Привет всем!
Давненько я не писал в эту рубрику. Но сегодня исправляю этот промах.
Безопасность WordPress — это как безопасность вашего дома или квартиры.
Когда вы выходите из дома, вы закрываете двери и закрываете окна, верно? Почему бы вам не сделать то же самое для вашего сайта?
Ко мне часто поступают вопросы про хостинг, которым я пользуюсь и поэтому решил указать хостинг в статье https://sprinthost.ru. Вы можете попробовать попользоваться хостингом 30 дней бесплатно. Чтобы понять, как будет работать Ваш сайт на этом хостинге просто перенести свой сайт (в этом поможет поддержка хостинга бесплатно) и и таким образом сможете понять подходит хостинг Вам или нет. На этом хостинге находятся сайты с 20 000 тысяч посещаемость и сайты чувствуют себя отлично. Рекомендую! Да, если делать оплату на 1 год то получаете скидку 25%. И что мне нравится – тех. поддержка всегда помогает в технических вопросах, за что им спасибо. Как Вы понимаете не всегда проходит всё гладко и нет желания, чтобы сайт не был доступен тем самым страдал трафик и доход.
В конце концов — так же, как и ваше место жительства, оно также представляет собой значительную инвестицию во время, усилия и часто в деньги. Ваше присутствие в интернете, скорее всего, напрямую связано с получением средств к существованию. Это будет либо прямой источник дохода (например, интернет-магазин), либо реклама ваших услуг для остального мира.
По этой причине в этой статье я хочу глубоко погрузиться в то, как обеспечить безопасность вашего сайта WordPress. Первая часть этого поста расскажет о рисках, связанных с работой сайта. Вторая часть будет о том, как повысить безопасность WordPress, чтобы ваш сайт не был взломан.
Это очень подробный (и, следовательно, длинный) пост. Так что возьмите себе кофе и начнем!
Как веб-сайты WordPress подвергаются риску?
Чтобы использовать упреждающий подход, сначала нужно узнать, как сайты взламываются. Только когда вы знаете слабые места, вы можете принять меры для их защиты.
Исследование еще 2012 года показало следующие основные направления успешных попыток взлома:
Знание этого дает нам глубокое понимание того, как повысить безопасность WordPress. В этой статье вы узнаете, как защитить себя от взлома вашего сайта всеми способами, упомянутыми выше.
28 советов, как защитить свой WordPress
Принятие основных мер безопасности может пройти долгий путь, чтобы защитить себя от большинства атак. Люди, которые атакуют веб-сайты, не любят много работать. По этой причине решение наиболее распространенных проблем позаботится о значительной части попыток взлома.
1. Держите ваш компьютер в безопасности
Безопасность вашего сайта начинается с того компьютера, который вы используете для его обслуживания. Если ваш компьютер скомпрометирован, он может легко распространиться на ваше присутствие в интернете. Следовательно, важно соблюдать основные правила безопасности.
2. Используйте хорошую хостинговую компанию
Другой основной мерой является выбор качественного хоста. Как видно выше, большинство успешных атак происходит с платформы хостинга. Это ваша первая линия обороны, и вы бы неплохо пошли на ту, которая серьезно относится к безопасности.
Как вы найдете один из них?
Один из способов — прочитать статью о лучшем хостинге WordPress на этом сайте. Кроме того, ищите хост, который:
Стоит также уделить время чтению о различных типах хостинга, чтобы вы лучше поняли, во что вы ввязываетесь.
3. Измените префикс таблицы WordPress во время установки
Помимо размещения вашего сайта на качественном хосте, во время установки вы также можете сделать несколько вещей, чтобы сделать WordPress более безопасным. Одним из них является установка пользовательского префикса таблицы.
Если вы загляните в базу данных WordPress стандартной установки, вы увидите, что все таблицы начинаются с wp_.
Сохранение этого делает ваш сайт более уязвимым для SQL-инъекций. Это потому, что для такого рода атак хакерам необходимо знать префикс таблицы. Конечно, стандартная настройка WordPress общеизвестна.
Простой способ повысить безопасность WordPress — превратить его в нечто случайное 8uh7zgokm_. Вы можете сделать это во время установки или, если у вас уже есть веб-сайт, изменив настройки ниже в файле wp-config.php.
$table_prefix = ‘wp_’;
Если вы не знаете, вы можете найти этот файл в корневом каталоге вашей установки WordPress. Я расскажу об этом подробнее ниже. Если вы нашли правильную строку, измените ее на свой собственный префикс, например:
$table_prefix = ‘8uh7zgokm_’;
После этого вам все равно придется обновить префикс внутри вашей базы данных. Один из самых простых способов сделать это через плагин безопасности, такой как iThemes Security.
4. Перейти на качественные темы и плагины
Следующими в очереди по наиболее распространенным направлениям атаки являются темы и плагины. Вместе они составили более половины всех взломанных сайтов. Вот как устранить их в качестве шлюзов для хакеров:
Кроме того, крайне важно, чтобы вы не скачивали из неизвестных источников. Не все из них имеют в виду ваши интересы.
В лучшем случае вы получаете плохо запрограммированный плагин или тему, которая делает ваш сайт небезопасным. В худшем случае создатель намеренно включил вредоносный код для компрометации вашего сайта. Это особенно верно, если вы загружаете премиум-плагины «бесплатно». Поэтому лучше придерживаться качественных источников, таких как каталог WordPress и проверенные поставщики.
5. Держите WordPress и его компоненты в актуальном состоянии
Новые версии WordPress не только приносят новые функции и улучшения, но и устраняют дыры в безопасности, выявленные на предыдущих итерациях. Это особенно верно для незначительных обновлений (которые вы можете определить по третьей цифре в их номере версии, например 5.1.1). Они выходят специально для этой цели.
Следовательно, крайне важно, чтобы вы применяли новые версии на своем сайте как можно скорее.
Незначительные обновления WordPress 5.0 применяются автоматически. Это было добавлено, чтобы обеспечить актуальность веб-сайтов с точки зрения безопасности. Тем не менее, основные обновления по-прежнему под вашей ответственностью. Создайте резервную копию и обновите свой сайт, как только увидите предупреждение на своем сервере. Сделайте то же самое для тем и плагинов.
Обратите внимание, что WordPress может автоматически применять основные обновления, а также обновления для плагинов и тем. Мы поговорим об этом ниже. Однако риск того, что что-то пойдет не так без вашего ведома, слишком велик. Поэтому, настоятельно не рекомендуется.
6. Предоставляйте доступ только тем, кому доверяете
Первый способ — предоставить доступ к сайту только тем людям, которые, как вы уверены, не будут использовать его в плохих целях. Любой, кому абсолютно не нужен доступ, не должен быть там.
Даже с теми, кого вы считаете заслуживающими доверия, важно предоставить им только те роли и возможности, которые им абсолютно необходимы. Таким образом, вероятность несчастных случаев (или умышленно плохих действий) значительно уменьшается.
Кстати, такое же усмотрение следует применять для доступа к вашей учетной записи хостинга, FTP-серверу и другой конфиденциальной информации.
7. Усильте свою регистрационную информацию
Самый простой способ повысить безопасность WordPress — использовать безопасную информацию для входа. Это долгий путь, чтобы предотвратить атаки методом «перебора паролей», когда хакеры автоматически пробуют сотни различных комбинаций имени пользователя и пароля с помощью сценария, пока один из них не сработает.
Только WordFence зарегистрировал около 35 миллионов таких атак в июле 2017 года за день! И это только на сайтах, где работает их плагин.
Как следствие, лучше всего учитывать эти лучшие практики:
Вы также можете использовать службу для защиты всех своих паролей, например, LastPass. Кроме того, если на вашем сайте есть другие люди с высоким уровнем разрешений, вы можете также заставить их использовать правильную информацию для входа в систему. Вместо того, чтобы просить их по электронной почте, делайте это с помощью Force Strong Passwords. На всякий случай, если вам нужно изменить имя администратора, следуйте этим инструкциям.
8. Измените сообщения об ошибках входа
По умолчанию, если кто-то пытается войти на ваш сайт с неверными учетными данными, WordPress сообщит ему, связана ли проблема с его именем пользователя или паролем.
Это определенно слишком много информации, поскольку она отдает половину того, что кому-то нужно, чтобы проникнуть на ваш сайт. Чтобы изменить его, используйте этот фрагмент кода в файле functions.php чтобы изменить сообщение.
function custom_wordpress_error_message ( ) {
return ‘Это было не совсем правильно …’ ;
}
add_filter ( ‘login_errors’ , ‘custom_wordpress_error_message’ ) ;
Измените «Это было не совсем правильно …» на все, что вы хотите передать. Просто, но эффективно.
9. Ограничить попытки входа
Надежная информация для входа — это только одна часть уравнения. Если у вас будет достаточно времени и попыток, кто-нибудь все же сможет это сделать.
Поэтому рекомендуется повысить уровень безопасности, ограничив количество попыток. Плагины, такие как WP Limit Login Attempts, позволяют установить, как часто данный IP-адрес может отказать при входе в систему до того, как он будет временно или навсегда запрещен на вашем сайте.
10. Реализовать двухфакторную аутентификацию
Двухфакторная аутентификация означает не что иное, как создание дополнительного шага для входа людей на ваш сайт. Это может быть что-то вроде необходимости ввести код с мобильного телефона. Он блокирует автоматические атаки.
Вот некоторые плагины, которые позволяют вам реализовать двухфакторную аутентификацию:
11. Скрыть страницу входа
Еще один способ сохранить страницу входа в WordPress — это скрыть ее. Как известно всем, кто работал с WordPress, вы обычно обращаетесь к нему через «yourdomain.ru/wp-admin» или «yourdomain.ru/wp-login.php».
Перемещение его на другой адрес означает, что автоматизированные сценарии будут нацелены не на то место. Многие из приведенных выше плагинов безопасности могут сделать это для вас. В дополнение к этому, Cerber Security & Antispam и WP Hide & Security Enhancer также имеют такую возможность. Вы также можете сделать это самостоятельно, используя код, описанный здесь.
12. Настройте SSL и HTTPS
Использование шифрования SSL предотвратит захват конфиденциальной информации. Если у вас есть интернет-магазин или другие вещи, которые необходимо защитить, это обязательно нужно иметь.
Однако шифрование также защищает ваши данные для входа и становится все более обязательным.
13. Автоматически обновляйте ваш сайт
Я говорил об автоматических обновлениях ранее. Помимо обновлений для минорных версий, вы также можете активировать ту же функцию для крупных обновлений, плагинов и тем. Это работает путем добавления следующих строк в wp-config.php:
define ( ‘WP_AUTO_UPDATE_CORE’, true );
add_filter ( ‘auto_update_plugin’, ‘__return_true’ );
add_filter ( ‘auto_update_theme’, ‘__return_true’ );
Тем не менее, я должен еще раз предупредить вас, что риск взлома вашего сайта выше при использовании плагинов и крупных обновлений WordPress. По этой причине, может быть, лучше применить их вручную.
14. Добавить ключи безопасности
Ключи безопасности WordPress, также называемые «солями», шифруют информацию, хранящуюся в файлах cookie браузера. Таким образом, они защищают пароли и другую конфиденциальную информацию. Сами ключи представляют собой фразы, используемые для рандомизации этой информации и хранящиеся внутри wp-config.php, в котором он говорит, что это:
define(‘AUTH_KEY’, ‘поместите вашу уникальную фразу здесь’);
define(‘SECURE_AUTH_KEY’, ‘поместите вашу уникальную фразу здесь’);
define(‘LOGGED_IN_KEY’, ‘поместите вашу уникальную фразу здесь’);
define(‘NONCE_KEY’, ‘поместите вашу уникальную фразу здесь’);
define(‘AUTH_SALT’, ‘поместите вашу уникальную фразу здесь’);
define(‘SECURE_AUTH_SALT’, ‘поместите вашу уникальную фразу здесь’);
define(‘LOGGED_IN_SALT’, ‘поместите вашу уникальную фразу здесь’);
define(‘NONCE_SALT’, ‘поместите вашу уникальную фразу здесь’);
Вы должны добавить их вручную (как видно из подсказки). К счастью, вам не нужно придумывать фразы самостоятельно. Вместо этого просто нажмите на генератор ключей и скопируйте и вставьте то, что вы там найдете. Это будет выглядеть примерно так:
15. Отключить редактор тем и плагинов
Чтобы внести изменения в ваш сайт, WordPress содержит внутренний редактор файлов тем и плагинов. Хотя это может быть полезно в некоторых ситуациях, это также очень рискованно.
Причина в том, что если кто-то получит доступ к бэк-энду вашего сайта, он может использовать редактор для удаления вашего сайта, даже не имея доступа к вашему серверу.
Чтобы избежать этого, отключите редактор, добавив следующую строку в ваш файл wp-config.php:
define ( ‘DISALLOW_FILE_EDIT’ , true );
16. Отключите отчеты об ошибках PHP
Когда плагины или темы вызывают ошибку на вашем сайте, WordPress отобразит сообщение на вашем интерфейсе.
Это сообщение может содержать путь к проблемному файлу. Хакеры могут использовать эту информацию, чтобы лучше понять структуру вашего сервера и атаковать ваш сайт. Вот как это отключить внутри wp-config.php:
error_reporting ( 0 );
@ini_set ( ‘display_errors’, 0 );
Если это не работает, это может быть связано с настройками хоста. В этом случае вам нужно поговорить с ними об отключении.
17. Защита важных файлов от доступа
.htaccess — еще один важный файл, который настраивает ваш сервер. Среди прочего, он содержит код, который позволяет использовать красивые постоянные ссылки в WordPress. Он также может устанавливать перенаправления и, как вы уже догадались, повысить безопасность WordPress.
Для последнего вам сначала нужно получить доступ к файлу, который находится в корневом каталоге вашего сервера и по умолчанию скрыт. Поэтому для его редактирования убедитесь, что ваш FTP-клиент отображает скрытые файлы ( «Сервер — Принудительно показывать скрытые файлы» в FileZilla). После этого примите следующие меры.
Приведенный ниже код запретит доступ к критическим файлам, таким как wp-config.php, php.ini, журналам ошибок и .htaccess.
<FilesMatch “^.*(error_log|wp-config.php|php.ini|.[hH][tT][aApP].*)$”>
Order deny,allow
Deny from all
</FilesMatch>
При необходимости измените имя вашего файла php.ini (например, php5.ini или php7.ini). Обязательно размещайте код вне скобок #BEGIN WordPress и #END WordPress. Все внутри этого пространства может быть отредактировано WordPress и может привести к потере ваших изменений.
18. Ограничить доступ к файлам PHP
Кроме того, вы можете запретить другим пользователям получать доступ к файлам PHP и внедрять в них вредоносное ПО:
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/plugins/directory/to/exclude/
RewriteRule wp-content/plugins/(.*.php)$ – [R=404,L]
RewriteCond %{REQUEST_URI} !^/wp-content/themes/file/to/exclude.php
RewriteCond %{REQUEST_URI} !^/wp-content/themes/directory/to/exclude/
RewriteRule wp-content/themes/(.*.php)$ – [R=404,L]
19. Предотвратите выполнение файлов PHP
Хакеры чаще всего загружают вредоносное ПО в папку «wp-content/uploads». Чтобы предотвратить выполнение ими плохих кодов в случае взлома, используйте этот фрагмент кода:
<Directory “/var/www/wp-content/uploads/”>
<Files “*.php”>
Order Deny,Allow
Deny from All
</Files>
</Directory>
20. Отключить инъекции скрипта
Пока вы это делаете, используйте этот фрагмент, чтобы посторонние не могли внедрить вредоносный код в ваши существующие файлы PHP:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (<|%3C).*script.*(>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|[|%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|[|%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
21. Безопасный wp-includes
В этой папке wp-includes хранятся файлы ядра WordPress, в которые никто не должен вмешиваться. Чтобы убедиться, что этого не произойдет, используйте следующий код.
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^wp-admin/includes/ – [F,L]
RewriteRule !^wp-includes/ – [S=3]
RewriteRule ^wp-includes/[^/]+.php$ – [F,L]
RewriteRule ^wp-includes/js/tinymce/langs/.+.php – [F,L]
RewriteRule ^wp-includes/theme-compat/ – [F,L]
</IfModule>
Не волнуйтесь, это не повлияет на вашу тему или файлы плагинов, так как они находятся в другом месте.
22. Ограничить доступ администратора к определенному IP-адресу
С .htaccess вы также можете ограничить доступ к вашей странице входа WordPress по IP-адресу. Только ты сможешь туда попасть. Для этого скопируйте и вставьте в него следующий код:
ErrorDocument 401 default
ErrorDocument 403 default
<Files wp-login.php>
Order deny,allow
Deny from all
Allow from 198.101.159.98
</Files>
Не забудьте заменить примеры IP-адресов тем, к которому вы хотите предоставить доступ. Вы также можете добавить больше адресов, скопировав и вставив строку «Allow from…». Все остальные попадут на страницу с ошибкой. Если вы не знаете свой IP, просто проверьте его здесь.
Имейте в виду, что для того, чтобы попасть в админ-панель WordPress с другого IP-адреса, вам нужно сначала изменить или добавить его в файл.
23. Блокировка определенных IP-адресов
Подобный метод доступен для блокировки IP-адресов, которые постоянно пытаются проникнуть на ваш сайт. Если вы заметили что-то подобное (например, из журналов вашего сервера), вы можете заблокировать их на своем сайте с помощью этого дополнения к .htaccess:
order allow,deny
deny from 456.123.8.9
allow from all
24. Запрет просмотра каталогов
По умолчанию любой может посмотреть на структуру каталогов любого сайта WordPress, просто указав полный путь к каталогам на панели браузера.
Хотя это не позволяет хакерам вносить изменения, знание структуры вашего сайта все равно поможет им. Поскольку вы хотите сделать их как можно более сложными, отключите просмотр каталогов внутри .htaccess.
Options All -Indexes
25. Обратите внимание на права доступа к файлам
Использование правильных прав доступа к файлам на вашем сервере — это способ предотвратить изменение ваших файлов неуполномоченными лицами.
Как вы можете изменить права доступа к файлам?
С FileZilla это так же просто, как пометить элементы, которые вы хотите изменить, щелкнув правой кнопкой мыши, а затем выбрав «Права доступа к файлу…».
В следующем окне вы можете установить уровень разрешений с помощью числового значения.
Как вы можете видеть, также возможно применить то же самое к файлам и/или каталогам на более низких уровнях. Гораздо практичнее, чем индивидуальное изменение разрешений.
Что касается того, что вы должны изменить их, WordPress рекомендует следующие настройки:
26. Удалить номер версии WordPress
По умолчанию WordPress содержит метатег внутри исходного кода, который будет отображать версию вашего сайта, а также добавлять ее в скрипты, загруженные в ваш раздел <head>.
К сожалению, эта информация очень полезна для всех, кто пытается взломать ваш сайт, особенно если вы используете более старую версию WordPress с известной уязвимостью в безопасности. К счастью, удалить номер версии так же просто, как добавить следующее в начало файла function.php вашей темы:
function remove_wordpress_version_number() {
return ”;
}
add_filter(‘the_generator’, ‘remove_wordpress_version_number’);
function remove_version_from_scripts( $src ) {
if ( strpos( $src, ‘ver=’ . get_bloginfo( ‘version’ ) ) )
$src = remove_query_arg( ‘ver’, $src );
return $src;
}
add_filter( ‘style_loader_src’, ‘remove_version_from_scripts’);
add_filter( ‘script_loader_src’, ‘remove_version_from_scripts’);
27. Отключить XML-RPC
Эта аббревиатура является названием функции, которая позволяет удаленно подключаться к WordPress. Например, клиенты блогов используют это, и это также используется для трекбэков и пингбеков. К сожалению, это также иногда является целью хакеров, поэтому вы должны защитить его с помощью плагина Disable XML-RPC Pingback.
28. Резервное копирование
Упомянутые выше меры предосторожности хороши для обеспечения безопасности WordPress. Однако несчастные случаи все же случаются. Для дополнительной страховки всегда имейте под рукой свежую резервную копию.
Существует множество вариантов резервного копирования WordPress, поэтому я создал обширное руководство по этой теме. В нем вы найдете все, что вам нужно знать о создании резервных копий вашего сайта WordPress.
Думаешь, тебя взломали?
Если вы считаете, что приведенный выше совет пришел слишком поздно, и, возможно, вас уже взломали, есть способы выяснить это. Используйте эти инструменты, чтобы проверить, обоснованы ли ваши страхи (или просто используйте их в качестве меры предосторожности):
Как ваша безопасность WordPress?
Как и в реальном мире, важно защищать свои цифровые активы. Для многих из нас самым большим является наш веб-сайт. По этой причине инвестиции в безопасность WordPress равносильны покупке страховки арендатора или установке лучшего замка на вашей двери.
Выше вы узнали об опасностях, с которыми сталкиваются веб-сайты WordPress, а также о множестве способов их предотвращения. Начиная с базовых рекомендаций по защите входа в систему, укреплению безопасности WordPress через wp-config.php и заканчивая универсальными подключаемыми .htaccess модулями безопасности, вы можете многое сделать.
Имейте в виду, что вам не нужно принимать все меры, описанные выше. Даже если вы возьмете только основные, вы будете лучше подготовлены, чем многие другие.
Тем не менее, большинство действий занимают очень мало времени. Следовательно, вы можете подумать о том, чтобы потратить десять минут здесь и там для дальнейшего улучшения вашей системы безопасности WordPress. Поверь мне, в конце ты будешь благодарен.
Какие ваши любимые меры безопасности WordPress? У вас есть что-нибудь добавить к вышесказанному? Дайте мне знать в комментариях ниже.
До скорых встреч!
Комментарии закрыты.