Защита — WordPress


Содержание материала:

Плагин для защиты WordPress от взлома

WordPress очень популярная CMS, это не несомненно ее плюс, есть множество плагинов под любые задачи, но это одновременно и является ее слабостью, ведь чем популярнее CMS для сайта, тем больше на нее атак, точнее она более интересна для взломщика, так как найдя уязвимость в WordPress, злоумышленникам становятся доступны сотни тысяч сайтов, поэтому защите вашего сайта на WordPress нужно уделать особое внимание.

Зачем взламывают сайты на WordPress?

Взламывают все популярные CMS (движки для сайтов), и Вордпресс не исключение, взламываю в основном с помощью так называемых программ (скриптов) — эксплоитов, для получения контроля над сайтом, делается это в основном для создания ссылок с вашего сайта на другие ресурсы, и для создания BotNet, который занимается DDoS атаками на другие сервера, причем сайт остается в рабочем состоянии, и вы никогда не увидите не «вооруженным» глазом что он заражен. В любом случае взлом плохо отразится на вашем сайте, и возможно вы даже пропадете из выдачи.

Как я уже говорил, взлом происходит в автоматическом режиме, определить CMS сайта не составляет труда, для этого есть много онлайн сервисов, часто атакующая программа пытается подобрать пароль от административной части сайта, т.е. переходит по адресу your-site.ru/wp-admin и пробует подобрать пароль к вашему пользователю, узнать имя пользователя не составляет труда, вы ведь пишите статьи именно под ним, поэтому логин будет виден ботам, они знают где его посмотреть. если вы конечно не закрыли его при помощи плагина, об одном из которых мы поговорим ниже. Пароль от администратора сайта должен быть очень сложным, но даже при выполнении этого условия, нельзя давать ботам перебирать (брутить) пароль от «админки», потому что это не нужная нагрузка на сервер, представьте если этим занимаются несколько десятков ботов с разных концов света.

Плагин для защиты WordPress от атак

Перейдем сразу к плагину, достойных внимая несколько, поговорим о более простом и понятном, я использую его на многих своих проектах, для заказчиков, он очень хорошо справляется с поставленными задачами по охране сайта — All In One WP Security & Firewall

Это плагин достаточно прост в освоении, и руссифицирован на 90%, устанавливается как и любой плагин из репозитория WordPress, после установки его нужно активировать и сделать основные настройки. Он появляется в основном меню в админке WordPress

Панель управления плагина WP Security

После перехода к настройкам плагина, попадаем в панель управления. Тут можно сделать основные важные настройки.

  1. Показывает 5 последних авторизаций в вашей админке, указан пользователь и IP адрес, я например сразу вижу свои IP, их всего два, поэтому у меня не возникает сомнений что мой пароль от административной части знает кто то еще.
  2. Раздел самых важных функций, тут все нужно включить, и со всем согласиться.
  3. Плагин, способен отслеживать изменения файлов на хостинге, причем он может отправлять отчет вам на почту, и вы всегда в курсе какие файлы у вас изменились, это очень полезно, если вам подгрузили какой то скрипт или любой файл с вредоносным кодом, вы это сразу увидите в отчете, единственный минус, после обновления каких либо других установленных у вас плагинов или самого движка WordPress, WP Security увидит все эти изменения и пришлет вам огромный список, но к этим отчетам можно привыкнуть, ведь вы знаете когда обновляли файлы сами.
  4. Этот пункт меняет стандартный адрес админки сайта yoursite.ru/wp-admin , на yoursite.ru/luboe-slovo , это спасет вашу админку от некоторых горе-хакеров и ботов, но к сожалению не от всех, особо продвинутые ее все равно находят, об этом я могу судить глядя в раздел «Авторизации», но об этом позже.
  5. Этот пункт должен быть выключен, как на скриншоте, он нужен только тогда, когда вы хотите поставить сайт на обслуживание, для посетителей будет выдаваться табличка с сообщением, о том что на сайте ведутся технические работы, иногда это полезно, например при смене дизайна сайта, или при каких то глобальных изменениях, не забывайте, что в этом режиме поисковые роботы тоже не могут просматривать ваш сайт, не закрывайте его на долго.

Защита админки WordPress от подбора пароля

Теперь перейдем в пункт меню — Авторизация, на мой взгляд очень полезный пункт, и его стоит настроить, так как на одном из моих сайтов. с посещаемостью около 1000 человек, плагин отлавливает в день десятки попыток подобрать парль к админке, и добавляет IP адреса взломщиков в черный список, т.е. блокирует его совсем, сайт перестает отвечать этому IP адресу, тем самым сводя на нет попытки подобрать пароль, на скрине настройки которые делаю я.

  1. Число попыток «ошибиться» оставляю -3, не делайте меньше, можете сами неверно набрать пароль, и попасть в черный список со своим IP, придется отключать плагин через FTP
  2. Это время, через которое сбрасывается счетчик не верных попыток залогиниться
  3. Период блокировки IP адресов, с которых были не верные попытки авторизации, я ставлю побольше, в минут, т.е. баню на долго, на скрине стоит 6 000 000 минут, это примерно 11 лет, думаю хватит

Всем заблокированным IP будет закрыт доступ не только к админке, но и ко всему сайту, имейте это в виду

Список заблокированных IP адресов

После активации блокировок ошибочных авторизаций, спустя некоторое время, в зависимости от посещаемости вашего блока, можно увидеть список заблокированных IP, на скриншоте видно заблокированные IP

  1. айпи адрес злоумышленника
  2. логин к которому подбирали пароль, кстати правильный
  3. дата когда была сделана автоматическая блокировка

Белый список адресов для админки

Что бы разрешить доступ в административную часть сайта на WordPress только с определенных IP адресов, можно активировать белый список адресов в настройках плагина.

  1. активация этой опции
  2. тут ваш текущий IP адрес
  3. в этом поле введите все IP адреса, с которых разрешен доступ в админку

Если нужно указать диапазон IP адресов, то вместо цифры, используйте звездочку, к примеру 192.168.5.* — такая конструкция даст доступ в админку wordpress со всех ip начинающихся на эти цифры, такой способ может быть полезен тем, у кого нет выделенного ip адреса, и он постоянно меняется, к примеру при работе с мобильного интернет, как правило диапазон будет оставаться в пределах двух первых цифр, вот так к примеру 192.168.*.*

28 полезных советов как обезопасить WordPress без плагинов

Давненько я не писал в эту рубрику. Но сегодня исправляю этот промах.

Безопасность WordPress – это как безопасность вашего дома или квартиры.

Когда вы выходите из дома, вы закрываете двери и закрываете окна, верно? Почему бы вам не сделать то же самое для вашего сайта?

В конце концов – так же, как и ваше место жительства, оно также представляет собой значительную инвестицию во время, усилия и часто в деньги. Ваше присутствие в интернете, скорее всего, напрямую связано с получением средств к существованию. Это будет либо прямой источник дохода (например, интернет-магазин), либо реклама ваших услуг для остального мира.

По этой причине в этой статье я хочу глубоко погрузиться в то, как обеспечить безопасность вашего сайта WordPress. Первая часть этого поста расскажет о рисках, связанных с работой сайта. Вторая часть будет о том, как повысить безопасность WordPress, чтобы ваш сайт не был взломан.

Это очень подробный (и, следовательно, длинный) пост. Так что возьмите себе кофе и начнем!

Как веб-сайты WordPress подвергаются риску?

Чтобы использовать упреждающий подход, сначала нужно узнать, как сайты взламываются. Только когда вы знаете слабые места, вы можете принять меры для их защиты.

Исследование еще 2012 года показало следующие основные направления успешных попыток взлома:

  • 41% пришел через уязвимость в платформе хостинга
  • 29% через уязвимость темы WordPress
  • 22% были охвачены проблемами безопасности плагинов WordPress
  • 8% взлома были через слабую защищенность для входа

Знание этого дает нам глубокое понимание того, как повысить безопасность WordPress. В этой статье вы узнаете, как защитить себя от взлома вашего сайта всеми способами, упомянутыми выше.

28 советов, как защитить свой WordPress

Принятие основных мер безопасности может пройти долгий путь, чтобы защитить себя от большинства атак. Люди, которые атакуют веб-сайты, не любят много работать. По этой причине решение наиболее распространенных проблем позаботится о значительной части попыток взлома.

1. Держите ваш компьютер в безопасности

Безопасность вашего сайта начинается с того компьютера, который вы используете для его обслуживания. Если ваш компьютер скомпрометирован, он может легко распространиться на ваше присутствие в интернете. Следовательно, важно соблюдать основные правила безопасности.

  • Установите на компьютер сканер вирусов и вредоносных программ и регулярно запускайте сканирование.
  • Настройте брандмауэр компьютера. Загрузите один или используйте тот, который поставляется с вашей операционной системой.
  • Не входите на свой сайт WordPress через общедоступный Wi-Fi или незащищенное соединение. Если вы это сделаете, ваши учетные данные могут быть отслежены. Кроме того, будьте осторожны, чтобы никто не увидел ваш экран при входе в систему.
  • При доступе к серверу используйте SFTP (защищенный протокол передачи файлов) вместо незащищенного FTP, чтобы предотвратить мониторинг соединения.

2. Используйте хорошую хостинговую компанию

Другой основной мерой является выбор качественного хоста. Как видно выше, большинство успешных атак происходит с платформы хостинга. Это ваша первая линия обороны, и вы бы неплохо пошли на ту, которая серьезно относится к безопасности.

Как вы найдете один из них?

Один из способов – прочитать статью о лучшем хостинге WordPress на этом сайте. Кроме того, ищите хост, который:

  • поддерживает последние версии основных веб-технологий, таких как PHP и MySQL
  • предлагает хостинг, оптимизированный для WordPress
  • имеет брандмауэр, который также ориентирован на WordPress
  • предлагает сканирование вредоносных программ и обнаружение вторжений
  • кроме того, поставляется с CDN, который может рассортировать атаки и спам до того, как они попадут на ваш сайт.

Стоит также уделить время чтению о различных типах хостинга, чтобы вы лучше поняли, во что вы ввязываетесь.

3. Измените префикс таблицы WordPress во время установки

Помимо размещения вашего сайта на качественном хосте, во время установки вы также можете сделать несколько вещей, чтобы сделать WordPress более безопасным. Одним из них является установка пользовательского префикса таблицы.

Если вы загляните в базу данных WordPress стандартной установки, вы увидите, что все таблицы начинаются с wp_.

Сохранение этого делает ваш сайт более уязвимым для SQL-инъекций. Это потому, что для такого рода атак хакерам необходимо знать префикс таблицы. Конечно, стандартная настройка WordPress общеизвестна.

Простой способ повысить безопасность WordPress – превратить его в нечто случайное 8uh7zgokm_. Вы можете сделать это во время установки или, если у вас уже есть веб-сайт, изменив настройки ниже в файле wp-config.php.

Если вы не знаете, вы можете найти этот файл в корневом каталоге вашей установки WordPress. Я расскажу об этом подробнее ниже. Если вы нашли правильную строку, измените ее на свой собственный префикс, например:

После этого вам все равно придется обновить префикс внутри вашей базы данных. Один из самых простых способов сделать это через плагин безопасности, такой как iThemes Security.

4. Перейти на качественные темы и плагины

Следующими в очереди по наиболее распространенным направлениям атаки являются темы и плагины. Вместе они составили более половины всех взломанных сайтов. Вот как устранить их в качестве шлюзов для хакеров:

  • Имейте только то, что вам нужно. Наличие десятков плагинов, активных на вашем сайте, не только снижает производительность вашего сайта, но и делает его менее безопасным. Чем больше компонентов, тем выше риск. Поэтому регулярно проверяйте, можете ли вы деактивировать и удалять плагины и темы.
  • Ищите хорошо поддерживаемые плагины и темы. Если тема или плагин долгое время не обновлялись, высока вероятность того, что в них есть непропатченные дыры в безопасности или просто какой-то плохой код, который делает ваш сайт более уязвимым. По этой причине обратите внимание на уровень поддержки перед установкой.

Кроме того, крайне важно, чтобы вы не скачивали из неизвестных источников. Не все из них имеют в виду ваши интересы.

В лучшем случае вы получаете плохо запрограммированный плагин или тему, которая делает ваш сайт небезопасным. В худшем случае создатель намеренно включил вредоносный код для компрометации вашего сайта. Это особенно верно, если вы загружаете премиум-плагины “бесплатно”. Поэтому лучше придерживаться качественных источников, таких как каталог WordPress и проверенные поставщики.

5. Держите WordPress и его компоненты в актуальном состоянии

Новые версии WordPress не только приносят новые функции и улучшения, но и устраняют дыры в безопасности, выявленные на предыдущих итерациях. Это особенно верно для незначительных обновлений (которые вы можете определить по третьей цифре в их номере версии, например 5.1.1). Они выходят специально для этой цели.

Следовательно, крайне важно, чтобы вы применяли новые версии на своем сайте как можно скорее.

Незначительные обновления WordPress 5.0 применяются автоматически. Это было добавлено, чтобы обеспечить актуальность веб-сайтов с точки зрения безопасности. Тем не менее, основные обновления по-прежнему под вашей ответственностью. Создайте резервную копию и обновите свой сайт, как только увидите предупреждение на своем сервере. Сделайте то же самое для тем и плагинов.

Обратите внимание, что WordPress может автоматически применять основные обновления, а также обновления для плагинов и тем. Мы поговорим об этом ниже. Однако риск того, что что-то пойдет не так без вашего ведома, слишком велик. Поэтому, настоятельно не рекомендуется.

6. Предоставляйте доступ только тем, кому доверяете

Первый способ – предоставить доступ к сайту только тем людям, которые, как вы уверены, не будут использовать его в плохих целях. Любой, кому абсолютно не нужен доступ, не должен быть там.

Даже с теми, кого вы считаете заслуживающими доверия, важно предоставить им только те роли и возможности, которые им абсолютно необходимы. Таким образом, вероятность несчастных случаев (или умышленно плохих действий) значительно уменьшается.

Кстати, такое же усмотрение следует применять для доступа к вашей учетной записи хостинга, FTP-серверу и другой конфиденциальной информации.

7. Усильте свою регистрационную информацию

Самый простой способ повысить безопасность WordPress – использовать безопасную информацию для входа. Это долгий путь, чтобы предотвратить атаки методом “перебора паролей”, когда хакеры автоматически пробуют сотни различных комбинаций имени пользователя и пароля с помощью сценария, пока один из них не сработает.

Только WordFence зарегистрировал около 35 миллионов таких атак в июле 2020 года за день! И это только на сайтах, где работает их плагин.

Как следствие, лучше всего учитывать эти лучшие практики:

  • Не используйте имя пользователя “admin” – в более ранних версиях WordPress admin было именем пользователя по умолчанию для администратора. Хакеры нашли это легкой целью, поэтому она была изменена. Однако некоторые люди все еще создают это имя пользователя вручную. Не надо! Это одна из первых вещей, которую проверит любой хакер.
  • Создайте отдельную учетную запись для публикации. На заметку о том, что ваше имя пользователя должно храниться в секрете, рекомендуется создать отдельные учетные записи для администрирования и публикации контента. Если вы публикуете статьи под своей учетной записью администратора, имя пользователя будет отображаться в URL архива автора. Кроме того, наличие отдельных учетных записей для контента и администрирования также снижает вероятность несчастных случаев.
  • Выберите надежный пароль – WordPress предложит надежный пароль во время установки и всякий раз, когда вы захотите изменить его. Хотя вы, возможно, захотите пойти на что-то, что вы помните, обязательно обратите пристальное внимание на индикатор. Вы также можете использовать такой сервис, как Online Password Generator, чтобы создать его для вас.

Вы также можете использовать службу для защиты всех своих паролей, например, LastPass. Кроме того, если на вашем сайте есть другие люди с высоким уровнем разрешений, вы можете также заставить их использовать правильную информацию для входа в систему. Вместо того, чтобы просить их по электронной почте, делайте это с помощью Force Strong Passwords. На всякий случай, если вам нужно изменить имя администратора, следуйте этим инструкциям.

8. Измените сообщения об ошибках входа

По умолчанию, если кто-то пытается войти на ваш сайт с неверными учетными данными, WordPress сообщит ему, связана ли проблема с его именем пользователя или паролем.

Это определенно слишком много информации, поскольку она отдает половину того, что кому-то нужно, чтобы проникнуть на ваш сайт. Чтобы изменить его, используйте этот фрагмент кода в файле functions.php чтобы изменить сообщение.

Измените “Это было не совсем правильно …” на все, что вы хотите передать. Просто, но эффективно.

9. Ограничить попытки входа

Надежная информация для входа – это только одна часть уравнения. Если у вас будет достаточно времени и попыток, кто-нибудь все же сможет это сделать.

Поэтому рекомендуется повысить уровень безопасности, ограничив количество попыток. Плагины, такие как WP Limit Login Attempts, позволяют установить, как часто данный IP-адрес может отказать при входе в систему до того, как он будет временно или навсегда запрещен на вашем сайте.

10. Реализовать двухфакторную аутентификацию

Двухфакторная аутентификация означает не что иное, как создание дополнительного шага для входа людей на ваш сайт. Это может быть что-то вроде необходимости ввести код с мобильного телефона. Он блокирует автоматические атаки.

Вот некоторые плагины, которые позволяют вам реализовать двухфакторную аутентификацию:

11. Скрыть страницу входа

Еще один способ сохранить страницу входа в WordPress – это скрыть ее. Как известно всем, кто работал с WordPress, вы обычно обращаетесь к нему через “yourdomain.ru/wp-admin” или “yourdomain.ru/wp-login.php”.

Перемещение его на другой адрес означает, что автоматизированные сценарии будут нацелены не на то место. Многие из приведенных выше плагинов безопасности могут сделать это для вас. В дополнение к этому, Cerber Security & Antispam и WP Hide & Security Enhancer также имеют такую возможность. Вы также можете сделать это самостоятельно, используя код, описанный здесь.

12. Настройте SSL и HTTPS

Использование шифрования SSL предотвратит захват конфиденциальной информации. Если у вас есть интернет-магазин или другие вещи, которые необходимо защитить, это обязательно нужно иметь.

Однако шифрование также защищает ваши данные для входа и становится все более обязательным.

13. Автоматически обновляйте ваш сайт

Я говорил об автоматических обновлениях ранее. Помимо обновлений для минорных версий, вы также можете активировать ту же функцию для крупных обновлений, плагинов и тем. Это работает путем добавления следующих строк в wp-config.php:

Тем не менее, я должен еще раз предупредить вас, что риск взлома вашего сайта выше при использовании плагинов и крупных обновлений WordPress. По этой причине, может быть, лучше применить их вручную.

14. Добавить ключи безопасности

Ключи безопасности WordPress, также называемые “солями”, шифруют информацию, хранящуюся в файлах cookie браузера. Таким образом, они защищают пароли и другую конфиденциальную информацию. Сами ключи представляют собой фразы, используемые для рандомизации этой информации и хранящиеся внутри wp-config.php, в котором он говорит, что это:

Вы должны добавить их вручную (как видно из подсказки). К счастью, вам не нужно придумывать фразы самостоятельно. Вместо этого просто нажмите на генератор ключей и скопируйте и вставьте то, что вы там найдете. Это будет выглядеть примерно так:

15. Отключить редактор тем и плагинов

Чтобы внести изменения в ваш сайт, WordPress содержит внутренний редактор файлов тем и плагинов. Хотя это может быть полезно в некоторых ситуациях, это также очень рискованно.

Причина в том, что если кто-то получит доступ к бэк-энду вашего сайта, он может использовать редактор для удаления вашего сайта, даже не имея доступа к вашему серверу.

Чтобы избежать этого, отключите редактор, добавив следующую строку в ваш файл wp-config.php:

16. Отключите отчеты об ошибках PHP

Когда плагины или темы вызывают ошибку на вашем сайте, WordPress отобразит сообщение на вашем интерфейсе.

Это сообщение может содержать путь к проблемному файлу. Хакеры могут использовать эту информацию, чтобы лучше понять структуру вашего сервера и атаковать ваш сайт. Вот как это отключить внутри wp-config.php:

Если это не работает, это может быть связано с настройками хоста. В этом случае вам нужно поговорить с ними об отключении.

17. Защита важных файлов от доступа

.htaccess – еще один важный файл, который настраивает ваш сервер. Среди прочего, он содержит код, который позволяет использовать красивые постоянные ссылки в WordPress. Он также может устанавливать перенаправления и, как вы уже догадались, повысить безопасность WordPress.

Для последнего вам сначала нужно получить доступ к файлу, который находится в корневом каталоге вашего сервера и по умолчанию скрыт. Поэтому для его редактирования убедитесь, что ваш FTP-клиент отображает скрытые файлы ( “Сервер – Принудительно показывать скрытые файлы” в FileZilla). После этого примите следующие меры.

Приведенный ниже код запретит доступ к критическим файлам, таким как wp-config.php, php.ini, журналам ошибок и .htaccess.

При необходимости измените имя вашего файла php.ini (например, php5.ini или php7.ini). Обязательно размещайте код вне скобок #BEGIN WordPress и #END WordPress. Все внутри этого пространства может быть отредактировано WordPress и может привести к потере ваших изменений.

18. Ограничить доступ к файлам PHP

Кроме того, вы можете запретить другим пользователям получать доступ к файлам PHP и внедрять в них вредоносное ПО:

19. Предотвратите выполнение файлов PHP

Хакеры чаще всего загружают вредоносное ПО в папку “wp-content/uploads”. Чтобы предотвратить выполнение ими плохих кодов в случае взлома, используйте этот фрагмент кода:

20. Отключить инъекции скрипта

Пока вы это делаете, используйте этот фрагмент, чтобы посторонние не могли внедрить вредоносный код в ваши существующие файлы PHP:

21. Безопасный wp-includes

В этой папке wp-includes хранятся файлы ядра WordPress, в которые никто не должен вмешиваться. Чтобы убедиться, что этого не произойдет, используйте следующий код.

Не волнуйтесь, это не повлияет на вашу тему или файлы плагинов, так как они находятся в другом месте.

22. Ограничить доступ администратора к определенному IP-адресу

С .htaccess вы также можете ограничить доступ к вашей странице входа WordPress по IP-адресу. Только ты сможешь туда попасть. Для этого скопируйте и вставьте в него следующий код:

Не забудьте заменить примеры IP-адресов тем, к которому вы хотите предоставить доступ. Вы также можете добавить больше адресов, скопировав и вставив строку “Allow from…”. Все остальные попадут на страницу с ошибкой. Если вы не знаете свой IP, просто проверьте его здесь.

Имейте в виду, что для того, чтобы попасть в админ-панель WordPress с другого IP-адреса, вам нужно сначала изменить или добавить его в файл.

23. Блокировка определенных IP-адресов

Подобный метод доступен для блокировки IP-адресов, которые постоянно пытаются проникнуть на ваш сайт. Если вы заметили что-то подобное (например, из журналов вашего сервера), вы можете заблокировать их на своем сайте с помощью этого дополнения к .htaccess:

24. Запрет просмотра каталогов

По умолчанию любой может посмотреть на структуру каталогов любого сайта WordPress, просто указав полный путь к каталогам на панели браузера.

Хотя это не позволяет хакерам вносить изменения, знание структуры вашего сайта все равно поможет им. Поскольку вы хотите сделать их как можно более сложными, отключите просмотр каталогов внутри .htaccess.

25. Обратите внимание на права доступа к файлам

Использование правильных прав доступа к файлам на вашем сервере – это способ предотвратить изменение ваших файлов неуполномоченными лицами.

Как вы можете изменить права доступа к файлам?

С FileZilla это так же просто, как пометить элементы, которые вы хотите изменить, щелкнув правой кнопкой мыши, а затем выбрав “Права доступа к файлу…”.

В следующем окне вы можете установить уровень разрешений с помощью числового значения.

Как вы можете видеть, также возможно применить то же самое к файлам и/или каталогам на более низких уровнях. Гораздо практичнее, чем индивидуальное изменение разрешений.

Что касается того, что вы должны изменить их, WordPress рекомендует следующие настройки:

  • 755 или 750 для каталогов
  • 644 или 640 для файлов
  • 600 для wp-config.php

26. Удалить номер версии WordPress

По умолчанию WordPress содержит метатег внутри исходного кода, который будет отображать версию вашего сайта, а также добавлять ее в скрипты, загруженные в ваш раздел .

К сожалению, эта информация очень полезна для всех, кто пытается взломать ваш сайт, особенно если вы используете более старую версию WordPress с известной уязвимостью в безопасности. К счастью, удалить номер версии так же просто, как добавить следующее в начало файла function.php вашей темы:

27. Отключить XML-RPC

Эта аббревиатура является названием функции, которая позволяет удаленно подключаться к WordPress. Например, клиенты блогов используют это, и это также используется для трекбэков и пингбеков. К сожалению, это также иногда является целью хакеров, поэтому вы должны защитить его с помощью плагина Disable XML-RPC Pingback.

28. Резервное копирование

Упомянутые выше меры предосторожности хороши для обеспечения безопасности WordPress. Однако несчастные случаи все же случаются. Для дополнительной страховки всегда имейте под рукой свежую резервную копию.

Существует множество вариантов резервного копирования WordPress, поэтому я создал обширное руководство по этой теме. В нем вы найдете все, что вам нужно знать о создании резервных копий вашего сайта WordPress.

Думаешь, тебя взломали?

Если вы считаете, что приведенный выше совет пришел слишком поздно, и, возможно, вас уже взломали, есть способы выяснить это. Используйте эти инструменты, чтобы проверить, обоснованы ли ваши страхи (или просто используйте их в качестве меры предосторожности):

  • Общие проблемы безопасности – используйте Unmask Parasites и Web Inspector для проверки общих уязвимостей.
  • Спам – MX Toolbox сообщит вам, был ли ваш сайт включен в более ста черных списков рассылки.
  • Вредоносные программы – бесплатный сканер вредоносных программ Sucuri Website проверит ваш веб-сайт на наличие вредоносного кода и других проблем безопасности.

Как ваша безопасность WordPress?

Как и в реальном мире, важно защищать свои цифровые активы. Для многих из нас самым большим является наш веб-сайт. По этой причине инвестиции в безопасность WordPress равносильны покупке страховки арендатора или установке лучшего замка на вашей двери.

Выше вы узнали об опасностях, с которыми сталкиваются веб-сайты WordPress, а также о множестве способов их предотвращения. Начиная с базовых рекомендаций по защите входа в систему, укреплению безопасности WordPress через wp-config.php и заканчивая универсальными подключаемыми .htaccess модулями безопасности, вы можете многое сделать.

Имейте в виду, что вам не нужно принимать все меры, описанные выше. Даже если вы возьмете только основные, вы будете лучше подготовлены, чем многие другие.

Тем не менее, большинство действий занимают очень мало времени. Следовательно, вы можете подумать о том, чтобы потратить десять минут здесь и там для дальнейшего улучшения вашей системы безопасности WordPress. Поверь мне, в конце ты будешь благодарен.

Какие ваши любимые меры безопасности WordPress? У вас есть что-нибудь добавить к вышесказанному? Дайте мне знать в комментариях ниже.

Безопасность WordPress: 24 совета по защите сайта

Многие владельцы веб-сайтов жалуются на безопасность WordPress. Основная мысль заключается в том, что WordPress — это CMS с открытым исходным кодом и она уязвима для всех видов атак. Так ли это? И если да, то как вы защищаете свой веб-сайт WordPress?

К счастью, это предположение в основном неверно. На самом деле, иногда сайты на WordPress достаточно хорошо защищены от атак. А иногда наоборот, с легкостью подвержены взлому. Но не всегда в этом виноват WordPress.

Почему? Потому что обычно именно пользователь виноват в том, что его сайт взломан. Есть некоторые принципы, которые вы должны соблюдать как владелец веб-сайта. Итак, главный вопрос: что делать, чтобы ваш сайт на WordPress не взломали?

Рассмотрим несколько рекомендаций по защите сайта на WordPress, которые помогут вам противостоять самым распространенным способам атаки на сайты. Следую им, вы значительно снизите вероятность успешной атаки на ваш сайт.

Раздел 1: Защита сайта WordPress с помощью защиты страницы входа и предотвращения брутфорс атак

Всем известен стандартный URL страницы входа в WordPress. Отсюда можно получить доступ к бэкэнду веб-сайта, и именно по этой причине его пытаются взломать чаще всего. Просто добавьте /wp-login.php или /wp-admin / в конце доменного имени, и вы уже знаете адрес админки сайта.

Мы рекомендуем изменить адрес страницы входа в админпенель WordPress, и способ аутентификации. Это то, что стоит сделать при первоначальной настройке сайта.

Рассмотрим несколько советов по защите страницы входа в систему WordPress:

1. Блокирование массовых запросов авторизации и бан ботов

Функция блокировки неудачных попыток входа в систему может решить проблему непрерывных попыток брутфорса — взлома сайта методом подбора пароля. Всякий раз, когда происходит попытка взлома с повторяющимися неправильными паролями, сайт блокируется для ip-адреса взломщика, и вы получаете уведомление о несанкционированном действии.

Плагин iThemes Security является одним из лучших плагинов, которые помогут вам настроить параметры безопасности на вашем сайте. В том числе в настройках плагина можно указать определенное количество неудачных попыток входа в систему до того, как плагин заблокирует IP-адрес злоумышленника.

2. Использование двухфакторной аутентификации

Еще одна хорошая мера безопасности — подключение 2-факторного модуля проверки подлинности (2FA) на страницу входа в административную панель сайта. В этом случае для того, чтобы войти, вам нужно использовать два типа данных. Владелец веб-сайта может выбрать, какие это будут компоненты. Это может быть обычный пароль, за которым следует секретный вопрос, секретный код, набор символов или более популярное приложение Google Authenticator, которое отправляет секретный код на ваш телефон. Таким образом, только человек с вашим телефоном (вы) может войти на ваш сайт.

Плагин Google Authenticator поможет вам настроить двухфакторную аутентификацию на WordPress всего за несколько кликов.

3. Используйте адрес электронной почты для входа в систему

По умолчанию для входа в WordPress вам нужно ввести свое имя пользователя и пароль. Использование электронной почты вместо логина пользователя является более безопасным. Причины этого очевидны — имя пользователя легче угадать, чем электронную почту. Вы должны знать, что учетная запись пользователя WordPress создается с уникальным адресом электронной почты, и это позволяет использовать ваш e-mail для входа в систему.

4. Измените URL-адрес страницы авторизации на сайте WordPress

Изменение URL-адреса входа — один из самых простых способов защитить сайт от взлома подбором пароля. По умолчанию доступ к странице входа в WordPress можно легко получить через wp-login.php ил добавив wp-admin к основному URL-адресу сайта.

Когда хакеры знают прямой URL-адрес вашей страницы входа в систему, они будут пытаться выполнить перебор логина и пароля с целью попасть в админку. Чаще всего это делается с помощью GWDb (Guess Work Database, т.е. базы данных предполагаемых имен пользователей и паролей, например, имя пользователя admin и пароль: [email protected] … с миллионами таких комбинаций).

На этом этапе мы уже ограничили попытки входа пользователя в систему и заменили имена пользователей на электронную почту. Теперь мы можем заменить URL-адрес страницы входа и избавиться от 99% атак методом подбора пароля.

Этот небольшой трюк ограничивает доступ неавторизованных пользователей к странице входа. Это может сделать только кто-то, кому вы сообщили адрес страницы входа. Опять же, плагин iThemes Security может помочь вам изменить URL-адреса входа. Вот так:

  • Смените адрес wp-login.php на уникальное имя, например my_new_login
  • Смените адрес /wp-admin/ на другой, например my_new_admin
  • Смените адрес /wp-login.php?action=register
    на другой, например my_new_registeration
Топ-пост этого месяца:  Как отключить Гутенберг на сайте (код и плагин)

5. Используйте сложные пароли

Придумайте сложные пароли и регулярно меняйте их. Усложните их, добавив буквы и цифры в верхнем и нижнем регистре и специальные символы. Некоторые используют в качестве пароля длинные фразы, поскольку их сложно угадать, но легче запомнить, чем набор случайных чисел и букв.

LastPass — один из самых простых способов управлять вашими паролями. Он не только генерирует безопасные пароли, но также сохраняет их в расширении для браузера, что избавит вас от необходимости запоминать их.

6. Автоматический выход из аккаунта для неактивных пользователей

Залогиненные пользователи, оставляющие ваш сайт открытым, могут представлять серьезную угрозу безопасности. Любой посторонний может этим воспользоваться и нанести вред вашему сайту, зайдя в административную панель. Этого можно избежать, настроив автоматический выход из аккаунта после некоторого периода бездействия пользователя.

Эту функцию можно настроить с помощью плагина BulletProof. Этот плагин позволяет настроить индивидуальное время для аккаунтов пользователей, после чего они будут автоматически выходить из системы.

Раздел 2: Защита сайта WordPress через панель управления

Для хакера самой важной частью веб-сайта является панель управления администратора, которая обычно является самой защищенной частью. Если админку удалось взломать, сайт будет находиться под полным контролем взломщика..

Вот что вы можете сделать, чтобы защитить свою панель управления сайтом WordPress:

7. Защитите каталог wp-admin

Папка wp-admin — самая важная часть любого сайта на WordPress. Поэтому повреждение или удаление этой папки может привести к полной неработоспособности сайта.

Один из возможных способов предотвратить это — защитить каталог wp-admin паролем. С использованием этой меры безопасности владелец веб-сайта может получить доступ к панели управления, отправив два пароля. Один защищает страницу входа, а другой защищает область администратора WordPress. Если пользователям веб-сайта требуется доступ к некоторым частям wp-admin, вы можете разблокировать эти части, оставив при этом защищенными остальные компоненты.

Для защиты wp-admin можно использовать плагин AskApache Password Protect. Он автоматически генерирует файл .htpasswd , шифрует пароль и настраивает права доступа к файлам и каталогам.

8. Используйте SSL сертификаты для шифрования данных.

Внедрение SSL (Secure Socket Layer) — это эффективный способ защиты панели администратора. SSL обеспечивает безопасную передачу данных между браузерами пользователей и сервером сайта, что затрудняет злоумышленникам взлом соединения или подделку вашей информации.

Получение SSL-сертификата для сайта WordPress происходит довольно просто в панели управления большинства хостингов. Можно купить сертификат безопасности у компаний, предоставляющих SSL, или оформить бесплатный сертификат Let’s Encrypt.

Как правило, компании, предоставляющие услуги хостинга, предлагают бесплатное получение и продление сертификата
Let’s Encrypt.

Наличие сертификат SSL и защищенного соединения по https также влияет на рейтинг в поисковых системах вашего сайта. Google ранжирует сайты с SSL выше, чем без него. Это даст вам больше трафика на ваш сайт.

9. Следите за качеством учетных данных пользователей вашего сайта на WordPress

Если вы владеете блогом на WordPress с несколькими авторами, доступ к панели администратора имеют несколько пользователей. Это может сделать ваш сайт потенциально более уязвимым, чем если бы у него был только один администратор.

Вы можете использовать, например, плагин Force Strong Passwords, если хотите убедиться в том, что все ваши пользователи используют безопасные пароли.

10. Измените имя администратора

Во время установки WordPress никогда не выбирайте стандартное имя «admin» в качестве имени пользователя для основной учетной записи администратора. Это самая распространенная уязвимость сайта. Все, что нужно выяснить хакеру, это пароль, а затем весь ваш сайт попадает в чужие руки.

Если посмотреть логи доступа к любому сайту, с высокой долей вероятности там можно обнаружить попытки входа с именем «admin» и подбором пароля.

Плагин iThemes Security может пресечь подобные попытки, немедленно заблокировав любой IP-адрес, который пытается войти в систему с таким именем пользователя.

11. Следите за изменениями в файлах

Для обеспечения дополнительной безопасности, стоит мониторить изменения в файлах сайта с помощью плагинов, таких как Wordfence или того же iThemes Security.

Раздел 3: Защита базы данных сайта WordPress

Все данные и информация вашего сайта хранятся в базе данных. Поэтому обеспечить безопасность базы данных очень важно для функционирования сайта. Рассмотрим несколько советов по защите базы данных сайта на WordPress :

12. Измените стандартный префикс базы данных WordPress

При установке WordPress система предлагает установить префикс для таблиц базы данных по-умолчанию: wp- . Рекомендуем изменить префикс таблиц на свой, уникальный, отличный от дефолтного.

Использование префикса по умолчанию делает базу данных сайта уязвимой к атакам SQL-инъекций. Предотвратить атаки можно путем назначения своего префикса, например, mywp- или wpnew- .

Если вы уже установили на сайт WordPress базу данных с префиксом по умолчанию, его можно изменить при помощи некоторых плагинов, таких, как WP-DBManager или iThemes Security. Однако будьте осторожны, выполняя такие операции на работающем сайте, и всегда сохраняйте резервную копию сайта и базы, а лучше всего пользователя из панели управления хостингом. Кроме того, при создании бекапа сайта убедитесь, что данные из него можно успешно восстановить, и вы знаете как это сделать. Ведь как известно, люди делятся на три типа: те, кто не делают бекапы, те, кто уже делают бекапы, и те, кто умеют из них восстанавливаться.

13. Регулярно делайте резервные копии вашего сайта

Независимо от того, сколько усилий вы вложили в обеспечение безопасности вашего сайта WordPress, всегда есть место для улучшений. Но самым лучшим средством остается регулярное создание резервных копий.

Если у вас есть резервная копия сайта, вы можете восстановить его в рабочее состояние в любое время. Есть несколько плагинов, которые в этом помогут.

Создавать резервные копии можно как из админпанели сайта , так и из панели управления хостингом. Хорошим решением будет настройка автоматического создания бекапов через определенные промежутки времени.

14. Устанавливайте сложные пароли для баз данных

Критически важно использовать сложный пароль для подключения к базе данных сайта на WordPress. Ведь если взломают базу, все остальные меры безопасности, принятые на сайте, будут бесполезны.

Как обычно, используйте для создания пароля прописные, строчные буквы, цифры и специальные символы. Простые фразы также хороший вариант. LastPass — хорошее решение для генерации и хранения случайных паролей. Еще один неплохой и быстрый инструмент для создания надежных паролей — Secure Password Generator.

15. Следите за логами активности редакторов вашего сайта

Когда на вашем WordPress сайте работают другие редакторы, важно следить за их действиями. Авторы и другие пользователи имеют свои права доступа к различным функциям сайта, и они не должны изменять настройки сайта, которые могут привести к нежелательным последствиям. Журнал логов нужен для мониторинга и контроля деятельности пользователей вашего сайта, у которых есть доступ к админпанели.

Плагин WP Security Audit Log предоставляет полный журнал активности пользователей, а также может отправлять уведомления и отчеты на электронную почту. В самом простом случае журнал аудита может помочь вам определить, что у автора возникают проблемы при входе в систему. Но плагин также может выявить вредоносную активность одного из ваших пользователей.

Раздел 3: Защита сайта WordPress на уровне хостинга

Почти все хостинговые компании предоставляют специальные тарифные планы, оптимизированные для WordPress, но всегда можно еще что-нибудь улучшить:

16. Защита файла wp-config.php

wp-config.php — файл, который содержит важную информацию о системе WordPress, и это самый важный файл в корневом каталоге вашего сайта.

Для повышения безопасности можно переместить этот файл на один уровень выше в родительский каталог, и тем самым сделать его недоступным для взломщиков.

В текущей архитектуре WordPress параметры файла конфигурации устанавливаются как самые высокие в списке приоритетов. Таким образом, даже если он хранится в папке выше корневого каталога, WordPress все еще может ее видеть.

17. Запрет на редактирование файлов.

Если у пользователей есть права администратора в панели управления WordPress, они могут редактировать любые файлы, в том числе системные файлы WordPress. Сюда входят также файлы плагинов и тем.

Если вы запретите редактирование файлов, никто не сможет случайно или намеренно изменить какой-либо из файлов — даже если хакер получит доступ администратора к вашей панели управления WordPress.

Чтобы отключить возможность редактирования файлов из панели управления WordPress, добавьте следующую строку в файл wp-config.php (в самом конце):

18. Подключайтесь к серверу через безопасный протокол

При настройке сайта подключайте сервер только через SFTP или SSH. SFTP всегда предпочтительнее традиционного FTP из-за его безопасности.

Подключение к серверу через зашифрованное соединение обеспечивает безопасную передачу всех файлов. Многие хостинг-провайдеры предлагают эту услугу как часть своего пакета. Если нет — вы можете сделать это самостоятельно, используя это руководство.

19. Настройте права доступа к каталогам

Неправильные разрешения на каталоги могут привести к нежелательным последствиям, особенно если вы используете шаред хостинг для размещения сайта.

В этом случае правильные разрешения прав на файлы и каталоги является хорошим шагом для обеспечения безопасности веб-сайта на уровне хостинга. Установка разрешений для папок «755» и файлов «644» защищает всю файловую систему — каталоги, подкаталоги и отдельные файлы от несанкционированного доступа.

Изменить права на файлы и папки можно вручную с помощью диспетчера файлов внутри панели управления хостингом или через терминал (подключенный к SSH) — используйте команду «chmod».

20. Отключить листинг каталогов с помощью .htaccess

Если вы создаете новую папку в каталоге своего сайта и не помещаете в нее файл index.html , вы можете быть удивлены, обнаружив, что ваши посетители могут получить полный список всего, что находится в этом каталоге.

Например, если вы создаете каталог под названием «data», вы можете увидеть все в этом каталоге, просто набрав http://www.example.com/data/ в своем браузере. Даже никакой пароль не требуется.

Это можно предотвратить, добавив следующую строку кода в файл .htaccess :

Options All -Indexes

21. Блокировка хотлинков

Hotlinking — это использование изображений с вашего сайта путем размещения ссылок на это изображение на чужих сайтах. Таким образом повышается нагрузка на ваш сервер и используется ваш трафик.

Несмотря на некоторые ручные методы предотвращения hotlinking, самый простой способ — плагин безопасности. Например, плагин All in One WP Security and Firewall включает встроенные инструменты для блокировки всех хотлинков.

22. Защита от DDoS-атак

DDoS является распространенным типом атаки по пропускной способности сервера, когда злоумышленник использует несколько программ и систем для перегрузки вашего сервера. Хотя такая атака не угрожает файлам сайтов, она предназначена для падения сайта в течение длительного периода времени.

Для защиты от DDoS можно купить подписку на премиальные планы Sucuri или Cloudflare. В последнее время хостинговые компании предлагают защиту от DDoS по умолчанию при аренде выделенного сервера.

Раздел 4: защита сайта WordPress на уровне тем и плагинов

Темы и плагины являются необходимыми компонентами для любого сайта WordPress. К сожалению, они также могут создавать серьезные угрозы для безопасности. Как мы можем защитить темы и плагины WordPress на вашем сайте:

23. Регулярно обновляйте все установленные плагины и темы

Любой серьезный программный продукт поддерживается его разработчиками и время от времени обновляется. Эти обновления предназначены для исправления ошибок и иногда имеют жизненно важные исправления безопасности.

Большинство уязвимостей сайтов на WordPress связаны с использованием устаревших версий программного обеспечения, чем пользуются хакеры, знающие слабые места конкретных плагинов.

Если вы используете дополнительные плагины и темы для WordPress, регулярно обновляйте их. WordPress имеет функцию автоматического обновления установленных тем и плагинов, но все равно нужно следить за состоянием софта на своем сайте, и вручную обновлять плагины, которые не обновляются автоматически.

Как альтернативу можно выбрать управляемый план хостинга WordPress. Наряду со многими другими функциями и улучшениями безопасности, управляемый хостинг WordPress предлагает автоматические обновления для всех элементов вашего сайта WordPress.

24. Удалите номер версии WordPress.

Текущий номер версии WordPress можно найти очень легко. Вы можете увидеть его в нижней части панели инструментов.

Если хакеры знают, какую версию WordPress вы используете, им легче подготовить атаку на сайт.

Вы можете скрыть свой номер версии с помощью плагинов безопасности, о котором мы упоминали выше.

Для скрытия версии WordPress вручную (а также удаления номера версии из RSS-каналов) рассмотрите возможность добавления в functions.php файл следующей функции :

Заключение

Мы рассмотрели базовые мероприятия по защите WordPress сайта от самых распространенных видов атак и взломов. Следую этим правилам, можно значительно повысить качество защиты вашего сайта и предотвратить большой процент потенциальных неприятностей.

All In One WP Security – защита сайта wordpress

Привет всем. Сегодня будет большой пост. Готовил я его долго. Плагин, о котором пойдет речь, All In One WP Security очень важен для сайтов на wordpress, так как это защита сайта wordpress по все правилам.

У меня в практике был случай, когда один из моих сайтов был подвергнут атаке, в результате которой мне пришлось полностью “снести” проект, так как реанимировать его было просто невозможно. Если бы у меня тогда стояла защита сайта на wordpress от взлома, то уверен проблем бы таких не возникло.

Итак, давайте приступим к обзору плагина.

All In One WP Security

После того, как вы скачаете плагин по ссылке в конце этого поста, установите и активируете, перед вами откроется вот такое окно – оно создано для того, чтобы пользователь в реальном времени мог видеть, что ему необходимо изменить на своем проекте, для того, чтобы защита сайта на wordpress от взлома начала работать.

Измеритель уровня безопастности – максимальный бал 480 – сразу скажу, что стремиться к нему во все не обязательно. Как видите на скриншоте у тестового сайта установлен показатель “30”. Это значит, что плагин совершенно не настроен. В процессе написания этой статьи, я буду проводить настройку, для того, чтобы посмотреть как будет работать в итоге защита сайта wordpress.

Диаграмма безопастности вашего сайта – не сильно важный элемент.

Текущий статус самых важных функций – к этому разделу мы ещё вернемся так как он будет меняться в процессе настройки all in one wp security.

Информация о системе

На этой вкладке особое внимание задерживать смысла нет, так как вы и так знаете, что у вас установлено на сайте и какие возможности у него есть.

Заблокированные IP-адреса

Здесь будут отображаться все IP-адреса, которые вы решите заблокировать, так как, к примеру, считаете что с них идет не здоровая активность в отношении вашего сайта. По понятным причинам, у меня здесь нет ни одного заблокированного IP-адреса, так как тестовый сайт на фиг ни кому не сдался.

Список постоянно заблокированных

На этой вкладке отображается список всех навсегда заблокированных IP-адресов.

Примечание: Эта функция не используется .htaccess файл, чтобы навсегда заблокировать IP-адреса, поэтому он должен быть совместим со всеми веб-серверами под управлением WordPress.

Просмотр логов (истории) работы all in one wp security

По понятным причинам у меня на сайте этот раздел так же пуст.

Прежде чем переходить к вопросу настроек плагина, я бы хотел обратить ваше внимание на то, что темы, которые вы берете на сторонних ресурсах в сети интернет иногда содержат ссылки в footer (подвал) сайта. Иногда этоо ссылка на разработчика темы wordpress, а иногда там может быть рекламная ссылка, если вы не хотите, чтобы она там находилась вы можете заменить её на какую-то другую. Как это сделать описывается в статье: Как избавиться от ссылки в footer.

Кстати, я просматривал карту сайта и нашел ещё одну статью по теме: защита сайта на wordpress от взлома. Она имеет некоторое отношение к этой статье, поэтому, если у вас будет свободное время, можете прочитать и её: Сайт под защитой или безопасность wordpress.

Настройки wp securite плагин

Общие настройки All In One WP Security

Удобство работы с настройками заключается в том, что если вы кликаете по той или иной ссылке она переносит вас в определенный раздел плагина, помогая включить или отключить ту или иную функцию.

На этой вкладке располагается 4 основных раздела:

  • Плагин WP Securite, который предлагает вам сделать резервные копии важных файлов (если у вас есть контент на сайте, настоятельно рекомендую ими воспользоваться). Кстати, настоятельно рекомендовал бы воспользоваться данными настройками для тех, кто только только установил CMS WordPress и не начал наполнять сайт контентом.
  • Отключение функции безопастности – не знаю насколько для вас важны другие плагины на сайте, но я бы их отключил, так как с моей точки зрения защита сайта wordpress гораздо важнее какого-то плагина. В конце концов, всегда можно будет решить эту проблему с помощью стороннего решения – другого плагина, не вступающего в конфликт с wp securite плагин или прописать изменения в коде сайта.
  • Отключение файервола – так же не рекомендовал бы отключать эту функцию.
  • Отладка плагина – этот параметр позволяет включить/отключить отладку для данных плагина. Примечание: отладочные файлы журналов находятся в папке “plugins/all-in-one-wp-security-and-firewall/logs”.

Файл «.htaccess»

Это очень важный элемент вашего сайта, так что так же рекомендую сделать его резервную копию и сохранить в безопасное место.

“Файл «.htaccess» – это ключевой компонент обеспечения безопасности сайта, который позволяет в значительной степени варьировать механизмы его защиты.
В этом разделе Вы можете создать резервную копию файла .htaccess и, при необходимости, восстановить его из резервной копии в будущем”.

Файл wp-config.php

Все, кто хоть раз самостоятельно устанавливался CMS WordPress прекрасно знают как важен этот файл. Да, сейчас большинство хостингов предлагает вам установить wordpress в пару кликов мышкой. Но лично мне нравится делать это вручную.

Так что – обязательно:

“Файл wp-config.php – это один из наиболее важных файлов WordPress, содержащий данные доступа к Вашей базе данных и другие очень ценные настройки.
В этом разделе Вы можете создать резервную копию этого файла и, при необходимости, восстановить его в будущем, используя эту резервную копию”.

Версия WordPress

Очень важная вкладка, настоятельно рекомендую обратить на неё пристальное внимание.

Как пишет сам разработчик плагина all in one wp security:

“WP Generator автоматически выводит информацию о текущей весии WordPress в специальном мета-теге в секции «head» на всех страницах сайта. Вот пример такого вывода:

Эта информация существенно помогает хакерам и их роботам-паукам определять, не используете ли Вы какую-нибудь устаревшую версию WordPress с уже известными уязвимостями”.

Есть и другие способы вордпресс показывает информацию о версии, такие как в стиле и загрузки скриптов. Примером этого является:

Импорт/Экспорт Настроек all in one wp security

Используется только в том случае, если вы хотите импортировать или экспортировать настройки. Ну это понятно.

Раздел Администраторы и защита сайта wordpress

Пользовательское имя WP

Разумеется очень важный раздел, хотя сейчас современные хостинги на момент установки CMS WordPress уже не предлагают стандартный логин “admin”, а дают ник администратора составленный из случайных символов, но обычно он все равно коротенький, как впрочем, и пароль к нему.

Описание в этой вкладке реально соответствует действительности, так что настоятельно рекомендую прислушаться к этой рекомендации:

“При установке WordPress автоматически присваивает администратору имя пользователя «admin» (если Вы вручную не измените его).
Многие хакеры пытаются воспользоваться этой информацией, применяя для нападения «Брутфорс-атаку», когда они систематично подбирают пароль, используя слово «admin» в качестве имени пользователя.
По соображениям безопасности, одна из первых и наиболее разумных вещей, которую Вы должны сделать на своем сайте, это изменить имя пользователя «admin», установленное по умолчанию.

Этот раздел предназначен для изменения имени пользователя «admin» на более безопасное, по Вашему выбору”.

Отображаемое имя

Вот на этом разделе я бы хотел остановится и задержаться. Ни для кого не секрет, что у пользователя WordPress есть логин и отображаемое имя, собственно то, которое появляется если вы создаете запись или оставляете комментарий на сайте.

Так вот, для тех кто не в курсе, сообщаю – узнать логин пользователя на сайте довольно таки не сложно, достаточно кликнуть по НИКу, чтобы в строке браузера отобразился как раз его логин, с помощью которого он заходит на сайт.

Как сделать так, чтобы злоумышленник его не узнал?

  • Во-первых, создать еще одного пользователя у которого будут права автора, то есть он сможет публиковать на сайте какую-то информацию и изменять посты. Но при этом доступ к аккаунту администратора сайта известен только вам.
  • Во-вторых, воспользуйтесь сервисом граватар и пропишите в настройках логин который будет являться, например, ссылкой на сторонний сайт. В данном случае злоумышленник кликая на НИК будет переходить по ссылке на сторонний сайт.

Проверка пароля

С этим разделом все то же предельно понятно – вводите пароль и смотрите какой вы молодец, что придумали сложный пароль, который домашний компьютер будет ломать 5-12-26 лет ��

Авторизация и защита сайта wordpress

Этот раздел довольно тки важная составляющая вашего сайта. Здесь нужно быть очень осторожным кликая на разные галочки, так как неверный шаг в право или в лево приведет к тому, что вы потеряете контроль над собственным сайтом wordpress.

Настройки опций блокировки процесса авторизации

Выставляйте свои настройки по максимуму, но помните, если вы зайдете с другого IP адреса и по каким-то причинам не сможете корректно ввести логин и пароль, то защита сайта на wordpress от взлома моментально заблокирует ваш IP адрес, с которого была осуществлена попытка входа.

Ошибочные попытки авторизации

В этом разделе появятся данные о неудачных попытках авторизации. На скриншоте понятно дело ни чего пока нет, но если вы смените login wordpress, они у вас моментально появятся.

Автоматическое разлогинивание пользователей

Защита сайта wordpress подразумевает тот факт, что вы, к примеру, можете находится где-то не дома, а в интернет-кафе или в гостях. Интересно то, что они ещё существуют. Зашли на свой блог, поработали на нем и забыли закрыть вкладку – вас отвлекли. Эта настройка позволяет выйти из профиля администратора.

Если вы постоянно работаете из дома ли офиса и к вашему PC или Mac ни у кого нет доступа, то эта настройка вам не особо то и нужна. Почему? Ну, к примеру, вы пишите какой-то длинный пост с картинками (вы их не загрузили в библиотеку файлов) и не обновили страницу перед сохранением, очень может быт, что ваша запись не сохранится. Или сохранится как черновик, но в нём не будет хватать каких-то важных мыслей, которые вы уже позабыли.

Журнал активности аккаунта

По сути, этот раздел нужен, чтобы отслеживать деятельность на сайте wordpress.

Активные сессии wp securite плагина

Полезный раздел, в который нужно время от времени заходить и смотреть нет ли среди пользователей сайта wordpress тех, кто потенциально может принести ему вред.

Регистрация пользователя

Про этот раздел хотелось бы поговорить отдельно в свети последних событий, а именно некоторых изменений, которые коснуться блогеров весьма активно. Я про новые правила от Роскомнадзора от 1 июля 2020 и защите персональных данных.

Подтверждение в ручную

В этом разделе все предельно понятно, инструкция по нему на русском языке:

“Если Ваш сайт позволяет людям самим создавать свои аккаунты через регистрационную форму WordPress, тогда можете свести количество СПАМ и левых регистраций до минимума, подтверждая каждую регистрацию вручную.
Данная функция автоматически помечает аккаунты новых регистраций как “pending/в ожидании” пока администратор их не активирует. В этом случае нежеланные зарегистрировавшиеся не могут логиниться не имея Вашего подтверждения.
Все недавно зарегистрированные аккаунты Вы можете увидеть в удобной таблице внизу, и также там можно одновременно выполнить активацию, деактивацию или удаление нескольких аккаунтов”.

Активировать CAPTCHA на странице регистрации

“Данная функция позволяет Вам добавить поле CAPTCHA на странице регистрации WordPress.
Кроме того, пользователи, которые пытаются зарегистрироваться, должны ответить на простой математический вопрос. Если ответ неверный, плагин ие даст им зарегистрироваться.
Поэтому, добавление формы CAPTCHA на странице регистрации – еще один эффективный способ защиты от СПАМ-регистраций”.

На своем сайте Бесплатные темы и плагины wordpress, я отключил возможность регистрироваться пользователям. Вводить свои контактные данные (имя и email), которые, с точки зрения Роскомнадзора, являются персональными данными пользователя. Любой посетитель сайта может оставить комментарий на сайте, но – он должен соответствовать моим понятиям об адекватности иначе он будет отправлен в папку “SPAM”, где ему и место.

Защита wordpress плагин Honeypot

Чрезвычайно полезная штука, я считаю. Основной её смысл в том, что роботу, который пытается зарегистрироваться у вас на сайте предлагается заполнить скрытые от обычных пользователей поля.

Защита базы данных

Перфикс таблицы Базы Данных

“Ваша база данных – это наиболее ценная часть Вашего сайта, так как в ней находится весь контент и настройки.

База данных также является мишенью для хакеров, пытающихся получить контроль над определенными таблицами методом SQL-инъекций и внедрением вредоносного кода.

Одним из способов усилить защиту от таких атак является изменение префикса таблиц базы данных с устанавливаемого по умолчанию («wp_») на какой-нибудь другой, который было бы тяжело угадать.

Эти опции позволяют легко изменить префикс БД на любое введенное Вами значение или на сгенерированное плагином.”

Резервное копирование Базы Данных

Защита файловой системы с помощью wp securite плагин

Доступ к файлам

Здесь, я думаю, все понятно – система указывает вам о каких именно папках нужно позаботиться на вашем сервере, чтобы их защитить от несанкционированного доступа.

Редактирование файлов PHP

Вот здесь, кстати сказать, нужно подумать прежде чем включать данную настройку. Я, к примеру, часто редактирую файлы на сайте через “Редактор”, мне так удобнее.

Доступ к файлом WP

Настоятельно рекомендую включить данную функцию на своем сайте, так как это добавит дополнительную защиту сайта wordpress.

Системные журналы

Думаю, что как-то комментировать этот раздел смысла нет, в нём итак все понятно:

“Ваш сервер периодически может публиковать отчеты об ошибках в специальных файлах, которые называются «error_log».
В зависимости от характера и причин ошибки, Ваш сервер может создать несколько файлов журналов в различных каталогах Вашей установки WordPress.
Просматривая время от времени эти журналы, Вы будете в курсе любых основных проблем на Вашем сайте и сможете воспользоваться этой информацией для их решения”.

WHOIS-поиск

Зачем эту штуку сюда впихнули, решительно не понял. Но она полезная однозначно.

Черный список

Ну что тут сказать? В принципе к описанию этой функции в самом плагине All In One WP Security и добавить особо не чего..

“Функция «Черный список» позволяет блокировать определенные IP-адреса, диапазоны и юзер-агенты, отказывая в доступе к сайту тем пользователям и ботам, которые использовали эти IP-адреса для спама или по другим причинам.

Данная функция реализуется добавлением в файл .htaccess определенных правил.
Блокируя пользователей с помощью директив файла .htaccess, Вы получаете первую линию обороны, которая отбросит нежелательных посетителей сразу же, как только они попытаются создать запрос к Вашему серверу”.

Файрволл и защита сайта wordpress

Базовые правила файрволла

Здесь настоятельно рекомендую не бездумно ставить галочки везде не читая информацию под ними, а поставить их лишь на первую. Хотя, возможно, вы решите, что этого не достаточно и нужно отметить все позиции.

Дополнительные функции брандмауэра

Вот в этом разделе будьте, пожалуйста очень внимательны, так как это может отразится не желательно на всем вашем сайте. Прочитайте каждый пункт меню и решите для себя нужно ли это вам или нет.

6G Blacklist

По сути, это тонкая настройка. Я ей ни когда не пользовался и ни чего не могу о ней сказать. Так что, включайте её на свой страх и риск.

Интернет-боты

Полезная в принципе настройка и я бы её отметил, так как мой сайт особо на Google не ориентирован ��

Предотвратить хотлинки на изображения

“Хотлинк – когда кто-то на своем сайте показывает изображение, которое, на самом деле, находится на Вашем сайте, используя прямую ссылку на исходник изображения на Вашем сервере.

Так как изображение, которое показывается на чужом сайте, предоставляется с Вашего сайта, для Вас это может привести к потерям скорости и ресурсов, потому что Вашему серверу приходится передавать эту картину людям, которые видят ее на чужом сайте.

Данная функция предотвращает прямые хотлинки на изображения с Ваших страниц, добавив несколько инструкций в Ваш файл .htaccess”.

Полезная функция – я бы включил в обязательном порядке.

Настройки отслеживания ошибок 404

Ни когда не сталкивался с подобными вещами, но почему бы и не включить и время от времени не проверять состояние этого раздела.

Custom .htaccess Rules Settings

В данной вкладке вы можете внести свои собственные изменения в .htaccess (если не знаете как и зачем их делать 6лучше не пользуйтесь этой настройкой).

Защита от брутфорс-атак all in one wp security

Переименовать страницу логина

Очень полезная вкладка. Настоятельно рекомендую с ней ознакомится. Но перед тем как совершать какие бы то ни было действия, прочитайте комментарии к каждому пункту.

“Эффективная мера защиты от перебора паролей – изменение адреса страницы логина.

Обычно, для того, чтобы логиниться в WordPress, Вы набираете базовый адрес сайта, и затем wp-login.php (или wp-admin).

С этой функцией Вы сможете изменить адрес страницы логина, указав собственный адрес, изменив последнюю часть адреса (URL) страницы, которая обычно пишется wp-login.php на что угодно.

Если сделать так, тогда злонамеренные роботы и хакеры не смогут найти Вашу страницу логина, т.к. не будут знать ее верный адрес”.

Настройки Файрволла для защиты от Брутфорс-атак

“Брутфорс-атакой называется многократный перебор различных сочетаний имен пользователей и паролей, до тех пор, пока не будет найдена их правильная комбинация.
В связи с тем, что в любой момент времени может происходить большое количество попыток входа на Ваш сайт, осуществляемых с помощью вредоносных программ-роботов, это также оказывает негативное влияние на Ваш сервер, так как отнимает ресурсы памяти и снижает его производительность.
Функции в этой вкладке остановят большинство брутфорс-атак на уровне файла .htaccess, обеспечивая тем самым усиленную защиту Вашей страницы авторизации и снижая нагрузку на сервер, так как система при этом не запускает PHP код для обработки попыток входа в систему”.

ОСОБОЕ ВНИМАНИЕ!

“Перед включением этой опции необходимо протестировать куки, чтобы убедиться в корректной обработке куки-файлов Вашим браузером и, тем самым, избежать блокировки Вашего собственного аккаунта”.

CAPTCHA на страницу с вводом логина

Если уж заботиться о безопастности сайта, то по полной программе ��

Белый список для логина

Тот случай, когда вы ведете свой сайт/блог/интернет магазин из разных мест и с разных компьютеров. Не поленитесь заполните данные.

Бочка с медом

Старая добрая бочка с медом или защита защита сайта wordpress от вирусов, мы уже сталкивались ранее с этой функцией выше. Поэтому, я думаю, особых проблем с ней возникнуть не должно.

Защита от SPAM в All In One WP Security

Спам в комментариях

Как я уже говорил выше, то на своем сайте я комментарии несколько изменил, поэтому данная настройка мне, как бы без надобности. Но, возможно, тем кто не слышал про Роскомнадзор она пойдет на пользу – так что – включаем ��

Отслеживание IP-адресов по спаму в комментариях

Здесь рассказывать особо не чего, думаю по названию вкладки и так все понятно.

CAPTCHA в BuddyPress

Если на сайте есть плагин BuddyPress и вы его используете – активируйте. Пригодится.

Сканер All In One WP Security

Отслеживание изменений в файлах

Обязательно отметьте этот пункт для себя.

Сканирование от вредоносных программ

Помните про то, что необходима защита сайта wordpress от вирусов? Отлично, вот в этом разделе вы её и сможете получить. Но! За деньги. Такие дела..

Режим обслуживания сайта на wordpress

Собственно, ни чего интересного в этом разделе нет. Есть масса плагинов, которые позволяют поставить заглушку на ваш сайт. Как-то давненько я отдельно публиковал пост на эту тему. Можете с ним ознакомиться по ссылке: Заглушка сайта – плагин на wordpress на русском языке

Разное

Защита от копирования

В принципе полезная функция, а то воруют контент со страшной силой с сайта, приходится потом по сайтам ходить, комментарии злобные писать..

Фреймы

Users Enumeration

Ну, почему бы и не отметить этот пункт – лишним не будет.

Итоги настроек all in one wp security на тестовом сайте:

По-моему, вышло весьма не плохо. Будут вопросы – пишите в комментариях ��

Необходимая защита WordPress сайта (блога)

Приветствую Вас, уважаемые посетители и мои постоянные читатели! Итак, защита WordPress! Многие новички просто забивают на мероприятия по защите WordPress сайта от взлома, думая что их скромный ресурс, не интересен злоумышленникам. Уже сколько раз такое замечал.

Я Вам говорю — угроза взлома может коснуться любого сайта. и чем хуже защищен ресурс, тем проще, быстрее, вероятнее его взломают. последствия бывают страшными =]

Прочитайте так же:

Как Вы могли догадаться тема этой статьи — необходимая защита wordpress и я Вам настоятельно рекомендую не забивать на безопасность Вашего сайта, а сделать все как я говорю.
Вордпресс является хорошо защищенной системой. Но любая система, какой бы защищенной она не была, имеет свои уязвимые места. Разработчики конечно регулярно обновляют систему безопасности, но хакеры тоже не бездействуют.

Поэтому, чтобы защитить свой сайт или блог от взлома, вам нужно провести некоторые мероприятия, о которых поговорим ниже.

Конечно 100% гарантии безопасности сайта от взлома нет и никогда не будет, но это не означает что надо опускать руки. Один раз все установили, настроили и можете спать спокойно! Во всяком случае если Вас и взломают, то настоящий профи, а не новичок недоучка

Кстати, я не забыл и о ежемесячном конкурсе комментаторов и сейчас быстренько подведем итоги!

Хотите поучаствовать тоже в моих конкурсах?! Без проблем, Вам сюда.

Сердечно поздравляю участников с победой, готовьте Ваши кошельки =) Буду переводить деньги 10 числа, а мы пока вернемся к теме статьи.

Какие сайты и блоги чаще взламывают?
Многие начинающие вебмастеры думают, что если у них новый сайт, который ещё не раскручен и имеет маленькую или вообще нулевую посещаемость, то вряд ли хакеры захотят заниматься его взломом. Ведь для них намного интереснее взламывать уже раскрученные сайты, хорошо наполненные контентом, которые занимают первые места в топе поисковиков.

На самом деле ситуация выглядит не совсем так. Под угрозой находятся абсолютно все сайты. Большинство злоумышленников — обычные любители, которые хотят понять, как взломать сайт, и только учатся это делать. Поэтому они могут тренироваться на молодых и особо — на незащищенных веб-ресурсах.

Самый простой и популярный способ взлома — это метод подбора логина и пароля для входа в админпанель.

Защита WordPress сайта

1. У многих новичков логин для входа в панель — «admin», а пароль может быть легким и состоять из одних цифр. Адрес панели управления сайтом стандартный — «сайт.ru/wp-admin». Этой ситуацией и пользуются взломщики. Поэтому первым делом нужно изменить эти данные, чем мы сейчас и займемся.

После того, как вы установите WordPress на ваш хостинг, вам обязательно нужно изменить логин для входа в административную панель, который по умолчанию «admin». В своей админке вы его изменить не сможете.

Для изменения логина, вам нужно зайти в панель управления хостингом, перейти в «Mysql», а там найти вкладку «Php My Admin» и открыть её. С левой стороны кликнете по базе данных, после чего перед вами откроется перечень таблиц, в котором нужно выбрать «wp_users». На панели, находящейся вверху экрана, должна появиться вкладка «Обзор». Далее выбираем «Изменить» в пункте «админ» и меняем старый логин на новый, после чего нажимаем «Ок». Запишите его куда нибудь, только не храните логины и пароли в компьютере.

Теперь создадим сложный пароль для входа в административную панель WordPress и чем он длиннее и разнообразнее (буквы, цифры, знаки, черточки), тем лучше =)
Чтобы осуществить смену пароля, вам нужно зайти в административную панель Вордпресс. Слева выбрать пункт «Пользователи» и кликнуть по нему. Из предложенного списка выбрать «Ваш профиль». Перед вами откроется новое окно. Опустившись в самый низ меню, вы увидите строку для изменения пароля. Дважды введите новый пароль и нажмите на кнопку «Обновить профиль», которая расположена в самом низу слева.

Еще Вам стоит придумать надежный пароль для входа в вашу базу данных и панель управления на хостинге. Все четко! Идем дальше.

Скачайте плагин защиты wordpress «Rename wp-login.php» — он нужен для того, чтобы поменять стандартный путь админки, вида «сайт.ru/wp-admin» на какой захотите — чем сложнее, тем лучше =)

Топ-пост этого месяца:  Вывод заголовка и контента после списка страниц блога

После установки плагина, перейдите в Настройки Постоянные ссылки и придумайте путь до админки. Посмотрите скрин!

Кстати, как то раз я тестировал один плагин и выслал данные входа на мой блог разработчику — Его реакция меня порадовала

2. Удалите все ненужные файлы с хостинга. Например в движке Вордпресс можно удалить license.txt и readme.html. Никакой пользы нам от этих файлов нет, а вот взломщику пригодятся.

Так же, удалите не используемые плагины! В будущей статье опубликую список плагинов которые использую я, подпишитесь на мой блог если Вам интересно.

Удаляем информационный мусор, который может сообщить злоумышленникам Вашу версию Вордпресс и прочие радости. Идите в свою админпанель «Внешний вид» «Редактор» Функции темы и пропишите такие команды:

Возможно у кого то не попрет, темы разные и все индивидуально! Если не получается, наймите фриланса, например на https://www.fl.ru.

3. Не забывайте обновлять действующие плагины и версию Вордпресс. Об их обновлении к вам придет уведомление. Если конечно не отключали данную функцию.

Боязнь обновления! Есть такая тема правда?! Я не понимаю чего тут страшного? Сделали резервную копию, обновились! Если все окей, то замечательно. Если нет откатились назад и попросили спеца разобраться, в чем может быть дело.

Запомните! Обновление — это главная защита wordpress движка!

4. Установите лицензионный антивирус на Ваш ПК! Работа в интернете невозможна без хорошей защиты от вирусов. А это еще один способ получить доступ к Вашей информации.

Какой устанавливать решать Вам, выбор довольно большой. Лично я использую AVG и меня все устраивает! Помните как я боролся с вирусом URL:Mal, который сынуля подхватил? Вот после этого случая поставил AVG и почти год радуюсь безопасности =)

5. Резервное копирование сайта и баз данных. Это САМАЯ ВАЖНАЯ защита WordPress. В жизни бывает всякое правда?! Полиция конфисковала жесткие диски у хостера, где лежит Ваш сайт например или любая другая неприятность. Да мало ли что может быть!

Всегда нужно иметь полную копию сайта, которую в случае непредвиденных моментов — можно восстановить! Резервное копирование можно осуществить с помощью специальных плагинов (например, Database backup, Online Backup, BackWPup) или сервисов (VaultPress, WP Remote), а можно самостоятельно с Php MyAdmin.

Об этом у меня написана целая статья, прочитайте.

6. Выделенный IP адрес — хороший способ защититься от подозрительных, под фильтрами, зараженных соседских сайтов. Ходят слухи что выделенный IP улучшает ранжирование сайта, но это только не обоснованные догадки. Представьте себе, у меня и на эту тему есть целый пост, читайте!

Популярные плагины защиты WordPress

Сегодня есть масса плагинов, которые помогут обезопасить Ваш сайт. Например, плагин Anti-XSS attack, установленный на вашем сайте, поможет предотвратить попытки взломать его.

А благодаря модулю Login LockDown или Limit Login Attempts попытки зайти в административную панель, набрав более трёх раз неправильно пароль, будут блокированы.

  • Wordfence Security — лучший плагин поиска вирусов и других сторонних вмешательств в Ваш блог. Периодически включаю, проверяю и выключаю!
  • Invisible Captcha — Лучшая защита от СПАМА, которая совсем не напрягает реальных посетителей! Почему? Потому что ее не видно и не нужно вводить всякую хрень. За целый год ведения блога, плагин показал себя просто отлично.
  • Login LockDown — Защита wordpress админки! Плагин ограничивает количество попыток ввести логин или пароль, что практически сводит к нулю взломать вордпресс методом перебора!
  • Rename wp-login.php (unmaintained) — Как я уже писал выше, плагин меняет стандартный адрес на вход в админпанель.
  • WordPress Database Backup — Плагин который ежедневно мне высылает на почту резервную копию базы данных.
  • Yoast SEO — Про этот плагин слышали многие, он универсальный и имеет множество настроек. Помимо SEO, есть и настройки, которые повышают уровень безопасности сайта.

Чтобы установить эти плагины, зайдите в свою административную панель, в пункт «плагины», нажмите на кнопку «Добавить новый» и в строку поиска скопируйте названия плагина, который вы желаете скачать.

После того, как система предложит вам список, выберите нужный и нажмите «загрузить». Далее произойдет активация плагина, и он будет готов к работе.

Админ спрячь свой логин!

Существует много способов узнать логин администратора и использовать его во вред, мне известно лишь два из них. Первый способ это просмотреть код комментария автора и второй с помощью команды — http://Ваш_домен.ru?author=1 .

Наша задача исправить ситуацию и скрыть реальный логин! Давайте с Вами этим и займемся! Совсем запутаем взломщика =)

Меняем настоящий логин админа коммента на вымышленный, надо записать команду в functions.php:

/* Подмена логина в комментариях */
function del_login_css($css) $class) <
if(strstr($class, «comment-author-впишите_действующий_логин»)) <
$css[$key] = ‘comment-author-впишите_вымышленный_логин’; > >
return $css; >
add_filter(‘comment_class’, ‘del_login_css’);

Чтобы не показывать свой логин при команде http://Ваш_домен.ru?author=1 , нужно настроить переадресацию на главную страницу.

Берем такую строчку:

RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru

и помещаем ее сразу после:

В файле .htaccess, который лежит в корневой директории на хостинге. Если его там нет, то создайте, вот Вам стандартный образец.

Заключение

После всех этих несложных манипуляций у вас будет стоять надежная защита wordpress. Все мои советы и рекомендации «основа» которая должна быть на каждом сайте.

Но если Вам все равно кажется что Ваш ресурс не достаточно защищен и Вы плохо спите по ночам, обратитесь за помощью к соответствующему специалисту =) А если не хватает денег на спеца, то хочу порекомендовать курс, благодаря которому, Вы и сами все легко настроите. Если честно, по защите сайтов и блогов на WordPress, я еще не встречал такой информации в Рунете. Смотрите сами.

А я закругляюсь! Пишите свои комментарии к статье, задавайте интересующие вопросы, всегда буду рад на них ответить. До встречи!

5 лучших плагинов для настройки безопасности и защиты вашего сайта на WordPress

WordPress является популярной CMS, которую легко использовать. Вот почему множество новичков выбирают WordPress для создания динамичных веб-сайтов. Но они сталкиваются с трудностями выбора системы безопасности. Поскольку WordPress переполнен разнообразными решениями по её обеспечению.

Знание современных и актуальных систем безопасности может помочь людям спасти свои веб-сайты от взлома, но не все новички хотят углубляться в код. Да, мы имеем в виду энтузиастов и новичков, которые хотят обезопасить свой веб-сайт, не используя код.

В этой статье мы постараемся помочь вам защитить ваш веб-сайт, вне зависимости от ваших знаний кода WordPress.

Итак, давайте поговорим о безопасности в WordPress для новичков.

Безопасность WordPress для новичков

Если вы хотите усилить безопасность вашего WordPress сайта, не используя код, или если вы хотите, чтобы кто-то позаботился о системе безопасности за вас, то эта статья для вас. Тут вы найдёте для этого бесплатные и премиум инструменты.

Как оказалось, для безопасности WordPress существует масса приложений. Вы найдёте более 1000 вариантов, если просто введёте в поиск по WordPress плагинам слово «безопасность». Но появляется проблема выбора. На какой плагин можно положиться? Мы используем несколько плагинов уже более 5 лет и расскажем о некоторых из них.

Плагины, которые мы перечислим, входят в список наиболее популярных на WordPress на сегодняшний день. Вы не пожалеете, если выберете один из них.

1. iThemes Security

Начнём мы наш список с iThemes Security потому, что его используют на более 700,000 сайтах.

Крис Вигман создал этот плагин, который впоследствии купили iThemes. Мы говорим это по двум причинам:

  1. Крис является потрясающим разработчиком, и мы доверяем его работе
  2. iThemes – это одна из сильнейших компаний WordPress, все её плагины обновляются довольно часто и имеют отличную техническую поддержку.

На данный момент — это наилучший плагин безопасности. Он возглавляет список с 700,000 активными установками. Он предлагает более 30 способов защиты вашего веб-сайта WordPress.

После установки просто дайте плагину сделать свою работу. Он выполняет функции поиска, удаления и защиты в дальнейшем от вредоносных программ. Этот плагин могут легко настроить под свои нужды как новички, так и опытные пользователи.

iThemes Security защищает от большинства угроз. Он блокирует вредоносные аккаунты, проверяет изменения в базовых файлах, сохраняет надёжные пароли, скрывает логин и админ страницу, и многое другое.

Премиум версия имеет несколько дополнительных опций и стоит от $80 за год защиты для двух сайтов.

2. Sucuri

Sucuri на рынке премиум плагинов WordPress имеет репутацию престижного плагина. Разработчики проделали отличную работу, следуя новейшим течениям в сфере безопасности, чем обезопасили тысячи веб-сайтов WordPress.

Для WordPress у Sucuri есть бесплатный плагин для аудита, сканера вредоносных программ и повышения уровня безопасности вашего сайта. Но премиум версия стоит каждой своей копейки. Цена в месяц начинается от $16,66. Если вы профессионал и хотите найти лучший плагин для обеспечения безопасности вашего сайта, то обязательно обратите внимание на Sucuri.

Sucuri предоставляет полный цикл для отслеживания и предотвращения нападения и взлома вашего веб-сайта. В него входят WAF брандмауэр, антивирус и служба удаления вредоносных программ. По любым вопросам вы всегда можете обратиться в службу поддержки.

Помимо обнаружения вредоносных программ и защиты вашего сайта, Sucuri работает и с взломами. Предположим, что ваш сайт взломали. Плагин удалит вредоносное программное обеспечение в течение 12 часов, а также пришлёт вам уведомление о любом вредоносном действии.

Sucuri также предлагает такие функции как регулярные бэкапы, защита и сканирование в реальном времени, сертификаты SSL, защита от DDoS атак, идентификация DNS и изменения WHOIS, и многое другие.

3. VaultPress

Регулярное создание резервных копий тоже принадлежит к числу мер для обеспечения безопасности сайта. За разумную цену VaultPress обеспечивает своих клиентов созданием бэкапов и работой системы безопасности. В набор функций входят также регулярное сканирование сайта, автоматические бэкапы, техническая поддержка.

Мы начали использовать этот плагин, как только он вышел. Команда поддержки помогла нам отследить и решить несколько проблем с безопасностью некоторых сторонних плагинов. Мы можем без сомнений порекомендовать этот плагин для создания резервных копий и сканирования системы.

Если сайт таки удалось взломать, то VaultPress очень быстро возвращает вам контроль над веб-сайтом.

4. Wordfence Security

Wordfence Security – это ещё один плагин для настройки безопасности, который доступен как в платной, так и в бесплатной версии. Его используют более миллиона веб-сайтов. Его мощный Web Application Firewall с Threat Defense Feed защитит ваш веб-сайт от взлома. Обе эти функции блокируют угрозы, к примеру, поддельные Google Bots, Botnets и так далее.

Плагин имеет надежный механизм сканирования, который уведомляет вас о всех подозрительных действиях. Он отслеживает не только вредоносное программное обеспечение, но и любые изменения в файлах, внедрение кода, попытки входа в систему и прочее.

Wordfence Security предлагает уникальную функцию Live Traffic View, которая показывает статистику вашего веб-сайта в режиме реального времени. Это значит, что вы успеете принять своевременные меры при попытках взлома вашего сайта.

Плагин содержит Falcon Engine, который обеспечивает быстрый процесс кэширования. Также наравне с функциями управления кэшем существуют 2 режима кэширования, и это возможность очистить кэш и отслеживание использования кэша.

Чтобы получить расширенный список функций, нужно установить премиум версию .

5. All In One WP Security & Firewall

All In One WP Security & Firewall – это уникальный плагин, который очень нравится пользователям. Его легко настроить, а потом просто наслаждаться защищённостью своего сайта. На данный момент у него более 400,000 установок на сайты, что ставит его в один ряд с iThemes Security.

С интуитивно понятным набором функций вы можете вывести безопасность вашего сайта на новый уровень. Интересной особенностью является система оценки безопасности, которая варьируется от 0 до 470. Так вы поймёте, какой веб-компонент нуждается в дополнительной защите. Вся информация отображается в консоли.

Для избежания поломки сайта All In One WP Security & Firewall работает в 3 режимах: базовый, средний и расширенный. Для начала вы можете выбрать базовый режим, а потом перейти на следующие.

В набор функций этого плагина входят также запрет на прямые ссылки изображений, защита от атак, управление префиксом базы данных, защита с помощью брандмауэра, блокировка IP адресов и многое другое.

Итоги

Всегда необходимо заботиться о безопасности своего веб-сайта. Это ставит вас в более выгодное положение в сравнении с теми, кто решил игнорировать этот вопрос. Существует ещё несколько достойных плагинов помимо тех, которые мы уже назвали. Но мы выносим такой вердикт:

  • Лучший бесплатный плагин — iThemes Security
  • Лучший премиум плагин — Sucuri

А какие плагины для настройки безопасности используете вы? Расскажите нам в комментариях!

Насколько полезным был этот пост?

Нажмите на звезду, чтобы оценить этот пост!

Средний рейтинг: 5 / 5. Количество голосов: 3

Базовая защита WordPress от вирусов и взлома

CMS WordPress является хорошо защищенной системой, но в любой системе можно найти уязвимые места. Разработчики WordPress стараются сделать защиту CMS более надежной с каждым новым выпуском, но злоумышленники также не сидят сложа руки. Поэтому, для защиты своего сайта от взлома, вирусов и атак вам придется принимать некоторые меры самостоятельно.

Я могу дать несколько практических советов по защите WordPress, которые помогут вам защитить WordPress сайт от базовых угроз, вирусов и атак.

Основные меры по защите WordPress

Защитить WordPress от базовых угроз не сложно, для этого достаточно предпринять некоторые меры. Для того, чтобы упростить поставленный задачи, я рекомендую воспользоваться плагином «Better WP Security».

После установки и активации плагина на WordPress, пройдите в админку сайта на страницу настроек «Better WP Security», и создайте резервную копию базы данных, на всякий случай.

Затем, для того чтобы позволить плагину производить изменения в файлах вашего сайта и движка, вы должны дать разрешение, нажатием на соответствующую кнопку.

На следующей станице, для того чтобы защитить сайт от базовых атак, необходимо включить эту опцию нажатием на соответствующую кнопку.

Но то еще не все. После того как вы выполните первые требования плагина, перед вами откроется таблица, в которой будут указаны все потенциальные точки уязвимости вашего сайта. Для защиты вашего WordPress сайта необходимо исправить все недочеты в защите.

Устранение уязвимостей WordPress

Перед вами откроется примерно следующая таблица уязвимостей, в которой красным цветом подсвечены критические уязвимости, а желтым и синим подсвечены не критические уязвимости, но их также нужно устранять.

Для примера, я взял стандартный незащищенный блог на WordPress. Давайте вместе устраним все известные нам уязвимости в WordPress.

1. Проверка сложности пароля для всех пользователей

Для того чтобы обеспечить сложными паролями всех пользователей, нужно исправить первую уязвимость. Пройдите по ссылке «Нажмите, чтобы исправить» и на открывшейся странице выберите пункт как на рисунке снизу «Strong Password Role — Subscriber». Тем самым, пароли всех ваших пользователей будут проходить проверку сложности.

2. Убираем дополнительную информацию из заголовка WordPress

WordPress по умолчанию публикует в заголовке сайта много дополнительной информации, которой могут воспользоваться злоумышленники. Для удаления подобной информации поставьте галочку в соответствующем поле. Но будьте внимательны, это действие может повлечь за собой неработоспособность некоторых приложений и сервисов, которые каким либо образом обращаются к вашему блогу через протокол XML-RPC.

3. Скрываем обновления от не администраторов

Третий пункт у нас в порядке, если у вас не так, то рекомендую вам скрыть доступные обновления от не администраторов. Вашим пользователям эта информация все равно будет бесполезной, а вот злоумышленники могут ею воспользоваться.

4. Поменять логин администратора

Аккаунт администратора WordPress по умолчанию имеет логин admin, и об этом все знают. Поэтому ваш сайт взломать проще. Для того чтобы усложнить взлом сайта, рекомендую переименовать ваш администраторский аккаунт. Для этого перейдите по ссылке «Кликните здесь, чтобы переименовать администратора» и введите новое имя администратора в соответствующее поле.

5. Поменяйте ID администратора

Аккаунту администратора по умолчанию присваивается и >

6. Поменять префикс таблиц базы данных WordPress

По умочанию таблицы базы данных WordPress имеют префикс wp_. Рекомендуется поменять префикс на любой другой. Даже если ваша база данных уже наполнена информацией, то плагин better wp security поменяет префикс таблиц вашей базы без потери данных. Рекомендовано перед этим действием сделать резервную копию базы данных, что мы и сделали в самом начале.

7. Спланируйте создание резервных копий

Для регулярного создания резервной копии вашей базы данных, задайте некоторые условия и введите ваш e-mail, куда будут отправляться копии базы данных. Тем самым вы в любое время сможете восстановить базу данных из копии, при необходимости.

8. Запретить доступ к админке в определенное время

Этот параметр не является критическим, но, все же, если вы переживаете за безопасность вашего WordPress сайта, то пожалуй стоит запретить хаотичный доступ к админке, и разрешить доступ только в определенное время, например в то время, когда вы собираетесь работать с сайтом.

9. Заблокируйте подозрительные хосты

Если вы знаете IP адреса подозрительных хостов, с которых может быть произведена атака на ваш сайт, то занесите эти IP адреса в бан лист, и доступ к сайту с этих IP будет закрыт.

10. Защитить логин от перебора

По умолчанию плагин защищает логин от перебора и после 3-х неудачных попыток блокирует IP адрес.

11. Скрыть админку WordPress

Этот пункт не является критическим, но все же будет полезно скрыть админку WordPress. Скрытие WordPress админки происходит путем переименования директории с админ панелью. Физически админ панель будет лежать в той же папке, но по адресу http://ваш_сайт.ru/wp-admin она будет недоступна.

Скройте админ панель WordPress, для этого введите новые имена для директорий в соответствующие поля и поставьте галочку для включения данной опции.

12. Защитить файл .htaccess и скрыть каталоги от просмотра

Рекомендую вам скрыть каталоги сайта от свободного просмотра, а также защитить файл .htaccess. Также вы можете запретить выполнять различные запросы к сайту через адресную строку. Напоминаю, что данные действия могут вызвать конфликт с некоторыми плагинами и темами.

18. Запрещаем запись файлов wp-config.php и .htaccess

Некоторые пункты были по умолчанию выполнены, поэтому предлагаю вам выполнить наиболее важный 18 пункт защиты, который поможет запретить перезапись файлов wp-config.php и .htacces. Этот пункт очень важен, потому что от сохранности файлов wp-config.php и .htacces может зависеть работоспособность вашего сайта.

20. Переименовать папку с содержимым wp-content

Также вы можете переименовать папку с основным содержимым сайта wp-content. Нестандартное размещение файлов усложнит злоумышленникам доступ к ним.

21. Установка безопасного соединения с WordPress

Для работы с WordPress вы можете использовать безопасное соединение SSL, но для начала удостоверьтесь, что данный протокол поддерживается сервером, на котором размещается ваш сайт.

Вот таким образом, с помощью плагина «better wp security» вы можете защитить WordPress от базовых угроз, вирусов и атак.

Защита WordPress сайта: 16 мер и 19 плагинов

Приветствую вас, друзья!

Те из вас, кто подписан на обновления проекта и следит за выходом новых статей, наверняка заметил, что в последнее время я заинтересовался вопросами кибербезопасности.

А именно, способами нанесения вреда владельцам сайтов и тому, как от них уберечься.

Сразу скажу, что к данной области я испытываю исключительно научный интерес. Я никогда не был и не являюсь хакером.

Знания в области кибербезопасности необходимы мне, как профессиональному веб-разработчику, для защиты создаваемых и поддерживаемых мною сайтов. К чему я и вас призываю, мои дорогие читатели. Помните, что у всяких знаний есть Тёмная сторона, которой нужно избегать.

Однако, сказать, что хакеры этому миру не нужны я также не могу, т.к. их деятельность помогает находить бреши в безопасности и устранять их (лучше бы они только этим и занимались, а не использовали слабые места сайтов для своей выгоды).

В прочем, я сильно увлёкся �� И не представил вам тему сегодняшней статьи, которая является очень популярной сегодня и серьёзной – это безопасность WordPress сайтов.

В ней я расскажу о наиболее частых ошибках вебмастеров, которые они допускают при защите WP ресурсов, из-за которых их часто взламывают, а также о способах их предотвращения.

Многим описанные меры могут показаться очевидными и банальными, но уверяю вас… Именно поэтому большая часть пользователей не считают их чем-то серьёзным и зачастую ими пренебрегают ��

И в это же время данные упущения с успехом используются тысячами хакеров для взлома WordPress сайтов ежедневно.

Также я поделюсь своим опытом защиты ВордПресс сайтов, который у меня уже успел накопиться.

Однако – обо всём по порядку.

Что нужно знать о безопасности WordPress?

WordPress – это бесплатная OpenSource система управления содержимым сайта. Предоставляется она абсолютно бесплатно всем желающим, что резко повышает к ней интерес со стороны разработчиков.

Каждый владелец копии ВордПресс может использовать её по своему усмотрению: модифицировать, распространять и создавать на её базе свои проекты.

Именно большая популярность и открытость архитектуры CMS WordPress сделала ее очень уязвимой и доступной для злоумышленников, которые могут навредить ресурсу. Ведь найденная уязвимость может быстро тиражироваться на сотни тысяч сайтов, делая владельцев беззащитными перед опытными взломщиками.

Интересная информация о WordPress:

  • 35-40 % сайтов, запущенных в доменной зоне RU в 2020 году, работают на Вордпресс;
  • на текущий момент на CMS WordPress в Рунете работает более 500 000 различных сайтов;
  • всего в мире на движке Вордпресс запущено более 18 000 000 сайтов (на начало 2020 года), для сравнения годом ранее цифра была всего 16 000 000, а в 2012 году – лишь 6 000 000 сайтов;
  • в официальном каталоге плагинов доступно около 30 000 бесплатных плагинов для CMS;
  • в качестве разработчиков WordPress зарегистрировано в 2012 году более 100 000 специалистов;
  • лишь 20 % пользователей устанавливают плагины для защиты WordPress.

Как видите, с одной стороны система активно развивается, миллионы пользователей ее используют, но лишь 1/5 вебмастеров беспокоятся о безопасности Вордпресс сайтов, которые им принадлежат.

Зачем кому-то ломать защиту WordPress?

Начнём с того, что сайты WordPress могут взламываться автоматически с помощью различных программ-роботов и вручную.

Первый – наиболее распространённый, т.к. имеет массовый характер воздействия. Причём, ваш сайт может быть как огромным порталом с посещаемостью в несколько тысяч пользователей в сутки, так и личным блогом, у которого от силы десяток читателей, включая Вас ��

Время от времени в сети мелькает информация о таких массовых атаках на WordPress сайты.

Автоматический взлом основывается на использовании недостатков безопасности WordPress как платформы. Особенно ему подвержены ресурсы, использующие старую версию движка сайта, т.к. разработчики постоянно анализируют причины успешных WP взломов и устраняют недоработки в новых версиях.

При автоматическом взломе WordPress сайтов злоумышленники могут руководствоваться следующими мотивами:

  • кража сайта – полное копирование ресурса и перенос его на новый домен с целью присвоения результатов труда разработчика, монетизации ресурса и так далее;
  • получение ссылок с ресурса для составления сетки сателлитов, улучшения ссылочного профиля;
  • шантаж;
  • получение личных данных пользователей или иной полезной коммерческой информации;
  • получение прибыли путем подмены информации на сайте (замена номеров карт, платежной информации);
  • использование сайта для инфицирования пользователей ресурса путем рассылки писем или программ с вирусами;
  • перенаправление вашего трафика на свои ресурсы (редирект);
  • использование системных ресурсов для хранения своих данных, более эффективного взлома других ресурсов.

При ручном взломе сайтов помимо перечисленных причин хакеры руководствуются ещё и личными мотивами, среди которых могут присутствовать следующие:

  • месть;
  • зависть;
  • устранение прямого конкурента;
  • взлом WordPress сайта на заказ.

Это лишь малая часть из возможных мотивов злоумышленников, среди которых есть как коммерческие мотивы, так и человеческие качества.

Именно поэтому настройки безопасности WordPress – это обязательный этап разработки любого сайта. Если им пренебречь, рано или поздно вы станете жертвой атаки.

Как обходят WP защиту?

  • 40% – взломы хостинга. Владелец сайта мало может повлиять на защищенность хостинг платформы, поэтому изначально нужно выбирать качественных хостеров с положительными отзывами и проверенной репутацией.
  • 30% осуществляются через небезопасные темы, в которых намеренно или случайно присутствуют уязвимости. Вывод: необходимо использовать платные темы от надежных поставщиков. Я лично рекомендую ресурс TemplateMonster, где все шаблоны проходят жёсткую модерацию профессионалами на предмет безопасности и функциональности.
  • 20% взломов WordPress из-за уязвимых плагинов. Даже лучшая защита ВордПресс нивелируется установкой плагинов с намеренно размещенной уязвимостью. Сюда же относится установка чистого кода на сайт из непроверенных источников пользователями, мало разбирающимися в программировании.
  • 10% ВордПресс взломов из-за ненадежного пароля. Хакеры просто подбирают или брутфорсят пароли, взламывая сайты в автоматическом или ручном режиме.

Безопасность WP сайта должна решаться комплексно, то есть, даже если вы используете плагины WordPress Security, но при этом устанавливаете на свой ресурс непроверенный код – вы находитесь в зоне риска.

Надежная защита WordPress – это реально?

Вполне. К счастью, реальность такова, что работоспособных WP сайтов, о безопасности которых позаботились их владельцы, больше, чем взломанных.

Для обеспечения надёжной ВордПресс security всего лишь необходимо следовать определенным рекомендациям, которые, на самом деле, очень простые и в некоторых случаях даже примитивные.

Регулярные бэкапы

Важно иметь несколько копий сайта, которые хранятся на различных носителях, не связанных друг с другом на случай, если ваш сайт всё-таки взломают.

В этом случае наличие резервных копий поможет восстановить ресурс максимально быстро. Оптимальная схема бэкапов для средних и крупных сайтов следующая:

  • 1 копия хранится непосредственно на хостинге – она нужна для быстрой работы с сайтом;
  • 1 копия хранится на компьютере владельца, который также надежно защищен от взлома файерволом и антивирусом – она необходима для быстрого восстановления в случае взлома;
  • 1 копия хранится на облачном сервисе, как основной резервный источник;
  • 1 копия хранится в офлайн режиме на флеш-носителе.

Поскольку сайт постоянно находится в процессе развития, важно регулярно обновлять копии на носителях, т.к. вы никогда не знаете, в какой момент на ваш сайт может быть осуществлена атака.

В бэкапах нужно хранить не только файлы сайта, но и данные БД.

На хостинге идеальной частотой является 3 бэкапа в сутки, которая у многих хостинг-провайдеров установлена по умолчанию (например, у моего хостера TheHost).

Но это во многом зависит от свободного дискового пространства, предоставляемого вам на серверном жёстком диске в рамках оплачиваемого вами тарифного плана.

Поэтому лучше не экономить на безопасности ��

Остальные типы бэкапов не нуждаются в таком частом создании. Достаточно делать резервную копию в облаке 2 раза в неделю, а на локальном комьютере и флеш-носителе – раз в неделю.

Бесплатные плагины защиты WordPress сайта, позволяющих автоматизировать процесс формирования резервных копий:

  • Duplicator — обеспечивает возможность копирования и перемещения сайта, а также является простым средством для резервного копирования;
  • UpdraftPlus – плагин для резервного копирования в облако на Dropbox, Google Диск или другие сервисы.
  • WordPress Backup to Dropbox – простой плагин для регулярного резервного копирования файлов и БД сайта в Dropbox.

Ограничение сбора сведений о сайте злоумышленниками

Зная, какая версия ВордПресс используется у вас на сайте и какие установлены плагины, хакеры могут получить сведения о возможных уязвимостях. Чтобы это предотвратить, необходимы следующие простые, но эффективные действия.

  1. удалить файлы readme.html и license.txt из корня сайта;
  2. заблокировать доступ к .htaccess через браузер с помощью директив самого .htaccess;
  3. обязательно проверить исходный код HTML-страницы на предмет упоминания названий плагинов и их версий в примечаниях;
  4. сделать запрет доступа к install.php, wp-config.php и прочим системным файлам;
  5. запретить просмотр в браузере содержимое каталогов WordPress сайта с помощью директив .htaccess;
  6. скрыть информацию о владельце сайта, авторах;
  7. директориям сайта на хостинге установить права доступа 755, а файлам — 644.

Защита админки WordPress сайта

Доступ к панели администратора WP сайта является золотой мечтой большинства хакеров. Но, тем не менее, защитить ВордПресс админку очень просто и для этого существует масса способов.

Самым эффективным является маскировка.

Большинство программ для автоматического взлома настроены на wp-login.php. Если же изменить адрес доступа, можно существенно повысить WordPress security ресурса, поскольку автоматические программы попросту будут выдавать ошибку доступа. Возможные решения (плагины):

  • Login LockDown – быстро определяет подбор пароля и блокирует запрос с этого IP;
  • Revisium WordPress Theme Checker – определяет наиболее типичные способы взлома вашего шаблона, проверяет доступ к админ панели;

Я лично пошёл ещё дальше и помимо указанных мер установил ещё блокировку попыток входа в админку по IP, благодаря чему доступ к панели администратора возможен только с нескольких IP-адресов.

Это, правда, вносит свои неудобства при использовании VPN сервисов, которые стали популярны у населения Украины благодаря запрету у нас Вконтакте, Яндекса и прочих российских ресурсов, но зато положительно влияет на уменьшение количества попыток входа в админку и брут-форс атак.

Кстати, данное явление также создаёт большую нагрузку на сайт и БД, в частности, из-за чего сайт может утратить свою работоспособность на некоторое время, что негативно влияет на позиции в поисковых выдачах, посещаемость ресурса и отношения пользователей к вам.

Отказ от использования VPN сервисов

Раз уж я начал говорить о них в предыдущем пункте, то стоит сказать, что их использование вообще крайне нежелательно как раз-таки из соображений как безопасности WP сайта, так и локального комьютера и хранящихся на нём данных.

Поэтому любителям VPN сервисов я настоятельно рекомендую от них отказаться. По крайней мере, на время работы в панели администратора ВордПресс сайта.

Во-первых, VPN соединение для работы в админке не нужно.

А, во-вторых (и это самое главное), — при использовании VPN сервисов ваши данные пропускаются через сторонние сервера, на которых они могут быть использованы как угодно.

Следовательно, имя пользователя и пароль администратора могут быть украдены злоумышленниками и использованы для контроля вашим ресурсом.

Отказ от работы в админке WP через общественный Wi-Fi

Никогда не используйте WI-FI соединение для доступа к админпанели сайта, которое используется ещё кем-то.

За историю существования Wi-Fi сетей насчитываются тысячи случаев похищения данных администраторов с последующим взломом ВордПресс сайтов и кражей другой ценной информации владельцев устройств, пользующихся «бесплатным» интернетом в общественных местах.

Причём доступ к таким сетям может быть как защищён паролем, так и нет — главным условием является наличие в них кого-то ещё кроме вас, в мотивах которых вы не можете быть уверены на 100%.

В Интернете можно найти массу программ, которые якобы позволяют защитить Wi-Fi соединение при использовании общественных сетей.

Я даже хотел вам порекомендовать парочку, но при анализе их устройства обнаружил, что все они используют VPN, который и не такой уж безопасный, как кажется и всячески навязывается.

Установка SSL-сертификата

Интересные дела получаются. VPN недостаточно надёжен, общественный Wi-Fi для администрирования сайта вообще использовать запрещается.

А как тогда быть, если нужно уехать в длительную командировку или на отдых, одним словом, оказаться длительное время без проверенного и защищённого Wi-Fi, а сайт в это время нужно администрировать?

В данной ситуации на помощь может прийти как раз использование SSL-сертификата для передачи данных по защищённому протоколу HTTPS.

Для упрощения перевода WordPress на HTTPS я лично рекомендую применять специальные плагины, которые значительно упрощают жизнь.

  • Really Simple SSL – плагин позволяет установить сайту на WordPress SSL сертификат за пару секунд. Необходимо лишь получить SSL сертификат, установить плагин и активировать его. Остальные действие будут выполнены автоматически, включая редирект, внесение корректировок в .htaccess и замена всех url сайта с учётом протокола HTTPS.
  • WP Force SSL – плагин для перенаправления трафика с HTTP на расширенный протокол HTTPS, включая прописанные вручную ссылки.
  • Easy HTTPS Redirection – плагин, очень похожий на WP Force SSL по своему действию, т.к. позволяет настроить редиректы с HTTP на HTTPS как для всех URL сайта, так и для отдельных.
  • SSL Insecure Content Fixer – данный плагин защищает WordPress сайт от опасного контента и предупреждений о смешанном содержимом.

Если вы вдруг не знаете как установить плагин WordPress, то рекомендую вам ознакомиться со статьёй по ссылке.

В ручном режиме установка на WordPress SSL сертификата и его настройка будет для вас достаточно сложной и дорогой, если отказаться от плагинов и пользоваться услугами профессиональных разработчиков.

Двухэтапная аутентификация при входе в админку

Данная мера безопасности является ещё одним эффективным средством защиты админки WordPress наряду с настройкой HTTPS на WP сайте.

Заключается она в использовании не только стандартного ввода имени пользователя и пароля при входе в админпанель, но и во вводе специального кода подтверждения, отправляемого вам на телефон.

Поэтому если брутфорс атака злоумышленников будет успешной и им удастся подобрать данные учётной записи администратора, то второй этап остановит их от получения контроля над вашим сайтом.

Наиболее простым и удобным способом внедрения двухфакторной аутенфитикации на свой сайт является установка специальных плагинов. Вот список самых популярных, размещённых в порядке убывания количества скачиваний:

  • Google Authenticator — Two Factor Authentication (2FA)
  • Duo Two-Factor Authentication
  • Rublon Two-Factor Authentication

Описания их возможностей приводить не буду, т.к. все они примерно одинаковы. А самое прикольное лого на wordpress.com у Rublon, так что обязательно зайдите и зацените ��

Регулярное обновление ВордПресс

Основная и самая примитивная защита от взлома WordPress сайта – это регулярное обновление движка. Тысячи хакеров днями и ночами ищут уязвимости версий Вордпресс, поэтому чем раньше вы обновитесь, тем дольше будет действовать WordPress security вашего ресурса.

От момента выявления «дыры» до взлома сотен тысяч сайтов иногда проходит несколько дней. Поэтому разработчики WordPress ведут неравный бой с хакерами всего мира, постоянно выпуская обновления, устраняющие ошибки и слабые места.

И глупо было бы этим не воспользоваться. Устанавливайте обновление незамедлительно, сразу после его выхода!

Благодаря данному обстоятельству крайне нежелательно вносить правки в код движка самостоятельно, т.к. после обновления этот функционал будет для вас недоступен.

Поэтому для редактирования кода сайта на WordPress можно править только файлы темы и вносить изменения в файл functions.php, благодаря которому и наличию АПИ ВордПресс можно достичь требуемого результата.

И ещё. Хотя об этом уже шла речь, но считаю нужным напомнить, что перед обновлением обязательно делайте бэкап файлов сайта и БД, т.к. на новой версии движка может не работать часть устаревших функций и плагинов WP.

Изменение стандартных данных администратора

По умолчанию Вордпресс осуществляет доступ через учетную запись Admin. Это очень плохо, ведь один из распространенных способов взлома – подбор пароля под определенный логин (брутфорс атака).

Иными словами, хакеры знают, что у вас логин Admin, они генерируют миллионы комбинаций паролей, и начинают пытаться входить под ними на сайты, имеющиеся у них в базе.

Например, они проверяют пароль FDj2423 среди миллионов сайтов, и существует большая вероятность того, что он где-то используется. Поскольку более половины владельцев не меняют стандартную учетную запись, сильно упрощается задача для хакеров.

Чтобы изменить логин и повысить свой процент защиты WordPress от взлома, необходимо:

  • создать новую учетную запись со сложным паролем;
  • указать ее роль как «Администратор»;
  • удалить пользователя Admin.

Простейшие действия, которые сильно существенно повышают WP безопасность, занимают 3 минуты времени, но, к сожалению, редко совершаются начинающими вебмастерами.

Удаление неиспользуемых плагинов

Еще одно упущение, которое дорого обходится владельцам сайтов. Если вы хотели протестировать плагины, а после этого решили их деактивировать без удаления с сайта, вы по-прежнему находитесь в зоне риска:

  • плагины могут использоваться для инъекций вредоносного кода;
  • неиспользуемые плагины также необходимо обновлять, для повышения безопасности;
  • то, что плагин на момент установки безопасен, совершенно не определяет его надежность в будущем.

Немного оффтопа, но я вообще рекомендовал бы вам использовать плагины по-минимуму, т. к. они могут стать не только дверью для хакеров на ваш сайт, но и снижать его производительность (особенно, если они используют API сторонних сервисов).

Хорошей альтернативой плагинам WordPress может служить использование чистого JavaScript и PHP кода, на котором написан сам ВордПресс.

Но данный способ расширения функционала ВП сайтов, к сожалению, тоже не без изъянов.

Использование кода из проверенных источников

При использовании кусков кода для расширения функционала сайта как альтернативы использования плагинов также нужно быть предельно аккуратным.

По своему опыту скажу, что я всеми руками за такую практику, т.к., в отличие от плагинов, которые пишут все кому не лень и никто не модерирует, код разрабатывают, как правило, опытные разработчики (хотя, это тоже не всегда так).

К тому же, просмотреть кусок кода на предмет наличия вредоносных операций занимает не столько много времени, как копание в архитектуре плагина, которая может содержать до нескольких десятков файлов и директорий.

Но при использовании кода вместо плагинов WP есть существенный подводный камень – вам нужно хотя бы частично разбираться в программировании и защите WordPress от взломов, чтобы понимать – пользу или вред принесёт вам труд других разработчиков.

Если же необходимых знаний или друзей с их наличием у вас нет, то используйте, хотя бы, авторитетные источники, о компетентности которых можно судить по отзывам других пользователей и тематике сайта, на котором код размещён.

Если сайт, как и данный, посвящён исключительно веб-разработке, то с высокой степенью вероятности его автор сам является разработчиком либо хотя бы разбирается и увлекается программированием.

Если же вы хотите расширить функционал WordPress сайта кодом с ресурса, рассказывающем о заработке в Интернете, предлагающем скачать бесплатные программы и фильмы или просто с какого-то персонального блога, где автор помимо данной информации делится своими рецептами блюд из картошки – будьте осторожны!

Иначе ваш сайт может превратиться в такой же овощ. Или даже похуже ��

Не хочу никого обижать, но я всё-таки считаю, что кодом должны заниматься профессионалы. Причём, с благими намерениями.

Изменение префикса таблиц базы данных

Очень простой и эффективный способ защититься от автоматического взлома WordPress ресурса. Суть метода проста – вы меняете префикс таблиц баз данных сайта путем изменения стандартного префикса wp_ на произвольный, например, bd_.

Если кто-то не в курсе, префикс таблиц БД нужен для хранения в одной базе данных сайта таблиц, используемых для разных сайтов, работающих на одной платформе, у которых одинаковые имена.

Таким образом, таблицы, хранящие данные каждого такого сайта, будут отличаться от аналогичных с помощью префикса.

Изменение префикса производится либо путем использования автоустановщика скриптов Softaculous (не на каждом хостинге работает), либо путем переименования таблиц БД через веб-интерфейс phpMyAdmin или подобную программу для доступа к базе данных.

Поскольку метод радикальный и может вызвать нарушение функционала и падение посещаемости, лучше делать все работы на моменте запуска проекта, либо постепенно, тестируя работоспособность сайта.

Также не забудьте изменить значение переменной table_prefix в файле wp_config.php, который лежит в корне вашего WordPress сайта на следующее:

Вместо prefix в значении переменной может быть любая символьная последовательность, какую вы посчитаете нужной. Главное – не заигрываться и не делать префикс слишком длинным ��

Установка WordPress капчи

Данная технология киберзащиты уже почти 20 лет, как вошла в нашу жизнь. Тем не менее, до сих пор далеко не на всех сайтах можно встретить её использование.

Если вы вдруг не знаете, что такое капча и для чего она нужна, то рекомендую расширить свой кругозор благодаря статье по ссылке.

Там же сможете прочитать о том, какие её виды сейчас существуют и сможете выбрать ту, которая вам больше всего нравится и впишется в дизайн вашего сайта.

Установка капчи, как правило, нужна на различных формах, с помощью которых на сайте производятся действия. Это нужно для того, чтобы на ваш ресурс не проникли роботы и не натворили делов ��

Самыми распространёнными местами установки CAPTCHA в WordPress являются следующие:

  • форма добавления комментариев;
  • регистрация и вход на сайт;
  • форма обратной связи;
  • оформление заказа (если у вас Интернет-магазин на WordPress);

Установить капчу в ВордПресс можно как вручную, используя API сторонних сервисов, так и воспользоваться специальными плагинами капчи WordPress.

Защита персонального компьютера

Совет самый, что ни есть банальный, но многие им пренебрегают.

Никакой плагин безопасности WordPress не поможет защитить сайт, если хакеры смогут получить доступ к персональному компьютеру, с которого осуществляется вход в админпанель.

Казалось бы: попасть на сайт, если вход в админку не ограничен по IP, можно с любой машины. Но главная опасность взлома ПК владельца сайта заключается в том, что в веб-браузере могут остаться сохранённые данные для входа в куках (cookies), благодаря которым можно зайти на сайт без авторизации.

Или вы, как и большинство пользователей, просто сохраняете в браузере данные форм, с помощью чего запоминаются креды (credentials) вашей учётной записи администратора.

Для защиты личного ПК необходимо воспользоваться следующими мерами:

  • Старайтесь не использовать бесплатные антивирусные программы.
  • Никогда не устанавливайте антивирусы, скачанные с ресурсов неизвестных лиц. устанавливайте только программы с официальных сайтов. Очень часто под видом антивируса наивные пользователи устанавливают шпионские программы собственными руками.
  • Используйте лицензионное ПО.
  • Регулярно обновляйте антивирус.
  • Придумайте сложный пароль для доступа к компьютеру (и вообще используйте его).
  • Не сохраняйте данные учётной записи администратора в браузере.
  • Пользуйтесь брандмауэром (стандартного для вашей ОС вполне подойдёт).

Защита электронной почты

Почта – краеугольный камень всего комплекса безопасности. Взламывая ее, злоумышленник может изменить права доступа к FTP-серверу, админ панели и получить полный доступ к сайту.

Очень часто, сосредоточившись на защите WordPress от вирусов, владельцы сайтов забывают о потенциальной опасности e-mail:

  • для регистрации домена и хостинга заведите отдельный ящик;
  • не открывайте подозрительные письма, тем более с вложенными файлами;
  • 1 раз в 2-3 месяца меняйте пароль на сложную комбинацию цифр и букв;
  • не указывайте нигде ящик, как контактную информацию;
  • установите двухуровневую аутентификацию (электронная почта + СМС на ваш телефон) в панели хостера и регистратора домена.

Включение здравого смысла

На закуску я оставил совсем уже очевидное предостережение, которое многие из вас могли посчитать вообще обидным. Последним я его решил разместить, т. к. увидев его в числе первых вы вряд ли стали бы читать полный список. Подумали, что я держу вас за дураков ��

Однако, когда речь идёт о безопасности ВордПресс сайтов, мелочей быть не может. И если не принять всерьёз данную рекомендацию, то все предыдущие меры защиты WP не будут иметь никакого смысла.

Под включением здравого смысла я имел ввиду применение самого главного правила безопасности — молчать. Это значит не разглашать никому секретные данные, кем бы ни был ваш собеседник. Никто и никогда не сможет вам сказать, что может прийти ему в голову в один прекрасный момент…

А когда сайт перестанет работать, вы долго не сможете понять, в чём же причина. Вряд ли даже всерьёз рассмотрите указанный мной фактор в силу мыслей формата «Кто бы мог подумать, что он/она на такое способен?!».

Поэтому, повторюсь, держите в секрете ваши параметры подключения по FTP, SSH и к БД, а также адрес админпанели и учётную запись администратора с паролем.

Лучше даже никому не сообщать адрес сайта и то, что вы являетесь его владельцем.

И ни в коем случае не провоцируйте атаки на ваш сайт сами громкими заявлениями, что вы произвели все меры по обеспечению безопасности и защитили его на 200%.

Если задаться целью, то для опытного веб-программиста не составит труда организовать взлом WordPress сайта. Так что бережёного Бог бережёт ��

Согласен, похоже на паранойю, но для обеспечения защиты WordPress сайта все средства хороши.

Обзор плагинов безопасности WordPress

В завершение я решил познакомить вас с наиболее эффективными плагинами ВордПресс для комплексной безопасности.

Они помогают мониторить сайт на наличие в его WP защите проблем, предоставляя либо инструменты для их моментального решения, либо рекомендации по самостоятельному устранению.

Wordfence Security – анализатор, который проверяет ресурс на наличие «дыр» в безопасности WordPress. Можно настроить регулярное сканирование сайта, чтобы обезопасить себя от возникающих уязвимостей.

Это эффективная защита WordPress от ddos атак.

Действует по принципу сравнения текущей версии сайта с эталонной, при расхождении находит зараженные файлы.

Acunetix WP Security – анализатор доступа к системным файлам, админке, проверяет защиту данных, сложность пароля, предоставляет рекомендации по устранению проблем.

Особенностью плагина можно назвать то, что он находит наиболее уязвимые места и является профилактической мерой безопасности WP сайта.

Обеспечивает очень хорошую защиту WordPress от вирусов.

All In One WordPress Security – включает в себя защиту от самых распространенных способов взлома, включая подбор паролей, подмену адреса админки, защиту WordPress от ddos атак и др.

AntiVirus – сканер вредоносных программ, нагружает сервер, снижает скорость загрузки сайта, но обеспечивает надёжную защиту WordPress от вирусов.

iThemes Security – плагин для комплексной защиты сайта, умеет резервировать сайт, защищает админку, предотвращает внешний доступ, защищает от подбора логина или пароля.

Установка iThemes Security – это решение для ленивых. Это плагин комплексной безопасности, который решает практически все проблемы начинающего разработчика.

В пакет возможностей входит: защита админки, блокирование пользователей по IP, защита WordPress от спама, аудит безопасности, настройка защиты установленных плагинов, ведение отчета по доступу к сайту.

Большинство уязвимостей можно устранить путем предлагаемых плагином решений.

Anti-spam plugin – защищает WordPress сайт от ботов, быстро настраивается, имеет дружественный интерфейс.

Sucuri Scanner – это один из признанных лидеров в сфере защиты сайтов на ВордПресс, он бесплатен и очень эффективен.

Проводит в автоматическом режиме аудит безопасности сайта и проверяет наличие повреждений в системных файлах.

Удаляет выявленный вредоносный код, осуществляет настройку сайта после взлома безопасности или инъекций кода.

Эффективно предотвращает несанкционированный доступ путем защиты от взлома админки, а также уведомляет о возможных нарушениях безопасности во время работы сайта.

Если хотите найти больше плагинов для защиты WordPress, то можете воспользоваться официальным каталогом, который доступен по ссылке wordpress.org/plugins/tags/security.

При самостоятельном поиске подходящих решений важно точно определять разработчика, следить за отзывами и репутацией компании, которая предлагает плагины.

Поскольку большинство программ предоставляется на бесплатной основе, помните, что бесплатный сыр только в мышеловке. Очень часто злоумышленники копируют названия брендов и плагинов с целью заражения сайта вирусами или внедрения вредоносного кода.

Безопасность WordPress сайта — выводы

Как бы печально это не звучало, но ни один из выше описанных способов и плагинов не может дать 100% защиту WordPress сайту от взлома.

Существует несколько десятков различных технологий получения доступа и нанесения вреда сайтам, поэтому уязвимость лишь в одном из факторов WP защиты влечет за собой полную потерю контроля над ресурсом.

Одних только способов обхода капчи существует, как минимум 10.

Однако, грамотная работа по развитию проекта, превентивные меры, анализ информационной среды и соблюдения мер защиты вашего WordPress сайта поможет существенно снизить риски взлома.

И ещё, в завершение сегодняшней статьи о безопасности ВорпПресс ресурсов, я хочу сказать, что целью её написания было не развитие у вас паранойи по поводу уязвимости вашего, а знакомство вас с самыми простыми и очевидными мерами, которые помогут вам защититься от 80% современных атак.

К слову, лёгкая паранойя – это нормальное явление, когда речь заходит о вопросах безопасности �� Однако, не стоит ей позволять управлять вашей жизнью и всего опасаться.

Поэтому используйте описанные в статье рекомендации по защите ВордПресс сайтов – и спите спокойно ��

На этом у меня всё. Оставляйте свои мнения и пожелания в комментариях под статьёй и делитесь ей со своими друзьями с помощью социальных кнопок.

Всем удачи и до новых встреч!

P.S.: если вам нужен сайт либо необходимо внести правки на существующий, но для этого нет времени и желания, могу предложить свои услуги.

Более 5 лет опыта профессиональной разработки сайтов. Работа с PHP, OpenCart, WordPress, Laravel, Yii, MySQL, PostgreSQL, JavaScript, React, Angular и другими технологиями web-разработки.

Опыт разработки проектов различного уровня: лендинги, корпоративные сайты, Интернет-магазины, CRM, порталы. В том числе поддержка и разработка HighLoad проектов. Присылайте ваши заявки на email [email protected]

И с друзьями не забудьте поделиться ��

Как защитить от взлома файлы сайта на WordPress — важные правила…

Встречайте: вот несколько необходимых настроек сайта, которые помогут значительно обезопасить свою кровиночку сайт от взлома мошенниками))

…перечислю некоторые возможности, которые ну просто дозарезу необходимо знать и использовать в качестве превентивных мер, создавая сайт…

А вообще, в интернете запросто отыскать много полезного из того, что просто необходимо иметь в арсенале защиты своего сайта/блога…

Конечно, стопроцентной защиты (как и ничего 100%, впрочем) не существует, но, однако, процентность взлома блога должна быть как можно ниже и к этому — нужно стремиться стремглав) А посему всякая информация безопасности интернет-ресурсов лишней не бывает.

некоторые правила безопасности блога на WordPress

Новичкам рекомендую перво-наперво, конечно же, установить плагин iThemes Security (Better WP Security) в интернет много информации относительно его настроек — впрочем, вот некоторые из них — взгляните Как изменить url страницы админпанели этим вы скроете адрес (ссылку) на страничку «входа», о котором будете знать только вы!

И более общая информация Better WP Security

К стати же — плагин замечательным образом настраивается на сохранения копий Базы Данных: по дням и т. п.

Коли есть новички, то вам замечательным образом поможет избежать многих нелепых начальных ошибок да и сохранить массу полезнейшего времени вот этот пост необходимые настройки сайта

Я сейчас не стану говорить о пользе/не пользе статических и динамических ip-адресов, с ними разберётесь постепенно, так сказать, в процессе личной практики… )

А пока, настоятельно предлагаю поближе познакомиться с вашим хостингом !! — рекомендую написать в поддержку, чтобы они разъяснили настоящие возможности вашего аккаунта, а в том числе и возможные вариации защиты.

Всякий приличный хостер (группа поддержки — Support)) обязательно предложат пояснительное письмо.

…стоит поинтересоваться у поддержки, есть ли возможность установить двухфакторную аутентификацию при заходе к себе во владения…

Подобный принцип работы наглядно демонстрируется, к примеру, в Google — когда добавляете аккаунт требуется подтверждение по SMS.

Что жж, пока ждёте ответ хосто-братьев, как правило, нерасторопной тех-поддержки… времени не теряйте:

попристальнее изучите регулировки панели управления хостом

Будет нелишним отключить доступ по FTP, ну или как-то это дело регулировать: когда хостомеханика сайта не требуется, вряд ли «включенный доступ» оправдан, — если у вас динамический ip и вы не можете запретить вход в аккаунт всем ип адресам, окромя вашего…

Ну и касаемо этой темы, вероятно, будет небесполезно отключить возможность редактирования файлов корня шаблона из админки.

Ведь как, когда уже сайт боле-менее настроен и работает, доступ к регулировкам файлов только в тягость личным нервам… К слову, на сайтах под моим управлением «редактирование из консоли» отключено всегда!

Открываете файл wp-config.php что в корне сайта (не темы) и куда-то ближе книзу… рядышком со строкой «пожелания удачи» от разработчиков, дописываете строки данные ниже:

Ну и кому нужно, там же можно запретить автоматическое обновление системных файлов WordPress. Это полезно !! — ко всем обновлениям нужно быть подготовленным.

Не подвергайте свой сайт тестированию cms разработчиков ! —

существуют так называемые «мажорные» и «минорные» обновления, попросту — важные и не очень важные, в которых осуществляется отлов и исправление ошибок обновлённого функционала текущей версии WordPress.

Посему логичнее обновить на уже «безошибочный» минорный вариант (хотя ошибки были и будут всегда) — однако, думаю, информация пригодится для личных практических знаний.

Итак, после использования файла wp-config.php для нашей же защиты, научимся:

как обезопасить файлы wp-config.php и .htaccess

После наших редакций конфигурационного файла открываем не менее легендарный файл .htaccess — в нём мы кстати защитим и сам файл конфигурации wp-config.php …

1 — код: защищаем файл конфигурации.

2 — код: защитим сам файл .htaccess — (один из вариантов) чтобы защитить от хакеров — их несанкционированного доступа — важнейший системный файл нашего сайта.

У которых статический ip — будет полезно защитить файл wp-login.php — страничку входа в админку.

запрет доступа к странице всех ip-адресов, кроме вашего: где ххх.ххх. ваш личный IP.

Ну а для тех, которые статическим айпи адресом пока ещё не обзавелись, постулат:

Поймите ! если у вас отсутствует возможность запретить доступ к администрированию ресурса всем, кроме своего IP адреса — это не значит плюнуть на защиту!

как обезопасить от мошенников медиа-папку uploads

…папка с картинками одно из уязвимых и дырявых мест корня сайта.

Внутри папки uploads создаём новый независимый файл .htaccess и прописываем в нём следующие кодированные строки (этими параметрами запретим выполнение сторонних скриптов и внешний доступ к папке uploads, а также исключим загрузку неизвестных файлов):

Позволим загрузку только лишь картинок определённого формата — пропишем следующие строки в созданный файл.

Как это работает: просто и замечательно… посмотрите на вторую строку (выделена жёлтый), видите. Это расширения файлов, которые разрешены к загрузке в папку (это коротко)…

Дополню, пожалуй, только тем, что вы можете на своё усмотрение добавить «разрешённое» расширение. Например, в этом случае будет целесообразно дописать и формат (или расширение, кому как удобнее) jpeg — попробуйте отредактировать сами…

А я покажу ещё один, на мой взгляд, симпатичный способ — кстати, не так давно на одном из сайтов закрыл огромную лазейку — прямо дыру ко взлому (к великой неожиданности администратора) но обо всём по порядку:

как защитить важные файлы ядра вордпресс и корня шаблона…

Поместите вот этот лихой файлик .htaccess в наиважнейшие папки своего сайта: это полезная заготовка и настраиваемый инструмент защиты в дальнейшем пути развития блога/сайта…

Права на запись можно задать и 444 — это в файловом менеджере… (Конечно же, не забывайте тестировать итог проделанных работ)

Итак — в папку темы поместите, скопировав, следующий чудо код… (замените .htaccess второй строки на имя другого защищаемого файла или оставьте как есть).

Выделенная строка 7 — как вы понимаете, обезопасит индексный файл (во многих темах он отвечает за формирование заглавной страницы сайта) — это очень важно!!

На одном из сайтов получилось так: подстроив кое-какие огрехи и убрав некоторые прорехи… Я решил для пущей строгости тестить далее…

…набираю в адресной строке браузера такой чудо-адресок:

Секунды соединения… ужас-интернет-коллапса… и — браузер преподнёс неожиданное окно, короче…

В самом верху красовалась строка гласившая о фатал еррор.

Чем это плохо !? — если у вас получается то же самое, взгляните на сообщение в вашем окне внимательнее.

Среди прочей тех-составляющей лабуды, более менее продвинутый пользователь, разглядит логин для входа в админку файлового менеджера — это очень и очень.

Взломщику останется только подобрать пароль — и ваш акк на хостинге открыт. О какой защите сайта или аккаунта файлового менеджера здесь можно толковать?

Не знаю, за все хостинги утверждать не берусь, но во многих — описанная выше строка имеет опасную информацию. Имейте ввиду это други.

А вообще — напоминаю, проконсультируйтесь в поддержке, имеет ли возможность ваш хостер предоставить вам двухфакторную авторизацию. На приличных хостах, этого дела хоть отбавляй)

Кстати, это одна из проверочек компетентности качества площадки хостинга, ибо как ни крути, а и хостер должен быть заинтересован в вашей защищённости. Реноме, знаете ли…

Вот ещё экзерсис:

…ради эксперимента уж коли коснулись защиты сайта, попробуйте прописать в адресной строке браузера, например так:

!! После прогрузки окно браузера должно быть пустым !! …и если у вас не так… …исправьте это!

В этих случаях, при адресном запросе файла, должна открываться пустая страничка! …ну, на худой конец, сообщение о том, что «…доступ к файлу ограничен администратором…»

Никакой технической «белиберды» понятной взломщику быть не должно! Это и будет одним из многих способов защиты сайта от взлома.

Добавьте в папки plugins (плагинов) и основную пользовательскую wp-content такой файлик:

Это почти пустой индексный файл — с расширением .php — имея его в нужных директориях, доступ к просмотру файлов будет запрещён — пустая беленькая страничка.

Не правда ли, очень философично и многозначительно — как картина белый квадрат.

Пусть взломщик наслаждается искусством… и парится.

Запись в фале лаконичная:

Не забудьте при тестировании директорий своего сайта поменять имя моего домена на свой)

А напоследок я спою вот о чём:

Внимательнее относитесь к скриптам из сети, коих сейчас достаточное разнообразие и, расширяя всевозможные сайтовые улучшали, избегайте необдуманной прописки кода в файлы своего сайта. Скрипт может содержать, мягко скажем, нежелательные «программки сканирования» и т. п. Бывает так, что автор, переопубликовавший какое-то полезное решение, ничего о вредоносном коде в скрипте и не подозревает!

!! потратьте несколько времени на проверку кодо-решения…

2: backup сайта и Базы Данных !! — и если мне нынче удастся кого-то заставить запомнить это важнейшее правило, уже будет здорово.

Вы должны довести свои действа до автоматической отработки: как только собираетесь вносить изменения в файлах системы — всегда перед этим делайте полный бекап сайта.

А сэкономленное время на всякие восстановления блогоресурса, целесообразнее потратить на полезные дела.

Материальный импульс этому напоминанию исключительно личный опыт…

Для тех , которые желают создать серьёзную веб площадку, приносящую автору не только удовольствие, но и заработок ! советую выкинуть из головы идею «бесплатного» — бесплатное, это проигрыш! А исключение, подтверждающее это правило, только одно: максимально бесплатно удастся создать площадку только в одном случае, если вы готовы к самоотверженному труду и стойкости во времени… работе…

Осторожнее относитесь к плагинам ! не устанавливайте непроверенные архивы…

Не пользуйтесь бесплатными темами (шаблонами) у которых нет явного авторства! но в избытке положительные отзывы: вся эта благодать, как правило, купленная декорация!!

не покупайтесь же, как индейцы, на бусы.

!! Поймите !! все перечисленные требования, есть средства защиты вашего сознания от обработки сетевых мошенников) и это ни чуть не менее важно самой защиты сайта.

Присматривайтесь к сайтам, на которых черпаете информацию: сайт должен быть живой, с ведущим автором или сетевым администратором, который охотно предоставляет информацию о себе и команде в сторонних социальных сетях.

Такие авторы всегда будут рады вам помочь как при знакомстве, так и в дальнейшем, ибо живой диалог обеим сторонам только на пользу!

И ещё: усвойте правило минусов «платного» — покупая какой-то плагин, шаблон… вы становитесь на вечный путь покупателя, ибо сиюминутные удобства крадут ваши личные знания!

А ведь только на личные же знания и до́лжно полагаться в сайтостроении, до и не только в веб индустрии.

Плюс платного в том, что, изучение материальной части по правилам создания сайтов, начинается от более верной стартовой точки профессионала, но не хаотично и разрозненно, а, зачастую, основываясь на ошибочной идее бесплатных проб и ошибок разработчиков…

Итог: главное без фанатизЬма защищайтесь…

Желаю вам удачного ведения дел в вашем бизнесе… )

А теперь самое время защититься и от себя! …чтобы при оказии самим-с не взламывать сайт свой… полезный менеджер для «незабывчивости» паролей. Рекомендую.

На этом у меня на сегодня решительно всё.

…а в комментариях давайте поделимся личными способами защиты… Всем будет полезно!!

А я ещё что-то найду для новичков: в общем у меня есть кое-что новенькое, но несколько сложновато… да и пока что тестирую лично-с. Так что нелишне будет подписаться))

…в обновлённом вордпресс 4.6… и т.д. стало крайне неудобно редактировать записи сайта — пропадают наработки, правки статей затираются…

Михаил ATs — владелец блога запросто с Вордпресс — в сети нтернет давным-давно.

. веб разработчик студии ATs media: помогу в создании, раскрутке, развитии и целенаправленном сопровождении твоего ресурса в сети. — заказы, вопросы. разработка.

Тотальная защита WordPress от взлома и мошенников

Вы купили хостинг, создали свой блог (сайт), постепенно наполняете его контентом, к вам начинаю приходить пользователи, вашим блогом начинаю интересоваться, что теперь? А теперь самое время подумать о защите вашего WordPress сайта от взлома и мошенников.

Содержимое статьи:

Что нам потребуется для тотальной защиты WordPress?
Создание двойной авторизации от взлома админки
Ставим лимиты на попытки авторизации пользователей
Плагин Belavir полная информация о всех изменениях на блоге
Закрепляем Тотальную защиту нашего WordPress

Как защитить свой блог на WordPress от взлома без сложных настроек php кода. Сегодня для защиты сайта на ВордПресс существуют тысячи плагинов как выбрать необходимые из множества и нужно ли это делать… Давайте ответим на этот вопрос.

На самом деле для тотальной защиты блога на WordPress не нужно устанавливать кучу плагинов которые будут тормозить ваш блог и самое главное могут просто заблокировать вас самих так, что придется обращаться к специалистам. Совершенно ни к чему устанавливать множество мощных и тяжёлых плагинов для защиты сайта так же как и перерабатывать тонну php кодов.

В данном уроке мы с вами защитим наш сайт тотально, но при этом сделать это сможет каждый (даже чайник и возможно самовар) а займет это у нас не более 25-30 минут. Давайте преступим.

Что нам потребуется для тотальной защиты WordPress?

Как правило, в 90% случаев взлом сайтов происходит через взлом пароля администратора сайта и вход через админку, так давайте её заблокируем от всех остальных кроме нас.

Для защиты нашего сайта мы будем использовать всего 4 легких плагина Limit Login Attempts Reloaded, TAC, Antivirus, Belavir и сервис Htaccesstools.

  1. Htaccesstools — создает двойную авторизацию для входа в административную панель.
  2. Limit Login Attempts Reloaded — позволит лимитировать попытки входа в админку.
  3. AntiVirus — проверяет наш сайт на наличие вирусов и подозрительных кодов.
  4. Belavir — все изменения в структуре сайта будут всегда на глазах.
  5. TAC — проверяет наличие скрытых ссылок в теме нашего сайта.

Давайте непосредственно к делу — начнем работу…

Создание двойной авторизации от взлома админки

Для создания двойной авторизации нам понадобится немного поработать с файлами нашего сайта через FTP или Hosting кому как удобнее. Нам будет необходимо создать несколько файлов в корневой директории нашего блога (если кто-то не знает это папочка public_html/ ):

  • . htpasswd — в данном файле будет храниться наш дополнительный логин и пароль для доступа к главной страницы авторизации ВордПресс.
  • Path.php — в данном файле находится (создается) код который поможет вам узнать путь до корневой директории сайта ВордПресс

Все необходимые файлы и коды для работы можете скачать одним архивом…

Итак, преступим. Создайте в корневой директории сайта пустой файл с названием .htpasswd, и файл path.php с кодом:

(при копировании данного кода необходимо удалить все цифры 2) или возьмите готовый файл из архива.

После того как мы создали оба этих файла — переходим на сервис «htaccesstools» нам необходима вот эта страница: www.htaccesstools.com/htpasswd-generator/ открываем её и производим регистрацию.

Создавайте изначально сложный и длинный пароль и Логин , и не забудьте сохранить эти данные. После ввода логина и пароля нажимаем кнопочку .

Если все прошло нормально, вам откроется форма с кодом который необходимо скопировать.

Код который мы получили необходимо добавить в ранее созданный нами файл .htpasswd — открываем, вставляем, сохраняем.

Тотальная защита wordpress блога продолжаем. Теперь в браузере вводим адрес нашего сайта и название добавленного нами ранее файла path.php: http://Ваш сайт/path.php открываем и получаем полный путь до корневой директории нашего блога .

Далее нам необходимо найти файл .htaccess и создать в нем в самом начале (фото), подобный код:

AuthUserFile «путь_к_файлу/.htpasswd»
AuthName «Private access»
AuthType Basic

Require valid-user

где вместо текста путь_к_файлу вставляем наш полный путь до корневой директории нашего блога и сохраняем. Готово. Теперь для того чтобы нам попасть на страницу авторизации нашего блога нам необходимо для начала авторизоваться в браузере.

Видео-инструкция (урок) «Как сделать двойной вход в админку блога WordPress?».

Ставим лимиты на попытки авторизации пользователей

Лучший плагин для тотальной защиты wordpress в принципе можно сказать что это в какой-то мере так, ну да ладно, давайте ближе к настройкам. Все, как обычно, скачиваем плагин из официального депозитария Плагины → Добавить новый, в поиске плагинов вставляем «Limit Login Attempts Reloaded» находим, устанавливаем, активируем.

Переходим в настройки, открываем плагин Limit Login Attempts.

В настройках плагина все предельно просто:

Статистика:

  • Про этот пункт даже нет смысла что-то писать. Здесь просто cnfnbcnbxtcrbt статистические данные о всех неудачных попыток входа в административную панель блога.

Изоляция:

  • Поле 1 «Разрешено дополнительных попыток» : количество попыток ввести пароль после которого пользователь будет заблокирован на время — лучше ставить 3 — 4 попытки защита сайта на wordpress при помощи ограничения попыток авторизации это очень эффективный способ от DoS атак на административную часть блога.
  • Поле 2 «Изоляция в минутах» : определяем на какое время пользователь будет заблокирован после нескольких неудачных попыток входа — лучше вводить 60 минут.
  • Поле 3 «Изоляция повысить время изоляции до» : если пользователь был заблокирован после нескольких попыток и через определенное время (поле 2) опять не смог войти он блокируется еще на дополнительное время — оптимальный вариант от 12 до 24 часов.
  • Поле 4 «Часов до сброса количества попыток» : количество прошедшего времени после всех блокировок (поле 1, 2, 3) пользователя, время спустя которое вся информация по данному пользователю будет удалена из списка неудачных входов — достаточно 5 — 10 часов.

Сообщать об изоляциях

  • Записывать IP : сохранение информации об IP-адресе пользователя пытавшегося войти на сайт.
  • Отправить емейл админу : определение после какого числа полного круга блокировки на емейл владельца сайта придет сообщение о попытках входа в админ.панель.

Белый список IP

  • Последний пункт Whitelist (IP) : Белый список IP-адресов к которым не надо применять данные ограничения по попыткам войти, в данное поле стоит вписывать свои IP-адреса если они у вас статичные , если динамичны то смысла вписывать их сюда нет.

Данный плагин позволяет защитить вашу административную часть сайта от сотен попыток пробиться в административную часть сайта при попытках взлома. Данный плагин делает очень простую, но эффективную вещь. Плагин позволяет настроить максимально допустимое количество попыток ввести пароль и логин.

Плагин Belavir полная информация о всех изменениях на блоге

Плагин для защиты wordpress Belavir единственный плагин который нельзя скачать из официального репозитория WordPress, но при этом довольно популярный и известный в интернете. Для установки плагина нам необходимо скачать его на сайте создателя. Страница плагина: http://blog.portal.kharkov.ua/2008/06/27/belavir/ ← качайте только с этой страницы .

Входим в наш ВордПресс. Далее: Плагины → Добавить новый → Загрузить плагин. Загружаем наш скаченный архив и жмем «Установить», активируем его.

Теперь на главной страницы административной панели (Консоль) у нас появилась скромная строчка «Целостность файлов не нарушена».

В принципе все, плагин установлен и работает. Теперь давайте поработаем с кодом, сделаем еще чуточку для тотальной защиты WordpRess. Открываем наш файловый менеджер через FTP или Hosting. Создаем в директории uploads (находится в папке wp-content) файл с название .htaccess, открываем его для редактирования, прописываем в нем такой код:

Allow from all

Deny from all

Далее сохраняем. Все готово.

Теперь обратите внимание. Откройте вашу консоль, обновите страницу, вы увидите информацию вместо надписи «Целостность файлов не нарушена» будет стоять сообщение «Целостность файлов нарушена» и показан список файлов в которых произошли изменения. Эти изменения произвели мы, а не какой-то посторонний человек — смело сбрасываем кэш . Теперь вы всегда будите в курсе где на вашем сайте произошли какие-то изменения и можете контролировать защиту сайта на wordpress при помощи плагина.

Если вы на своем блоге используете плагин кэширования то вам постоянно будет сообщаться что целостность файлов нарушена, созданы новые файлы и далее приблизительно такой код: /wp-content/cache/blogs/akciyxyz/wp-cache-akciya-xyz1af8d5dfeg3423f324f42fb13.php это не страшно , не стоит пугаться, но, проблема в том что кэширование сайта работает постоянно и у вас каждый день будет появляться информация о десятках новых файлов, каждый раз сбрасывать кэш вручную это геморройно, поэтому давайте добавим папочку с фалами кэширования в исключения плагина.

Откройте редактор плагина, это можно сделать по этому пути: Плагины → Установленные в меню плагинов находим «belavir» нажимаем «изменить».

Нам необходимо в функциях плагина xdir() произвести небольшие изменения, для этого находим такую строчку (должна находиться внизу кода):

if ($file == ‘.’ or $file == ‘..’) continue;

сразу под этой строчкой добавляем этот код:

if ($file == ‘Условное имя’) continue;

вместо условного имени нам необходимо вписать имя той папки которую плагин должен игнорировать — Как это сделать? Открываем нашу консоль и смотрим список наших измененных файлов. Выглядит это приблизительно так:

Смотрим по какому пути все эти файлы находятся, вот тут у нас найдено 2 пути:

То-есть во всех этих файлах путь один, он лежит через кэш (cache) либо путь идет до корня /blog/ либо до корня /meta/ но в любом случае оба эти пути проходят через имя которое стоит сразу после /wp-content/, это у нас /cache/ (в переводе с латинского произносится как: «кашэ́»). Тут становится понятно что все файлы и папки после кода /cache/ являются всего лишь файлами кэша, их то нам и надо проигнорировать.

Находим имя которое стоит после /wp-content/ копируем это слово «cache» (у вас может стоять другой путь до кэша — это зависит от плагина) и вставляем его вместо Условного имени , у вас должно получится так:

if ($file == ‘cache’) continue;

Сохраняем, все готово. Теперь у вас в консоли не будет появляться каждый день куча информации о десятках новых файлов, теперь будет появляться информация только после каких-то ваших действий с кодом: установка плагинов, обновление ВордПресса, редактирование кода и т. д.

К слову сказать наверное кто-то уже слышал что это «Лучший плагин защиты wordpress» в сети есть такие мнения, но данный плагин без использования других средств защиты ничего особо не дает.

Закрепляем Тотальную защиту нашего WordPress

Теперь давайте скачаем два плагина Theme Authenticity Checker (TAC) и Antivirus.

Для чего они нужны — суть данных плагинов проста, проверить ваш блог на наличие посторонних скрытых ссылок и подозрительных файлов в корне вашего сайта. Данные плагины достаточно запускать один раз в месяц.

Плагин TAC — позволяет вам узнать есть ли в вашей скаченной теме какие-то подозрительные и скрытые ссылки на сторонние ресурсы. Что позволяет найти такие ссылки и удалить их с сайта. Необходимо для того что поисковые роботы не индексировали данные ссылки, ведь мало куда они могут идти, хоть на сайты с вирусами хоть на порно-сайты для вашего блога это губительно. Этот плагин в основном необходим тем кто скачивает темы не из админки вордпресс, а с сайтов в интернете, обязательно проверьте свою тему на посторонние ссылки и удалите их если такие найдутся. В противном случае говорить о тотальной защите wordpress сайта нет смысла.

В плагине есть два типа сообщений это «Theme Ok» что означает с темой всё в порядке и «Encrypted Code Found» означает что в теме найдены какие-то зашифрованные коды и ссылки. Для просмотра подозрительных кодов и ссылок нажимаем на кнопку Details рядом с названием темы, нам откроется список всех найденных ссылок и кодов обнаруженных в теме. Также будет показан адрес по которому находятся эти коды и ссылки. Нам остается только разобраться с этим и удалить посторонние ссылки, либо просто лучше поменять шаблон если обнаружены какие-то опасные коды и вы не знаете как их удалить и для чего они нужны.

Antivirus — достаточно запускать хотя бы 1 раз в месяц или после того как вы попросили поработать с сайтом какого либо верстальщика. Данный антивирус проверяет php код вашего сайта на подозрительные и странные зашифрованные коды.

Принцип работы плагина для защиты wordpress блога прост: запускаем проверку кнопочкой Scan the theme templates now . Плагин начинает сканирование всего кода нашего сайта, все точки где антивирус не обнаружил посторонних странных кодов окрашиваются зеленым цветом. Если в каком то раздели антивирус обнаруживает посторонний или подозрительный код этот раздел будет отображаться красным цветом и будет показан подозрительный код.

Вам остается только разобраться что это за код обратившись к верстальщику или к хостинг-провайдеру ну или попробовать разобраться самостоятельно, но, помните, не все подозрительные и странные коды являются вирусами! Каждый конкретный случай индивидуален.

Если антивирус вам сообщает о подозрительном коде, но вы знаете что это за код и для чего он нужен сообщаем плагину что это не вирус нажав на кнопку There is no virus.

Данные два плагина для защиты wordpress они в первую очередь предназначены для того чтобы узнать есть ли в корне вашего сайта какие-то подозрительные ссылки или коды. Эти плагины все таки предназначены для сканирования , а не исправления таких кодов и ссылок. Мало вероятно что при обнаружении подобных проблем каждый вебмастер сможет самостоятельно решить и удалить данные коды и ссылки, тут если они обнаружились надо или самому очень аккуратно разбирать что это такое и зачем это надо, или попросить верстальщика проверить эти подозрительные коды. В любом случае для тотальной защиты wordpress блога эти плагины стоит использовать хотя бы изредка.

Используя данные методы защиты вашего блога вы можете быть уверенны в том что ни один злоумышленник не сможет пробиться в вашу административную часть через дыры в админке ВордПресс.

Добавить комментарий