Techbear
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
В первой части настроек безопасности Вордпресс находятся самые простые и самые эффективные настройки, которые может применить любой чайник.
Даже если вы первый раз видите Вордпресс, и у вас появилась идея усилить безопасность сайта, их применение займет 10 минут. С этими минимальными настройками вы наберете 66% по версии плагина Security Ninja. Это хороший результат.
Во второй части вы узнаете другие основные настройки, которые сложнее применить, но которые тоже нужно сделать. Для их применения понадобится добавлять код в файлы .htaccess, wp-config.php и functions.php.
И несколько второстепенных, которые можно применить в пару кликов.
Все настройки с подробными описаниями, читайте и применяйте на сайте.
Содержание:
Вордпресс по умолчанию оставляет на страницах сайта метатеги с текущей версией. Это делается для отслеживания количества сайтов, работающих на Вордпресс. Эту же информацию используют хакеры для проникновения на сайт, используя описания уязвимостей устаревших версий ПО, которые находятся в открытом доступе.
Несмотря на то, что вы используете последнюю версию софта, эту информацию лучше скрыть.
Во время установки Вордпресс администратору сайта дается стандартное имя Admin. Если вы оставите как есть, хакеры будут знать половину информации для входа на сайт, потому что имена Admin, Administrator, Root или имя домена пробуются хакерами первыми при попытке подобрать логин и пароль для входа на сайт.
Вторая половина — подобрать правильный пароль.
Если вы измените стандартное имя администратора на другое, хакерам придется подобрать и логин и пароль.
Еще одна уязвимость, которая может быть — имя пользователя и логин одинаковые. Зайдите в Пользователи — Ваш профиль.
Если имя пользователя и логин одинаковые, то хакер уже знает половину информации, чтобы зайти на сайт. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.
Вместо Very-strong-username у вас должен быть ваш уникальный сложный логин.
Вы можете изменить имя администратора вручную в базе данных, или создать нового администратора и удалить старого.
Если вы создадите нового администратора, это может привести к тому, что у некоторых плагинов не окажется доступа к некоторым функциям, потому что новый администратор не получил соответствующих прав. Поэтому изменение имени администратора в базе данных считается более правильным способом.
Когда посетитель вводит неправильный логин или пароль на странице авторизации, Вордпресс показывает сообщение с ошибкой. В этом сообщении написано, что именно неверно, — логин или пароль.
Чтобы изменить текст сообщения, добавьте этот код в functions.php.
Измените сообщение в строке 3 на свое сообщение.
Если хакер введет в адресной строке ваш-сайт.ru/?author=1
, его перенаправит на страницу пользователя с ID 1.
Теперь хакер знает логин пользователя, ему остается только подобрать пароль. Даже если вы используете сложные пароли, хакерам все равно лучше не знать ID пользователя.
Чтобы отключить нумерацию пользователей, добавьте это правило в .htaccess:
Другой способ сделать то же самое — добавить код в functions.php:
Этот снипет перенаправляет пользователя на главную страницу.
Когда вы публикуете запись или оставляете комментарий, Вордпресс обычно использует Ник. По умолчанию, Ник соответствует логину пользователя.
С точки зрения безопасности, лучше не публиковать логин пользователя. Сделайте логин и имя пользователя разными.
На Linux и Unix серверах у файлов и папок есть разрешения, которые разрешают или запрещают разным пользователям доступ к файлам и папкам на сервере. Если у некоторых файлов или папок установлены слишком низкие права, хакеры могут этим воспользоваться и получить какой-то контроль над сайтом.
Дайте всем файлам и папкам разрешения 644 и 755. Добавьте этот код в wp-config.php:
Дайте файлу wp-config вручную права 400. Если сайт стал недоступен, измените на 440.
Этим файлам и папкам тоже можно дать пониженные права:
Пока вы находитесь на сервере, удалите ненужные после установки файлы
По умолчанию все таблицы в базе данных начинаются с префикса wp_
. Если вы оставите как есть, хакерам будет проще попасть на ваш сайт или в базу данных, потому что у большинства Вордпресс сайтов одни и те же названия таблиц и тот же префикс.
Префикс можно изменить вручную,
Или при помощи плагинов. Эта функция есть в больших плагинах безопасности, есть плагины, которые выполняют только эту задачу:
Сделайте бэкап сайта и базы данных перед тем, как будете менять префикс.
XML-RPC — это API интерфейс, который используется Вордпресс для удаленного доступа к сайту, для трекбеков и пингбеков и используется плагином Jetpack. Оставьте его включенным, если вы пользуетесь чем-то из этого, или выключите, если не пользуетесь, так как хакеры могут перебирать пароли тысячами через файл xmlrpc.php.
Даже если вы используете сложные пароли, брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за переиспользования всех ресурсов сервера.
Чтобы отключить XML-RPC, добавьте это правило в .htaccess
Реклама
Простой способ выгодно купить полис
В панели администратора есть редактор файлов, в котором можно редактировать файлы установленных плагинов и тем.
Редактировать файлы тем вы можете в разделе Внешний вид — Редактор, файлы плагинов в разделе Плагины — Редактор.
Многие считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.
Другие считают, что если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.
Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:
Пока вы находитесь в файле wp-config, проверьте что режим отладки выключен. В режиме отладки Вордпресс показывает ошибки сайта во фронт-энде или сохраняет их в лог-файл. В обоих случаях посторонним лучше не видеть эту информацию.
По умолчанию режим отладки выключен, проверьте в файле wp-config.php, что он выключен.
Все остальные функции режима debug тоже должны быть выключены:
Безопасное соединение защищает данные, передаваемые посетителями сайта через Интернет. Установите бесплатный или платный сертификат, перед адресом сайта появится зеленый замóк и протокол передачи данных изменится с http
на https
.
Если у вас на сайте есть регистрация / авторизация пользователей или прием оплаты, то есть передача персональных данных, то вам необходимо установить SSL сертификат.
С 1 января 2017 года установленный SSL сертификат стал одним из факторов ранжирования сайтов Гугл.
Чтобы переключить сайт сhttp
на https
, добавьте этот код в .htaccess:
Замените www.мой-сайт.ru
на ваш домен, и порт 80, если ваш сервер использует другой порт.
Поговорите с техподдержкой хостинга, возможно, они предложат использовать этот код:
Добавьте это правило в wp-config.php, чтобы включить принудительное использование SSL в админке Вордпресс:
Если вы не хотите иметь дело с кодом, используйте плагины:
Передача файлов по FTP — быстрый и удобный способ, если вы редактируете или добавляете какие-то файлы на сайт, но этот способ не так безопасен, потому что хакеры могут перехватить FTP подключение.
Использование SFTP более безопасно, потому что передаваемые данные шифруются, и хакерам гораздо сложнее перехватить логин и пароль. SSH — еще один безопасный способ добавления или перемещения файлов сайта.
Если вы не планируете пользоваться FTP, можно удалить все FTP аккаунты, чтобы хакерам нечего было взламывать. На некоторых хостингах можно установить ограниченное время использования FTP аккаунтов, то есть через некоторое определенное время аккаунт будет удален.
Чтобы включить использование SFTP, создайте это подключение на хостинге и добавьте эту строку в wp-config.php перед строкой «Это все, дальше не редактируем».
Если вы используете старые версии софта, это замедляет работу сайта. Если вы используете еще более старые, неподдерживаемые версии софта, это может привести ко взлому сайта по спискам уязвимостей устаревшего ПО, которые находятся в открытом доступе.
Проверьте, что на вашем хостинге используется PHP и MySQL версии не ниже 5.6. Вордпресс рекомендует использовать PHP версии 7.4 и MySQL версии 5.7.
Так же, как с версией ПО, используемую версию PHP лучше скрыть. Добавьте этот код в .htaccess. Если не сработает, обратитесь в техподдержку хостинга, попросите отключить показ версии php в настройках сервера:
Некоторые специалисты рекомендуют отключить уведомления и обратные ссылки. Настройки — Обсуждение
Если вы этим не пользуетесь, то можно отключить.
Такие плагины сканируют файлы сайта по расписанию, и сообщают администратору, если находят какие-то изменения в файлах. Эта функция есть в больших плагинах, есть маленькие плагины только для этой задачи, например:
Если вы не пользуетесь сервисами Windows Live Writer или Really Simple Discovery, например, пингбэками, можно отключить показ этих ссылок в заголовке сайта. Это не увеличивает безопасность сайта напрямую, но скрывает факт использования Вордпресс.
Чтобы отключить эти ссылки, добавьте эти строки в functions.php:
Настройки из этих двух статей защитят ваш сайт практически от всех видов атак, которые используют хакеры. Это список всех самых первых настроек, которые должны быть сделаны на любом сайте. Примените их все, и ваш сайт будет хорошо защищен.
Некоторые из этих настроек можно применить с помощью плагина Clearfy.
С этими настройками вы пройдете 40 тестов из 46, и наберете 91%.
Если вы хотите пойти дальше, и укрепить безопасность сайта еще больше, переходите в Максимальные настройки безопасности Вордпресс.
Читайте также:
Надеюсь, статья была полезна. Оставляйте комментарии.
Сайт для тех, кто хочет использовать Вордпресс по максимуму, но не хочет разбираться в коде.
Очень полезно. Спасибо за хорошую информацию, системно изложено.
Только вот, на какой стадии верстки сайта рекомендуете делать описанные настройки и устанавливать плагины ?
Спасибо за отзыв!
Руководствуйтесь здравым смыслом, — если настройки безопасности больше не мешают верстке — значит можно применять.
А вообще — в любой момент до взлома сайта.