Ответ
Безопасность WordPress: Полное руководство Опции темы
Старый 06.08.2014, 19:03
  #1
Tallulah
 
Регистрация: 23.07.2014
Сообщений: 74

Безопасность WordPress: Полное руководство
Наверное, как и у большинства владельцев сайтов, безопасность никогда не стояла у меня на первом месте. Только когда один из моих сайтов был взломан, я задумался, как часто веб-сайты подвергаются опасности злонамеренных действий.

Будучи самой популярной платформой для веб-публикаций в Интернете (с большим отрывом от других платформ), WordPress стала излюбленной мишенью хакеров и спамеров. WordPress известна, как одна из самых удобных для пользователя платформ доступных онлайн, но она также и наиболее уязвима к хакерским атакам.

Согласно WP White Security, более 70% сайтов на WordPress не защищены от хакерских атак, а общее число взломанных веб-сайтов на WordPress, в 2012 году достигло огромной цифры 170 000. И эта цифра растет с каждый годом.

Вы, вероятно, удивитесь, зачем кому-то взламывать ваш сайт, особенно, если у сайта низкий трафик. Но большинство хакеров не заинтересованы в том, чтобы украсть ваши данные или удалить важные файлы. Им нужен ваш сервер для рассылки спама по электронной почте.

В прошлом году со мной произошел именно такой случай. Мой друг создал небольшой сайт с контентом на WordPress и разместил его на моем хостинге. К сожалению, мой друг перестал обновлять сайт, следовательно, WordPress стал неактуален. Это позволило хакерам без труда загрузить скрипт, рассылающий спам с моего сервера.

В результате, мой IP адрес был заблокирован всеми основными протоколами безопасности и e-mail службами. Конечно, те рассылки, которые я посылал с сайта, не поступали адресатам. Мне повезло и я смог убрать свой IP адрес из черного списка при помощи инструмента, который проверяет черные списки (из MXToolBox), но вся эта ситуация стоила мне немало денег и времени.





Когда речь заходит о безопасности сайта, целесообразней быть проактивным, чем реактивным. Не стоит полагать, что ваш сайт в безопасности, только потому что раньше его никогда не взламывали.

В этой статье мы подробно разберем, что вам нужно сделать, чтобы обеспечить безопасность WordPress сайта от угроз.

Я крайне рекомендую поместить статью в закладки. Она наверняка окажется полезной в будущем, когда вы задумаетесь о безопасности разрабатываемого WordPress сайта.

Как хакеры взламывают ваш сайт?

Важно понимать, как именно хакеры получают доступ к WordPress сайту и совершают на нем свои действия. В принципе, существуют самые разные способы, как хакеры могут взломать WordPress сайт, но основные методы можно разбить на четыре категории. В статье прошлого года была представлена следующая статистика по взлому сайтов:

• 41% сайтов был взломан из-за уязвимости хостинговой платформы
• 29% сайтов были взломаны из-за проблем с безопасностью в теме WordPress
• 22% сайта были взломаны из-за проблем с безопасностью в плагинах WordPress
• 8% взломов были связаны с ненадежными паролями

Как видите, 41% атак вызваны проблемами с безопасностью в самой хостинговой платформе. Здесь могут применяться разные способы, например, использование параметра URL для внедрения вредоносных данных в SQL. При таком методе хакеры добавляют код в вашу базу данных, который может менять данные (например, пароль), восстанавливать или удалять данные (например, удалять ваши посты и изображения).

51% атак был совершен через плагин или тему WordPress. Хакеры могут вставить вредоносный код eval base 64, который запускает PHP функцию с вашего веб-сайта (например, для рассылки спама). Они также могут оставить на сайте бэкдор. В этом случае хакеры могут получить доступ к вашему сайту в любое время в будущем, даже если вы будете уверены, что удалили все вредоносные файлы.

И последний пункт в списке – ненадежный пароль. Хакеры продолжают получать доступ к сайту таким способом, используя автоматические скрипты, которые угадывают пароли, пока не получат доступ. Такой метод взлома также называют «брутфорс».

Лучшие практики безопасности WordPress

Хакеры не ищут сложных путей, чтобы получить доступ на сайт. Их больше всего интересуют уязвимые WordPress сайты. То есть, вы успешно можете блокировать 99.99% атак на свой сайт, если займетесь вопросом безопасности. В этой части статьи я бы хотел подробнее рассмотреть методы, которые вы можете применить для обеспечения безопасности своего сайта. Все эти методы не займут у вас больше 20-30 минут. Все что нужно – изменить некоторые ключевые файлы, такие как .htaccess и wp-config.php. Мы также поговорим о наиболее успешных практиках, и я дам свои рекомендации в отношении WordPress плагинов, которые также помогут сделать ваш сайт менее уязвимым.

Не забывайте, что предотвратить легче, чем потом восстанавливать. Если вы последуйте моим советам, то хакерам будет трудно получить доступ на ваш сайт.

Выбирайте хорошую хостинговую компанию

Так как 41% всех атак вызваны уязвимостью хостинговой платформы, то логично выбирать проверенную надежную компанию. Обратите внимание на те компании, которые занимаются вопросами безопасности. Что это значит:

• Поддержка последних версий PHP и MySQL
• Оптимизация под WordPress
• Оптимизированный под WordPress файровол
• Сканирование вредоносных программ и выявление внедренных файлов
• Безопасность WordPress – одна из главных задач сотрудников компании

Если вы выбираете виртуальный хостинговый план, убедитесь, что все аккаунты будут изолированы. Это даст гарантию, что один из аккаунтов не перегрузит сервер и у вас не будет проблем с вашим сайтом. Хорошие хостинговые компании также предлагают ежедневное резервное копирование, но вы сами также должны регулярно делать внешний бэкап.





Важные настройки

Ключи безопасности WordPress были впервые представлены в версиях 2.5, 2.6 и 2.7. Ключи улучшают кодировку информации, которая хранится в куках посетителей. Это также затрудняет взлом пароля, так как в куки добавляются случайные элементы.

Ключи можно поменять в wp-config.php. Это важный файл конфигурации, который располагается в корне WordPress. Если вы еще не добавили ключи безопасности в файл wp-config.php, то код будет выглядеть так:





Ключи и соли можно генерировать через генератор WordPress Salt Keys Generator. Как только код будет сгенерирован, вы просто заменяете код уникальными сгенерированными фразами. Код будет выглядеть примерно так:





* Внимание: этот код – только пример. Вы должны генерировать уникальные коды для своего сайта.

WordPress работает с таблицами префиксов во всех таблицах базы данных. Префикс по умолчанию – wp_. Например, wp_posts, wp_terms и так далее. Изменение префикса может помочь предотвратить уязвимость к SQL инъекции, так как хакерам придется угадывать префикс. А это, в свою очередь, не даст людям получить контроль над вашей базой данных.

Префикс вы найдете в wp-config.php файле:





Просто измените префикс на что-то неясное, о чем не сможет догадаться человек или скрипт. Например:





Изменение префикса в wp-config.php файле не изменит автоматически префикс таблиц WordPress, если вы уже установили WordPress. Следовательно, если вы меняете префикс на существующем веб-сайте, то вам также нужно обновить и базу данных.

Быстрее всего это можно сделать, установив плагин iThemes Security. Плагин автоматически может внести все необходимые изменения за вас.

Либо, это можно сделать вручную. На это потребуется больше времени, но у вас не будет другого выхода, если вы не сможете изменить префикс автоматически через плагин.

Для вас доступно два метода через интерфейс PHPMyAdmin (весь процесс практически идентичен работе с другими менеджерами баз данных). Первый метод – использовать запрос SQL, чтобы переименовать каждую таблицу. Ниже представлен пример, как это можно сделать:





Понятно, что вы бы заменили ссылку на новый newprefix в примере выше на префикс, который вы определили в wp-config.php файле.

Этот запрос нужно запустить для каждой таблицы базы данных, включая все основные таблицы и дополнительные таблицы.

Еще один способ – нажать на название таблицы и затем нажать на вкладку operation. В этой вкладке можно менять важные настройки таблиц, например, название таблицы. Этот шаг необходимо выполнить в отношении каждой таблицы.





Затем нужно изменить ссылку на префикс таблицы во вкладках usermeta и options.

Это также можно сделать через интерфейс PHPMyAdmin, однако будет намного быстрее использовать запрос SQL.

Для того чтобы обновить таблицу usermeta (ранее wp_usermeta), введите следующий запрос SQL через вкладу SQL PHPMyAdmin:





Для того чтобы обновить таблицу optins (ранее wp_options), введите следующий запрос SQL через вкладу SQL PHPMyAdmin:





Не забудьте в обоих примерах изменить ссылку на newprefix на префикс, который вы задали в wp-config.php.

Для того чтобы обновить таблицы базы данных WordPress с новым префиксом, вам потребуется:

1. Переименовать каждую таблицу WordPress
2. Обновить таблицу usermeta
3. Обновить таблицу options


Я бы рекомендовал менять префикс в таблице WordPress при помощи iThemes Security, так как все эти изменения вы сможете сделать буквально одни щелчком мыши. Однако вы найдете руководство, как применить необходимые изменения, если этот плагин не сможет сделать это автоматически.

Обновляйте WordPress

В каждой новой версии WordPress решается проблема с безопасностью, которая была выявлена в ранних версиях. Следовательно, если вы используете более старую версию, то ваш сайт менее устойчив к атакам. Поэтому важно всегда обновлять WordPress до новой версии.

Основные версии WordPress содержат новые функции и выпускаются дважды в год. Новую версию легко распознать по номеру, он увеличивается на один шаг: 3.7, 3.8, 3.9, 4.0 и т.д. В каждой новой версии внесены какие-то изменения. Если изменения незначительные, то номер версии увеличивается на 0.01, например, 3.9.1, 3.9.2 и т.д.

Масштабные изменения WordPress связаны с внедрением в платформу новых функций, небольшие изменения связаны с устранением багов и ошибок, которые были найдены в основной версии. Именно по этой причине необходимо постоянно обновлять свой сайт.

WordPress внедрил новую функцию в WordPress 3.7, которая обеспечивает автоматическое обновление. Многие пользователи WordPress ошибочно полагают, что эта функция применима ко всем обновлениям, но по умолчанию WordPress автоматически обновляет только незначительные функции вашего сайта.

В сами можете внести масштабные и менее значительные изменения на свой сайт, без необходимости постоянно обновлять WordPress вручную. Это можно сделать, добавив эту часть кода в файл wp-config.php:





Устанавливаются меры предосторожности, которые следят за тем, чтобы ваш сайт не взломали во время автоматического обновления. Однако риск взлома после обновлений все же остается.

И это наиболее вероятно, если вы пользуетесь плагинами WordPress, которые не активно обновляются. Об этом нужно знать, если вы применяете автоматическое обновление сайта.

Если вы предпочтете управлять всеми обновлениями самостоятельно, то можете отключить все автоматические обновления, добавив это код в wp-config.php:





Разработчики плагинов улучшают автоматические обновления, используя функцию «добавить фильтр». Это можно сделать, добавив такой код в wp-config.php после ссылки add_filter ().





Плагины и фильтры WordPress

Слабые места в системе безопасности в темах и плагинах приводят к половине случаев всех атак на WordPress. Обращайте внимание на те плагины, которые вы активируете на своем сайте.

• Строго отнеситесь к выбору плагинов. Если вы можете обойтись без функций плагина, деактивируйте и удалите его.
• Остерегайтесь плагинов, которые не обновлялись в течение двух последних лет, так как в них могут быть «дыры», открытые для хакеров. При возможности работайте только с плагинами, которые регулярно обновляются.
• Не все плагины одинаковые. Не забывайте, что плагин с плохим кодом облегчает хакеру доступ на ваш сайт.

Важно, чтобы ваша тема WordPress также была обновлена и имела хороший код. Качество кода можно проверить при помощи плагина, например, Theme-Check, а качество кода плагина при помощи Plugin-Check.

Будьте предусмотрительны, скачивая бесплатные WordPress темы с неизвестных ресурсов, так как они уже могут содержать в себе вредоносный код. Если сомневаетесь, то используйте бесплатные шаблоны на официальном сайте WordPress.org.

Хакеры могут вставить вредоносный код в платные плагины и темы. Маловероятно, что сам разработчик будет этим заниматься, однако стоит проявить осторожность, скачивая платные продукты с неофициальных ресурсов.

Я бы хотел обратиться к вам с большой просьбой поддержать разработчиков WordPress, покупая плагины и темы исключительно у них. Скачивая платные темы или плагины с торрентов, вы наносите вред их бизнесу, к тому же, нет никакой гарантии, что в этот продукт не был вставлен вредоносный код. Безопасней скачивать плагины с такого ресурса, как WPMU DEV. Эти плагины не только не имеют багов, но и вы получаете круглосуточную поддержку.

Вы можете автоматически обновлять темы и плагины. Для этого добавьте этот код в файл wp-config.php:





Для автоматического обновления темы, добавьте этот код в файл wp-config.php:





Обратите внимание, что ваша WordPress тема должна поддерживать автоматические обновления, чтобы эти коды работали.

Помните, что автоматические обновления плагинов могут привести к ошибкам в работе сайта и это может случиться, когда вас нет у компьютера. Я рекомендую обновлять плагины и темы вручную, чтобы всегда отслеживать появление любых проблем. Как только вы увидите ошибку, вы сразу же сможете деактивировать плагин.

Редактор плагинов и тем WordPress разрешает авторизованным пользователям модифицировать темы и установленные плагины. Если хакер смог получить доступ в зону администратора, то он буквально за секунды сможет вывести сайт из строя, просто изменив или удалив код. Чтобы этого избежать, вы можете выключить редактор тем и плагинов, добавив такой код в wp-config.php:





Вы также можете удалить опцию обновления и установки плагинов и тем, добавив код в wp-config.php. Такой метод не даст неавторизованной стороне загрузить свой плагин на сайт.





Используйте правильные разрешения для файлов

Очень важно правильно сконфигурировать разрешения для файлов. Установка директории с разрешением 777 позволит хакерам загружать или модифицировать уже существующий файл. Согласно WordPress, следует использовать следующие разрешения:

• Все директории должны иметь разрешение 755 или 750
• Все файлы должны иметь разрешение 644 или 640
• Разрешение файла wp-config.php должно быть 600

Более подробную информацию можно найти в руководстве по изменению разрешений для файлов на официальном сайте WordPress.org. Если вы не уверены, нужно ли вам менять разрешение своих файлов, обратитесь за помощью к своей хостинговой компании.

Отключите систему оповещений об ошибках PHP

Если плагин или тема приводят к ошибкам в работе сайта, то на пути к серверу может появиться сообщение об ошибке. Эта информация играет на руку хакерам, поэтому будет разумней отключить эти оповещения.

Это можно сделать, если добавить следующий код в файл wp-config.php:





Если этот код не работает, обратитесь к хостинговой компании и спросите, смогут ли они отключить систему оповещений от вашего имени.

Защита WordPress при помощи .htaccess

.htaccess – это мощный файл конфигурации, который управляет конфигурацией сервера. Его используют для перенаправления URL и конфигурации постоянных ссылок (pretty permalinks). Этот файл также может оказаться полезным для усиления безопасности сайта.

Метод, описанный ниже, значительно повысит безопасность WordPress сайта. Обратите внимание, что этот код нужно заменить за рамками # BEGIN WordPress и # END WordPresstags, так как все, что находится между этими тегами может обновить WordPress (например, во время обновлений или изменений в постоянных ссылках). Не забудьте активировать опцию, которая позволяет видеть скрытые файлы в FTP клиенте или файловом менеджере. В противном случае, вы не увидите файл .htaccess.

wp-config.php – это важный файл, так как он содержит в себе настройки базы данных, префикс таблицы, ключи безопасности и другую критически важную информацию. Вы можете защитить этот файл, добавив следующий фрагмент кода в файл .htaccess:





Вы также можете расположить файл wp-config.php над папкой установки, однако на данный момент нет единого мнения о том, насколько это полезно.

Для того чтобы ограничить доступ к зоне администратора по IP адресу, используйте следующий код (не забудьте заменить IP адрес на свой). Для этого вам нужно создать отдельный файл .htaccess и загрузить его в директорию /wp-admin/. Не забудьте, чтобы получить доступ к зоне администратора с другого IP адреса, вам придется изменить файл .htaccess.





Можно добавить дополнительные IP адреса:





Файл wp-login.php находится в корне WordPress сайта и его также можно ограничить заданным IP адресом. Страница wp-login перенаправит всех пользователей, зашедших на сайт под своим логином в директорию /wp-admin/, следовательно, если кто-то зайдет на сайт через wp-login.php, то он будет заблокирован в /wp-admin/. Но для большей безопасности вы также можете ограничить доступ и к wp-login.php.





Альтернативный метод защиты зоны администратора сайта – установка пароля на директорию. Я не очень люблю этот метод, так как он может вызвать проблемы с Ajax в плагинах и не является стопроцентной гарантией защиты.

Если вы обнаружите, что кто-то постоянно пытается получить доступ в зону администратора, то можете заблокировать этого пользователя при помощи следующего кода. Как и в случае с ограничением по IP, можно заблокировать и дополнительные IP адреса, выделив для них отдельную строку.





Директория /wp-includes/ содержит много полезных файлов, которые необходимы для работы WordPress сайта. Никому из посетителей не нужно видеть содержание этой директории. Для защиты директории /wp-includes/, добавьте следующий фрагмент кода в .htaccess:





Для того чтобы посетители сайта не проводили поиск по содержимому ваших директорий, добавьте этот фрагмент кода в файл .htaccess:





Для защиты самого файла .htaccess, добавьте в файл следующее:





Директорию /wp-includes/ можно защитить при помощи .htaccess. Для этого вам потребуется создать отдельный файл .htaccess и загрузить его в директорию /wp-includes/. Затем добавьте следующий код в файл:





Как видите, этот метод защитит директорию /wp-content/, но разрешит обработку XML, CSS Javascript и изображений. Однако следует заметить, что этот код может ломать некоторые WordPress темы, так как он блокирует работу PHP.Это особенно касается тем, которые имеют timthumb.php. Если код является причиной проблем в работе вашего сайта, то лучше удалить файл .htaccess из директории /wp-content/.

Запретить XML-RPC

В WordPress 3.5 XML-RPC установлена по умолчанию. Этот протокол предназначен для вызова удаленных процедур. Он также необходим для трекбеков и пингбеков.

К сожалению, хакеры знают, как пользоваться протоколом для DDoS атак.

Для того чтобы снизить риск атаки на сайт, можно воспользоваться такими плагинами, как Disable XML-RPC Pingback и XML-RPC Pingback.

Надежная информация для входа на сайт

Слабые пароли открывают ваш сайт для хакеров, которые пользуются автоматическими скриптами по подбору паролей. Таким образом, вы должны:

• Часто менять пароль
• Создавать надежные пароли при помощи таких программ, как Strong Password Generator, Password Generator или Norton Password Generator
• Хранить пароли в менеджерах паролей, например, OnePassword, KeePass, RoboForm, Passback или LastPass
• Следить, чтобы другие пользователи WordPress сайта использовали надежные пароли, например, при помощи программы Force Strong Passwords.

Еще давно WordPress по умолчанию использовала имя пользователя admin для доступа к учетной записи администратора. Сейчас вы можете сами выбирать любое имя в процессе установки, однако многие так и продолжают использовать имя admin.

Проблема в том, что хакеры знают об этом имени по умолчанию, поэтому все, что им нужно – подобрать только пароль. Именно по этой причине, скрипты получают доступ к вашему сайту, используя имя пользователя admin.

Обязательно поменяйте имя пользователя. Это затруднит хакерам вход на ваш сайт.

Для этого нужно сделать следующий SQL запрос в PHPMyAdmin (или в том менеджере баз данных, которым вы пользуетесь). Не забудьте заменить newusername на ваше имя пользователя.





Эту команду можно задать непосредственно в зоне администратора через WordPress плагин WP-DB Manager. Но не забудьте удалить этот плагин сразу же после выполнения команды, чтобы никто не смог получить доступ к вашей базе данных через зону администратора.

Также для смены имени пользователя можно использовать плагин Admin renamer extended.

Ограничьте число попыток входа на сайт

Хакеры используют брутфорс атаки, чтобы попробовать получить доступ в зону администратора WordPress, постоянно подбирая случайные пароли и имена пользователя.

Один из наиболее эффективных способов защититы от атаки такого рода – установка плагина Login LockDown или Login Security Solution. Этот плагин ограничит количество попыток зайти на сайт с данного IP.

Как только пользователь не смог несколько раз зайти на сайт, то он будет заблокирован на определенный период. По желанию период блокировки по умолчанию можно увеличить. Вы можете вручную снять блокировку с любого авторизованного пользователя.

Эти плагины запоминают IP адреса тех, кому не удалась попытка зайти на сайт. Вы можете использовать эту информацию, чтобы навсегда заблокировать этих пользователей через файл .htaccess, о чем мы говорили выше.





Ограничивая количество неудачных попыток входа на сайт, затрудняет доступ на сайт скриптам брутфорс.

Двухэтапное решение аутентификации

Двухэтапный процесс аутентификации при входе на сайт затрудняет хакерам взлом сайта при помощи брутфорс атаки. Все пользователя должны ввести код авторизации, чтобы зайти на ваш сайт. Например, вы можете предоставлять код только через смс на мобильный телефон.

Вот несколько бесплатных WordPress плагинов для аутентификации пользователей:

• Google Authenticator – требует ввода секретного ключа или QR кода, который предоставляется через приложение Google Authenticator в смартфонах
• Clef – позволяет использовать двухэтапную систему аутентификации без пароля через мобильный телефон
• Clockwork SMS – отсылает SMS на мобильный телефон с ключом, который нужно ввести для входа на сайт
• Duo Two-Factor Authentication – предлагает сразу несколько вариантов доступа на ваш сайт, например, через приложение в мобильном телефоне, SMS или телефонный звонок.
• Open ID – осуществляет вход на сайт через OpenID протокол, который поддерживает все основные сервисы социальных медиа
• Authy Two Factor Authentication – требует ввода API ключа через приложение в смартфонах
• Stealth Login Page – вход на сайт, используя секретный код авторизации.

Двухэтапная авторизация не всем нравится, однако это один из наиболее эффективных способов предотвратить неавторизованный вход на ваш сайт.





Этот метод значительно усилит безопасность вашего сайта и сделает его менее уязвимым к атакам.

Скройте страницу авторизации

Хакеры могут взломать вашу страницу авторизации, так как они знают, что установка по умолчанию находится в www.yourwebsite.com/wp-admin/ и www.yourwebsite.com/wp-login.php. Не дайте хакерам получить доступ к сайту, измените место расположения файлов с информацией об учетной записи.

Это можно легко сделать при помощи хороших плагинов:

• Rename wp-login.php – удобный плагин, который позволяет вам менять вашу страницу авторизации. После активации плагина директория wp-admin и страница wp-login.php будут недоступны
• Hide Login + - меняет название страницы авторизации, зоны администратора, страницы выхода из системы и страницы восстановления пароля
• Lockdown WP Admin – еще один полезный плагин, который скрывает зону администратора и страницу авторизации.





Если вы забудете место страницы авторизации или зоны администратора, то можете просто все сбросить и деактивировать плагин. Вы можете переименовать папку с плагином в /wp-content/plugins/. Либо вы можете удалить плагин и снова установить его, когда вновь войдете на сайт под своим именем.

Удалите номер версии WordPress сайта

По умолчанию, WordPress поставит мета-тег в коде вашего сайта, в котором будет указана версия WordPress:





К сожалению, такая информация играет на руку хакерам, особенно если вы используете более старые версии WordPress, в которых есть «дыры».

Разработчик WordPress Пол Андервуд поделился полезным фрагментом кода, который позволяет вам легко удалять номер версии WordPress с вашего сайта. Добавьте этот фрагмент в файл functions.php:





Также вы можете удалить номер версии, установив плагин Remove Version.

Здравый смысл

Когда речь заходит о безопасности сайта, стоит проявить здравый смысл. Ведь вы можете снизить риск взлома сайта, если примете меры предосторожности:

• Никогда не заходите на свой сайт через незащищенные сети
• Убедитесь, что ваш компьютер не заражен вирусами. Установите антивирусное программное обеспечение, например, AVG, Avira, Comodo
• Для дополнительной защиты установите файрвол (Comodo или Zone Alarm)
• Загружайте файлы на сайт только через защищенный FTP-клиент, например, FileZilla
• Не заходите на сайт через компьютеры в Интернет-кафе
• Если вы заходите на сайт в публичных местах, например, кафе или аэропорту, убедитесь, что никто не видит, как вы вводите имя пользователя и пароль
• Не разрешайте пользователям добавлять свои файлы на сайт через форму, так как хакеры могут воспользоваться этой формой, чтобы загрузить вредоносный скрипт. Даже если вы разрешаете добавлять только изображения, на сайт может проникнуть файл с расширением image.jpg.php
• Никогда не предоставляйте доступ администратора людям, которых плохо знаете и которым не доверяете
• Не назначайте редактором незнакомого человека
• Если вы сомневаетесь в зарегистрированных пользователях (авторах или редакторах), то вы можете установить плагины Simple Login Log или Audit Trail для отслеживания действий этих людей
• Не давайте незнакомым людям доступ к FTP или к зоне хостинга, если в этом нет необходимости.

Делайте резервное копирование

Старая мудрость гласит: надейтесь на лучшее, но готовьтесь к худшему. Это очень подходит к работе сайтов. Даже если вы усилили безопасность своего сайта, нет гарантии, что он не подвергнется атаке хакеров. Именно по этой причине очень важно делать резервное копирование своего сайта.

Большинство хостинговых компаний ежедневно делают копирование ваших сайтов, однако если центр данных компании будет поврежден, то все данные, в том числе и внутренние копии будут утеряны. Обязательно делайте внешнее копирование сайта.





VaultPress предлагает возможность сделать бэкап и восстановление всего за $5 в месяц с одного сайта.

Существуют автоматизированные сервисы резервного копирования для WordPress, которые делают процесс бэкапа и восстановления сайта простым и безболезненным. К ним относятся Automattic’s VaultPress, сервис бэкапа и мониторинга CodeGuard и сервис бэкапа и миграции BlogVault.

Если вы предпочитаете пользоваться плагинами для бэкапа, тогда рекомендую BackupBuddy, Backup Creator, UpdraftPlus Backup and Restoration, а также WordPress Backup to Dropbox.

Также обратите внимание на Snapshot. Это решение делает резервное копирование базы данных, файлов темы и ваших загруженных материалов. Это одно из немногих решений, которые позволяет выбирать, какие таблицы резервировать.

Бэкапы можно делать через защищенный FTP, Amazon S3 или Dropbox. Восстановить любую информацию можно одним щелчком мыши, то есть вы можете восстановить сайт максимально быстро.





Snapshot – это отличное решение, которое поддерживает BuddyPress и WordPress Multisite. Не стоит расслабляться, когда речь заходит о бэкапах. Если ваш сайт подвергнется атаке, то все содержание сайта будет изменено или полностью удалено. Внешнее резервное копирование – это единственное, что спасет сайт от полного краха. В противном случае, вам понадобится чрезвычайный план восстановления.

Сканируйте ваш сайт

Многие ошибочно полагают, что если сайт был взломан, то он полностью сломан. Однако так происходит редко, так как главная цель хакеров – использовать ваш сервер для рассылки спама.

Если вы узнали, что сайт подвергся атаке, свяжитесь с хостинговой компанией и начните удалять файлы, загруженные хакерами. Но если вы не в курсе, что сайт подвергся взлому, то хакеры продолжат использовать ваш сервер для рассылки спама.

Самый эффективный способ выявить вредоносные и подозрительные файлы на своем сайте – регулярно сканировать сайт. Для этого существует много плагинов и сервисов.

• Theme Authenticity Checker – плагин сканирует все установленные WordPress темы на признаки присутствия подозрительного кода. Плагин выделит код, показав путь к файлу, номер строки и фрагмент подозрительного кода.
• Ultimate Security Checker – плагин, который сканирует сайт и проверяет на сотни известных угроз, а также определяет степень найденной угрозы.
• AntiVirus – отличный плагин, который сканирует файлы и базу данных на предмет вредоносного кода. После каждого сканирования вы будете получать e-mail уведомления, поэтому всегда будете в курсе всех подозрительных элементов на своем сайте.
• WP Antivirus Site Protection – сканирует серверную часть, выявляя бэкдоры, руткиты, трояны, черви, PHP mailer, мошеннические инструменты, рекламное и шпионское ПО и многое другое. Его можно запускать автоматически каждый день.
• Sucuri Sitecheck – сканер Sucuri может сканировать ваш веб-сайт на предмет вредоносного ПО, спама и искажения сайта. Программа также покажет, состоит ли ваш сайт в каком-либо черном списке.
• CodeGuard – это сервис используется для ежедневного резервного копирования сайта. Если на сайте будут замечены изменения, то на вашу почту придет уведомление, в котором будет описано, что было добавлено на сайт, что изменено или удалено.

Еще один хороший плагин – WP Changes Tracker. Плагин будет записывать все изменения в WordPress, в темах или установленных плагинах. Программа не сканирует вредоносное ПО, однако если вы заметите на сайте что-то необычное, то вы сможете увидеть, что конкретно изменилось.





Регулярное сканирование сайта поможет вам своевременно выявлять вредоносные действия.

Универсальные плагины безопасности

Если вы плохо разбираетесь в технических аспектах, то вам может понравиться идея использовать универсальное решение безопасности. Такие WordPress плагины могут усилить безопасность вашего сайта одним щелчком мыши. Некоторые плагины дополнительно могут установить файрвол и проводить сканирование сайта каждый день, выявляя вредоносные файлы.

Давайте более подробно рассмотрим эти универсальные плагины:

BulletProof Security – плагин, который обеспечивает безопасность .htaccess, выявляет внедрение вредоносных файлов, обеспечивает безопасность авторизации, делает бэкапы базы данных и проводит ежедневный мониторинг. Кроме того, плагин ведет журнал всех изменений, произошедших на сайте.

У плагина много опций конфигурации. Если вы не хотите конфигурировать опции самостоятельно, вы можете усилить безопасность сайта одним кликом.





Acunetix WP Security – это плагин, который выявляет уязвимости в паролях, файлах темы и зоне администратора.

Плагин имеет много полезных опций, например, удаление номера версии WordPress, отключение системы отчета об ошибках PHP, удаление уведомлений об обновлениях и т.д. Также в плагин встроен инструмент учета реального трафика.




Acunetix WP Security борется с самыми распространенными «дырами» в сайтах WordPress.


Sucury Security сканирует сайт и выявляет PHP mailers, инъекции, перенаправления, попытки фишинга и многое другое.

В плагине также есть такие опции, как защита адреса директории для загрузки файлов, удаление номера версии WordPress, отключение редактора темы и плагина, ограничение доступа к директориям /wp-content/ и /wp-includes/.





iThemes Security – это самый скачиваемый плагин на WordPress.org.

Плагин работает с самыми уязвимыми местами WordPress сайта, например, переименование учетной записи администратора, изменение ID пользователя, удаление сообщений об ошибках доступа, показ случайной версии WordPress пользователям, не имеющим права администратора.





iThemes Security – это один из самых эффективных способ обезопасить ваш WordPress сайт.

Wordfence Security обеспечивает двухэтапный способ аутентификации через мобильный телефон, установку файрвол для блокировки самых распространенных угроз. Также, плагин имеет опцию усиления надежности пароля.

Плагин сканирует сайт на присутствие бэкдоров, вредоносного ПО и попытки фишинга. Плагин также помогает выявлять DDoS атаки.





Заключительные мысли

Безопасность сайта – это вопрос, к которому нужно отнестись со всей серьезностью. Если вы не будете предпринимать меры предосторожности, то рискуете, что ваш сайт будет взломан. В результате сайт может попасть в черный список из-за рассылки спама. В худшем случае, вы можете потерять все данные.

Уделите 30 минут в день безопасности и вы сможете предотвратить хакерам доступ на сайт.

Если вам не удастся подготовиться, готовьтесь потерпеть неудачу.

Если ваш сайт взломали, сохраняйте спокойствие. Самое лучшее, что можно сделать – поменять пароль, просканировать сайт на наличие вредоносного ПО и связаться с хостинговой компанией. Делайте резервное копирование каждый день, чтобы не потерять все данные.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием
Старый 06.08.2014, 19:09
  #2
Sonik666
 
Аватар для Sonik666
Регистрация: 20.11.2011
Сообщений: 1,540

Спасибо + .

Сегодня как раз хакнули блог, сломали function.php . Хорошо что быстро восстановить получилось.
Нравится 0   Не нравится 0
Пожаловаться на это сообщение 0  
Ответить с цитированием

Ответ
 
 

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Как создать руководство по фирменному стилю за 1 час Nataly Магазины 0 31.07.2014 02:28
Постинг и безопасность Justin Файлообмен 10 11.12.2013 02:19
Руководство по использованию страниц в LinkedIn 0pium Статьи 1 15.04.2013 17:36
Безопасность при работе с дорвеями alex.sakov Статьи 4 11.10.2012 06:18
Основные приёмы чёрного SEO (веб-безопасность) Movut Статьи 3 04.06.2012 13:17

Метки
wordpress, безопасность, взлом, плагины, уязвимость, хакеры


Здесь присутствуют: 1 (пользователей: 0, гостей: 1)
 
Опции темы

Быстрый переход


Текущее время: 19:35. Часовой пояс GMT +3.