Как защитить WordPress от взлома

Как защитить WordPress от взлома

Теоретические советы:

1. Совет. Новая версия лучше

Конечно стоит обновить свой движок до новой версии, как только она выходит. Сами производители этого продукта рекомендуют обновлять платформу, но многие утверждают что делать это не стоит, так как новая версия может конфликтовать со старой темой или плагинами, что может привезти к неработоспособности сайта. Рассмотрим то, как сделать это правильно.

Чтобы все прошло как надо, нужно сначала сделать buck-up файлов и базы данных сайта, то есть ( сделать копии всех файлов и забросить себе на ПК, плюс заказать архив MySQL базы и так же сохранить ее на ПК ).

Затем можно спокойно обновлять движок и после обновления уже смотреть, проверять как работают плагины, не съехала ли тема, виджеты и т. д... Предположим все прошло гладко, остается только радоваться новой версии и считать что защита стала на уровень выше. В другом случае если что вдруг пошло не так, можно спокойно восстановить buck-up данных и работоспособность сайта.

2. Совет. Хороший Хостинг

В интернете много различных компаний предоставляющие хостинг услуги на бесплатной основе. Стоит ли им доверять? Скажу так. Какая цена такое и качество. И лучше всего обходить такие компании стороной или максимум проверить какая присутствует тех поддержка на хостинге, проверить отзывы в интернете. Хоть сотрудники таких ресурсов и утверждают что у них стоят хорошие системы защиты, для мошенников взлом такого хостинга не составит большого труда.

3. Совет. Длинные и сложные пароли

В первую очередь поменяйте пароль в административной панели движка WP. Пароль вида 1234567890, qwerty с легкостью предоставит взломщику ваш сайт на блюдечке. Используйте буквы верхнего и нижнего регистра, знаки вида: !@#$%&_ и конечно же цифры делая пароль длинным 15 -20 знаков. В таком случае подобрать пароль будет сложно и почти не возможно. Это касается и почты под которой привязан WP. Пароли необходимо менять раз в 2 месяца, чем чаще тем лучше! Не используйте пароль от входа в админку на других сайтах

4. Совет. Сканирование на наличие уязвимости

Конечно проверять ручками код страниц не придется. В этот к нам нам на помощь придет отличный плагин WP Security Scan. Данный плагин хорош тем что он показывает администратору какие ошибки есть в данный момент и немного информации по их устранению.

Установили нажали на кнопку указанную на картинке и смотрим какие уязвимости присутствуют на сайте.

5.Совет. Использование зашифрованного канала SSL

Если вы договоритесь с хостингом о предоставлении такой услуги как зашифрованный канал SSL, то теперь вход в вашу админку будет выглядеть с букв https://

После того как хостинг разрешит использовать такой канал то необходимо в файле wp-config. php вставить вот такой код: define(’FORCE_SSL_ADMIN’, true)

Можно так же обойтись и плагином, который заставит работать этот канал на всех страницах сайта называется он Admin Sll. Только есть одно но он совместим с версией 2.7 и выше.

6. Совет. Ограничение по ip адресам

Можно разрешить определенным ip адресам заходить в админ - панель, для этого нужно только вставить вот такой код в файл. htacceess

AuthUserFile /dev/null

<pre class="language" style="color: #110000;">AuthGroupFile /dev/null

AuthName "WordPress Admin Access Control"

AuthType Basic order deny, allow deny from all

# whitelist Syed's IP address allow from xx. xx. xx. xxx

# whitelist David's IP address allow from xx. xx. xx. xxx

# whitelist Amanda's IP address allow from xx. xx. xx. xxx

# whitelist Muhammad's IP address allow from xx. xx. xx. xxx

# whitelist Work IP address allow from xx. xx. xx. xxx

В этом способе есть одно неудобство, например вы уехали в другое место, значит ip адрес поменялся и доступ к админке будет закрыт пока вы не добавите ip адрес в файл. htaccess

7. Совет. Антивирусы еще ни кто не отменял

Хороший антивирус будет защищать ваш WordPress от различных атак включая такие как эксплойт и спам инъекции. Плюсы данного чуда в том что он автоматически проверяет раз день ваш сайт и отправляет отчет на e-mail адрес, так же можно проверить в ручную с незамедлительным получением информации о каких либо угрозах.

Заходим в настройки плагина и ставим две галочки и вводим свой e-mail

Check the theme templates for malware (Проверка шаблона темы на наличие вредоносных программ)

Malware detection by Google Safe Browsing (Вредоносное обнаружение Безопасный просмотр Google)

Соответственно в форме вводим свой e-mail, туда будут приходить отчеты

Практические советы:

1.Совет. Изменить и логин и пароль на вход в административную панель phpMyAdmin

Производители этого чуда, сделали одну особенность. В установленном движке у всех одинаковый логин — admin. Его не просто поменять, но возможно. Для этого нужно зайти в базу данных MySQL через панель управления хостингом phpMyAdmin. Выбрать свою базу данных и в таблице найти строку со словом users, нажать на кнопку <<обзор>>. Затем в строке admin нажать на <<изменить данные>> и поменять свой логин в двух местах, там же в поле user pass меняется и пароль. Рекомендую пароль ставить длинным 15-20 символов с различным регистром букв, спец символами и цифрами.

Настроить phpMyAdmin

Делается на свой страх и риск! Делайте резервные копии баз!

2.Совет. Удаляем ненужные файлы

Два файла по которым мошенник сможет узнать версию вашего движка и много чего полезного для взлома. Они не нужны их удаляем — readme. html и license. txt расположены в корневой директории вашего.

Так же для защиты от утечки информации о версии движка рекомендую вам удалить вот эту строку в файле header. php

<meta name="generator" content="WordPress 3.9.1" /> может быть и другая строка в зависимости от темы

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

3. Совет. Смотрим какие папки открыты для взломщиков

В своем браузере набираем такие команды: http://Ваш домен/wp-content http://Ваш домен/wp-content/plugins

Если открывается пустая страница, значит все замечательно. Если браузер показывает содержимое папок, это очень и очень плохо. Таким образом мошенник увидит название некоторых главных файлов по которым так может осуществить взлом. Чтобы скрыть эти папки, нужно в обеих директориях создать по одному пустому файлу index. php. После этих манипуляций папки должны быть скрыты.

Ко всему этому прописав такую строчку Options All - Indexes в файл. htaccess вы еще на один шаг выше в плане безопасности своего сайта.

4. Совет. Защита входа в админку

Устанавливаем отличный плагин Login Lockdown он позволит блокировать атаки рода bruteforce(перебор пароля).

Настроить Login LockDown

<<Max Login Retries>> - больше 3 думаю ставить не стоит( попытки входа в админку)

<<Retry Time Period Restriction (minutes)>> - временной интервал( через сколько минут можно повторить ввод логина и пароля)

<<Lockout Length (minutes)>> — время на которое блокируется вход в админку( блокируется по ip адресу)

<<Lockout Invalid Usernames?>> — однозначно «Yes»( учитывается так ввод логина )

<<Mask Login Errors?>> — вместо неправильно указан логин или пароль - можно написать что то свое(будь те смелее=))

Сохраняем и обновляем настройки нажав на Update Settings

В поле Currently Locked Out Можно посмотреть какие ip адреса заблокированы, так же если есть необходимость то можно разблокировать определенного пользователя нажатием по кнопке Release Selected

Простыми словами если все будет стоять как на картинке, то человек, который введет данные не правильно 3 раза в течении 2 минут то его ip адрес блокируется на целых 120 минут.

Теперь удаляем надпись, что вход в административную панель защищен плагином Login Lockdown ( она на английском языке и содержит ссылку на разработчика плагина).

Отключаем плагин, заходим в редактор плагинов, в форме выбрать находим login-lockdown/loginlockdown. php

Удаляем строку выделенную синим цветом, сохраняем и активируем плагин.

Доступ к входу защищен плагином Login LockDown

Плагины грузят сервер и скорость работы блога может заметно упасть ( особенно если плагин «тяжелый»).Как этого не допустить я описал вот в этой статье. Почитайте так же про самый лучший на данный момент способ ускорения - здесь.

5. Совет. Делаем запрет на посещение вашего сервера различными лицами

Еще два файла через которые злоумышленник сможет проникнуть в ваш сервер и наделать бед Function. php и Search. php. В этих файлах необходимо прописать по одной строчке: function. php в самом низу вставляем :

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

В search. php заменить эту строку:

<!--?php echo $_SERVER ['PHP_SELF']; ?--> на вот такую:

<!--?php blog info (’home’); ?-->

Если вы не обнаружили у себя таких файлов, не огорчайтесь значит все нормально и никаких изменений делать не нужно.

6. Совет. Уберем уведомление о не правильно введенном пароле

Зайдите в админку. Посмотрите когда вводишь правильный логин и не правильный пароль о чем вам говорит WordPress?

Убираем подсказки на входе в админку WordPress

Движок может показать мошеннику (в случае если он угадает логин) что логин правильный, а вот пароль нет. Так же будет в случае если мошенник угадает пароль, то движок ему скажет что пароль правильный, а вот над логином стоит подумать. Теперь взломщику понадобиться очень много времени чтобы подобрать только пароль или только логин. Усложним его задачу — закроем это уведомление, прописав в файле function. php следующую строчку

<span style="color: #282828;">add_filter ('login_errors',create_function ('$a', «return null;»));</span>

Теперь WordPress не покажет ему подсказок!

В дополнение:

Проверьте все свои плагины, может есть такие которые просто весят в воздухе и вы ими не пользуйтесь-удалите их. Свежие версии лучше тем, что там меньше «дыр» — старайтесь обновлять свой WP и плагины, делая перед этим резервные копии!

Сделайте сложный пароль для входа на хостинг, если туда закрадутся мошенники вся защита пойдет на смарку и старайтесь связываться для закачки файлов и просто работы над сайтом не через ftp клиент, а через панель управления хостингом так намного безопасней!

Ну вот и все!


Карта сайта


Информационный сайт Webavtocat.ru