»  Безопасность  »  Безопасность Вордпресс для новичков

Безопасность Вордпресс для новичков

Последнее обновление:

Безопасность Вордпресс для не-технарейБезопасность сайта — одна из основных частей работы над любым сайтом. Каждую неделю Гугл заносит в черный список около 20.000 сайтов за распространение вредоносного кода и около 50.000 за фишинг.

Если вы не хотите, чтобы ваш сайт попал в черные списки поисковиков из-за взлома или размещения на нем вредоносного кода, посвятите некоторое время изучению безопасности сайта.

Хотя сам Вордпресс очень безопасен и регулярно проверяется разработчиками, можно сделать несколько настроек для увеличения безопасности.

В этой статье вы узнаете основные настройки, которые помогут защитить сайт от хакеров и взлома.

Содержание:

Основы безопасности сайта

  1. Зачем усиливать безопасность сайта
  2. Регулярно обновляйте Вордпресс
  3. Пароли и права пользователей
  4. Хостинг

Безопасность Вордпресс с помощью плагинов

  1. Установите плагин бэкапа
  2. Лучший плагин безопасности
  3. Включите файрвол

Безопасность Вордпресс без плагинов

  1. Измените стандартное имя администратора Admin
  2. Отключите редактор файлов
  3. Проверьте права доступа к файлам и папкам
  4. Отключите исполнение PHP файлов
  5. Ограничьте количество попыток авторизации на сайте
  6. Измените стандартный префикс базы данных
  7. Установите дополнительный пароль на страницу авторизации
  8. Отключите доступ к папкам сайта
  9. Отключите XML-RPC
  10. Настройте автоматический лог аут неактивных пользователей
  11. Добавьте дополнительные вопросы на странице авторизации
  12. Очистка зараженного сайта 

Почему нужно укреплять безопасность сайта

После взлома сайта его репутация у поисковиков пострадает, и это значительно уменьшит посещаемость сайта. Хакеры могут украсть личную информацию пользователей, установить вредоносный софт или заразить посетителей сайта.

Еще более неприятная вещь — хакеры могут потребовать выкуп, чтобы вы опять получили доступ к сайту. 

В конце 2018 года по сообщению Internet Live Stats, более 100.000 сайтов взламывалось ежедневно. Около 10.000 сайтов Гугл заносит в черные списки каждый день. 

Если ваш сайт генерирует доход, уделите внимание настройке безопасности сайта.

Регулярно обновляйте Вордпресс

Вордпресс — открытая платформа, которая поддерживается и регулярно обновляется разработчиками. По умолчанию Вордпресс автоматически устанавливает минорные обновления. Чтобы включить мажорные обновления, нужно добавить эту опцию вручную. 

Для Вордпресса написано большое количество плагинов и тем, их разработчики поддерживают свой софт и выпускают обновления.  

Эти обновления играют главную роль в обеспечении стабильности и безопасности сайта. Регулярно обновляйте Вордпресс, плагины и темы.

Сложные пароли и права пользователей

Самый распространенный способ взлома сайтов — подбор логина и пароля. Используйте сложные пароли для сайта, FTP аккаунта, базы данных, аккаунта на хостинге и для е-мейла.

Генератор паролей Вордпресс
Используйте встроенный генератор паролей

Одна из причин, почему некоторые не хотят использовать сложные пароли, — потому что их трудно запомнить. Используйте менеджер паролей в браузере или отдельный сервис, например, LastPass

Если у вас на сайте несколько пользователей или авторов, дайте им только необходимый минимум прав. 

Хостинг

Хостинг играет важную роль в общей безопасности сайта. Хорошие хостинги имеют защиту своих серверов от внешних атак.

На виртуальном хостинге сайт пользуется теми же ресурсами сервера, что и соседние сайты. Если у вас виртуальный хостинг, спросите в техподдержке, что сайты изолированы друг от друга. 

Виртуальный частный сервер обычно предлагает лучшие условия, — выделенное количество ресурсов, частый бэкап и улучшенную защиту. 

Используйте надежный хостинг из Топа хостингов: Hosting-ninja.ruHostdb.ru.

Безопасность Вордпресс с помощью плагинов

Настройка безопасности сайта может казаться трудной задачей для новичка, особенно для не-технарей. В этой части настройка безопасности Вордпресс с помощью плагинов, просто установите эти плагины и настройте их шаг за шагом.

Установите плагин бэкапа

Бэкап — одна из составляющих безопасности сайта. Не существует 100% защиты от взлома, даже самую лучшую защиту можно взломать. Если однажды это случится с вашим сайтом, вы сможете восстановить сайт из бэкапа.

Для Вордпресса есть много платных и бесплатных плагинов, которые вы можете использовать. Сохраняйте бэкап на свой компьютер, на облако или удаленный сервер, но не сохраняйте на тот же сервер, на котором находится ваш сайт. 

Настройте частоту бэкапа в зависимости от того, как часто вы обновляете сайт.

Хорошие бесплатные плагины All in One WordPress Migration (ручной бэкап), и Updraft Plus (автоматический бэкап). Платные плагины — VaultPress (от Automattic), и BackupBuddy.

Лучший плагин безопасности

После плагина бэкапа нужно установить плагин безопасности, который будет наблюдать за сайтом и записывать все события в журнал событий.

Плагин наблюдает за появлением вредоносного кода на сайте, сравнивает файлы Вордпресс с оригинальными файлами в репозитарии, наблюдает за неудачными попытками доступа на сайт, и так далее.

Для Вордпресс существует большое количество платных и бесплатных плагинов безопасности. Некоторые из них после установки не нужно настраивать. Sucuri Security − лучший платный плагин безопасности, в этой статье мы будем использовать бесплатную версию плагина Sucuri, которая отличается от платной тем, что в ней неактивен файрвол. 

Плагин устанавливается как обычно из репозитария Вордпресс. После установки сгенерируйте API ключ, который включает логи событий, сравнение файлов ядра Вордпресс с оригинальными файлами, сообщения на е-мейл о событиях сайта и другие функции. 

Безопасность Вордпресс для новичков

1. После активации ключа переходите в Sucuri SecuritySettingsGeneral и настройте Timezone. Выберите ваш часовой пояс.

2. Переходите в Sucuri SecuritySettingsScanner и включите сравнение файлов Вордпресс на сайте с файлами в репозитарии Вордпресс:

Сравнение файлов Вордпресс на сайте с файлами в репозитарии Вордпресс
Включите сравнение файлов Вордпресс с оригинальными файлами

3. В разделе Sucuri SecuritySettingsHardening включите все настройки, кроме первой, — эта функция доступна только в премиум подписке.

Безопасность Вордпресс для новичков
Нажмите Apply Hardening для включения настроек

Эти настройки защищают наиболее часто атакуемые места сайта. Файрвол включает мощную комплексную защиту сайта, но это платная функция.

Большинство из этих функций можно включить вручную, читайте в следующем разделе как это сделать.

Кроме этих функций можно настроить другие, но у них уже хорошие настройки по умолчанию.

Настройте оповещения на емейл о событиях на сайте в разделе Sucuri SecuritySettingsAlerts.

Включите файрвол (WAF, Web Application Firewall)

Один из простых способов защитить свой сайт и быть уверенным в его безопасности — установить файрвол, который будет блокировать вредоносный трафик еще до того, как он попадет на сайт.

Sucuri Security проводит весь трафик через свои серверы, анализирует его и блокирует все подозрительные и вредоносные запросы.

Кроме этого в платной версии добавляется CDN-сеть для оптимизации и ускорения доставки страниц, и бесплатное лечение сайта и удаление сайта из черных списков поисковиков, если сайт был взломан.

Это довольно надежная гарантия, потому что лечение сайта это дорогая услуга. Стоимость часа работы специалиста может доходить до 250$, в то время как 1 год лицензии Sucuri стоит 199$.

Безопасность Вордпресс без плагинов

Если вы сделали все, что написано в предыдущей части, у вас хороший уровень защиты. Но вы можете пойти еще дальше и добавить еще несколько элементов защиты.

Для их применения понадобится добавлять код в файлы .htaccess, wp-config.php и functions.php.

Измените стандартное имя пользователя Admin

В ранних версиях Вордпресс администратору по умолчанию давалось имя Admin. В более поздних версиях разработчики исправили это, и имя администратора можно изменить на этапе установки.

Так как имя пользователя составляет половину данных для входа на сайт, лучше изменить имя пользователя на что-нибудь уникальное, чтобы усложнить задачу хакерам по подбору логина и пароля. 

После установки Вордпресс изменить имя администратора в профиле пользователя нельзя, но существуют три способа это сделать без редактирования профиля:

  1. Создать нового администратора и удалить старого
  2. Изменить имя администратора с помощью плагина
  3. Изменить имя администратора в базе данных

Как это сделать читайте в статье:

Отключите редактор файлов

В Вордпрессе есть встроенный редактор файлов, который позволяет изменять файлы плагинов и тем прямо в админке Вордпресс. Если хакер попадет в админку, он сможет делать все, что захочет с файлами сайта. Если вы не пользуетесь этим редактором, его лучше отключить.

Чтобы отключить редактор файлов в админке, добавьте этот код в wp-config.php:

То же самое можно сделать одним кликом в Sucuri Security в разделе Hardening.

Проверьте права доступа к файлам и папкам

Права доступа определяют какие пользователи имеют доступ к файлам и папкам сайта. Максимальные разрешения для файлов должны быть 644, для папок 755.

Добавьте этот код в wp-config.php, он установит стандартные права для всех файлов и папок:

Некоторым важным файлам и папкам можно дать еще меньше прав доступа.

Отключите исполнение PHP файлов в некоторых папках

Еще один способ усилить безопасность — отключить исполнение PHP файлов в тех папках, где это не нужно, например /wp-content/uploads/ и /wp-includes/.

Создайте пустой текстовый файл и вставьте в него этот код:

Сохраните файл как .htaccess и поместите его в папку /wp-content/uploads/ и /wp-includes/ через FTP.

То же самое можно сделать одним кликом в плагине Sucuri Security.

Ограничьте количество попыток авторизации на сайте

По умолчанию Вордпресс разрешает пользователям делать столько попыток авторизоваться на сайте, сколько они хотят. Хакеры пользуются этим, и перебирают самые распространенные логины и пароли. Это называется брут-форс атака, или атака грубой силой, или атака методом перебора паролей. 

Ограничьте количество неудачных попыток авторизации, которые может сделать посетитель. Это можно сделать с помощью плагина Limit Login AttemptsLogin LockDown, Limit Login Attempts Reloaded.

После 4 неудачных попыток входа IP посетителя попадает в бан на 23 минуты. После 4 раз бана IP блокируется на 24 часа.  

Плагин ограничения попыток авторизации на сайте
Limit Login Attempts Reloaded. Интерфейс и настройки у всех плагинов аналогичные

Измените префикс базы данных

По умолчанию Вордпресс использует префикс wp_ для всех таблиц базы данных. Если ваша база данных использует стандартный префикс, хакерам легче его угадать и получить некоторый контроль над вашим сайтом.

Префикс базы данных лучше изменить. Это можно сделать с помощью плагинов или вручную.

Установите пароль на доступ к страницам wp-login и wp-admin 

По умолчанию хакеры могут запрашивать страницу wp-login.php или папку wp-admin без всяких ограничений. Это позволяет им пробовать различные способы проникновения на сайт или проведения DDoS атак. 

Вы можете добавить дополнительную защиту паролем на стороне сервера, которая будет блокировать эти запросы.

Еще один способ увеличить безопасность страницы авторизации — изменить адрес страницы авторизации.

Отключите доступ к папкам сайта

Доступ к папкам сайта через браузер может использоваться хакерами для того, чтобы выяснить, есть ли на сайте файлы с известными уязвимостями, описание которых находится в открытом доступе. Если они найдут такие файлы, они могут попасть на сайт.

Кроме этого просмотр файлов и папок используется для копирования файлов, для выяснения структуры сайта и другой информации, поэтому рекомендуется отключить доступ к папкам сайта.

Зайдите на сайт через FTP или через Менеджер файлов на хостинге и найдите файл .htaccess в корневой папке сайта. Файл может быть скрытым, поэтому включите в настройках отображение скрытых файлов. 

Добавьте этот код в самом низу .htaccess:

Сохраните файл, загрузите обратно на сайт.

Отключите XML-RPC

XML-RPC стал включен по умолчанию в версии 3.5 для соединения Вордпресс с веб и мобильными приложениями. Это очень удобный функционал, но XML-RPC может значительно увеличить количество брут-форс атак на ваш сайт.  

Например, если хакер хочет попробовать перебрать 500 разных паролей на сайте, ему нужно сделать 500 попыток с разными паролями, которые будут заблокированы плагином ограничения количества неудачных попыток доступа. 

Но с XML-RPC хакер может использовать функцию system.multicall, чтобы попробовать несколько тысяч паролей в нескольких десятках запросов.

Поэтому если вы не используете XML-RPC, его лучше отключить. Существует 3 способа отключить XML-RPC в Вордпресс, лучше всего его отключить в файле .htaccess, потому что это наименее ресурсозатратный способ.

Настройте автоматический лог аут неактивных пользователей

Залогиненные пользователи могут отойти от компьютера и оставить свой аккаунт открытым, это может создать угрозу безопасности. Злоумышленник может перехватить их сессию, сменить пароли или сделать изменения в их аккаунте.

Поэтому многие банки и финансовые организации автоматически отключают неактивных пользователей. Вы можете настроить такую же функцию на вашем сайте. 

Установите и активируйте плагин Inactive Logout. Настройки плагина находятся в НастройкиInactive Logout

Лог-аут неактивных пользователей
Мощный плагин со всеми нужными настройками

Настройте время, после которого неактивный пользователь будет разлогинен и настройте сообщение, которое показывается посетителю. Можно настроить только предупреждающее сообщение без лог-аута. Если вы хотите сделать разные настройки для разных ролей, переходите на вкладку Advanced Management

Добавьте дополнительные вопросы на странице авторизации

Добавьте дополнительные вопросы на странице авторизации для увеличения безопасности. Установите плагин  WP Security Questions.

Плагин WP Security Questions

Вы можете использовать стандартные вопросы, или добавить свои собственные вопросы. Можно добавить вопросы на странице Регистрации, Входа и Восстановления пароля.

Очистка зараженного сайта

Многие владельцы сайтов не видят важность бэкапов и безопасности сайта до тех пор, пока сайт не взломают. Согласно исследованию Virusdie, «72% людей, впервые столкнувшихся с проблемами инфицирования стараются разобраться в вопросе самостоятельно и надеются на удачу». 

«Около 98% клиентов сервисов безопасности обращаются к профессиональной помощи только когда они уже столкнулись с проблемой. 85% из них хотят получить помощь один раз и не желают снижать риск возможных проблем в будущем. <…> Люди не желают тратить своё время на развитие в области безопасности, но и не хотят нанимать экспертов, поскольку это дорого.»

Очистка зараженного сайта может быть долгой и сложной, лучше заранее принять меры предосторожности. Установите плагины бэкапа и безопасности.

Если вы думаете, что сайт могли взломать, читайте Как проверить Вордпресс сайт на уязвимости.

Если сайт взломали, читайте Чек-лист: что делать, если сайт взломали

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!