Защита Вордпресс для новичков

Безопасность WordPress для не-технарей
Защита веб-сайта — одна из первых параметров на любом веб-сайте. Каждую неделю Гугл заносит в черный список около 20.000 веб-сайтов за распространение вредоносного кода и около 50.000 за фишинг.

Если вы не хотели бы, чтобы веб-сайт попал в черные списки поисковиков из-за взлома или размещения на нем вредоносного кода, посвятите некоторое время изучению безопасности веб-сайта.

Хотя сам WordPress достаточно безопасен и регулярно обновляется разработчиками, можно сделать пару параметров для усиления безопасности.

В данной статье вы узнаете основные параметра, которые помогут защитить веб-сайт от вирусов и хакеров.

В данной статье мы рассмотрим:

Основы безопасности веб-сайта

  1. Регулярно обновляйте WordPress
  2. Пароли и права посетителей
  3. Веб-хостинг

Безопасность WordPress при помощи плагинов

  1. Установите плагин бэкапа
  2. Лучший плагин безопасности
  3. Включите файрвол

Безопасность WordPress без плагинов

  1. Измените стандартное имя администратора Admin
  2. Отключите редактор файлов
  3. Проверьте права доступа к файлам и папкам
  4. Отключите исполнение PHP файлов
  5. Ограничьте число попыток авторизации на веб-сайте
  6. Измените стандартный префикс базы данных
  7. Измените страницу авторизации
  8. Отключите доступ к папкам веб-сайта
  9. Отключите XML-RPC
  10. Настройте автоматический лог аут неактивных посетителей
  11. Добавьте дополнительные вопросы на странице авторизации
  12. Очистка зараженного веб-сайта 

После взлома веб-сайта поисковики понизят его репутацию, и это уменьшит посещаемость. Хакеры могут украсть личную информацию посетителей, установить вредоносный софт или заразить пользователей веб-сайта.

Иногда хакеры требуют выкуп, чтобы вернуть доступ к веб-сайту. 

В конце 2018 года по сообщению Internet Live Stats, более 100.000 веб-сайтов взламывалось ежедневно. Около 10.000 веб-сайтов Гугл заносит в черные списки каждый день. 

Примените как можно без проблем больше рекомендаций из данной статьи для усиления защиты веб-сайта.

Регулярно обновляйте WordPress

WordPress — открытая платформа, которая поддерживается и регулярно обновляется разработчиками. Самая последняя версия WordPress самая безопасная.

Правило №1 от разработчиков всех плагинов и сервисов безопасности — регулярно обновляйте WordPress, плагины и темы.

По умолчанию WordPress автоматически устанавливает минорные обновления. Чтобы включить мажорные обновления, необходимо добавить эту опцию вручную. 

  • Ручное и автоматическое обновление WordPress

Для Вордпресса написано большое число плагинов и тем, их разработчики поддерживают софт и выпускают обновления.

Обновляйте темы и плагины. Около 30% атак на WordPress приходится на темы и плагины.

Сложные пароли и права посетителей

Самый распространенный метод взлома веб-сайтов — подбор логина и пароля. Используйте сложные пароли для веб-сайта, FTP аккаунта, базы данных, аккаунта на веб-хостинге и для е-мейла.

Генератор паролей WordPress
Используйте встроенный генератор паролей

Одна из причин, почему некоторые не хотят использовать сложные пароли, — так как их трудно запомнить. Используйте менеджер паролей в браузере или отдельный сервис, к примеру, LastPass

Если у вас на веб-сайте пару посетителей или авторов, дайте им только необходимый минимум прав. 

Веб-хостинг

Веб-хостинг играет важную роль в безопасности веб-сайта. Хороший веб-хостинг имеет в себя защиту от хакерских атак.

На виртуальном веб-хостинге веб-сайт пользуется теми же ресурсами сервера, что и соседние веб-сайты. Если у вас виртуальный веб-хостинг, спросите в техподдержке изолированы ли веб-сайты друг от друга. 

Виртуальный частный сервер обычно предоставляет лучшие условия, — выделенное число ресурсов, частый бэкап и улучшенную защиту. 

Используйте надежный веб-хостинг из Топа веб-хостингов: Hosting-ninja.ru, Hostdb.ru.

  • Обзор веб-хостинга Бегет

Это три главных правила безопасности WordPress. Если вы планируете применить ещё пару базовых правил, переходите:

  • Минимальная безопасность WordPress

Безопасность WordPress при помощи плагинов

Параметр безопасности веб-сайта может казаться трудной задачей для не-технаря. В данной части параметр безопасности WordPress при помощи плагинов, установите данные плагины и настройте их шаг за шагом.

Установите плагин бэкапа

Бэкап — одна из составляющих безопасности веб-сайта. Не существует 100% защиты от взлома, даже самую лучшую защиту можно без проблем взломать. Если однажды это случится с веб-сайтом, вы сможете восстановить веб-сайт из бэкапа.

Для Вордпресса есть много платных и бесплатных плагинов, которые вы можете без проблем использовать. Сохраняйте бэкап на компьютер, на облако или удаленный сервер, но не сохраняйте на тот же сервер, на котором находится веб-сайт. 

Настройте частоту бэкапа в зависимости от того, как часто вы обновляете веб-сайт или содержимое.

Хорошие бесплатные плагины All in One WordPress Migration(ручной бэкап), и Updraft Plus(автоматический бэкап). Платные плагины — BackWPup, VaultPress(от Automattic), и BackupBuddy.

  • Бэкап WordPress

Плагин безопасности

После плагина бэкапа установите плагин безопасности. Плагин наблюдает за веб-сайтом и записывает события в журнал событий.

Для WordPress существует большое число платных и бесплатных плагинов безопасности. Некоторые из них после установки не необходимо настраивать.

  • 8 Лучших плагинов безопасности

Sucuri Security − лучший платный плагин безопасности, в данной статье мы будем использовать бесплатную версию плагина Sucuri, которая отличается от платной тем, что в ней неактивен файрвол. 

Плагин сканирует веб-сайт на заражение, сравнивает файлы WordPress с оригинальными файлами в репозитарии, проверяет, что веб-сайт не занесен в черные списки и наблюдает за неудачными попытками доступа на веб-сайт.

Плагин устанавливается как обычно из репозитария WordPress. После установки сгенерируйте API ключ, который имеет логи событий, сравнение файлов ядра WordPress с оригинальными файлами, сообщения на е-мейл о событиях веб-сайта и иные возможности. 

Защита WordPress для новичков

1. После активации ключа переходите в Sucuri SecuritySettingsGeneral и настройте Timezone. Выберите часовой пояс.

2. Переходите в Sucuri SecuritySettingsScanner и включите сравнение файлов WordPress на веб-сайте с файлами в репозитарии WordPress:

Сравнение файлов WordPress на веб-сайте с файлами в репозитарии WordPress
Включите сравнение файлов WordPress с оригинальными файлами

3. В разделе Sucuri SecuritySettingsHardening включите все параметра, кроме первой, — эта функцию доступна в премиум подписке.

Защита WordPress для новичков
Нажмите Apply Hardening для включения параметров

Данные параметра защищают наиболее часто атакуемые места веб-сайта. Файрвол добавляет мощную защиту на DNS сервере, но это платная функцию. Подробнее в следующем разделе.

Настройте оповещения на емейл о событиях на веб-сайте в разделе Sucuri SecuritySettingsAlerts.

Кроме данных возможностей можно без проблем изменить иные, но у них хорошие параметра по умолчанию.

  • Подробное описание Sucuri Security

Включите файрвол(WAF, Web Application Firewall)

Один из простых методов защитить веб-сайт — установить файрвол, который будет блокировать вредоносный трафик до того, как он попадет на веб-сайт.

В платной версии Sucuri проводит весь трафик через ваши серверы, анализирует его и блокирует все подозрительные и вредоносные запросы.

Для ускорения загрузки веб-сайт подключается к сети CDN. В случае, если веб-сайт был взломан — бесплатное лечение и удаление из черных списков поисковиков и сервисов.

Это хорошее предложение, так как лечение веб-сайта может следует дорого. Стоимость часа работы специалиста может доходить до 250$, в то время как 1 год лицензии Sucuri следует 199$.

Безопасность WordPress без плагинов

Чтобы применить данные правила, добавьте программный код в файлы .htaccess, wp-config.php и functions.php.

Измените стандартное имя посетителя Admin

При установке WordPress администратору по умолчанию дается имя Admin.

Имя посетителя это половина данных для входа на веб-сайт, так что лучше настроить имя посетителя на что-нибудь уникальное. Это усложнит задачу хакерам по подбору логина и пароля. 

После установки WordPress настроить имя администратора в профиле посетителя нельзя, но есть три метода это сделать без редактирования профиля:

  1. Создать нового администратора и удалить старого
  2. Настроить имя администратора при помощи плагина
  3. Настроить имя администратора в базе данных

Как это сделать читайте в статье:

  • Как настроить имя посетителя

Отключите редактор файлов

В Вордпрессе есть встроенный редактор файлов, который может изменять файлы плагинов и тем в админке WordPress. Если хакер попадет в админку, он сможет делать все, что захочет с файлами веб-сайта. Если вы не пользуетесь данным редактором, то его лучше отключить.

Чтобы отключить редактор файлов в админке, добавьте этот программный код в wp-config.php:

То же самое можно сделать одним кликом в Sucuri Security в разделе Hardening.

Проверьте права доступа к файлам и папкам

Права доступа определяют какие посетители имеют доступ к файлам и папкам веб-сайта. Максимальные разрешения для файлов должны быть 644, для папок 755.

Добавьте этот код в wp-config.php, он установит стандартные права для всех файлов и папок:

Некоторым важным файлам и папкам можно дать ещё меньше прав доступа.

  • Права доступа к файлам и папкам

Отключите исполнение PHP файлов в некоторых папках

Ещё один метод усилить безопасность — отключить исполнение PHP файлов в тех папках, где это не необходимо, например /wp-content/uploads/ и /wp-includes/.

Создайте пустой текстовый файл и вставьте в него этот код:

Сохраните файл как .htaccess и поместите его в папку /wp-content/uploads/ и /wp-includes/ через FTP.

То же самое можно без проблем сделать в Sucuri Security Settings — Hardening.

Ограничьте число попыток авторизации на веб-сайте

По умолчанию WordPress разрешает посетителям делать столько попыток авторизации, сколько они хотят. Хакеры пользуются данным и перебирают самые распространенные логины и пароли. Это называется брут-форс атака, или атака грубой силой, или атака способом перебора паролей. 

Ограничьте число неудачных попыток авторизации, которое может сделать посетитель. Это можно сделать при помощи плагина Limit Login Attempts, Login LockDown, Limit Login Attempts Reloaded .

После 4 неудачных попыток входа IP пользователя попадает в бан на 23 минуты. После 4 раз бана IP блокируется на 24 часа.

Плагин ограничения попыток авторизации на веб-сайте
Limit Login Attempts Reloaded . Интерфейс и параметра у всех плагинов аналогичные

Измените префикс базы данных

По умолчанию WordPress использует префикс wp_ для всех таблиц базы данных. Если база данных использует стандартный префикс, хакерам легче его угадать и приобрести некоторый контроль над веб-сайтом.

Префикс базы данных лучше настроить. Это можно сделать при помощи плагинов или вручную.

  • Как настроить префикс базы данных

Измените страницу авторизации

По умолчанию страница авторизации находится по адресу wp-login.php . Хакботы приходят на эту страницу и пытаются подобрать логин и пароль.

Вы можете без труда перенести страницу авторизации на новый адрес. Это уменьшит число таких атак и снизит нагрузку на сервер.

Перенесите страницу авторизации на новый адрес. К примеру, /auth или /login.html .

  • 2 Метода настроить адрес страницы авторизации без плагина
  • 5 Плагинов для изменения страницы авторизации

Отключите доступ к папкам веб-сайта

Хакеры используют доступ к папкам веб-сайта для того чтобы выяснить, есть ли на веб-сайте файлы с известными уязвимостями, описание которых находится в открытом доступе. Если они найдут такие файлы, они могут попасть на веб-сайт.

Кроме этого, просмотр файлов и папок используется для копирования файлов, для выяснения структуры веб-сайта и другой информации. Доступ к папкам лучше отключить.

Зайдите на веб-сайт через FTP или через Менеджер файлов на веб-хостинге и найдите файл .htaccess в корневой папке веб-сайта. Файл может быть скрытым, так что включите в параметрах вывод скрытых файлов.

FileZilla - Показывать скрытые файлы
Показывать скрытые файлы в Filezilla

Добавьте этот код в самом низу .htaccess :

Сохраните файл, загрузите обратно на веб-сайт.

Отключите XML-RPC

XML-RPC стал включен по умолчанию в версии 3.5 для соединения WordPress с веб и мобильными приложениями. Этот шлюз используется для подключения к веб-сайту мобильного приложения, используется для трекбеков и пингбеков и для плагина Jetpack.

К файлу xmlrpc.php приходят боты и пробуют подобрать логин и пароль. Они используют возможность system.multicall, чтобы попробовать пару тысяч паролей в нескольких десятках запросов.

Данные запросы нагружают сервер.

Если вы не используете XML-RPC, его лучше отключить. Существует 3 метода отключить XML-RPC в WordPress. Лучше всего его отключить в файле .htaccess , так как это наименее ресурсозатратный метод.

  • Как правильно отключить XML-RPC

Настройте автоматический логаут неактивных посетителей

Залогиненные посетители могут отойти от компьютера и оставить аккаунт открытым, это может создать угрозу безопасности. Хакер может перехватить сессию, сменить пароли и редактировать аккаунт.

Так что многие банки и финансовые организации автоматически отключают неактивных посетителей. Вы можете без проблем изменить такую же возможность на веб-сайте. 

Установите плагин Inactive Logout . Параметра плагина находятся в ПараметраInactive Logout

Лог-аут неактивных посетителей
Мощный плагин со всеми нужными параметрами

Настройте время, после которого неактивный посетитель будет разлогинен и настройте сообщение, которое показывается пользователю. Можно легко изменить только предупреждающее сообщение без лог-аута. Если вы планируете сделать различные параметра для различных ролей, переходите на вкладку Advanced Management

Добавьте дополнительные вопросы на странице авторизации

Добавьте дополнительные вопросы на странице авторизации для увеличения безопасности. Установите плагин WP Security Questions .

Плагин WP Security Questions

Вы можете без проблем использовать стандартные вопросы, или добавить ваши собственные вопросы. Можно добавить вопросы на странице Регистрации, Входа и Восстановления пароля.

Очистка зараженного веб-сайта

Согласно исследованию Virusdie, «72% людей, впервые столкнувшихся с проблемами инфицирования стараются разобраться в вопросе самостоятельно и надеются на удачу». 

«Около 98% покупателей сервисов безопасности обращаются к профессиональной помощи только когда они столкнулись с проблемой. 85% из них хотят приобрести помощь один раз и не желают снижать риск возможных проблем в будущем. <…> Люди не хотят тратить время на развитие в области безопасности, но и не хотят нанимать экспертов, так как это дорого.»

Очистка зараженного веб-сайта может быть долгой и сложной, лучше заранее принять меры предосторожности.

Если вы сделали данные параметра и планируете узнать, что ещё можно легко сделать, читайте

  • Безопасность WordPress. Подробное описание
  • Как изменить мощную защиту веб-сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Если вы думаете, что веб-сайт могли взломать, читайте Как проверить безопасность WordPress веб-сайта.

Если веб-сайт взломали, переходите в Чек-лист: что делать, если веб-сайт взломали. 

Читайте также :

  1. Минимальная безопасность WordPress
  2. Основные параметра безопасности WordPress
  3. Вход в админку WordPress

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *