Как правильно повысить безопасность сайта WordPress

Примечание: Этот текст может содержать некоторые партнерские ссылки, а это значит, что я зарабатываю небольшую комиссию без каких-либо дополнительных затрат с вашей стороны, если вы воспользуетесь этими ссылками. Спасибо за понимание и поддержку.

Вопрос безопасности сайта — один из главных после всех вопросов, связанных с качественным контентом.Я бы даже вопросы безопасности поставил на первое место.

Приоритеты в работе каждого владельца сайта я бы расставил таким образом:

  1. Безопасность сайта
  2. Качественный контент, интересный будущему читателю
  3. Дизайн
  4. Юзабилити (удобство для пользователей, скорость загрузки сайта)
  5. Внутреннее СЕО (правильная оптимизация контента для поисковых систем)

О безопасности надо начинать думать сразу, как только вы поставили систему WordPress. Список необходимых к выполнению задач — огромен.

Сюда входит:

  • Установка и настройка плагинов безопасности
  • Внесение необходимых изменений в файлы системы
  • Добавление дополнительных файлов
  • Тестирование и проверка сайта на уровень его защищенности

Можно ограничиться частью работы из списка выше. Но лучше сразу сделать весь объем задач и в дальнейшем просто поддерживать необходимый уровень безопасности. В этой статье я коротко расскажу об основных задачах и пути их решения.

WordPress — отличная платформа, но, как и любая другая система управления контентом сайта, подвержена атакам со стороны хакеров, способных посеять хаос в любое время, особенно, если у вас стоит рядовая бесплатная тема WordPress.

Обратите внимание, я не против бесплатных тем WordPress/ Есть очень хороши бесплатные темы (например, в официальном каталоге на wordpress.org).

Но большинство бесплатных тем не совсем «бесплатные». Они имеют скрытые ссылки и шифрованный код, который разместил в них автор исключительно для собственной выгоды (например, ссылки на свой ресурс для его раскрутки).

Но — не только проблемы безопасности кроются в бесплатных темах WordPress, взятых на не проверенных ресурсах.

Сама система WordPress — это главный источник возможных проблем с безопасностью

Обновление системы WordPress

Когда выходит версия с двумя цифрами, например последняя — 4.0 — означает, что в системе появился новый функционал.

Когда выходит версия с тремя цифрами, например — 3.9.2 — значит, в системе были внесены корректировки, и чаще всего — установлены дополнительные меры безопасности.

Прочтите (если интересно и умеете читать на английском) для примера на официальном сайте wordpress.org, что пишут авторы — разработчики о версии 3.9.2. — https://wordpress.org/news/2014/08/wordpress-3-9-2/

Сразу в первом предложении слова о безопасности для всех предыдущих версий WordPress. Значит, авторы нашли (сами или с чужой помощью) дыры в коде системы. А это — очень плохо.

Поэтому, регулярное обновление системы — залог повышения защищенности вашего сайта.

Мой совет для всех:

  • Обновляйтесь только тогда, когда выходит версия с тремя цифрами в порядковом номере
  • Не спешите обновляться, пока не выйдут обновления для плагинов (авторы плагинов должны убедиться, что их плагины корректно работают с новой версией системы)
  • Перед обновлением системы — делайте полную резервную копию! (лучше через FTP скачивайте весь сайт)

Надежный пароль

Недавний случай со взломом почтового сервиса Яндекс опять показал, что очень большое количество пользователей выбирает просто нереально простые пароли! В ТОП 10 паролей почтовых ящиков Яндекс, выложенных в сеть, попали такие комбинации:

  • 12345
  • 123456789
  • 111111
  • 1234567
  • 000000

Источник — http://ain.ua/2014/09/08/539680

Смешно? Честно, не очень.

Есть масса ресурсов которые могут вам помочь создать правильный надежный пароль, если у вас не хватает времени и идей. Я регулярно пользуюсь вот этим — http://generator-paroley.ru/

Зачем нужен сильный пароль?

Самая распространенная техника взлома сайта — автоматический подбор логина и пароля администратора. Эта технология получила название Brute Force («метод грубой силы», англ.), так называемая брутфорс-атака — https://ru.wikipedia.org/wiki/%D0%9F%D0%BE%D0%BB%D0%BD%D1%8B%D0%B9_%D0%BF%D0%B5%D1%80%D0%B5%D0%B1%D0%BE%D1%80

Ваша страница с логином и паролем атакуется скриптом, способным в течение минуты до 1000 вариантов логина и пароля. Очень похоже на DoS — атаку, только немного проще.

Вы скажите: «Мой сайт... Кому он нужен?»

Мой ответ: никому, кроме вас.

Но. Хакерам все равно кого атаковать. Тем более, в основном вас будут атаковать не люди, а роботы. Им нужно взломать любой сайт или компьютер, чтобы потом его использовать в любой системе взлома других, более важных ресурсов. DoS-атака именно так и осуществляется. Сначала взламываются сайты и компьютеры в разных точках планеты, а затем они объединяются в систему, которая атакует важный интернет-ресурс (банк, государственный или правительственный сайт, военные ведомства и т.д.).

Советую прочитать еще:  Если взломали сайт: с чего начинать? ч.2

Вы (ваш сайт или компьютер) легко можете стать невольным соучастником этой незаконной деятельности.

В лучшем случае ваш аккаунт на хостинге будет заблокирован администратором сервера, а вы получите письмо о том, что ваш аккаунт блокирован из-за распространения вируса.

Вы готовы самостоятельно найти вирус на сайте? В более чем трех сотнях папок и примерно 3 тысячах файлов распознать файл, который не относится к системе WordPress, плагинам или темам WordPress? Часто бывает, что вирус внедрен в существующий файл, а такой скрипт еще сложнее обнаружить, так как спрятан в системном файле.

Я в своей практике сталкивался с разными вариантами, озвученными чуть выше, и сумел найти во всех 100% случаев. Но у меня более чем 5-летний опыт работы с подобным. А у вас?

Начните процесс защиты своего сайта с установки сложного пароля.

Файл .htaccess

Этот файл лежит в основной директории вашего сайта. Создается чаще всего автоматически, если вы сменили постоянные ссылки в разделе Настройки с ссылок по умолчанию на любой другой вариант.

Если не меняли, тогда этот файл можно создать на компьютере в текстовом редакторе (файл не имеет расширения, при его создании и сохранении в редакторе Notepad) вам надо в имени файла написать — точка htaccess (.htaccess). И все.

Загрузите этот файл в основную директорию вашего сайта (там, где лежит файл wp-config.php, а также все папки WordPress: wp-admin, wp-content, wp-includes).

В этот файл можно добавить некоторый код, который позволит усилить защиту вашего сайта. Примеры:

Дополнительная защита файла wp-config.php от хакеров (в коде уберите пробелы возле угловых скобок!):

< Files wp-config.php >
order allow,deny
deny from all
< /Files >

Следующий код уже защитит сам файл .htaccess от доступа к нему посторонних:

< Files .htaccess >
order allow,deny
deny from all
< /Files >

Поняв принцип, в дальнейшем вы можете защитить любой файл в вашей системе от доступа к нему посторонних (кроме вас).

Регулярная уборка

Почти за четыре года существования этого сайта я сменил 3 темы и использовал более 50 разных плагинов WordPress. Некоторые плагины из них работают не отключаясь с первого дня. Некоторые плагины лежат деактивированными и включаются периодически, для сканирования сайта (безопасность, проверка скорости работы сайта, кеширование и т.д.). От некоторых плагинов я давно отказался.

И удалил их из папок сайта.

У меня нет посторонних тем, плагинов WordPress, не используемых скриптов типа всяких подключаемых рекламных систем (Trustlink и другие). Если что-то есть внутри папок — только то, что я использую. Все остальное я удаляю. Мне не нужны лишние папки и файлы, которые занимают место и могут быть использованы хакером для добавления зловредного кода.

И вам советую.

Бесплатный Cdn

CDN (Content Delivery Network)— географически распределённая сетевая инфраструктура, позволяющая оптимизировать доставку и дистрибуцию контента конечным пользователям в сети Интернет (так в Википедии).

Буквально несколько дней назад я подробно рассказал о системе Cloud Flare. Советую вам почитать мой обзор этой системы и сделать правильные выводы.

Резервное копирование сайта

На мой скромный взгляд — самое идеальное решение.

Я делаю так:

Один раз в месяц через FTP-клиента FileZilla скачиваю каждый из своих сайтов, от корневой папки public_html. Храню как минимум 2 версии с разницей в один месяц.

Удаляю старую — добавляю новую.

У меня — до 10 сайтов.

Процесс скачивания занимает примерно один световой день. К примеру, магазин контента WordPress — это сам сайт на WordPress, и к нему — более 80 поддоменов и то же — WordPress. Общий вес скачиваемого сайта магазина — до 10Гб.

Советую прочитать еще:  UpdraftPlus | Плагин резервного копирования WordPress

Сервер — в США. Поэтому и долго.

Но за то — я спокоен, «как мамонт в теплую погоду».

Если завтра сайт упадет или будет взломан, если в файлы системы будет размещен какой-то сторонний код и администратор сервера напишет мне письмо счастья — я просто все удалю и залью по новой, ту версию, которая лежит у меня на компьютере. Базу данных даже не обязательно бэкапить. Ее вряд ли взломали (хотя и такое бывает).

Можно бэкапить сайт и базу данных с помощью плагинов WordPress. Это если вы забывчивый человек и не умеете жить по расписанию.

Примеры таких плагинов:

Это бесплатные плагины WordPress. Есть и платные:

Плагины безопасности

И в самом конце своей статьи я хочу коротко познакомить вас с ТОП 10 плагинами WordPress, основная задача которых — помочь вам повысить уровень безопасности вашего сайта, вплоть до 100% уверенности.

Better WP Security

 

Как правильно повысить безопасность сайта WordPress

C помощью этого плагина безопасности можно изменить очень много параметров настроек, а также включить мониторинг практически всей системы безопасности:

  • Защита от Brute Force
  • Криптостойкий пароль
  • Скрыть логин и админ
  • 2-х факторная аутентификация
  • Обнаружение изменения файлов
  • Lock Out плохих пользователей
  • Резервирование БД
  • Обнаружение переходов на страницу ошибки 404
  • Заглушка доступа к админке
  • Оповещения на Email
  • Геотаргетинг IP-бан

Плагин — платный, персональная лицензия стоит 80 долларов США, неограниченная для разработчиков — 150$. Нет русской локализации.

Для пользователей, кто не понимает, как настроить вышеперечисленный функционал БЕЗ использования плагина — могу рассказать только то, что я легко могу сделать все то, о чем идет разговор выше, включая лечение вашего сайта от вируса и установку практически 100% защиты на сайт. Читайте мой обзор об этом здесь.

WP Security Scan

 

Как правильно повысить безопасность сайта WordPress

Плагин поможет вам быстро определить не защищенные папки вашего сайта (неправильные права чтения и доступа), а также поможет одним кликом усилить защиту файлов и папок вашего сайта.

Плагин не русифицрован, поэтому новичку будет сложно разобраться с настройками.

Плагин WP Security Scan бесплатный, есть в официальном репозитории WordPress — https://wordpress.org/plugins/wp-security-scan

 

Login Lockdown

wordpress-plugin-login-lockdown

 

 

 

 

 

 

 

 

Отличный бесплатный плагин для того, чтобы предотвратить Brute Force Attack!

Плагин русифицирован. После активации все стандартные настройки можно не менять, или поменять, чтобы немного усилить его действие. Перейдите на страницу настроек плагина в разделе Настройки -> Login Lockdown и внимательно прочтите подсказки.

Скачать плагин можно в официальной библиотеке-репозитории — https://wordpress.org/plugins/login-lockdown

 

Login Security Solution

 

Этот бесплатный плагин WordPress на западе многие называют «матерью плагинов защиты сайта от несанкционированного ввода логина и пароля». Громко сказано, но плагин действительно решает многие вопросы безопасности именно в плане защиты вашего сайта от несанкционированного доступа в консоль администратора.

  • Защита от Brute Force
  • Отслеживает IP-адреса, имена пользователей и пароля
  • Автоматическое оповещение администратора на почту
  • Замедляет доступ посетителю при неправильном вводе логина и пароля при повторном вводе данных
  • Помогает усложнить пароль
  • Заставляет пользователей регулярно менять свои пароли
  • Администратор может потребовать всех пользователей о смене паролей

Плагин можно скачать в репозитории WordPress — https://wordpress.org/plugins/login-security-solution

 

WordPress File Monitor Plus

 

Как правильно повысить безопасность сайта WordPress

Этот плагин делает только одну вещь, и делает ее очень хорошо: он отслеживает любые изменения в файлах системы вашего сайта (включая плагины и темы) и в случае внесения в файлы каких-либо изменений, сообщает администратору об этом на его электронный адрес Email. Круто?

Плагин более 2-х лет не обновлялся автором. Как работает — не знаю. Но это легко проверить, если установить плагин, активировать, а затем рискнуть внести в любой файл системы, плагинов или темы какие-либо изменения.

Советую прочитать еще:  Плагин WordPress WP Clean Up | Поможет очистить базу данных от мусора

Скачать плагин в официальном репозитории WordPress — https://wordpress.org/plugins/wordpress-file-monitor-plus

 

BBQ: Block Bad Queries

Как правильно повысить безопасность сайта WordPress

Плагин защищает сайт от несанкционированных или подозрительных и вредоносных URL-запросов.

Я знаю, как это сделать без плагина, внеся необходимые дополнительные функции в файлы системы. Ну, а кто не знает, попробуйте использовать этот плагин.

Скачать плагин в официальном репозитории WordPress — http://www.wpexplorer.com/wordpress-security-tips

 

Wordfence

Как правильно повысить безопасность сайта WordPress

Довольно молодой плагин, но активно набирает популярность среди пользователей — на сегодня скачан более 3 миллионов раз (!!!).

Выполняет одно действие: сравнивает ваши темы и плагины с плагинами и темами в официальной библиотеке WordPress, и если файлы отличаются — бьет тревогу.

Вопрос: а как быть с теми плагинами и темами, которых нет в официальной библиотеке WordPress?

Скачать плагин — https://wordpress.org/plugins/wordfence

 

Bolletproof Security

Как правильно повысить безопасность сайта WordPress

Один из самых навороченных и сложных плагинов безопасности. Включает в себя очень много функционала, перечислить который — долго и нудно. Скачайте, активируйте и посмотрите сами. Мое впечатление о плагине: использовал, но потом отказался. Очень «грузит» консоль и сам сайт. По мне — лучше вместо него использовать три разных плагина, чем один этот.

Но название — «пуленепробиваемый» — впечатляет, и в принципе, соответствует встроенному функционалу.

Есть русская локализация.

Скачать плагин в официальной библиотеке WordPress — https://wordpress.org/plugins/bulletproof-security

 

All In One WP Security & Firewall

Как правильно повысить безопасность сайта WordPress

Когда в названии читаешь слова «все-в-одном» понимаешь, что этот плагин — из той же серии «пуленепробиваемых». В смысле — есть все, чтобы защитить сайт от взлома и прочих проблем безопасности.

Я его никогда не использовал, поэтому могу только перечислить его возможности с чужих слов:

  • Сканирование на наличие уязвимостей
  • Blacklist
  • Брандмауэр
  • Резервное копирование
  • Brute Force Attack
  • Спам-комментарии и много другого «все-в-одном»...

Скачать плагин в официальной библиотеке — https://wordpress.org/plugins/all-in-one-wp-security-and-firewall

 

Antivirus

Как правильно повысить безопасность сайта WordPress

Плагин сканирует файлы активной темы и если находит подозрительный код — сообщает вам, администратору. Может на почту, может, сразу при ручном сканировании.

Главное — понимать, что это за код и действительно это вирус, а не нужный код, написанный автором темы.

Сканирует только одну, активную тему. Хорошо это или плохо? Хорошо, но недостаточно, чтобы спать спокойно.

Отлично, если этот плагин работает с несколькими другими плагинами безопасности. Вот тогда действительно, все очень хорошо.

Есть русская локализация.

Скачать плагин — https://wordpress.org/plugins/antivirus

 

Sucuri

Как правильно повысить безопасность сайта WordPress

Отличный плагин, особенно — в последних версиях.

Когда я начинал его использовать он был не очень совершенен. Сейчас — молодца автор, добавил много полезных функций.

Например:

  • Сканирует систему и показывает наличие сайта в Blacklist разных ресурсов (типа Google и других)
  • Показывает наиболее уязвимые места на сайте и дает возможность их закрыть одним кликом
  • Мониторинг большого списка действий и автоматическое оповещение администратора на Email

Есть бесплатная версия, в ней много функционала. Есть платная, с подключением к мощному ресурсу — sucuri.net.

Рекомендую этот плагин использовать. Потом спасибо скажите))

Скачать плагин — https://wordpress.org/plugins/sucuri-scanner

Вывод

Скажите, вы все сделали для защиты вашего сайта?

Я сталкивался с читателями, которые теряли свои сайты в течение пары часов. А сайтам было более 3-5 лет. В них было вложено не просто много труда, а кусочек жизни владельца. И все это за пару часов умирало.

У вас умирали домашние животные? После 10-15 лет совместной жизни?

Ваш сайт — это ваш друг, приятель, жена или любовник. Потерять друга — что может быть более горькое?

А учитывая, что вы могли его спасти, если бы вовремя подумали о дополнительной защите и безопасности, уделив этому вопросу один день своей жизни.

Подумайте, стоит один день вашей жизни — жизни вашего сайта?

Если материал вам понравился, нажмите или расскажите о нем друзьям!

Важно! Эта запись может содержать ссылки на плагины, которые к моменту вашего чтения и скачивания могут работать не корректно. Будьте внимательны.

Добавить комментарий

Ваш email нигде не будет показан. Обязательные поля помечены *