управления сайтом WordPress:

7. Защита каталога wp-admin

Каталог wp-admin является сердцем любого сайта WordPress. Поэтому, если эта часть вашего сайта будет нарушена, то весь сайт может быть поврежден.

Один из возможных способов предотвратить это – защитить паролем каталог wp-admin. С помощью такой меры безопасности владелец веб-сайта может получить доступ к панели мониторинга, отправив два пароля. Один защищает страницу входа, а другой защищает административную область WordPress. Если пользователям веб-сайта требуется получить доступ к определенным частям wp-admin, вы можете разблокировать эти части, заблокировав остальные.

Вы можете использовать плагин AskApache Password Protect для защиты области администрирования. Он автоматически генерирует файл .htpasswd, шифрует пароль и настраивает правильные права доступа к безопасности.

8. Использование SSL для шифрования данных

Реализация сертификата SSL (Secure Socket Layer) является одним из умных шагов для защиты панели администратора. SSL обеспечивает безопасную передачу данных между браузерами пользователей и сервером, что затрудняет хакерам нарушение соединения или подделку вашей информации.

Получить SSL сертификат для вашего сайта WordPress очень просто. Вы можете приобрести его у сторонней компании или проверить, бесплатно ли ваша хостинговая компания предоставляет ее (мой хостинг предоставляет бесплатно).

Я использую бесплатный SSL-сертификат Let’s Encrypt на большинстве моих сайтов. Любая хорошая хостинговая компания, такая как TimeWeb, предлагает бесплатный SSL-сертификат с его пакетами.

Сертификат SSL также влияет на рейтинг Google вашего сайта. Google имеет тенденцию оценивать сайты с SSL выше, чем без него. Это означает больше трафика. Теперь кто не захочет этого?

9. Упорядочить учетные записи пользователей

Если вы запустите блог WordPress или, скорее, блог с несколькими авторами, вам нужно иметь дело с несколькими людьми, обращающимися к вашей панели администратора. Это может сделать ваш сайт более уязвимым для угроз безопасности.

Вы можете использовать плагин, например Force Strong Passwords, если вы хотите убедиться, что все пароли, которые пользователи создают, безопасны. Это всего лишь мера предосторожности, но это лучше, чем наличие нескольких пользователей со слабыми паролями.

10. Измените имя администратора

Во время установки WordPress вы никогда не должны выбирать логин “admin” в качестве имени пользователя для своей основной учетной записи администратора. Такое удобное для юзера имя пользователя доступно для хакеров. Все, что им нужно выяснить, это пароль, а затем весь ваш сайт попадает в чужие руки.

Я не могу сказать, сколько раз я прокручивал журналы своего сайта и нашел попытки входа в систему с именем пользователя “admin”.

Плагин iThemes Security может остановить такие попытки, немедленно запретив любой IP-адрес, который пытается войти в систему с этим именем пользователя.

11. Отслеживать изменения в файлах

Если вам нужна дополнительная безопасность, следите за изменениями в файлах вашего сайта с помощью плагинов, таких как Wordfence или снова – iThemes Security.

Часть 3: защитите свой веб-сайт WordPress через базу данных

Все данные и информация вашего сайта хранятся в базе данных. Уход за ней имеет решающее значение. Вот несколько вещей, которые вы можете сделать для безопасности:

12. Измените префикс таблицы базы данных WordPress

Если вы когда-либо устанавливали WordPress, вы знакомы с префиксом таблицы “wp-“, который используется в базе данных WordPress. Я рекомендую вам изменить его на нечто уникальное.

Использование префикса по умолчанию делает вашу базу данных сайта склонной к SQL-инъекциям. Такие атаки могут быть предотвращены путем перехода “wp-” к другому термину. Например, вы можете сделать это “mywp-” или “wpnew-“.

Если вы уже установили свой веб-сайт WordPress с префиксом по умолчанию, вы можете использовать несколько плагинов для его изменения. Плагины, такие как WP-DBManager или iThemes Security, могут помочь вам выполнить задание одним нажатием кнопки. (Убедитесь, что вы создали резервную копию своего сайта, прежде чем делать что-либо в базе данных).

13. Регулярно создавайте резервные копии, чтобы защитить свой веб-сайт WordPress.

Независимо от того, насколько безопасен ваш веб-сайт WordPress, всегда есть место для улучшений. Но в конце концов сохранение резервной копии вне сайта – это, пожалуй, лучшее противоядие, что бы ни случилось.

Если у вас есть резервная копия, вы можете восстановить свой веб-сайт WordPress в рабочее состояние в любое время. Есть несколько плагинов, которые могут вам помочь в этом отношении.

Если вы ищете премиальное решение, я рекомендую VaultPress от Automattic. Я настроил его так, чтобы он создавал резервные копии каждую неделю. И если что-то плохое произойдет, я могу легко восстановить сайт всего одним щелчком мыши.

Я знаю, что некоторые крупные веб-сайты запускают резервные копии каждый час, но для большинства организаций это полный перебор. Не говоря уже о том, что вам нужно будет убедиться, что большинство из этих резервных копий удаляются после создания новой, так как каждый файл резервной копии занимает место на вашем диске. Тем не менее, я бы рекомендовал еженедельные или ежемесячные резервные копии для большинства организаций.

Помимо резервных копий, VaultPress также проверяет мой сайт на наличие вредоносных программ и предупреждает меня, если что-то происходит сомнительное.

14. Установите надежные пароли для своей базы данных

Надежный пароль для пользователя основной базы данных является обязательным, так как этот пароль используется WordPress для доступа к базе данных.

Как всегда, используйте для пароля заглавные и строчные буквы, цифры и специальные символы. Парольные фразы также превосходны. Я еще раз рекомендую LastPass для генерации и хранения случайных паролей. Бесплатный и быстрый инструмент для создания надежных паролей – Secure Password Generator.

15. Контролируйте свои логи (журналы)

Когда вы используете WordPress multisite или управляете сайтом с несколькими авторами, важно понимать, какой тип активности пользователя происходит. Ваши авторы и участники могут менять пароли, но есть и другие вещи, которые вы, возможно, не захотите, чтобы они делали. Например, изменения темы и виджета, очевидно, зарезервированы только для администраторов. Когда вы проверяете журнал аудита, вы можете убедиться, что ваши администраторы и участники не пытаются что-то изменить на вашем сайте без вашего одобрения.

Плагин WP Security Audit Log предоставляет полный список этой активности, а также отсылает уведомления и отчеты по электронной почте. В самом простом случае журнал аудита может помочь вам увидеть, что у писателя возникают проблемы при входе в систему. Но плагин также может выявить вредоносную активность одного из ваших пользователей.

Часть 4: защитите свой сайт WordPress с помощью хостинга

Почти все хостинг-компании утверждают, что предоставляют оптимизированную среду для WordPress, но мы все еще можем пойти дальше:

16. Защитите файл wp-config.php

Файл wp-config.php – содержит важную информацию о вашей установке WordPress, и это самый важный файл в корневом каталоге вашего сайта. Его защита означает защиту ядра вашего блога WordPress.

Такая тактика затрудняет хакерам нарушение безопасности вашего сайта, начиная с wp-config.php файл становится для них недоступным.

В качестве бонуса, процесс защиты очень прост. Просто возьми свой файл wp-config.php и переместить его на более высокий уровень, чем ваш корневой каталог.

Теперь вопрос в том, если вы храните его в другом месте, как сервер получает к нему доступ? В текущей архитектуре WordPress параметры файла конфигурации имеют самый высокий приоритет. Таким образом, даже если он хранится в одной папке над корневым каталогом, WordPress все еще может его видеть.

17. Запретить редактирование файлов

Если у пользователя есть доступ администратора к вашей панели управления WordPress, они могут редактировать любые файлы, которые являются частью вашей установки WordPress. Сюда входят все плагины и темы.

Если вы откажетесь от редактирования файлов, никто не сможет изменить какой-либо из файлов – даже если хакер получит доступ администратора к вашей панели управления WordPress.

Чтобы сделать эту работу, добавьте следующее в файл wp-config.php (в самом конце):

18. Правильно подключите сервер

При настройке своего сайта подключайте сервер только через SFTP или SSH. SFTP всегда предпочтительнее традиционного FTP из-за его функций безопасности, которые, конечно же, не связаны с FTP.

Таким образом, подключение сервера обеспечивает безопасную передачу всех файлов. Многие хостинг-провайдеры предлагают эту услугу как часть своего пакета. Если нет – вы можете сделать это вручную.

19. Устанавливайте права доступа к каталогам

Неправильные разрешения на каталоги могут быть фатальными, особенно если вы работаете в среде общего хостинга.

В таком случае изменение прав на файлы и каталоги является хорошим шагом для обеспечения безопасности веб-сайта на уровне хостинга. Установка разрешений каталога на “755” и файлов на “644” защищает всю файловую систему – каталоги, подкаталоги и отдельные файлы.

Это можно сделать вручную с помощью диспетчера файлов внутри вашей панели управления хостингом или через терминал (подключенный к SSH) – используйте команду “chmod”.

Для получения дополнительной информации вы можете прочитать о правильной схеме разрешения для WordPress или установить плагин iThemes Security для проверки ваших текущих настроек разрешения.

20. Отключить список каталогов с помощью .htaccess

Если вы создаете новый каталог как часть своего сайта и не помещаете в него файл index.html, вы можете быть удивлены, обнаружив, что ваши посетители могут получить полный список каталогов всего, что находится в этом каталоге.

Например, если вы создаете каталог под названием “data”, вы можете увидеть все в этом каталоге, просто набрав http://www.example.com/data/ в своем браузере. Никакой пароль или что-либо не требуется.

Это можно предотвратить, добавив следующую строку кода в файл .htaccess:

21. Блокировать все хотлинки

Предположим, вы нашли изображение в интернете и хотели бы поделиться им на своем веб-сайте. Прежде всего, вам нужно разрешение или заплатить за это изображение, иначе есть вероятность, что это незаконно. Но если вы получите разрешение, вы можете напрямую потянуть URL-адрес изображения и использовать его для размещения фотографии в своем сообщении. Основная проблема здесь заключается в том, что изображение отображается на вашем сайте, но размещается на сервере другого сайта.

С этой точки зрения у вас нет никакого контроля над тем, остается ли фотография на сервере. Но важно также понимать, что люди могут сделать это на вашем сайте.

Если вы пытаетесь защитить свой веб-сайт WordPress, hotlinking – это, в основном, другой человек, снимающий вашу фотографию и крадет пропускную способность вашего сервера, чтобы показать изображение на своем собственном веб-сайте. В конце концов, вы увидите более низкую скорость загрузки и возможность высокой стоимости сервера.

Несмотря на некоторые ручные методы предотвращения hotlinking, самый простой способ – найти плагин безопасности для задания. Например, плагин All in One WP Security and Firewall включает встроенные инструменты для блокировки всех хотлинков.

22. Понимать и защищать от атак DDoS

DDoS-атака – это распространенный тип атаки на пропускную способность вашего сервера, когда злоумышленник использует несколько программ и систем для перегрузки вашего сервера. Хотя такая атака не ставит под угрозу файлы вашего сайта, она предназначена для сбоя вашего сайта в течение длительного периода времени, если она не будет решена. Как правило, вы слышите только о DDoS-атаках, когда это происходит с крупными компаниями, такими как GitHub. Они проводятся тем, кого многие называют кибер-террористами, поэтому мотивом может быть просто нанести ущерб.

Мастер Йода рекомендует:  Как обеспечить документированность кода PHP

Тем не менее, вам не нужно быть крупной компанией, чтобы подвергаться риску.

Если вас это беспокоит, я рекомендуем подписаться на премиум-планы Sucuri или Cloudflare. Эти решения имеют брандмауэры веб-приложений для анализа используемой пропускной способности и полного блокирования DDoS-атак.

Часть 5: защитите свой сайт WordPress с помощью тем и плагинов

Темы и плагины являются важными ингредиентами для любого сайта WordPress. К сожалению, они также могут представлять серьезную угрозу безопасности. Давайте узнаем, как мы можем обеспечить вашим темам и плагинам правильный путь:

23. Регулярное обновление

Каждый хороший программный продукт поддерживается его разработчиками и обновляется время от времени. Эти обновления предназначены для исправления ошибок и иногда имеют жизненно важные исправления безопасности. WordPress и его плагины ничем не отличаются.

Не обновление ваших тем и плагинов может означать проблему. Многие хакеры полагаются на тот факт, что люди не могут быть обеспокоены обновлением своих плагинов и тем. Чаще всего, эти хакеры используют ошибки, которые уже исправлены.

Итак, если вы используете какой-либо продукт WordPress, регулярно обновляйте его. Плагины, темы, все. Хорошей новостью является то, что WordPress автоматически выполняет обновления для своих пользователей, поэтому вы получите электронное письмо с уведомлением об обновлении и информацией об исправлениях на панели управления.

Что касается плагинов, их необходимо обновить вручную, перейдя в “Плагины” на панели управления. Когда плагин имеет новую версию, он уведомляет вас и предоставляет ссылку для обновления.

В качестве альтернативы вы можете выбрать управляемый план хостинга WordPress. Наряду со многими другими функциями и улучшениями вашей безопасности, управляемый хостинг качества предлагает автоматические обновления для всех элементов вашего сайта WordPress.

24. Удалите номер версии WordPress

Ваш текущий номер версии WordPress можно найти очень легко. В основном его видно прямо в исходном представлении вашего сайта. Вы также можете увидеть его в нижней части панели инструментов (но это не имеет значения при попытке защитить ваш сайт WordPress).

Вот что: если хакеры знают, какую версию WordPress вы используете, им легче адаптироваться к совершаемой атаке.

Вы можете скрыть свой номер версии почти с каждым плагином безопасности, о котором я упоминал выше.

Для ручного подхода (а также удаления номера версии из RSS-каналов) рассмотрите возможность добавления в файл functions.php следующей функции:

Заключительные мысли о том, как защитить ваш сайт WordPress

Если вы новичок, то этого было очень много для вас. Однако все, что я упомянул в этой статье – это шаг в правильном направлении. Чем больше вы заботитесь о безопасности своего сайта на WordPress, тем сложнее его взломать хакеру.


Если у вас есть какие-либо вопросы о том, как защитить ваш сайт WordPress, сообщите мне об этом в комментариях, и я отвечу на них!

На этом буду заканчивать. Отличная получилась статья.

Information Security Squad

Резервные копии веб-сайтов — почему они так важны?

Что вы делаете, чтобы ваш сайт на WordPress всегда был безопасным и работоспособным?

Допустим, вы регулярно обновляете свое ядро WordPress и плагины / темы, устанавливаете только надежные компоненты.

Это, несомненно, хорошо, но вопрос в том, достаточно ли этого?

Возможно, вы внедрили меры безопасности для защиты своего сайта, но данные вашего сайта все еще могут быть уязвимы.

Риск кражи бизнес-данных хакерами или невинная ошибка в коде, приводящая к сбою вашего сайта, всегда будет велика.

Тут вам на помощь приходит правильное резервное копирование.

Хорошее решение для резервного копирования создает копию ваших последних данных и сохраняет их в безопасном месте, чтобы их можно было быстро восстановить в случае непредвиденного сбоя.

В этой статье мы рассмотрим, зачем нужны резервные копии веб-сайтов, типы доступных резервных копий и функции, которыми должен обладать каждый инструмент резервного копирования

1 Почему вашему бизнесу нужна резервная копия сайта?

Вы не можете позволить себе потерять данные вашего сайта даже на один день.

Значительная потеря данных может произойти по разным причинам, в том числе:

Человеческая ошибка

Даже кажущаяся невинной человеческая ошибка может привести к сбою вашего сайта и потере данных.

Регулярное резервное копирование вашего сайта может помочь вашему бизнесу быстро восстановиться после такой потери данных и вернуть ваши операции в нужное русло.

Взлом сайта

В последние годы киберпреступники успешно осуществили множество утечек, что привело к потере важных бизнес-данных, включая записи клиентов, платежные транзакции и записи базы данных.

В случае успешного взлома, вашим приоритетом будет восстановление этих важных данных и восстановление вашего сайта без потери времени.

Хотя существует множество служб для удаления вредоносных программ, надежная стратегия резервного копирования может быть спасением.

Стихийные бедствия

В зависимости от географического положения вашей бизнес-инфраструктуры, стихийные бедствия, такие как наводнения или даже циклоны, могут серьезно повредить ваши хостинговые системы, что приведет к потере бизнес-данных.

В этом случае резервная копия, хранящаяся в системах хранения, расположенных в другой стране или географическом местоположении, может быть легко использована для восстановления вашего сайта.

Сбой или ошибка сервера

Неудачные обновления

Обновления WordPress регулярно выпускаются для повышения безопасности и использования новых функций.

Обычно это включает в себя обновление основной версии WordPress или каждого из установленных плагинов / тем.

Однако в некоторых случаях процесс обновления может привести к поломке или сбою вашего бизнес-сайта.

2 Типы резервных копий WordPress

На рынке доступно несколько типов резервных копий WordPress.

Давайте оценим каждый тип:

Резервные копии от вашего веб-провайдера

Большинство провайдеров хостинга WordPress включают резервные копии в свои пакеты хостинга.

Надежное решение для резервного копирования от вашего веб-провайдера гарантирует, что вам, как владельцу веб-сайта, не придется самостоятельно выполнять резервное копирование и не беспокоиться о потере каких-либо данных.

Узнайте у своего текущего веб-провайдера услуги резервного копирования, которые они предлагают вместе с вашим планом хостинга.

Однако в этом случае вы мало контролируете, когда и как создаются резервные копии, и где они хранятся.

Ручное резервное копирование

Если у вас есть технические ноу-хау или опыт, вы можете самостоятельно создать резервную копию своего сайта.

Вы можете выполнять резервное копирование файлов WordPress и записей базы данных вручную с помощью инструмента FTP, такого как FileZilla или phpMyAdmin.

По сравнению с другими типами резервных копий резервное копирование вручную является длительным процессом;

Это может даже потребовать от вас устранения неполадок и решения любых проблем, которые могут возникнуть в процессе резервного копирования.

Автоматическое резервное копирование с использованием плагинов

Автоматическое резервное копирование с использованием плагинов — это самый быстрый и удобный способ создания резервных копий веб-сайта.

Это особенно полезно в том случае, если вы не хотите зависеть от своего веб-хостинг-провайдера или у вас нет технических навыков для выполнения ручного резервного копирования.

Плагины WordPress для резервного копирования просты в установке и могут быть выполнены любым новым или начинающим пользователем WordPress.

Использование плагина WordPress для автоматизации резервного копирования — лучший вариант.

Давайте оценим возможности, которые должны иметь плагины для резервного копирования:

3 Особенности, которые должен иметь каждый плагин для бэкапа WordPress

Любое решение по резервному копированию, которое вы выбираете, должно быть всеобъемлющим, а это означает, что оно должно делать резервные копии как файлов вашего сайта, так и записей вашей базы данных.

Это гарантирует, что у вас есть полный пакет резервного копирования, если вам когда-либо понадобится восстановить неисправный сайт.

Кроме того, вот список функций, которыми должен обладать каждый плагин резервного копирования:

Независимое и внешнее хранилище

Резервные копии должны храниться в независимом и другом месте, чтобы ваш сайт не влиял на них.

Плагины, которые хранят резервные копии на веб-сервере клиента, в конечном итоге сокращают существующее пространство хранения, а также подвергают резервные копии внешним угрозам.

Инкрементные резервные копии

Ежедневное резервное копирование всех данных вашего веб-сайта может значительно увеличить нагрузку на ваш веб-сервер, используя его ресурсы и пропускную способность.

Поскольку резервное копирование является очень интенсивным процессом на сервере, регулярное резервное копирование может повлиять на производительность вашего сервера и пространство, доступное для хранения резервных копий.

Инкрементные резервные копии оптимизируют процесс резервного копирования, разбивая ваши данные на более мелкие и управляемые фрагменты данных, которые затем синхронизируются в существующую резервную копию.

Весь сайт не синхронизируется каждый раз.

Вместо этого после первого резервного копирования синхронизируются только добавочные изменения.

Этот процесс предотвращает любую перегрузку вашего веб-сервера и может эффективно использоваться даже для больших веб-сайтов.

Несколько резервных копий

Помимо использования внешних хранилищ, инструменты резервного копирования должны предоставлять несколько версий резервных копий, которые можно хранить в нескольких местах для максимальной безопасности.

Инструменты резервного копирования могут предоставлять свои выделенные серверы или внешнее облачное хранилище (например, Google Drive или Dropbox), откуда любая версия резервной копии может быть легко загружена и восстановлена.

Кроме того, резервные копии также должны быть зашифрованы, чтобы хакеры не могли использовать их для взлома вашего сайта.

Заключение

Регулярное резервное копирование имеет решающее значение для вашей безопасности WordPress.

Выбор правильного плагина резервного копирования, который может удовлетворить все ваши требования к резервному копированию, одинаково важен для вашего бизнеса.

В этой статье мы выделили основные функции, которые должен иметь каждый инструмент резервного копирования WordPress.

Такие функции, как создание нескольких резервных копий и резервное копирование по расписанию, гарантируют, что вы никогда не потеряете данные веб-сайта, в то время как такие функции, как инкрементное резервное копирование и внешнее хранилище, гарантируют, что на производительность вашего веб-сайта не будет оказано негативного влияния.

Мы настоятельно рекомендуем внимательно изучить потребности вашего веб-сайта и инвестировать в надежный плагин резервного копирования сегодня.

Ломаем и защищаем WordPress своими руками

Содержание статьи

WordPress — это удобная блог-платформа для публикации статей и управления ими, на которой базируется огромное число различных сайтов. Из-за своей распространенности эта CMS уже давно является лакомым куском для злоумышленников. К сожалению, базовые настройки не обеспечивают достаточного уровня защиты, оставляя многие дефолтные дырки незакрытыми. В этой статье мы пройдем типичным путем «типового» взлома сайта на WordPress, а также покажем как устранить выявленные уязвимости.

Введение

На сегодняшний день WordPress среди систем управления контентом популярнее всего. Его доля составляет 60,4% от общего числа сайтов, использующих CMS-движки. Из них, согласно статистике, 67,3% сайтов базируется на последней версии данного программного обеспечения. Между тем за двенадцать лет существования веб-движка в нем было обнаружено 242 уязвимости различного рода (без учета уязвимостей, найденных в сторонних плагинах и темах). А статистика сторонних дополнений выглядит еще печальней. Так, компания Revisium провела анализ 2350 русифицированных шаблонов для WordPress, взятых из различных источников. В результате они выяснили, что более половины (54%) оказались зараженными веб-шеллами, бэкдорами, blackhat seo («спам») ссылками, а также содержали скрипты с критическими уязвимостями. Поэтому устраивайся поудобней, сейчас мы будем разбираться, как провести аудит сайта на WordPress и устранить найденные недостатки. Использовать будем версию 4.1 (русифицированную).

Индексирование сайта

Первым этапом любого теста обычно бывает сбор информации о цели. И тут очень часто помогает неправильная настройка индексирования сайта, которая позволяет неавторизованным пользователям просматривать содержимое отдельных разделов сайта и, например, получить информацию об установленных плагинах и темах, а также доступ к конфиденциальным данным или резервным копиям баз данных. Чтобы проверить, какие директории видны снаружи, проще всего воспользоваться Гуглом. Достаточно выполнить запрос Google Dorks типа site:example.com intitle:»index of» inurl:/wp-content/ . В операторе inurl: можно указать следующие директории:

Если сможешь просмотреть /wp-content/plugins/ , следующий шаг по сбору информации об установленных плагинах и их версиях значительно упрощается. Естественно, запретить индексирование можно с помощью файла robots.txt . Так как по умолчанию он не включен в установочный пакет WordPress, его необходимо создать самому и закинуть в корневую директорию сайта. Мануалов по созданию и работе с файлом robots.txt довольно много, поэтому оставлю эту тему для самоподготовки. Приведу лишь один из возможных вариантов:

Если в файлах, хранящихся в папке uploads , имеются сведения конфиденциального характера, добавляем к этому списку строчку: Disallow: /wp-content/uploads/ .
С другой стороны, в файле robots.txt не рекомендуется размещать ссылки на директории, которые были созданы специально для хранения чувствительной информации. Иначе этим самым ты облегчишь злоумышленнику задачу, так как это первое место, куда обычно все заглядывают в поисках «интересненького».

Определение версии WordPress

Еще один важный шаг — идентификация версии CMS. Иначе как подобрать подходящий сплоит? Существует три быстрых способа для определения используемой на сайте версии WordPress:

    Найти в исходном коде страницы. Она указана в метатеге generator :

  • Найти в файле readme.html (рис. 1), который входит в состав установочного пакета и находится в корне сайта. Файл может иметь и другие названия типа readme-ja.html .
  • Найти в файле ru_RU.po (рис. 2), который входит в состав установочного пакета и расположен по адресу /wp-content/languages/ :
  • Рис. 1. Версия WordPress в файле readme.html

    Хакер #196. Все о Docker

    Один из вариантов защиты в данном случае — ограничить доступ к файлам readme.html и ru_RU.po с помощью .htaccess .

    Автоматизация процесса тестирования

    Исследованием безопасности WordPress занялись не вчера, поэтому существует достаточное количество инструментов, позволяющих автоматизировать рутинные задачи.

    • определение версии и темы с помощью скрипта http-wordpress-info
    • подбор пароля по словарям
    • модуль для определения версии: auxiliary/scanner/http/wordpress_scanner ;
    • модуль для определения имени пользователя auxiliary/scanner/http/wordpress_login_enum .
    • перечисление установленных плагинов: wpscan —url www.exmple.com —enumerate p ;
    • перечисление установленных тем: wpscan —url www.exmple.com —enumerate t ;
    • перечисление установленного timthumbs: wpscan —url www.example.com —enumerate tt ;
    • определение имени пользователя: wpscan —url www.example.com —enumerate u ;
    • подбор пароля по словарю для пользователя admin: wpscan —url www.example.com —wordlist wordlist.txt —username admin ;
    • подбор пароля с использованием связки имя пользователя / пароль с числом потоков, равным 50: wpscan —url www.example.com —wordlist wordlist.txt —threads 50 .

    Определение установленных компонентов

    Теперь давай соберем информацию об установленных плагинах и темах независимо от того, активированы они или нет. Прежде всего такую информацию можно выудить из исходного кода HTML-страницы, например по JavaScript-ссылкам, из комментариев и ресурсов типа CSS, которые подгружаются на страницу. Это самый простой способ получения информации об установленных компонентах. Например, строчки ниже указывают на используемую тему twentyeleven:

    Далее, HTTP-заголовки, такие как X-Powered-By , могут указывать на наличие плагина (например, на плагин W3 Total Cache).

    Так как информация о плагинах не всегда отображается в исходном коде HTML-страницы, то обнаружить установленные компоненты можно с помощью утилиты WPScan (см. врезку). Только не забывай, что перебор путей плагинов зафиксируется в логах веб-сервера.
    Получив данные об установленных компонентах, уже можно приступать к поиску уязвимостей своими силами либо найти общедоступные эксплойты на ресурсах типа rapid7 или exploit-db.

    Определение имени пользователей

    По умолчанию в WordPress каждому пользователю присваивается уникальный идентификатор, представленный в виде числа: example.com/?author=1 . Перебирая числа, ты и определишь имена пользователей сайта. Учетная запись администратора admin, которая создается в процессе установки WordPress, идет под номером 1, поэтому в качестве защитной меры рекомендуется ее удалить.

    Брутфорс wp-login

    Рис. 3. Ошибки при аутентификации пользователя

    Зная имя пользователя, можно попробовать подобрать пароль к панели администрирования. Форма авторизации WordPress на странице wp-login.php весьма информативна (рис. 3), особенно для злоумышленника: при вводе неправильных данных появляются подсказки о неверном имени пользователя или пароле для конкретного пользователя. Разработчикам известно о данной особенности, но ее решили оставить, так как подобные сообщения удобны для пользователей, которые могли забыть свой логин и/или пароль. Проблему подбора пароля можно решить, используя стойкий пароль, состоящий из двенадцати и более символов и включающий буквы верхнего и нижнего регистра, числа и спецсимволы. Или же, например, при помощи плагина Login LockDown.

    Security-плагины для WordPress

    • Login LockDown — ограничивает количество неудачных попыток авторизации;
    • Revisium WordPress Theme Checker — ищет типичные вредоносные фрагменты в темах WordPress;
    • Sucuri Security — проводит мониторинг и обнаружение вредоносного кода;
    • iThemes Security (бывший Better WP Security) — многофункциональный плагин для защиты WordPress;
    • BackUpWordPress — делает резервное копирование файлов и БД;
    • Google Captcha (reCAPTCHA) — устанавливает капчу при регистрации, авторизации, восстановлении паролей и в форме комментариев.

    Заливаем Shell

    После того как мы сбрутили пароль, ничто не мешает залить шелл на скомпрометированный веб-ресурс. Для этих целей вполне сгодится фреймворк Weevely, который позволяет генерировать шелл в обфусцированном виде, что делает его обнаружение довольно сложным. Чтобы не вызывать подозрения, полученный код можно вставить в любой файл темы (например, в index.php ) через редактор темы консоли WordPress. После чего с помощью того же Weevely можно подключиться к машине жертвы и вызывать различные команды:

    Подключаем .htaccess

    Для запрета доступа к чувствительной информации лучше воспользоваться файлом .htaccess — это файл конфигурации, используемый в Apache Web Server. Рассмотрим возможности этого файла с точки зрения безопасности. С его помощью можно: запретить доступ к директориям и файлам, заблокировать различные SQL-инъекции и вредоносные скрипты. Для этого стандартный файл .htaccess для CMS WordPress 4.1 нужно немного расширить. Чтобы закрыть список файлов и папок, добавляем:

    RewriteCond % base64_encode[^(]*\([^)]*\) [OR] заблокирует ссылки, содержащие кодировку Base64. Избавиться от ссылок, содержащих тег

    Как настроить безопасность сайта на WordPress: лучшие методы

    В этой статье говорим о лучших методах безопасности веб-сайтов на WordPress

    Не секрет, что WordPress является лидером среди CMS по разработке сайтов, в частности для создания блогов. Поэтому хакеры часто нацелены на взлом защиты сайтов на WordPress. Несмотря на простую установку и запуск сайта на WP, рекомендуем владельцам принять некоторые меры безопасности. Другими словами вся информация вашего сайта, не важно какая это информация (компании или клиентов), находится в зоне риска, даже если вы размещаете его на надежном хостинге.

    Итак, сегодня поговорим о лучших методах, решающих проблемы безопасности сайтов..

    УВЕЛИЧЬТЕ БЕЗОПАСНОСТЬ САЙТА НА WORDPRESS С ПОМОЩЬЮ РЕГУЛЯРНЫХ ОБНОВЛЕНИЙ

    Самая важная вещь, которую нужно регулярно делать — это обновлять все файлы и плагины WordPress, а также шаблоны, если вы их используете без собственных корректировок. Новые обновления безопасности для WP и все остальные разные плагины выпускаются достаточно регулярно. Наличие последних версий значительно затрудняет доступ киберпреступникам к вашему сайту. Не пренебрегайте даже самыми, на первый взгляд, незначительными изменениями. Проводите тщательную проверку безопасности собственного сайта и убедитесь, что установлены все последние обновления. Любая уязвимость WP, в том числе в шаблоне блога на WordPress, имеет значение, поэтому не рискуйте и перестрахуйтесь, установив все обновления.

    2. ЗАЩИТИТЕ ВАШУ ПАНЕЛЬ УПРАВЛЕНИЯ

    Панель управления WP — это область, в которой вы можете вносить все изменения и совершать любые действия на вашем сайте. Важно ограничить доступ в панель администратора и предоставлять доступы только тем, кому они действительно нужны. Например, если вы не зарегистрированы на сайте, то вам как пользователю веб-сайта не нужен доступ к страницам /wp-login/ или /wp-admin/.

    Следующий шаг это настроить ваш домашний IP адрес, который вы можете узнать на разных ресурсах, таких как “whatismyip.com” и добавить следующие строки в Ваш файл /.htaccess/ , находящийся в папке admin . В строке 4 замените ххх на свой ip адрес:

    1. order deny, allow
    2. Deny fr om all
    3. Allow from xx.xxx.xxx.xxx

    Чтобы разрешить авторизацию из разных мест или компьютеров, просто добавьте ещё одну строку “Allow from” с новым ip адресом. Часто меняете место доступа или пользуетесь сетями Wi-Fi? Тогда вам нужно иметь доступ в панель управления вне зависимости от ip адреса. Для этого уменьшите количество попыток авторизации. Теперь вы в безопасности от любых попыток взломать ваш пароль методом перебора. Вот как это можно настроить. Сначала найдите плагин “WP Lim it login attempts”, затем выберите значения количества попыток авторизации (кол-во попыток ввода неверного пароля). При превышении этого значения пользователь (клиент) будет заблокирован. Данная мера уменьшит уязвимость сайта для хакеров.

    НЕ ИСПОЛЬЗУЙТЕ ЛОГИН ADMIN

    Кажется это так очевидно, но очень много людей никогда не меняют логин по умолчанию, таким образом, давая хакерам возможность войти в систему под “админскими” правами. Всё что им нужно, это использовать определённые программы для подбора паролей. Киберпреступникам нет ничего проще взломать систему, используя эту уязвимость, поэтому избегайте ошибок новичков и меняйте дефолтное значение логина администратора.

    УСИЛИВАЙТЕ ВАШИ ПАРОЛИ

    Это же правило относится и для паролей. Многие используют простые фразы и указывают в пароле первое, что им придёт в голову. Вы можете считать ваш пароль уникальным, но фактом является то, что многие люди придумывают похожие пароли. Поэтому для укрепления безопасности сайта, создавайте пароли немного длиннее, так как хакеры знают об этом факте.

    Для примера можете использовать предложение, которое вас характеризует и вы можете его легко запомнить. Используйте первые буквы каждого слова и потом добавьте числа и символы между ними для увеличения сложности.

    УДАЛЯЙТЕ ВИРУСЫ И ВРЕДОНОСНЫЕ ПРОГРАММЫ

    Если ваш компьютер не защищён (заражён вирусами), использование его для входа на сайт, также делает ваш сайт уязвимым. Т.е. если на вашем компьютере есть вирусы или вредоносные программы, то хакер может быстро получить ваши доступы, когда вы подключаетесь к сайту невзирая на все принятые меры безопасности. Возможно вы думаете, что наибольший риск проистекает из онлайна и прямых атак. Но большинство хакеров создают хитрые программы, которые находятся на вашем компьютере годами. Они крадут важную информацию, такие как доступы авторизации . Вот почему нужно устанавливать хорошие антивирусные программы.

    Обновляйте их и сканируйте ваши компьютеры регулярно, чтобы ваши системы были не заражены.

    ПРОВОДИТЕ ПРОВЕРКУ БЕЗОПАСНОСТИ С ПОМОЩЬЮ ИНСТРУМЕНТА PLESK WORLDPRESS TOOLKIT

    PleskWordPress Toolkit — это панель управления, с помощью которой можно легко управлять, настраивать, и устанавливать ваш сайт на WordPress в панели Plesk (предоставляется бесплатно с редакциями Plesk Web Pro и Plesk Web Host. Также PleskWordPress Toolkit можно приобрести отдельно как дополнение (прим. редакции)). Вы можете её использовать если на вашем сервере установлена система Plesk и с её помощью проводить проверку безопасности сайта.

    WordPress папка с контентом

    В папке /WP-content/ есть много незащищённых РНР файлов, которые приведут к неработоспособности сайта если кто-то их повредит. После установки WP вы можете работать с рнр файлами прямо из этой директории. Эта настройка безопасности проверяет запрет выполнения данных файлов в папке. Нужно помнить, что любые кастомные директивы в файлах /web.config/ или /.htaccess/ могут переопределять установки безопасности. Дополнительно будьте внимательны к некоторым плагинам WP, которые могу перестать работать из-за настроек безопасности папки /WP-content/.

    Конфигурационный файл

    В файле WP-config.php много важной информации, включая доступы к базе данных. Поэтому после установки WP запустите этот файл. Так как если на веб сервер отключена обработка рнр, то любой умный хакер может открыть содержимое этого файла. Используя проверку безопасности , вы сможете заблокировать любой нежелательный доступ к этому файлу. Более того знайте, что оба файла /web.config/ и /.htaccess/ могут переопределять настройки безопасности.

    Права просмотра директорий

    Если разрешен просмотр каталогов, это даст хакерам возможность получить важную информацию сайта, включая информацию о его структуре, плагинах и т.д. В панели Plesk по умолчанию отключён доступ к папкам и в настройках безопасности вы также можете проверить статус прав доступа.

    Префикс базы данных

    Каждая установка WP использует идентичную номенклатуру для таблиц базы данных. Если вы будете использовать только стандартный префикс /WP_/ для имён таблиц базы данных, то структура базы данных будет не защищена, т.е. любой сможет получить информацию из них.

    Поэтому настройка безопасности изменит все префиксы таблиц в базе данных вместо дефолтного /WP_/ . Далее она деактивирует плагины и включит режим обслуживания (поддержки). После этого данная настройка изменит префиксы в конфигурационном файле и в базе данных. Затем активирует плагины, обновит структуру постоянных ссылок и в конце выключит режим обслуживания.

    Права для файлов и папок

    Если права не соответствуют требованиям политики безопасности, тогда все файлы подвержены уязвимости. После окончания установки, права на файлах и папках могут быть разными. Используя проверку безопасности WP, вы можете проверить корректность прав. На папках должны быть права 755, а на файлах 644 и 600 для файла wp-config.php

    Информация о версии

    Все версии WP имеют разные уязвимости. Вот почему нужно избегать отображения используемой версии, так как хакеры могут знать их слабые места. Они могут найти эту информацию в файлах /readme.html/ и в метаданных страницы.

    С помощью настройки безопасности WP вы можете проверить файлы /readme.html/ на наличие данных. Плюс вы можете увидеть все ли ваши темы имеют файл /functions.php/ с текстом Remove_action (/wp_head/ , /wp_generator/)

    Также вы можете изменить настройки безопасности и увидеть её статус. Сначала перейдите к колонке S, которая находится в разделе Сайты и Домены-> WordPress и сделайте следующие шаги:

    1. Нажмите “Проверка безопасности” (“check security”), чтобы увидеть статус безопасности всех установленных сайтов WP
    2. Если хотите защитить выбранную установку, тогда найдите колонку S и нажмите на иконку рядом определённой установкой.
    3. Если хотите проверить несколько установок, проверьте их разделы сбоку и нажмите на кнопку “Проверка безопасности” (security button).
    4. В конце выберите чекбоксы с опциями безопасности, которые хотите добавить и нажмите на кнопку установки безопасности.

    Вот необходимые шаги, которые вы можете выполнить для настройки надежного уровня безопасности сайтов WP. Но помните, что это не гарантирует 100% защищённости, так как таковой не существует в природе. Но выполнив данные рекомендации, вы существенно снизите шансы на взлом вашего сайта, кражу данных и их последующее использование во вредоносных целях в сети интернет.

    Перевод: Сергей Гордеев (Русоникс)
    Оригинал

      Поделиться:


    Безопасность WordPress — советы и рекомендации.

    Сегодня поговорим о безопасности вашего сайта на популярной платформе WordPress. Безопасность блога напрямую зависит от степени заботы о нем и качестве администрирования. Используя простые советы и рекомендации вы намного сможете повысить уровень безопасности.

    Потребность в увеличении уровня безопасности растет по мере увеличения количества ваших посетителей. Чем ваш ресурс популярнее тем больше хакеров захочет его взломать. Исходя из ваших желаний по увеличении безопасности WordPress и была написана эта статья.

    Безопасность WordPress 2015 содержит следующие рекомендации:

    Безопасность wordpress и файл htaccess.

    Htaccess — это файл, который позволяет корректировать конфигурацию сервера. С помощью него можно проделать множество настроек, в том числе и добавить безопасности сайту.

    Давайте рассмотрим все по порядку, раз .htaccess такой ценный значит для начала стоит обезопасить его от стороннего вмешательства.

    Как защитить файл .htaccess WordPress сайта?

    Говоря о поднятии безопасности при помощи файла .htaccess без защиты его самого было бы глупо. По этой причине защитим сперва наш файл, а затем пойдем далее.

    Для того что бы защитить .htaccess нужно внести в него небольшой код:

    order allow,deny
    deny from all

    Этот код позволит закрыть доступ к файлу из вне, что уже значительно обезопасит ваш сайт от взлома.

    Как защитить файл wp-config.php?

    Нам нужно также защитить важный файл который имеет множество информации связанной с доступом к базе данных и другое. Запретить доступ к файлу из вне можно при помощи .htaccess. Защитный код должен быть таковым:

    Мастер Йода рекомендует:  Знакомство с созданием изображений на чистом CSS. Часть третья, продвинутая

    order allow,deny
    deny from all

    Создайте свои секретные ключи для файла wp-config.php.

    Для доступа к сайту WordPress использует 4 ключа, которые указываются в файле wp-config.php. Вы должны создать и установить свои собственные уникальные ключи, для обеспечения безопасности. Для облегчения сего действия существует специальный генератор ключей, с помощью которого вы создадите все что вам потребуется.

    Сменить ключи можно изменив файл wp-config.php и перезаписать его на сервер.

    Смена префикса таблиц базы данных WordPress.

    Префикс базы данных создаются при установке WordPress, по умолчанию он назначается как wp_название таблицы. Если при установке вы не задали другое значение, вы можете сменить его в файле wp-config.php задав переменной $table_prefix другое значение. Чем сложнее будет ваш префикс тем меньше вероятность несанкционированного доступа к вашей базе данных. Примером может быть такая строчка $table_prefix = wp65zym6. Запоминать это значение не требуется, вы устанавливаете его только один раз и больше к нему не возвращаетесь.

    Ограничение количества неудачных попыток входа.

    Одним из способов предотвращения взлома вашего сайта является ограничение количество попыток входа, и дальнейшая блокировка нарушителя. Эти простые настройки позволят обезопасить вас от автоматических переборов паролей бот программами, а так же ручного ввода людьми.

    На помощь вам придет плагин Login LockDown, настройка которого не займет у вас много времени, но позволит добавить очередную преграду взломщикам.

    Используйте надежный пароль WordPress.

    В версии WordPress 4.3 и выше при установке платформы вам будут предложены безопасные пароли, которые отлично подойдут вам, так же вы сможете изменить их в дальнейшем.

    Безопасность сайта WordPress по большей мере зависит от безопасности доступа к административной панели, поэтому пренебрегать этими рекомендациями будет большой ошибкой.

    Не используйте для входа login «admin».

    Если вы выбрали другой логин, отлично! Убедитесь что его трудно подобрать вручную, также зайдите в вашу базу данных в таблицу префикс_users и убедитесь что в ней нету зарегистрированного логина admin. Если таков существует, удалите его.

    Обновляйте версию WordPress, плагины и темы.

    Обновитесь, обновитесь и еще раз обновитесь. Обновления версий ваших плагинов и самого движка WordPress выходят не просто так, основная их задача увеличить функционал и закрыть дыры в безопасности, по этому важность обновления стоит на одном из первых мест.

    В корне блога удалите файлы readme.html и license.txt.

    Эти файлы не нужны нам, но они показываю текущую версию WordPress и некоторую другую информацию сайта, а зачем нам лишняя утечка информации. По этому удалите их.

    Эти файлы доступны всем пользователям по адресу ваш-сайт/readme.html, проверти это на своем блоге.

    Периодически изменяйте пароли к базе данных, административной панели и хостинга.

    Эти действия не займут у вас много времени раз в один два месяца меняйте пароли и вы сможете поставить очередную галочку в безопасности вашего блога на WordPress.

    Делайте регулярные резервные копии.

    В ручном режиме или автоматическом, с помощью плагинов или программ делайте резервные копии своего сайта, что бы при необходимости быстро восстановить последнюю версию сайта. Вас взломали? Или же вы сами поломали свой сайт? Резервные копии помогут быстро восстановить дееспособность вашего ресурса.

    Все эти рекомендации и множество других, которые вы найдете в сети никогда не обезопасят вас на 100% но с каждой новой настройкой вы сможете уменьшит шанс взлома.

    Безопасность сайта — полное руководство по безопасности вашего сайта

    Безопасность и защита сайта — самый важный момент при создании сайта. Эксперты прогнозировали, что в 2020 году бизнес-сайты станут жертвами вымогателей со скоростью одного сайта каждые 14 секунд. В 2020 году ущерб сайтам, атакованным киберпреступниками, превысил 5 миллиардов долларов. Каждый год эти атаки увеличиваются в размерах, и, прежде чем вы узнаете о них, Ваш сайт уже может быть атакован.

    WordPress, также является самой популярной системой управления контентом (CMS) и поддерживает более 40% веб-сайтов. Однако, по мере роста, хакеры обратили внимание и начинают специально ориентироваться на сайты WordPress. Неважно, какие типы контента предоставляет ваш сайт, вы не исключение.

    Если вы не примете определенные меры предосторожности, вас могут взломать. Как и все, что связано с технологиями, вам нужно проверить безопасность своего сайта. Я думаю, что каждый из Вас усердно работал над своим сайтом (и своим брендом), именно поэтому важно не торопиться, чтобы защитить его с помощью этих основных советов по защите от хакеров!

    Содержание статьи:

    Почему нужно держать свой сайт в безопасности

    Каждый сайт потенциально уязвим для атак. Поэтому Вы должны держать свои сайт в безопасности. Незащищенный сайт может быть взломан. Данные ваших клиентов могут быть украдены. Это может привести к потере дохода, дорогостоящему ремонту веб-сайта и многим другим проблемам.

    Вы можете защитить свой сайт от хакеров. Я начну с нескольких основных описаний типов атак, с которыми вы можете столкнуться. Далее следуют одиннадцать советов по защите вашего сайта.

    Потенциальные веб-атаки — фишинг и прочие

    Атаки могут быть разные, давайте рассмотрим некоторые из них. Самые распространенные:

    Фишинговые атаки используются, чтобы заставить людей выдавать свои личные данные, такие как номер социального страхования или пин-код банковского счета. Эти атаки нацелены на широкую аудиторию в надежде обмануть как можно больше людей. Как правило, фишинг осуществляется по электронной почте.

    Например, хакер отправляет электронное письмо, которое выглядит так, как будто оно пришло из банка, в результате чего получатель нажимает на ссылку. По этой ссылке человек попадает на стандартный банковский сайт. Но это сайт, создан только для того, чтобы выглядеть как настоящий. Тот, кто попадает на одну из этих уловок и заполняет форму на этом сайте, полностью отдает свою информацию злоумышленнику.

    Spear-фишинг похож, но он нацелен на одного конкретного человека, а не на много людей в целом. Хакеры выбирают конкретную цель, а затем пытаются заставить их выдать свою конфиденциальную информацию.

    Китобойный промысел (whaling phishing — «китобойная атака») похож на фишинг. Только в этом случае критический руководитель, компании под прицелом. Этот человек называется «кит» из-за его влияния и власти. Хакеры пытаются заманить китов, надеясь получить доступ к веб-сайтам компании и банковским счетам на высоком уровне.

    Серверные вымогателей

    Ransomware поражает всех, от среднего юзера до тех, кто управляет веб-сайтами. Эти атаки состоят в том, что хакер берет на себя управление пк и отказывает пользователю в доступе даже к самым простым командам. Серверный вымогатель работает аналогично, за исключением того, что хакер получает контроль над сервером веб-сайта. Доступ к каждому веб-сайту на этом сервере теряется до тех пор, пока хакеры не будут переопределены или не будут выполнены их требования.

    IoT Уязвимости

    IOT означает Интернет вещи. Термин относится к большому количеству устройств, которые подключаются к Интернету, таких как смартфоны и планшеты, которые подключаются к Интернету и имеют доступ к сайтам.

    Основными уязвимостями IoT являются проблемы конфиденциальности, ненадежные мобильные интерфейсы и недостаточная безопасность мобильных устройств. Все это происходит от веб-сайтов, на которых не установлены правильные меры защиты, или сайтов, которые не оптимизированы для мобильных устройств.

    Хакеры могут воспользоваться этими проблемами и использовать их для получения доступа к вашему веб-сайту.
    Обеспечение безопасности вашего сайта и защита от взлома может быть достигнуто за 11 простых шагов.

    1. Используйте безопасные пароли для доступа к сайту

    На хорошем сайте, защита начинается с безопасного пароля. Серверная часть (сторона разработчика) каждого веб-сайта защищена паролем. Хоть и заманчиво использовать легко запоминающийся пароль, все же этого делать не стоит. Вместо этого создайте чрезвычайно сложным для всех, кроме вас пароль, чтобы Вы могли его запомнить.

    Пароли являются очень важной частью безопасности сайта и, к сожалению, часто упускаются из виду. Если вы используете простой пароль, например, «1246895128, rty987, пароль», вам нужно немедленно изменить его. Хоть этот пароль может быть и легко запомнить, его также очень легко угадать. Опытный юзер может легко взломать ваш пароль и войти без особых проблем.

    Важно, чтобы вы использовали сложный пароль или, что еще лучше, пароль, который генерируется автоматически с различными числами, бессмысленными комбинациями букв и специальными символами, такими как% или ^.

    2. Будьте внимательны при открытии писем

    Многие фишинговые атаки появляются в электронных письмах. Хакеры также рассылают вирусы по электронной почте. Каждый из ваших сотрудников (включая вас) должен соблюдать осторожность при открытии электронных писем от людей, которых вы не знаете, особенно если в этих письмах есть вложения. Хакер может поставить под угрозу безопасность сайта с помощью вируса, нанося ущерб вашему сайту.

    Даже вложения в письме, которые отсканированы и объявлены «чистыми», могут содержать вредоносные вирусы. Научите своих сотрудников соблюдать меры безопасности при открытии электронных писем с вложениями.

    3. Установите свежие обновления программного обеспечения

    Производители поддерживают операционные системы и программное обеспечение в рабочем состоянии с регулярными обновлениями. Может быть заманчиво отключить эти обновления, чтобы сэкономить время. В конце концов, многие из них требуют полного перезапуска системы и некоторого времени установки, что снижает производительность.

    Это опасная практика, поскольку эти обновления содержат важные новые исправления безопасности. Вам необходимо устанавливать их, поскольку они доступны для того, чтобы обеспечить безопасность всей вашей системы.

    4. Используйте безопасный хостинг сайта

    Ваш веб-хостинг играет жизненно важную роль в обеспечении безопасности каждого веб-сайта под их юрисдикцией. Выберайте свой с умом. Прежде чем строить или перемещать свой сайт на хост, спросите их об их платформе безопасности. Лучшие хосты работают или нанимают экспертов в области интернет-безопасности. Они понимают важность того, что сайты их клиентов не подвержены атакам.

    Убедитесь, что они включают опцию резервного копирования. Вы можете потерять ценную информацию из-за хакера. Легче восстановить ваш сайт из резервной копии, чем с нуля. Также должны быть доступны управляемые параметры, такие как Безопасность, как услуга (Saas).

    5. SSL-сертификат защищает информацию

    Буквы в «https» означают «Безопасный протокол передачи гипертекста». Любая веб-страница, которая использует этот протокол, является безопасной. Эти страницы существуют на определенном сервере и защищены. Любая страница, которая содержит логин или запрашивает платежную информацию, должна находиться в этой защищенной системе. При этом можно настроить весь ваш сайт, используя https.

    6. Безопасные разрешения для папок

    Веб-сайты состоят из папок и файлов, которые содержат важную информацию, необходимую для правильной работы вашего сайта. Все они живут на вашем веб-сервере. Без правильной защиты конфиденциальности и мер безопасности, любой человек с нужными навыками может получить доступ к этой информации и просмотреть ее.

    Отключите такой доступ, назначив разрешения безопасности для этих файлов и папок. Зайдите в файловый менеджер вашего сайта и измените атрибуты файлов.

    В разделе «числовые значения» установите разрешения для этих параметров:

    1. 644 для отдельных файлов;
    2. 755 для файлов и каталогов;

    7. Запустите регулярные проверки безопасности сайта

    Хорошая проверка безопасности может выявить любые проблемы с вашим сайтом. Используйте сервис веб-мониторинга для автоматизации этого процесса. Вам необходимо запускать тестирование вашего сайта каждую неделю (как минимум). У служб мониторинга есть программы, которые делают это легко.

    Как только вы получите отчет, обратите пристальное внимание на результаты. Это все уязвимости на вашем сайте. Отчет должен содержать подробную информацию о них. Это может даже классифицировать их в соответствии с уровнем угрозы. Начните с самых вредных, а затем исправьте все остальные проблемы.

    8. Обновите веб-сайт платформы и скрипты

    Я уже рассматривал важность обновления программного обеспечения вашего пк. То же самое относится и к вашей платформе веб-хостинга, и к вашим плагинам и скриптам, таким как Javascript.

    Если вы используете WordPress, убедитесь, что вы используете самую последнюю версию. Если это не так, обновите ее, нажав на кнопку в левой верхней части экрана. Крайне важно поддерживать актуальность сайта WordPress, чтобы избежать возможных угроз.

    Для людей, которые не используют WordPress, проверьте панель инструментов ваших веб-хостов на наличие обновлений. Многие из них сообщат вам, какую версию своего программного обеспечения вы используете, и сообщат вам о любых исправлениях безопасности.

    Вы также должны проверять свои плагины и инструменты. Большинство плагинов WordPress создаются сторонними компаниями (или частными лицами). Хоть они и безопасны, по большей части вы полагаетесь на третьи стороны для поддержания их параметров безопасности в актуальном состоянии. Выделите время для проверки обновлений плагинов, по крайней мере, один раз в неделю, и следите за всем, что может показаться странным, например, плагином, который перестает работать правильно. Это может быть признаком того, что он скомпрометирован.

    9. Установите плагины безопасности

    Тут есть несколько вариантов, в зависимости от того, какой тип сайта вы используете. Для тех, кто основан на WordPress, есть специальные плагины безопасности WordPress, которые обеспечивают дополнительную защиту. Если ваш сайт не на WordPress, то защитите его с помощью такой программы, как SiteLock. Плагины безопасности предотвращают проникновение хакеров на ваш сайт. Даже самые современные хостинговые платформы имеют некоторую уязвимость. Эти плагины гарантируют, что никто не сможет ими воспользоваться.

    SiteLock постоянно отслеживает ваш сайт на наличие вредоносных программ и вирусов. Он также закрывает эти уязвимые лазейки, таким образом предоставляя дополнительные обновления безопасности.

    10. Остерегайтесь атак XSS

    XSS — это межсайтовый скриптинг. Атака XSS — это когда хакер вставляет вредоносный код на ваш сайт, который может изменить свою информацию или даже украсть информацию о пользователе. Как они входят? Это так же просто, как добавить код в комментарии блога.

    Следует предотвращать атаки XSS, вставив заголовок CSP в код своего сайта. CSP обозначает Политику безопасности контента. Он ограничивает количество Javascript на вашем сайте, не позволяя запускать иностранные и потенциально зараженные сценарии. Установите их так, чтобы работал только Javascript, добавленный на страницу вами или вашим веб-разработчиком.

    11. Остерегайтесь SQL-инъекций

    SQL — это язык структурированных запросов. Это тип кода, который управляет и позволяет людям искать информацию в базах данных.

    Этот код может удалить информацию и затруднить поиск на веб-сайте. Хакеры получают доступ через параметры URL и поля веб-форм и наносят ущерб. Для того чтобы этого не происходило, вам следует настроить параметризованные запросы и обязательно создать безопасные формы.

    Безопасность для обладателей сайта на WordPress

    Безопасность WordPress является одной из важнейших частей веб-сайта. Если вы не поддерживаете безопасность WordPress, хакеры могут легко атаковать ваш сайт. Поддержание безопасности вашего сайта не сложно и может быть сделано без затрат за копейки. Некоторые из этих решений предназначены для опытных пользователей, но если у вас есть какие-либо вопросы, пишите в личку, подскажу.

    Скройте файлы wp-config.php и .htaccess

    Несмотря на то, что это сложный процесс повышения безопасности вашего сайта, если вы серьезно относитесь к своей безопасности, рекомендуется скрыть файлы .htaccess и wp-config.php вашего сайта, чтобы хакеры не получили к ним доступ.

    Мы настоятельно рекомендуем, чтобы эта опция была реализована опытными разработчиками, так как необходимо сначала сделать резервную копию вашего сайта, а затем действовать с осторожностью. Любая ошибка может сделать ваш сайт недоступным.

    Чтобы скрыть файлы, после резервного копирования необходимо сделать две вещи: во-
    первых, перейдите в файл wp-config.php и добавьте следующий код:

    Хотя сам процесс очень прост, важно убедиться, что у вас есть резервная копия перед началом, на случай, если что-то пойдет не так в процессе.

    Важно ограничить попытки входа в админку

    По умолчанию WordPress позволяет пользователям пытаться войти в систему столько раз, сколько они захотят. Хотя это может помочь, если вы часто забываете, какие буквы являются заглавными, это также открывает вам возможности для атаки методом грубой силы.
    Ограничивая количество попыток входа в систему, пользователи могут ограниченное количество попыток, пока они не будут временно заблокированы. Ограничивает ваши шансы на попытку грубой силы, поскольку хакер блокируется, прежде чем он сможет закончить свою атаку.

    Вы можете легко включить ее с помощью плагина безопасности для WordPress.

    Измените свой URL для входа в WP — другой адрес админки

    По умолчанию для входа в WordPress используется адрес «yoursite.com/wp-admin». Оставив его по умолчанию, вы можете стать целью атаки методом перебора, чтобы взломать вашу комбинацию имени пользователя и пароля. Если вы принимаете пользователей для регистрации подписки, вы также можете получить много спам-регистраций. Чтобы предотвратить это, вы можете изменить URL-адрес для входа администратора или добавить секретный вопрос на страницу регистрации и входа.

    Совет для профессионалов: Вы можете дополнительно защитить свою страницу входа, добавив плагин для двухфакторной аутентификации в свой WordPress. Когда вы пытаетесь войти в систему, вам потребуется дополнительная аутентификация, чтобы получить доступ к вашему сайту — например, это может быть ваш пароль и электронная почта (или текст). Это расширенная функция безопасности, предотвращающая доступ хакеров к вашему сайту.

    Не используйте Nulled Themes для своего сайта

    Темы WordPress Premium выглядят более профессионально и имеют больше настраиваемых параметров, чем бесплатная тема. Можно быть уверенным, что вы получаете то, за что платите. Премиум-темы написаны высококвалифицированными разработчиками и протестированы для прохождения нескольких проверок WordPress прямо из коробки. Нет никаких ограничений в настройке вашей темы, и вы получите полную поддержку, если что-то пойдет не так на вашем сайте. Больше всего вы будете получать регулярные обновления темы.

    Но есть несколько сайтов, которые предоставляют обнуленные или взломанные темы. Обнуляемая или взломанная тема — это взломанная версия премиум-темы, доступная незаконным путем. Они также очень опасны для вашего сайта. Эти темы содержат скрытые вредоносные коды, которые могут уничтожить ваш сайт и базу данных. Более того, зарегистрировать ваши учетные данные администратора. Всегда избегайте обнуленные темы.

    Отключите редактирование файлов

    Когда вы настраиваете свой сайт WordPress, на панели инструментов есть функция редактора кода, которая позволяет редактировать тему и плагин. Доступ к нему можно получить, зайдя в Внешний вид> Редактор. Другой способ найти редактор плагинов — перейти в меню «Плагины»> «Редактор».

    Как только ваш сайт заработает, мы рекомендуем отключить эту функцию. Если какие-либо хакеры получат доступ к вашей панели администратора WordPress, они могут внедрить тонкий, вредоносный код в вашу тему и плагин. Часто код бывает настолько тонким, что вы можете не заметить ничего плохого, пока не станет слишком поздно.
    Чтобы отключить возможность редактирования плагинов и файла темы, просто вставьте следующий код в файл wp-config.php .

    Установите плагин безопасности WordPress на свой сайт

    Требуется много времени для регулярной проверки безопасности вашего сайта на наличие вредоносных программ, и если вы не будете регулярно обновлять свои знания о методах кодирования, вы можете даже не осознавать, что смотрите на вредоносную программу, записанную в коде. К счастью, разработчики поняли, что не все вебмастера являются разработчиками, и выпустили плагины безопасности WordPress, чтобы помочь.

    Плагин безопасности заботится о безопасности вашего сайта, сканирует на наличие вредоносных программ и контролирует ваш сайт 24/7, чтобы регулярно проверять, что происходит на вашем сайте.

    В заключение

    Теперь вы знаете, как защитить сайт от хакеров! Надеюсь, теперь вы понимаете важность создания безопасного сайта. Я думаю, что теперь вы понимаете эти одиннадцать необходимых шагов, которые помогут Вам, не дать хакерам получить доступ к его коду и элементам.

    К примеру, если Вы оставляете сайт уязвимым для хакеров. В этом случае, они могут просто разрушить ваши средства к существованию, в особенности если вы занимаетесь веб-бизнесом. Все, что требуется, — это один шаг, и собранная годами информация о клиентах, может быть скомпрометирована. Это делает вашу компанию низко-авторитетной и вызывает негативное внимание. Вы потеряете клиентов, многие из которых могут не вернуться. Не позволяйте этому сценарию случиться. Вместо этого берите упор на безопасности сайта, используя советы, представленные в этой статье.

    WP Magazine

    Про WordPress на русском языке

    Основы безопасности WordPress

    Безопасность в WordPress является очень важной темой при создании вашего интернет проекта. В этой статье мы рассмотрим основы безопасности при использовании WordPress, самые частые методы и причины взлома, меры и средства защиты вашего сайта от злоумышленников.

    Начнём с самого явного и простого.

    Слабый пароль

    Самой распространённой причиной взлома, является использование слабого пароля. Это относится не только к сайтам на WordPress, но и к почтовым аккаунтам, Twitter и Facebook профилям и прочее. Речь идёт о паролях вида 123456, «qwerty» и т.д.

    Индикатор надёжности пароля в WordPress

    При создании или смены пароля в WordPress, есть индикатор надёжности, который поможет выбрать вам более надёжный пароль:

    • Не используйте словарные слова
    • Не используйте один и тот же пароль дважды
    • Используйте буквы нижнего и верхнего регистра
    • Используйте буквы в перемешку с цифрами
    • Добавьте символы

    Так же стоит серьёзно отнестись к привилегиям ваших пользователей. Если вам нужно добавить пользователя на ваш сайт, который будет писать новые статьи, то не рекомендуется давать этому пользователю права редактора, и уж тем более права администратора.

    Иногда полезно и для самого себя иметь аккаунт редактора, отличный от администратора. Таким образом, если злоумышленник доберётся до вашего аккаунта, он сможет удалить все записи и страницы, но он не сможет редактировать код темы, устанавливать плагины и изменять настройки сайта.

    Логин пользователя так же играет немаловажную роль, так что избегайте использование «admin» или «administrator» в качестве имени пользователя администратора, в этом случае злоумышленнику будет сложнее подобрать комбинацию.

    Перебор или «брутфорс» пароля

    Брутфорс (bruteforce) — это полный перебор всевозможных комбинаций. Подобрать можно пароль любой сложности — вопрос всего лишь во времени, и чем сложнее пароль, тем дольше займёт его полный переобор. Для защиты от перебора рекомендуется время от времени менять пароль.

    Средства защиты админ-панели

    Существует множество способов защитить панель администратора WordPress от злоумышленников. Самые эффективные и распространённые методы:

    • Блокировка директории wp-admin по IP-адресу
    • Серверная утилита fail2ban
    • Плагин Limit Login Attempts — ограничивает количество неверных попыток при входе
    • Плагин Google Authenticator — дополнительный фактор аутентификации с помощью мобильного приложения
    • Плагин Captcha для входа в административную часть сайта

    Плагин Google Authenticator для WordPress

    Уязвимый плагин WordPress

    На сегодняшний день, в директории WordPress.org насчитывается почти 25,000 различных плагинов. Среди них есть и уязвимые плагины, которые могут обеспечить злоумышленнику полный доступ к вашему сайту. Заранее знать безопасен ли тот или иной плагин невозможно, а проверка на уязвимость может занять от нескольких часов, до нескольких недель.

    Здесь в основном вопрос в доверии и репутации разработчика плагина. Вероятность уязвимости в популярном плагине известного разработчика гораздо меньше, чем в совершенно новом сомнительном плагине. При выборе плагина, обратите внимание на количество скачиваний, частоту обновлений, форумы поддержки и другие плагины того же автора, и если есть какие-либо сомнения, лучше поискать аналог.

    Если вы обнаружили уязвимость в том или ином плагине, то первым делом стоит обратиться лично к разработчику, по электронной почте, через Skype и т.д. Если разработчик плагина не откликнулся, то стоит сообщить об этом по адресу plugins@wordpress.org, чтобы плагин исключили из директории WordPress.org.

    Уязвимая тема для WordPress

    В отличии от плагинов, все темы перед публикацией в директории WordPress.org проходят тщательную проверку, поэтому вероятность обнаружить уязвимую тему в директории небольшая. Если все же вы обнаружили небезопасную тему, то в первую очередь обратитесь к разработчику темы, а затем по адресу themes@wordpress.org для снятия её из директории.

    Так же напоминаем, что темы для WordPress стоит скачивать только с официальных ресурсов. Большинство проблем возникает как раз с темами, скачанными со сторонних и сомнительных ресурсов.

    Устаревшая версия плагина или темы

    При обнаружении уязвимости в своей теме или плагине, разработчик старается как можно быстрее её исправить и выпустить обновление к своему продукту. Продолжать работать со старой версией темы или плагина не безопасно, и лучше всего обновляться в день выхода новой версии.

    Это относится больше к крупным и популярным продуктам, как недавний пример с известным плагином кэширования W3 Total Cache, который при определённой конфигурации обеспечивал злоумышленнику полный доступ к базе данных сайта (подробнее на англ.). Спустя несколько дней, было выпущено обновление к плагину.

    Однако, обновления не всегда проходят так гладко, как хотелось бы. Если вы сомневаетесь в обновлении, то его лучше протестировать на локальном компьютере, или на тестовом сервере, прежде чем выполнять его на живом сайте. Если возникли проблемы при обновлении, вы всегда можете обратиться за помощью к разработчику через форумы поддержки.

    Устаревшая версия WordPress

    В самом ядре WordPress тоже иногда встречаются уязвимости, поэтому работать со старой версией небезопасно. Так же как и с темами и плагинами, обновлять WordPress стоит в день выхода обновления, особенно если речь идёт о «техническом релизе».

    Если вы обнаружили уязвимость в WordPress, то обязательно напишите на security@wordpress.org подробное описание проблемы, но не распространяйте информацию публично.

    Неправильная конфигурация хостинга

    Хосинг-провайдер играет огромную роль в защите вашего сайта, особенно когда речь идёт о компонентах, над которыми вы не имеете никакого контроля, например устаревшая и уязвимая версия PHP, или уязвимый модуль для веб-сервера Apache. Чаще всего это случается с дешёвыми хостинг-провайдерами, у которых «всё включено и безлимитно» за 5 копеек в год. Помните: хороший и надёжный хостинг стоит денег!

    Что делать если сайт взломали

    Если злоумышленники добрались до вашего сайта, то вам придётся нелегко, главное в этом случае не паниковать. Злоумышленники часто оставляют за собой след (или открытую дверь) в виде посторонних плагинов, изменённого кода в ядре и т.д. Ниже приведены несколько советов по устранению следов злоумышленника:

    • Изменить все пароли доступа к хостинг-площадке, включая пароль к базе данных
    • Установить WordPress с нуля, скачав самую свежую версию
    • Изменить все секретные ключи в wp-config.php
    • Экспортировать всю старую базу данных и тщательно её почистить
    • Изменить в экспорте все пароли для всех пользователей
    • Импортировать содержимое в новый установленный WordPress
    • Просмотреть директорию загрузок на лишние файлы
    • Импортировать директорию загрузок
    • Тщательно просмотреть каждый плагин и установить самые свежие версии из директории WordPress.org
    • Тщательно просмотреть используемую тему и установить самую свежую версию

    Средства подобные Google Webmaster Tools и Exploit Scanner так же помогут найти и устранить признаки взлома вашего сайта. После восстановления работоспособности, следует попытаться понять, как именно злоумышленник пробрался на ваш сайт. С этим вам чаще всего поможет хороший хостинг-провайдер, предоставив журнал доступа.

    Дополнительные советы и инструменты

    Здесь приведены несколько дополнительных советов и инструментов для повышения безопасности вашего сайта, как для новичков, так и для более опытных пользователей и программистов:

    • Не забывайте о полном резервном копировании
    • По возможности включите SSL/HTTPS для административной панели
    • Используйте защищённые SFTP или SSH вместо FTP для работы с хостингом
    • Удаляйте темы и плагины, которыми не пользуетесь
    • Используйте префикс отличный от стандартного для базы данных
    • Запретите редактирование файлов через wp-config.php
    • Запретите исполнение .php файлов в директории wp-content

    Сторонние платные сервисы подобные Sucuri и VaultPress так же помогут защитить сайт на WordPress от злоумышленников.

    Если у вас остались вопросы, касающиеся безопасности WordPress, мы с радостью на них ответим, а если у вас есть дополнительные рекомендации по средствам защиты, не стесняйтесь оставить комментарий.

    Добавить комментарий