Проверка безопасности. Предварительные настройки

Здравствуйте! Спасибо за интерес и Добро пожаловать на мой курс Безопасный Вордпресс за 2 вечера.

В этом курсе вы настроите мощную автоматическую защиту сайта уровня премиум-плагинов.
Перед тем, как вы начнете настраивать защиту, прочитайте и примените все, что написано в этом уроке.

Содержание:

Проверка безопасности

Первое, что нужно сделать — проверьте сайт, может быть он уже взломан:

  1. Признаки взломанного сайта
  2. Проверьте сайт он-лайн сервисами

Признаки взломанного сайта

1. Постоянные ссылки. Зайдите в НастройкиПостоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname%. Если ссылка изменилась на %postname%/%, например,

 %postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/ 

значит, ваш сайт взломали.

2. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, новые статьи или страницы, и тому подобное. Проверьте все страницы сайта, начиная с Главной.

3. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

 site:ваш-сайт.ru 

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страниц на рекламный мусор.

4. Неожиданные пики посещаемости: Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.

5. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

6. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

7. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

 define('WP_HOME', 'сторонний URL); 

или

 define('WP_SITEURL', 'сторонний URL'); 

8. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.

Проверьте сайт он-лайн сервисами

Еще один способ, которым вы можете найти взлом на сайте — просканировать сайт он-лайн сервисами.

  • Unmask Parasites — проверяет, был ли сайт взломан и есть ли на сайте вредоносный код или спам.
  • WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
  • Sucuri SiteCheck – проверяет сайт на наличие вредоносного софта, внесение сайта в черные списки (на данный момент 9 списков), ошибок и устаревшего ПО.
  • Scan My Server – сервис предоставляет детальный отчет об уязвимостях сайта и еженедельное сканирование на бесплатном тарифе. Для работы требуется бесплатная регистрация и размещение картинки с обратной ссылкой на сервис в футере сайта.
  • Norton Safe Web – сканер сайта от Norton, проверяет сайт на наличие вредоносного ПО.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение нескольких минут генерирует довольно детальный отчет.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Acunetix — сканирует Вордпресс и не только Вордпресс сайты, нужна регистрация для 14-дневного бесплатного trial-периода.

Еще одна вещь, которую вы можете сделать — скачайте сайт на компьютер и проверьте его антивирусом.

Предварительные настройки

После того, как вы проверили сайт, можно начинать настраивать его защиту. В этом разделе — обязательные настройки «здравого смысла», которые должны быть сделаны на любом сайте.

1. Обновите софт до последней версии

Новые версии Вордпресс выходят регулярно и содержат обновления безопасности, исправления багов и новые функции. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.

Если вы пропускаете обновление, на вашем сайте не будет последних исправлений безопасности, то есть сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности способ взлома сайта.

Хакбот придет на сайт и запросит версию ПО. Если в его базе данных найдется уязвимость этой версии ПО, он его взломает по уже известной методике.

Делайте ручное обновление Вордпресс, темы и плагинов в разделе Консоль — Обновления.

Или настройте автоматическое обновление софта:

2. Используйте сложные логины и пароли

Если вы используете стандартный логин, например, Admin, Administrator или имя вашего домена, и простые пароли (10.000 самых популярных паролей), то хакеры очень быстро взломают ваш сайт. Подбор стандартных логина и пароля — второй по популярности способ взлома сайта

После взлома хакер зайдет на сайт, создаст новый аккаунт администратора, будет публиковать контент, ссылки на другие сайты, начнет рассылку спама, и так далее. Он может удалить аккаунт старого администратора.

Придумайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.

Генератор паролей в Вордпресс: Пользователи — Ваш профиль — Управление учетной записью

Генератор паролей Вордпресс
Генератор паролей Вордпресс

Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, например, LastPass.

Или вы можете создать свой пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.

Также используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга, потому что это альтернативные способы зайти на сайт.

Еще одна вещь, которую вы можете сделать — проверить, что имя пользователя и логин разные. Зайдите в ПользователиВаш профиль.

Имя пользователя Вордпресс
Измените Отображаемое имя

Если имя пользователя и логин одинаковые, то хакер уже знает половину информации, чтобы зайти на сайт. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.

Вместо Very-strong-username у вас должен быть ваш уникальный сложный логин.

3. Используйте только проверенный софт

Перед добавлением в репозитарий темы и плагины проверяет команда добровольцев. Они могут пропустить не очень хороший код, который может замедлять сайт или вызывать проблемы с безопасностью.

Каталог тем Вордпресс
Каталог тем Вордпресс

Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.

Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а затем на сайт.

Возможен и обратный вариант: например, пользователь оставил отзыв с одной звездой, потому что в плагине не было какой-то функции, хотя в описании к плагину подробно написано, какие функции в нем есть.

Поэтому оценка ниже 5 звезд не обязательно означает плохой софт.

Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим количеством отзывов и большим количеством установок. Для плагинов минимум 1.000, еще лучше 10.000 установок.

Удалите все неиспользуемые темы и плагины. Большое количество кода повышает вероятность найти в нем уязвимость.

4. Установите плагин защиты от спама

Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для защиты от спама. Плагин настраивать не нужно, просто установите и активируйте.

5. Отключите галочку Любой может зарегистрироваться

Проверьте чекбокс «Любой может зарегистрироваться» в разделе Настройки ОбщиеЧленство

Настройки - Общие - Членство, "Любой может зарегистрироваться"
Любой может зарегистрироваться

6. Используйте надежный хостинг

Ненадежный хостинг хакер может взломать и добраться до вашего сайта. Используйте надежные хостинги из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.

Я использую хостинг Beget. Обзор хостинга.

7. Используйте SSL

Безопасное соединение защищает данные, передаваемые посетителями сайта через Интернет. Установите бесплатный или платный сертификат, перед адресом сайта появится зеленый замóк и протокол передачи данных изменится с http на https.

На сайте установлен SSL сертификат
Сайт с установленным SSL сертификатом в браузере Мозилла

Если у вас на сайте есть регистрация / авторизация пользователей или прием оплаты, то есть передача персональных данных, то вам необходимо установить SSL сертификат.

С 1 января 2017 года установленный SSL сертификат стал одним из факторов ранжирования сайтов Гугл.

На большинстве хостингов можно установить бесплатный SSL сертификат за пару кликов.

Если у вас появились сложности с установкой, читайте здесь, или поговорите с техподдержкой хостинга.

8. Проверьте версию PHP

Проверьте на хостинге, какая версия PHP (и MySQL) используется.

На данный момент Вордпресс рекомендует использовать PHP версии 7.4, MySQL версии 5.6.
Версии PHP и MySQL ниже 5.6 больше не поддерживаются, то есть небезопасны.

На всех хостингах это делается по-разному, на Бегет это делается выбором в выпадающем меню.

9. Проверьте Здоровье сайта

Зайдите на страницу ИнструментыЗдоровье сайта.

Здоровье сайта Вордпресс
Вордпресс — Здоровье сайта

Сделайте все улучшения с пометкой Безопасность.

Дополнительные настройки

Вы можете сделать еще несколько настроек: настроить бэкап и подключить сайт к CDN.

Настройте бэкап

Бэкап — важная часть безопасности любого сайта. Если что-то пойдет не так или сайт взломают, у вас всегда будет копия для восстановления.

Подключите сайт к CDN

CDN — это сеть доставки контента. Суть этого сервиса в том, что ваш сайт копируется на несколько серверов в географически разных точках. Когда посетитель запрашивает какую-то страницу сайта, он ее получает не с вашего хостинга, а из ближайшего сервера CDN. Это увеличивает скорость загрузки сайта.

Хотя CDN скорее относится к производительности сайта, у CDN CloudFlare есть несколько настроек безопасности, которые будут полезными на вашем сайте.

Techbear