Содержание
Каждый владелец сайта на WordPress, должен в первую очередь заботиться о его безопасности. Все дело в том, что большой процент людей, создающих сайты на этой платформе, не задумываются об их защите.
Большинство ошибочно полагает, что достаточно просто вовремя обновлять версию WP и все будет хорошо. Это, безусловно, так, однако все исправления, которые появляются в новых версиях, обычно обнаруживаются именно благодаря пользователям, которые уже стали жертвами хакеров и взломщиков.
На самом деле невозможно гарантировать абсолютную безопасность ни одного сайта, и не только на поддерживаемом самостоятельно WordPress, но мы можем значительно усложнить взлом для ботнетов и хакеров.
Ниже мы поговорим о важных вещах, которые вам нужно знать о безопасности WordPress и плагинов. Но для начала давайте разберемся, как же хакеры обычно производят взлом, что бы понять, от чего нужно защищаться.
Наиболее распространенные сегодня методы взлома
В первую очередь, давайте поговорим о том, какие сегодня существуют способы взлома и атаки сайтов на платформе WP:
Nuke атака – DDOS атака
Для начала поговорим о Nuke атаках. Сегодня они уже не являются актуальными и могут принести вред только тем, кто пользуется выделенными серверами. Суть заключается в том, что начинающий хакер (если его можно так назвать) может взломать сервер, используя специальное ПО, которое отправляет большое количество пинг-запросов на IP адрес, где размещен ваш сайт. И, если, ваш сервер не настроен должным образом для фильтрации подобного рода атак, то он не сможет справиться с обработкой других запросов и зависнет. Кроме того, если ваш сервер работает на Windows — это может привести к появлению печально известного Синего Экрана Смерти.
DDOS-атака — это более современный метод взлома. Он нацелен на то, чтоб «положить» сервер и прервать передачу данных веб-ресурса с целью добавления троянов и других вирусов, которые в дальнейшем позволят управлять сайтом в своих корыстных целях.
Лучшее, что можно сделать для защиты от таких взломов — пользоваться услугами проверенных, известных хостинг-провайдеров. Как правило, у них мощные сервера, которые обеспечивают должный уровень безопасности от любых DDOS-атак. Кроме того, заранее убедитесь в том, что вы не используете Windows XP (Service Pack 2), Windows 2000 SP4 или Windows NT 4.0 SP6a.
Brute Force атаки
Сегодня этот метод, безусловно, является большой брешью в безопасности платформы WordPress. Так, основная цель Brute Force атак — получение логина и пароля администратора или одного из пользователей. Хакеры, используя специальные программы и алгоритмы, могут с помощью перебора достаточно быстро найти необходимые пароли и логины, если вы не используете соответствующих мер предосторожности, и таким образом получить контроль над вашим сайтом.
Наиболее эффективными методами защиты, сегодня является использование капчи или специального плагина, который блокирует ненадолго систему, при вводе неправильного пароля или логина несколько раз подряд. Мы рассмотрим такие плагины ниже.
SQL Injection
Пожалуй, самый опасный и сложный из видов атак, которые существуют сегодня. Основная цель — проведение комплексного анализа сайта, плагинов и хостинга, тем оформления и других мест, для обнаружения «дыр» в безопасности. В большинстве случаев, уязвимыми местами являются шаблонные дизайны или плагины, поэтому необходимо тщательно проверять их перед установкой.
7 этапов для повышения безопасности собственного сайта на WordPress
Запрещаем просмотр папок
Не забывайте по мере возможностей отключить общий доступ к служебным папкам. Для этого вам нужно в файл .htaccess, добавить строку:
"Options All –Indexes"
Имейте в виду, что не следует менять ничего в этом файле, если вы не уверены в том, что делаете. Если этот файл уже содержит какие-то команды, то не меняйте их, а просто добавьте еще одну строку в конец файла!
Новый логин и пароль для администратора
Не забывайте о том, что большинство взломов хакеры проводят, получая логин и пароль администратора. Очень часто можно встретить сайты, на которых учетная запись администратора вообще единственная. Пароли в большинстве случаев подбирают по словарю, так что убедитесь, что вы используете пароль достаточной сложности.
Так, если вы только начали установку WordPress, то лучше сразу заменить стандартный логин «Admin» на свой. Если же WordPress уже установлен, то лучше создать новую учетную запись с правами администратора. Войдите в новую учетную запись, проверьте, что ей присвоены административные права, а потом удалите учетную запись admin. Также, напоминаем, что не стоит использовать как логин название собственной фирмы или свое имя, лучше всего использовать что-то отстраненное.
Помните, что опытный хакер все равно может узнать ваш логин, поэтому также необходимо позаботиться о мощном, надежном пароле. Так, пароль должен быть не менее 16 символом, и состоять из строчных и заглавных букв, цифр и спецсимволов. Например:
MyStrongestP4$$WOrd0SOfar
Обновляйте WordPress и темы!
Не забывайте об установке обновлений. Как только они появляются, они должны быть установлены, так как в большинстве случаев содержат исправления ошибок. Даже небольшие дополнения и изменения, могут спаси ваш сайт и повысить уровень безопасности. Если у вас много сайтов на WordPress, то следить за ними всеми вам поможет ManageWP, который создан как раз для корпоративного использования.
Файлы WordPress не единственное, что требует обновления. Если вы посмотрите на недавние проблемы безопасности, то увидите, что основным их источником был скрипт timthumb.php, который используется для создания миниатюр изображений. И многие темы по-прежнему используют его. WordPress, к сожалению, не может подсказать вам, что устанавливаемый модуль или тема содержат уязвимости.
Лучшим способом проверки безопасности плагина или шаблона будет почитать отзывы о нем. Просто попробуйте задать поисковой системе запрос “название темы/шаблона проблемы безопасности”. Если проблема существует, то практически наверняка вы о ней узнаете. И всегда старайтесь использовать последние версии тем и плагинов.
Удалите все лишнее
Не забывайте удалять все лишнее, особенно плагины, которые вы больше не используете. Обычно происходит так, что старый плагин просто деактивируется и остается храниться где-то в панели управления. Проходит время, и владелец сайта просто забывает о нем. Запомните, что именно такие плагины, могут стать уязвимым местом, которое поможет хакеру получить доступ к вашему хостингу.
Внесите изменения в файл functions.php
Файл functions.php может быть так же использован хакерами. Он отображает информацию о версии WP, которую вы используете, что может дать злоумышленнику дополнительное преимущество. Для того чтоб исключить эту слабость, необходимо добавить в файл следующий код:
remove_action( ‘wp_head’, ‘wp_generator’ ); remove_action( ‘wp_head’,’rsd_link’ ); remove_action( ‘wp_head’,’wlwmanifest_link’ );
И еще одно. Случается, что при входе в аккаунт, вы можете ввести неправильный пароль. Информация о неудачных попытках сохраняется в соответствующем журнале, которым также могут воспользоваться хакеры. На основе неправильных паролей, они могут вывести настоящий. Для того чтоб этого не случилось, в тот же файл functions.php, добавляем код:
function no_errors_please(){ Return ‘Nope’; } add_filter( ‘login_errors’, ‘no_errors_please’ );
Чаще экспортируйте ваши записи в формате ХML!
Еще один важный момент — регулярное создание резервных копий сайта, которые, при необходимости, позволят сделать откат системы до точки сохранения. Так, если вы не хотите рисковать и скачивать специальный плагин для этого, вы всегда может выполнить резервное копирование вручную, используя при этом «Инструменты» в админке WordPress.
Запретите редактирование файлов через WordPress!
Очень многие пользователи используют встроенный редактор WordPress для работы с файлами. В случае если хакер получит доступ к вашей учетной записи это дополнительная угроза. И если нет острой необходимости постоянно его использовать, лучше всего отключить редактор. Сделать это просто, достаточно добавить в файл wp-config.php, следующий код:
define( 'DISALLOW_UNFILTERED_HTML', true );
Плагины для повышения безопасности WordPress
Двухэтапная авторизация Google
Этот плагин позволяет усилить защиту учетной записи, так как вход в нее будет происходить в два этапа, и одного пароля для взлома административной панели будет недостаточно. Каждый пользователь Googlе, у которого уже есть собственный аккаунт, знает, что для аутентификации необходимо подтвердить ее, при помощи привязки номера телефона. На него отправляют sms-сообщение со специальным кодом. Представленный плагин аналогичен в работе и прост в управлении. Скачать его можно здесь.
WordPress Backup to Dropbox
Что бы мы ни делали, существует опасность, что хакеры все же добьются своего. Поэтому, нам всегда нужно иметь резервную копию со всеми данными, включая базу данных SQL, плагины, шаблоны, настройки, записи, изображения и т.д. WordPress Backup to Dropbox — замечательный плагин, который сильно облегчит вам эту работу. Этот плагин, в отличии от большинства копирует на Ваш аккаунт Дропбокса все изменённые файлы. Таким образом, настроив ежедневное копирование, у Вас всегда будет свежая копия Вашего сайта. Подробнее о нем вы можете почитать тут.
Существуют также похожие бесплатные плагины, такие как BackUpWordpress, X Cloner, Online Backup For WordPress и WP Complete Backup, однако я использую на всех сайтах сам и настоятельно рекомендуем использовать WordPress Backup to Dropbox.
Better WP Security
Удобный плагин, который проверяет сайт на уязвимости. Он выполняет сканирование плагинов и паролей, таблиц SQL, защищает панель управления от атак перебором, переименовывает раздел wp-content, проверяет безопасность .htaccess и так далее. Для того чтоб узнать больше, перейдите по ссылке.
Login Lockdown
Несмотря на то, что этот плагин не обновлялся уже два года, но все еще очень эффективен при защите панели управления от атак перебором. При каждой неудачной попытке входа в систему, плагин автоматически определяет IP-адрес компьютера, с которого выполнялся вход и после некоторого числа таких попыток блокирует соответствующий диапазон адресов. Узнать о плагине Login Lockdown можно здесь.
Плагины CAPTCHA
Для платформы WordPress существует множество защитных плагинов CAPTCHA. Одни просят ввести код, другие задают контрольные вопросы. Выбор остается только за вами.
Мы очень надеемся, что представленное выше руководство, поможет вам максимально защитить собственный сайт от различных хакерских атак. Не стоит экономить время на собственной безопасности!
А как защищаете свои сайты вы?