Защита сайта WordPress

Защита сайта WordPress
Защита сайта WordPress

Одновременно с увеличением популярности проекта, начались проблемы с безопасностью WordPress. Постоянные DDoS-атаки, брутфорст, взломы паролей к админ-панели. Хотя, специалисты постоянно совершенствуют ядро, решить проблему на 100% не получается.

Профилактика защиты WordPress

Размещение сайта на надежном хостинге.

Самое популярное решение для размещения сайта на WordPress — shared-хостинг. Основное преимущество — цена. Минусы — ограниченные возможности и оверселлинг. Если Вы продвинутый пользователь, то Ваш выбор — VDS/VPS. У Вас полная свобода действий, Вы получаете в своё распоряжение полноценную панель администрирования сервером. Если плохо разбираетесь в тонкостях администрирования, то лучше остановить выбор на shared-хостинге. В случае с VPS, взлом будет осуществляться через сервер компании. Несмотря на недостатки, здесь есть и ряд преимуществ. Продавец виртуального сервера гарантирует защиту от DDoS-атак, и просто от недоброжелателей. Если что-то нужно взломать, это всё равно сделают.

Скачиваем дистрибутив с официального сайта WordPress.

У WordPress изначально открытый исходный код, любой желающий может его отредактировать и сделать правки. Готовые сборки WordPress содержат скрытые ссылки. И это в лучшем случае, если Вам повезет. При худшем сценарии, Вы запустите на свой хостинг бесчисленные вирусы и бекдоры.
Скачивайте последнюю версию WordPress и плагины с официального сайта разработчика — ru.wordpress.org. Плагины скачиваем непосредственно через панель администратора сайта или по ссылке — ru.wordpress.org/plugins/.

Своевременно обновляйте WordPress и установленные плагины

Ядро и плагины обновляют не для добавления функций. Даже новые версии шаблонов включают в себя правки от взлома. Не рекомендуется применять на сайте бета-версии расширений. Они предлагаются исключительно в ознакомительных целях. Для автоматизации процесса обновлений внесите изменения в файл wp-config.php.

Удаляем ненужные плагины WordPress

Как Вы догадались, причиной взлома сайта может быть и не только само ядро. Многочисленные предустановленные расширения вносят свою лепту. Суть даже не в том, защита была преодолена через плагин или новый шаблон. Просто, чем больше плагинов и шаблонов установлена, тем выше вероятность взлома сайта. Удаляйте из админ-панели неиспользуемые шаблоны и расширения.

Проверяем наличие дыр в установленных плагинах WordPress

На официальном сайте WordPress выложено большое количество разнообразных плагинов. Некоторые из них повторяют функционал друг друга. Как правило, мы выбираем те расширения, которые отвечают нашим потребностям. Если функции плагинов совпадают, то лучше обратить внимание на уровень безопасности.

Предлагаю для проверки плагинов на безопасность воспользоваться скриптом Exploit Scanner. Программа выводит отчет о том, какие фрагменты кода могут представлять опасность.

Численность ложных срабатываний настолько высока, что требуются навыки.

Если Вы хотите что-то попроще, то выбираем Plugin Security Scanner. Он прекрасно проверяет информацию о плагинах. Весь процесс полностью автоматизирован.

В получившемся результате мы будем наблюдать название уязвимости и активную ссылку на описание. Это отличный выбор для «чайника». Однако, база данных у плагина не самая свежая!

Указываем грамотно права на папки/файлы WordPress

Для выставления правильных прав используйте инструкцию WordPress. Главные правила сводятся к тому, что права должны быть выставлены следующим образом:

— папки все с правами 755;
— файлы с правами 644;
— файл wp-config.php является исключением из всего списка (находится в корне каталога). В нем содержится очень важная информация и ключи доступа к БД. Выставляем права 400.

Следим за своевременностью бекапов WordPress

Несмотря на то, что современные хостинги предоставляют возможность резервного копирования. Для сохранения важных данных и бекапов используем сразу несколько дополнительных мест:

— съемный жесткий диск/флеш-накопитель;
— сервер хостера;
— облачное хранилище данных/собственный компьютер.

Для автоматизации процесса воспользуйтесь специальным плагином.

Следим за информацией Яндекс.Метрики

Если Вы SEO-специалист, то этот инструмент Вам однозначно знаком. В свою очередь, многие забывают про вкладку уведомления. Активируйте опцию для противостояния хакерским атакам.  Заходим в «Настройки».

Настройки Яндекс Метрика
Настройки Яндекс Метрика

Прописываем номер телефона и адрес электронной почты. Вас будут уведомлять о проблемах с работой сайта. Скорей всего, это будут взломы или DDoS-атаки.

Избавляемся от комментариев в коде WordPress

Многие модули и ядро сайта содержат комментарии разработчиков. Они служат отличной подсказкой для злоумышленников. Мы не будем удалять каждый комментарий по отдельности. Если нам нужно удалить комментарии, используем следующий код в functions.php:


function callback($buffer) {

$buffer = preg_replace(‘//’, », $buffer);
return $buffer;
}
function buffer_start() {
ob_start(«callback»);
}
function buffer_end() {
ob_end_flush();
}
add_action(‘get_header’, ‘buffer_start’);
add_action(‘wp_footer’, ‘buffer_end’);

 

Защита сайта на WordPress

Защищаем базу данных MySQL WordPress

Для желающих справиться с атаками через MySQL, используется свой собственный префикс в таблицах WordPress. Нужно заменить стандартный wp_ на выдуманный. Лучше применить случайную последовательность букв и цифр. Подробнее читайте защита база данных WordPress.

SQL инъекция WordPress и MySQL

SQL-индъекция — один из самых простых способов проникновения на сайт через специальные SQL-запросы. Если используется этот метод взлома, то хакер получает полный доступ к сайту. Читайте подробнее SQL инъекция WordPress и MySQL.

Защита WordPress от ботов

Обычно спам-боты разрабатываются под конкретную CMS. Действуют они через страницу регистрации пользователя /wp-login.php. Занимаются поиском информации о полях ввода. Боты не работают с графическими файлами, что бесспорно огромный плюс.

Мы не собираемся описывать работу с каптчей и плагинами, читайте подробнее защита от ботов WordPress.

Защита WordPress от брутфорса

В число примитивных методов взлома входит brute force. Если переводить дословно, то получится «грубая сила». Через специальные программы подбирается пароль и логин администратора. Читайте защита WordPress от брутфорса.

Защищенное соединение SSL на WordPress

Технология использует шифрование. Обмен данными происходит между сервером и браузером. При перехвате информации, она представляет из себя бессмысленную «кашу». Для работы с SSL требуется наличие сертификата. Читайте подробнее в нашей статье про защищенное соединение SSL.

Защита WordPress .htaccess

htaccess — специальный файл, расположившийся в корневом каталоге. Ограничивает доступ к сайту и файлам через HTTP/HTTPS. Можно добавить защиту WordPress .htaccess. Если внести изменения, злоумышленник не попадает в панель администратора.

Защита от копирования WordPress

Копированию подвергается весь контент сайта. Читайте защита от копирования WordPress.

На 100% обезопасить сайт невозможно.  Используйте специальное сочетание клавиш для копирования фрагмента кода. Защитить сайт можно различными способами, включая установку специальных плагинов.

Защита от спама WordPress

По своей сути, WordPress — это блоговая платформа. Пользователи публикую много комментариев. Как правило, защиты и ограничений — нет. Писать на сайтах разрешается всем группам пользователей. Если спамеру нужен сайт, то WordPress лучшее место. Спам-защита имеет приоритетное значение. Теме защиты wordpress от спама отводится отдельная статья.

Защита от DDoS-атак WordPress

Если Вам нужно защититься от DDoS, Вы обращаетесь к специалистам в данной области. WordPress защита от DDoS может осуществляться самостоятельно.

Защита от вирусов WordPress

Защита от вирусов WordPress имеет не меньшее значение, чем хакерская атака. Решается проблема защиты с помощью специальных расширений и плагинов.