Проверка безопасности. Предварительные настройки
Здравствуйте! Спасибо за интерес и Добро пожаловать на мой курс Безопасный Вордпресс за 2 вечера.
В этом курсе вы настроите мощную автоматическую защиту сайта уровня премиум-плагинов.
Перед тем, как вы начнете настраивать защиту, прочитайте и примените все, что написано в этом уроке.
Содержание:
Проверка безопасности
Первое, что нужно сделать — проверьте сайт, может быть он уже взломан:
Признаки взломанного сайта
1. Постоянные ссылки. Зайдите в Настройки — Постоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname%
. Если ссылка изменилась на %postname%/%
, например,
%postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/
значит, ваш сайт взломали.
2. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, новые статьи или страницы, и тому подобное. Проверьте все страницы сайта, начиная с Главной.
3. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.
site:ваш-сайт.ru
Замените ваш-сайт.ru
на ваш адрес.
Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страниц на рекламный мусор.
4. Неожиданные пики посещаемости: Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.
5. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.
6. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:
7. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:
define('WP_HOME', 'сторонний URL);
или
define('WP_SITEURL', 'сторонний URL');
8. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta
, которая маскируется под стандартную таблицу wp_postmeta
.
Проверьте сайт он-лайн сервисами
Еще один способ, которым вы можете найти взлом на сайте — просканировать сайт он-лайн сервисами.
- Google Transparency Report — проверка сайта в базе Google. Первый шаг, чтобы определить, был ли сайт взломан.
- Unmask Parasites — довольно простой сервис для проверки сайта.
- Sucuri Site Check — хороший сервис для поиска заражений на сайте. Показывает, внесен ли сайт в списки вредоносных сайтов. На данный момент 9 списков.
- Norton Safe Web – сканер сайта от Norton.
- Quttera – сканирует сайт на наличие вредоносного ПО.
- VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
- WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
- WebSicherheit – сканирует сайт на наличие вредоносного ПО, вирусов, внедренных скриптов и так далее.
- Pentest-Tools — еще один хороший сервис для проверки сайта на наличие заражения. В бесплатной версии доступен общий анализ сайта.
- 2ip — проверяет на вирусы и включение в черные списки Яндекса и Гугла.
Еще одна вещь, которую вы можете сделать — скачайте сайт на компьютер и проверьте его антивирусом.
Предварительные настройки
После того, как вы проверили сайт, можно начинать настраивать его защиту. В этом разделе — обязательные настройки «здравого смысла», которые должны быть сделаны на любом сайте.
1. Обновите софт до последней версии
Новые версии Вордпресс выходят регулярно и содержат обновления безопасности, исправления багов и новые функции. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.
Если вы пропускаете обновление, на вашем сайте не будет последних исправлений безопасности, то есть сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности способ взлома сайта.
Хакбот придет на сайт и запросит версию ПО. Если в его базе данных найдется уязвимость этой версии ПО, он его взломает по уже известной методике.
Делайте ручное обновление Вордпресс, темы и плагинов в разделе Консоль — Обновления.
Или настройте автоматическое обновление софта:
- Автоматическое обновление Вордпресс, плагинов и тем
- Почему у вас должна быть последняя версия Вордпресс
2. Используйте сложные логины и пароли
Если вы используете стандартный логин, например, Admin, Administrator или имя вашего домена, и простые пароли (10.000 самых популярных паролей), то хакеры очень быстро взломают ваш сайт. Подбор стандартных логина и пароля — второй по популярности способ взлома сайта
После взлома хакер зайдет на сайт, создаст новый аккаунт администратора, будет публиковать контент, ссылки на другие сайты, начнет рассылку спама, и так далее. Он может удалить аккаунт старого администратора.
Придумайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.
Генератор паролей в Вордпресс: Пользователи — Ваш профиль — Управление учетной записью
Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, например, LastPass.
Или вы можете создать свой пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.
Также используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга, потому что это альтернативные способы зайти на сайт.
Еще одна вещь, которую вы можете сделать — проверить, что имя пользователя и логин разные. Зайдите в Пользователи — Ваш профиль.
Если имя пользователя и логин одинаковые, то хакер уже знает половину информации, чтобы зайти на сайт. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.
Вместо Very-strong-username у вас должен быть ваш уникальный сложный логин.
3. Используйте только проверенный софт
Перед добавлением в репозитарий темы и плагины проверяет команда добровольцев. Они могут пропустить не очень хороший код, который может замедлять сайт или вызывать проблемы с безопасностью.
Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.
Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а затем на сайт.
Возможен и обратный вариант: например, пользователь оставил отзыв с одной звездой, потому что в плагине не было какой-то функции, хотя в описании к плагину подробно написано, какие функции в нем есть.
Поэтому оценка ниже 5 звезд не обязательно означает плохой софт.
Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим количеством отзывов и большим количеством установок. Для плагинов минимум 1.000, еще лучше 10.000 установок.
Удалите все неиспользуемые темы и плагины. Большое количество кода повышает вероятность найти в нем уязвимость.
4. Установите плагин защиты от спама
Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для защиты от спама. Плагин настраивать не нужно, просто установите и активируйте.
5. Отключите галочку Любой может зарегистрироваться
Проверьте чекбокс «Любой может зарегистрироваться» в разделе Настройки — Общие — Членство
6. Используйте надежный хостинг
Ненадежный хостинг хакер может взломать и добраться до вашего сайта. Используйте надежные хостинги из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.
Я использую хостинг Beget. Обзор хостинга.
7. Используйте SSL
Безопасное соединение защищает данные, передаваемые посетителями сайта через Интернет. Установите бесплатный или платный сертификат, перед адресом сайта появится зеленый замóк и протокол передачи данных изменится с http
на https
.
Если у вас на сайте есть регистрация / авторизация пользователей или прием оплаты, то есть передача персональных данных, то вам необходимо установить SSL сертификат.
С 1 января 2017 года установленный SSL сертификат стал одним из факторов ранжирования сайтов Гугл.
На большинстве хостингов можно установить бесплатный SSL сертификат за пару кликов.
Если у вас появились сложности с установкой, читайте здесь, или поговорите с техподдержкой хостинга.
8. Проверьте версию PHP
Проверьте на хостинге, какая версия PHP (и MySQL) используется.
На данный момент Вордпресс рекомендует использовать PHP версии 7.4, MySQL версии 5.7.
Версии PHP и MySQL ниже 5.6 больше не поддерживаются, то есть небезопасны.
На всех хостингах это делается по-разному, на Бегет это делается выбором в выпадающем меню.
9. Проверьте Здоровье сайта
Зайдите на страницу Инструменты — Здоровье сайта.
Сделайте все улучшения с пометкой Безопасность.
Дополнительные настройки
Вы можете сделать еще несколько настроек: настроить бэкап и подключить сайт к CDN.
Настройте бэкап
Бэкап — важная часть безопасности любого сайта. Если что-то пойдет не так или сайт взломают, у вас всегда будет копия для восстановления.
- Бесплатные плагины: All-in-One WP Migration (ручной бэкап и восстановление),
UpdraftPlus (автоматический бэкап на облако). - Платные плагины: Duplicator Pro, VaultPress (от Automattic), BlogVault.
Подключите сайт к CDN
CDN — это сеть доставки контента. Суть этого сервиса в том, что ваш сайт копируется на несколько серверов в географически разных точках. Когда посетитель запрашивает какую-то страницу сайта, он ее получает не с вашего хостинга, а из ближайшего сервера CDN. Это увеличивает скорость загрузки сайта.
Хотя CDN скорее относится к производительности сайта, у CDN CloudFlare есть несколько настроек безопасности, которые будут полезными на вашем сайте.