WP ЭкспрессБезопасность

10 способов улучшить безопасность WordPress

Привет, уважаемые читатели. Сегодняшняя статья посвящена безопасности WordPress. Казалось бы много уже сказано и написано на эту тему, но менее актуальной она не становится. Скорее даже наоборот. До недавнего времени даже существовал упорный миф о том, что WordPress отличается высокой уязвимостью. Сейчас правда, вряд ли уже кто станет это доказывать. Самое главное, всегда помнить — безопасность наших блогов и сайтов в первую очередь, в наших руках.

Большинство вопросов касающихся безопасности WordPress можно сконцентрировать в несколько основополагающих правил которые вы можете прочитать ниже. Приступим — перед вами 10 способов того,  как сделать свой сайт на WordPress максимально безопасным и поддерживать его в таком состоянии впоследствии.

1. Используйте надежный хостинг

Не все веб-хостинги одинаково хороши и безопасны. В действительности, огромное количество WordPress сайтов взломано именно по вине уязвимых хостингов.

Выбирая хостинг провайдера, ни в коем случае, не стоит сразу отдавать предпочтение наиболее дешевому варианту.

Вы должны провести свое собственное расследование и убедиться в том, что собираетесь воспользоваться услугами серьезной компании с хорошей репутацией, Ведь только так можно быть уверенным в том, что ваш сайт будет в безопасности. Естественно за душевное спокойствие, которое вы получаете, зная, что ваш сайт в надежных руках, придется немного доплатить.

Особое внимание уделите тому, как организована система бекапов у будущего хостера. Есть ли она вообще?

2. Вовремя обновляйте все, что нужно обновить

Нежелание обновлять плагины, темы и саму WordPress по принципу — «Как бы чего не вышло» — огромная ошибка, которая запросто может стать помимо прочего и источником проблем с безопасностью.

Каждое обновление WordPress включает в себя новые патчи, призванные устранить реальные или потенциальные уязвимости. Если вы не обновляете ваш вебсайт до последней версии WordPress, то вы рискуете стать легкой мишенью для хакерских атак. Ведь многие хакеры нацелены именно на хорошо известные уязвимости старых версий WordPress, так что не игнорируйте надпись «Пожалуйста, обновитесь сейчас», которая время от времени появляется в консоли вашего сайта.

WordPress security 1

То же самое касается тем и плагинов. Обновляйте их сразу же после выхода новых версий. Если все вы обновляетесь во время, то вероятность того, что ваш сайт хакнут уменьшается в разы.

3. Усильте пароли

Согласно статистике примерно 8% WordPress сайтов было взломано из-за слабых паролей.

Если ваш пароль администратора выглядит так «letmein», так «abc123», или даже вот так «password» (эти пароли встречаются гораздо чаще, чем вы думаете), вы немедленно должны сменить его на что-то более надежное.

Существует множество способов создать пароль, который просто запомнить, но тяжело взломать, но если вам лень этим заниматься, то можно воспользоваться каким-нибудь менеджером паролей, например удобнейшими программами LastPass и Roboform, которые запоминают пароли за вас. Если вы решили воспользоваться менеджером паролей, убедитесь в том, что к нему самому подобран надежный пароль.

WordPress security 2

4. Никогда не используйте имя пользователя «admin»

В этом году по «сети» прокатилась волна грубых хакерских атак, нацеленных на WordPress сайты, во время которых вводился логин «admin» и подбирался простой пароль.

Если вы используете имя пользователя «admin» и слабый пароль (смотри #3), то ваш сайт может пасть жертвой вредоносной атаки. Я крайне рекомендую сменить такой логин на что-нибудь менее очевидное.

До версии 3.0 имя пользователя создавалось автоматически во время инсталляции WordPress. Если ваш сайт обновлен до версии 3.0, вы можете изменить имя пользователя. Но многие все еще используют стандартное имя «admin», потому что его очень легко запомнить. На некоторых веб-хостингах до сих пор используется скрипты, которые устанавливаются автоматически и используют имя пользователя «admin» по умолчанию.

Решить эту проблему очень просто. Нужно создать новый аккаунт с правами администратора, залогиться в качестве нового пользователя и удалить исходный «admin» аккаунт. Если у вас есть записи, опубликованные из «admin» аккаунт, то после его удаления, вы сможете прикрепить их к новому профилю пользователя.

5. Скройте имя в пользователя в ссылке на архив пользователя

Злоумышленник так же может получить доступ к имени пользователя, с помощью страниц архива автора вашего сайта.

По умолчанию WordPress отображает имя пользователя в URL на странице архива автора, например, если имя пользователя joebloggs, ссылка на архив автора будет выглядеть примерно так — http://yoursite.com/author/joebloggs. Как видите, в силу причин, описанных выше, такой вариант явно далек от идеала. Так образом, неплохо бы скрыть имя пользователя, изменив значение в поле user_nicename в вашей базе данных.

6. Ограничьте количество попыток входа

На тот случай, если хакер или бот предпримет попытку грубого взлома пароля вашего сайта, может быть полезно ограничить количество попыток входа с одного и того же IP.

Плагин Limit Login Attempts позволяет вам не только ограничивать количество попыток входа с одного IP, но и решать, как долго определенный IP будет заблокирован после слишком большого количества неудачных попыток входа. Аналогично работает и популярный плагин Login LockDown.

WordPress security 3

Конечно, принятые вами меры можно легко обойти, так как некоторые нападающие используют огромное число разных IP адресов, но все-таки лишние меры предосторожности никогда не помешают.

7. Дезактивируйте редактирование файлов из панели управления сайтом

В стандартной версии WordPress вы можете перейти во «Внешний вид» > «Редактор» и редактировать файлы вашей темы прямо в консоли.

Это может стать проблемой, если хакер получит доступ к вашей админ-панели. Ведь, в его распоряжении окажутся все файлы темы, и он сможет испортить любой код по своему желанию.

Таким образом, убрать данный способ редактирования файлов можно, добавив следующий код в файл wp-config.php

define( ‘DISALLOW_FILE_EDIT’, true );

8. Попытайтесь отказаться от бесплатных тем

Полностью можно доверять только бесплатным темам из официального хранилища WordPress или от проверенных разработчиков премиум тем, которые периодически выпускают и бесплатные тоже. От услуг множества сомнительных сетевых хранилищ, лучше отказаться. Я уж не говорю о так называемых «варезных порталах» с премум темами, где вероятность получить на свой сайт любую заразу повышается в разы.

Это правила подкрепляется тем, что часто бесплатные темы содержат всякие гадости типа кодировки base64, которая может быть использована для встраивания в код сайта спамерских ссылок или вредоносного кода, что может стать причиной целого спектра проблем. Согласно одному уже довольно «бородатому» эксперименту бесплатные темы на 8 из 10 сайтов содержат код base64.

Если вы все-таки хотите использовать бесплатные темы, то повторюсь — это должны быть шаблоны, либо предоставленные проверенными разработчиками, либо те, которые доступны в официальном хранилище тем на WordPress.org

Замечание: та же самая логика применима и к плагинам. Используйте либо плагины с WordPress.org, либо плагины, созданные хорошо зарекомендовавшими себя разработчиками.

9. Регулярно делайте бэкапы

Сложно преувеличить важность резервного копирования вашего сайта. Собственно, это единственное по настоящему эффективное средство обезопасить свой сайт. Это то, что многие люди постоянно откладывают на потом, пока не станет слишком поздно. Даже если вы приняли все меры по защите сайта, вы все же не можете предугадать всего, что может случиться с вашим сайтом и сделать его уязвимым для хакерской атаки.

На всякий случай, всегда нужно иметь копии всех файлов сайта в надежном месте, чтоб вы в любой момент могли восстановить ваш сайт во всем его блеске и сиянии.

В WordPress Codex подробно расписано, как бэкапить сайт, но если вам это кажется сложным, вы можете воспользоваться разнообразными плагинами резервного копирования, начиная от WordPress Backup от Dropbox, для того, чтоб те регулярно делали бэкапы в автоматическом режиме.

10. используйте специальные плагины для безопасности

Вместе с мерами предосторожности, приведенными выше, вы так же можете использовать плагины безопасности, которых существует огромного множество, чтоб еще больше обезопасить ваш сайт и свести вероятность взлома практически к нулю.

Некоторые популярные плагины безопасности:

http://wordpress.org/plugins/better-wp-security/ – предлагает большой набор самых разнообразных «фишек» для безопасности сайта.

http://wordpress.org/plugins/bulletproof-security/ – обезопасит сайт, с помощью .htaccess.

http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/– добавляет фаервол на ваш сайт

http://wordpress.org/plugins/sucuri-scanner/ – сканирует ваш сайт на наличие вредоносного программного обеспечение и всего такого.

http://wordpress.org/plugins/wordfence/– предлагает комплекс мер по защите сайта.

http://wordpress.org/plugins/websitedefender-wordpress-security/- является универсальным защитным инструментом

http://wordpress.org/plugins/exploit-scanner/ – ищет подозрительный код в базе данных

Так же можно порекомендовать использовать сервис Sucuri.net, если вы не уверены в собственных силах. Sucuri проводит мониторинг вашего сайта, сообщает о подозрительной активности на сайте и даже помогает очистить в сайт в случае вредоносной атаки.

В заключение пару слов — Не паникуйте! Все это может звучать пугающе, особенно если вы новичок. Хочу отметить, что в мои планы не входило никого пугать, просто важно обсуждать вопросы безопасности регулярно, чтоб вы всегда были на шаг впереди хакеров.

Вы не должны делать все, что описано в данной статье (хотя это конечно и не повредит). Даже если вы просто удалите имя пользователя «admin» и начнете использовать сильные пароли, ваш сайт уже станет более защищенным.

 

Метки

Related Articles

6 thoughts on “10 способов улучшить безопасность WordPress”

  1. Поставил плагин all-in-one-wp-security-and-firewall по вашему совету. Задался вопросом: а стоит ли к нему в дополнение ставить ещё другие?

    1. Как говорит знакомый админ на популярном хостинг провайдере — один действительно сложный пароль (не менее 10 символов, в том числе, со специальными символами) заменяет практически все плагины безопасности. Ну это так, к слову. Вы уж сами решайте.

  2. А как порекомендуете улучшить безопасность сайта с buddypress и bbpress?
    Регистрация есть,ограничил попытки авторизации через login lock down,ограничил доступ к админке всем пользователям,кроме себя.
    Еще есть способы или улучшения?
    Пробовал перекрыть доступ к папке admin через htaccess,но у меня перестала работать часть плюх для пользователей!!!

    1. Если у Вас на сайте разрешена регистрация пользователей, то никаких перенаправлений лучше не делать. Иначе пользователи не смогут восстановить пароль, например. Отключение доступа к админке никаких особых преимуществ в безопасности на мой взгляд, не дает. Порекомендую плагин All in One WP Security & Firewall. Там есть функционал login lock down встроенный. Плагин на русском, и там все понятно.

  3. Может знаете как сделать перенаправление для гостей с wp-admin.
    только для гостей!!!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Close

Обнаружен Adblock

Уважайте труд вебмастера. Пожалуйста, отключите свой блокировщик рекламы.