Безопасный Вордпресс за 2 вечера

В этом курсе вы настроите безопасность Вордпресс сайта, разберетесь как это работает (если хотите), нажмете кнопку Сохранить и забудете. Настройки будут работать автоматически.

После этого время от времени заходите на страницу Панель безопасности и проверяйте результат работы антивируса.

Файлы ядра Вордпресс соответствуют файлам в репозитории Вордпресс:

В журнале нет подозрительных событий:

Нет вредоносных файлов:

Сайт не находится в черных списках:

Ничего сложного нет, но придется поработать. Вам нужно будет установить и настроить несколько плагинов. Сделать около 50 настроек, 40 из которых делаются с помощью галочек в настройках плагинов. Для большинства из этих настроек есть уже готовые конфигурационные файлы. Просто загрузите и примените.

Несколько настроек нужно сделать вручную. Например:

• Дать правильные права доступа к файлам и папкам
• Перенести файл wp-config.php в безопасное место
• Скопировать и вставить код в файл functions.php, и тому подобное.

Это не сложно, на всё есть подробная инструкция. Если вы с этим справитесь, то справитесь и со всем остальным. 

Через 2 вечера вы узнаете всё, что вам нужно знать по этой теме, настроите безопасность и мониторинг безопасности в режиме реального времени на уровне лучших платных решений, и забудете об этой проблеме.

Всё, что вам нужно будет делать после этого — заходить на страницу безопасности в админке Вордпресс и проверять зеленые значки.

Вордпресс – очень популярная система, в данный момент на нем работает почти половина всех сайтов в Интернете (43%).  Если хакер найдет какую-то уязвимость, то он может получить контроль над большим количеством сайтов с такой же уязвимостью.

Благодаря своей популярности более 80% атак на CMS сайты приходится на Вордпресс:

Каждый день взламывается более 80.000 Вордпресс сайтов.

Хакеры используют большое количество способов, чтобы попасть на сайт. Один из самых распространенных — подобрать логин и пароль.

По умолчанию страница входа в админку находится по адресу …/wp-login.php. Если вы не ограничили количество неудачных попыток авторизации, то хакер может пробовать подобрать логин и пароль неограниченное количество раз. Логин пользователя можно найти на сайте, если он одинаковый с именем пользователя. Пароль можно найти в Интернете в списках самых популярных паролей.

Если у вас установлены неверные права доступа к файлам и папкам и открыт доступ к папкам сайта, хакер может открыть файл wp-config.php, в котором находится информация о доступе к базе данных. В базе данных хакер может дать администратору новый пароль и зайти на сайт.

Таких способов очень много, но благодаря популярности Вордпресс, они хорошо изучены и для противодействия им найдены стандартные решения.

В этом курсе вы узнаете и примените все способы защиты сайта от хакерских атак.

Когда я начал изучать Вордпресс, мне было интересно создавать контент, привлекать посетителей, изучать SEO. Я не хотел тратить время на то, что не увеличивает посещаемость.

Примерно через год после того, как я сделал свой первый сайт на Вордпресс, его взломали. Я восстановил сайт, залатывал случайные дыры, не зная, что может случиться в следующий раз. Я даже не знал, какой объем информации, которую нужно знать.

Но однажды я решил разобраться в этом вопросе, и через некоторое время понял, что безопасность — это список действий.

Я узнал, что нужно делать, сделал список настроек, и был доволен результатом. Была удовлетворенность проделанной работой, ощущение надежной защиты, и так далее.

Но через некоторое время я понял, что если что-то случится, я могу об этом узнать только когда поисковики занесут сайт в черные списки и перестанут давать трафик на сайт.

Мне нужно было найти сканер, который бы наблюдал за состоянием уже настроенной безопасности и сообщал о важных или подозрительных событиях.

Я нашел плагин, в который хорошо встраивается список действий. Я установил и настроил плагин, и каждый день заходил проверить, что всё в порядке.

Следующим шагом стало понимание того, что нужно запретить доступ на сайт IP адресам, которые находятся в черных списках. Этот трафик не несёт никакой пользы и потенциально опасен.

Я узнал, как подключиться к динамической библиотеке, которая содержит список IP адресов, занимающихся вредоносной деятельностью. Список постоянно меняется, поисковики банят старые адреса, хакеры используют новые адреса, и так далее.

В итоге у меня получилась надежная защита: два типа сканеров, проверка сайта на занесение в черные списки, сообщения о выбранных событиях на е-мейл и два мощных файрвола.

При этом:

Этой информацией я и хочу поделиться с вами.

Согласно исследованию Virusdie, «72% людей, впервые столкнувшихся с проблемами инфицирования стараются разобраться в вопросе самостоятельно и надеются на удачу».

«Около 98% клиентов сервисов безопасности обращаются к профессиональной помощи только когда они уже столкнулись с проблемой. 85% из них хотят получить помощь один раз и не желают снижать риск возможных проблем в будущем. <…> Люди не хотят тратить время на развитие в области безопасности, но и не хотят нанимать экспертов, поскольку это дорого».

Очистка зараженного сайта может быть долгой и сложной, лучше заранее принять меры предосторожности.

Структура курса

Вечер 1

Это базовая защита сайта от автоматических атак и хакеров хорошей квалификации, которой более чем достаточно для большинства сайтов в Интернете.

Вечер 2

Бóльшая часть настроек работает на уровне сервера без попадания хакера или хакбота на сайт, поэтому вся система потребляет минимальное количество ресурсов сервера, оставаясь при этом очень эффективной.

Бонус

Настройки нескольких плагинов будут находиться в разных частях меню Вордпресс. Чтобы привести их в порядок, вы узнаете, как сделать один раздел меню для всех настроек.

Гарантия

К сожалению, я не могу дать 100% гарантию от взлома.

Лучшую защиту Вордпресс сайтов предлагает Sucuri Security, но даже они не гарантируют 100% защиту.

В Интернете существует такое правило: Всё, что подключено к Интернету, можно взломать.

Если ваш сайт не содержит большое количество персональной информации или не генерирует миллионы рублей в месяц, хакеры высшей квалификации не будут пытаться его взломать. Их время стоит дорого, и им нужна соответствующая цель. Хакерам высокой квалификации и ботам ваш сайт будет не по зубам.

Информации из этого курса более чем достаточно для защиты любого блога, интернет-магазина, корпоративного сайта, или любого другого типа сайта на Вордпресс.