WordPress безопасность

Привет, ребята! Когда твой сайт становится немного раскрученным, появляются постоянные читатели, получаешь огромное удовольствие. Вроде бы все круто. Растет и поток денег, и отклик получаешь от аудитории, увеличивается узнаваемость. Но существует и обратная сторона медали. Это завистники, это внимание со стороны недоброжелателей.

Чтобы вы представляли, о чем идет речь: мой блог только за прошлую неделю взламывали 2 раза. Постоянные посетители, думали, заметили. Ребята, я настоятельно рекомендую ознакомиться с данным уроком, потратить время на внедрение советов, о которых говорю, чтобы больше обезопасить свой сайт и сэкономить время, деньги и нервы.

Существует довольно много плагинов, связанных с улучшением безопасности, я пробовал многие, но все что-то не то. Либо блог «падал» непонятно из-за чего, либо сложно было понять, как работать. И все же, благодаря советам ребят, с которыми общаюсь на марафоне, удалось найти достойный, похвальный плагин, который очень сильно понравился. Абсолютно всем. Поэтому сразу же спешу поделиться с вами этой информацией.


All In One WP Security — это самый необходимый плагин для увеличения безопасности в WordPress. Ставить его нужно всем, кто владеет сайтом на Вордпресс. Всем без исключения.

Если мой любимый плагин Yoast SEO — это комбайн в сфере SEO для WordPress, то плагин WP Security — аналог в сфере безопасности. То есть, если благодаря Yoast SEO я перестал нуждаться в нескольких SEO плагинах, то здесь точно также, благодаря All In One WP Security можно избавиться от других плагинов, которые лишь частично выполняют функции данного. Например, как:

  • Login Lockdown;
  • WordPress Database Backup;
  • Anti-XSS attack;
  • и другие подобные.

Огромные плюсы плагина All In One WP Security:

  • бесплатный;
  • настраивается очень просто;
  • практически все переведено на русский язык, поэтому понятно о чем идет речь.

Настройка плагина All In One WP Security

Обязательно сделайте бэкап (резервную копию) перед началом работы (на всякий случай) следующих файлов:

  • база данных;
  • файл wp-config;
  • файл htaccess.

Кстати, резервные копии этих трех файлов можно сделать прямо в данном же плагине, просто в админке перейдите в WP Security — Настройки:

WP Security резерв

Панель управления

Тут есть очень крутой информер, который показывает уровень защищенности вашего сайта:


Панель управления All In One WP Security

Этот показатель поможет держать руку на пульсе и понимать, что еще нужно сделать для улучшения безопасности. Не рекомендую делать все, ради достижения максимальных баллов. Могут быть плохие последствия, ваш сайт может упасть, ошибочно функционировать.

Текущий статус самых важных функций. В этом блоке можно активировать самый необходимый функционал по безопасности вашего сайта (можете пока не трогать их, в ходе настроек по уроку, данные параметры активизируются итак):

Статус All In One WP Security

Остальные параметры в Панели управления малоинтересны, Вы можете ради любопытства ознакомиться с ними (Информация о системе, Заблокированные IP адреса, AIOWPS.

Настройки

Общие настройки. Тут можно создать резервные копии файлов, о которых я говорил выше. Также отключить функции безопасности и файерволла, если что-то перестало работать.

WP мета-информация. Нажимаем на галочку напротив «Удаление метаданных WP Generator», чтобы не отображать версию WordPress:


Удаление WP Generator

Вкладка «Импорт/Экспорт». Здесь можно экспортировать свои настройки, чтобы потом на другом сайте не тратить время на настройки и импортировать в 2 клика все необходимые «галочки».

Администраторы

Пользовательское имя WP. Обязательно (!) смените имя администратора, если оно у вас «admin». Вы не представляете как много и часто подбираются пароли с логином admin. Если еще к тому же пароль очень легкий, ваш сайт легко может быть взломан.

Логин admin WP Security

Отображаемое имя. Если на вашем сайте есть аккаунты, у которых имя пользователя и отображаемое имя совпадает, то рекомендуется изменить отображаемое имя (никнейм).

Пароль. Очень интересная вкладка. Тут можно узнать, за какой промежуток времени можно подобрать в автоматическом режиме ваш пароль. Введите свой пароль и сильно удивитесь, насколько быстро его можно взломать. Обязательные условия для усиления безопасности:

  • в вашем пароле должны быть как заглавные, так и строчные буквы;
  • обязательно наличие хотя бы 1-ой цифры, но никак пароль не должен состоять только из цифр;
  • желательно еще наличие какого-либо спецсимвола;
  • длина пароля должна быть более 10 символов.

В итоге у вас должен быть максимальный степень безопасности вашего пароля, что-то в этом роде (пароль ниже домашний компьютер взломал бы за 57 337 лет (!) ):

Надежность пароля

Авторизация

Блокировка авторизаций. Обязательно включите эту функцию. Если пароль в течении 5-ти минут (по умолчанию)  введется 3 раза неправильно, то IP блокируется на 60 минут (тоже по умолчанию). Я не рекомендую ставить блокировку больше по времени, а то можно столкнуться  с тем, что сами администраторы вводят логин 3 раза неправильно, ставят блокировку на 10 лет и не знают что делать. Оставляем по умолчанию 60 минут и не паримся.

Также я рекомендую поставить галочку напротив «Сразу заблокировать неверные пользовательские имена». К примеру, вы поменяли логин с admin на krutysh, то при вводе логина admin в поле для авторизации, сразу же заблокируется IP адрес. «Уведомлять по email» — тут по мере необходимости. Я не люблю лишний спам, поэтому здесь галочку не ставлю.

Итоговые настройки данной вкладки у меня выглядят так:


Блокировка авторизаций

Если вам любопытно, можете глянуть список заблокированных IP, ссылка на раздел приводится в данной же вкладке ниже.

Ошибочные попытки авторизации. Вот здесь как раз видны те логины, которые подбираются. Чаще всего у меня сверкают логины admin, root, font. Также видны время «попыток». Обратите внимание, как часто пытаются войти в админку:

Ошибочный вход

Автоматическое разлогинивание пользователей. Рекомендую тоже включить данный чекбокс. Позволяет через определенное количество минут завершить сессию и разлогинить пользователя. Я ставлю 600 минут:

Разлогинирование пользователей

Вкладки «Журнал активности аккаунта» и «Активных сессий» носят информационный характер.

Регистрация пользователей

Ставим галочку напротив «Активировать ручное одобрение новых регистраций»:


Ручное одобрение

Да и можно поставить галочку CAPTCHA при регистрации:

Captcha при регистрации

Конечно, если нельзя зарегистрироваться другим людям на вашем сайте, верхние 2 пункта просто бесполезны, от них не станет ни лучше, ни хуже. Но, если вы сомневаетесь, лучше поставьте галочки в этих пунктах.

Защита базы данных

Здесь будьте аккуратны во вкладке «Префикс таблиц БД». Прежде чем поставить галочку, обязательно сделайте резервную копию своей базы данных (там же увидите ссылку на создание бэкапа своей БД). Если боитесь, сомневаетесь, лучше оставьте без галочки:

Префикс БД WP Security

Резервное копирование БД. Здесь уже ставим галочку, выбираем частоту создания бэкапов и их количество. У меня. к примеру, такие цифры:


Бэкап БД

Если вы не так категорически относитесь к чистоте в почте как я, то можете включить чекбокс для отправки бэкапов на свой электронный ящик.

Защита файловой системы

Доступ к файлам. Здесь в правой части у вас будут кнопки, вам нужно будет изменить права доступа к файлам, нажав на эти кнопки. В результате все строчки у вас должны стать зелеными:

Разрешения файлов

Редактирование файлов PHP. Если вы не правите свои PHP файлы через админку, ставим галочку. Править файлы через админку я не рекомендую хотя бы потому, что у вас нет возможности нажать CTRL+Z в случае чего и вы не сможете вернуть файл в исходное положение:

Правка PHP

Доступ к файлам WP.  Ставим галочку:

Доступ к файлам WP


Системные журналы. Оставляем по умолчанию.

WHOIS-поиск

Можете вбить IP адрес, либо домен для получения WHOIS какого-либо домена. А так по сути тут нечего трогать.

Черный список

Если у вас нет недоброжелателей, можете не включать данный пункт. Если какой-то IP адрес постоянно сверкает в комментариях, к примеру, можете включить чекбокс и внести данный IP в черный список.

Файрволл

Базовые правила файрволла. Если вы не делали до этого момента резервную копию htaccess, то обязательно делаем его. И ставим галочки напротив всех пунктов:

Файрволл WP Security

Дополнительные правила файерволла. Тут тоже включаем все галочки:

Правила Файрволл

UPDATE: ниже во вкладке «Дополнительная фильтрация символов» я убрал галочку, потому что некоторые комментарии не проходили, отдавали 403 ошибку. Наверное, все-таки, вам тоже я посоветовал бы убрать эту галочку, чтобы не было у пользователей проблем с комментированием.


Дополнительные настройки Файрволл

Настройки 5G файрволл. Тоже включаем:

5g файрволл

Интернет-боты. Здесь могут возникнуть проблемы с индексацией, поэтому я рекомендую не включать данный пункт.

Блокировка ботов

Предотвратить хотлинки. Тоже включаем.

Предотвращение хотлинков

Детектирование 404. Рекомендую включить. А время ставить минут 5.

Детектирование 404

Custom Rules. Можно задать дополнительные правила в файл htaccess. Ничего не трогаем.

Защита от брутфорс-атак

Переименовать страницу логина. Включаем. Меняем адрес логина на свой:


Страницы логина

Защита от брутфорс-атак с помощью куки. Я не включаю данную функцию, чтобы не было проблем со входом с разных устройств.

С помощью куки (авторизация)

CAPTCHA на логин. Можете включить CAPTCHA при авторизации, я же не включаю:

Captcha на страницу логина

Белый список для логина. Так как я часто захожу на сайт с разных мест, IP у меня разный, поэтому данную опцию я не включаю:

Белый список IP

Бочка с медом. Создается дополнительное поле, которое видят только роботы. Поэтому, при заполнении данного поля, робот будет перенаправлен на свой адрес. Включаем:

Бочка с медом

Защита от SPAM

CAPTCHA в форме комментариев. Я не включаю, так как не люблю усложнять комментирование, а вот функцию «Блокировка спам-ботом от комментирования» рекомендую включить:

Спам в комментах

Отслеживание IP-адресов по спаму в комментариях. Тут можно глянуть на «частосверкающие» IP по спаму в комментах и занести их в черный список.

BuddyPress. Добавляет CAPTCHA в форме регистрации BuddyPress. Я не использую ее.

Сканер

Отслеживание изменений в файлах. Рекомендую включить, так как часто при взломе сайтов не совсем понятно, какой файл изменили, где искать вредоносный код. А с помощью этой функции сможете отследить изменения в файлах вашего сайта и быстро найти тот файл, который изменялся в последнее время.

Сканер

Сканирование от вредоносных программ. Функция платная, стоит от 7$ в месяц.

Режим обслуживания

Позволяет «закрыть» сайт на время, чтобы сделать какие-то правки. То есть посетителям сайта будет предложена «заглушка», что ведутся работы на сайте. Полезно при смене дизайна, проверке работоспособности плагинов.

Разное

Защита от копирования текста и прочее. Здесь я нигде в трех вкладках не ставлю галочки. Тоже рекомендую не ставить.

wpnew.ru

[urlspan]1. iThemes Security[/urlspan]

[wp-pic type=»plugin» slug=»better-wp-security» layout=»large» ]

iThemes Security, прежде известный как Better WP Security, является одним из лучших WordPress плагинов для защиты от взлома. Он проверяет многие важные области вашего блога и старается обеспечить их защиту.

Он защищает ваш сайт более чем 30 способами. Он легко скрывает вашу личную информацию, такую, как пароль, логин и т.д. Это полный пакет, который делает ваш блог безопасным и защищённым.

 

[urlspan]2. Acunetix WP Security[/urlspan]

[wp-pic type=»plugin» slug=»wp-security-scan» layout=»large» ]

Acunetix WP Security – это бесплатный WordPress плагин для защиты. Он поможет вам сделать ваш WordPress блог полностью защищённым и безопасным.

Он также предлагает меры безопасности для вашего блога, которые заключаются в том, что он выделяет области и предлагает вам сделать их более безопасными.

Он делает безопасной установку вашего WordPress, обеспечивает защиту аккаунта и регистрационных данных вашего блога. Это совершенно бесплатный плагин.

 

[urlspan]3. BulletProof Security[/urlspan]

[wp-pic type=»plugin» slug=»bulletproof-security» layout=»large» ]

BulletProof Security – ещё один известный и удивительный WordPress плагин для защиты. Он защищает ваш WordPress блог от RFI, CRLF, Base64, Code Injection, SQL Injection, XSS и эффективно блокирует и останавливает попытки взлома.

Он может защищать ваши настройки, установки, логины, пароли и все элементы, которые могут быть объектами для взлома. Он поддерживает версии WP 3.0 или выше.

 

[urlspan]4. All in One Security and Firewall[/urlspan]

[wp-pic type=»plugin» slug=»all-in-one-wp-security-and-firewall» layout=»large» ]

Это ещё один отличный и по-настоящему заметный плагин для защиты от взлома. All in One Security and Firewall включает дополнительные брандмауэры, чтобы защитить ваш блог. Говорят, что этот плагин защищает ваш сайт со всех сторон.

Он предоставляет вам различные меры и даёт отчёт о мерах безопасности вашего блога. Удивительным является то, что он не влияет на скорость вашего блога и при этом совершенно бесплатен.

 

[urlspan]5. Wordfence[/urlspan]

[wp-pic type=»plugin» slug=»wordfence» layout=»large» ]

Wordfence – также бесплатный WordPress плагин для защиты. Wordfence защищает ваш блог и, наряду с этим, он делает ваш блог в 50 раз более быстрым.

Когда вы устанавливаете этот плагин на свой блог, он начинает автоматическое сканирование, чтобы проверить, не является ли уже ваш сайт заражённым.

Этот плагин бесплатный, но вы можете также купить премиум версию, в которой можете наслаждаться многими другими функциями.

 

[urlspan]6. Antivirus[/urlspan]

[wp-pic type=»plugin» slug=»antivirus» layout=»large» ]

Antivirus – последний в этом списке удивительных и лучших WordPress плагинов для защиты. Он проверяет вашу тему, установки WordPress и другие инструменты и плагины на предмет заражения.

Он предназначен для борьбы с вредоносными программами, уязвимостями и спамом. Он имеет чрезвычайно много функций и может быть очень полезен в том, чтобы сохранить вашу работу и защитить ваш блог.
 
[alert-announce]Так же можно проверить ваш сайт на наличие вирусов с помощью скрипта [urlspan]Ай-болит[/urlspan]. Плюс можно скачать версию под Windows и проверять файлы сайта, шаблона или плагина у себя на компьютере. [/alert-announce]

Заключение

Это список 6 лучших WordPress плагинов для защиты. Их можно порекомендовать использовать для своего блога, просто, чтобы обеспечить его безопасность и сохранность своего труда.

Если у вас есть вопросы, можете задавать их нам, мы постараемся на них ответить как можно скорее. Не забывайте поделиться WordPress плагинами для защиты с вашими друзьями и знакомыми, чтобы помочь им также сделать свои блоги более безопасными.

clubwp.ru

WordPress – пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут – зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять – а точнее, какие плагины установить – об этом я и расскажу в этой статье.

Общие советы

Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.

1. Измените имя пользователя с admin на другое.

Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:

Wordpress безопасностьПосле создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.

Про пароль писать не буду – лучше воспользоваться тем, который сгенерирует вам WordPress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).

2. Изменить префикс базы данных с wp на другой.

Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.

Изменение через phpMyAdmin

Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.

Первым делом создайте бэкап базы данных – он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).

Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = 'wp_';

Wordpress безопасность“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).

После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.

Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».

После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» — в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles – измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.

Следующая таблица для изменения – “…_usermeta” – аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.

Все, на этом изменения префикса можно считать выполненными!

Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.

Изменение через плагин All In One WP Security & Firewall

Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.

После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» — напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.

Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.

All In One WP Security & Firewall

Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.

В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.

Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин – во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).

В разделе «Авторизация» необходимо включить опции блокировки попыток авторизации, отметив этот пункт галочкой.

Дальше идет раздел «Регистрация пользователей» — тут нужно активировать ручное одобрение новых регистраций (чтобы на сайте не плодились спамеры и другие нехорошие личности).

Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» — тоже активируйте этот пункт.

Теперь переходим в раздел «Файрволл» — здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.

Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять – этот адрес будет использоваться для входа в админку, жизненно важно его запомнить!

С этим плагином мы закончили, переходим к следующему.

AntiVirus

Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто – после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.

Тут же вы можете настроить и ежедневную проверку с отчетом на email.

Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно – не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.

Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.

Wordfence Security

Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.

Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.

Sucuri Security

Вообще Sucuri – это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц – сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.

Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.

iThemes Security

Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!

Про функционал много писать не буду – как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security – возможно, кто-то помнит его по этому названию.

Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:

  • скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи – смена логина администратора, префикса базы данных и так далее);
  • защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
  • мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
  • восстановление (резервное копирование на случай непредвиденной ситуации).

Теперь перейдем к самому использованию этого плагина.

Настройка iThemes Security

Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).

После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) – для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).

Нажмите “Security Check” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.

Следующий блок – «Основные настройки» (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку – советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).

Далее переходим к «Отслеживание ошибки 404» — так как ошибка может быть на руку взломщикам, то есть смысл включить эту защиту. Изначальные настройки можно не менять – они оптимальны.

В режиме «Нет на месте» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.

Блок «Заблокированные пользователи» — тут все понятно, помещайте сюда всех, кого нужно заблокировать.

Local Brute Force Protection” – это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.

«Резервные копии базы данных» — настройка резервного копирования, в бесплатной версии речь идет только про базы данных.

«Обнаружение изменений файлов» — крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.

File Permissions” – блок показывает права доступа к файлам.

Network Brute Force Protection” – сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.

SSL” – вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.

Strong Password Enforcement” – если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.

«Тонкая подстройка системы» и «Подстройка WordPress» – эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс – включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу – включайте по одному пункту и проверяйте работоспособность вашего сайта.

Наконец, «WordPress Соли» – настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.

О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.

Заключение

Плагины – это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.

timeweb.com

Не используйте в качестве имени пользователя <admin>

Помните об этом. Возможно, это самый первый из основных шагов для обеспечения безопасности WordPress, который могут предпринять пользователи платформы. Сделать его несложно, инсталлятор позволяет легко соблюсти такое правило.

Сегодня большинство атак нацелены на wp-admin / wp-login доступ с использованием подбора комбинации имени пользователя и пароля, известном как атака методом «грубой силы». Здравый смысл подсказывает — если вы удалите имя <admin>, то удалите и возможность прямой атаки.

Да, остается вероятность того, что хакер угадает новое имя пользователя, перебирая идентификаторы и имена пользователя. Но безопасность – это не устранение риска, а его снижение. Удаление принятых по умолчанию имен пользователя <admin> или <administrator> поможет защититься от обычных автоматических атак методом подбора.

Как минимум, вы усложните хакеру жизнь при подборе произвольного имени пользователя. Чтобы не было путаницы, уточним: речь идет исключительно об использовании слов <admin> и <administrator> в качестве имени пользователя, а не о правах администратора.

Создайте новое имя пользователя в меню «Пользователь —> Новый пользователь» и назначьте ему права администратора. После этого удалите пользователя <admin>. Не переживайте о сохранности публикаций или страниц, которые были созданы под его именем.

WordPress любезно поинтересуется у вас: «Что вы хотите сделать с контентом, принадлежащим этому пользователю?», а затем предложит на выбор удалить весь контент или привязать его к новому пользователю (например, созданному вместо <admin>).

Создайте отдельный аккаунт с правами редактора

Когда вы пишете или редактируете сообщения в блоге, «имя автора» показывается в нижнем левом углу браузера, если навести курсор на имя автора в публикации. Если ваше имя автора совпадает с именем администратора, вы сделали за хакеров половину работы по успешному взлому своего сайта.

Исправить ситуацию просто: создайте нового пользователя, у которого есть только права редактора, и авторизуйтесь под этим именем, когда собираетесь что-то публиковать или редактировать в блоге. Это имя будет отображаться во всех ваших публикациях; а хакеры потратят кучу времени, пытаясь взломать ваш блог под именем пользователя с якобы правами администратора, которое на самом деле позволяет лишь писать и редактировать сообщения.

Кроме того, специальные плагины безопасности для WordPress ограничивают попытки зайти на сайт под конкретным логином и сообщают о попытках несанкционированного проникновения на заданную электронную почту. Так вы узнаете, предпринимались ли попытки взлома с использованием настоящего логина администратора, и сможете уделить внимание безопасности сайта на вордпресс до того, как злоумышленники подберут пароль.

Не используйте простые пароли

Запомните простое слово СУД – Сложный, Уникальный, Длинный. Здесь вступают в игру инструменты вроде 1Password или LastPass, которые генерируют пароли установленной вами длины. В зависимости от того, какой уровень защиты вы хотите получить, выбирается длина пароля в знаках (обычно хватит 20 знаков) и включаются такие редко используемые символы, как # или *.

«123456» — это не пароль. «qwerty» равносильно тому, что вы напишете на банковской карте её пин-код. Даже «starwars» вошел в список 25 самых распространенных паролей 2015 года. Помните, вы не настолько уникальны, как думаете.

Добавьте двухфакторную аутентификацию

Даже если вы не используете имя пользователя admin и установили сильный, произвольно сгенерированный пароль, атаки методом «грубой силы» остаются проблемой. Для снижения риска такого проникновения методы вроде двухфакторной аутентификации являются ключевыми.

Да, двухфакторная аутентификация доставляет много хлопот. Но теперь это ваш Форт-Нокс. Суть ее для защиты сайта на WordPress заключается, как ясно из названия, в двух формах авторизации. Сегодня это стандарт, повышающий безопасность ваших точек доступа. Вы уже используете двухфакторную авторизацию для Gmail и Paypal (по крайней мере, должны это делать). Так почему бы не добавить в список WordPress?

Для реализации инструмента есть специальный плагин Google Authenticator. Альтернативный вариант с несколько другим подходом и тем же результатом — Rublon Plugin.

Используйте принцип минимальных привилегий
Команда WordPress.org составила отличную статью в кодексе WordPress, регулирующую Роли и Права пользователей. Обязательно ознакомьтесь с этим документом, который непосредственно касается данного шага.

Принцип минимальных привилегий очень простой – давайте доступ только:

— тем, кому он нужен;

— тогда, когда он нужен;

— на тот период времени, который нужен.

Если кому-то нужны права администратора, чтобы изменить конфигурацию, предоставьте их, но закройте доступ сразу же после выполнения задачи.

Хорошая новость – эти действия не займут у вас много времени.

Вопреки широко распространенному мнению, не каждый пользователь, получающий доступ к вашему сайту на WordPress, должен получать права администратора. Давайте людям права доступа, достаточные для выполнения их задач, и вы намного снизите угрозу безопасности своего wordpress-сайта.

Для настройки подобного рода безопасности wordpress есть плагин: Google Authenticator . Альтернативой, которая использует несколько иной подход для этой же цели, является плагин Rublon.

Скройте файлы wp-config.php и .htaccess

Это относительно просто сделать, но ошибки при выполнении процедуры могут превратить ваш сайт в недоступный. Создайте резервную копию, и только после этого приступайте к изменениям.

Перейдите в меню «Инструменты => Редактор файлов» для редактирования файла .htaccess. Для повышения уровня безопасности и защиты файла wp-cnofig.php вам нужно добавить такой код в файл .htaccess:

<Files wp-config.php>  order allow,deny  deny from all  </Files>
Он закроет доступ посторонних к файлу wp-config.php. Похожий код можно использовать для защиты самого файла .htaccess:
<Files .htaccess>  order allow,deny  deny from all  </Files>  

Вы сможете внести эти изменения самостоятельно, здесь нет ничего сложного.

Используйте для аутентификации ключи безопасности WordPress

Ключи аутентификации и salt-ключи работают в связке друг с другом, чтобы защитить ваши cookies-файлы и пароли во время передачи данных между браузером и веб-сервером. Эти ключи аутентификации построены на наборе случайных переменных. Они повышают защиту (шифрование) информации в файлах cookies.

Чтобы изменить их в файле wp-config.php, просто получите новый набор ключей здесь — https://api.wordpress.org/secret-key/1.1/salt/ — и добавьте в файл. При обновлении указанной страницы ключи изменяются, так что каждый раз вы будете получать новый набор.

Отключите редактирование файлов

Самым простым способом изменить ваши файлы является доступ к пункту меню WordPress «Оформление => Редактор». Чтобы повысить уровень защиты, вам нужно отключить возможность редактирования файлов через консоль. Откройте файл wp-config.php и добавьте строчку

define('DISALLOW_FILE_EDIT', true);

У вас останется возможность вносить изменения в шаблоны через FTP-доступ, но теперь никто не сможет изменять их с помощью инструментов в консоли WordPress.

Ограничьте число попыток авторизации

Целью атак методом подбора ключей является форма для авторизации на сайте. Плагин All in One WP Security & Firewall позволяет изменить путь по умолчанию (/wp-admin/) к этой форме ввода. Помимо этого, с помощью специальных плагинов вы можете ограничить число попыток ввода с конкретного IP-адреса.

Выборочное использование интерфейса XML-RPC

XML-RPC – это прикладной программный интерфейс (API), который используется повсеместно. К нему обращается огромное число плагинов и тем, поэтому менее подготовленным технически пользователям нужно особенно осторожно экспериментировать с этим инструментом.

Несмотря на практичность шага, отключение XML-RPC может обойтись дорого. Вот почему не рекомендуется отключать его полностью, но внимательнее следить за тем, какие программы и как пытаются получить доступ к этому интерфейсу. Существует множество плагинов, которые помогают осуществлять выборочную реализацию и отключение XML-RPC.

Хостинг и безопасность WordPress

Владельцы сайтов часто жалуются, что их хостинговые компании не помогают защитить ресурс от взлома или вообще ничего не понимают в обеспечении безопасности сайтов на платформе WordPress.

Хостинговые компании просто видят ваш сайт иначе. Нет однозначных правил по выбору хостинга для wordpress, но он действительно важен, когда речь идет о мерах по улучшению защиты от несанкционированного доступа.

Буквально каждая статья о выборе хостинга начинается со слов о том, что дешевый не значит лучший. Самые дешевые тарифные планы не помогут вам уберечься от атаки хакеров. Такие пакеты включают минимальную защиту ресурса, например, предустановленный брандмауэр веб-сайта.

Виртуальный хостинг подразумевает, что сервер, на котором расположен ваш ресурс, является домом и для других сайтов. У них могут быть собственные проблемы безопасности, которые затрагивают и безопасность вашего сайта.

При этом безопасность WordPress, наверно, одно из главных преимуществ, которые предлагают хостинговые компании в специализированных WordPress-тарифах.

Обычно сюда входит резервное копирование, резервный брандмауэр, проверка файлов на наличие вредоносного ПО, защита от DDoS-атак и автоматическое обновление WordPress. Причем все это предлагается, как правило, за вполне приемлемую стоимость.

Не забывайте о хостинг-аккаунте

Одна из самых больших проблем хостингов связана с конфигурацией аккаунта для владельца сайтов. Пользователь может инсталлировать и конфигурировать столько сайтов, сколько захочет, что способствует появлению в системной среде «бесплатной столовой» для вредоносного ПО.

Проблема актуальна, потому что во многих случаях веб-ресурс может быть взломан методом, известным как межсайтовое заражение, когда вектором атаки является соседний сайт. Злоумышленник преодолевает защиту севера, а затем начинает проникать на соседствующие сайты, расположенные на этом сервере.

Лучший способ защиты от этого вида взлома — создание двух аккаунтов. Один из них вы используете как рабочую среду и размещаете на нем только активные сайты, а второй – как промежуточный, на котором вы храните все остальное.

Будьте в курсе последних обновлений

О том, что нужно поддерживать актуальность, легко говорить. Но для владельцев сайтов это означает ежедневный кропотливый труд. Наши сайты – сложные создания. В каждый момент времени на них происходят десятки событий, поэтому иногда внести мгновенные изменения бывает трудно.

Недавние исследования показал, что 56% установленных систем WordPress используют устаревшие версии платформы.

Обновления должны касаться не только ядра платформы. В упомянутом исследовании говорится также, что большое число хакерских атак использует устаревшие, уязвимые версии плагинов.

Как выбирать безопасные плагины и темы для WordPress

Большинство пользователей предпочитают беспорядочную установку плагинов и тем на своих сайтах. Это глупо, если только вы не делаете установку на тестовом сервере с единственной целью — проверить работу той или иной темы либо плагина.

Большинство плагинов и очень много тем бесплатные. И если авторы поддерживают свои разработки ради развлечения, а не в рамках какой-то серьезной бизнес-модели, вряд ли они потратили много времени на проверку уязвимостей и безопасности этих продуктов.

Как выбрать правильный плагин для wordpress

Как уже сказано выше, бесплатные темы и плагины являются потенциальной угрозой для безопасности сайта. Добавляя эти элементы на сайт, обязательно проверяйте их рейтинг, например, на WordPress.org.

Но просто пять звезд ничего не скажут о степени надежности плагина, в зависимости от ниши он должен иметь определенное количество отзывов. Если достаточно много людей считает, что это замечательный продукт, и нашли время для оценки, можно попробовать его в действии на собственном сайте.

Еще один момент, который вы должны проверять – актуальность плагина или темы. Если не было обновлений в течение последних двух лет, WordPress об этом сообщит. Отсутствие обновлений не обязательно означает, что плагин плохой.

Возможно, у автора просто не было необходимости в том, чтобы вносить исправления в рабочую программу. Все же не рекомендуется устанавливать плагины, которые давно не обновлялись. Рейтинг расскажет о работоспособности выбранного элемента и о его совместимости с текущей версией WordPress. Всю эту информацию можно увидеть на странице плагина на WordPress.org.

Опираясь на рейтинг и совместимость, вы можете сделать процесс выбора плагинов менее беспорядочным, одновременно повысив шансы на установку безопасного элемента.

Заключение

Если вы дочитали эту статью до конца, то просто обязаны принять дополнительные меры по защите своего сайта на WordPress. Добавьте в список ежедневных действий проверку защищенности своего ресурса. Она должно стать такой же ежедневной рутиной любого владельца сайтов, как регулярное добавление новых публикаций и страниц.

Не нужно забывать о регулярном создании резервных копий, для чего у платформы есть множество надежных плагинов. Правда, резервные копии не являются частью политики информационной безопасности, это скорее административные и служебные задачи.

Мы привели далеко не полный список того, что можно сделать для защиты сайта от взлома. Но надеемся, что наши практические советы помогут обеспечить хотя бы первый уровень информационной безопасности для вашего ресурса.

Помните, безопасность WordPress не бывает абсолютной.

Так что сделать жизнь хакеров тяжелой – наша задача, как владельцев сайтов.

 

starting-constructor.ru

О безопасности сайта и обновлениях

Если вы постоянно обновляете свой WordPress, вы уже участвуете в повышении безопасности своего сайта. Но этого мало. О безопасности WordPress нужно начинать думать, с момента ее установки. Кстати, для безопасности обновлять систему лучше автоматически, используя обновление из панели администратора.

Безопасность WordPress на этапе установки

При работе инсталлятора WordPress, на странице заполнения базы данных, есть пункт «Префикс базы данных». По умолчанию, префикс WordPress «wp_». Поменяйте его на любое сочетание латинских букв и цифр. Если забыли, и не переименовали префиксы таблиц БД при установки, сделайте это потом, когда понимает, что вас вскрывают. Как изменить префикс БД, читайте в статье: Как поменять префикс базы данных WordPress

безопасность-wordpress-7

При установке вы меняете файл wp-config.php, не забудьте установить ключи безопасности.

безопасность-wordpress-4

На странице установщика, с вводом данных администратора сайта, обязательно поменяйте имя администратора, с admin, на любое другое имя. Также сгенерируйте сложный пароль для авторизации администратора. Ограничений по количеству знаков в пароли нет. Используйте в пароле буквы, цифры, знаки препинания. Чем сложнее пароль, тем лучше. Попробуйте генератор паролей: http://randstuff.ru/password/

Периодически меняйте пароль администратора. Делается смена пароля, на вкладке Пользователи→Ваш профиль. Внизу две строки «Новый пароль» и «Повторить новый пароль». Если вас взломали, поменяйте и имя администратора. Из административной панели сделать это не получится, придется менять имя в phpMyAdmin. Как это сделать, лучше почитать статью: Восстановить пароль администратора WordPress.

Эти меры безопасности, лежат на поверхности, и ими не стоит ограничиваться, если радеете за безопасность своего  веб-приложения.

Повышаем безопасность WordPress в его каталоге.

Права CHMOD

Права CHMOD это права доступа к файлам и каталогам вашего сайта. По умолчанию, после установки системы, устанавливаются права CHMOD на файлы 644, на каталоги 755.

Никогда не оставляйте права CHMOD 666 и 777. Тем самым вы сами откроете доступ к каталогам и файлам своего сайта.

Включите SFTP вместо FTP

Работая  с сайтом WordPress вам не обойтись без соединения с каталогом сайта по FTP. Об уязвимости FTP соединений знают уже 23 года. Одни FTP клиенты безопаснее, другие опаснее для взлома.

  • Не используйте анонимное соединение по FTP, оно небезопасно. Для соединения аккаунт FTP клиента должен иметь имя, и пароль доступа. Создается FTP аккаунт в административной панели сервера (хостинга).
  • Для безопасности, лучше использовать не FTP, а SFTP соединение для передачи данных на сервер сайта.

Начните использовать безопасный протокол передачи файлов (SFTP) вместо FTP при доступе к сайту. Подключение по SFTP простое, и хорошие веб-провайдеры должны включать его по умолчанию. Все, что вам нужно сделать, это попросить в support хостинг компании, номер порта для шифрованного соединения SFTP, а затем измените настройки в вашем FTP приложении (на фото клиент FileZilla). Скорее всего, это порт: 22.

безопасность-wordpress-5

Можно не обращаться к провайдеру, а попробовать соединиться по SFTP самостоятельно. FTP приложение, будет использовать для шифрованного соединения порт не 21, а 22. Если на хостинге SFTP соединение разрешено, то после вашего разрешения, вы соединитесь по SFTP со своим сервером.

безопасность-wordpress-6

Сделайте безопасным файл wp-config.php

Файл wp-config.php содержит слишком много «секретной» информации, чтобы оставлять его без защиты. Об установке ключей безопасности и переименовании префикса «wp_» таблиц базы данных, я уже сказал. Все эти изменения отразятся в файле wp-config.php.

Теперь спрячем файл  wp-config.php.

Вариант 1. Система WordPress, с версии 2.6, если не находит файл wp-config.php в корневом каталоге сайта, автоматически ищет его в каталоге высшего уровня. Если находит его там, то без проблем открывает сайт и его административную часть.

Поэтому, если вы пользователь на сервере сайта, с допуском к каталогу высшего уровня, то смело перемещайте Файл  wp-config.php в каталог выше корневой папки сайта. Если у вас такого допуска нет, то при попытке переместить этот файл по FTP, у вас получится неудавшаяся передача файлов.

Приведу пример.

  • Корневая папка сайта тут: /domains/krym-obzor.ru/public_html;
  • Каталог высшего уровня тут: /domains/krym-obzor.ru/.
  • Права пользователя выставляются в панели хостинга (сервера), при создании FTP аккаунта, фото:

Перетягиваете wp-config из корневого каталога [public_html] в папку домена [krym-obzor.ru]. Спрятали!

безопасность-wordpress-2

Вариант 2. Если у вас нет доступа к каталогу высшего уровня, защитите файл wp-cofig в файле .htaccess. Этот файл вы должны были создать после установки WP, из файла htaccess.txt.

Вставьте в верх файла .htaccess такие строчки:

безопасность-wordpress-3

Следите, чтобы файл wp-config.php и .htaccess были в одной папке.

Вариант3. Если на сервере есть SSL шифрование данных, то можно добавить в файл wp-config.php следующую строку:

<strong>define('FORCE_SSL_ADMIN', true);</strong><strong> </strong>

Она включит шифрование для админки WP.

Маскируем другие папки WordPress

В каталоге WordPress две основные папки, которые интересны взломщикам: wp-content/themes/ и wp-content/plugins/.

Попробуйте открыть в браузере эти папки, то есть введите в адресную строку:

  • Ваш-домен/ wp-content/plugins/ , затем;
  • Ваш-домен/wp-content/themes/.

Если вы видите белый лист или 404 ошибку, то ваши папки защищены.

Если вы видите список каталогов и файлов, то папки открыты для всех.

Чтобы их замаскировать создайте пустой файл Index.html и положите его по FTP в эти папки. Это замаскирует эти папки, но не спрячет от продвинутых взломщиков.

Защитить их можно строкой: Options -Indexes , добавленную в конец файла .htaccess . После добавления строки, сделайте контрольную проверку. Вы должны попасть на 404 страницы.

Важно! Все защиты в файле .htaccess, имеют место, если вы не используете плагины безопасности на своем WordPress, а пытаетесь защититься самостоятельно.

Полезная ссылка: Генератор файла .htaccess (http://www.htaccesstools.com/htpasswd-generator/).

Другая защита безопасности WordPress

Уберите из футера сайта ссылки на версию WP.

Удалите пользователя с именем admin. Если под этим именем писались статьи, то сделайте следующее:

  • Входите на вкладку: Пользователи;
  • Создаете нового администратора;
  • Удаляете администратора: admin. При удалении admin, перенаправляете все публикации admin на нового администратора.

безопасность-wordpress-1

  • Уберите с сайта виджет «Мета» с прямой регистрацией пользователей. Замените «Мета» на подписку по email;
  • Для параноиков: отмените регистрацию пользователей вообще. Вкладка→Настройки→Общие→Членство (очистить чекбокс).

На этом все! Безопасность WordPress в ваших руках.

©www.wordpress-abc.ru

www.wordpress-abc.ru


You May Also Like

About the Author: admind

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.

Adblock
detector