Как и многие пользователи, Вы, наверное, в курсе, что WordPress является одной из ведущих CMS (система управления контентом) с открытым исходным кодом. Изначально CMS WordPress создавалась для ведения блогов, но спустя некоторое время она далеко вышла за рамки стандартов и сейчас это отличная платформа для любого типа веб-сайта. Однако, как показало время, интернет чреват опасностями, которые заставляют разработчиков шевелиться.

Как защитить Ваш блог WordPress от взлома, HowToMake - дизайн и разработка сайтов

Зачем кому-то ломать Ваш блог

В далеком прошлом цель атаки веб-хакеров заключалась в простом отключении веб-сайта, но пораскинув мозгами они пришли к выводу, что такое занятие не несет в себе прибыли, очень печально. Такая ситуация продолжалась недолго и сегодня их цель изменилась: любым возможным образом захватить веб-сайт для своих корыстных целей.
Частенько взлом происходит через поля форм и инъекция (инфицированный код) передается практически на все страницы Вашего сайта.

«Какой ущерб нам от этих инъекций» – спросите Вы и получите ответ:

  • Во-первых это время, потраченное на избавление от напасти
  • Во-вторых возможное снижение позиций в поисковой выдаче

Каждый кто ведет блог на WordPress, и не только, вкладывает в него значительное количество времени, энергии и финансовых средств для настройки и поддержания. И так между прочим хочу заметить что личный блог это источник дохода, и такие факторы как понижение PR и ТиЦ, потеря трафика и денежек в последствии такой атаки, портит нам сильно настроение.

Как же все-таки защититься

Мы хотим, чтобы никто без спроса не копался в наших файлах на хостинге. Приведу Вам ряд примеров как можно себя обезопасить и активно противостоять всем фокусам.

Стандартный подход

Самые важны шаги как всегда к начале.

Если Вы разрабатывали тему сами и уверены, что с ней проблем нет, то все хорошо. Если же Вы где-то скачивали тему, убедитесь в надежности ее источника. Помните о плагинах к WordPress, пользуйтесь теми, что находятся в официальном каталоге.

Помимо Вы должны по-любому обновлять свои плагины и темы если они того требуют, зачастую обновления несут в себе исправления и улучшения, иногда могут возникать проблемы с несовместимостью и чтобы избежать подобного нужно всегда при себе иметь резервную копию Вашей базы данных и архив Вашего фтп-аккаунта (после того как покончите с дизайном его нужно сделать).

Защита с помощью пароля

Надежный пароль одним из первых принимает на себя удар от одаренных. WordPress радует и дает возможность задать любой сумасшедший пароль, не забудьте его записать в блокнотике ручкой. В интернете Вы найдете много бесплатных online-сервисов, которые генерируют случайные надежные пароли.

Создание секретных ключей

Благодаря секретным ключам WordPress хранит ваш пароль в максимальной безопасности, они добавляют случайные элементы к паролю пользователя. Чтобы получить секретные ключи Вы должны перейти на WordPress API и скопировать предоставленные ключи в соответствующий раздел файла wp-config.php.

Если Ваш блог уже функционирует в интернете, то замена секретных ключей привет к тому, что Вашим пользователям придется снова авторизоваться.

Создайте безопасное имя администратору

По умолчанию учетной записи администратора для установки WordPress дано имя пользователя «admin». Большинство хакеров знают об этом, и, как результат, половина информации, необходимой для доступа к Вашим данным у них уже есть. Им остается только подобрать пароль.

Безопасное имя администратора WordPress, HowToMake - дизайн и разработка сайтов

Очень жаль, но мы им обломаем крылья, добавляем нового пользователя с правами администратора, уникальным именем и мегасложным паролем, заходим под именем этого пользователя в консоль и удаляем старую учетную запись администратора.

Повысьте безопасность с помощью плагинов

Для повышения безопасности Вашего сайта, каталог плагинов WordPress предлагает несколько решений:

  • WP Security Scan
    Этот плагин ищет места уязвимости Вашего блога и говорит какие действия нужно предпринять для их устранения. Он не должен быть активированным все время, достаточно раз в неделю или две проверять на наличие уязвимостей.
  • WordPress Exploit Scanner
    Плагин WordPress Exploit Scanner сканирует Ваши файлы на наличие вторжений хакеров, может Вас предупредить о уязвимости. Плагин также не требует постоянной активности.
  • WordPress File Monitor
    Мощный инструмент, все время следит за Вашими файлами, предупреждает о любых изменениях, которые были сделаны. Вы легко выявите действия хакеров. Для эффективной работы плагин должен быть активным всегда.
  • Login Lockdown
    Прекрасное решение для защиты от хакеров, если им вздумается перебором подобрать пароль. Плагин ограничивает количество попыток входа на сайт временным промежутком, который Вы можете задать сами. Плагин должен быть активным на постоянной основе.

Установите правильные права на папки

Права на папки WordPress, HowToMake - дизайн и разработка сайтов

Такой нюанс тоже срывает всякий беспредел. Помните что права на все файлы и папки кроме wp-content должны быть 644, на папку wp-content 755, на папку wp-content/uploads – 755. Установить права на папку Вы можете непосредственно из панели управления хостингом (если там есть такая возможность) или посредством программы FileZilla (отличная фтп-программа для закачки Ваших файлов на сервер). Вы можете изменить права на папки как того требуют некоторые плагины.

Измените префикс таблицы БД WordPress

По умолчанию у таблиц базы данных WordPress стандартный префикс wp_ – и это еще одна крупица информации хорошо известная злоумышленникам. Однако при установке WordPress при настройке файла wp-config.php его легко изменить на нечто уникальное.

Изменять префикс таблицы базы данных уже работающего сайта не рекомендуется.

Перемещение wp-config.php

С выходом WordPress 2.6, пользователи теперь имеют возможность перемещения WP-config.php. Способность перемещать файл wp-config.php предотвращает хакерские атаки при поиске файла и внесений нежелательных изменений в него. Файл можно перемещать только в родительскую директорию установки WordPress. Например, если файл находится в:

public_html / WordPress / wp-config.php

она может быть перемещена в:

public_html / wp-config.php

Следует однако отметить, что WordPress запрограммирован на поиск только в родительскую директорию. Если файл конфигурации будет перемещен в другое место, Вы увидите сообщение об ошибке.

Используйте .htaccess

Еще одним методом обеспечения безопасности, можно осуществить с помощью файла .htaccess. Цель кода будет заключаться в том, что доступ к консоли WordPress будут иметь только определенные IP-адреса:

AuthUserFile/dev/null
AuthGroupFile/dev/null
AuthName “Access Control”
AuthType Basic
order deny, allow
deny from all
#IP address to Whitelist
allow from xxx.xxx.xxx.xxx

Вы можете указать несколько адресов, как Вам нравится, и менять их легко.

Один недостаток, что когда адресов слишком много у Вас может возникать с ними путаница (в результате провалов в памяти, мы же люди простые все может быть).

Группа шифрования SSL

Еще один плюс в защиту это использование SSL-шифрование для страниц авторизации и администрирования. Это делается путем добавления следующих строк в файл wp-config.php:

  • Для страницы Войти — определить ('FORCE_SSL_LOGIN, true);
  • Для страниц панели управления — определить ('FORCE_SSL_ADMIN, true);

SSL Шифрование, HowToMake - дизайн и разработка сайтов

Для того, чтобы полноценно использовать эту функцию, Вам необходимо связаться с техподдержкой Вашего хостинг-аккаунта и попросить их сконфигурировать SSL-шифрование или чтобы они проконсультировали Вас в этом вопросе.

Вы можете защитить себя от нападения

Угрозы хакерских атак на блоги WordPress реальны, но используя данные в статье рекомендации Вы сбережете свое время и нервы, предотвратив заранее практически все атаки, кроме самых непредсказуемых. Данные рекомендации обеспечат очень высокий уровень безопасности Вашего блога или сайта.

Добавить комментарий:


Комментарии
  1. Андрей

    Некоторые вещи знал, а про остальные интересно было почитать. Спасибо за статью!
    P.S. Клёвый дизайн сайта.

  2. Web-informer

    Большое спасибо. Кое что теперь придется доделать по вашим советам, но зато потом сайт будет в безопасности.

  3. juliadiets.com

    Для меня советы,как защитить wordpress от взлома сейчас очень нужны.Взломали блог совсем новый.Теперь надо воспользоваться вашими советами для защиты.Главное разобраться как правильно все это сделать.Написано вроде бы все понятно.Спасибо за ценную информацию.