»  Безопасность  »  Основные настройки безопасности Вордпресс

Основные настройки безопасности Вордпресс

Последнее обновление:

<i class="fa fa-battery-three-quarters fa-rotate-270" aria-hidden="true"></i>Основные настройки безопасности ВордпрессВ первой части настроек безопасности Вордпресс находятся самые простые и самые эффективные настройки, которые может применить любой чайник.

Даже если вы первый раз видите Вордпресс, и у вас появилась идея усилить безопасность сайта, их применение займет 10 минут. С этими минимальными настройками вы наберете 66% по версии плагина Security Ninja. Это хороший результат.

Во второй части вы узнаете другие основные настройки, которые сложнее применить, но которые тоже нужно сделать. Для их применения понадобится добавлять код в файлы .htaccesswp-config.php  и functions.php.

И несколько второстепенных, которые можно применить в пару кликов.

Все настройки с подробными описаниями, читайте и применяйте на сайте.

Содержание:

  1. Скройте версию Вордпресс, скриптов, стилей и другого софта
  2. Измените стандартное имя Администратора
  3. Измените текст ошибки при входе на сайт
  4. Отключите возможность узнать логин пользователя
  5. Проверьте, что логин пользователя и имя пользователя разные
  6. Проверьте права доступа к файлам и папкам
  7. Удалите файл readme.html и другие неиспользуемые файлы
  8. Измените префикс базы данных
  9. Отключите XML-RPC
  10. Отключите редактор файлов в админке
  11. Проверьте, что режим debug выключен
  12. Используйте безопасный FTP (SFTP), или SSH
  13. Используйте защищенное соединение, установите SSL сертификат
  14. Проверьте версию PHP и MySQL
  15. Отключите показ версии PHP в ответах сервера
  16. Отключите pingback и trackback
  17. Бонус. Установите плагин слежения за изменениями в файлах
  18. Бонус 2. Удалите ссылки на WLW и RSD в Хедере

1. Скройте версию Вордпресс, скриптов и стилей

Вордпресс по умолчанию оставляет на страницах сайта метатеги с текущей версией. Это делается для отслеживания количества сайтов, работающих на Вордпресс. Эту же информацию используют хакеры для проникновения на сайт, используя описания уязвимостей устаревших версий ПО, которые находятся в открытом доступе.

Как скрыть версию Вордпресс
Метатеги версии Вордпресс и плагина WooCommerce

Несмотря на то, что вы используете последнюю версию софта, эту информацию лучше скрыть.

2. Измените стандартное имя Администратора

Во время установки Вордпресс администратору сайта дается стандартное имя Admin. Если вы оставите как есть, хакеры будут знать половину информации для входа на сайт, потому что имена Admin, Administrator, Root или имя домена пробуются хакерами первыми при попытке подобрать логин и пароль для входа на сайт.

Вторая половина — подобрать правильный пароль.

Имя Администратора по умолчанию

Если вы измените стандартное имя администратора на другое, хакерам придется подобрать и логин и пароль.

Вы можете изменить имя администратора вручную в базе данных, или создать нового администратора и удалить старого.

Если вы создадите нового администратора, это может привести к тому, что у некоторых плагинов не окажется доступа к некоторым функциям, потому что новый администратор не получил соответствующих прав. Поэтому изменение имени администратора в базе данных считается более правильным способом.

3. Измените текст ошибки при авторизации на сайте

Когда посетитель вводит неправильный логин или пароль на странице авторизации, Вордпресс показывает сообщение с ошибкой. В этом сообщении написано, что именно неверно, — логин или пароль.

Сообщение с ошибкой "Неверный пароль"

Чтобы изменить текст сообщения, добавьте этот код в functions.php.

Измените сообщение в строке 3 на свое сообщение.

4. Отключите возможность узнать логин пользователя

Если хакер введет в адресной строке ваш-сайт.ru/?author=1, его перенаправит на страницу пользователя с ID 1.

Теперь хакер знает логин пользователя, ему остается только подобрать пароль. Даже если вы используете сложные пароли, хакерам все равно лучше не знать ID пользователя.

Чтобы отключить нумерацию пользователей, добавьте это правило в .htaccess:

Другой способ сделать то же самое — добавить код в functions.php:

Этот снипет перенаправляет пользователя на главную страницу.

5. Проверьте, что логин пользователя и имя пользователя разные

Когда вы публикуете запись или оставляете комментарий, Вордпресс обычно использует Ник. По умолчанию, Ник соответствует логину пользователя.

Имя пользователя, ник пользователя

С точки зрения безопасности, лучше не публиковать логин пользователя. Сделайте логин и имя пользователя разными.

6. Проверьте права доступа к файлам и папкам

На Linux и Unix серверах у файлов и папок есть разрешения, которые разрешают или запрещают разным пользователям доступ к файлам и папкам на сервере. Если у некоторых файлов или папок установлены слишком низкие права, хакеры могут этим воспользоваться и получить какой-то контроль над сайтом.

Дайте всем файлам и папкам разрешения 644 и 755. Добавьте этот код в wp-config.php:

Дайте файлу wp-config вручную права 400. Если сайт стал недоступен, измените на 440.

Этим файлам и папкам тоже можно дать пониженные права:

  1. Корневая папка сайта — /сайт.ru/public_html/ — 750
  2. .htaccess — /сайт.ru/public_html/.htaccess — 640
  3. wp-admin/ — /сайт.ru/public_html/wp-admin — 750
  4. wp-admin/js/ — /сайт.ru/public_html/wp-admin/js/ — 750
  5. wp-admin/index.php — /сайт.ru/public_html/wp-admin/index.php — 640
  6. wp-content/ — /сайт.ru/public_html/wp-content — 750
  7. wp-content/themes/ — /сайт.ru/public_html/wp-content/themes — 750
  8. wp-content/plugins/ — /сайт.ru/public_html/wp-content/plugins — 750
  9. wp-includes/ — /сайт.ru/public_html/wp-includes — 750

7. Удалите файл readme.html и другие неиспользуемые файлы

Пока вы находитесь на сервере, удалите ненужные после установки файлы

  • readme.html
  • wp-config-sample.php
  • /wp-admin/install.php
  • /wp-admin/upgrade.php измените имя файла на другое, например, upgrade-1.php, но не удаляйте, этот файл может понадобиться.

8. Измените префикс базы данных

По умолчанию все таблицы в базе данных начинаются с префикса wp_. Если вы оставите как есть, хакерам будет проще попасть на ваш сайт или в базу данных, потому что у большинства Вордпресс сайтов одни и те же названия таблиц и тот же префикс.

Префикс можно изменить вручную,

Или при помощи плагинов. Эта функция есть в больших плагинах безопасности, есть плагины, которые выполняют только эту задачу:

Сделайте бэкап сайта и базы данных перед тем, как будете менять префикс.

9. Отключите XML-RPC

XML-RPC — это API интерфейс, который используется Вордпресс для удаленного доступа к сайту, для трекбеков и пингбеков и используется плагином Jetpack. Оставьте его включенным, если вы пользуетесь чем-то из этого, или выключите, если не пользуетесь, так как хакеры могут перебирать пароли тысячами через файл xmlrpc.php.

Даже если вы используете сложные пароли, брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за переиспользования всех ресурсов сервера.

Чтобы отключить XML-RPC, добавьте это правило в .htaccess

10. Отключите редактор файлов в админке

В панели администратора есть редактор файлов, в котором можно редактировать файлы установленных плагинов и тем.

Редактировать файлы тем вы можете в разделе Внешний вид — Редактор, файлы плагинов в разделе Плагины — Редактор.

Многие считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.

Другие считают, что если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.

Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:

11. Проверьте, что режим debug выключен

Пока вы находитесь в файле wp-config, проверьте что режим отладки выключен. В режиме отладки Вордпресс показывает ошибки сайта во фронт-энде или сохраняет их в лог-файл. В обоих случаях посторонним лучше не видеть эту информацию.

По умолчанию режим отладки выключен, проверьте в файле wp-config.php, что он выключен.

Все остальные функции режима debug тоже должны быть выключены:

12. Используйте безопасный FTP (SFTP), или SSH

Передача файлов по FTP — быстрый и удобный способ, если вы редактируете или добавляете какие-то файлы на сайт, но этот способ менее безопасен, чем другие, потому что хакеры могут перехватить FTP подключение.

Использование SFTP более безопасно, потому что передаваемые данные шифруются, и хакерам гораздо сложнее перехватить логин и пароль. SSH — еще один безопасный способ добавления или перемещения файлов сайта.

Если вы не планируете пользоваться FTP, можно удалить все FTP аккаунты, чтобы хакерам нечего было взламывать. На некоторых хостингах можно установить ограниченное время использования FTP аккаунтов, то есть через некоторое определенное время аккаунт будет удален.

Чтобы включить использование SFTP, создайте это подключение на хостинге и добавьте эту строку в wp-config.php перед строкой «Это все, дальше не редактируем».

13. Используйте безопасное соединение, установите SSL сертификат

Безопасное соединение защищает данные, передаваемые посетителями сайта через Интернет. Установите бесплатный или платный сертификат, перед адресом сайта появится зеленый замóк и протокол передачи данных изменится с http на https.

На сайте установлен SSL сертификат
Сайт с установленным SSL сертификатом в браузере Мозилла

Если у вас на сайте есть регистрация / авторизация пользователей или прием оплаты, то есть передача персональных данных, то вам необходимо установить SSL сертификат.

С 1 января 2017 года установленный SSL сертификат стал одним из факторов ранжирования сайтов Гугл.

Чтобы переключить сайт сhttp на https, добавьте этот код в .htaccess:

Замените www.мой-сайт.ru на ваш домен, и порт 80, если ваш сервер использует другой порт.

Поговорите с техподдержкой хостинга, возможно, они предложат использовать этот код:

Добавьте это правило в wp-config.php, чтобы включить принудительное использование SSL в админке Вордпресс:

Если вы не хотите иметь дело с кодом, используйте плагины:

14. Проверьте версию PHP и MySQL

Если вы используете старые версии софта, это замедляет работу сайта. Если вы используете еще более старые, неподдерживаемые версии софта, это может привести ко взлому сайта по спискам уязвимостей устаревшего ПО, которые находятся в открытом доступе.

Проверьте, что на вашем хостинге используется php и mysql версии не ниже 5.6. Вордпресс рекомендует использовать php версии 7.2.

15. Отключите показ версии PHP в ответах сервера

Так же, как с версией ПО, используемую версию PHP лучше скрыть. Добавьте этот код в .htaccess. Если не сработает, обратитесь в техподдержку хостинга, попросите отключить показ версии php в настройках сервера:

16. Отключите pingback и trackback

Некоторые специалисты рекомендуют отключить уведомления и обратные ссылки. НастройкиОбсуждение

Уведомления и обратные ссылки

Если вы этим не пользуетесь, то можно отключить.

17. Бонус. Установите плагин слежения за изменениями в файлах

Такие плагины сканируют файлы сайта по расписанию, и сообщают администратору, если находят какие-то изменения в файлах. Эта функция есть в больших плагинах, есть маленькие плагины только для этой задачи, например:

18. Бонус 2. Удалите ссылки на WLW и RSD в шапке сайта

Если вы не пользуетесь сервисами Windows Live Writer или Really Simple Discovery, например, пингбэками, можно отключить показ этих ссылок в заголовке сайта. Это не увеличивает безопасность сайта напрямую, но скрывает факт использования Вордпресс.

Чтобы отключить эти ссылки, добавьте эти строки в functions.php:

Заключение

Настройки из этих двух статей защитят ваш сайт практически от всех видов атак, которые используют хакеры. Это список всех самых первых настроек, которые должны быть сделаны на любом сайте. Примените их все, и ваш сайт будет хорошо защищен.

Некоторые из этих настроек можно применить с помощью плагина Clearfy.

С этими настройками вы пройдете 40 тестов из 46, и наберете 91%.

Тест безопасности сайта плагином Security Ninja, основные настройки

Если вы хотите пойти дальше, и укрепить безопасность сайта еще больше, переходите в Максимальные настройки безопасности Вордпресс.

Надеюсь, статья была полезна. Оставляйте комментарии.

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!