Защита WordPress

Защита wordpress

Защита WordPress всегда является актуальной темой для вебмастера. Много информации на эту тему существует в интернете. В этой статье еще раз акцентируем вопрос, как достичь и сохранить безопасность сайта на движке WordPress. Главное, надо себе усвоить, и всегда помнить, что безопасность блогов или сайтов находится в наших руках.

Опыт по защите сайтов показывает, что все вопросы по безопасности WordPress можно сгруппировать в несколько правил, которым надо следовать на всем протяжении периода «жизни» сайта.

Защита WordPress определяется основными десятью правилами или способами, которые делают сайт максимально безопасным с поддержанием его в рабочем состоянии в дальнейшем.

1. Выбор и использование надежного хостинга

Веб-хостинги не все хороши, как они себя рекламируют. Большое количество сайтов на WordPress взламывались из-за уязвимости хостингов.

При выборе хостинга не стоит гнаться за наиболее дешевым вариантом.

Необходимо собрать данные о выбираемом хостинге, проведя собственное расследование, чтобы убедиться, что выбранная вами хостинг-компания является серьезной организацией и имеет хорошую репутацию.

Некоторые платные хостинговые компании предоставляют бесплатный тест на определённый период, по истечении которого пользователь должен определиться, подходит ли для него выбранная хостинговая компания и имеет ли смысл оплачивать большие периоды.

За то душевное спокойствие, которое вы будете иметь, зная, что ваш сайт находится на надежном хостинге, придется доплатить несколько больше, чем на других хостингах.

Стоит уделить особое внимание на организацию сохранения бэкапов у выбираемого хостера. Существует ли она вообще и как часто делаются бэкапы файлв сайта.

2. Постоянное обновление всего, что необходимо обновлять

Необходимо регулярно заходить в админку сайта и просматривать информацию, которая поступает от создателей самого WordPress, авторов тем для вордпресс и разработчиков плагинов для данной CMS. Нежелание обновлять эти три основные составляющие сайта на вордпресс могут стать источником больших проблем с безопасностью.

Каждое обновление WordPress включает в себя новые патчи, призванные устранить реальные или потенциальные уязвимости. Если не обновлять вебсайт до последней версии WordPress, то ваш сайт рискует стать легкой мишенью для хакерских атак, поскольку многие хакеры нацелены именно на хорошо известные уязвимости старых версий WordPress. Вывод — не игнорируйте надпись «Пожалуйста, обновитесь сейчас», которая время от времени появляется в консоли вашего сайта.

То же самое касается тем и плагинов. Обновляйте их сразу же после выхода новых версий. Если вы обновляетесь во время, то вероятность того, что ваш сайт будет подвержен взлому, уменьшается в разы.

3. Усиление паролей

Статистика показывает, что примерно 8% сайтов на WordPress было взломано из-за слабых паролей.

Пароль администратора не должен выглядеть как «letmein» или «abc123», или даже как «password» (такие пароли встречаются очень часто), поэтому такие слабые пароли немедленно должны быть заменены на что-то более надежное.

Существует множество способов создать пароль, который просто запомнить, но тяжело взломать, но если вам лень этим заниматься, то можно воспользоваться каким-нибудь менеджером паролей, например удобнейшими программами LastPass и Roboform, которые запоминают пароли за вас. Если вы решили воспользоваться менеджером паролей, убедитесь в том, что к нему самому подобран надежный пароль.

Защита wordpress

4. Никогда не следует использовать имя пользователя «admin»

Часто могут проходить хакерские атаки, которые нацелены на WordPress сайты, во то время, когда вводится логин «admin» и подбирается простой пароль. При использовании таких слабых показателей сайта, ваш сайт может пасть жертвой вредоносной атаки. Рекомендуется сменить такой логин на что-нибудь другое, которое вы сможете запомнить.

5. Стоит скрыйть имя пользователя в ссылке на архив пользователя

Злоумышленник так же может получить доступ к имени пользователя, с помощью страниц архива автора вашего сайта.

По умолчанию WordPress отображает имя пользователя в URL на странице архива автора, например, если имя пользователя joebloggs, ссылка на архив автора будет выглядеть примерно так — http://yoursite.com/author/joebloggs. Поэтому, неплохо было бы скрыть имя пользователя, изменив значение в поле user_nicename в вашей базе данных.

6. Ограничение количество попыток входа

В том случае, если хакер или бот предпримет попытку грубого взлома пароля вашего сайта, то может быть полезно ограничить количество попыток входа с одного и того же IP.

Плагин Limit Login Attempts позволяет вам не только ограничивать количество попыток входа с одного IP, но и решать, как долго определенный IP будет заблокирован после слишком большого количества неудачных попыток входа. Аналогично работает и популярный плагин Login LockDown.

Защита wordpress

Конечно, принятые вами меры можно легко обойти, так как некоторые нападающие используют огромное число разных IP адресов, но все-таки лишние меры предосторожности никогда не помешают.

7. Дезактивация редактирования файлов из панели управления сайтом

В стандартной версии WordPress вы можете перейти во «Внешний вид» > «Редактор» и редактировать файлы вашей темы прямо в консоли.

Это может стать проблемой, если хакер получит доступ к вашей админ-панели, поскольку в его распоряжении окажутся все файлы темы, и он сможет испортить любой код по своему желанию.

Таким образом, убрать данный способ редактирования файлов можно, добавив следующий код в файл wp-config.php

define( ‘DISALLOW_FILE_EDIT’, true );

8. Отказ от использования бесплатных тем

Полностью можно доверять только бесплатным темам из официального хранилища WordPress или от проверенных разработчиков премиум тем, которые периодически выпускают и бесплатные тоже. От услуг множества сомнительных сетевых хранилищ, в виде, так называемых «варезных порталах» с премум темами, где вероятность получить на свой сайт любую заразу повышается в разы, следует лучше отказаться.

Это правила подкрепляется тем, что часто бесплатные темы содержат всякие гадости типа кодировки base64, которая может быть использована для встраивания в код сайта спамерских ссылок или вредоносного кода, что может стать причиной целого спектра проблем. Согласно одному уже довольно давнишнему эксперименту бесплатные темы на 8 из 10 сайтов содержат код base64.

Если вы все-таки хотите использовать бесплатные темы, то повторюсь — это должны быть шаблоны, либо предоставленные проверенными разработчиками, либо те, которые доступны в официальном хранилище тем на WordPress.org

Замечание: та же самая логика применима и к плагинам. Используйте либо плагины с WordPress.org, либо плагины, созданные хорошо зарекомендовавшими себя разработчиками.

9. Регулярные бэкапы файлов сайта и базы данных

Сложно преувеличить важность резервного копирования вашего сайта. Собственно, это единственное по настоящему эффективное средство обезопасить сайт. Это то, что многие люди постоянно откладывают на потом, пока не станет слишком поздно. Даже если вы приняли все меры по защите сайта, вы все же не можете предугадать всего, что может случиться с вашим сайтом и сделать его уязвимым для хакерской атаки.

На всякий случай, всегда нужно иметь копии всех файлов сайта в надежном месте, чтоб вы в любой момент могли восстановить ваш сайт во всем его блеске и сиянии.

В WordPress Codex подробно расписано, как бэкапить сайт, но если вам это кажется сложным, вы можете воспользоваться разнообразными плагинами резервного копирования, начиная от WordPress Backup от Dropbox, для того, чтоб те регулярно делали бэкапы в автоматическом режиме.

10. Использование специальных плагинов для безопасности

Вместе с мерами предосторожности, приведенными выше, вы так же можете использовать плагины безопасности, которых существует огромного множество, чтоб еще больше обезопасить ваш сайт и свести вероятность взлома практически к нулю.

Некоторые популярные плагины безопасности:

1. http://wordpress.org/plugins/better-wp-security/ – предлагает большой набор самых разнообразных «фишек» для безопасности сайта.

2. http://wordpress.org/plugins/bulletproof-security/ – обезопасит сайт, с помощью .htaccess.

3. http://wordpress.org/plugins/all-in-one-wp-security-and-firewall/– добавляет фаервол на ваш сайт

4. http://wordpress.org/plugins/sucuri-scanner/ – сканирует ваш сайт на наличие вредоносного программного обеспечение и всего такого.

5. http://wordpress.org/plugins/wordfence/– предлагает комплекс мер по защите сайта.

6. http://wordpress.org/plugins/websitedefender-wordpress-security/— является универсальным защитным инструментом

7. http://wordpress.org/plugins/exploit-scanner/ – ищет подозрительный код в базе данных

Так же можно порекомендовать использовать сервис Sucuri.net, если вы не уверены в собственных силах. Sucuri проводит мониторинг вашего сайта, сообщает о подозрительной активности на сайте и даже помогает очистить в сайт в случае вредоносной атаки.

На первых порах покажется все это очень сложно и муторно, но постоянно занимаясь безопасностью сайта и выполняя выше приведенные рекомендации, это войдет в привычку и вы сможете обеспечить защиту своего сайта.

Защита WordPress будет обеспечена!