10 советов по безопасности сайта на WordPress


Содержание материала:

10 полезных советов для повышения безопасности вашего WordPress

����‍�� Премиум-темы для Вордпресс с русскоговорящей поддержкой

Десять простых, но очень полезных советов, которые повысят безопасность вашего сайта на Вордпресс.

WordPress — очень гибкая и простая в освоении CMS, на которой можно реализовать практически любую современную задачу. И это лишь две из десятков других причин ее столь высокой популярности. Нужно понимать, что популярность WordPress высока и в хакерских кругах. Поэтому, никогда не будет лишним обезопасить свой сайт. Тем более, для этого не так уж много и нужно — всего лишь несколько минут свободного времени.

Предлагаю ознакомиться с 10-ю простыми, но очень полезными советами для повышения безопасности вашего WordPress.

1. Никогда не используйте в качестве имени пользователя администратора дефолтное имя admin. Если по какой-то причине это произошло, просто создайте нового пользователя-администратора, а старого удалите. Перед его удалением WordPress вас спросит с каким пользователем связать публикации удаляемого пользователя.

2. Создавайте сложные длинные пароли с использованием букв, цифр и различных символов. По статистике, самые часто используемые пароли: «123456», «password», «12345678», «qwerty» и «123456789». Естественно, сайты с такими паролями долго не живут. Хорошо, если в ваш пароль будет не словарным словом, в нем будет не менее 15 символов, среди которых будут строчные, заглавные буквы, цифры и символы.

3. Используйте двухфакторную аутентификация. Например, с помощью плагина Rublon или любого другого — выбор достаточно широк. Двухфакторная аутентификация обеспечивает более надежную защиту от несанкционированного проникновения, и уже знакома многим пользователям, использующих интернет-банкинг, сервисы Google, iCloud, DropBox и т.п.

4. Обязательно отключите подсказки в форме авторизации WordPress. Ведь вы же и без подсказок знаете свой логин и пароль, даже если и допустите опечатку. А злоумышленнику эта информация лишь упростит задачу взлома. Для этого необходимо добавить несколько строк кода в файл functions.php.

5. Используйте плагины только скачанные из официального репозитория WordPress. В крайнем случае, с известных проверенных ресурсов типа CodeCanyon, GitHub, и обязательно имеющие положительные отзывы пользователей. Никогда не устанавливайте взломанные плагины, скачанные с варезников. Конечно, если вам дорог ваш сайт.

6. Своевременно обновляйте WordPress, темы и плагины до актуальных версий. Разработчики регулярно выпускают обновления, в которых закрываются все обнаруженные уязвимости. Актуальные версии не только улучшают производительность и совместимость WordPress, но и существенно снижают вероятность взлома вашего сайта — это факт.

7. Держите ваш WordPress в чистоте. Никогда не храните неиспользуемые плагины и темы на сервере. В крайнем случае, архивируйте.

8. Отключите трэкбэки. Пользы от них мало, а вот неприятностей они вам обязательно принесут. Используя трэкбэки WordPress, злоумышленники могут генерировать с таких сайтов массовые запросы на сайт-жертву, вызывая тем самым масштабную DDoS-атаку. Просто зайдите в настройки обсуждений вашего WordPress и снимите галочку «Разрешить оповещения с других блогов (уведомления и обратные ссылки) на новые статьи».

9. Установите для всех файлов и директорий вашего сайта правильные права доступа. Для директорий — это 755, для файлов — 644. Следует знать, что давая файлу/директории разрешение на запись (или еще хуже полный доступ — 777), вы подвергаете свой сайт серьезной угрозе. Более подробно о правах вы можете узнать в Кодексе WordPress.

10. Запретите просмотр индекса каталогов вашего сайта. Очень часто криво сконфигурированный сервер при отсутствии в директории файлов index.php или index.html отображает список файлов директории. Этим могут воспользоваться злоумышленники. Чтобы этого избежать, добавьте в .htaccess строку:

Кроме того, убедитесь что в директориях wp-content/themes и wp-content/plugins имеется пустой файл index.php.

Подпишитесь на мой телеграм и первыми получайте новые материалы, в том числе которых нет на сайте.

Подпишитесь на рассылку
Один раз в месяц все новые материалы в одном письме

200 бесплатных наборов кистей для Фотошопа
398

Как в Фотошопе сменить русский язык на английский
215

25 лучших шаблонов для создания интернет-магазина на OpenCart
193

Как быстро наполнить сайт на WordPress с помощью плагина WP All Import
164

5 лучших книг по Вордпресс на русском языке
159

Как открыть *.CDR в Adobe Illustrator
155

Как быстро удалить все исходящие заявки в друзья во Вконтакте
153

Как отправить большое видео в Ватсап
142

10 рекомендуемых книг-бестселлеров по PHP
132

20 лучших шаблонов Вордпресс для сферы услуг
118

Как скачать приватное видео из фейсбука
116

Как импортировать большую базу данных MySQL в обход ограничений phpMyAdmin
107

Установка временнОй зоны в PHP
107

Как включить мультисайт и создать сеть сайтов на Вордпресс
92

Как использовать Media Query в JavaScript
86

Как разрешить загрузку SVG и других форматов файлов в Вордпресс?
71

20 лучших Вордпресс шаблонов для блога
68

Как почистить и оптимизировать базу данных Вордпресс
65

20 лучших шаблонов Вордпресс для веб-студий и маркетинговых агентств
63

10 бесплатных шаблонов лендингов в PSD
61

Практикующий веб-разработчик, специализируюсь на платформе Вордпресс.

11 простых советов по повышению безопасности вашего WordPress сайта

При запуске нового сайта мы часто с головой погружаемся в создание идеального дизайна и написание информативного контента. Для многих пользователей, в том числе и для меня, безопасность – это запоздалая мысль.

Однако каждый год число атак на веб-сайты WordPress только растет. 70% веб-сайтов на WordPress имеют уязвимости, которые могут использовать в своих интересах хакеры. Если ваш сайт обладает минимальной защитой, то это означает, что он может стать следующей целью злоумышленников.

Сегодня я постараюсь помочь вам с улучшением защиты вашего сайта, предложив 11 простых подсказок, к которым вы можете тут же прибегнуть. Если вы хотите создать успешный сайт, вам обязательно нужно выстроить непробиваемую защиту.

Поэтому давайте сразу же перейдем к советам и постараемся защититься от злоумышленников.

Делайте бэкапы своего WordPress сайта

Все рекомендации, которые приведены в сегодняшней статье, позволят вам воспрепятствовать взлому вашего сайта.

Однако никакой веб-сайт не может быть защищен на 100%, и вы всегда должны быть готовы к худшему. Именно по этой причине важно регулярно делать бэкапы своего сайта – не самая приятная вещь в мире, но зато она отлично помогает сэкономить время, если что-то пойдет не так.

Если не делать бэкап своего сайта, весь ваш контент может быть потерян в результате хакерских атак – т.е. месяцы кропотливой работы будут пущены коту под хвост.

Если же вы задали для сайта регулярное резервное копирование, то в таком случае ваши усилия могут быть спасены, поскольку ваш сайт можно будет полностью восстановить всего за пару минут.

Большинство хостингов предлагают ежедневный бэкап, однако я рекомендую все же подстраховаться. Лично я имею про запас внешний бэкап, который создается при помощи плагина BackupBuddy.

Плагин позволяет вам определить, как часто вы хотите бэкапить ваш сайт, какие варианты бэкапа вас устроят и т.д. Плагин также позволяет просканировать ваш сайт на предмет наличия вредоносного кода.

Всегда обновляйте все компоненты своего сайта

Обновления WordPress, помимо того, что они добавляют новые возможности, несут в себе патчи для угроз безопасности.

Очень важно всегда поддерживать WordPress в актуальном виде. Если вы не будете этого делать, слабые места безопасности могут быть эксплуатированы злоумышленниками.

Возможно, вы думаете, что обновляться надо только тогда, когда выходит главное обновление – к примеру, когда WordPress 4.0 обновляется до 4.1. На самом деле, обновляться следует всегда, поскольку минорные обновления (от 4.1.0 к 4.1.1, к примеру) несут в себе исправления для разных ошибок, которые могут отразиться на безопасности.

Если вы хотите поднять безопасность своего сайта, вы должны убедиться в том, что ваш веб-сайт работает с последней версией WordPress, даже если последнее обновление было минорным.

Начиная с WordPress 3.7, все обновления безопасности и технические версии устанавливаются автоматически.

Однако обновлять надо не только ядро WordPress. Вы должны также обновлять тему и плагины.

Незначительные пробелы в безопасности могут присутствовать в плагинах и темах, поэтому всегда старайтесь проверить, что ваш сайт WordPress является актуальным, чтобы минимизировать уязвимости.

Скрывайте версию WordPress

Хакеры знают, что старые версии наиболее уязвимы, и зачастую проблемы, существующие в старых версиях, прекрасно задокументированы, что делает их главными целями для атак.

Чтобы узнать, какую версию WordPress использует сайт, достаточно заглянуть в код сайта.

Ясно, что эта версия является устаревшей. Т.е. имеются некоторые уязвимости в безопасности, которые могут быть эксплуатированы.

Если вы не можете поддерживать свой сайт в актуальном виде, то хотя бы скрывайте его версию. Это отведет лишнее внимание хакеров.

Все, что нужно сделать – это добавить следующий код в файл functions.php. С его помощью вы удалите вывод версии на своем сайте.

Выбирайте защищенные пароли

Если вы выбираете простые пароли, вы ставите свой сайт под серьезный риск – хакеры могут с помощью перебора определить нужную комбинацию.

Угадать пароль «12345» можно будет с помощью нескольких попыток.

Ваш пароль должен включать в себя комбинацию из символов в нижнем регистре, в верхнем регистре, цифр и знаков; если вы хотите сделать что-то действительно защищенное, используйте генератор паролей.

WordPress имеет свой собственный индикатор сложности паролей. Он поможет вам выбрать безопасный пароль. По крайней мере, ваш пароль должен быть помечен как Strong.

Я знаю, о чем вы подумали: как запомнить все эти сложные пароли? Это – определенная проблема, и именно поэтому, скорее всего, люди и выбирают простые пароли. Если вам нужна помощь с запоминанием паролей, вы можете воспользоваться специальным сервисом, таким как, к примеру, LastPass – просто убедитесь в том, что ваш пароль является безопасным.

Для дополнительной безопасности вы можете также регулярно менять свой пароль.

Используйте защищенное имя пользователя

В процессе установки WordPress вас попросят ввести имя пользователя, который будет администратором. Многие просто выбирают первую попавшуюся вещь – к примеру, admin.

Несомненно, такое имя пользователя проще всего запомнить, однако оно является самым небезопасным. Ведь именно с него обычно начинают свои атаки разные боты – им остается лишь подобрать пароль.

Если вы используете случайную комбинацию букв, – или хотя бы что-то отличающееся от admin – то в таком случае вы усложните жизнь злоумышленникам: им надо будет угадать имя пользователя и пароль.

Естественно, решение этой проблемы является очень простым – при установке WordPress выберите для себя безопасное имя пользователя.

К сожалению, если вы уже выбрали имя пользователя admin, вы не сможете его поменять в консоли WordPress. Самый простой выход из этой ситуации – создать нового пользователя с администраторскими полномочиями, войти в этот новый аккаунт и удалить старый аккаунт admin. Если вы уже публиковали записи под старым аккаунтом admin, ничего страшного – все ваши записи могут быть присвоены новому пользователю.

Перенесите страницу входа

Есть и другая цель, которая обычно подвергается атакам злоумышленников – это ваша страница входа.

В процессе установки WordPress использует адреса wp-admin и wp-login для страницы входа – к примеру, www.example.com/wp-admin.

Т.е. я могу получить доступ к этим страницам, если на сайте стоит WordPress. Правда, мне еще понадобится как-то подобрать логин и пароль, но факт остается фактом – доступ имеется.

Хорошие новости: вы можете легко изменить URL-адрес wp-admin, усложнив обнаружение страницы входа.

Просто установите плагин HC Custom WP-Admin URL, и вы сможете ввести любой адрес для страницы входа. К примеру, www.example.com/randomletters.

Скрывайте ваше имя пользователя

Если вы следовали предыдущим советам, то в таком случае у вас уже будет иметься безопасное имя пользователя – отличающееся от admin.

Однако боты могут получить ваше имя пользователя и другими путями, не такими очевидными. Они могут использовать URL авторских архивов – обычно к нему можно получить доступ, щелкнув по имени автора после статьи.

URL архивов автора по умолчанию будет иметь следующий вид: www.example.com/author/johnsmith.

Какое имя пользователя у автора этой статьи? Правильно, johnsmith, и простой щелчок мышью может показать это.

Если роботы имеют доступ к имени пользователя, то они могут впоследствии взломать данную учетную запись; им нужно будет только подобрать пароль.

Однако данный URL можно изменить; все сводится к тому, как WordPress использует поле автора. WordPress использует поле, которое называется user_nicename; оно автоматически заполняется именем автора – именно по этой причине архивы по автору выводят имя пользователя.

Если запись user_nicename в базе данных будет изменена, то в таком случае изменится и URL архива автора – он больше не будет содержать имя пользователя; однако сделать это из консоли WordPress не представляется возможным. Нам нужен будет доступ к базе данных WordPress через phpMyAdmin.

Разговор о базе данных может привести некоторых людей в настоящую панику, поэтому мы постараемся все сохранить максимально простым.

После доступа к базе данных через phpMyAdmin вам нужно будет найти таблицу под названием wp_users. Вы увидите список пользователей, и где-то в таблице также будет столбец user_nicename. Щелкните по user_nicename и отредактируйте его любым образом: не используйте пробелы в данном поле, поскольку это приведет к ошибке 404.

Ограничивайте число попыток входа

Поскольку в последнее время участились случаи брутфорс-атак, вам, возможно, понадобится ограничить число неудачных попыток входа в консоль с одного и того же IP-диапазона.

Защищая ваши учетные данные, вы усложняете работу ботам и злоумышленникам; однако со временем они все же способны будут подобрать нужную комбинацию.

Если вы ограничите количество неправильных попыток входа с отдельного IP-адреса – или диапазона IP-адресов – то в таком случае вы значительно снизите эффективность брутфорс-атак. Это решение не совершенно, поскольку хакеры могут использовать разные IP-адреса, однако это определенно положительный шаг, который позволит вам повысить безопасность своего сайта.

Для ограничения попыток входа в консоль я рекомендую использовать плагин Login Lockdown, который блокирует IP-адреса, с которых производились многочисленные неудачные попытки входа в систему за короткий период времени. Вы можете задать число неудачных попыток, период времени, а также период блокировки.

Используйте защищенный хостинг

До сих пор мы рассматривали вещи, которые зависели от вас.

Однако свыше 41% всех сайтов были взломаны из-за уязвимости на стороне хостинга.

Это правда: ваш хостинг может являться самым уязвимым местом для хакерских атак. И, кроме выбора подходящего хостинга, вы с этим ничего поделать не можете.

Я советую вам удостовериться в том, что вы используете проверенный хостинг, который отличается многочисленными положительными отзывами – не ориентируйтесь на цену.

Стоит поговорить с разными провайдерами, чтобы убедиться в том, что их сотрудники прекрасно осведомлены о проблемах безопасности – особенно о проблемах с WordPress – и что они имеют подходящие инструменты защиты.

Отключите редактор плагинов и тем

Если брутфорс-атака будет проведена успешно, и хакер сможет получить доступ к вашему сайту, какой ущерб он способен причинить? Потенциально – самый разный.

Хакер может добавить вредоносный код к сайту, приводящий к многочисленным проблемам. Это очень просто сделать: хакеру достаточно перейти в раздел консоли Внешний вид – Редактор. Обладая доступом к этой области, любой человек со злыми мотивами легко может сломать вашу тему и весь ваш сайт.

Есть простое решение: отключите редактор плагинов и тем.

Это легко сделать: вы можете просто добавить следующий код в wp-config.php:

Как только вы сделаете это, даже администратор не сможет отредактировать вашу тему или плагины напрямую через консоль WordPress. Если хакер и сможет получить доступ к сайту, он не причинит серьезного ущерба.

Добавьте плагин безопасности

Если вы хотите сделать заключительный шаг по защите вашего сайта, обязательно установите плагин безопасности.

Такие решения помогают защитить ваш сайт разными способами, и именно они составляют самый последний уровень защиты вашего сайта.

Безопасность WordPress – важная вещь сегодня, потому рынок наполнен как платными, так и бесплатными решениями.

Я лично выбрал для себя плагин от iThemes – он идет в лайт-версии и в про-версии.

Про-версия плагина регулярно сканирует и защищает ваш сайт от вирусов, предлагая огромный список разных вариантов защиты. Вы можете даже добавить двухфакторную аутентификацию к странице входа – пользователям надо будет не только ввести пароль, но и запросить код, отправленный на их мобильный телефон.

Это прекрасный плагин, который позволит вам улучшить вашу защиту WordPress.

12 простых шагов, которые повысят безопасность сайта на WordPress

Автор: Эдуард Бунаков · Опубликовано 29 марта 2020 · Обновлено 5 июля 2020

Вопросы безопасности WordPress всегда давали богатую пищу для размышлений. Хотя большая часть последних обновлений этой CMS была связана с безопасностью, есть много способов усилить защиту, которые доступны даже не самым технически продвинутым пользователям, даже без плагинов.

Вот несколько предложений, как повысить информационную безопасность для сайта на WordPress.

Разработчики платформы предлагают собственный список мер по обеспечению защиты сайтов на WordPress, с которым рекомендуем обязательно ознакомиться. Конечно, некоторые из этих рекомендаций будут повторяться ниже, но лишние практические советы и инструкции не помешают, когда речь идет о безопасности данных.

На всякий случай сделайте резервную копию сайта до того, как испытывать на практике эти советы.

Не используйте в качестве имени пользователя

Помните об этом. Возможно, это самый первый из основных шагов для обеспечения безопасности WordPress, который могут предпринять пользователи платформы. Сделать его несложно, инсталлятор позволяет легко соблюсти такое правило.

Сегодня большинство атак нацелены на wp-admin / wp-login доступ с использованием подбора комбинации имени пользователя и пароля, известном как атака методом «грубой силы». Здравый смысл подсказывает — если вы удалите имя , то удалите и возможность прямой атаки.

Да, остается вероятность того, что хакер угадает новое имя пользователя, перебирая идентификаторы и имена пользователя. Но безопасность – это не устранение риска, а его снижение. Удаление принятых по умолчанию имен пользователя или поможет защититься от обычных автоматических атак методом подбора.

Как минимум, вы усложните хакеру жизнь при подборе произвольного имени пользователя. Чтобы не было путаницы, уточним: речь идет исключительно об использовании слов и в качестве имени пользователя, а не о правах администратора.

Создайте новое имя пользователя в меню «Пользователь —> Новый пользователь» и назначьте ему права администратора. После этого удалите пользователя . Не переживайте о сохранности публикаций или страниц, которые были созданы под его именем.

WordPress любезно поинтересуется у вас: «Что вы хотите сделать с контентом, принадлежащим этому пользователю?», а затем предложит на выбор удалить весь контент или привязать его к новому пользователю (например, созданному вместо ).

Создайте отдельный аккаунт с правами редактора

Когда вы пишете или редактируете сообщения в блоге, «имя автора» показывается в нижнем левом углу браузера, если навести курсор на имя автора в публикации. Если ваше имя автора совпадает с именем администратора, вы сделали за хакеров половину работы по успешному взлому своего сайта.

Исправить ситуацию просто: создайте нового пользователя, у которого есть только права редактора, и авторизуйтесь под этим именем, когда собираетесь что-то публиковать или редактировать в блоге. Это имя будет отображаться во всех ваших публикациях; а хакеры потратят кучу времени, пытаясь взломать ваш блог под именем пользователя с якобы правами администратора, которое на самом деле позволяет лишь писать и редактировать сообщения.

Кроме того, специальные плагины безопасности для WordPress ограничивают попытки зайти на сайт под конкретным логином и сообщают о попытках несанкционированного проникновения на заданную электронную почту. Так вы узнаете, предпринимались ли попытки взлома с использованием настоящего логина администратора, и сможете уделить внимание безопасности сайта на вордпресс до того, как злоумышленники подберут пароль.

Не используйте простые пароли

Запомните простое слово СУД – Сложный, Уникальный, Длинный. Здесь вступают в игру инструменты вроде 1Password или LastPass, которые генерируют пароли установленной вами длины. В зависимости от того, какой уровень защиты вы хотите получить, выбирается длина пароля в знаках (обычно хватит 20 знаков) и включаются такие редко используемые символы, как # или *.

«123456» — это не пароль. «qwerty» равносильно тому, что вы напишете на банковской карте её пин-код. Даже «starwars» вошел в список 25 самых распространенных паролей 2015 года. Помните, вы не настолько уникальны, как думаете.

Добавьте двухфакторную аутентификацию

Даже если вы не используете имя пользователя admin и установили сильный, произвольно сгенерированный пароль, атаки методом «грубой силы» остаются проблемой. Для снижения риска такого проникновения методы вроде двухфакторной аутентификации являются ключевыми.

Да, двухфакторная аутентификация доставляет много хлопот. Но теперь это ваш Форт-Нокс. Суть ее для защиты сайта на WordPress заключается, как ясно из названия, в двух формах авторизации. Сегодня это стандарт, повышающий безопасность ваших точек доступа. Вы уже используете двухфакторную авторизацию для Gmail и Paypal (по крайней мере, должны это делать). Так почему бы не добавить в список WordPress?

Для реализации инструмента есть специальный плагин Google Authenticator. Альтернативный вариант с несколько другим подходом и тем же результатом — Rublon Plugin.

Используйте принцип минимальных привилегий
Команда WordPress.org составила отличную статью в кодексе WordPress, регулирующую Роли и Права пользователей. Обязательно ознакомьтесь с этим документом, который непосредственно касается данного шага.

Принцип минимальных привилегий очень простой – давайте доступ только:

— тем, кому он нужен;

— тогда, когда он нужен;

— на тот период времени, который нужен.

Если кому-то нужны права администратора, чтобы изменить конфигурацию, предоставьте их, но закройте доступ сразу же после выполнения задачи.

Хорошая новость – эти действия не займут у вас много времени.

Вопреки широко распространенному мнению, не каждый пользователь, получающий доступ к вашему сайту на WordPress, должен получать права администратора. Давайте людям права доступа, достаточные для выполнения их задач, и вы намного снизите угрозу безопасности своего wordpress-сайта.

Для настройки подобного рода безопасности wordpress есть плагин: Google Authenticator . Альтернативой, которая использует несколько иной подход для этой же цели, является плагин Rublon.

Скройте файлы wp-config.php и .htaccess

Это относительно просто сделать, но ошибки при выполнении процедуры могут превратить ваш сайт в недоступный. Создайте резервную копию, и только после этого приступайте к изменениям.

Перейдите в меню «Инструменты => Редактор файлов» для редактирования файла .htaccess. Для повышения уровня безопасности и защиты файла wp-cnofig.php вам нужно добавить такой код в файл .htaccess:

Вы сможете внести эти изменения самостоятельно, здесь нет ничего сложного.

Используйте для аутентификации ключи безопасности WordPress

Ключи аутентификации и salt-ключи работают в связке друг с другом, чтобы защитить ваши cookies-файлы и пароли во время передачи данных между браузером и веб-сервером. Эти ключи аутентификации построены на наборе случайных переменных. Они повышают защиту (шифрование) информации в файлах cookies.

Чтобы изменить их в файле wp-config.php, просто получите новый набор ключей здесь — https://api.wordpress.org/secret-key/1.1/salt/ — и добавьте в файл. При обновлении указанной страницы ключи изменяются, так что каждый раз вы будете получать новый набор.

Отключите редактирование файлов

Самым простым способом изменить ваши файлы является доступ к пункту меню WordPress «Оформление => Редактор». Чтобы повысить уровень защиты, вам нужно отключить возможность редактирования файлов через консоль. Откройте файл wp-config.php и добавьте строчку

У вас останется возможность вносить изменения в шаблоны через FTP-доступ, но теперь никто не сможет изменять их с помощью инструментов в консоли WordPress.

Ограничьте число попыток авторизации

Целью атак методом подбора ключей является форма для авторизации на сайте. Плагин All in One WP Security & Firewall позволяет изменить путь по умолчанию (/wp-admin/) к этой форме ввода. Помимо этого, с помощью специальных плагинов вы можете ограничить число попыток ввода с конкретного IP-адреса.

Выборочное использование интерфейса XML-RPC

XML-RPC – это прикладной программный интерфейс (API), который используется повсеместно. К нему обращается огромное число плагинов и тем, поэтому менее подготовленным технически пользователям нужно особенно осторожно экспериментировать с этим инструментом.

Несмотря на практичность шага, отключение XML-RPC может обойтись дорого. Вот почему не рекомендуется отключать его полностью, но внимательнее следить за тем, какие программы и как пытаются получить доступ к этому интерфейсу. Существует множество плагинов, которые помогают осуществлять выборочную реализацию и отключение XML-RPC.

Хостинг и безопасность WordPress

Владельцы сайтов часто жалуются, что их хостинговые компании не помогают защитить ресурс от взлома или вообще ничего не понимают в обеспечении безопасности сайтов на платформе WordPress.

Хостинговые компании просто видят ваш сайт иначе. Нет однозначных правил по выбору хостинга для wordpress, но он действительно важен, когда речь идет о мерах по улучшению защиты от несанкционированного доступа.

Буквально каждая статья о выборе хостинга начинается со слов о том, что дешевый не значит лучший. Самые дешевые тарифные планы не помогут вам уберечься от атаки хакеров. Такие пакеты включают минимальную защиту ресурса, например, предустановленный брандмауэр веб-сайта.

Виртуальный хостинг подразумевает, что сервер, на котором расположен ваш ресурс, является домом и для других сайтов. У них могут быть собственные проблемы безопасности, которые затрагивают и безопасность вашего сайта.

При этом безопасность WordPress, наверно, одно из главных преимуществ, которые предлагают хостинговые компании в специализированных WordPress-тарифах.

Обычно сюда входит резервное копирование, резервный брандмауэр, проверка файлов на наличие вредоносного ПО, защита от DDoS-атак и автоматическое обновление WordPress. Причем все это предлагается, как правило, за вполне приемлемую стоимость.

Не забывайте о хостинг-аккаунте

Одна из самых больших проблем хостингов связана с конфигурацией аккаунта для владельца сайтов. Пользователь может инсталлировать и конфигурировать столько сайтов, сколько захочет, что способствует появлению в системной среде «бесплатной столовой» для вредоносного ПО.

Проблема актуальна, потому что во многих случаях веб-ресурс может быть взломан методом, известным как межсайтовое заражение, когда вектором атаки является соседний сайт. Злоумышленник преодолевает защиту севера, а затем начинает проникать на соседствующие сайты, расположенные на этом сервере.

Лучший способ защиты от этого вида взлома — создание двух аккаунтов. Один из них вы используете как рабочую среду и размещаете на нем только активные сайты, а второй – как промежуточный, на котором вы храните все остальное.

Будьте в курсе последних обновлений

О том, что нужно поддерживать актуальность, легко говорить. Но для владельцев сайтов это означает ежедневный кропотливый труд. Наши сайты – сложные создания. В каждый момент времени на них происходят десятки событий, поэтому иногда внести мгновенные изменения бывает трудно.

Недавние исследования показал, что 56% установленных систем WordPress используют устаревшие версии платформы.

Обновления должны касаться не только ядра платформы. В упомянутом исследовании говорится также, что большое число хакерских атак использует устаревшие, уязвимые версии плагинов.

Как выбирать безопасные плагины и темы для WordPress

Большинство пользователей предпочитают беспорядочную установку плагинов и тем на своих сайтах. Это глупо, если только вы не делаете установку на тестовом сервере с единственной целью — проверить работу той или иной темы либо плагина.

Большинство плагинов и очень много тем бесплатные. И если авторы поддерживают свои разработки ради развлечения, а не в рамках какой-то серьезной бизнес-модели, вряд ли они потратили много времени на проверку уязвимостей и безопасности этих продуктов.

Как выбрать правильный плагин для wordpress

Как уже сказано выше, бесплатные темы и плагины являются потенциальной угрозой для безопасности сайта. Добавляя эти элементы на сайт, обязательно проверяйте их рейтинг, например, на WordPress.org.

Но просто пять звезд ничего не скажут о степени надежности плагина, в зависимости от ниши он должен иметь определенное количество отзывов. Если достаточно много людей считает, что это замечательный продукт, и нашли время для оценки, можно попробовать его в действии на собственном сайте.

Еще один момент, который вы должны проверять – актуальность плагина или темы. Если не было обновлений в течение последних двух лет, WordPress об этом сообщит. Отсутствие обновлений не обязательно означает, что плагин плохой.

Возможно, у автора просто не было необходимости в том, чтобы вносить исправления в рабочую программу. Все же не рекомендуется устанавливать плагины, которые давно не обновлялись. Рейтинг расскажет о работоспособности выбранного элемента и о его совместимости с текущей версией WordPress. Всю эту информацию можно увидеть на странице плагина на WordPress.org.

Опираясь на рейтинг и совместимость, вы можете сделать процесс выбора плагинов менее беспорядочным, одновременно повысив шансы на установку безопасного элемента.

Заключение

Если вы дочитали эту статью до конца, то просто обязаны принять дополнительные меры по защите своего сайта на WordPress. Добавьте в список ежедневных действий проверку защищенности своего ресурса. Она должно стать такой же ежедневной рутиной любого владельца сайтов, как регулярное добавление новых публикаций и страниц.

Не нужно забывать о регулярном создании резервных копий, для чего у платформы есть множество надежных плагинов. Правда, резервные копии не являются частью политики информационной безопасности, это скорее административные и служебные задачи.

Мы привели далеко не полный список того, что можно сделать для защиты сайта от взлома. Но надеемся, что наши практические советы помогут обеспечить хотя бы первый уровень информационной безопасности для вашего ресурса.

Помните, безопасность WordPress не бывает абсолютной.

Так что сделать жизнь хакеров тяжелой – наша задача, как владельцев сайтов.


Безопасность WordPress, советы по защите блога

С каждым днем количество пользователей глобальной паутины растет. Однако не у всех у них добрые намерения. Есть и такие люди, которые пытаются нанести вред чужим сайтам. Хакеры ищут уязвимые места сайта с целью его взлома. Причин для взлома может быть масса — это и взлом с целью завладения сайтом, и взлом чисто из хулиганских побуждений. Для того, чтобы обезопасить блог на WordPress существует несколько способов. В данном посте я расскажу о базовых мероприятиях по обеспечению безопасности блога.

Итак, способы и советы по защите блога на WordPress:

1. Придумываем сложный пароль

Пароль должен быть надежным. При составлении пароля следует использовать прописные и заглавные буквы. Можно также использовать цифры. Не следует в качестве пароля указывать дату своего рождения. Часто это делают неопытные пользователи, злоумышленники об этом прекрасно знают. Пароли лучше записывать в записную книжку, чтобы не забыть. Не стоит хранить свои пароли на хостинге.

2. Изменяем имя пользователя

При установке WordPress создается учетная запись администратора с именем «admin», что существенно облегчает работу хакерам. Ведь зная логин, подобрать пароль намного проще. Изменить логин «admin» можно различными способами, начиная от запроса к базе данных и заканчивая использованием специальных плагинов. Самый простой способ изменения имени администратора – создать нового пользователя с правами администратора, затем выйти из «админки» блога и «залогиниться» под новым именем. После этого нужно проверить все ли функции доступны и удалить первую учетную запись, связав все записи с новым пользователем.

3. Скрываем версию WordPress

Система WordPress периодически обновляется. В новых версиях движка вносятся доработки, исправляются ошибки. Рекомендуется регулярно обновлять свой блог. Злоумышленники, зная версию WordPress и, соответственно, известные в ней «дыры», могут попытаться взломать Ваш блог. Версию WordPress можно посмотреть в исходном коде страницы. Чтобы убрать версию движка достаточно отредактировать нужные файлы. Для этого открываем файл «header.php», в котором находим и удаляем такую строку:

После этого открываем файл «functions.php» и добавляем такой код:

4. Изменяем права на файлы и папки

Права на файлы и папки устанавливаются автоматически при закачке сайта на хостинг. Однако, при работе их часто приходится изменять, например, для редактирования файлов темы. Поэтому после внесения всех необходимых изменений не забывайте выставить права обратно. Права на папки должны быть 755, кроме «cache» и «uploads» (у них 777), а на файлы – 644.

5. Генерируем ключи безопасности

В файле «wp-config.php» есть 4 ключа, которые необходимы для обеспечения защиты блога:

Эти ключи необходимо сделать уникальными, добавив в них собственные символы.

6. Закрываем возможность просмотра директорий на сервере

Необходимо скрыть от просмотра системные директории движка WordPress (например, «wp-content», «wp-includes»). Для этого нужно прописать в файле «.htaccess» следующую строку:

7. Устанавливаем плагин «Login LockDown»

Плагин блокирует IP-адрес, с которого идут запросы, после нескольких неудачных попыток авторизации. Количестве этих попыток и время блокировки можно задать в настройках плагина. Кроме этого, данный плагин запоминает все неудачные попытки входа в «админку». Всегда можно посмотреть с каких IP-адресов были попытки авторизации и в какое время.

8. Обновляем WordPress и плагины

В каждой новой версии WordPress учтены и исправлены все уязвимые места предыдущих версий. Поэтому следует своевременно обновлять, как сам движок WordPress, так и плагины.

9. Делаем резервные копии базы данных и файлов сайта

Следует постоянно делать резервные копии базы данных и движка WordPress. Это позволит в любой момент восстановить работоспособность блога. Копии баз данных можно делать в админ-панели хостинга или с помощью плагина «WP DataBase Backup» в «админке» WordPress.

Вот такие советы. Если им следовать, то можно обеспечить хорошую защиту своему блогу. Есть и другие способы защиты, о них можно дополнительно почитать в Интернете.

Защита WordPress сайта: 16 мер и 19 плагинов

Приветствую вас, друзья!

Те из вас, кто подписан на обновления проекта и следит за выходом новых статей, наверняка заметил, что в последнее время я заинтересовался вопросами кибербезопасности.

А именно, способами нанесения вреда владельцам сайтов и тому, как от них уберечься.

Сразу скажу, что к данной области я испытываю исключительно научный интерес. Я никогда не был и не являюсь хакером.

Знания в области кибербезопасности необходимы мне, как профессиональному веб-разработчику, для защиты создаваемых и поддерживаемых мною сайтов. К чему я и вас призываю, мои дорогие читатели. Помните, что у всяких знаний есть Тёмная сторона, которой нужно избегать.

Однако, сказать, что хакеры этому миру не нужны я также не могу, т.к. их деятельность помогает находить бреши в безопасности и устранять их (лучше бы они только этим и занимались, а не использовали слабые места сайтов для своей выгоды).

В прочем, я сильно увлёкся �� И не представил вам тему сегодняшней статьи, которая является очень популярной сегодня и серьёзной – это безопасность WordPress сайтов.

В ней я расскажу о наиболее частых ошибках вебмастеров, которые они допускают при защите WP ресурсов, из-за которых их часто взламывают, а также о способах их предотвращения.

Многим описанные меры могут показаться очевидными и банальными, но уверяю вас… Именно поэтому большая часть пользователей не считают их чем-то серьёзным и зачастую ими пренебрегают ��

И в это же время данные упущения с успехом используются тысячами хакеров для взлома WordPress сайтов ежедневно.

Также я поделюсь своим опытом защиты ВордПресс сайтов, который у меня уже успел накопиться.

Однако – обо всём по порядку.

Что нужно знать о безопасности WordPress?

WordPress – это бесплатная OpenSource система управления содержимым сайта. Предоставляется она абсолютно бесплатно всем желающим, что резко повышает к ней интерес со стороны разработчиков.

Каждый владелец копии ВордПресс может использовать её по своему усмотрению: модифицировать, распространять и создавать на её базе свои проекты.

Именно большая популярность и открытость архитектуры CMS WordPress сделала ее очень уязвимой и доступной для злоумышленников, которые могут навредить ресурсу. Ведь найденная уязвимость может быстро тиражироваться на сотни тысяч сайтов, делая владельцев беззащитными перед опытными взломщиками.

Интересная информация о WordPress:

  • 35-40 % сайтов, запущенных в доменной зоне RU в 2020 году, работают на Вордпресс;
  • на текущий момент на CMS WordPress в Рунете работает более 500 000 различных сайтов;
  • всего в мире на движке Вордпресс запущено более 18 000 000 сайтов (на начало 2020 года), для сравнения годом ранее цифра была всего 16 000 000, а в 2012 году – лишь 6 000 000 сайтов;
  • в официальном каталоге плагинов доступно около 30 000 бесплатных плагинов для CMS;
  • в качестве разработчиков WordPress зарегистрировано в 2012 году более 100 000 специалистов;
  • лишь 20 % пользователей устанавливают плагины для защиты WordPress.

Как видите, с одной стороны система активно развивается, миллионы пользователей ее используют, но лишь 1/5 вебмастеров беспокоятся о безопасности Вордпресс сайтов, которые им принадлежат.

Зачем кому-то ломать защиту WordPress?

Начнём с того, что сайты WordPress могут взламываться автоматически с помощью различных программ-роботов и вручную.

Первый – наиболее распространённый, т.к. имеет массовый характер воздействия. Причём, ваш сайт может быть как огромным порталом с посещаемостью в несколько тысяч пользователей в сутки, так и личным блогом, у которого от силы десяток читателей, включая Вас ��

Время от времени в сети мелькает информация о таких массовых атаках на WordPress сайты.

Автоматический взлом основывается на использовании недостатков безопасности WordPress как платформы. Особенно ему подвержены ресурсы, использующие старую версию движка сайта, т.к. разработчики постоянно анализируют причины успешных WP взломов и устраняют недоработки в новых версиях.

При автоматическом взломе WordPress сайтов злоумышленники могут руководствоваться следующими мотивами:

  • кража сайта – полное копирование ресурса и перенос его на новый домен с целью присвоения результатов труда разработчика, монетизации ресурса и так далее;
  • получение ссылок с ресурса для составления сетки сателлитов, улучшения ссылочного профиля;
  • шантаж;
  • получение личных данных пользователей или иной полезной коммерческой информации;
  • получение прибыли путем подмены информации на сайте (замена номеров карт, платежной информации);
  • использование сайта для инфицирования пользователей ресурса путем рассылки писем или программ с вирусами;
  • перенаправление вашего трафика на свои ресурсы (редирект);
  • использование системных ресурсов для хранения своих данных, более эффективного взлома других ресурсов.

При ручном взломе сайтов помимо перечисленных причин хакеры руководствуются ещё и личными мотивами, среди которых могут присутствовать следующие:

  • месть;
  • зависть;
  • устранение прямого конкурента;
  • взлом WordPress сайта на заказ.

Это лишь малая часть из возможных мотивов злоумышленников, среди которых есть как коммерческие мотивы, так и человеческие качества.

Именно поэтому настройки безопасности WordPress – это обязательный этап разработки любого сайта. Если им пренебречь, рано или поздно вы станете жертвой атаки.

Как обходят WP защиту?

  • 40% – взломы хостинга. Владелец сайта мало может повлиять на защищенность хостинг платформы, поэтому изначально нужно выбирать качественных хостеров с положительными отзывами и проверенной репутацией.
  • 30% осуществляются через небезопасные темы, в которых намеренно или случайно присутствуют уязвимости. Вывод: необходимо использовать платные темы от надежных поставщиков. Я лично рекомендую ресурс TemplateMonster, где все шаблоны проходят жёсткую модерацию профессионалами на предмет безопасности и функциональности.
  • 20% взломов WordPress из-за уязвимых плагинов. Даже лучшая защита ВордПресс нивелируется установкой плагинов с намеренно размещенной уязвимостью. Сюда же относится установка чистого кода на сайт из непроверенных источников пользователями, мало разбирающимися в программировании.
  • 10% ВордПресс взломов из-за ненадежного пароля. Хакеры просто подбирают или брутфорсят пароли, взламывая сайты в автоматическом или ручном режиме.

Безопасность WP сайта должна решаться комплексно, то есть, даже если вы используете плагины WordPress Security, но при этом устанавливаете на свой ресурс непроверенный код – вы находитесь в зоне риска.

Надежная защита WordPress – это реально?

Вполне. К счастью, реальность такова, что работоспособных WP сайтов, о безопасности которых позаботились их владельцы, больше, чем взломанных.

Для обеспечения надёжной ВордПресс security всего лишь необходимо следовать определенным рекомендациям, которые, на самом деле, очень простые и в некоторых случаях даже примитивные.

Регулярные бэкапы

Важно иметь несколько копий сайта, которые хранятся на различных носителях, не связанных друг с другом на случай, если ваш сайт всё-таки взломают.

В этом случае наличие резервных копий поможет восстановить ресурс максимально быстро. Оптимальная схема бэкапов для средних и крупных сайтов следующая:

  • 1 копия хранится непосредственно на хостинге – она нужна для быстрой работы с сайтом;
  • 1 копия хранится на компьютере владельца, который также надежно защищен от взлома файерволом и антивирусом – она необходима для быстрого восстановления в случае взлома;
  • 1 копия хранится на облачном сервисе, как основной резервный источник;
  • 1 копия хранится в офлайн режиме на флеш-носителе.

Поскольку сайт постоянно находится в процессе развития, важно регулярно обновлять копии на носителях, т.к. вы никогда не знаете, в какой момент на ваш сайт может быть осуществлена атака.

В бэкапах нужно хранить не только файлы сайта, но и данные БД.

На хостинге идеальной частотой является 3 бэкапа в сутки, которая у многих хостинг-провайдеров установлена по умолчанию (например, у моего хостера TheHost).

Но это во многом зависит от свободного дискового пространства, предоставляемого вам на серверном жёстком диске в рамках оплачиваемого вами тарифного плана.

Поэтому лучше не экономить на безопасности ��

Остальные типы бэкапов не нуждаются в таком частом создании. Достаточно делать резервную копию в облаке 2 раза в неделю, а на локальном комьютере и флеш-носителе – раз в неделю.

Бесплатные плагины защиты WordPress сайта, позволяющих автоматизировать процесс формирования резервных копий:

  • Duplicator — обеспечивает возможность копирования и перемещения сайта, а также является простым средством для резервного копирования;
  • UpdraftPlus – плагин для резервного копирования в облако на Dropbox, Google Диск или другие сервисы.
  • WordPress Backup to Dropbox – простой плагин для регулярного резервного копирования файлов и БД сайта в Dropbox.

Ограничение сбора сведений о сайте злоумышленниками

Зная, какая версия ВордПресс используется у вас на сайте и какие установлены плагины, хакеры могут получить сведения о возможных уязвимостях. Чтобы это предотвратить, необходимы следующие простые, но эффективные действия.

  1. удалить файлы readme.html и license.txt из корня сайта;
  2. заблокировать доступ к .htaccess через браузер с помощью директив самого .htaccess;
  3. обязательно проверить исходный код HTML-страницы на предмет упоминания названий плагинов и их версий в примечаниях;
  4. сделать запрет доступа к install.php, wp-config.php и прочим системным файлам;
  5. запретить просмотр в браузере содержимое каталогов WordPress сайта с помощью директив .htaccess;
  6. скрыть информацию о владельце сайта, авторах;
  7. директориям сайта на хостинге установить права доступа 755, а файлам — 644.

Защита админки WordPress сайта

Доступ к панели администратора WP сайта является золотой мечтой большинства хакеров. Но, тем не менее, защитить ВордПресс админку очень просто и для этого существует масса способов.

Самым эффективным является маскировка.

Большинство программ для автоматического взлома настроены на wp-login.php. Если же изменить адрес доступа, можно существенно повысить WordPress security ресурса, поскольку автоматические программы попросту будут выдавать ошибку доступа. Возможные решения (плагины):

  • Login LockDown – быстро определяет подбор пароля и блокирует запрос с этого IP;
  • Revisium WordPress Theme Checker – определяет наиболее типичные способы взлома вашего шаблона, проверяет доступ к админ панели;

Я лично пошёл ещё дальше и помимо указанных мер установил ещё блокировку попыток входа в админку по IP, благодаря чему доступ к панели администратора возможен только с нескольких IP-адресов.

Это, правда, вносит свои неудобства при использовании VPN сервисов, которые стали популярны у населения Украины благодаря запрету у нас Вконтакте, Яндекса и прочих российских ресурсов, но зато положительно влияет на уменьшение количества попыток входа в админку и брут-форс атак.

Кстати, данное явление также создаёт большую нагрузку на сайт и БД, в частности, из-за чего сайт может утратить свою работоспособность на некоторое время, что негативно влияет на позиции в поисковых выдачах, посещаемость ресурса и отношения пользователей к вам.

Отказ от использования VPN сервисов

Раз уж я начал говорить о них в предыдущем пункте, то стоит сказать, что их использование вообще крайне нежелательно как раз-таки из соображений как безопасности WP сайта, так и локального комьютера и хранящихся на нём данных.

Поэтому любителям VPN сервисов я настоятельно рекомендую от них отказаться. По крайней мере, на время работы в панели администратора ВордПресс сайта.

Во-первых, VPN соединение для работы в админке не нужно.

А, во-вторых (и это самое главное), — при использовании VPN сервисов ваши данные пропускаются через сторонние сервера, на которых они могут быть использованы как угодно.

Следовательно, имя пользователя и пароль администратора могут быть украдены злоумышленниками и использованы для контроля вашим ресурсом.

Отказ от работы в админке WP через общественный Wi-Fi

Никогда не используйте WI-FI соединение для доступа к админпанели сайта, которое используется ещё кем-то.

За историю существования Wi-Fi сетей насчитываются тысячи случаев похищения данных администраторов с последующим взломом ВордПресс сайтов и кражей другой ценной информации владельцев устройств, пользующихся «бесплатным» интернетом в общественных местах.

Причём доступ к таким сетям может быть как защищён паролем, так и нет — главным условием является наличие в них кого-то ещё кроме вас, в мотивах которых вы не можете быть уверены на 100%.

В Интернете можно найти массу программ, которые якобы позволяют защитить Wi-Fi соединение при использовании общественных сетей.

Я даже хотел вам порекомендовать парочку, но при анализе их устройства обнаружил, что все они используют VPN, который и не такой уж безопасный, как кажется и всячески навязывается.

Установка SSL-сертификата

Интересные дела получаются. VPN недостаточно надёжен, общественный Wi-Fi для администрирования сайта вообще использовать запрещается.

А как тогда быть, если нужно уехать в длительную командировку или на отдых, одним словом, оказаться длительное время без проверенного и защищённого Wi-Fi, а сайт в это время нужно администрировать?

В данной ситуации на помощь может прийти как раз использование SSL-сертификата для передачи данных по защищённому протоколу HTTPS.

Для упрощения перевода WordPress на HTTPS я лично рекомендую применять специальные плагины, которые значительно упрощают жизнь.

  • Really Simple SSL – плагин позволяет установить сайту на WordPress SSL сертификат за пару секунд. Необходимо лишь получить SSL сертификат, установить плагин и активировать его. Остальные действие будут выполнены автоматически, включая редирект, внесение корректировок в .htaccess и замена всех url сайта с учётом протокола HTTPS.
  • WP Force SSL – плагин для перенаправления трафика с HTTP на расширенный протокол HTTPS, включая прописанные вручную ссылки.
  • Easy HTTPS Redirection – плагин, очень похожий на WP Force SSL по своему действию, т.к. позволяет настроить редиректы с HTTP на HTTPS как для всех URL сайта, так и для отдельных.
  • SSL Insecure Content Fixer – данный плагин защищает WordPress сайт от опасного контента и предупреждений о смешанном содержимом.

Если вы вдруг не знаете как установить плагин WordPress, то рекомендую вам ознакомиться со статьёй по ссылке.

В ручном режиме установка на WordPress SSL сертификата и его настройка будет для вас достаточно сложной и дорогой, если отказаться от плагинов и пользоваться услугами профессиональных разработчиков.

Двухэтапная аутентификация при входе в админку

Данная мера безопасности является ещё одним эффективным средством защиты админки WordPress наряду с настройкой HTTPS на WP сайте.

Заключается она в использовании не только стандартного ввода имени пользователя и пароля при входе в админпанель, но и во вводе специального кода подтверждения, отправляемого вам на телефон.

Поэтому если брутфорс атака злоумышленников будет успешной и им удастся подобрать данные учётной записи администратора, то второй этап остановит их от получения контроля над вашим сайтом.

Наиболее простым и удобным способом внедрения двухфакторной аутенфитикации на свой сайт является установка специальных плагинов. Вот список самых популярных, размещённых в порядке убывания количества скачиваний:

  • Google Authenticator — Two Factor Authentication (2FA)
  • Duo Two-Factor Authentication
  • Rublon Two-Factor Authentication

Описания их возможностей приводить не буду, т.к. все они примерно одинаковы. А самое прикольное лого на wordpress.com у Rublon, так что обязательно зайдите и зацените ��

Регулярное обновление ВордПресс

Основная и самая примитивная защита от взлома WordPress сайта – это регулярное обновление движка. Тысячи хакеров днями и ночами ищут уязвимости версий Вордпресс, поэтому чем раньше вы обновитесь, тем дольше будет действовать WordPress security вашего ресурса.

От момента выявления «дыры» до взлома сотен тысяч сайтов иногда проходит несколько дней. Поэтому разработчики WordPress ведут неравный бой с хакерами всего мира, постоянно выпуская обновления, устраняющие ошибки и слабые места.

И глупо было бы этим не воспользоваться. Устанавливайте обновление незамедлительно, сразу после его выхода!

Благодаря данному обстоятельству крайне нежелательно вносить правки в код движка самостоятельно, т.к. после обновления этот функционал будет для вас недоступен.

Поэтому для редактирования кода сайта на WordPress можно править только файлы темы и вносить изменения в файл functions.php, благодаря которому и наличию АПИ ВордПресс можно достичь требуемого результата.

И ещё. Хотя об этом уже шла речь, но считаю нужным напомнить, что перед обновлением обязательно делайте бэкап файлов сайта и БД, т.к. на новой версии движка может не работать часть устаревших функций и плагинов WP.

Изменение стандартных данных администратора

По умолчанию Вордпресс осуществляет доступ через учетную запись Admin. Это очень плохо, ведь один из распространенных способов взлома – подбор пароля под определенный логин (брутфорс атака).

Иными словами, хакеры знают, что у вас логин Admin, они генерируют миллионы комбинаций паролей, и начинают пытаться входить под ними на сайты, имеющиеся у них в базе.

Например, они проверяют пароль FDj2423 среди миллионов сайтов, и существует большая вероятность того, что он где-то используется. Поскольку более половины владельцев не меняют стандартную учетную запись, сильно упрощается задача для хакеров.

Чтобы изменить логин и повысить свой процент защиты WordPress от взлома, необходимо:

  • создать новую учетную запись со сложным паролем;
  • указать ее роль как «Администратор»;
  • удалить пользователя Admin.

Простейшие действия, которые сильно существенно повышают WP безопасность, занимают 3 минуты времени, но, к сожалению, редко совершаются начинающими вебмастерами.

Удаление неиспользуемых плагинов

Еще одно упущение, которое дорого обходится владельцам сайтов. Если вы хотели протестировать плагины, а после этого решили их деактивировать без удаления с сайта, вы по-прежнему находитесь в зоне риска:

  • плагины могут использоваться для инъекций вредоносного кода;
  • неиспользуемые плагины также необходимо обновлять, для повышения безопасности;
  • то, что плагин на момент установки безопасен, совершенно не определяет его надежность в будущем.

Немного оффтопа, но я вообще рекомендовал бы вам использовать плагины по-минимуму, т. к. они могут стать не только дверью для хакеров на ваш сайт, но и снижать его производительность (особенно, если они используют API сторонних сервисов).

Хорошей альтернативой плагинам WordPress может служить использование чистого JavaScript и PHP кода, на котором написан сам ВордПресс.

Но данный способ расширения функционала ВП сайтов, к сожалению, тоже не без изъянов.

Использование кода из проверенных источников

При использовании кусков кода для расширения функционала сайта как альтернативы использования плагинов также нужно быть предельно аккуратным.

По своему опыту скажу, что я всеми руками за такую практику, т.к., в отличие от плагинов, которые пишут все кому не лень и никто не модерирует, код разрабатывают, как правило, опытные разработчики (хотя, это тоже не всегда так).

К тому же, просмотреть кусок кода на предмет наличия вредоносных операций занимает не столько много времени, как копание в архитектуре плагина, которая может содержать до нескольких десятков файлов и директорий.

Но при использовании кода вместо плагинов WP есть существенный подводный камень – вам нужно хотя бы частично разбираться в программировании и защите WordPress от взломов, чтобы понимать – пользу или вред принесёт вам труд других разработчиков.

Если же необходимых знаний или друзей с их наличием у вас нет, то используйте, хотя бы, авторитетные источники, о компетентности которых можно судить по отзывам других пользователей и тематике сайта, на котором код размещён.

Если сайт, как и данный, посвящён исключительно веб-разработке, то с высокой степенью вероятности его автор сам является разработчиком либо хотя бы разбирается и увлекается программированием.

Если же вы хотите расширить функционал WordPress сайта кодом с ресурса, рассказывающем о заработке в Интернете, предлагающем скачать бесплатные программы и фильмы или просто с какого-то персонального блога, где автор помимо данной информации делится своими рецептами блюд из картошки – будьте осторожны!

Иначе ваш сайт может превратиться в такой же овощ. Или даже похуже ��

Не хочу никого обижать, но я всё-таки считаю, что кодом должны заниматься профессионалы. Причём, с благими намерениями.

Изменение префикса таблиц базы данных

Очень простой и эффективный способ защититься от автоматического взлома WordPress ресурса. Суть метода проста – вы меняете префикс таблиц баз данных сайта путем изменения стандартного префикса wp_ на произвольный, например, bd_.

Если кто-то не в курсе, префикс таблиц БД нужен для хранения в одной базе данных сайта таблиц, используемых для разных сайтов, работающих на одной платформе, у которых одинаковые имена.

Таким образом, таблицы, хранящие данные каждого такого сайта, будут отличаться от аналогичных с помощью префикса.

Изменение префикса производится либо путем использования автоустановщика скриптов Softaculous (не на каждом хостинге работает), либо путем переименования таблиц БД через веб-интерфейс phpMyAdmin или подобную программу для доступа к базе данных.

Поскольку метод радикальный и может вызвать нарушение функционала и падение посещаемости, лучше делать все работы на моменте запуска проекта, либо постепенно, тестируя работоспособность сайта.

Также не забудьте изменить значение переменной table_prefix в файле wp_config.php, который лежит в корне вашего WordPress сайта на следующее:

Вместо prefix в значении переменной может быть любая символьная последовательность, какую вы посчитаете нужной. Главное – не заигрываться и не делать префикс слишком длинным ��

Установка WordPress капчи

Данная технология киберзащиты уже почти 20 лет, как вошла в нашу жизнь. Тем не менее, до сих пор далеко не на всех сайтах можно встретить её использование.

Если вы вдруг не знаете, что такое капча и для чего она нужна, то рекомендую расширить свой кругозор благодаря статье по ссылке.

Там же сможете прочитать о том, какие её виды сейчас существуют и сможете выбрать ту, которая вам больше всего нравится и впишется в дизайн вашего сайта.

Установка капчи, как правило, нужна на различных формах, с помощью которых на сайте производятся действия. Это нужно для того, чтобы на ваш ресурс не проникли роботы и не натворили делов ��

Самыми распространёнными местами установки CAPTCHA в WordPress являются следующие:

  • форма добавления комментариев;
  • регистрация и вход на сайт;
  • форма обратной связи;
  • оформление заказа (если у вас Интернет-магазин на WordPress);

Установить капчу в ВордПресс можно как вручную, используя API сторонних сервисов, так и воспользоваться специальными плагинами капчи WordPress.

Защита персонального компьютера

Совет самый, что ни есть банальный, но многие им пренебрегают.

Никакой плагин безопасности WordPress не поможет защитить сайт, если хакеры смогут получить доступ к персональному компьютеру, с которого осуществляется вход в админпанель.

Казалось бы: попасть на сайт, если вход в админку не ограничен по IP, можно с любой машины. Но главная опасность взлома ПК владельца сайта заключается в том, что в веб-браузере могут остаться сохранённые данные для входа в куках (cookies), благодаря которым можно зайти на сайт без авторизации.

Или вы, как и большинство пользователей, просто сохраняете в браузере данные форм, с помощью чего запоминаются креды (credentials) вашей учётной записи администратора.

Для защиты личного ПК необходимо воспользоваться следующими мерами:

  • Старайтесь не использовать бесплатные антивирусные программы.
  • Никогда не устанавливайте антивирусы, скачанные с ресурсов неизвестных лиц. устанавливайте только программы с официальных сайтов. Очень часто под видом антивируса наивные пользователи устанавливают шпионские программы собственными руками.
  • Используйте лицензионное ПО.
  • Регулярно обновляйте антивирус.
  • Придумайте сложный пароль для доступа к компьютеру (и вообще используйте его).
  • Не сохраняйте данные учётной записи администратора в браузере.
  • Пользуйтесь брандмауэром (стандартного для вашей ОС вполне подойдёт).

Защита электронной почты

Почта – краеугольный камень всего комплекса безопасности. Взламывая ее, злоумышленник может изменить права доступа к FTP-серверу, админ панели и получить полный доступ к сайту.

Очень часто, сосредоточившись на защите WordPress от вирусов, владельцы сайтов забывают о потенциальной опасности e-mail:

  • для регистрации домена и хостинга заведите отдельный ящик;
  • не открывайте подозрительные письма, тем более с вложенными файлами;
  • 1 раз в 2-3 месяца меняйте пароль на сложную комбинацию цифр и букв;
  • не указывайте нигде ящик, как контактную информацию;
  • установите двухуровневую аутентификацию (электронная почта + СМС на ваш телефон) в панели хостера и регистратора домена.

Включение здравого смысла

На закуску я оставил совсем уже очевидное предостережение, которое многие из вас могли посчитать вообще обидным. Последним я его решил разместить, т. к. увидев его в числе первых вы вряд ли стали бы читать полный список. Подумали, что я держу вас за дураков ��

Однако, когда речь идёт о безопасности ВордПресс сайтов, мелочей быть не может. И если не принять всерьёз данную рекомендацию, то все предыдущие меры защиты WP не будут иметь никакого смысла.

Под включением здравого смысла я имел ввиду применение самого главного правила безопасности — молчать. Это значит не разглашать никому секретные данные, кем бы ни был ваш собеседник. Никто и никогда не сможет вам сказать, что может прийти ему в голову в один прекрасный момент…

А когда сайт перестанет работать, вы долго не сможете понять, в чём же причина. Вряд ли даже всерьёз рассмотрите указанный мной фактор в силу мыслей формата «Кто бы мог подумать, что он/она на такое способен?!».

Поэтому, повторюсь, держите в секрете ваши параметры подключения по FTP, SSH и к БД, а также адрес админпанели и учётную запись администратора с паролем.

Лучше даже никому не сообщать адрес сайта и то, что вы являетесь его владельцем.

И ни в коем случае не провоцируйте атаки на ваш сайт сами громкими заявлениями, что вы произвели все меры по обеспечению безопасности и защитили его на 200%.

Если задаться целью, то для опытного веб-программиста не составит труда организовать взлом WordPress сайта. Так что бережёного Бог бережёт ��


Согласен, похоже на паранойю, но для обеспечения защиты WordPress сайта все средства хороши.

Обзор плагинов безопасности WordPress

В завершение я решил познакомить вас с наиболее эффективными плагинами ВордПресс для комплексной безопасности.

Они помогают мониторить сайт на наличие в его WP защите проблем, предоставляя либо инструменты для их моментального решения, либо рекомендации по самостоятельному устранению.

Wordfence Security – анализатор, который проверяет ресурс на наличие «дыр» в безопасности WordPress. Можно настроить регулярное сканирование сайта, чтобы обезопасить себя от возникающих уязвимостей.

Это эффективная защита WordPress от ddos атак.

Действует по принципу сравнения текущей версии сайта с эталонной, при расхождении находит зараженные файлы.

Acunetix WP Security – анализатор доступа к системным файлам, админке, проверяет защиту данных, сложность пароля, предоставляет рекомендации по устранению проблем.

Особенностью плагина можно назвать то, что он находит наиболее уязвимые места и является профилактической мерой безопасности WP сайта.

Обеспечивает очень хорошую защиту WordPress от вирусов.

All In One WordPress Security – включает в себя защиту от самых распространенных способов взлома, включая подбор паролей, подмену адреса админки, защиту WordPress от ddos атак и др.

AntiVirus – сканер вредоносных программ, нагружает сервер, снижает скорость загрузки сайта, но обеспечивает надёжную защиту WordPress от вирусов.

iThemes Security – плагин для комплексной защиты сайта, умеет резервировать сайт, защищает админку, предотвращает внешний доступ, защищает от подбора логина или пароля.

Установка iThemes Security – это решение для ленивых. Это плагин комплексной безопасности, который решает практически все проблемы начинающего разработчика.

В пакет возможностей входит: защита админки, блокирование пользователей по IP, защита WordPress от спама, аудит безопасности, настройка защиты установленных плагинов, ведение отчета по доступу к сайту.

Большинство уязвимостей можно устранить путем предлагаемых плагином решений.

Anti-spam plugin – защищает WordPress сайт от ботов, быстро настраивается, имеет дружественный интерфейс.

Sucuri Scanner – это один из признанных лидеров в сфере защиты сайтов на ВордПресс, он бесплатен и очень эффективен.

Проводит в автоматическом режиме аудит безопасности сайта и проверяет наличие повреждений в системных файлах.

Удаляет выявленный вредоносный код, осуществляет настройку сайта после взлома безопасности или инъекций кода.

Эффективно предотвращает несанкционированный доступ путем защиты от взлома админки, а также уведомляет о возможных нарушениях безопасности во время работы сайта.

Если хотите найти больше плагинов для защиты WordPress, то можете воспользоваться официальным каталогом, который доступен по ссылке wordpress.org/plugins/tags/security.

При самостоятельном поиске подходящих решений важно точно определять разработчика, следить за отзывами и репутацией компании, которая предлагает плагины.

Поскольку большинство программ предоставляется на бесплатной основе, помните, что бесплатный сыр только в мышеловке. Очень часто злоумышленники копируют названия брендов и плагинов с целью заражения сайта вирусами или внедрения вредоносного кода.

Безопасность WordPress сайта — выводы

Как бы печально это не звучало, но ни один из выше описанных способов и плагинов не может дать 100% защиту WordPress сайту от взлома.

Существует несколько десятков различных технологий получения доступа и нанесения вреда сайтам, поэтому уязвимость лишь в одном из факторов WP защиты влечет за собой полную потерю контроля над ресурсом.

Одних только способов обхода капчи существует, как минимум 10.

Однако, грамотная работа по развитию проекта, превентивные меры, анализ информационной среды и соблюдения мер защиты вашего WordPress сайта поможет существенно снизить риски взлома.

И ещё, в завершение сегодняшней статьи о безопасности ВорпПресс ресурсов, я хочу сказать, что целью её написания было не развитие у вас паранойи по поводу уязвимости вашего, а знакомство вас с самыми простыми и очевидными мерами, которые помогут вам защититься от 80% современных атак.

К слову, лёгкая паранойя – это нормальное явление, когда речь заходит о вопросах безопасности �� Однако, не стоит ей позволять управлять вашей жизнью и всего опасаться.

Поэтому используйте описанные в статье рекомендации по защите ВордПресс сайтов – и спите спокойно ��

На этом у меня всё. Оставляйте свои мнения и пожелания в комментариях под статьёй и делитесь ей со своими друзьями с помощью социальных кнопок.

Всем удачи и до новых встреч!

P.S.: если вам нужен сайт либо необходимо внести правки на существующий, но для этого нет времени и желания, могу предложить свои услуги.

Более 5 лет опыта профессиональной разработки сайтов. Работа с PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, React, Angular и другими технологиями web-разработки.

Опыт разработки проектов различного уровня: лендинги, корпоративные сайты, Интернет-магазины, CRM, порталы. В том числе поддержка и разработка HighLoad проектов. Присылайте ваши заявки на email cccpblogcom@gmail.com.

И с друзьями не забудьте поделиться ��

Как защитить сайт на WordPress — 17 способов

На сегодняшний день WordPress – это одна из самых популярных и распространенных систем управления контентом в мире. На основе этого удобного и простого движка строится множество блогов, сайтов, порталов. Но такая простота и распространенность привлекают внимание не только честных пользователей, но и злоумышленников. Сделать сайт сейчас может любой школьник, а вот чтобы грамотно его защитить, потребуются знания и хотя бы небольшой опыт.

Именно поэтому защищенность и безопасность WordPress – это один из главнейших аспектов работы над вашим веб-сайтом. Защита WordPress от взлома включает в себя множество способов, которые важно применять всем, кто не хочет, чтобы их сайт пострадал.

Сегодня мы рассмотрим ряд простейших, но в то же время очень важных способов защиты сайта на WordPress.

Из статьи вы узнаете:

1. Используйте хороший логин.

Защита сайта на WordPress начинается с элементарного — создания хорошего логина. Устанавливая WordPress, пользователи часто используют логин, который программа установки предлагает по умолчанию, а именно – admin. Это то, что проверяют боты, ищущие дыры в безопасности вашего сайта, в первую очередь. Используя этот логин, вы уже предоставляете половину необходимой информации для хакеров, и им остается только подобрать пароль.

Если вы уже установили платформу и работаете над вашим сайтом, то вряд ли вам захочется удалять установку и начинать всё с чистого листа, чтобы использовать более надежный логин. Выход есть:

Шаг 1 – Создание нового пользователя

Войдите в административную панель WordPress и создайте новую учётную запись с более сложным логином, наделенную полным доступом ко всем функциям сайта, то есть правами администратора.

В главном меню слева выберите Пользователи >> Добавить нового.

Введите всю необходимую информацию для нового пользователя, определив его роль как «Администратор» и нажмите «Добавить нового пользователя».

Шаг 2 – Удаление пользователя admin

После этого выйдите из системы управления, войдите под новой учетной записью и удалите пользователя admin из системы одним из способов:

Способ 1 – В главном меню слева выберите Пользователи >> Все пользователи. Наведите на имя пользователя admin, и вы увидите функцию «Удалить».

Способ 2 — В главном меню слева выберите Пользователи >> Все пользователи. Найдите пользователя admin, отметьте его галочкой и из выпадающего меню «Действия» выберите «Удалить». После этого нажмите на опцию «Применить» под списком пользователей. Эта опция удобна, если вам необходимо удалить сразу несколько пользователей.

Так же вы можете изменить имя пользователя admin через запрос к базе данных:
UPDATE wp_users SET user_login = ‘новый_логин’ WHERE user_login = ‘admin’;

У данного способа есть минус: автор для постов, написанных пользователем admin, не будет изменен. Для того, чтобы это исправить, необходимо сделать еще один запрос к базе данных:
UPDATE wp_posts SET post_author = ‘новый_логин’ WHERE post_author = ‘admin’;

2. Используйте сложный и уникальный пароль.

Защита админки WordPress, конечно, невозможна без сложного хорошего пароля. Важно, чтобы он был уникальным и включал в себя цифры, буквы разных регистров, знаки пунктуации, символы и прочее. Пароли типа: pass, 1q2w3e4r5t6y, 87654321, qwerty, abc123, 111111, 1234, дата вашего рождения и т.д. – не являются надежными, но многие пользователи продолжают их использовать. Пример хорошего пароля: pcVaOF8r39. Конечно, вам сложно будет запомнить такой пароль, но для этого существует ряд программ, которые хранят и генерируют пароли, а также могут быть интегрированы в интерфейс вашего браузера (например, Password Agent, KeyPass, Roboform и т.д.)

Если вы все же хотели бы помнить свои пароли наизусть, рекомендуем создавать комбинированный пароль из хорошо знакомого вам названия/слова с несколькими большими буквами/цифрами в случайных местах и несколькими специальными символами в начале или конце. Такой пароль также будет сложен для подбора, но его будет достаточно легко запомнить.

Не забывайте регулярно обновлять свои пароли.

3. Обновляйте версию WordPress.

WordPress заботится о своих пользователях, и поэтому в административной панели управления вы можете найти уведомления о выходе новой версии. Рекомендуем совершить обновление, как только вы увидите его, поскольку одной из самых распространенных брешей в защищенности вашего сайта является использование устаревшей версии платформы.

4. Скрывайте версию WordPress.

WordPress по умолчанию добавляет номер текущей версии в исходный код своих файлов и страниц. И поскольку довольно часто не всегда удается вовремя обновлять версию WordPress, это может стать слабым местом вашего веб-сайта. Зная, какая у вас версия WordPress, хакер может принести много вреда.

С помощью файла functions.php можно запретить вывод информации о версии вашей платформы. Для этого вам необходимо открыть файл functions.php, расположенный в корневой папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_wordpress), и добавить следующий код:
remove_action(‘wp_head’, ‘wp_generator’);

Или же можно добавить следующий код в файл functions.php:

/* Hide WP version strings from scripts and styles
* @return $src
* @filter script_loader_src
* @filter style_loader_src
*/
function fjarrett_remove_wp_version_strings( $src ) <
global $wp_version;
parse_str(parse_url($src, PHP_URL_QUERY), $query);
if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) <
$src = remove_query_arg(‘ver’, $src);
>
return $src;
>
add_filter( ‘script_loader_src’, ‘fjarrett_remove_wp_version_strings’ );
add_filter( ‘style_loader_src’, ‘fjarrett_remove_wp_version_strings’ );

/* Hide WP version strings from generator meta tag */
function wpmudev_remove_version() <
return »;
>
add_filter(‘the_generator’, ‘wpmudev_remove_version’);

Помимо вышесказанного, в папке любой темы WordPress, вы найдете header.php файл. В нём также указывается версия вашей установки, что для хакера является очень интересным, как упоминалось ранее. Удалив следующую строку из файла, вы избавитесь от этой лишней информации:

5. Скачивайте темы и плагины с надежных ресурсов.

WordPress является настолько распространенным, что всё больше разработчиков создают для него готовые темы и плагины. В то время как большинство из них облегчат работу с вашим сайтом и расширят его функциональность, некоторые могут скрывать в себе весьма неприятные последствия в виде вирусов и открывать двери для хакеров. Используйте только проверенные ресурсы для скачивания тем и плагинов, например, wordpress.org, а также обращайте внимание на все появляющиеся предупреждения о вредоносности файлов. Как и в случае с самим WordPress, важно вовремя обновлять плагины до последних версий.

6. Не храните ненужные файлы.

Неактивные расширения могут представлять серьезную угрозу для безопасности вашего сайта. Поэтому смело удаляйте все неиспользуемые плагины и темы. Например, вы устанавливали woocommerce-плагины, чтобы потестировать и выбрать тот, который будете использовать. После выбора не забудьте удалить все ненужные.

7. Регулярно проверяйте свой локальный компьютер на наличие вирусов.

Осуществление различных шагов по обеспечению безопасности сайта на WordPress – это хорошо, но и за компьютером необходимо следить. У вас должен быть установлен постоянно обновляемый антивирус. В противном случае, вы рискуете заразить ваш веб-сайт, загрузив на него вирусные файлы.

8. Делайте резервные копии сайта.

Не все атаки злоумышленников возможно предупредить, но всего лишь одна успешная атака может уничтожить все усилия по работе над вашим сайтом. Советуем делать регулярные резервные копии веб-сайта. Многие хостинговые компании предоставляют опцию серверных резервных копий и в случае чего, вы сможете восстановить сайт из копии, которая доступна на сервере.

Но рекомендуем не ограничиваться такими серверными резервными копиями, поскольку важно позаботиться о бекапах и с вашей стороны. Вы можете вручную создавать копии вашего сайта с определенной периодичностью или перед важными обновлениями, но также существует ряд плагинов, которые помогут автоматически создавать копии WordPress. Вы можете ознакомиться с различными вариантами здесь: wordpress.org/plugins/tags/backup

Установив плагин WordPress Database Backup, вы дополнительно сможете обезопасить базу данных вашего сайта. Настройки плагина позволяют установить опцию ежедневной отправки резервной копии базы данных на ваш контактный почтовый ящик.

9. Используйте защищенное соединение.

Если вы предпочитаете загружать ваши файлы с помощью FTP-клиента, используйте защищенный протокол соединения к серверу SFTP.

10. Создайте .htaccess файл.

.htaccess файл — это главный конфигурационный файл веб-сервера, который находится в корневой папке вашего веб-сайта. Если у вас нет этого файла, просто создайте его с помощью текстового редактора. Расширения у файла нет, поэтому вам достаточно будет назвать новый файл .htaccess.

Это вид стандартного WordPress файл .htaccess:

Важно: Все изменения в .htaccess необходимо вносить только после #END WordPress.

Добавляя в этот файл различные вариации кода, можно значительно обезопасить ваш сайт:

Код, блокирующий доступ к вашему wp-config.php файлу, который содержит важную информацию, необходимую для соединения к серверу MySQL и базе данных:

order allow, deny
deny from all

Код, который ограничит доступ к самому .htaccess файлу:

order allow, deny
deny from all

Таким же образом можно защитить любой другой файл, просто заменив в коде «.htaccess» на название необходимого файла.

Код, который ограничивает доступ пользователей с определенным IP-адресом к вашему сайту:

order allow,deny
allow from all
deny from X.X.X.X

Так вы можете запретить доступ подозрительных пользователей, спамеров и ботов, поскольку их IP-адреса часто повторяются. Тем самым вы также снизите нагрузку на сервер.

Код, который дает доступ к вашему сайту только пользователям с определенным IP-адресом:

order deny,allow
deny from all
allow from X.X.X.X

Код, который ограничивает доступ к админ-панели управления вашего сайта (это удобно, если у вас статический IP-адрес, и вы можете установить доступ только для себя):

AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName «Access Control»
AuthType Basic
order deny, allow
deny from all
allow from X.X.X.X

Код, запрещающий отслеживание HTTP заголовков:

RewriteEngine On
RewriteCond % ^TRACE
RewriteRule .* — [F]

Код, защищающий от SQL-инъекций – самый распространенный вид атак на WordPress сайты:

RewriteCond % (\ |%3E) [NC, OR]
RewriteCond % GLOBALS(=|\[|\%[0 — 9A-Z]<0, 2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0 — 9A-Z] <0,2>)
RewriteRule ^(.*)$ index.php [F.L]

Код, который не даст просмотреть папки на вашем сервере, набрав их полный путь:

Например, набрав в браузере http://yourdomain.com/wp-includes, вы увидите всё содержимое папки «wp-includes», что, конечно же, не является безопасным. С этим кодом пользователи увидят ответ от сервера — 403 Forbidden.

Альтернативным методом скрытия подпапок, является создание пустого index.php файла в каждой директории. Таким образом, при открытии http://yourdomain.com/wp-includes браузер отобразит пустую страницу.

Код, который защищает от использования XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST:

Options +FollowSymLinks
RewriteEngine On
RewriteCond % (\ |%3E) [NC,OR]
RewriteCond % GLOBALS(=|\[|\%[0-9A-Z]<0,2>) [OR]
RewriteCond % _REQUEST(=|\[|\%[0-9A-Z]<0,2>)
RewriteRule ^(.*)$ index.php [F,L]

Для этой же цели можно использовать ряд WordPress плагинов, которые вы сможете найти здесь: wordpress.org/plugins/tags/xss

Код, защищающий от хотлинкинга:

RewriteEngine On
RewriteCond % !^http://(.+\.)?yourdomain\.com/ [NC]
RewriteCond % !^$
RewriteRule .*\.(jpe?g|gif|bmp|png)$ /images/nohotlink.jpg [L]

Хотлинкинг – это вставка изображения с вашего сервера на чужой сайт\блог. Трафик же при этом идет непосредственно на ваш сервер.

При помощи кода, указанного выше, вы можете заставить сервер проверить, откуда именно пришел запрос: если со страниц вашего веб-сайта, то сервер отдает изображение пользователю без проблем; если же с чужого веб-сайта – то показывает изображение с ошибкой.

11. Измените префикс таблиц базы данных.

Защита WordPress от хакеров также усилится, если убрать первоначальный префикс wp_ — это усложнит поиск для злоумышленников. Рассмотрим несколько способов:

Способ 1 – Подходит для новых установок через Softaculous
Если ваш хостинг-провайдер предоставляет вам возможность использования скрипта Softaculous для установки WordPress, то изменить префикс вы можете во время первоначальной установки: в секции Advanced Options вам необходимо будет внести требуемые изменения.

Способ 2 – Для уже работающих сайтов и свежих установок WordPress
Если ваш WordPress давно установлен и сайт работает, то вы можете поменять префикс базы данных с помощью программы phpMyAdmin.

Выберите необходимую базу данных из списка и сделайте следующий запрос к базе данных:

RENAME table `wp_commentmeta` TO `newprefix_commentmeta`;
RENAME table `wp_comments` TO `newprefix_comments`;
RENAME table `wp_links` TO `newprefix_links`;
RENAME table `wp_options` TO `newprefix_options`;
RENAME table `wp_postmeta` TO `newprefix_postmeta`;
RENAME table `wp_posts` TO `newprefix_posts`;
RENAME table `wp_terms` TO `newprefix_terms`;
RENAME table `wp_term_relationships` TO `newprefix_term_relationships`;
RENAME table `wp_term_taxonomy` TO `newprefix_term_taxonomy`;
RENAME table `wp_usermeta` TO `newprefix_usermeta`;
RENAME table `wp_users` TO `newprefix_users`;

где «newprefix_» необходимо заменить на новый префикс, который вы хотите использовать вместо префикса «wp_».

После этого вы увидите новый префикс в таблицах базы данных:

Чтобы убедиться, что все изменения прошли успешно и префикс wp_ больше не используется в таблице _options и _usermeta, вам необходимо будет сделать еще один запрос к базе данных:

SELECT * FROM `newprefix_options` WHERE `option_name` LIKE ‘%wp_%’

SELECT * FROM `newprefix_usermeta` WHERE `meta_key` LIKE ‘%wp_%’

В результате вы можете найти ряд префиксов, которые вам необходимо будет переименовать вручную с помощью кнопки Изменить:

Количество изменений, которые вам необходимо будет внести, может различаться. Но все префиксы wp_ вы должны изменить на ваш новый префикс для нормального функционирования веб-сайта.

После этого не забудьте также внести изменения префикса в wp-config.php файле:

Вы также можете использовать специальные плагины для изменения префикса базы данных: Change DB prefix или Change table prefix.

12. Ограничивайте количество попыток доступа.

Чаще всего злоумышленники делают огромное количество попыток входа на ваш сайт, подбирая пароль. Вы можете настроить систему таким образом, чтобы IP-адрес был заблокирован на несколько часов после определенного количества неудавшихся попыток входа.

Для этого вы можете использовать дополнительные плагины, например, Login LockDown или Limit Login Attempts. В настройках этих плагинов, вы можете самостоятельно установить количество попыток входа и время блокировки.

Дополнительно существует возможность убрать отображение сообщения о том, что введенный логин и пароль неверен. Ведь это тоже информация, которая может помочь злоумышленнику.

Чтобы убрать вывод этого сообщения, необходимо открыть файл functions.php, расположенный в папке текущей темы вашего веб-сайта (wp-content/themes/текущая_тема_WordPress) и добавить такой код:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));

13. Удалите readme.html и license.txt.

Файлы readme.html и license.txt присутствуют в корневой папке любой установки WordPress. Вам эти файлы ни к чему, а хакерам они могут облечить их злодеяния. Например, чтобы выяснить текущую версию вашего WordPress и много чего другого полезного для взлома веб-сайта. Рекомендуем удалить их сразу же после установки WordPress.

14. Используйте SSL-сертификат.

Для передачи защищенной информации и конфиденциальности обмена данными, рекомендуем использовать SSL-протокол. Особенно это актуально для интернет-магазинов, если вы не хотите, чтобы личные данные о ваших клиентах передавалась незащищенным путем.

Прежде всего вам необходимо будет приобрести SSL-сертификат и установить его для вашего доменного имени.

После этого вы сможете установить обязательное использование SSL-протокола при входе в панель управления вашим сайтом. Для этого откройте wp-config.php файл, расположенный в корневой папке вашего веб-сайта, и добавьте следующую строку:
define(‘FORCE_SSL_ADMIN’, true);

15. Измените файл wp-config.php.

Добавив такой код в wp-config.php файл, вы так же сможете укрепить защиту вашего веб-сайта:

Ограничение на изменения темы и плагинов:
define( ‘DISALLOW_FILE_EDIT’, true );

Отключение возможности установки и удаления плагинов:
define( ‘DISALLOW_FILE_MODS’, true );

Добавление salt-ключей или так называемых ключей безопасности: сначала необходимо будет найти такие строки в wp-config.php файле:

Вы увидите, что ключи уже установлены и их можно поменять. Либо вы увидите строки такого типа: ‘put your unique phrase here’, что говорит о том, что ключи пока не установлены:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the <@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service>
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define(‘AUTH_KEY’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_KEY’, ‘put your unique phrase here’);
define(‘LOGGED_IN_KEY’, ‘put your unique phrase here’);
define(‘NONCE_KEY’, ‘put your unique phrase here’);
define(‘AUTH_SALT’, ‘put your unique phrase here’);
define(‘SECURE_AUTH_SALT’, ‘put your unique phrase here’);
define(‘LOGGED_IN_SALT’, ‘put your unique phrase here’);
define(‘NONCE_SALT’, ‘put your unique phrase here’);

Просто перейдите по ссылке api.wordpress.org/secret-key/1.1/salt/, где будут сгенерированны новые ключи. Скопируйте их и вставьте в wp-config.php файл.

Такие salt-ключи используются для усиления защищенности информации, хранящейся в cookie пользователей. Они усложняют процесс взлома пользовательских паролей.

16. Используйте двухфакторную аутентификацию учетных записей.

Для усиления безопасности ваших паролей все чаще используется метод нескольких видов аутентификации. После того, как вы вводите пароль на сайте, вам высылается запрос на новый одноразовый пароль, который вы получаете на контактный номер телефона или электронную почту (возможен переход по определенной ссылке из письма). Поэтому даже если ваш основной пароль был взломан, хакеру не удастся войти в аккаунт без доступа к вашему телефону или электронной почте.

Одни из самых популярных плагинов двухфакторной верификации WordPress – это Google Authenticator и Clef Two-Factor Authentication.

17. Используйте плагины, обеспечивающие безопасность.

Помимо всех перечисленных способов обезопасить свой веб-сайт, существует так же большое количество специальных плагинов, разработанных для WordPress. Вы можете найти их здесь: wordpress.org/plugins/tags/security

О некоторых плагинах хочется упомянуть отдельно:

Это плагин безопасности WordPress, который позволяет сканировать ваш веб-сайт с целью поисков вредоносного кода, брешей и лазеек, оставленных хакерами, показывая аналитику сайта и трафика в реальном времени. Также существует возможность настройки автоматического сканирования и многое другое.

Этот плагин проверяет ваш веб-сайт на различные уязвимости в безопасности и предлагает ряд методов по их устранению. Например, пароли, разные права доступа к файлам, защита баз данных, защита информации о версии WordPress, защита администратора и прочее.

Этот плагин позволяет обезопасить пользовательские аккаунты и логины, базы данных и файловую систему, предотвратить брутфорс атаки (атаки, связанные с подбором пароля), сканировать сайт и прочее.

Также рекомендуем плагин для защиты админки на WordPress LoginLockDown, который защищает от подбора пароля и логина.

Как бы грустно это ни звучало, но защита WordPress — вещь сложная, и описанные в этой статье способы не гарантируют на 100%, что ваш сайт будет полностью защищен от каких-либо действий мошенников. Однако, пренебрегать ими не стоит, так как они значительно уменьшат возможность взлома сайта злоумышленниками.

Читайте также другие статьи по теме WordPress:

Защита сайта на WordPress примитивными методами

Примеры безопасности и защита сайта на WordPress от взлома путём простых, но малоизвестных или игнорируемых 10 способов сохранности данных.

Взлом блога и потеря результатов многолетних трудов за одну ночь — печальная реальность, с которой некоторым приходилось сталкиваться лично. Исследования показывают, что ежедневно взламываются 37 тысяч веб-сайтов, а поскольку на системе управления WordPress работают примерно 25,4% всех сайтов, можно не сомневаться, что каждый день взламываются тысячи сайтов на WordPress.

Когда у вас есть блог на WordPress, советов по сложным именам пользователей и паролям уже недостаточно. Одна заглючившая тема, неправильный плагин, неправильно защищенный файл могут привести к взлому блога.

Неопытны вы в WordPress или использовали платформу с момента её существования, эта статья опишет 10 практичных и эффективных способов обеспечения безопасности вашего блога, которые сможет реализовать каждый. Вы не найдете большинство из них в популярных статьях «как обезопасить свой блог», но однажды они могут спасти ваш сайт.

1. Отключите редактор WordPress Theme & Plugin

WordPress имеет удобную функцию, которая даёт владельцам сайтов большую гибкость, позволяя им настраивать и редактировать свои темы и плагины прямо с дашборд-панели WordPress, но эта функция устранена в большинстве блогов. С этой функцией малейшая ошибка может привести к сбою сайта и лишить вас же доступа к нему.

Хакеры могут легко вставить вредоносный код в вашу тему, чтобы получить доступ на сайт через бэкдор или даже полностью захватить его, получив контроль над учётной записью, имеющей достаточно привилегий для использования редактора темы и плагина.

Вы можете защитить себя путём отключения редактора, что устраняет возможность менять свои темы и плагины без доступа по FTP. Для данного действия добавьте нижеуказанный код в файл WP-config.php :

2. Включите двухфакторную аутентификацию

Двухфакторная аутентификация быстро становится одним из самых надежных способов защиты учётных записей в Интернете, и самые надежные сайты будут настаивать, что пользователи использовали её. Хотя WordPress не обладает встроенной двухфакторной аутентификацией, можно включить её в своём блоге, установив следующие плагины:

  • Google Authenticator;
  • Authy;
  • Clef Two-Factor Authentication;
  • Rublon.

Об установки плагинов можно прочитать в Интернете воспользовавшись поиском. Про них очень много подробных инструкций в РУнете.

3. Ограничьте логины на основе количества неудачных попыток входа

Есть много способов, которыми хакеры пытаются получить доступ к блогу, и один из наиболее распространённых методов — метод подбора перебором (bruteforce). Хакер снова и снова пытается найти комбинацию имён пользователей и паролей, пока не найдёт правильное сочетание.

По умолчанию в WordPress нет защиты от таких атак. Установив плагины, которые ограничивают доступ после определённого числа неудачных попыток с конкретного IP-адреса, вы можете затруднить хакерам получение доступа к своему блогу. Плагин Jetpack Protect Module также может защитить вас от bruteforce-атак.

4. Регулярно проверяйте блог

Файлы тем, плагинов, ссылки и другие вроде бы безобидные элементы могут быть использованы для получения доступа к вашему блогу. Не ждите, пока он не будет полностью заражен, прежде чем принимать меры.

Вместо этого установите плагины сканирования безопасности и регулярно проверяйте веб-сайт. Они будут уведомлять вас, если файлы были изменены.

Хороший пример плагина безопасности — Wordfence . Он не только даёт возможность вручную/автоматически сканировать блог, но и мгновенно уведомляет, когда там происходит подозрительная деятельность. Он также отправляет информацию о потенциально вредоносных комментариях и сравнивает файлы темы и плагина с хранилищем WordPress, чтобы отследить изменения, которые потенциально могут служить лазейкой для хакеров на ваш сайт.

Другие плагины безопасности, которые могут помочь сканировать блог на наличие вредоносных программ и эксплойтов:

  • Sucuri Security Scanner;
  • Acunetix WP Security;
  • iThemes Security (ранее известный как Better WP Security).

5. Защита WordPress сайта путём смены хостинга

Хотя это звучит как слишком простой совет, на самом деле он важен. Исследования показывают, что 41% взломанных сайтов на WordPress были взломаны через уязвимости их хостинга. Это гораздо больше, чем по другим причинам, в том числе из-за слабого пароля.

Ваш хостинг может играть важную роль в том, будете ли вы взломаны или нет; убедитесь, что вы используете только надёжные веб-хосты, которые выдержали испытание временем и которые используют передовые методы защиты.

6. Скройте номер версии WordPress

По умолчанию WordPress показывает номер версии, что позволяет отслеживать, сколько блогов на WordPress работает по всему миру. Это же может быть источником больших проблем: хакеры и боты могут сканировать сеть в поисках блогов с определёнными уязвимостями на определённых версиях WordPress, что делает вас лёгкой мишенью.

Вы можете легко решить эту проблему, скрыв номер версии WordPress. Чтобы спрятать версию, добавьте указанный ниже код в файл functions.php :

7. Отключите доклады об ошибках PHP

Когда плагин или тема не работают на вашем блоге на WordPress как положено, отчёты об ошибках PHP могут помочь, показав сообщение с описанием причин ошибок. В этом есть и недостаток: при сообщении об ошибке PHP показан полный путь на сервере до источника ошибки, что открывает информацию, которую хакеры могут использовать против вас.

Вы можете защитить себя путем отключения отчетности PHP об ошибках. Добавьте следующий код в ваш файл WP-config.php :

8. Поработайте над разрешением доступа к файлам WordPress

Когда речь идет о защите вашего сайта на WordPress от эксплойтов, важно установить права доступа к файлам. Это затруднит хакерам манипулирование плагинами, темами или файлами на сервере в попытках получить контроль над сайтом.

Убедитесь, что разрешения на папки WordPress установлены на 755 или 750; на файлы 640 или 644; разрешение WP-config.php установлено на 600.

9. Регулярно производите резервное копирование

Даже крупные сайты с командой экспертов по вопросам безопасности и консультантов бывают взломаны, и хотя следование лучшим практикам может сделать ваш сайт сильнее 99,9% остальных сайтов, полной гарантии неуязвимости нет.

Лучшей мерой против атаки на WordPress является надёжное резервное копирование; убедитесь, что вы делаете резервные копии вашего сайта на регулярной основе — если это возможно, ежедневно. Таким образом, если сайт взломан, у вас остались ваши файлы и сайт можно восстановить.

Вот одни из лучших плагинов для резервного копирования WordPress:


  • BackUpWordPress
  • Ready! Backup
  • VaultPress BackupBuddy

Также некоторые хостинги практикуют ежедневное резервное копирование, (в том числе и мой) хостинг делает ежедневный бекап и сохраняет у себя в системе последние 8-ми дневные копии сайта и БД, к тому же всё это автоматически и не занимает ваше доступное место.

10. Ограничьте доступ к своей странице регистрации

Для защиты могут потребоваться и радикальные меры. Надёжным способом защитить ваш блог от попытки взлома является полное блокирование доступа к странице wp-администратора и wp-login.php .

Это рекомендуется только в том случае, если вы используете один неизменный IP-адрес. Вы можете использовать эту опцию, если у вас более одного IP-адреса, но нужно следить за этими адресами.

Чтобы ограничить доступ к странице входа в систему, добавьте следующий код в ваш файл .htaccess :

Отредактируйте значения от Your IP address 1 до Your IP address 5 , поставив значения тех адресов, которым хотите дать доступ; вы можете добавить или удалить строку, чтобы разрешить или запретить другим IP-адресам доступ к сайту.

Заключение

Вы не должны игнорировать простые советы по безопасности, вроде использования сложных имён пользователей и паролей, регулярного обновления WordPress и т.д. Однако указанные выше малоизвестные и часто игнорируемые советы по безопасности могут сделать ваш WordPress-блог чуть более надёжным.

Если же вам действительно важна защита сайта на WordPress, то советую приобрести видеокурс Александра Борисова по защите WordPress. Если не предпринимать ни каких мер, то рано или поздно вы столкнётесь с подобным и чем старше становится ваш сайт/блог, тем больше жуликов он привлекает, собственно и его утрата будет сильным ударом по психике и бюджету! Так что смотрите видеокурс и спокойно развивайте свои ресурсы.

10 советов по безопасности сайта на WordPress

Согласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту. Некоторые думают, что сайт в безопасности, потому что он не представляет интереса для хакеров, но это не так.

В большинстве случаев для хакеров не имеет значения кому принадлежит сайт, возраст сайта, размер сайта, содержание сайта и так далее. Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла.

Обычно хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. Очень редко хакеры взламывают какой-то конкретный сайт. В большинстве случаев хакеры при помощи ботов автоматически взламывают десятки сайтов, и используют ресурсы этих сайтов для своих дел.

В этой статье вы узнаете, какими способами можно обезопасить сайт, как Вордпресс может быть атакован, как злоумышленники могут получить доступ к сайту, какие признаки у взломанного сайта, что можно сделать, если сайт был взломан и какие плагины для безопасности сайта вы можете использовать.

Насколько безопасен Вордпресс

На Вордпрессе работает более 30% сайтов в Интернете, и он является самой популярной системой управления контентом. Более 80% атак на CMS приходится на Вордпресс, но он остается самой популярной платформой.

Разработчики Вордпресс постоянно работают над устранением найденных уязвимостей и выпускают обновления Вордпресс.

C момента выхода первой версии Вордпресс было выпущено более 2.500 исправлений уязвимостей. Были случаи, когда обновления выходили менее чем через 40 минут после обнаружения уязвимости.

Хакботы обходят десятки тысяч сайтов в час, имея описания известных уязвимостей устаревших версий Вордпресс, тем и плагинов. Если вы используете устаревший софт, то рано или поздно такой бот найдет сайт, на котором используется устаревшая версия.

Правило безопасности №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте Вордпресс, плагины и темы. Другие меры безопасности тоже нужны, но они становятся менее эффективными, если ядро Вордпресс не обновлено.

Для максимальной безопасности сайта нужно обновлять Вордпресс. Можно включить автоматическое обновление, или оставить обновление в ручном режиме.

Почему ваш сайт является целью для злоумышленников

Не только ваш, но вообще все сайты на Вордпресс являются целью для хакеров. Даже абсолютно новый сайт без контента, без трафика, с обновленным ядром может быть взломан хакерами и использован в своих целях.

Все Вордпресс сайты являются целью для хакеров из-за своей популярности. Хакеры пишут ботов, которые обходят сотни тысяч сайтов и сканируют их на списки уязвимостей. Чем больше сайтов будет просканировано, тем выше вероятность найти уязвимость и получить какой-то контроль над сайтом.

В 2020 году более 85 млн. сайтов в Интернете работает на Вордпресс, поэтому вероятность что-то найти достаточно высока.

Молодые сайты обычно менее защищены от атак, потому что их владельцы думают, что их сайты не представляют интереса для хакеров, но на самом деле молодые сайты — одна из целей хакеров, потому что их проще взломать.

Хакеры взламывают сайты для того, чтобы:

  • Добавить вредоносный контент на сайт — Хакеры взламывают сайты, чтобы внедрить вредоносный контент во фронт-энд. Обычно это ссылки на хакерские сайты, реклама казино, кошельков, виагры и тому подобное.
  • Использовать ресурсы сервера — Хакеры используют ресурсы сервера или канал интернета для рассылки спама, криптовалютного майнинга, файлообменника, хранения информация или для атаки на другие сайты.
  • Получить данные посетителя — Кибератаки касаются не только владельцев сайтов, но и посетителей сайта. Многие люди используют одни и те же данные для своих аккаунтов на разных сайтах или сервисах, для е-мейла, интернет банка и так далее.
  • Получить бизнес-информацию — Хакеры не всегда атакуют сайты для получения пользовательских данных. Иногда они взламывают сайты, чтобы получить важную информацию о бизнесе этого сайта.
  • Распространение вредоносных программ — Распространение вирусов и вредоносных программ на компьютеры и устройства посетителей.

Большие сайты тоже являются целью хакеров, потому что большой аудитории сайта можно начать рассылать спам.

Как хакеры взламывают сайты

Когда разработчики пишут код, практически невозможно не оставить какую-то уязвимость в безопасности. Когда хакеры находят эти дыры, они используют их, чтобы взломать сайт.

Другие способы получить контроль над сайтом — использование человеческих ошибок, например, слишком простые пароли, или ненадежный или небезопасный хостинг.

Список основных типов угроз для Вордпресс:

  • Межсайтовое выполнение сценариев (XSS, Cross-site Scripting) — хакер внедряет какой-то код на страницу сайта, при загрузке страницы скрипт выполняется на компьютере посетителя.
  • SQL внедрения (SQLI, SQL Injections) — SQL запросы исполняются из строки браузера.
  • Загрузка файла — файл с вредоносным кодом загружается на сервер.
  • Фальсификация межсайтового запроса (CSRF, Cross-Site Request Forgery) — код или запрос исполняется из строки браузера.
  • Перебор паролей (Brute Force) — множественные попытки подобрать логин и пароль.
  • DoS-атаки (Denial of Servise) — попытка перегрузить и повесить сайт большим количеством трафика от ботов.
  • DDoS-атаки (Distributed Denial of Servise) — попытка повесить сайт из разных мест, например, с зараженных компьютеров или роутеров.
  • Кража личных данных (Phishing) — хакеры публикуют страницы, которые похожи на страницы атакованного сайта. Пользователь не видит подмены и может оставить свои личные данные в форме авторизации, подписки и так далее.
  • Редирект — используется какая-то уязвимость, которая переадресует запрос к странице на постороннюю страницу, обычно с целью кражи личных данных или спама.
  • Вредоносный код (Malware) — скрипт или программа, которая делает нужные хакеру действия на вашем сайте.
  • Внедрение файла (LFI, Local File Inclusion) — злоумышленник может контролировать, какой файл исполняется в определенное время по расписанию CMS или какого-то приложения.
  • Обход авторизации (Authentication Bypass) — дыра в безопасности, которая позволяет хакерам обходить форму входа и получать доступ к сайту.
  • Показ пути к сайту (FPD, Full Path Disclosure) — отображается полный путь к корневой папке сайта, видимы папки, логи ошибок и предупреждений.
  • Нумерация пользователей (User Enumeration) — возможность узнать логины пользователей сайта. К URL сайта добавляется запрос ID пользователя, который возвращает профиль пользователя с его логином. Используется вместе с методом перебора паролей.
  • Обход системы безопасности (Security Bypass) — хакеры обходят систему безопасности и получают доступ к незащищенной части сайта.
  • Удаленное исполнение кода (RCE, Remote Code Execution) — хакер запускает исполнение кода на сайте с другого сайта или компьютера.
  • Удаленное внедрение файла (RFI, Remote File Inclusion) — использование ссылки на внешний скрипт для загрузки вредоносного кода с другого компьютера или сайта.
  • Подделка запроса на стороне сервера (SSRF, Server Side Request Forgery) — хакер управляет сервером частично или полностью для выполнения удаленных запросов.

Это основные уязвимости Вордпресс, которые хакеры используют для взлома, в основном при помощи ботов. Боты также могут найти сразу несколько уязвимостей.

Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах Вордпресс, 31,5% уязвимостей в ядре Вордпресс и 14,3% уязвимостей — в темах Вордпресс.

Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity:

Другое исследование WP WhiteSecurity, проведенное на 42.000 сайтах из рейтинга Алекса Топ-1.000.000, говорит о том, что 73,2% сайтов имеют уязвимости из-за необновленной версии Вордпресс.

Основные требования к безопасности сайта

От безопасности вашего компьютера зависит безопасность вашего сайта. Вредоносное ПО и вирусы могут заразить ваш сайт и сотни других сайтов.

Эти рекомендации увеличат безопасность вашего компьютера и сайта:

  1. Используйтете антивирус и файрвол на своем компьютере.
  2. Не заходите на свой сайт в публичных местах, потому что данные, которые вы пересылаете через публичный Wi-Fi, могут быть перехвачены злоумышленниками.
  3. Не используйте небезопасные сети или соединения.
  4. Используйте надежный хостинг.
  5. Используйте сложные пароли для входа на сайт. Установите рекомендуемый минимум сложности паролей для других пользователей сайта.
  6. Подумайте о выключении возможности для пользователей загружать картинки на сайт. Злоумышленник может загрузить скрипт на сайт под видом аватара с названием avatar.jpg.php, который может использовать какую-то уязвимость.
  7. Используйте безопасный FTP (FTPS) вместо обычного FTP.
  8. Вместо FTP вы можете использовать SSH (SFTP), он безопаснее FTP.
  9. Давайте доступ к админской или редакторской части только тем, кому вы доверяете.
  10. Давайте доступ к хостингу и FTP только тем, кому доверяете. Вы можете создать еще один аккаунт с уменьшенными правами и дать доступ к нему.
  11. Если вы не пользуетесь FTP, удалите или отключите подключения.
  12. Настройте бэкап сайта.
  13. Регулярно обновляйте Вордпресс, плагины и темы.
  14. Не одобряйте непонятные комментарии с бэклинками.
  15. Используйте популярные плагины с большим количеством установок и частым обновлением.
  16. Установите SSL сертификат на сайт.
  17. Используйте CDN, это помогает предотвратить DoS и DDoS атаки.
  • Бэкап Вордпресс
  • Минимальная безопасность Вордпресс

Как скрыть данные о Вордпресс

Скрытие данных о Вордпресс, например, версии ядра или изменение адреса входа в админку — один из способов увеличить безопасность сайта.

Еще в одном исследовании WP WhiteSecurity говорится, что только 8% сайтов было взломано вручную методом перебора паролей, 92% сайтов были взломаны ботами автоматически, из них 41% — через уязвимости в ПО хостинга, 29% — через уязвимости в файлах темы, 22% — через уязвимости в плагинах.

Боты пытаются взломать сайт по заранее определенному алгоритму. Они пытаются подобрать логин и пароль на странице входа или пытаются получить тот или иной контроль над сайтом по спискам уязвимостей устаревших версий. Если взлом не получился — они уходят на другие сайты.

Большинство ботов используют этот тип взлома, для защиты сайта от более редких ботов настройте как можно больше рекомендаций из этой статьи.

Удалите версию Вордпресс

Списки уязвимостей предыдущих версий Вордпресс находятся в открытом доступе, поэтому удаление информации об используемой версии ПО увеличивает безопасность сайта.

Удалите все упоминания о версии ядра Вордпресс, версии скриптов и стилей и тег в фиде RSS.

Перенесите страницу авторизации

По умолчанию страница авторизации находится по адресу /wp-login.php . Боты приходят по этому адресу и пытаются подобрать логин и пароль по спискам популярных логинов и паролей, которые находятся в открытом доступе.

Это называется brute force attack, или атака грубой силой, или атака методом перебора паролей.

Чтобы боты не могли пробовать подобрать комбинацию для входа, перенесите страницу авторизации в другое место. Например, /settings .

Измените структуру расположения файлов и папок

Вордпресс — открытая платформа, информация о которой находится в открытом доступе, поэтому хакеры могут использовать какую-то информацию о Вордпресс для взлома сайта.

В документации Вордпресс описана структура расположения файлов и папок. Используя эту информацию, хакеры могут решить, каким путем они попытаются проникнуть на сайт.

Измените имя пользователя по умолчанию

Когда вы устанавливаете Вордпресс, администратору сайта по умолчанию дается имя пользователя «admin». Это одно из стандартных имен, которое пробуется ботами, когда они пытаются попасть на сайт методом перебора паролей.

Если вы оставите как есть, то злоумышленнику остается подобрать только пароль, так как имя «admin» уже известно.

Измените стандартное имя пользователя, тогда хакерам придется подобрать и логин, и пароль.

Ограничьте количество попыток доступа на сайт

По умолчанию Вордпресс не ограничивает количество попыток входа на сайт. То есть, если посетитель ввел неверный логин или пароль, он может попробовать ввести их еще раз столько раз, сколько захочет. Это дает хакерам возможность перебирать логины и пароли большое количество раз, пока они не подберут верную комбинацию.

Чтобы этого не случилось, установите плагин безопасности, который будет ограничивать количество попыток входа на сайт. Есть специальные плагины для решения только этой задачи, например, Limit Login Attempts Reloaded или Login LockDown, есть большие плагины безопасности, в которых эта функция находится в числе других, например, Wordfence или All In One WP Security & Firewall.

Удалите ненужные файлы

После установки Вордпресс можно удалить несколько файлов, которые больше не нужны.

  • readme.html
  • wp-config-sample.php
  • /wp-admin/install.php

В файле readme.html содержится информация об используемой версии Вордпресс. Хакеры могут использовать публичную информацию об уязвимостях используемой версии Вордпресс, чтобы проникнуть на ваш сайт.

Добавьте правила в WP-Config.php

Это главный файл сайта, который находится в корневой папке. Добавляйте свои записи в wp-config перед строкой:

В этом разделе правила для повышения безопасности сайта в файле wp-config.php.

Переместите файл wp-config.php

В файле wp-config.php находится много важной информации, которая не должна быть доступна посторонним. Вы можете переместить этот файл в другое место, чтобы хакеры не смогли найти его в его обычном месте.

Если ваш сайт находится в корневой папке, перенесите wp-config.php на один уровень вверх.

Или вы можете перенести этот файл в любое другое место. Создайте в корневой папке новый файл с именем wp-config.php, и вставьте в него этот код:

Замените /путь/к/wp-config.php на ваш адрес к файлу после перемещения.

Проверьте права доступа к файлам и папкам

Файлам и папкам Вордпресс должны быть даны права доступа 644 и 755. Некоторым файлам и папкам могут быть даны особые права, например, файлу wp-config.php должны быть даны права 440 или 400.

В файле wp-config вы можете автоматически установить права доступа ко всем файлам и папкам на сайте:

Важным файлам и папкам вы можете дать более строгие права вручную.

  1. Корневая папка сайта — /сайт.ru/public_html/ — 750
  2. .htaccess — /сайт.ru/public_html/.htaccess — 640
  3. wp-admin/ — /сайт.ru/public_html/wp-admin — 750
  4. wp-admin/js/ — /сайт.ru/public_html/wp-admin/js/ — 750
  5. wp-admin/index.php — /сайт.ru/public_html/wp-admin/index.php — 640
  6. wp-content/ — /сайт.ru/public_html/wp-content — 750
  7. wp-content/themes/ — /сайт.ru/public_html/wp-content/themes — 750
  8. wp-content/plugins/ — /сайт.ru/public_html/wp-content/plugins — 750
  9. wp-includes/ — /сайт.ru/public_html/wp-includes — 750
  • Права доступа к файлам и папкам.

Измените префикс базы данных

Таблицы базы данных имеют по умолчанию префикс wp_ . Измените префикс на что-нибудь другое, чтобы усложнить задачу хакерам.

Для изменения префикса базы данных надо внести изменения в файл wp-config.php и базу данных.

Отключите редактирование файлов в панели Вордпресс

В панели администратора находится редактор файлов, в котором вы можете редактировать файлы установленных плагинов и тем.

Редактировать файлы тем вы можете в разделе Внешний видРедактор, файлы плагинов в разделе ПлагиныРедактор.

Многие разработчики считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.

С другой стороны, если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.

Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:

Смените ключи безопасности

В файле wp-config.php находятся ключи безопасности, с помощью которых шифруется информация, хранящаяся в cookies. Меняйте их время от времени, это сделает cookies, хранящиеся в браузерах пользователей, в том числе хакеров, недействительными. Для входа на сайт нужно будет авторизоваться еще раз.

Вы можете сгенерировать новые ключи безопасности в генераторе ключей Вордпресс, скопируйте их оттуда и вставьте в свой файл wp-config.php:

Используйте SSL

После того, как вы установили SSL сертификат на свой домен, включите его принудительное использование, чтобы все посетители сайта подключались к сайту по безопасному соединению.

Чтобы зашифровать логин и пароль во время передачи их серверу, добавьте эту строку:

Чтобы использовать SSL в админской части сайта, например, для шифрования cookies сессии, добавьте эту строку:

Добавьте эти строки в файл wp-config.php перед строкой:

Чтобы использовать SSL во фронт-энде сайта добавьте эту запись в файл .htaccess:

Замените ваш-сайт.ru на свой адрес.

Если у вас уже есть стандартная запись, которую добавляет Вордпресс,

то вы можете добавить в эту запись только строки 3 и 4 из первого правила.

Используйте FTPS

Чтобы использовать FTPS через небезопасное FTP соединение, добавьте это правило перед строкой «Это все, дальше не редактируем»:

Используйте SFTP

Чтобы повысить безопасность SSH подключения, вы можете использовать SFTP соединение, если эта функция включена на хостинге.

Выключите режим debug

По умолчанию режим debug выключен и должен быть выключен до тех пор, пока вы не обнаружите ошибки на сайте.

Если вы хотите включить режим debug и отображение ошибок во фронтэнде, замените false на true .

Включите автообновление Вордпресс

Если вы хотите включить автообновление Вордпресс, добавьте это правило:

Если вы хотите сначала протестировать обновления, то оставьте обновление вручную, или включите выборочное обновление плагинов:

Добавьте правила в .htaccess

В этом разделе правила для повышения безопасности сайта в файле .htaccess.

Запретите доступ к важным файлам

Вы можете закрыть доступ к важным файлам wp-config.php, htaccess, php.ini и логам ошибок. Добавьте это правило из Кодекса Вордпресс:

Если у вас есть файл php5.ini или php7.ini вместо php.ini, замените php.ini в первой строке на ваш файл.

Запретите доступ к PHP файлам

Ограничьте доступ к php файлам тем и плагинов, так как хакеры могут внедрить в них вредоносный код.

Запретите доступ к папке wp-includes

В папке wp-includes находятся важные файлы, которые могут быть использованы для взлома сайта.

Добавьте это правило, чтобы защитить /wp-includes/ :

Ограничьте доступ к странице авторизации

Кроме изменения адреса страницы авторизации вы можете ограничить пользователей, которым разрешено заходить на страницу входа.

Вы можете разрешить доступ нескольким статическим IP адресам:

Строки 2 и 3 перенаправляют посетителя на страницу с ошибкой 404, если они пришли не с адресов, указанных в этом правиле. Это правило не вызывает ситуацию цикличных редиректов, поэтому ваш сайт не будет выглядеть как зависший.

Замените /путь-к-вашему-сайту/ в двух первых строчках на свой адрес.
Замените IP Адрес 1 , IP Адрес 2 и IP Адрес 3 на те IP адреса, с которых вы хотите иметь доступ к страницам wp-login.php и wp-admin.

Если вам нужен только один IP адрес, удалите строки 10 и 11, если вам нужно больше адресов, добавьте нужное количество строк.

Не забудьте дополнить или отключить это правило если вы поедете путешествовать, иначе вы попадете на страницу 404.

Если вы или другие пользователи имеете динамические IP (или Мультисайт), используйте это правило:

Замените /путь-к-вашему-сайту/ и /ваш-сайт.ru/ на свой адрес.

Хакеры используют ботов, чтобы пытаться попасть в админку Вордпресс. Это правило определяет, что только те пользователи, которые вручную набрали wp-login.php или wp-admin в браузере, получат доступ к этим страницам.

Этот способ не защитит от хакеров, которые вручную набирают адрес страницы авторизации, но значительно уменьшит количество атак с перебором паролей.

Еще один способ — создайте файл .htaccess в папке wp-admin . Это правило разрешает доступ к папке только указанным ip:

Замените IP Адрес 1 и IP Адрес 2 на свои IP.

Запретите доступ к директориям сайта

Хакер может получить доступ к папкам сайта, если введет в адресной строке полный путь к нужной папке.

Например, злоумышленник может увидеть содержимое папки uploads, если введет в адресной строке ваш-сайт.ru/wp-content/uploads/ .

Если у вас настроены права доступа, то редактировать эти файлы должно быть невозможно, но доступ к этим папкам все равно лучше запретить.

Чтобы закрыть доступ к директориям сайта, добавьте это правило в .htaccess:

Добавьте лимит на загружаемые файлы

Ограничьте максимальный размер загружаемых файлов 10Мб:

Отключите нумерацию пользователей

Если злоумышленник введёт в строку адреса ваш-сайт.ru/?author=1 , он будет перенаправлен на страницу пользователя с >

В этом случае хакер будет знать имя пользователя, и ему останется только узнать пароль.

Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей. Добавьте этот код в .htaccess:

Или добавьте этот код в functions.php:

Запретите исполнение php файлов

Обычно хакеры загружают вредоносный код в папку /wp-content/uploads/ .

Добавьте это правило, чтобы отключить возможность исполнять php файлы в папке uploads:

Замените /var/www/ в строке 2 на свой адрес.

Защитите сайт от внедрения вредоносных скриптов

Запретите внедрение кода в php файлы. Добавьте это правило:

Отключите информацию об используемой версии ПО сервера

Подпись Сервера — это служебная информация, в которой говорится, что сайт использует, например, сервер Apache определенной версии и ОС Ubuntu определенной версии.

Чтобы отключить показ версий ПО на вашем сервере, добавьте этот код .htaccess:

Удалите пользователя с ID 1

При установке Вордпресс по умолчанию создается пользователь с правами администратора с >

Создайте нового пользователя с правами администратора, зайдите на сайт под новым аккаунтом и удалите старого администратора с ID 1.

С другой стороны, некоторым плагинам требуются дополнительные права для своей работы, которых у них может не быть, если создать нового пользователя с правами администратора.

Измените текст ошибки при входе на сайт

По умолчанию Вордпресс показывает стандартное сообщение на странице авторизации, когда посетитель вводит неправильный логин или пароль. В этом сообщении говорится, что именно было введено неправильно, — логин или пароль.

Когда хакер вводит неверный пароль к верному имени пользователя, Вордпресс показывает сообщение, что пароль неверный. Это дает ему понять, что имя пользователя верное.

Чтобы изменить текст сообщения, добавьте эти строки в functions.php .

Замените сообщение в строке 2 на свое сообщение.

Отключите XML-RPC

XML-RPC — это API интерфейс, который используется для доступа к сайту через мобильные приложения, для трекбэков и пингбэков и используется плагином Jetpack. Если вы пользуетесь чем-то из этого, то оставьте эту функцию включенной или частично включенной. С другой стороны, XML-RPC может быть использован хакерами для атак с перебором логинов и паролей.

Вместо того, чтобы пытаться подобрать логин и пароль на обычной странице авторизации, где у вас может быть установлено ограничение на количество попыток входа, бот может попробовать неограниченное количество комбинаций через интерфейс xml-rpc.

Чтобы противостоять таким атакам, используйте сложные логины и пароли. Другая проблема в том, что брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за использования всех ресурсов сервера.

Чтобы полностью отключить XML-RPC, добавьте это правило в .htaccess:

Установите пароль на доступ к wp-login.php

Вы можете установить дополнительный пароль на доступ к странице wp-login.php или папке wp-admin.

Для этого нужно создать файл с паролями и добавить код в .htaccess.

Используйте двух-факторную авторизацию

Двух-факторная авторизацация — это идентификация через логин и пароль и дополнительная идентификация через е-мейл или смартфон. Для включения двойной авторизации есть бесплатные плагины, например, Google Two-Factor Authentication, Google Authenticator или Duo Two-Factor Authentication.

Как бороться со спамом

Спам на сайте — это намного больше, чем просто надоедливый мусор. Спам может привести к заражению сайта, брут-форс или DDoS атакам. Защита от спама — одна из составляющих безопасности сайта.

Плагин Kama SpamBlock — очень эффективное средство для борьбы со спамом. Если вы знаете что-то более эффективное — поделитесь этим в комментариях.

Плагины безопасности Вордпресс

Sucuri Security

Current Version: 1.8.21

Last Updated: 09.05.2020


Sucuri Inc является «всемирно признанным авторитетом во всем, что касается безопасности Вордпресс». Так и есть, сервис Сукури предлагает комплексную защиту сайта: обработку и фильтрацию всего входящего трафика на серверах Сукури, кеширование, сеть CDN и гарантию бесплатного лечения сайта в случае, если сайт взломают.

Бесплатный плагин сравнивает файлы ядра Вордпресс с файлами в репозитарии Вордпресс, сканирует сайт на вирусы, проверяет, был ли сайт был занесен в черные списки и ведет логи событий.

В случае подозрительной активности на сайте плагин посылает сообщение на е-мейл.

Вся эта информация отображается в удобном виде в админке Вордпресс.

Wordfence

Current Version: 7.4.1

Last Updated: 06.11.2020

Один из самых популярных и мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, — как только появляется новая угроза, она попадает в базу данных платной версии, и через 30 дней — в базу бесплатной версии.

В Wordfence есть функция обнаружения изменения или добавления файлов. Когда существующий файл сайта обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов сайта, встроенный файрвол и множество других функций.

У плагина более 2-х миллионов установок и высокий рейтинг.

iThemes Security

Current Version: 7.4.1

Last Updated: 15.08.2020

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, имеет более 30 функций, но если вы хотите знать, когда файлы изменялись и делать подробное скаирование сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы обнаружили, что сайт был взломан, можно попробовать восстановить более раннюю версию сайта.

Security Ninja

Current Version: 5.69

Last Updated: 06.11.2020

Мощный премиум плагин безопасности, который легко настроить. В бесплатной версии проверяет сайт на наличие основных уязвимостей и предлагает инструкции по их устранению.

В платной версии добавляется авто-применение защитных функций плагина, сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

Весь плагин можно настроить за 15 минут.

All In One WP Security & Firewall

Current Version: 4.4.2

Last Updated: 24.10.2020

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол. Защищает файлы сайта и базу данных. Большинство функций работают в пассивном режиме, потребляет мало ресурсов. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, если были какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подробные описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт.

BulletProof Security

Current Version: 3.7

Last Updated: 25.09.2020

Еще один плагин, который вы можете использовать. У этого плагина есть премиум версия, в которой доступен полный бэкап сайта и несколько других опций для повышения безопасности.

Defender Security, Monitoring, and Hack Protection

Current Version: 2.1.5

Last Updated: 16.10.2020

Хороший плагин с простым интерфейсом. Большинство функций доступно только в платной версии.

SecuPress

Current Version: 1.4.10

Last Updated: 25.10.2020

Плагин сканирует сайт на наличие вредоносного кода, блокирует ботов и подозрительные IP адреса, как и другие плагины. В платной версии доступно больше опций.

SiteLock Security

Current Version: 4.0.5

Last Updated: 20.04.2020

Бесплатный плагин с множеством функций, сканирует сайт на уязвимости с обновлениями в реальном времени.

Как поддерживать безопасность сайта

Безопасность Вордпресс — это устранение как можно большего количества уязвимостей, так как уязвимость — это пропуск на сайт. Хакеры ищут самый простой способ попасть на сайт. Сайты с уязвимостями в безопасности являются для них такой целью. С помощью этого руководства вы можете эффективно отражать 99,99% атак на свой сайт.

Используйте плагин безопасности

Большинство техник из этого руководства можно включить в плагинах безопасности. Установите и настройте один из них, это защитит ваш сайт и вам не нужно будет помнить, какие техники вы применили или могли забыть.

Сам по себе Вордпресс достаточно безопасен если его регулярно обновлять, но хакеры постоянно находят новые уязвимости в ПО. Плагин безопасности поможет защитить ваш сайт, пока разработчики Вордпресс работают над устранением этой уязвимости.

Регулярно сканируйте сайт

После того, как вы установили плагин безопасности, настройте регулярное сканирование. Автоматическое сканирование по расписанию находится в платных плагинах, но в некоторых бесплатных оно тоже есть. Например, Sucuri Security.

Без регулярного сканирования уязвимость может пройти незамеченной, и это может привести ко взлому сайта. Вы об этом можете узнать, когда поисковики пометят ваш сайт как «содержащий вредоносный код» и понизят его в поисковой выдаче.

Установите частоту сканирования немного меньше, чем частота бэкапа. Если сайт взломают, будет из чего его восстановить.

Просматривайте логи событий

Когда вы устанавливаете сайт на хостинге, в это же время начинают вестись логи событий. Где-то на вашем аккаунте должны храниться логи ошибок и логи доступа.

Обычно называются «Логи», если вы не можете их найти, спросите у техподдержки.

Логи событий — это записи о том, как кто-то получал доступ к сайту, просматривал важные файлы или пытался получить к ним доступ. Если вы будете время от времени просматривать логи, вы можете обратить внимание на какую-то необычную активность.

Например, если обычные посетители пытались получить доступ к файлам .htaccess или wp-config.php. Если вы видите, что какой-то посетитель получил доступ к этим файлам, это может значить, что ваш сайт взломали.

Если вы будете время от времени просматривать логи событий и заметите что-то странное, вы сможете вовремя отреагировать на изменения.

Установите файрвол на сервере

Вы можете установить файрвол на сервере, это защитит сайт и сервер от хакеров еще на подходе. Не путайте файрвол на сервере с WAF (web application firewall), файрволом на сайте, который находится в плагине Wordfence.

Если хакер уже попал на сайт, то остановить его будет труднее, поэтому лучше остановить его на подходе к сайту, то есть на уровне сервера.

Вы можете попробовать установить бесплатный файрвол ConfigServer Security & Firewall. Перед установкой поговорите с техподдержкой хостинга, у вас может не быть прав на установку ПО, или, возможно, какой-то файрвол уже установлен на сервере.

Признаки взломанного сайта

1. Постоянные ссылки. Зайдите в НастройкиПостоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname% . Если ссылка изменилась на %postname%/% , например,

значит, ваш сайт взломали.

2. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

3. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

4. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, статьи и тому подобное. Проверьте все страницы сайта, включая Главную.

5. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страницы на рекламный мусор.

6. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

7. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta , которая маскируется под стандартную таблицу wp_postmeta .

Еще одна вещь, которую вы можете — проверить сайт на уязвимости с помощью бесплатного плагина Security Ninja.

Или скачайте сайт на компьютер и проверьте его антивирусом.

Решение проблем со взломанным сайтом

Если сайт взломали, читайте в этом разделе об очистке от вредоносного кода и возвращении сайта в рабочее состояние.

Предотвратить заражение проще, чем лечение, поэтому применяйте эти рекомендации, чтобы не пришлось лечить сайт.

Хотя этой информации может показаться много, это стандартная базовая безопасность Вордпресс.

Если эта статья несколько сложна для вас, попробуйте начать с этого:

Если вы хотите применить эти настройки автоматически и наблюдать за состоянием безопасности сайта в админке Вордпресс, переходите на страницу

Надеюсь, статья была полезна. Оставляйте комментарии.

10 советов по усилению безопасности сайта под управлением WordPress

WordPress стал очень популярной платформой в наши дни (около 8.5% всех веб сайтов работают под управлением WordPress!). Так как данная система имеет открытый исходный код, то любой желающий может исследовать внутренне строение системы и экспериментировать с методами взлома. Более миллиона сайтов WordPress было взломано за прошедший год. Но с помощью небольших усилий вы можете защитить ваш сайт под управлением WordPress и усилить его безопасность.

1. Не используйте имя ‘admin’

Начиная с версии 3.0 WordPress имеет опцию, которая позволяет изменять имя администратора. Те, кто пытаются получить доступ к панели инструментов администратора непременно начнут с имени ‘admin’. Если вы измените его, то потенциальным взломщикам придется подбирать не только пароль, но и имя администратора.

Если вы используете более ранние версии WordPress (что не желательно), то можно изменить имя администратора непосредственно в базе данных. Открывайте ваш phpMyAdmin и выполняйте запрос:

2. Установите плагин Login LockDown

Потенциальный взломщик попытается вскрыть комбинацию имя пользователя/пароль или провести словарную атаку экрана входа в систему вашего сайта. Плагин Login LockDown поможет предотвратить попытки взлома.

Плагин Login LockDown записывает IP адрес и время всех неудавшихся попыток входа. Если за короткий период времени будет обнаружено определенное количество попыток из одного диапазона IP адресов, то функция входа в систему будет заблокирована для всех запросов из данного диапазона. Таким методом можно существенно усложнить жизнь взломщику.

По умолчанию плагин блокирует на 1 час блок IP адресов после 3 неудачных попыток входа в течении 5 минут. Установки можно изменить через панель настройки. Также администратор системы в ручную может снять блокировку.

Плагин Login LockDown можно скачать здесь.

3. Установите плагин Secure WordPress

На сайте под управлением WordPress есть много мест, которые могут сообщить взломщику номер версии системы и другую потенциально опасную информацию.

Secure WordPress усиливает безопасность вашего WordPress сайта удаляя информацию об ошибках со страницы входа в систему, добавляя файл index.html в папки плагинов, скрывая номер версии системы и много другое:

  • Удаляет информацию об ошибках со страницы входа в систему.
  • Добавляет index.php в папку плагинов (виртуально)
  • Удаляет информацию о номере версии WordPress.
  • Удаляет Really Simple Discovery
  • Удаляет Windows Live Writer
  • Удаляет информацию об обновлении ядра для пользователей, кроме администратора.
  • Удаляет информацию об обновлении плагинов для пользователей, кроме администратора.
  • Удаляет информацию об обновлении темы для пользователей, кроме администратора.
  • Скрывает номере версии WordPress в панели инструментов для пользователей, кроме администратора.
  • Удаляет номер версии из URL скриптов и стилей.
  • Блокирует запросы, которые могут нанести вред сайту.

4. Переместите файл wp-config.php

В файле wp-config.php имеется информация о параметрах соединения с базой данных и другие важные сведения, которые нужно хранить с особенной тщательностью. Начиная с версии WordPress 2.6 вы можете легко переместить данный файл из корневого каталога в другой. WordPress будет автоматически искать данный файл, если не сможет прочесть его в корневом каталоге.

Таким образом, только пользователь с FTP или SSH доступом сможет прочитать данный файл.

5. Измените префикс базы данных

По умолчанию таблицы WordPress используют префикс wp_. Так как система имеет открытый исходный код, то если вы оставите префикс без изменений, любой желающий будет знать точные имена таблиц вашей базы данных.

Вы можете изменить префикс таблиц баз данных в процессе установки. Для изменения префикса на уже работающей системе надо воспользоваться плагином WP Secure Scan.

6. Измените ключи безопасности

Если вы откроете файл wp-config.php вашей системы, то сможете найти 4 ключа безопасности:

Очень многие, даже опытные, пользователи оставляют данные ключи без изменений. Ключи безопасности используются при хэшировании паролей, чтобы усилить их.

Просто посетите страницу https://api.wordpress.org/secret-key/1.1 и скопируйте 4 сгенерированных ключа в файл wp-config.php вашей системы.

7. Обновляйте систему

Всегда обновляйте систему до последней версии, так как она имеет более высокий уровень безопасности. Также обязательно следите за обновлениями плагинов и тем.

Обновление системы, плагинов и тем осуществляет очень просто из панели администратора.

8. Защитите папку wp-admin

Плагин AskApache Password Protect добавляет серьёзную защиту для папок wp-admin, wp-includes, wp-content, plugins, и так далее.

9. Используйте более сильные пароли

Самый простейший метод по усилению защиты вашей системы WordPress. Но очень многие пользователи используют слабые пароли, которые легко взламываются.

Существует много рекомендаций в Интернет по усилению паролей.

10. Регулярно делайте резервные копии ваших данных

Данный совет косвенно касается безопасности. если кто-нибудь взломает ваш сайт, а у вас не будет резервной копии, то восстановить систему будет достаточно сложно.

Регулярное резервное копирование просто необходимо. Большой список плагинов WordPress для резервного копирования доступен здесь.

11. Прочие рекомендации

Несколько общих советов:

  • Удаляйте незадействованных пользователей из системы.
  • Удаляйте неиспользуемые темы.
  • Удаляйте неиспользуемые плагины.

Защита WordPress – 12 Советов, чтобы защитить ваш сайт

Введение

WordPress одна из самых популярных CMS в мире. Более 18.9% всех Интернет сайтов работает именно на ней, а количество установок превысило 76.5 миллионов. К сожалению, у такой популярности есть свои минусы. Согласно докладу Securi, компании которая специализируется на безопасности сайтов, WordPress самая взламываемая CMS в мире. Однако, если вы будете следовать передовой практике в этом вопросе и осуществите несколько приемов из нашего руководства, вы поймете, что защита WordPress может быть легко укреплена с помощью нескольких простых шагов.

Что вам понадобится

Перед тем, как мы начнём это руководство, проверьте наличие следующего:

  • Доступ к панели управления WordPress
  • Доступ к вашей учетной записи на хостинге (необязательно)

Шаг 1 – Поддержание актуальной версии WordPress

Это станет первым и самым важным шагом для улучшения безопасности WordPress. Если вам нужен чистый сайт без вредоносных программ, вы должны убедиться в том, что версия вашего WordPress актуальна. Возможно этот совет выглядит простым, однако, только 22% всех установок WordPress приходится на последнюю версию.

WordPress реализовал функцию автоматического обновления в версии 3.7, но работает она только для небольших обновлений безопасности. Тогда как крупные, ключевые обновления должны быть установлены вручную.

В случае, если вы не знаете, как обновить WordPress, загляните сюда.

Шаг 2 – Использование нестандартных учетных данных для входа

Вы используете admin, как имя администратора в WordPress? Если ваш ответ да, то вы серьезно снижаете защиту WordPress и упрощаете процесс взлома хакерами вашей панели управления. Строго рекомендуется изменить имя пользователя администратора на что-нибудь другое (посмотрите это руководство, если вы не уверены, как это сделать) или создайте новую учетную запись администратора с другими данными. Следуйте этим шагам, если вы предпочитаете второй вариант:

  1. Войдите в панель управления WordPress
  2. Найдите раздел Пользователи и нажмите кнопку Добавить нового.
  3. Создайте нового пользователя и назначьте ему права Администратора
  4. Перезайдите в WordPress с вашими новыми данными.
  5. Вернитесь в раздел Пользователи и удалите стандартную учетную запись Admin.

Хороший пароль играет ключевую роль в безопасности WordPress. Гораздо сложнее взломать пароль состоящий из цифр, букв нижнего и верхнего регистра и специальных знаков. Такие инструменты, как LastPass и 1Password могут помочь в создании и управлении сложными паролями. Кроме того, если вам когда-либо понадобится войти в свою панель управления WordPress при подключении к незащищенной сети (например, в кофейнях, публичных библиотеках и т. д.), не забудьте использовать безопасный VPN, который защитит вашу регистрационную информацию.

Шаг 3 – Включение двухэтапной аутентификации

Двухэтапная аутентификация добавляет дополнительный слой защиты для вашей страницы авторизации. После подтверждения имени пользователя, она добавляет еще один этап, который необходимо завершить для успешной авторизации. Скорее всего вы уже используете это для доступа к почте, онлайн банку и другим учетным записям, содержащим конфиденциальную информацию. Почему бы не использовать это и в WordPress?

Хотя это может показаться сложным, включить двухэтапную аутентификацию в WordPress очень легко. Все что вам нужно, это установить мобильное приложение для двухэтапной аутентификации и настроить его для вашего WordPress. Вы сможете найти более детальную информацию, как включить двухэтапную аутентификацию на WordPress здесь.

Шаг 4 – Отключение отправки отчетов об ошибках PHP

Отчеты об ошибках PHP могут быть довольно полезны, если вы занимаетесь разработкой сайта и хотите удостоверится, что все работает правильно. Однако показывать ошибки всем, это серьезное упущение в безопасности WordPress.

Вы должны исправить это, как можно быстрее. Не пугайтесь, вам не надо быть программистом, чтобы отключить отчеты об ошибках PHP на WordPress. Большинство провайдеров услуг хостинга предоставляют такую опцию в панели управления. Если нет, то просто добавьте следующие строчки в ваш файл wp-config.php. Вы можете использовать FTP-клиент или Файловый менеджер для редактирования файла wp-config.php.

Вот и все. Отчеты об ошибках отключены.

Шаг 5 – Не используйте nulled шаблоны для WordPress

Запомните “Бесплатный сыр бывает только в мышеловке”. Это же касается nulled шаблонов и плагинов.

По всему Интернету существует тысячи nulled плагинов и шаблонов. Пользователи могут бесплатно их скачать, используя различные файлообменники или торрент файлы. Они не знают, что большинство из них заражены вредоносными программами или ссылками черных методов поисковой оптимизации.

Перестаньте использовать nulled плагины и шаблоны. Это не только не этично, но и наносит вред вашей безопасности WordPress. В конечном итоге, вы больше заплатите разработчику за очистку вашего сайта.

Шаг 6 – Сканирование WordPress на наличие вредоносных программ

Чтобы заразить WordPress, хакеры часто используют дыры в шаблонах или плагинах. Поэтому, важно почаще проводить проверку вашего блога. Существует множество хорошо написанных плагинов для этих целей. WordFence выделяется из этого множества. Он предлагает руководство по применению и возможность автоматической проверки, вместе с кучей других разных настроек. Вы даже можете восстановить модифицированные/зараженные файлы в пару кликов. Распространяется он на бесплатной основе. Этих фактов должно быть достаточно, чтобы вы установили его прямо сейчас.

Другие популярные плагины для усиления безопасности WordPress:

  • BulletProof Security – в отличии от WordFence, о котором мы говорили ранее, BulletProof не сканирует ваши файлы, но он предоставляет вам фаервол, защиту базы данных и т.д. Отличительной особенностью является возможность настройки и установки плагина в несколько кликов мыши.
  • Sucuri Security – этот плагин защитит вас от DDOS атак, содержит черный список, сканирует ваш сайт на наличие вредоносных программ и управляет вашим фаерволом. При обнаружении чего-либо. вы будете оповещены через электронную почту. Google, Norton, McAfee – в этот плагин включены все черные списки из этих программ. Вы можете найти полное руководство об установке плагинов для сайта WordPress здесь.

Шаг 7 – Перенос сайта на более безопасный хостинг

Возможно, этот совет может показаться странным, но статистика показывает, что более 40% сайтов на WordPress были взломаны из-за дыр в безопасности хостинг аккаунта. Эта статистика должна подтолкнуть вас перенести WordPress на более безопасный хостинг. Немного ключевых фактов которые необходимо держать в уме при выборе нового хостинга:

  • Если это виртуальный хостинг, удостоверьтесь, что ваша учетная запись изолирована от других пользователей, и нет риска заражения от других сайтов на сервере.
  • На хостинге присутствует функция автоматического бэкапа (резервного копирования).
  • Сервер имеет сторонний фаервол и инструмент для сканирования.

Шаг 8 – Делайте резервное копирование данных настолько часто, насколько это возможно

Даже самые большие сайты взламываются каждый день, несмотря на тот факт, что их владельцы тратят тысячи на улучшение безопасности WordPress.

Если вы следуете передовой практике в этом вопросе и применили советы из этой статьи, вам все равно необходимо регулярно делать резервное копирование вашего сайта.

Существует несколько путей для создания бэкапа. К примеру, вы можете вручную скачать файлы сайта и экспортировать базу данных, или воспользоваться инструментами, предлагаемыми вашей хостинговой компанией. Еще один путь, использовать WordPress плагины. Самые популярные из них:

Вы даже можете автоматизировать процесс создания и хранения бэкапов WordPress бэкапы в Dropbox.

Шаг 9 – Выключение редактирования файлов

Как вы наверно знаете, WordPress имеет встроенный редактор, который позволяет редактировать PHP файлы. Эта функция настолько же полезна, насколько она может нанести вред. Если хакеры получат доступ к вашей панели управления, первая вещь, на которую они обратят внимание, это Редактор Файлов. Некоторые пользователи WordPress предпочитают полностью выключить эту функцию. Она может быть выключена редактированием файла wp-config.php, путем добавления туда следующего кода:

Это все, что вам нужно для отключения этой функции в WordPress.

ВАЖНО! В случае, если вы хотите повторно включить эту функцию, используйте FTP клиент или Файловый менеджер вашего хостинга и удалите этот код из файла wp-config.php.

Шаг 10 – Удаление неиспользуемых шаблонов и плагинов

Сделайте уборку вашего сайта на WordPress и удалите все неиспользуемые шаблоны и плагины. Хакеры часто используют отключенные и устаревшие шаблоны и плагины (даже официальные плагины WordPress) для получения доступа к вашей панели управления, или загрузки вредоносного содержимого на ваш сервер. Удаляя плагины и шаблоны, которые вы перестали использовать (и возможно забыли обновить) давным давно, вы снижаете риски и делаете ваш сайт на WordPress более безопасным.

Шаг 11 – Использование .htaccess для улучшения защиты WordPress

.htaccess это файл необходимый для корректной работы ссылок WordPress. Без правильных записей в файле .htaccess, вы будете получать много ошибок 404.

Не так много пользователей знают, что .htaccess может быть использован для улучшения защиты WordPress. К примеру, вы можете блокировать доступ или отключать выполнение PHP в определенных папках. Внизу приведены примеры того, как вы можете использовать .htaccess для улучшения безопасности сайта на WordPress.

ВАЖНО! Перед тем, как вы произведете изменения в файле, сделайте резервное копирование старого файла .htaccess. Для этого вы можете использовать FTP клиент или Файловый менеджер.

Запрет доступа к административной части WordPress

Код ниже позволит вам получать доступ к административной части WordPress только с определенных IP.

Заметьте, что вам нужно изменить XX.XX.XX.XXX на ваш IP адрес. Вы можете использовать этот сайт для проверки вашего нынешнего IP. Если вы используете больше чем одно подключение для управления сайтом на WordPress, то удостоверьтесь, что написали другие IP адреса (добавляйте столько адресов, сколько вам понадобится). Не рекомендуется использовать этот код, если у вас динамический IP адрес.

Отключение выполнения PHP в определенных папках

Хакеры любят загружать бэкдор скрипты в папку загрузок WordPress. По умолчанию эта папка используется только для хранения медиафайлов. Следовательно, не должна содержать каких-либо PHP файлов. Вы можете легко отключить выполнение PHP, создав новый файл .htaccess в /wp-content/uploads/ с такими правилами:

Защита файла wp-config.php

Файл wp-config.php содержит ядро настроек WordPress и детали базы данных MySQL. Следовательно, это самый важный файл в WordPress. Поэтому он чаще всего становится главной целью WordPress хакеров. Однако вы можете легко обезопасить его используя следующие правила в .htaccess:

Шаг 12 – Изменение стандартных префиксов базы данных WordPress для предотвращения внедрения SQL-кода

База данных WordPress содержит и хранит в себе всю ключевую информацию необходимую для работы вашего сайта. В результате, она становится еще одной целью хакеров и спамеров, которые выполняют автоматизированный код для проведения внедрения SQL-кода. Во время установки WordPress, многие люди не утруждают себя изменением стандартного префикса базы данных wp_. Согласно данным WordFence, 1 из 5 взломов WordPress связан с внедрением SQL-кода. Так как wp_ это одно из стандартных значений, сперва хакеры начинают именно с него. На данном этапе мы кратко рассмотрим, как защитить сайт на WordPress от подобного рода атак.

Изменение таблицы префиксов для существующего сайта на WordPress

ВАЖНО! Главное это безопасность! Перед началом, удостоверьтесь, что сделали бэкап вашей базы данных MySQL.

Часть первая – Изменение префикса в wp-config.php

Найдите ваш файл wp-config.php используя FTP клиент или Файловый менеджер найдите строку со значением $table_prefix.

Можете добавить дополнительные цифры, буквы или нижние подчеркивания. После этого, сохраните изменения и перейдите к следующему этапу, В этом руководстве мы используем wp_1secure1_, как новый префикс таблицы.

Пока вы находитесь в вашем файле wp-config.php, также найдите имя вашей базы данных, чтобы знать какую именно изменить. Поищите в секции define(‘DB_NAME’.

Часть вторая – Обновление всех таблиц базы данных

Сейчас вам нужно обновить все записи в вашей базе данных. Это может быть сделано используя phpMyAdmin.

Найдите базу данных определенную в первой части и войдите в нее.

По умолчанию, установка WordPress имеет 12 таблиц и каждая должна быть обновлена. Однако это можно сделать быстрее, используя раздел SQL в phpMyAdmin.

Изменять каждую таблицу вручную займет огромное количество времени, поэтому мы используем SQL запросы, чтобы ускорить процесс. Используйте следующий синтаксис для обновления всех таблиц в вашей базе данных:

Некоторые шаблоны WordPress или плагины могут добавлять дополнительные таблицы в базу данных. В случае если у вас больше 12 таблиц в базе данных MySQL, добавьте оставшиеся из них вручную в запрос SQL и выполните его.

Часть третья – Проверка опций и пользовательских таблиц метаданных

В зависимости от числа плагинов которые вы установили, некоторые значения в вашей базе данных должны быть обновлены вручную. Сделать это можно выполнив отдельные SQL запросы на таблицу опций и метаданных.

Для таблицы опций, вы должны использовать:

Для таблицы метаданных, вы должны использовать:

Когда вы получите результаты запроса, просто обновите все значения с wp_ на ваш новый настроенный префикс. В таблице метаданных пользователя вам нужно отредактировать поле meta_key, тогда как для опций, необходимо изменить значение option_name.

Обеспечение безопасности новых установок WordPress

Если вы планируете устанавливать новые сайты WordPress, вам нет необходимости вновь выполнять данный процесс. Вы легко сможете поменять префиксы таблиц WordPress в процессе установки:

Поздравляем! Вы успешно улучшили безопасность вашей базы данных от внедрения SQL-кода.

Заключение

Несмотря на то, что WordPress самая взламываемая CMS в мире, улучшить ее защиту не так тяжело. В этом руководстве мы рассказали вам о 12 советах, которых вам следует придерживаться, чтобы защита WordPress оставалась на должном уровне.

Топ-пост этого месяца:  Googlebot начал официально поддерживать второй HTTP

Добавить комментарий