Запись блога
Рекомендации по защите сайта на WordPress
WordPress – это отличная платформа для создания сайтов. Учитывая бесплатность движка и богатый функционал, платформу успела оценить большая аудитория веб-мастеров. Вот только далеко не все задумываются о безопасности своих трудов и живут в счастливом неведении до первой хакерской атаки.
Что может случиться с веб-ресурсом
Создавая блоги, многие веб-мастера начинают нашпиговывать их различными «полезными» плагинами и огромным количеством текстового или графического контента. Но сосредоточившись на развитии сайта, почему-то никто не задумывается о взломщиках, которым не составит труда нанести ущерб любому незащищенному веб-ресурсу. Чаще всего блог взламывается для размещения рекламы или вредоносного программного обеспечения. Нередки случаи присвоения или полного удаления.
Резервное копирование
Один из наиболее примитивных способов сохранения данных – это резервное копирование. Дело в том, что база данных WordPress содержит каждую запись, ссылку и комментарий вашего блога, а значит, периодическое резервное копирование – это надежный способ сохранить все изменения на сайте. Конечно, способ не защищает от хакерских атак, и не предотвращает потерю данных, но он позволяет сохранить результат вашего труда и в кратчайшие сроки восстановить работоспособность веб-ресурса.
Как осуществить резервное копирование
Множество хостинг-провайдеров предоставляют услуги по созданию резервной копии размещаемых сайтов. Если такие услуги не предоставляются, копировать данные можно и «вручную», используя различные FTP-клиенты. Но всё же гораздо удобнее это делать при помощи специальных программ синхронизации. К примеру, WinSCP позволяет выполнить синхронизацию с вашим веб-ресурсом и сможет копировать последние версии файлов и контента на жесткий диск.
Плагины для резервного копирования
Нужно отметить, что возможность бэкапа имеется в базовом функционале WordPress. С ним можно ознакомиться в разделе «Инструменты-Экспорт». Таким образом, можно сохранить XML-файл, содержащий текстовую информацию вашего веб-ресурса. Восстановление осуществляется в разделе «Импорт».
Для того чтобы делать регулярные бэкапы баз данных WordPress, можно воспользоваться плагинами Simple BackUp, BackUp WordPress, WP Remote, Online Backup и VaultPress.
Защита для WordPress при установке
Конечно, резервное копирование – первая мера, которая поможет быстро восстановить поврежденный сайт. Но куда важнее избежать подобных ситуаций. Поэтому в первую очередь, следует выполнить некоторые действия сразу же после установки.
Совет 1: Обновляйтесь
Работая с WordPress, следует использовать наиболее актуальную версию движка, которую необходимо скачивать только на официальном сайте: разработчики стараются узнавать о новых уязвимостях и поскорее исправлять их в обновленных версиях. Важно запомнить, что своевременное обновление движка и установленных плагинов позволяет не только расширить функционал, но и уменьшить количество «дыр» в безопасности, поэтому пренебрегать обновлением не стоит.
Совет 2: Не используйте «admin» в качестве имени пользователя
Следует сразу же изменить логин администратора. По умолчанию в WordPress использован логин – «admin». Не трудно догадаться, сколько времени это сэкономит взломщику. Кроме того, для перестраховки можно зарегистрировать новый профиль администратора, удалив старый. Это делается для того, чтобы злоумышленник не смог узнать ник по ID: изначально администратор будет числиться под номером «1».
Совет 3: Выбирайте сложные пароли
Конечно, позаботиться следует и о сложности пароля, который должен состоять из большого количества символов разного регистра. Также для усложнения пароля можно использовать цифры и знаки препинания. Поменять пароль можно через админку, в меню слева. Для этого необходимо перейти по вкладке «Пользователи» и выбрать пункт «Ваш профиль».
Совет 4: Защитите админку
Следующий шаг – защита админки. Как правило, большинство взломщиков используют программное обеспечение, которое работает по определенным шаблонам. Чаще всего атакующие пытаются сделать запрос к файлам «wp-login.php» и «wp-config.php». Для защиты от таких действий достаточно переименовать «wp-login.php» на новое имя, которое может содержать беспорядочный набор цифр и символов, в формате XXXXXXXXXXXX.php. Это действие позволит сменить адрес админки: изначально для входа в админ-панель используется стандартный адрес «название блога/wp-login.php» или «название блога/wp-admin».
Важно отметить, что необходимо переименовывать все файлы с данным именем (в том числе и те, которые находятся в самом файле), также данное имя следует ввести в файле wp-includes/general-template.php. Сделать это можно, открыв файлы текстовым редактором. К слову, почти все ключевые папки также можно переименовать (к примеру, некоторые веб-мастера предпочитают переименовывать даже папку wp-content). После этого доступ к файлам можно ограничить через «.htaccess»:
1 2 3 4 |
<Files wp-config.php> order allow,deny deny from all </Files> |
Также файлом «.htaccess» можно защитить папку «wp-admin», да и практически любую папку или файл. Следует отметить, что защитить можно и файл «.htaccess», но это действие может вызвать конфликт с некоторыми темами или плагинами.
Не лишним будет ограничить доступ к содержимому папок директории от просмотра браузером, для этого можно создать пустые файлы index.html или index.php и забросить их во все папки и подпапки. Запретить просмотр определенных директорий на сервере можно командой «Options All -Indexes».
Совет 5: Спрячьте версию своего WordPress
Еще один профилактический шаг – убрать всю лишнюю информацию. Дело в том, что даже информация о версии движка может стать поводом для взлома, если злоумышленник узнает, что вы не успели обновить версию системы WordPress, и некоторые уязвимости все еще открыты. Во-первых, в корне сайта имеются файлы license.txt и readme.html. Данные файлы никак не влияют на работу сайта, но если они достанутся взломщику, они могут предоставить некоторую полезную информацию. Также следует удалить информацию о версии, которая доступна всем пользователям. Для этого нужно зайти во вкладку «Внешний вид», после чего выбрать «Редактор» и открыть файл «header.php». В нем необходимо удалить строчку в коде:
1 |
<meta name="generator" content="WordPress 3.8.1" /> |
Защита при помощи плагинов
Выполнив ряд профилактических мероприятий, описанных выше, можно избежать многих проблем. Тем не менее, обезопасить свой веб-ресурс от профессиональных атак можно только с помощью специальных плагинов. К тому же, некоторые плагины избавят вас от необходимости делать некоторые вышеперечисленные действия: достаточно выставить нужные галочки в настройках. А это исключит вероятность ошибиться, что особенно актуально для новичков, не разбирающихся во всех тонкостях программных кодов. К примеру, плагин Lockdown WP Admin способен сменить адрес админки, если зайти в настройки, найти поле «WordPress Login URL» и ввести в него новый адрес. Как видно, редактировать множество файлов не придется. Также плагин может скрывать каталог «wp-admin» и выдавать ошибку 404 при запросе.
Если говорить о способах взлома веб-ресурсов, то наиболее популярным из них остается подбор пароля. Так как WordPress не ведет статистику попыток несанкционированного доступа, и не пресекает такие попытки, приходится решать эту проблему плагинами.
Login Lockdown – это плагин, который может фиксировать все несостоявшиеся попытки входа в админку. В статистике сохраняется время и IP-адрес таких попыток. Но самая полезная функция – плагин способен блокировать доступ к сайту на определенное время, если количество таких попыток превысит заданное значение. Если зайти в настройки Login Lockdown и разобраться во всех пунктах, можно настроить:
- количество попыток входа в админку;
- период времени для осуществления повторной попытки;
- время, на которое доступ к админке блокируется;
- учет неправильного ввода логина;
- маскировку ошибок ввода (когда взломщику облегчается задача, если он ошибся при вводе логина).
Limit Login Attempts – плагин, предлагающий примерно тот же функционал, он также способен блокировать IP, с которого осуществляются неудачные попытки авторизации.
Ask Apache Password Protect – плагин предотвращает возможные атаки, работая с файлами «.htaccess». Примечательно, что он работает на уровне сети, без использования php.
Sideways8 Custom Login and Registration – скрывает работу встроенной опции авторизации.
Login Dongle – дополнительная защитная оболочка для вашей админки. Вводит дополнительный защитный вопрос, не меняя страницу авторизации.
WordPress HTTPS (SSL) – пакетное решение для защиты авторизации и поиска ошибок.
ALL IN ONE WP SECURITY – об этом плагине можно сказать очень многое. Всё потому, что это комплексное решение, обеспечивающее безопасность:
- он способен блокировать неудачные авторизации и вести логи активности;
- добавляет капчу при регистрации всех пользователей блога;
- осуществляет резервное копирование базы данных;
- закрывает доступ к важным WP-файлам;
- защищает от спама;
- защищает от брутфорс атак.
Но, пожалуй, основное преимущество программы – фаервол. Он предотвращает хотлинки, блокирует роботов и обеспечивает безопасность дополнительным брандмауэром. За дополнительную оплату, предусмотрен и сканнер, отслеживающий вредоносные программы и изменения в файлах.
Сканнеры и антивирусы
Несмотря на то, что существует большое количество плагинов безопасности, гарантировать полную защиту они не могут. Ведь помимо простых атак подбором пароля, существуют и другие угрозы. В частности, это вирусы, которые внедряются в сайт в виде вредоносного кода. Его не так уж легко обнаружить своими силами. К тому же, обезопасив свой веб-ресурс некоторыми из представленных выше средств, можно оставить другие уязвимости, которые вы не учли. Поэтому, для поиска уязвимостей следует использовать специальные сканнеры, которые помогут вам понять, в каком направлении следует укреплять оборону вашего блога. Для поиска вредоносного кода следует использовать антивирусы.
WPScanner – мощное решение, позволяющее выявить потенциальные проблемы. Ведь если вы не воспользуетесь их поиском, не факт, что подобной программой не воспользуются взломщики для поиска легких путей к вашему блогу. Итак, за счет чего же WPScanner завоевал популярность:
- имеет актуальную обновляемую базу;
- показывает наиболее полную информацию о версии WordPress, а также рассказывает обо всех уязвимостях;
- проводит сканирование на наличие уязвимых тем;
- показывает список плагинов, а также выделяет наиболее уязвимые.
Вообще, существует немало сканнеров, которые определяют уязвимости. Но их проблема именно в наличии актуальной базы. К примеру, Plecost – это хорошее решение для сканирования уязвимых плагинов, но её базы давно не обновлялись. Поэтому, несмотря на то, что функционал сохранен, новые возможности, которые могут использовать для нанесения ущерба сайту, программа не найдет.
Theme Authenticity Checker (TAC) – плагин, который предназначен для проверки установленных тем, о чем свидетельствует и название. Воспользовавшись данным решением, можно проверить темы WordPress на наличие Base64-кодов и скрытых ссылок в футере. При обнаружении, сразу же отображается путь к теме, а также номер строки с куском подозрительного кода.
Exploit Scanner – средство, сканирующее базу данных сайта на предмет сомнительных файлов. Он обнаруживает признаки подозрительной вредоносной активности, также проверяет имена файлов, но решение об удалении остается исключительно за вами.
Acuntetix WP Security – еще один плагин, предоставляющий перечень защитных действий. Сканирует блог на ошибки безопасности, скрывает доступ к версии движка блога, проверяет разрешения в файловой системе, может удалять из кода ядра мета-теги. Из преимуществ – бесплатность и универсальность.
Sucuri Security – плагин, который хорошо зарекомендовал себя в обнаружении вредоносного кода. Помимо этого, плагин ведет мониторинг загруженных на WordPress файлов, уведомляет о безопасности, мониторит черный список и другое. Также можно активировать платное дополнение – достаточно мощный фаервол.
Wordfence – в отличие от большинства сканнеров, это плагин, защищающий веб-ресурс в реальном времени. Обеспечивает безопасность от многих известных кибер-атак, сканирует на наличие уязвимостей, при обнаружении блокирует всю зараженную сеть.
Anti-Malware – плагин, интересный тем, что позволяет не только сканировать платформу на наличие вирусов и различных вредоносных угроз, но и способен удалять всё это. Среди функций имеется как экспресс-сканирование, так и полное сканирование. Можно настроить удаление угроз в автоматическом режиме.
В целом, для WordPress существует немало антивирусов. К примеру, WordPress AntiVirus, WP Antivirus Site Protection, Antivirus For WordPress и другие. Несмотря на схожесть названий, они имеют некоторые различия в устройстве и работе, хотя и выполняют одни и те же задачи:
- сканируют на предмет вредоносного кода;
- сканируют загружаемые файлы;
- удаляют вредоносный код и файлы;
- мониторят подозрительные инъекции.
Конечно, отличия в работе имеются, но остановиться на каком-то определенном решении можно только поработав с ним. Также стоит отметить, что лучше не перегружать движок большим количеством плагинов, а выбрать несколько наиболее оптимальных.
4 Комментария
Добавить комментарий
Для отправки комментария вам необходимо авторизоваться.
Полезная статья — взяла себе на заметку. Много новой для меня информации. Буду применять, спасибо!
Отлично. Теперь более качественно смогу настроить свой блог. А то постоянно какие то баги и уходит много времени на их устранение.
Я еще только задумываюсь о создании своего сайта. Все рекомендуют делать его именно на WordPress. Благодаря данной статье я узнал как правильно защитить свой сайт при его создании. Как правильно спрятать всю необходимую информацию. Полезная и поучительная статья.
Да, очень практичные советы. А я вот постоянно использую имя «admin», теперь не буду этого делать.