CMS WordPress на сегодняшний день является лидером в списке движков для создания и работы блога, и такая популярность стала причиной волны атак злоумышленников на ресурсы, работающие на этой платформе.
Поэтому владельцам сайтов и блогов на WordPress необходимо уделять достаточно внимания вопросам безопасности, чтобы предотвратить всевозможные попытки несанкционированного проникновения на ресурс, которые, как правило, заканчиваются плачевно.
Давайте рассмотрим несколько вопросов, соблюдая которые вы сможете значительно улучшить защиту своего блога.
Дополнительная защита для вашего Логина
Когда вы авторизуетесь, входя на свой сайт под административной учетной записью, данные, вводимые вами (логин и пароль) передаются на сервер в незашифрованном виде. Этим могут воспользоваться злоумышленники и перехватить ваши данные авторизации, используя специальные хакерские программы отслеживания и захвата данных, передаваемых по сетевому интерфейсу.
Чтобы этого не случилось, следует установить wp-плагин:
Chap Secure Login, разработанный специально для защиты процесса авторизации на сайте путем шифрования пароля. Для этого применяется протокол CHAP, подразумевающий взаимную аунтификацию, кодируя при этом данные вашего аккаунта. Логин, используемый вами для входа в систему, ни в коем случае не должен совпадать с вашим именем, которое вы указываете при публикации статей.
Подбирайте надежный пароль
Даже в том случае, если вы используете рекомендуемый в предыдущем пункте плагин для шифровки учетных данных, всегда используйте комбинацию цифр, букв разных регистров, спецсимволы для создания пароля на доступ к вашей учетной записи. Это значительно усилит степень надежности защиты вашего ресурса. Хоть данная рекомендация и банальна, но она упомянута здесь по той причине, что многие ей, все таки, зачастую пренебрегают. И делают это по нескольким причинам, из-за лени или неопытности, но после того как столкнутся с проблемами, связанными с надежностью пароля, отношение к этому вопросу кардинально меняется.
Удалите учетную запись «admin»
Всем известно, а хакерам и подавно, что по умолчанию во многих системах и устройствах используется учетная запись с логином «admin», платформа WordPress не является исключением.
Помимо замены логина на новый, что очевидно, необходимо избавиться от встроенной в систему учетной записи «admin». Для этого наделите ваше новое пользовательское имя административными правами, выйдете и зайдите в систему под новым логином.
Теперь снова войдите в панель управления и, установив флажок напротив учетной записи «admin», удалите ее. При этом будет запрошено подтверждение ваших намерений. В появившемся окне вы увидите надпись «Приписать все сообщения и ссылки к:», справа от которой из выпадающего списка доступных в системе учетных записей нужно выбрать вашу, вновь созданную с админ правами.
Только после этой процедуры вы будете получать все сообщения на свой аккаунт. Если на вашей платформе предусмотрено несколько пользователей, то обязательно ограничьте их права до требуемого уровня путем настройки привилегий пользователей.
Следите за последними обновлениями
Разработчики системы управления контентом WordPress постоянно выпускают обновления для своего продукта. Большинство таких обновлений связано с улучшением безопасности системы.
Поэтому регулярно обновляйте вашу платформу до последней версии. Кроме того следите за наличием обновлений для плагинов, которые вы используете в рамках вашего сайта.
Скройте версию вашей WordPress платформы
Для того, чтобы создать как можно больше препятствий на пути у злоумышленника, пытающегося взломать ваш ресурс, нужно использовать все возможные способы защиты. Информация о используемой версии WordPress, попав в руки хакера может лишь навредить вам. Для ее удаления необходимо через админ панель системы зайти в редактор и в заголовке страницы (header.php) текущей темы найти строку кода:
<meta name="generator" content="WordPress 4.9.17"/>
Но ее может и не быть.
Которая, как можно догадаться, содержит информацию о версии WordPress. Ее, то и нужно удалить. Для этого в файл function.php вашего WordPress добавьте следующую строку:
remove_action(‘wp_head’, ‘wp_generator’);
Именно она позволит убрать meta name generator в WordPress, а затем нажать кнопку обновления системы.
Регулярно проводите резервное копирование базы данных
Резервная копия базы данных вашего сайта, в случае его отключения по каким либо причинам, в том числе и аварийным сбоям, позволит вам сделать его откат к последнему рабочему состоянию. Лучшим решением будет, если вы воспользуетесь услугами хостинг провайдера, который без вашего участия периодически производит резервное копирование данных вашего сайта.
Но это не всегда так, и в противном случае вам придется воспользоваться соответствующими wp-плагинами (BackUpWordPress или WordPress Database Backup), которые будут отправлять копии базы данных на указанный вами адрес электронной почты. Эти модули создают резервную копию всякий раз, когда в базу данных вносятся изменения.
Защитите все важные папки
На вашем блоге, в корневом каталоге, где установлены все компоненты WordPress, находятся важнейшие папки, которым необходимо уделить особое внимание: wp-admin и wp-content. Они содержат важнейшую информацию о вашем сайте и с их помощью можно получить полный контроль над ресурсом, поэтому они должны быть надежно защищены.
На настоящий момент имеется несколько эффективных плагинов, способных выполнять функции защиты – AskApache Password Protect, BulletProof Security и др. К тому же, вы можете выполнить более гибкую настройку безопасности своего сайта с помощью создания одного или нескольких файлов с расширением .htaccess (файл настройки доступа сервера Apache).
Регулярно проверяйте безопасность системы
Для того, чтобы определить слабые места в безопасности вашей системы, необходимо периодически выполнять проверки при помощи плагина Wp-security-scan. Именно он путем тщательного анализа может обнаружить все прорехи в безопасности сайта и поможет принять соответствующие меры.
Во избежание конфликтных ситуаций и замедления работы ресурса, после устранения проблем, связанных с безопасностью, данный плагин можно деактивировать (отключить) до следующей проверки.
Предотвращайте попытки взломов сайта
Когда хакеры всерьез возьмутся за взлом вашего ресурса, то в ход пойдут любые методы, в том числе и грубые, которые проявляются как многократно повторяющиеся попытки входа на сайт с административными правами.
Для своевременного обнаружения таких ситуаций предназначен wp-плагин Login lockdown, который регистрирует все попытки взлома, сохраняя IP адрес, используемый злоумышленником.
После определенного числа попыток входа, возможность доступа с этого IP будет заблокирована. Пороговое значение количества неудачных входов, а также время блокировки можно менять в настройках плагина.
Запретите индексацию административного раздела
Имейте в виду, что проиндексированные файлы значительно облегчают несанкционированный доступ к ним. Поэтому индексации поисковых систем должны подвергаться только документы, содержащие контент для пользователей, но ни в коем случае не документы, находящиеся в административных каталогах.
Для запрещения индексации необходимых компонентов сайта, нужно создать текстовый файл с именем robots.txt, в котором прописать инструкции запрета индексации нужных ресурсов сайта. Сам файл должен находиться в корневом каталоге сайта. Приведем пример фрагмента файла robots.txt:
#
User-agent: *
Disallow: /wp-login.php
Disallow: /wp-register.php
Disallow: /wp-admin
Disallow: /wp-includes
…
Список файлов и папок можно продолжить. В результате чего, установив директивы, запрещающие индексацию жизненно важных документов вашего сайта поисковыми роботами, вы существенно повысите уровень безопасности сайта в целом.
Резюме
Хотя последнее время в сети появляется все больше публикаций на тему безопасности веб-ресурсов, большинство владельцев сайтов на WordPress, и не только, просто пренебрегают этими предостережениями. Зачастую это связанно с недостаточным уровнем технических знаний или с полной уверенностью в том, что мой ресурс не будет атакован.
Но зачем рисковать своим проектом, в который заложены немалые усилия, потрачена масса времени и средств. Не лучше ли выделить некоторое время на проведение всех описанных выше мер безопасности в рамках вашего ресурса, что позволит избежать проблем в будущем.
С уважением Автор.
Вячеслав, здесь перечислены основные приемы защиты. И пренебрегать, конечно, ими не стоит. Я думаю этого достаточно для начинающего блоггера, со временем можно сделать защиту и еще надежней, приемов еще много. Но это мне кажется уже к специалистам..
Защите блога можно посвящать много статей, в которых описывать правильные способы начиная от копирования контента и заканчивая установкой SSL соединения.
Но вот проблема действительно в том, что почти никто не использует ни один из вышеперечисленных методов для содержания своего блога в безопасности.
Зато потом может быть уже слишком поздно.
Статья заставила задуматься о некоторых способах защиты блога.
Даже подумал. что стоит их потом описать.
Спасибо, за пост — навел на размышления *THUMBS UP*