Защита Вордпресс для новичков

Защита сайта — одна из первых настроек на любом сайте. Каждую неделю Гугл заносит в черный список около 20.000 сайтов за распространение вредоносного кода и около 50.000 за фишинг.

Если вы не хотите, чтобы ваш сайт попал в черные списки поисковиков из-за взлома или размещения на нем вредоносного кода, посвятите некоторое время изучению безопасности сайта.

Хотя сам Вордпресс достаточно безопасен и регулярно обновляется разработчиками, можно сделать несколько настроек для усиления безопасности.

В этой статье вы узнаете основные настройки, которые помогут защитить сайт от вирусов и хакеров.

Содержание:

Основы безопасности сайта

1. Регулярно обновляйте Вордпресс
2. Пароли и права пользователей
3. Хостинг

Безопасность Вордпресс с помощью плагинов

1. Установите плагин бэкапа
2. Лучший плагин безопасности
3. Включите файрвол

Безопасность Вордпресс без плагинов

1. Измените стандартное имя администратора Admin
2. Отключите редактор файлов
3. Проверьте права доступа к файлам и папкам
4. Отключите исполнение PHP файлов
5. Ограничьте количество попыток авторизации на сайте
6. Измените стандартный префикс базы данных
7. Измените страницу авторизации
8. Отключите доступ к папкам сайта
9. Отключите XML-RPC
10. Настройте автоматический лог аут неактивных пользователей
11. Добавьте дополнительные вопросы на странице авторизации
12. Очистка зараженного сайта 

После взлома сайта поисковики понизят его репутацию, и это уменьшит посещаемость. Хакеры могут украсть личную информацию пользователей, установить вредоносный софт или заразить посетителей сайта.

Иногда хакеры требуют выкуп, чтобы вернуть доступ к сайту. 

В конце 2018 года по сообщению Internet Live Stats, более 100.000 сайтов взламывалось ежедневно. Около 10.000 сайтов Гугл заносит в черные списки каждый день. 

Примените как можно больше рекомендаций из этой статьи для усиления защиты сайта.

Регулярно обновляйте Вордпресс

Вордпресс — открытая платформа, которая поддерживается и регулярно обновляется разработчиками. Самая последняя версия Вордпресс самая безопасная.

Правило №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте Вордпресс, плагины и темы.

По умолчанию Вордпресс автоматически устанавливает минорные обновления. Чтобы включить мажорные обновления, нужно добавить эту опцию вручную. 

• Ручное и автоматическое обновление Вордпресс

Для Вордпресса написано большое количество плагинов и тем, их разработчики поддерживают свой софт и выпускают обновления.  

Обновляйте темы и плагины. Около 30% атак на Вордпресс приходится на темы и плагины.

Сложные пароли и права пользователей

Самый распространенный способ взлома сайтов — подбор логина и пароля. Используйте сложные пароли для сайта, FTP аккаунта, базы данных, аккаунта на хостинге и для е-мейла.

Одна из причин, почему некоторые не хотят использовать сложные пароли, — потому что их трудно запомнить. Используйте менеджер паролей в браузере или отдельный сервис, например, LastPass. 

Если у вас на сайте несколько пользователей или авторов, дайте им только необходимый минимум прав. 

Хостинг

Хостинг играет важную роль в безопасности сайта. Хороший хостинг имеет защиту от хакерских атак.

На виртуальном хостинге сайт пользуется теми же ресурсами сервера, что и соседние сайты. Если у вас виртуальный хостинг, спросите в техподдержке изолированы ли сайты друг от друга. 

Виртуальный частный сервер обычно предлагает лучшие условия, — выделенное количество ресурсов, частый бэкап и улучшенную защиту. 

Используйте надежный хостинг из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.

• Обзор хостинга Бегет

Это три главных правила безопасности Вордпресс. Если вы хотите применить еще несколько базовых правил, переходите:

• Минимальная безопасность Вордпресс

Безопасность Вордпресс с помощью плагинов

Настройка безопасности сайта может казаться трудной задачей. В этой части настройка безопасности Вордпресс с помощью плагинов, установите эти плагины и настройте их шаг за шагом.

Установите плагин бэкапа

Бэкап — одна из составляющих безопасности сайта. Не существует 100% защиты от взлома, даже самую лучшую защиту можно взломать. Если однажды это случится с вашим сайтом, вы сможете восстановить сайт из бэкапа.

Для Вордпресса есть много платных и бесплатных плагинов, которые вы можете использовать. Сохраняйте бэкап на свой компьютер, на облако или удаленный сервер, но не сохраняйте на тот же сервер, на котором находится ваш сайт. 

Настройте частоту бэкапа в зависимости от того, как часто вы обновляете сайт или контент.

Хорошие бесплатные плагины All in One WordPress Migration (ручной бэкап), и Updraft Plus (автоматический бэкап). Платные плагины — BackWPup, VaultPress (от Automattic), и BackupBuddy.

• Бэкап Вордпресс

Плагин безопасности

После плагина бэкапа установите плагин безопасности. Плагин наблюдает за сайтом и записывает события в журнал событий.

Для Вордпресс существует большое количество платных и бесплатных плагинов безопасности. Некоторые из них после установки не нужно настраивать.

• 8 Лучших плагинов безопасности

Sucuri Security − лучший платный плагин безопасности, в этой статье мы будем использовать бесплатную версию плагина Sucuri, которая отличается от платной тем, что в ней неактивен файрвол. 

Плагин сканирует сайт на заражение, сравнивает файлы Вордпресс с оригинальными файлами в репозитарии, проверяет, что сайт не занесен в черные списки и наблюдает за неудачными попытками доступа на сайт.

Плагин устанавливается как обычно из репозитария Вордпресс. После установки сгенерируйте API ключ, который включает логи событий, сравнение файлов ядра Вордпресс с оригинальными файлами, сообщения на е-мейл о событиях сайта и другие функции. 

1. После активации ключа переходите в Sucuri Security — Settings — General и настройте Timezone. Выберите ваш часовой пояс.

2. Переходите в Sucuri Security — Settings — Scanner и включите сравнение файлов Вордпресс на сайте с файлами в репозитарии Вордпресс:

3. В разделе Sucuri Security — Settings — Hardening включите все настройки, кроме первой, — эта функция доступна в премиум подписке.

Эти настройки защищают наиболее часто атакуемые места сайта. Файрвол добавляет мощную защиту на DNS сервере, но это платная функция. Подробнее в следующем разделе.

Настройте оповещения на емейл о событиях на сайте в разделе Sucuri Security — Settings — Alerts.

Кроме этих функций можно настроить другие, но у них уже хорошие настройки по умолчанию.

• Подробное описание Sucuri Security

Включите файрвол (WAF, Web Application Firewall)

Один из простых способов защитить сайт — установить файрвол, который будет блокировать вредоносный трафик до того, как он попадет на сайт.

В платной версии Sucuri проводит весь трафик через свои серверы, анализирует его и блокирует все подозрительные и вредоносные запросы.

Для ускорения загрузки сайт подключается к сети CDN. В случае, если сайт был взломан — бесплатное лечение и удаление из черных списков поисковиков и сервисов.

Это хорошее предложение, потому что лечение сайта может стоит дорого. Стоимость часа работы специалиста может доходить до 250$, в то время как 1 год лицензии Sucuri стоит 199$.

Безопасность Вордпресс без плагинов

Чтобы применить эти правила, добавьте код в файлы .htaccess, wp-config.php и functions.php.

Измените стандартное имя пользователя Admin

При установке Вордпресс администратору по умолчанию дается имя Admin.

Имя пользователя это половина данных для входа на сайт, поэтому лучше изменить имя пользователя на что-нибудь уникальное. Это усложнит задачу хакерам по подбору логина и пароля. 

После установки Вордпресс изменить имя администратора в профиле пользователя нельзя, но есть три способа это сделать без редактирования профиля:

1. Создать нового администратора и удалить старого
2. Изменить имя администратора с помощью плагина
3. Изменить имя администратора в базе данных

Как это сделать читайте в статье:

• Как изменить имя пользователя

Отключите редактор файлов

В Вордпрессе есть встроенный редактор файлов, который позволяет изменять файлы плагинов и тем в админке Вордпресс. Если хакер попадет в админку, он сможет делать все, что захочет с файлами сайта. Если вы не пользуетесь этим редактором, то его лучше отключить.

Чтобы отключить редактор файлов в админке, добавьте этот код в wp-config.php:

То же самое можно сделать одним кликом в Sucuri Security в разделе Hardening.

Проверьте права доступа к файлам и папкам

Права доступа определяют какие пользователи имеют доступ к файлам и папкам сайта. Максимальные разрешения для файлов должны быть 644, для папок 755.

Добавьте этот код в wp-config.php, он установит стандартные права для всех файлов и папок:

Некоторым важным файлам и папкам можно дать еще меньше прав доступа.

• Права доступа к файлам и папкам

Отключите исполнение PHP файлов в некоторых папках

Еще один способ усилить безопасность — отключить исполнение PHP файлов в тех папках, где это не нужно, например /wp-content/uploads/ и /wp-includes/.

Создайте пустой текстовый файл и вставьте в него этот код:

Сохраните файл как .htaccess и поместите его в папку /wp-content/uploads/ и /wp-includes/ через FTP.

То же самое можно сделать в Sucuri Security Settings — Hardening.

Ограничьте количество попыток авторизации на сайте

По умолчанию Вордпресс разрешает пользователям делать столько попыток авторизации, сколько они хотят. Хакеры пользуются этим и перебирают самые распространенные логины и пароли. Это называется брут-форс атака, или атака грубой силой, или атака методом перебора паролей. 

Ограничьте количество неудачных попыток авторизации, которое может сделать пользователь. Это можно сделать с помощью плагина Limit Login Attempts, Login LockDown,  Limit Login Attempts Reloaded.

После 4 неудачных попыток входа IP посетителя попадает в бан на 23 минуты. После 4 раз бана IP блокируется на 24 часа.  

Измените префикс базы данных

По умолчанию Вордпресс использует префикс wp_ для всех таблиц базы данных. Если ваша база данных использует стандартный префикс, хакерам легче его угадать и получить некоторый контроль над сайтом.

Префикс базы данных лучше изменить. Это можно сделать с помощью плагинов или вручную.

• Как изменить префикс базы данных

Измените страницу авторизации

По умолчанию страница авторизации находится по адресу wp-login.php. Хакботы приходят на эту страницу и пытаются подобрать логин и пароль.

Вы можете перенести страницу авторизации на новый адрес. Это уменьшит количество таких атак и снизит нагрузку на сервер.

Перенесите страницу авторизации на новый адрес. Например, /auth или /login.html.

• 2 Способа изменить адрес страницы авторизации без плагина
• 5 Плагинов для изменения страницы авторизации

Отключите доступ к папкам сайта

Хакеры используют доступ к папкам сайта для того чтобы выяснить, есть ли на сайте файлы с известными уязвимостями, описание которых находится в открытом доступе. Если они найдут такие файлы, они могут попасть на сайт.

Кроме этого, просмотр файлов и папок используется для копирования файлов, для выяснения структуры сайта и другой информации. Доступ к папкам лучше отключить.

Зайдите на сайт через FTP или через Менеджер файлов на хостинге и найдите файл .htaccess в корневой папке сайта. Файл может быть скрытым, поэтому включите в настройках отображение скрытых файлов.

Добавьте этот код в самом низу .htaccess:

Сохраните файл, загрузите обратно на сайт.

Отключите XML-RPC

XML-RPC стал включен по умолчанию в версии 3.5 для соединения Вордпресс с веб и мобильными приложениями. Этот шлюз используется для подключения к сайту мобильного приложения, используется для трекбеков и пингбеков и для плагина Jetpack.

К файлу xmlrpc.php приходят боты и пробуют подобрать логин и пароль. Они используют функцию system.multicall, чтобы попробовать несколько тысяч паролей в нескольких десятках запросов.

Эти запросы нагружают сервер.

Если вы не используете XML-RPC, его лучше отключить. Существует 3 способа отключить XML-RPC в Вордпресс. Лучше всего его отключить в файле .htaccess, потому что это наименее ресурсозатратный способ.

• Как правильно отключить XML-RPC

Настройте автоматический логаут неактивных пользователей

Залогиненные пользователи могут отойти от компьютера и оставить свой аккаунт открытым, это может создать угрозу безопасности. Хакер может перехватить сессию, сменить пароли и редактировать аккаунт.

Поэтому многие банки и финансовые организации автоматически отключают неактивных пользователей. Вы можете настроить такую же функцию на вашем сайте. 

Установите плагин Inactive Logout. Настройки плагина находятся в Настройки — Inactive Logout. 

Настройте время, после которого неактивный пользователь будет разлогинен и настройте сообщение, которое показывается посетителю. Можно настроить только предупреждающее сообщение без лог-аута. Если вы хотите сделать разные настройки для разных ролей, переходите на вкладку Advanced Management. 

Добавьте дополнительные вопросы на странице авторизации

Добавьте дополнительные вопросы на странице авторизации для увеличения безопасности. Установите плагин  WP Security Questions.

Вы можете использовать стандартные вопросы, или добавить свои собственные вопросы. Можно добавить вопросы на странице Регистрации, Входа и Восстановления пароля.

Очистка зараженного сайта

Согласно исследованию Virusdie, «72% людей, впервые столкнувшихся с проблемами инфицирования стараются разобраться в вопросе самостоятельно и надеются на удачу». 

«Около 98% клиентов сервисов безопасности обращаются к профессиональной помощи только когда они уже столкнулись с проблемой. 85% из них хотят получить помощь один раз и не желают снижать риск возможных проблем в будущем. <…> Люди не хотят тратить время на развитие в области безопасности, но и не хотят нанимать экспертов, поскольку это дорого.»

Очистка зараженного сайта может быть долгой и сложной, лучше заранее принять меры предосторожности.

Если вы сделали эти настройки и хотите узнать, что еще можно сделать, читайте

• Безопасность Вордпресс. Подробное описание

Если вы думаете, что сайт могли взломать, читайте Как проверить безопасность Вордпресс сайта.

Если сайт взломали, переходите в Чек-лист: что делать, если сайт взломали. 

Если вы не хотите заниматься настройкой безопасности сайта самостоятельно, я могу сделать это за вас, обращайтесь.

Читайте также:

1. Минимальная безопасность Вордпресс
2. Основные настройки безопасности Вордпресс
3. Вход в админку Вордпресс

Надеюсь, статья была полезна. Оставляйте комментарии.