Защита сайта на WordPress примитивными методами

Примеры безопасности и защита сайта на WordPress от взлома путём простых, но малоизвестных или игнорируемых 10 способов сохранности данных.

Взлом блога и потеря результатов многолетних трудов за одну ночь — печальная реальность, с которой некоторым приходилось сталкиваться лично. Исследования показывают, что ежедневно взламываются 37 тысяч веб-сайтов, а поскольку на системе управления WordPress работают примерно 25,4% всех сайтов, можно не сомневаться, что каждый день взламываются тысячи сайтов на WordPress.

Когда у вас есть блог на WordPress, советов по сложным именам пользователей и паролям уже недостаточно. Одна заглючившая тема, неправильный плагин, неправильно защищенный файл могут привести к взлому блога.

Неопытны вы в WordPress или использовали платформу с момента её существования, эта статья опишет 10 практичных и эффективных способов обеспечения безопасности вашего блога, которые сможет реализовать каждый. Вы не найдете большинство из них в популярных статьях «как обезопасить свой блог», но однажды они могут спасти ваш сайт.

1. Отключите редактор WordPress Theme & Plugin

WordPress имеет удобную функцию, которая даёт владельцам сайтов большую гибкость, позволяя им настраивать и редактировать свои темы и плагины прямо с дашборд-панели WordPress, но эта функция устранена в большинстве блогов. С этой функцией малейшая ошибка может привести к сбою сайта и лишить вас же доступа к нему.

Хакеры могут легко вставить вредоносный код в вашу тему, чтобы получить доступ на сайт через бэкдор или даже полностью захватить его, получив контроль над учётной записью, имеющей достаточно привилегий для использования редактора темы и плагина.

Вы можете защитить себя путём отключения редактора, что устраняет возможность менять свои темы и плагины без доступа по FTP. Для данного действия добавьте нижеуказанный код в файл WP-config.php:

define( 'DISALLOW_FILE_EDIT', true );

2. Включите двухфакторную аутентификацию

Двухфакторная аутентификация быстро становится одним из самых надежных способов защиты учётных записей в Интернете, и самые надежные сайты будут настаивать, что пользователи использовали её. Хотя WordPress не обладает встроенной двухфакторной аутентификацией, можно включить её в своём блоге, установив следующие плагины:

• Google Authenticator;
• Authy;
• Clef Two-Factor Authentication;
• Rublon.

Об установки плагинов можно прочитать в Интернете воспользовавшись поиском. Про них очень много подробных инструкций в РУнете.

3. Ограничьте логины на основе количества неудачных попыток входа

Есть много способов, которыми хакеры пытаются получить доступ к блогу, и один из наиболее распространённых методов — метод подбора перебором (bruteforce). Хакер снова и снова пытается найти комбинацию имён пользователей и паролей, пока не найдёт правильное сочетание.

По умолчанию в WordPress нет защиты от таких атак. Установив плагины, которые ограничивают доступ после определённого числа неудачных попыток с конкретного IP-адреса, вы можете затруднить хакерам получение доступа к своему блогу. Плагин Jetpack Protect Module также может защитить вас от bruteforce-атак.

4. Регулярно проверяйте блог

Файлы тем, плагинов, ссылки и другие вроде бы безобидные элементы могут быть использованы для получения доступа к вашему блогу. Не ждите, пока он не будет полностью заражен, прежде чем принимать меры.

Вместо этого установите плагины сканирования безопасности и регулярно проверяйте веб-сайт. Они будут уведомлять вас, если файлы были изменены.

Хороший пример плагина безопасности — Wordfence. Он не только даёт возможность вручную/автоматически сканировать блог, но и мгновенно уведомляет, когда там происходит подозрительная деятельность. Он также отправляет информацию о потенциально вредоносных комментариях и сравнивает файлы темы и плагина с хранилищем WordPress, чтобы отследить изменения, которые потенциально могут служить лазейкой для хакеров на ваш сайт.

Другие плагины безопасности, которые могут помочь сканировать блог на наличие вредоносных программ и эксплойтов:

• Sucuri Security Scanner;
• Acunetix WP Security;
• iThemes Security (ранее известный как Better WP Security).

5. Защита WordPress сайта путём смены хостинга

Хотя это звучит как слишком простой совет, на самом деле он важен. Исследования показывают, что 41% взломанных сайтов на WordPress были взломаны через уязвимости их хостинга. Это гораздо больше, чем по другим причинам, в том числе из-за слабого пароля.

Ваш хостинг может играть важную роль в том, будете ли вы взломаны или нет; убедитесь, что вы используете только надёжные веб-хосты, которые выдержали испытание временем и которые используют передовые методы защиты.

6. Скройте номер версии WordPress

По умолчанию WordPress показывает номер версии, что позволяет отслеживать, сколько блогов на WordPress работает по всему миру. Это же может быть источником больших проблем: хакеры и боты могут сканировать сеть в поисках блогов с определёнными уязвимостями на определённых версиях WordPress, что делает вас лёгкой мишенью.

Вы можете легко решить эту проблему, скрыв номер версии WordPress. Чтобы спрятать версию, добавьте указанный ниже код в файл functions.php:

add_filter( 'the_generator', '__return_null' );

7. Отключите доклады об ошибках PHP

Когда плагин или тема не работают на вашем блоге на WordPress как положено, отчёты об ошибках PHP могут помочь, показав сообщение с описанием причин ошибок. В этом есть и недостаток: при сообщении об ошибке PHP показан полный путь на сервере до источника ошибки, что открывает информацию, которую хакеры могут использовать против вас.

Вы можете защитить себя путем отключения отчетности PHP об ошибках. Добавьте следующий код в ваш файл WP-config.php:

error_reporting (0);
@ini_set ( 'display_errors', 0);

8. Поработайте над разрешением доступа к файлам WordPress

Когда речь идет о защите вашего сайта на WordPress от эксплойтов, важно установить права доступа к файлам. Это затруднит хакерам манипулирование плагинами, темами или файлами на сервере в попытках получить контроль над сайтом.

Убедитесь, что разрешения на папки WordPress установлены на 755 или 750; на файлы 640 или 644; разрешение WP-config.php установлено на 600.

9. Регулярно производите резервное копирование

Даже крупные сайты с командой экспертов по вопросам безопасности и консультантов бывают взломаны, и хотя следование лучшим практикам может сделать ваш сайт сильнее 99,9% остальных сайтов, полной гарантии неуязвимости нет.

Лучшей мерой против атаки на WordPress является надёжное резервное копирование; убедитесь, что вы делаете резервные копии вашего сайта на регулярной основе — если это возможно, ежедневно. Таким образом, если сайт взломан, у вас остались ваши файлы и сайт можно восстановить.

Вот одни из лучших плагинов для резервного копирования WordPress:

• BackUpWordPress
• Ready! Backup
• VaultPress BackupBuddy

Также некоторые хостинги практикуют ежедневное резервное копирование, (в том числе и мой) хостинг делает ежедневный бекап и сохраняет у себя в системе последние 8-ми дневные копии сайта и БД, к тому же всё это автоматически и не занимает ваше доступное место.

10. Ограничьте доступ к своей странице регистрации

Для защиты могут потребоваться и радикальные меры. Надёжным способом защитить ваш блог от попытки взлома является полное блокирование доступа к странице wp-администратора и wp-login.php.

Это рекомендуется только в том случае, если вы используете один неизменный IP-адрес. Вы можете использовать эту опцию, если у вас более одного IP-адреса, но нужно следить за этими адресами.

Чтобы ограничить доступ к странице входа в систему, добавьте следующий код в ваш файл .htaccess:

RewriteEngine on
RewriteCond % ^(.*)?wp-login\.php(.*)$ [OR]
RewriteCond % ^(.*)?wp-admin$
RewriteCond % !^Your IP address 1$
RewriteCond % !^ Your IP address 2$
RewriteCond % !^ Your IP address 3$
RewriteCond % !^ Your IP address 4$
RewriteCond % !^ Your IP address 5$
RewriteRule ^(.*)$ - [R=403,L]

Отредактируйте значения от Your IP address 1 до Your IP address 5, поставив значения тех адресов, которым хотите дать доступ; вы можете добавить или удалить строку, чтобы разрешить или запретить другим IP-адресам доступ к сайту.

Заключение

Вы не должны игнорировать простые советы по безопасности, вроде использования сложных имён пользователей и паролей, регулярного обновления WordPress и т.д. Однако указанные выше малоизвестные и часто игнорируемые советы по безопасности могут сделать ваш WordPress-блог чуть более надёжным.

Если же вам действительно важна защита сайта на WordPress, то советую приобрести видеокурс Александра Борисова по защите Wordpress. Если не предпринимать ни каких мер, то рано или поздно вы столкнётесь с подобным и чем старше становится ваш сайт/блог, тем больше жуликов он привлекает, собственно и его утрата будет сильным ударом по психике и бюджету! Так что смотрите видеокурс и спокойно развивайте свои ресурсы.