Основные настройки безопасности Вордпресс

В первой части настроек безопасности Вордпресс находятся самые простые и самые эффективные настройки, которые может применить любой чайник.

Даже если вы первый раз видите Вордпресс, и у вас появилась идея усилить безопасность сайта, их применение займет 10 минут. С этими минимальными настройками вы наберете 66% по версии плагина Security Ninja. Это хороший результат.

Во второй части вы узнаете другие основные настройки, которые сложнее применить, но которые тоже нужно сделать. Для их применения понадобится добавлять код в файлы .htaccess, wp-config.php  и functions.php.

И несколько второстепенных, которые можно применить в пару кликов.

Все настройки с подробными описаниями, читайте и применяйте на сайте.

Содержание:

1. Скройте версию Вордпресс, скриптов, стилей и другого софта
2. Измените стандартное имя Администратора
3. Измените текст ошибки при входе на сайт
4. Отключите возможность узнать логин пользователя
5. Проверьте, что логин пользователя и имя пользователя разные
6. Проверьте права доступа к файлам и папкам
7. Удалите файл readme.html и другие неиспользуемые файлы
8. Измените префикс базы данных
9. Отключите XML-RPC
10. Отключите редактор файлов в админке
11. Проверьте, что режим debug выключен
12. Используйте защищенное соединение, установите SSL сертификат
13. Используйте безопасный FTP (SFTP), или SSH
14. Проверьте версию PHP и MySQL
15. Отключите показ версии PHP в ответах сервера
16. Отключите pingback и trackback
17. Бонус. Установите плагин слежения за изменениями в файлах
18. Бонус 2. Удалите ссылки на WLW и RSD в Хедере

1. Скройте версию Вордпресс, скриптов и стилей

Вордпресс по умолчанию оставляет на страницах сайта метатеги с текущей версией. Это делается для отслеживания количества сайтов, работающих на Вордпресс. Эту же информацию используют хакеры для проникновения на сайт, используя описания уязвимостей устаревших версий ПО, которые находятся в открытом доступе.

Несмотря на то, что вы используете последнюю версию софта, эту информацию лучше скрыть.

• Как скрыть версию Вордпресс

2. Измените стандартное имя Администратора

Во время установки Вордпресс администратору сайта дается стандартное имя Admin. Если вы оставите как есть, хакеры будут знать половину информации для входа на сайт, потому что имена Admin, Administrator, Root или имя домена пробуются хакерами первыми при попытке подобрать логин и пароль для входа на сайт.

Вторая половина — подобрать правильный пароль.

Если вы измените стандартное имя администратора на другое, хакерам придется подобрать и логин и пароль.

Еще одна уязвимость, которая может быть — имя пользователя и логин одинаковые. Зайдите в Пользователи — Ваш профиль.

Если имя пользователя и логин одинаковые, то хакер уже знает половину информации, чтобы зайти на сайт. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.

Вместо Very-strong-username у вас должен быть ваш уникальный сложный логин.

Вы можете изменить имя администратора вручную в базе данных, или создать нового администратора и удалить старого.

Если вы создадите нового администратора, это может привести к тому, что у некоторых плагинов не окажется доступа к некоторым функциям, потому что новый администратор не получил соответствующих прав. Поэтому изменение имени администратора в базе данных считается более правильным способом.

• Как правильно изменить имя пользователя в Вордпресс

3. Измените текст ошибки при авторизации на сайте

Когда посетитель вводит неправильный логин или пароль на странице авторизации, Вордпресс показывает сообщение с ошибкой. В этом сообщении написано, что именно неверно, — логин или пароль.

Чтобы изменить текст сообщения, добавьте этот код в functions.php.

Измените сообщение в строке 3 на свое сообщение.

4. Отключите возможность узнать логин пользователя

Если хакер введет в адресной строке ваш-сайт.ru/?author=1, его перенаправит на страницу пользователя с ID 1.

Теперь хакер знает логин пользователя, ему остается только подобрать пароль. Даже если вы используете сложные пароли, хакерам все равно лучше не знать ID пользователя.

Чтобы отключить нумерацию пользователей, добавьте это правило в .htaccess:

Другой способ сделать то же самое — добавить код в functions.php:

Этот снипет перенаправляет пользователя на главную страницу.

5. Проверьте, что логин пользователя и имя пользователя разные

Когда вы публикуете запись или оставляете комментарий, Вордпресс обычно использует Ник. По умолчанию, Ник соответствует логину пользователя.

С точки зрения безопасности, лучше не публиковать логин пользователя. Сделайте логин и имя пользователя разными.

6. Проверьте права доступа к файлам и папкам

На Linux и Unix серверах у файлов и папок есть разрешения, которые разрешают или запрещают разным пользователям доступ к файлам и папкам на сервере. Если у некоторых файлов или папок установлены слишком низкие права, хакеры могут этим воспользоваться и получить какой-то контроль над сайтом.

• Права доступа к файлам и папкам

Дайте всем файлам и папкам разрешения 644 и 755. Добавьте этот код в wp-config.php:

Дайте файлу wp-config вручную права 400. Если сайт стал недоступен, измените на 440.

Этим файлам и папкам тоже можно дать пониженные права:

1. Корневая папка сайта — /сайт.ru/public_html/ — 750
2. .htaccess — /сайт.ru/public_html/.htaccess — 640
3. wp-admin/ — /сайт.ru/public_html/wp-admin — 750
4. wp-admin/js/ — /сайт.ru/public_html/wp-admin/js/ — 750
5. wp-admin/index.php — /сайт.ru/public_html/wp-admin/index.php — 640
6. wp-content/ — /сайт.ru/public_html/wp-content — 750
7. wp-content/themes/ — /сайт.ru/public_html/wp-content/themes — 750
8. wp-content/plugins/ — /сайт.ru/public_html/wp-content/plugins — 750
9. wp-includes/ — /сайт.ru/public_html/wp-includes — 750

7. Удалите файл readme.html и другие неиспользуемые файлы

Пока вы находитесь на сервере, удалите ненужные после установки файлы

• readme.html
• wp-config-sample.php
• /wp-admin/install.php
• /wp-admin/upgrade.php измените имя файла на другое, например, upgrade-1.php, но не удаляйте, этот файл может понадобиться.

8. Измените префикс базы данных

По умолчанию все таблицы в базе данных начинаются с префикса wp_. Если вы оставите как есть, хакерам будет проще попасть на ваш сайт или в базу данных, потому что у большинства Вордпресс сайтов одни и те же названия таблиц и тот же префикс.

Префикс можно изменить вручную,

• Как изменить префикс базы данных

Или при помощи плагинов. Эта функция есть в больших плагинах безопасности, есть плагины, которые выполняют только эту задачу:

• Brozzme DB Prefix

Сделайте бэкап сайта и базы данных перед тем, как будете менять префикс.

• Бэкап Вордпресс

9. Отключите XML-RPC

XML-RPC — это API интерфейс, который используется Вордпресс для удаленного доступа к сайту, для трекбеков и пингбеков и используется плагином Jetpack. Оставьте его включенным, если вы пользуетесь чем-то из этого, или выключите, если не пользуетесь, так как хакеры могут перебирать пароли тысячами через файл xmlrpc.php.

Даже если вы используете сложные пароли, брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за переиспользования всех ресурсов сервера.

Чтобы отключить XML-RPC, добавьте это правило в .htaccess

• Как правильно отключить XML-RPC

10. Отключите редактор файлов в админке

В панели администратора есть редактор файлов, в котором можно редактировать файлы установленных плагинов и тем.

Редактировать файлы тем вы можете в разделе Внешний вид — Редактор, файлы плагинов в разделе Плагины — Редактор.

Многие считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.

Другие считают, что если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.

Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:

11. Проверьте, что режим debug выключен

Пока вы находитесь в файле wp-config, проверьте что режим отладки выключен. В режиме отладки Вордпресс показывает ошибки сайта во фронт-энде или сохраняет их в лог-файл. В обоих случаях посторонним лучше не видеть эту информацию.

По умолчанию режим отладки выключен, проверьте в файле wp-config.php, что он выключен.

Все остальные функции режима debug тоже должны быть выключены:

• Режим отладки Вордпресс

12. Используйте безопасное соединение, установите SSL сертификат

Безопасное соединение защищает данные, передаваемые посетителями сайта через Интернет. Установите бесплатный или платный сертификат, перед адресом сайта появится зеленый замóк и протокол передачи данных изменится с http на https.

Если у вас на сайте есть регистрация / авторизация пользователей или прием оплаты, то есть передача персональных данных, то вам необходимо установить SSL сертификат.

С 1 января 2017 года установленный SSL сертификат стал одним из факторов ранжирования сайтов Гугл.

Чтобы переключить сайт сhttp на https, добавьте этот код в .htaccess:

Замените www.мой-сайт.ru на ваш домен, и порт 80, если ваш сервер использует другой порт.

Поговорите с техподдержкой хостинга, возможно, они предложат использовать этот код:

Добавьте это правило в wp-config.php, чтобы включить принудительное использование SSL в админке Вордпресс:

Если вы не хотите иметь дело с кодом, используйте плагины:

• SSL Insecure Content Fixer
• Easy HTTPS Redirection
• WP Force SSL

13. Используйте безопасный FTP (SFTP), или SSH

Передача файлов по FTP — быстрый и удобный способ, если вы редактируете или добавляете какие-то файлы на сайт, но этот способ не так безопасен, потому что хакеры могут перехватить FTP подключение.

Использование SFTP более безопасно, потому что передаваемые данные шифруются, и хакерам гораздо сложнее перехватить логин и пароль. SSH — еще один безопасный способ добавления или перемещения файлов сайта.

Если вы не планируете пользоваться FTP, можно удалить все FTP аккаунты, чтобы хакерам нечего было взламывать. На некоторых хостингах можно установить ограниченное время использования FTP аккаунтов, то есть через некоторое определенное время аккаунт будет удален.

Чтобы включить использование SFTP, создайте это подключение на хостинге и добавьте эту строку в wp-config.php перед строкой «Это все, дальше не редактируем».

14. Проверьте версию PHP и MySQL

Если вы используете старые версии софта, это замедляет работу сайта. Если вы используете еще более старые, неподдерживаемые версии софта, это может привести ко взлому сайта по спискам уязвимостей устаревшего ПО, которые находятся в открытом доступе.

Проверьте, что на вашем хостинге используется PHP и MySQL версии не ниже 5.6. Вордпресс рекомендует использовать PHP версии 7.4 и MySQL версии 5.7.

15. Отключите показ версии PHP в ответах сервера

Так же, как с версией ПО, используемую версию PHP лучше скрыть. Добавьте этот код в .htaccess. Если не сработает, обратитесь в техподдержку хостинга, попросите отключить показ версии php в настройках сервера:

• Как отключить информацию о версии ПО в ответах сервера

16. Отключите pingback и trackback

Некоторые специалисты рекомендуют отключить уведомления и обратные ссылки. Настройки — Обсуждение

Если вы этим не пользуетесь, то можно отключить.

17. Бонус. Установите плагин слежения за изменениями в файлах

Такие плагины сканируют файлы сайта по расписанию, и сообщают администратору, если находят какие-то изменения в файлах. Эта функция есть в больших плагинах, есть маленькие плагины только для этой задачи, например:

• Belavir

18. Бонус 2. Удалите ссылки на WLW и RSD в шапке сайта

Если вы не пользуетесь сервисами Windows Live Writer или Really Simple Discovery, например, пингбэками, можно отключить показ этих ссылок в заголовке сайта. Это не увеличивает безопасность сайта напрямую, но скрывает факт использования Вордпресс.

Чтобы отключить эти ссылки, добавьте эти строки в functions.php:

Заключение

Настройки из этих двух статей защитят ваш сайт практически от всех видов атак, которые используют хакеры. Это список всех самых первых настроек, которые должны быть сделаны на любом сайте. Примените их все, и ваш сайт будет хорошо защищен.

Некоторые из этих настроек можно применить с помощью плагина Clearfy.

С этими настройками вы пройдете 40 тестов из 46, и наберете 91%.

Если вы хотите пойти дальше, и укрепить безопасность сайта еще больше, переходите в Максимальные настройки безопасности Вордпресс.

Читайте также:

1. Вход в админку Вордпресс
2. Лучшие плагины защиты Вордпресс
3. Бэкап Вордпресс. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.