[Матрос]

Несомненно - WordPress наиболее распространенная в данный момент платформа, потому как имеет бесплатную лицензию как Joomla и гибкость и легкость настройки как DLE. Плюс большое множество плагинов на любой вкус и цвет. Сегодня на этой платформе построено более 60 миллионов сайтов разной тематики - от простых блогов школьников до навороченных мегапорталов, в которых уже и не угадаешь с чего все начиналось. ну а чем больше популярность, тем больше любителей найти уязвимость , и они находят. Поэтому надо быть всегда на чеку. Я хочу посоветовать несколько несложных шагов, которые сделают ваш сон более крепким и спокойным.

Итак самое первое, с чем сталкиваемся при планировании и создании сайта - выбор надежного хостинга.

1. Уже неоднократно доказано что CamelHost достоин оценки "НАДЕЖЕН". WordPress построен настолько удачно, что по требованиям к параметрам сервера очень неприхотлив, так что с этим проблем не возникнет ни на одном хостинге, а вот основная роль хостера - обеспечение надежного тыла и стабильной работы сайта.

На "верблюде" можно не бояться взлома со стороны серверной части, так что одна важная лазейка уже закрыта выбором правильного хостера.

2. Движок установлен (а надо сказать что сам по себе в чистом виде он тоже не уязвим), хочется чего то полезного и красивого, и не такого как у всех. На этом этапе начинаются многочисленные установки и активации плагинов, тем.... Но помните - что каждый плагин это теоретическая дверь на ваш сайт. Поэтому после того как вы определились с нужными плагинами - ОБЯЗАТЕЛЬНО удаляйте ненужные плагины с сервера. И не забывайте следить за обновлениями. все программисты тоже люди и иногда допускают ошибки. для закрытия этих ошибок и выпускаются обновления. не ограничивайтесь обновлением ТОЛЬКО плагинов. советую обновлять и сам движок, но не сразу как выйдет очередная заплатка, а подождать хотя бы месяц, и если не всплывут какие-то баги в этой версии заплатки - ставить ее.

3. Очень часто юные взломщики пробуют войти через парадную дверь (благо адрес админки знает каждый), путем перебора паролей. Поэтому при создании пароля включайте фантазию на 200%, И для пущей безопасности ставьте ограничение попыток ввода пароля с помощью плагина Limit Login Attempts.

Конечно, после неудачных попыток пользователь будет заблокирован на определенное время, зато удачного брутфорса не выйдет. И никто не буде ждать пока юзер разбанится что продолжит перебор снова. Метод, безусловно грубый, но довольно эффективный.

4. Удалить админа . Да-да в прямом смысле этого слова. После установки сайта советовал бы удалить админа как такового ВООБЩЕ, и создать пользователя с другим именем но с админскими правами. Тут уже никакой перебор пароля не поможет, так как угадать ник это из области фантастики (естественно при этом данный ник не должен фигурировать в качестве создателя постов. тут или убирайте автора вообще, или пишите под творческим псевдонимом и правами журналиста)

5. Защита укрепрайонов тыла, или другими словами - защита FTP Доступов.
FTP является одним из наиболее распространенных и легких способов доступа к файлам любого веб-сайта и из любого компа. К сожалению, само по себе FTP не очень безопасно, так как все файлы и пароли передаются по сети в виде простого текста, и каждый, более подкованный негодяй с соответствующим набором навыков, может легко просмотреть всю информацию которую передал компьютер на ваш сайт. У меня есть три рекомендации по защите этого типа соединения:

Использование SFTP (Secure FTP) соединение чтобы получить доступ ко всем вашим данным. Это соединение будет шифровать все данные, делая невозможным (или хотя бы намного тяжелее) просмотр передаваемых данных.

Не используйте SFTP В общественных сетях. Старайтесь пользоваться SFTP доступами с компьютерами которым доверяете, и при этом находитесь в сети, где не висит параллельно еще десяток юзеров.

Ну и наиболее тривиальный совет - делайте такие пароли, о которых вы бы и сами не догадались если бы не знали. Не стоит считать что ваш сайт никому не нужен и никто его не будет ломать. НУЖЕН и БУДУТ!

6. Парадные двери закрыты, задние тоже, забор на месте, но ведь остается дымоотводная труба? Я имею ввиду - права на файлы.
Расслабившись от надежной прямой защиты, владельцы сайтов часто допускают непростительные ошибки - оставляют лишние файлы и ставят полные права на конфиги, папки и т.д. Разрешение (права) файла определяют, кто может получить доступ к этому файлу, и будет ли им разрешено читать, писать или выполнять файл. Они устанавливаются на уровне пользователя, группы и общества. Трудно рекомендовать конкретные разрешения для сайта WordPress, так как различные сайты должны иметь доступ к различным файлам, и иметь разные права, но WordPress Кодекс имеет неплохую информацию то основным правам и настройкам на файлы и папки, которые вы просто обязаны соблюдать!

7. Резервное копирование - на Аллаха надейся, но верблюда привязывай.
Очень часто владельцы сайтов действуют на авось, и не создают бекапы самостоятельно. недавно я уже писал о неплохой программе для работы с бекапами sypex dumper, но кроме нее есть еще много других аналогов для создания копий - Amazon S3, Dropbox. Представьте что в один неприятный день, сайт упадет (в жизни все бывает и на 100% никто не застрахован от неудачи), вы обращаетесь к хостеру, а у него бекап тоже не сохранился (мало ли). Что тогда? А тогда начинаем ручную эпиляцию заднего прохода. Чтоб этого не делать - приучитесебя раз в неделю делать бекап вручную, или настройте крон для этой цели и копируйте бекапы хотя бы недельной давности на компьютер.

8. Проверяйте безопасность своего сайта. Пусть не постоянно но раз в месяц я советую воспользоваться сервисом Sucuri, который предлагает бесплатный сканер веб-сайта на своем сайте, а также плагин WordPress Sucuri. Кроме этого вы можете купить за 89 баксов платную услугу и Sucuri самостоятельно будет проверять сайт и исправлять все возникшие проблемы.

9. Даже при точечной атаке авиации, никто не ручается о безопасности объектов лежащих вблизи от цели. Так и с сайтами - если на вашем аккаунте не один сайт а 10, и над одним из них вы сэкономили на времени и усилии в защите, или тестируете на нем новые плагины, скрипты и тому подобное - будьте готовы к тому что в случае взлома этого сайта "взрывной волной" накроет все что лежит рядышком. Уже не раз приходилось сталкиваться с проблемами взлома, когда я видел что взломанный сайт надежно защищен, а рядышком стоит полусырое дырявое УГ, через которое вся нечисть и бомбит аккаунт несчастного владельца. Совет - имеете мощный сайт - не жлобитесь на отдельный аккаунт для него. Ведь никто не ложит все яйца в одну корзину

Принимая эти шаги можно значительно снизить риск взлома вашего сайта на WordPress (да и не только). Но 100% защищенности вам никто и никогда не гарантирует. Просто этот риск можно свести к минимуму. А если хотите 100% защиты - запишите сайт на болванку и не выкладывайте в интернет . Удачи

[miraida]

В си панели присутствует раздел для создания бекапов. Только иногда хостеры его отключают, непонятно зачем. И не придется использовать сторонние дамперы.
Можно постучать хостеру и попросить активировать если нет этого в менеджере.

Неужели нельзя было встроить в сам движок ограничение попыток входа? Этот вордпрес обвешан плагинами как новогодняя елка.


фтп совсем не использую принципиально - работаю напрямую через бруз.

[Матрос]

Сообщение от miraida Неужели нельзя было встроить в сам движок ограничение попыток входа?

Значит не сочли нужным. В том же ДЛЕ такая фича есть.

Сообщение от miraida фтп совсем не использую принципиально - работаю напрямую через бруз.

Очень хорошая привычка, поддерживаю.

Сообщение от miraida В си панели присутствует раздел для создания бекапов.

Он есть в любой панели, в Директе, в ISP, вопрос пользуются ли ими. Проблема таких бекапов в том что они собирают в кучу ВСЕ, вообще ВСЕ что есть на аккаунте, а если мне надо лишь бекап одного сайта? и только базы? Тогда мой выбор - сторонние программы.

[rety]

Сообщение от Матрос И для пущей безопасности ставьте ограничение попыток ввода пароля с помощью плагина Limit Login Attempts.

Это точно, ставить нужно. Я уже несколько раз сталкивался с блокировкой входа к своей админке на сайте.

[miraida]

Плюс длехи в том, что все, что необходимо жизненно для сайта уже встроено изначально - и админ выбирает одним кликом, что нужно включить, а что отключить. А вордпрес голый совсем - и начинается канитель с поиском плагинов, установкой, настройкой, и конфликтами с другими плагинами.


В сипанели есть отдельный бек каждой базы. А сам сайт легко добавить в зип целиком из менеджера файлов и скачать - если нужно отдельно.

[Alsu]

да, безопасность прежде всего - картинка вообще в цвет

[Матрос]

Сообщение от Alsu картинка вообще в цвет

Спасибо, старался

[Brevi]

на счет безопасности, у всех у кого стоит плагин All in One SEO Pack, советую заменить его, поскольку в нем скрытая опасность, с помощью которой можно любой блог у кого он стоит загнать под АГС, если конкуренты или кто-то надумает, кому блог мешает.
Автор данного плагина в курсе, но никаких действий по этому поводу не принимает.

[insex]

недавно столкнулся с жёстким ддосом из китая пришлось банить весь CN сначала долбились в wp-login.php потом стали долбить 404 страницы, делайте эту страницу как можно легче.
плагины практически не использую, каждый новый плагин так же прибавляет веса и дополнительные запросы к БД, плагины зло