Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурса

Как только мы в первый раз задумываемся о защите WordPress сайта, мы еще не осознаем до конца о том, что существует много различных шагов, которые мы можем предпринять в качестве превентивных мер по защите сайта, интернет-магазина или просто блога.

Последнее, что вам нужно, это проснуться однажды утром и обнаружить сайт в руинах. Сегодня мы собираемся поделиться множеством советов, стратегий и методов, которые вы сможете применить и тем самым улучшить безопасность WordPress сайта, да и просто спокойно спасть.

А безопасен ли wordpress по умолчанию?

Первый вопрос, который вас наверняка интересует, безопасен ли сам посебе WordPress? В целом – Да. Тем не менее, владельцы WordPress сайтов часто сталкиваются со взломами, крашами и утечкой данных. Чаще всего это происходит из-за того, что пользователи продолжают следовать наихудшим методам обеспечения безопасности.

Использование устаревшего ядра WordPress, обнуленных (nulled) плагинов, не качественного системного администрирования, управления учетными данными и отсутствия необходимых знаний в Интернете и безопасности держат хакеров, так сказать, всегда в тонусе ?. Даже лидеры отрасли не всегда уделяют достаточно внимания, такой важной составляющей, как безопасность их WordPress сайта.

Сайт агенства «Reuters» был взломан, из за использования устаревшей версию ядра WordPress!

Это было в далёком 2012 году.

Согласно исследованию, проведенному компанией Sucuri за 2019 год, WordPress, как платформа, продолжает лидировать среди всех зараженных веб-сайтов, над которыми они работали (94%). А рост по сравнению с 2018 годом составил 4%. Ждем отчета за 2020, но принципиально картина не изменится.

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурсаБезопасность WordPress – Статистика за 2018 и 2019 год.

WordPress, как CMS, используют более 35% всех веб-сайтов и неудивительно, что существует сотни тысяч комбинаций различных, как бесплатных, так и премиальных тем и плагинов и что уязвимости существуют и постоянно обнаруживаются.

Но к счастью, существует большое сообщество вокруг платформы WordPress, что гарантирует, что вновь обнаруженные уязвимости буду исправлены в кратчайшие сроки. По состоянию на 2020 год в состав WordPress команды по обеспечению безопасности вошли 50 экспертов, в том числе ведущие разработчики и исследователи в области цифровой защиты – около половины из них являются сотрудниками «Automattic».

Уязвимости в WordPress

Вот список из самых распространённых типов уязвимостей/методов, которыми пользуются злоумышленники нацеленные на WordPress:

  • Backdoors.
  • Pharma Hacks.
  • Brute-force.
  • Вредоносные перенаправления.
  • Межсайтовый скриптинг (XSS).
  • Отказ в обслуживании (DoS).

1. Backdoors

Backdoor (бэкдор) – уязвимость, которая предоставляет злоумышленникам скрытые проходы, обходящие протоколы безопасности для получения доступа к веб-сайтам на WordPress не стандартным методом – wp-admin, SFTP, FTP и так далее. Использования этой уязвимости позволяют хакерам нанести ущерб серверам хостинга с последующем «межсайтовым» заражением – компрометация нескольких сайтов, размещенных на одном сервере.

В четвёртом квартале 2019 года, «Sucuri» сообщили, что бэкдоры по-прежнему являются одним из самых, часто используемых действий, предпринимаемых злоумышленниками для взлома, при этом почти 47% зараженных сайтов имеют ту ил иную форму бэкдора.

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурсаГрафик распространения вредоносных программ по семействам – Безопасность WordPress

Бэкдоры часто маскируются и выглядят как легитимные файлы WordPress ядра или темы/плагина, дают доступ, как к файловой системе, так и базе данных, используя слабые места и ошибки в устаревших (вовремя не обновлённых) версиях.

Провал TimThumb (PHP скрипт, который часто используется авторами тем для работы с изображениями), более известный как «Уязвимость нулевого дня» был ярким тому примером.

Бэкдор использовал скрытые скрипты и устаревшее ПО, которое скомпрометировало миллионы сайтов, в уже далёком, 2013 году.

Профилактика и лечение этого типа уязвимости довольна проста. Вы можете выполнить проверку вашего WordPress сайт с помощью SiteCheck, который легко обнаружит этот и другие бэкдоры.

Двухфакторная аутентификация, блокировка IP-адресов, ограничение доступа администратора и предотвращение несанкционированного выполнения файлов PHP легко устраняет распространенные бэкдор-угроз, о которых мы поговорим подробнее ниже.

2. Pharma Hacks

Эксплойт «Pharma Hack» используется, как метод для вставки вредоносного кода в устаревшие версии сайтов и плагинов для WordPress, а как следствие происходит подмена мета-тэгов.

В SERP (результат выдачи поисковых систем) вместо вашего сайта, пользователи видят рекламу фармацевтических компаний.

Уязвимость представляет собой скорее угрозу спама, чем традиционное вредоносное ПО, но дает поисковым системам достаточно оснований для блокировки сайта.

Движущий силой «Pharma Hack» являются бэкдоры в плагинах, темах и базах данных, которые можно очистить, следуя инструкциям из этого, старого, но полезного поста от Sucuri. Вы можете легко предупредить «Pharma Hacks», регулярно обновляя ядро, темы и плагины WordPress.

3. Brute-force

Brute-force – это, в первую очередь, попытка авторизации методом перебора. Используются скрипты перебирают пароли, а в случае успеха, злоумышленники получают доступ к вашему сайту.

Ограничение кол-ва возможных попыток авторизации, двухэтапная аутентификация, логирование, использование белых и черных списков IP-адресов, а так же надежных паролей – являются одними из самых простых и высокоэффективных способов предотвращения такого рода атак.

Но, к сожалению, некоторые владельцы веб-сайтов WordPress не выполняют эти меры безопасности, тогда как хакеры легко могут скомпрометировать до 30 000 веб-сайтов за один день, используя атаки методом «Brute-force».

4. Перенаправление (Redirect)

Перенаправления создаются благодаря бэкдорам и внедряют код в файлы сайта. На зараженных субъектах, сценарии для перанаправления, часто расположены в файле .

htaccess, но также часто можно встретить как в ядре WordPress, так и в файлах темы (например в index.php). Действуя скрытно и направляя ваш трафик на вредоносные или рекламные сайты.

Мы расскажем о некоторых способах их предотвращения в наших шагах по защите WordPress ниже.

5. Межсайтовый скриптинг (XSS)

XSS – метод, при котором скрипт внедряется в тело веб-сайт или приложения. Обычно это JS-скрипты которые работают на стороне браузера конечного пользователя без его ведома и без ведома владельца сайта. Целью обычно является получение файлов cookie или данных сеанса или, возможно, даже перезапись HTML на странице.

6. Отказ в обслуживании (DoS)

Одна из самых опасных уязвимостей, которая вызывает отказа в обслуживании (Denial of Service или просто DoS) – использует ошибки в коде, просто сжырая оперативную память ОС на которой работает сайт. Миллионы сайтов, изо дня в день, подвергаются атакам, что вызывает полную остановку сервера. В широком кругу такой метод называют – DDos (Distributed Denial-of-Service).

Даже актуальные версии WordPress не могут всесторонне защитить от крупных DDoS-атак. Но, по крайней мере, помогут вам не попасть под перекрестный огонь финансовых учреждений и владельцем бот-нетов.

21 октября 2016 года – это был день, когда в Европе и Северной Америке интернет просто отключился из-за DNS DDoS-атаки. Если интересно и в качестве «ликбеза» можно подробнее прочитать про это значимое событие более известно как Кибератака на Dyn.

? Ничего себе предисловие получилось. Пора двигаться дальше и полностью погрузиться в безопасность WordPress.

Безопасность WordPress сайта. Полное руководство 2020

Согласно интернет-статистике, каждый день взламывается более 100 000 сайтов. Вот почему так важно уделить некоторое время и ознакомиться со следующими рекомендациями, приведенными ниже, о том, как лучше укрепить безопасность WordPress сайта.

Мы постараемся обновлять этот пост и актуализировать информацию, поскольку мир меняется, а WordPress не исключение.

Погружаемся ?

1. Безопасный хостинг для сайта на WordPress

Когда речь заходит про общую сетевую безопасность или, как в нашем случае, организацию защиты WordPress сайта важно понимать, что одним из ключевых факторов здесь является безопасность на уровне сервера.

Выбрав ту или иную хостинг-компанию, вы, в первую очередь, доверяете им свой бизнес. Однозначно, мелочиться тут не стоит и если есть фин. возможность выбрать «VPS», а не «Shared».

Обычно у каждой хостинг-компании есть линейка, так называемых, «Shared» тарифов, купив который за 200-300 рублей в месяц, ваш сайт будет работать на одном сервере, вместе с десятком других сайтов.

Читайте также:  Рассылка ручной работы или вдохновение для своих

Уровень угрозы множится кратно!

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурсаБезопасность WordPress – Хостинг как основа!

Так же нужно обратить внимание на ОС и ПО-безопасности, которые предлагает компания.

2. Используйте PHP 7.4+

PHP – это основа любого сайта на WordPress. Трудно переоценить важность использования актуальной версии! Каждый основной релиз PHP полностью поддерживается разработчиками языка в течении следующих 2-х лет. Т.

е есть гарантия, что в течении этого срока все ошибки будут исправлены. На данный момент все, кто работает с версией PHP 7.1 или ниже, больше не имеют поддержки в плане безопасности WordPress и подвержены угрозе.

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурсаАктуальная версия PHP как фактор безопасности сайта на WordPress

И угадайте, что? Согласно официальной статистики WordPress и на момент написания этой статьи, более 24% WordPress сайтов используют PHP версии 5.6 и ниже, а количество пользователей которые используют PHP 7.2, которая активно не поддерживается (безопасность будет поддерживаться до 1 декабря 2020 года) и ниже составляет более 67%. Это страшно!

Более 67% WordPress сайтов работают на устаревшие версию PHP! ?

Да, разработчикам и компаниям требуется какое то время для отладки и обеспечения полной совместимости актуальной PHP версий с их кодом, но нет ни каких оправдания для запуска чего-либо без поддержки в плане безопасности. Не говоря уже об огромном влиянии на производительность, которое оказывают старые версии.

Не знаете, на какой версии PHP работает ваш сайт? Быстрый способ проверить это – Pingdom. Проверка начнется сразу после того как вы введете URL в строку поиска.

По-завершении прокрутите вниз до блока «File requests». Нажмите на первый запрос и найдите параметр «X-Powered-By». Обычно это покажет версию PHP, которую использует ваш веб-сервер.

Однако некоторые хостинг-компании удаляют этот заголовок по соображениям безопасности.

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурсаПроверка PHP версии через Pingdom

Обязательно обновите PHP на вашем сервере до версии 7.4+ как можно скорее!

3. Имена пользователей и их пароли

Один из лучших и самых простых способов укрепить защиту вашего WordPress сайта – это использовать не стандартный подход к выбору логина и пароля. Посмотрите ежегодный список самых популярных паролей года. Вот в далёком 2014 году «Лаборатория Касперского» опубликовала список из 25 худших паролей. Вот топ 5:

  • 123456
  • password
  • 12345
  • 12345678
  • qwerty

Офигеть! ? Самый популярный пароль – «123456», за которым следует удивительный «pasword».

А сейчас что? Вот данные 2020 года в материалах газета.ru и как видно особых изменений нет!

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурса

Привет!

Защита WordPress от взлома или вирусов всегда заключается в осторожности, постоянном обновлении своего программного обеспечения, игнорировании различных мошеннических сайтов и схем и т. д. В этой статье я постараюсь рассказать вам о том, как защитить свой ресурс, который работает под управлением WordPress.

В первой части материала я расскажу об общих правилах безопасности, в конце же мы разберем несколько плагинов, которые помогут повысить уровень защиты вашего проекта. Итак, давайте начинать!

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурса

10 советов по защите

Я решил оформить эту статью в виде своеобразного чек-листа, куда вы при необходимости сможете заглянуть. Здесь я объясню некоторые принципы повышения безопасности, которые заключаются в конкретных действиях.

Регулярно обновляйте свою операционную систему

Ваш сайт могут взломать из-за огромного количества вирусов на вашем ПК. Если вы используете Windows в качестве операционной системы, то простое обновление компонентов до актуальной версии поможет вам избежать многих проблем.

То же касается и других операционных систем. MacOS или даже GNU/Linux могут содержать уязвимости, о которых знает лишь ограниченное количество людей.

Если вы пользуетесь сайтом со своего смартфона, нужно поддерживать в актуальном состоянии и его.

Используйте антивирусное ПО

К сожалению, многие недооценивают важность антивирусного программного обеспечения. Они просто пускают все на самотек, к ним попадают различные вирусы, троянские программы и т. д. После этого все их данные сливаются в специальные базы.

А вот эти базы может купить или скачать любой желающий. Даже злоумышленник, который задумал напакостить или просто поразвлечься с вашим сайтом или электронными кошельками.

Именно поэтому я рекомендую вам установить себе на компьютер и мобильный телефон антивирусные программы. Даже хотя бы бесплатные. Так риск того, что кто-то вас взломает, существенно снизится.

Не посещайте левые сайты и не вводите там данные

Банальный совет, который многие упускают из виду. Люди просто лазают где хотят, вводят там пароли, которые подходят почти ко всем их аккаунтам. Потом эти пароли опять же попадают в сливные базы, а там их может достать кто угодно.

Не надо посещать подозрительные сайты и уж тем более там что-то вводить.

Установите сложный пароль на WordPress

Еще один довольно банальный совет, который может помочь вам защитить собственный сайт от злых хакеров или мошенников. Если вы в качестве пароля используете свою фамилию и год рождения, все это очень печально и плохо. Любой дурак даже с помощью простой догадки сможет выявить этот пароль и взломать ваш ресурс.

Можно воспользоваться генератором, который встроен в сам WP. Для этого перейдите в меню “Пользователи” – “Ваш профиль”. Далее прокрутите страницу вниз и нажмите на кнопку “Создать пароль” в пункте “Управление учетной записью”.

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурса

WordPress сгенерирует сложный пароль, который будет состоять из букв разного регистра, цифр и специальных символов. Не забудьте сохранить куда-нибудь этот пароль. Записать в свой блокнот или разместить в специальную защищенную программу-парольщик.

Установите другой логин

По умолчанию во многих версиях WordPress используется стандартный логин “Admin”. Хакеры знают это и им намного легче подбирать пароли через автоматические приложения-переборщики. Чтобы обломать их намерения, вы можете изменить стандартный логин на какой-то другой.

Для этого необходимо перейти в меню “Пользователи” – “Добавить нового”. В открывшихся полях необходимо заполнить все данные аккаунта, изменив только сам логин. Тут вы можете дать волю фантазии и ввести что-то неоднозначное, состоящее из большого количества символов и т. д.

Но не забывайте, что вам самим придется вводить этот логин при входе в панель управления. Поэтому сильно не увлекайтесь.

После этого вы должны удалить старый аккаунт администратора. Залогиньтесь через новый аккаунт, снова зайдите в меню “Пользователи”, наведите курсор на аккаунт с логином “Admin”, после чего кликните на надпись “Удалить”. Далее нужно подтвердить свои намерения. Все, теперь у вас будет аккаунт с новым логином, который будет сложнее узнать.

Регулярно обновляйте свою версию WordPress

Как и в случае с операционной системой, вы должны поддерживать свою платформу в актуальном состоянии. Каждое обновление может исправлять потенциальные известные уязвимости. Если вы не будете своевременно обновлять WordPress, то велика вероятность, что этими самыми уязвимостями кто-то воспользуется.

В этом случае вам не поможет ни сложный пароль, ни измененный логин. Злоумышленник просто сломает ваш сайт, и если вы не сделали резервные копии, то потратите много времени и нервов на восстановление.

Обновлять эту CMS можно через встроенные инструменты. Когда выходит новая версия, пользователей WordPress всегда уведомляют об этом, предлагая кликнуть на несколько кнопок и сразу же обновиться.

Перед обновлением не забудьте выполнить следующий пункт.

Защита WordPress от взлома: 10 советов для безопасности вашего веб-ресурса

Делайте резервные копии

Если даже вас кто-то взломает и решит “поиздеваться” над вашим ресурсом, то при наличии свежей резервной копии вы сможете быстро все восстановить, сменить пароли от аккаунтов и т. д.

Бэкапы можно делать как при помощи встроенных в хостинг инструментов, так и с помощью различных плагинов. В статье про самые необходимые плагины для WordPress я рассматривал плагин для создания резервных копий.

Этот модуль носит название “UpdraftPlus WordPress Backup Plugin”, его можно установить прямо из каталога WordPress. Часть интерфейса этого плагина переведена на русский язык, поэтому проблем с использованием быть не должно.

Также вы можете поискать другие плагины для создания бэкапов. Их очень много в стандартном каталоге.

Читайте также:  Профессия маркетолог – кто это такой и чем занимается?

Устанавливайте шаблоны и плагины только из достоверных источников

Очень часто вирусы проникают на сайты через паленые версии плагинов и шаблонов. Люди, чтобы сэкономить, скачивают взломанные nulled-версии с разных второсортных форумов или складчин. После этого их чудесным образом взламывают или зашивают код, который вредит пользователям.

Чтобы избежать таких последствий, вы должны четко разделять надежные источники от ненадежных. Nulled-версия может быть надежной в исключительных случаях, в основном авторы таких сборок преследуют собственные интересы.

Поэтому плагины и различные шаблоны лучше скачивать из стандартного каталога WordPress либо же покупать их в известных магазинах вроде того же ThemeForest или WP Shop. Также вы можете скачивать все это с официального сайта WordPress – ru.wordpress.org, там есть все то, что и в каталогах.

Используйте зашифрованное соединение

Если вся информация на вашем сайте будет передаваться через защищенное HTTPS-соединение, то вы можете избежать многих рисков, проблем и последствий. Сайты без SSL сейчас даже поисковики не жалуют.

Они считают, что такие ресурсы могут быть опасны для простых пользователей. Именно поэтому браузеры и поисковые системы помечают сайты без защищенного соединения как подозрительные или небезопасные.

Отсутствие защищенного протокола может быть опасно не только для пользователей, но и для самого сайта, потому что есть очень много уязвимостей, которые работают исключительно через HTTP-протокол. Если на вашем сайте будет корректный SSL-сертификат, то все эти уязвимости просто не будут работать.

Более подробно о том, как установить SSL-сертификат на сайт я рассказывал в отдельной статье. Рекомендую перейти туда и ознакомиться с этим материалом.

Используйте плагины, которые повышают защиту

Самым радикальным и одновременно действенным способом будет установка специальных плагинов, которые дополнительно защитят вашу платформу от взлома, вирусов и различных атак хакеров.

Принцип работы этих плагинов заключается в изменении и добавлении стандартного функционала WP.

Например, если ввести правильный логин и неправильный пароль, то WordPress выдаст ошибку, которая напрямую будет указывать на то, что здесь неправильный именно пароль, а логин верный.

Таким способом злоумышленники могут узнать ваш логин, даже если вы его поменяли. Им останется просто подобрать верный пароль и все.

С помощью плагинов можно изменять подобные нюансы, например, в случае с формой входа будет изменено информационное уведомление. То есть не будет понятно, что конкретно было введено неправильно: логин, пароль или, вообще, все вместе.

Также многие плагины могут изменять стандартные названия файлов, папок и таблиц в базах данных. Тогда у взломщиков не остается шансов, они просто не будут знать, в какую сторону надо копать.

В общем, функций у таких плагинов достаточно. Я подготовил для вас небольшую подборку. В ней я расскажу о наиболее популярных расширениях.

  • Wordfence Security – Firewall & Malware Scan

Отличный плагин, который можно установить прямо из панели управления WordPress. Его же можно скачать с официальных репозиториев.

Это комплексное решение, которое позволяет полностью защитить вашу платформу от всевозможных угроз. Здесь есть инструменты, которые могут изменять стандартный функционал WordPress, делая его более безопасным. Это и изменение названий в файлах, папках, и дополнительная защита в виде улучшенной формы входа.

Также вы можете добавить двухфакторную авторизацию, и пользователь будет вынужден каждый раз вводить код, который будет приходить на мобильный телефон.

Помимо всего прочего, в этом плагине есть встроенный сканер. Используя его, вы сможете сканировать все файлы вашего сайта на наличие вредоносного кода. Однако если вы не устанавливаете плагины и темы из непроверенных источников, то этого вредоносного кода там и не будет.

У этого плагина есть две версии: бесплатная (ее вы устанавливаете из каталога либо же скачиваете с репозиториев WP) и платная (стоит 99 долларов).

Платная версия имеет дополнительные преимущества и расширенный функционал. Но для большей части вебмастеров хватит и базовой версии, там полно крутых инструментов, которые полностью защищают WordPress от всякого рода напастей.

Еще один комплексный модуль для WP, который может обеспечить повышенный уровень безопасности. Здесь есть очень много функций, включая изменение логина администратора, смену префиксов в таблицах БД, изменение названий папок, сканер и т. д. Это прямой конкурент предыдущему плагину. В каких-то моментах он его превосходит, в каких-то наоборот.

  • All In One WP Security & Firewall

Неплохое расширение, которое имеет много различных функций. Здесь есть инструменты по защите аккаунтов, баз данных, файлов сайта и т. д. Этот плагин также можно установить прямо из каталога WordPress. Достаточно просто перейти в нужный раздел панели управления и ввести его название.

Неплохой особенностью этого модуля можно считать поддержку русского языка. В двух других тоже могут быть переведенные фрагменты, но этот плагин переведен полностью.

Заключение

Чтобы защитить свой проект на базе WordPress, придется серьезно подходить к делу и не допускать каких-то ошибок или просчетов. Важно понимать, что если вы хотите защитить сайт, то нужно в первую очередь позаботиться о безопасности своего рабочего компьютера или устройства, с которого вы работаете.

Также нельзя забывать и про хостинг. Если злоумышленник узнает данные от хостинга сайта, он сможет сделать с ним все, что захочет.

Именно поэтому к безопасности нужно подходить комплексно. В этом случае вы снижаете риск получения вирусов или взлома. Кстати говоря, вопрос безопасности рассматривается в курсе для вебмастеров от Василия Блинова. Также там говорится о методах борьбы с хакерами и взломщиками.

Если вам интересна тема заработка на информационных ресурсах, то я рекомендую перейти по ссылке выше и ознакомиться с курсом.

В нем подробно рассказано о том, как создать собственный блог или сайт-статейник под монетизацию. Весь курс разделен на информационные блоки, а сами блоки на уроки.

Ученики пошагово проходят уроки и выполняют домашние задания. Также они могут рассчитывать на помощь и консультацию от экспертов или других учеников.

А на этом все. Следите за безопасностью своего сайта и своевременно делайте резервное копирование.

10 шагов для защиты вашего WordPress блога

codepoet 24 июня 2009 в 15:38 Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков.

Это касается и WordPress — при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress — как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin», которое отображается только после авторизации.

Мы сознательно выделили фразу “после авторизации” — вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.

Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.

1. Переименуйте папку wordpress

Начиная с версии 2.6, стало возможным изменять путь к папке wp-content. К сожалению это до сих пор неприменимо к папке wp-admin. Думающие о безопасности блоггеры смирились с этим и стали надеяться, что это станет возможным в будущих версиях. Пока этого не случилось, предлагаем воспользоваться следующим альтернативным решением проблемы.

После распаковки архива с файлами WordPress, вы увидите папку «WordPress» — переименуйте папку (в идеале во что-то непонятное вроде wordpress_live_Ts6K”) и после этого настройте соответственным образом файл wp-config.php, который находится в корневой директории.

Что нам даст это изменение?

  • Во-первых, все файлы WordPress не будут смешаны с другими файлами в корне сайта, таким образом мы повысим ясность корневого уровня.
  • Во-вторых, множество копий WordPress может быть установлено параллельно в папки с разными именами, исключая их взаимодействие, что делает это идеальным для тестирования
  • Третье преимущество напрямую касается безопасности: административная зона (и весь блог в целом) больше не находится в корневой папке и для проведения каких-либо действий по взлому сначала ее нужно будет найти. Это проблемно для людей, но что касается ботов — вопрос времени.
Читайте также:  Обучение копирайтингу - пошаговый курс для копирайтеров с нуля

Несколько установленных версий в root-каталоге — это возможно!

Примечание: Если системные файлы WordPress больше не в корневой директории, и имя папки инсталяции изменено в соответствии с рекомендациями, описанными выше, блог будет все равно доступен по адресу wp-config.ru. Почему? Зайдите в раздел «Общие настройки (General settings)» вашего блога и введите в поле «WordPress address (URL)» реальный адрес блога на сервере, как показано в примере:

Адрес блога должен быть красивым и ненавязчивым Это позволит блогу отображаться по красивому виртуальному адресу.

2. Усовершенствуйте файл wp-config.php

Конфигурационный файл WordPress wp-config.php содержит в себе некоторые настройки сайта и информацию для доступа к базе данных. Также там другие настройки, касающиеся безопасности (они представлены в списке ниже).

Если таких значений в этом файле нет, или же имеются только установленные по умолчанию, вам необходимо, соответственно, добавить или изменить их:

  • Ключи безопасности: начиная с версии 2.7, в WordPress есть четыре ключа безопасности, которые должны быть правильно установлены. WordPress спасает вас от необходимости выдумывать эти строки самому, автоматически генерируяправильные ключи с точки зрения безопасности. Вам просто нужно вставить ключи в соответствующие строки файла wp-config.php. Эти ключи являются обязательными для обеспечения безопасности вашего блога.
  • Префикс таблицы заново установленного WordPress блога не должен быть стандартным «wp_» Чем больее сложным будет значение префикса, тем менее вероятна возможность несанкционированного доступа к таблицам вашей MySQL базы данных. Плохо: $table_prefix = 'wp_';. Намного лучше: $table_prefix = 'wp4FZ52Y_'; Не стоит бояться забыть это значение — вам необходимо ввести его только один раз, больше оно вам не понадобится.
  • Если у вас на сервере доступно SSL шифрование, рекомендуется включить его для защиты административной зоны. Это можно сделать, добавив следующую команду в файл wp-config.php: define('FORCE_SSL_ADMIN', true);

Также вы можете регулировать другие системные настройки в конфигурационном файле. Четкий и исчерпывающий список доступных настроек доступен на странице Кодекса Не пренебрегайте установкой правильных ключей безопасности!

3. Переместите файл wp-config.php

Также начиная с версии 2.6, WordPress позволяет перемещать файл wp-config.php на высший уровень.

По причине того, что этот файл содержит в себе намного более важную информацию, чем какой либо другой, и потому что всегда намного сложнее получить доступ к корневой папке сервера, имеет смысл хранить его не в той же директории, где и остальные файлы.

WortdPress автоматически обратится к высшей папке в поиске файла wp-config.php. Любые попытки пользователей самим настроить путь бесполезны.

4. Защитите файл wp-config.php

Не все ISP серверы позволят вам передавать данные на более высокие уровни, чем корневая директория. Другими словами, не у всех хватит прав для осуществления предыдущего шага.

Или по другим причинам: например, если у вас несколько блогов, при определенной структуре папок у вас не получится положить в корень все файлы, так как их имена будут совпадать для каждого из блогов. В этом случае мы можем запретить доступ к файлу wp-config.php извне при помощи файла .htaccess.

Вот код для этого: [code]# protect wpconfig.php
Order deny,allow
deny from all [/code]

Очень важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php.

5. Удалите учетную запись администратора

Во время процесса установки WordPress создает учетную запись администратора с ником «admin» по умолчанию. С одной стороны это вполне логично, с другой — пользователь с известным ником, т.е. ID — 1, обладающий административными правами, является вполне предсказуемой мишенью для хакеров с их программами подбора паролей.

Отсюда следует наш совет:

  • Создайте еще одного пользователя с административными правами и вашим ником.
  • Завершите сеанс работы.
  • Залогиньтесь под новым аккаунтом.
  • Удалите учетную запись “admin“.

Если у вас не новый блог и под учетной записью admin вы уже публиковали посты или комментарии, то из предложенных вариантов в момент удаления, выберите пункт «Связать все записи и ссылки с:» и выберите имя нового пользователя:

Примечание: В идеале желательно чтобы логин нового пользователя отличался от отображаемого имени пользователя в постах, чтобы никто не узнал ваш логин.

6. Выберите сильный пароль

Вероятность и частота потенциальных атак прямо зависит от популярности блога. И желательно до этого момента быть уверенным, что в вашем сайте не осталось слабых звеньев в цепи безопасности. Чаще всего именно пароли являются самым слабым звеном в этой цепи. Почему? Способы выбора пароля у большинства пользователей зачастую необдуманны и беспечны.

Многие проведенные исследования показали, что большинство паролей — односложные существующие слова, набранные строчными буквами, которые не сложно подобрать. В программах подбора паролей существуют даже списки самых часто используемых паролей.

В WordPress реализован интуитивно понятный индикатор стойкости набираемого пароля, который показывает цветом его уровень сложности:

Мы рекомендуем использовать как минимум семь символов, комбинировать строчные и прописные и использовать служебные символы такие как! “? $ % ^ & ( ).

7. Защитите папку «wp-admin»

Следуя пословице «две головы лучше одной», существует способ вдвое усилить защиту административной зоны. Защита регулируется файлом .htaccess, который должен находится в папке «wp-admin» вместе с файлом .htpasswd, который хранит логин и пароль пользователя.

После обращения к папке, вам нужно будет ввести логин и пароль, но разница в том, что в этом случае авторизация контролируется на стороне сервера, а не силами самого WordPress.

Для того чтобы просто и быстро сгенерировать файлы .htaccess и .

htpasswd, воспользуйтесь этим сервисом.

8. Запретите отображение ошибок на странице авторизации

Страница авторизации WordPress — это дверь в административную зону вашего блога, которая становится доступна после безошибочного прохождения верификации. У каждого пользователя существует бесконечное количество попыток авторизации, и каждый раз по умолчанию услужливый WordPress указывает, в чем именно была ошибка.

То есть, если введенный логин окажется неверным — WordPress так и скажет. Это удобно для пользователя, но также и для хакера.

Несложно догадаться, как быстро сокращается вероятность подбора комбинации логина/пароля, когда система указывает что именно введено неверно.

Простая строка кода, поможет решить эту проблему, достаточно добавить её в файл functions.php вашей темы:

[php]add_filter('login_errors',create_function('$a', «return null;»));[/php] Изначальный/измененный вид страницы авторизации.

9. Ограничьте количество неудачных попыток авторизации

WordPress не ведет статистику авторизаций, как удачных, так и нет. Это очень неудобно для администратора, так как у него нет возможности увидеть были ли попытки несанкционированного доступа, чтобы принять какие-либо меры, если они участятся.

Предлагаем два решения: плагины Login LockDown и Limit Login Attempts. После установки они не только ведут лог авторизаций, но также ограничивают количество неудавшихся попыток авторизации, блокируя на определенное время IP пытающегося.

10. Поддерживайте актуальные версии

И последнее: как правило разработчики WordPress очень быстро реагируют, если находят уязвимости в движке. Поэтому следите за обновлениями и обновляйтесь, когда возможно. Благо сам WordPress оповещает о выходе новой версии. Это касается и плагинов — держите их версии актуальными.

Запомните: меньше значит лучше, когда это касается любых надстроек и аддонов. Как администратор, вы должны удостовериться, что у вас установлены и активны, только те плагины, которые действительно вам нужны. Каждый плагин — это потенциальный риск и угроза безопасности, так как все они разрабатываются посторонними разработчиками.

А вы?

Как вы защищаете свой блог от взлома? Что используете для этого?

Перевод с сайта WordPress для каждого!

Ссылка на основную публикацию