Безопасность WordPress — это тема огромной важности. Каждую неделю в чёрный список Google попадают около 20 000 веб-сайтов из-за вредоносных программ и около 50 000 из-за фишинга. Если Вы серьезно относитесь к своему сайту и рассчитываете на дальнейшее его развитие , то Вам необходимо обратить внимание на безопасность вашего сайта на WordPress. В этом руководстве мы поделимся советами по обеспечению защиты WordPress, чтобы помочь вам защитить ваш сайт от хакеров и вредоносных программ.
Как защитить сайт WordPress 
Сам по себе WordPress достаточно защищённый движок, и это регулярно проверяется сотнями разработчиков, есть много того, что можно сделать, чтобы усилить защиту своего сайт WordPress. Как владелец веб-сайта, есть много того, что вы можете сделать, чтобы улучшить безопасность WordPress (даже если Вы не технически подкованных). Расскажу про ряд действия, которые можно предпринять, чтобы улучшить безопасность WordPress.
Почему безопасность WordPress — это важно?
Взлом сайта WordPress может нанести серьезный ущерб Вашему бизнесу, прибыли и репутации. Хакеры могут украсть информацию пользователей, пароли, установить вредоносное программное обеспечение, и даже могут распространять вредоносные программы с вашего сайта. Так же есть вероятность попасть под санкции от поисковых систем.
В худшем случае, вам придётся заплатить вымогателям, для того, что бы восстановить доступ к своему сайту.
В марте 2016 года Google сообщил, что более 50 миллионов пользователей веб-сайтов были предупреждены о том, что они посещают сайты которые могут содержать вредоносные программы или украсть личную информацию.
Если ваш сайт является источником дохода, то вы должны обратить дополнительное внимание на защиту вашего сайта WordPress.
Обновление WordPress
WordPress — это программное обеспечение с открытым исходным кодом, которое регулярно поддерживается и обновляется. По умолчанию WordPress автоматически устанавливает мелкие обновления. Но если выпускают глобальное обновление, то его установку необходимо инициировать вручную.
WordPress также поставляется с тысячами плагинов и тем, которые вы можете установить на вашем сайте. Эти плагины и темы поддерживаются сторонними разработчиками, которые регулярно выпускают обновления.
Эти обновления для WordPress имеют решающее значение в обеспечении безопасности и стабильности работы вашего сайта WordPress. Вы должны всегда быть уверены, что ваш WordPress, плагины и темы актуальны.
Пароли и права пользователей
Самые распространенные способы взлома WordPress это украденные пароли. Вы можете усложнить задачу злоумышленникам, используя более надёжные пароли и уникальные для вашего сайта. Не только в области администрирования WordPress, но также для учетных записей FTP, базы данных, учетной записи хостинга WordPress и вашего адреса электронной почты.
Еще один способ уменьшить риск — не предоставлять доступ к вашему сайту под учётной записью администратора WordPress, если в этом нет необходимости. Если у вас есть большой количество авторов или сотрудников, которым необходим доступ в панель администратора, убедитесь, что выданы ограниченные права, необходимые для работы.
Роль веб-хостинга
Ваш хостинг для WordPress играет важную роль в безопасности вашего сайта. Хороший хостинг-провайдер принимает дополнительные меры для защиты своих серверов от общих угроз.
Однако, на общем хостинге, вы совместно используете ресурсы сервера со многими другими клиентами. Это может подвергать риску межсайтового заражения, когда хакеры могут использовать соседний сайт для атаки вашего сайта.
Использование специального хостинга для WordPress обеспечивает более безопасную платформу для вашего сайта. Часто такие хостинги предлагают автоматическое резервное копирование, автоматические обновления WordPress и более сложные конфигурации безопасности для защиты вашего сайта.
Старайтесь выбрать достойного хостинг провайдера для вашего сайта на WordPress, который бы отвечал всем вашим потребностям.
Безопасность WordPress (без знания кода)
Часто новички думают, что улучшение безопасности WordPress может быть не такой уж простой задачей, и без знаний кода здесь не обойтись. Поверьте это не так уж и сложно, и всё можно реализовать без глубоких познаний в веб программировании. В данном вопросе вы не одиноки.
Мы покажем вам, как вы можете улучшить защиту своего сайта WordPress, всего за несколько кликов (без необходимости кодирования).
Установка решения для резервного копирования WordPress
Резервные копии — это ваша первая линия защиты от любой атаки на сайт WordPress. Помните, что любое обновление или установка нового плагина не гарантирует безопасность на 100%. Если государственные сайты могут быть взломаны, то что уж говорить о простых обывателях. Резервные копии позволяют быстро восстановить сайт WordPress, если произойдет что-то плохое.
Существует множество бесплатных плагинов для WordPress, которые вы можете использовать. Вы должны регулярно создавать резервные копии всего сайта, и хранить данные копии локально, а не только на стороне хостинга.Вы можете так же хранить копию в облачном сервисе, таком как Amazon, Dropbox.
Исходя из того, как часто вы обновляете свой веб-сайт, идеальным вариантом для создания резервных копий может быть один раз в день или резервное копирование в реальном времени.
К счастью, это можно легко сделать, используя плагины вроде VaultPress или BackupBuddy. Они надежны и, самое главное, удобны в использовании (без необходимости кодирования).
Лучшие плагины для обеспечения безопасности сайта на WordPress
После резервного копирования, следующее, что нам нужно сделать, это настроить систему аудита и мониторинга, которая будет всё отслеживать, что происходит на вашем веб-сайте. Сюда входит мониторинг целостности файлов, неудачные попытки входа в систему, сканирование вредоносных программ и так далее. К счастью, все это может сделать лучший бесплатный плагин WordPress, Sucuri Scanner.
Вам необходимо установить и активировать бесплатный плагин Sucuri Security. Для получения дополнительной информации по установки плагина см. наше пошаговое руководство: WordPress — установка плагинов.
После активации вам нужно перейти в меню Sucuri в административной панели WordPress.
Первое, что вам будет предложено сделать, это создать бесплатный ключ API. Это позволяет вести журнал аудита, проверку целостности, оповещения по электронной почте и другие важные функции.
Следующее, что вам нужно будет сделать, это нажать кнопку Settings в меню Sucuri. И выбрать вкладку Heardening. Необходимо пройтись по всем предлагаемым вариантам и нажать Apply Hardening.
Эти параметры помогают блокировать основные опасности, которые хакеры часто используют в своих атаках.
Мы также рассмотрим многие из этих вариантов защиты далее в этой статье для тех, кто хочет это сделать, не используя плагин или те, которые требуют дополнительных шагов, таких как «Изменение префикса базы данных» или «Изменение имени администратора».
После применения этих параметров большинство настроек этого плагина будут проставлены по умолчанию и не нуждаются в изменении. Единственное, что мы рекомендуем настроить, это оповещения по электронной почте. Настройки предупреждения могут заваливать ваш почтовый ящик почтой. Мы рекомендуем настроить уведомления только для критических сообщений, таких как изменения в плагинах, регистрация новых пользователей и так далее. Вы можете настроить оповещения, перейдя в Настройки Sucuri » вкладку Alerts.
Этот плагин для защиты WordPress очень мощный, поэтому просматривайте все вкладки и настройки, чтобы увидеть все, что он делает, например, сканирование вредоносных программ, журналы аудита, отслеживание неудачных попыток входа и так далее.
Включаем брандмауэр веб-приложений (WAF)
Самый простой способ защитить свой сайт и быть уверенным в его безопасности — это использовать брандмауэр веб-приложений (WAF). Брандмауэр блокирует весь вредоносный трафик, прежде чем он даже достигнет вашего веб-сайта.
Лучшая часть брандмауэра Sucuri заключается в том, что он также поставляется с гарантией удаления вредоносных программ из черного списка. Разработчики гарантируют, если ваш сайт был взломан и при этом использовался их плагин, они исправят ваш сайт (независимо от того, сколько у вас страниц). Это довольно хорошая гарантия, так как восстановление взломанных веб-сайтов является дорогостоящим удовольствием, особенно если вы не владеете навыками программирования. Эксперты по безопасности обычно стоят не дёшего. В то время как вы можете получить полную версию плагина безопасности Sucuri за 199 долларов в год.
Sucuri — не единственный поставщик брандмауэра. Другой его не менее популярный конкурент — Cloudflare.
Безопасность WordPress для пользователей DIY (сделай сам)
Если вы делаете все, о чем мы упоминали до сих пор, то вы в хорошей форме. Но, как всегда, вы можете сделать еще больше, чтобы улучшить безопасность WordPress. Некоторые из этих шагов могут потребовать знания в области веб-программированния.
Изменяем имя пользователя «admin» по умолчанию
Раньше по умолчанию имя пользователя в WordPress было «admin». Часто имена пользователей для входа в административную панель WordPress не менялись, это облегчало хакерам задачу совершать атаки с помощью подбора пароля. К счастью, команда WordPress это изменила и теперь требует, чтобы вы ввели имя пользователя во время установки WordPress.
Однако некоторые установщики WordPress по-прежнему устанавливают имя администратора по умолчанию. Если вы заметили, что это так, то, вероятно, хорошей идеей будет поменять ваш веб-хостинг.
Если WordPress не позволяет вам изменять имя пользователя по умолчанию, вы можете воспользоваться одним из методов ниже:
- Создайте новое имя администратора и удалите старый.
- Используйте плагин Username Changer.
- Обновить имя пользователя в БД через phpMyAdmin.
Подробнее о том как это сделать описано в данной статье: Меняем имя пользователя WordPress.
Отключаем редактирование файлов
WordPress поставляется со встроенным редактором кода, который позволяет редактировать тему и файлы плагинов прямо из панели администрирования WordPress. В неправильных руках эта функция может представлять угрозу безопасности, поэтому мы рекомендуем отключить ее. Данный метод будет удобен уже для готовых сайтов, иначе необходимо будет постоянно править нужные файлы через FTP клиент.
Но если этот вариант вам подходит, то необходимо добавив следующий код в ваш файл wp-config.php
|
1 |
define( 'DISALLOW_FILE_EDIT', true ); |
В качестве альтернативы вы можете сделать это с помощью бесплатном плагине Sucuri, используя функцию Hardening, о котором мы упоминали выше.
Отключаем выполнение PHP файлов
Другой способ усилить безопасность WordPress — это отключить выполнение PHP-файлов в каталогах, где это не нужно, например / wp-content / uploads /.
Вы можете сделать это, открыв текстовый редактор, например «Блокнот», и вставьте этот код:
|
1 2 3 |
<Files *.php> deny from all </Files> |
Затем вам нужно сохранить этот файл как .htaccess и загрузить его в / wp-content / uploads / folders на вашем сайте с помощью FTP-клиента.
Так же это можно сделать используя плагин Sucuri описанный выше.
Ограничиваем попытки входа в систему
По умолчанию WordPress не ограничивает попытки для входа. Это позволяет хакерам постоянно подбирать пароль к вашему сайту. Кроме того, данный подбор очень сильно загружает сервер хостинга, и есть вероятность, что ваш сайт попадёт под санкции со стороны хостинг-провайдера до устранения проблемы.
Данный недостаток можно легко устранить ограничив неудачные попытки входа в систему, которые пользователь может сделать. Если вы используете брандмауэр веб-приложений, упомянутый ранее, то он об этом автоматически позаботится.Однако, если у вас не настроен брандмауэр, то вам необходимо выполнить следующие действия.
Во-первых, вам необходимо установить и активировать плагин Login LockDown. Данный плагин позволяет ограничить количество входов. Как установить плагин вы можете прочитать в нашем руководстве WordPress — установка плагинов. После активации плагина перейдите на вкладку «Настройки» -> «Login LockDown», чтобы настроить плагин.
Плагин достаточно прост в настройке, можно указать максимально количество попыток и время через которое пользователь снова сможет попробовать войти в систему.
Изменяем префикс базы данных WordPress
По умолчанию WordPress использует «wp_» в качестве префикса для всех таблиц в базе данных WordPress. Если на вашем сайте WordPress используется префикс базы данных по умолчанию, это облегчает хакерам задачу во взломе базы данных. Именно поэтому мы рекомендуем изменить данный префикс.
Суть метода заключается в том, что мы меняем префикс через phpMyAdmin, использую такую команду:
|
1 2 3 |
RENAME table `wp_commentmeta` TO `wp_tg232_commentmeta`; RENAME table `wp_comments` TO `wp_tg232_comments`; RENAME table `wp_links` TO `wp_tg232_links`; |
И так перечисляя все таблицы из базы данных и меняя их префикс. Любое вмешательство в базу данных WordPress могут сломать сайт, так что не замените лишнего и делайте резервные копии.
Защищаем доступ к WP-Admin дополнительным паролем
Как правило, хакеры могут обращаться к вашей папке wp-admin и страницу входа без каких-либо ограничений. Это позволяет хакерам организовывать перебор паролей или запустить DDoS-атаки.
Вы можете добавить дополнительную защиту паролем на стороне сервера, которая будет эффективно блокировать эти запросы.
Грубо говоря, для того что бы получить доступ к форме логина WordPress и запустить обработку файла /wp-login.php, вначале необходимо ввести логин и пароль в другой форме. Таким образом получается, что нам необходимо два раза авторизоваться, в первом случае получаем доступ к форме, второй раз заходим в админку. Это значительно снизит нагрузку на сервер, так как дело не доходит до файла /wp-login.php. Для этого нам необходимо проделать ряд действий.
Для начала создаём файл .htpasswd, в него вставляем связку «логин:пароль», естественно пароль в зашифрованном виде. Для получения нужной связки можно воспользоваться онлайн-сервисом, в интернете их масса, например этим. Можно сделать несколько связок, каждая на новой строке.
Внутри файл будет выглядеть примерно так:
|
1 2 |
admin:$apr1$CEZ6bO9D$PSkNrpii7St0dVc9tk6S0/ root:$apr1$def4t3T$PSkNfe55St0dVc9ff3ff43/ |
Закидываем файл на сервер, рядом с файлом .htaccess. Далее нам необходимо внести изменения в файл .htaccess. Добавляем туда следующий код:
|
1 2 3 4 5 6 |
<Files wp-login.php> AuthName "Access Denied" AuthType Basic AuthUserFile /var/www/site.net/.htpasswd require valid-user </Files> |
Вместо пути «/var/www/site.net/.htpasswd» укажите свой путь. Если вас одолевают боты, данный метод значительно снизит нагрузку на сервер, и хостер скажет Вам спасибо.
Отключаем индексирование и просмотр каталогов
Открытый доступ к каталогам может использоваться хакерами для получения нужной им информации и поиска файлов с известными уязвимостями. Просмотр каталога, также может использоваться другими людьми, для просмотра ваших файлов, копирования изображений, поиска структуры каталогов и другой информации. Вот почему настоятельно рекомендуется отключить индексирование каталогов и просмотр, если в этом нет необходимости.
Вам необходимо подключиться к вашему сайту с помощью FTP-менеджера или файлового менеджера cPanel (всё зависит от хостера). Затем найдите файл .htaccess в корневом каталоге вашего веб-сайта. После этого вам нужно добавить следующую строку в конец файла .htaccess:
|
1 |
Options -Indexes |
Не забудьте сохранить и загрузить файл .htaccess на свой сайт.
Отключаем xmlrpc.php в WordPress
Закрыв доступ к данному файлу повлечёт за собой запрет на написание и публикацию статей с внешних приложений и смартфонов. В большинстве случаев данной функцией мало кто пользуется. Поэтому смело закрываем к нему доступ и расстраиваем злоумышленников. В файл .htaccess добавляем следующий код:
|
1 2 3 4 |
<files xmlrpc.php> order deny,allow deny from all </files> |
Автоматический выход пользователя при простое
Пользователи, которые уже вошли в систему, иногда могут отходить от компьютера и это создает угрозу безопасности. Кто-то может завладеть их сеансом, сменить пароли или внести изменения в свою учетную запись. Вот почему многие банковские и финансовые сайты реализуют автоматический выход неактивных пользователей. Вы можете реализовать аналогичную функциональность и на своем сайте WordPress.
Вам нужно будет установить и активировать плагин Idle User Logout. После активации переходим на вкладку «Настройки» -> «Idle User Logout» для настройки параметров плагина.
Остаёться только установить продолжительность времени и снять флажок рядом с параметром «Disable in WP Admin». Не забудьте нажать кнопку сохранения изменений.
Добавляем дополнительные вопросы в форму входа WordPress
Добавление «защитного» вопроса на вашу форму входа в WordPress еще более затруднит возможность подбора злоумышленникам. Вы можете добавить необходимые вопросы, установив плагин WP Security Questions. После активации вам нужно перейти на вкладку «WP Security Questions», чтобы настроить параметры плагина.
Добавляем нужные нам вопросы и сохраняем, затем переходим во вкладку пользователей и там выбираем ответ и нужный вопрос для каждого пользователя.
Исправляем взломанный сайт WordPress
Многие пользователи WordPress не осознают важность резервного копирования и безопасности веб-сайта до взлома их веб-сайта. Очистка сайта WordPress может быть очень сложной и трудоемкой. Наш первый совет — позволить профессионалу позаботиться об этом. Хакеры устанавливают бэкдоры на взломанные сайты, и если эти бэкдоры не исправляются должным образом, ваш веб-сайт, скорее всего, снова будет взломан. Однозначного совета по исправлению дать нельзя, поэтому если сомневаетесь что справитесь сами обратитесь к профессионалам.
Надеюсь данная статья оказалась вам полезной, и вы смогли защитить свой сайт от вредителей. Не забывайте пользоваться кнопками «Поделиться в соц. сетях», так же подписываться на наш Канал и группы в ВК, Twitter, Facebook.
Защиты сайта я использую плагины: AntiVirus, Clearfy Pro, Login LockDown. Вроде не ломают и не заражают, но информация здесь не будет лишней. Спасибо!