Защита сайта на WordPress. 9 первых шагов после установки

04.09.2013 | Автор Алексей

Массовое увлечение сайтостроением в наше время и рост количества сайтов используемых в качестве домашних веб-страниц, привели к резкому увеличению случаев взлома. Согласно статистике количество взломанных интернет-ресурсов в прошлом году превысило 1.5 млн.

В наш век информационных технологий, никто не застрахован от потери и это значит, прямо сейчас стоит позаботиться о защите своего сайта.

Сегодня существует десятки способов взлома и хищения информации. Начиная от массовой Brute-Force атаки с использованием большого количества IP адресов и заканчивая все возможными программами: троянами, keylogger-ами и прочим.

Несмотря на все это WordPress не так беззащитен, как может показаться.
Эта CMS считается самой популярной и ей уже отдали предпочтение более 75 млн. человек. Один этот факт говорит о том, что она неплохо защищена сама по себе. В общем-то, так оно и есть на самом деле, единственным слабым звеном во всей цепочке, часто оказывается сам пользователь.

Из-за неосведомленности владельца сайта мошенники легко получают к нему доступ: простые пароли, почтовые ящики, непроверенные плагины и шаблоны, права доступа к файлам и другие ошибки оставляют лазейки мошенникам.

Предприняв несколько шагов, можно значительно повысить защиту сайта на WordPress. Конечно, полностью обезопасить не получится, но серьезно осложнить жизнь мошенникам нужно.

  1. Пароли длиной более 20 знаков
  2. Файлы .htaccess и wp-config.php
  3. Доступ к папкам на блоге
  4. Защищенное соединение по FTP
  5. Имя администратора
  6. Файлы readme.html и license.txt
  7. Почтовые ящики
  8. Плагины
  9. Обновления

 

1. Пароли длиной более 20 знаков

Возможно покажется банальным, но это первый и самый действенный совет. Я предпочитаю генерировать пароли в удобной программе KeePass.

Без сомнения, любая уважающая себя компания хорошо осведомлена в вопросах безопасности, а значит может позаботиться о защите своих серверов лучше, чем любой пользователь о сайте. Но как говорится, безопасность лишней не бывает.

На вход в личный кабинет, а также к админ панели WordPress ставим сложные пароли.

А теперь, самое важное – записываем их в блокнот! Чтобы потом не мучить техподдержку хостинга уже надоевшими ей вопросами :-D

2. Файлы .htaccess и wp-config.php

.htaccess — файл конфигурации сервера. Он определяет права доступа к файлам, а также устанавливает большое количество разрешений для работы сервера.

wp-config.php — по сути это ключ к базе данных сайта. В нем хранятся имена, явки, пароли доступа к базе MySQL. Защита этого файла — главная задача.

Следующий код закроет доступ к этим файлам. Добавляем строки в самый конец .htaccess.

<files ~ "^.*\.([Hh][Tt])">
order allow,deny
deny from all
satisfy all
</files>
 
<files wp-config.php>
order allow,deny
deny from all
</files>

3. Доступ к папкам на сайте

Если набрать адрес «http://ваш_сайт/wp-content/» или любой другой папки, то браузер может отобразить ее содержимое. Незачем разгуливать по нашим папкам. Запретим их просмотр в .htaccess:

Options All –Indexes

Знак «-» перед параметром Indexes, запрещает просмотр содержимого директорий.

4. Защищенное соединение по FTP

Обычный FTP протокол передает данные в открытом виде. Когда вы подключаетесь к серверу, логин и пароль, по сути, становятся видимы всему интернету. С помощью различных программ анализа трафика или иначе снифферов, можно легко включиться в соединению двух компьютеров и прослушивать связь.

Всегда используйте безопасные протоколы для обмена важной информацией.

Если со стороны сервера поддерживается защищенный режим (SSH, SSL…) включаем его. Соответствующая опция должна быть в личном кабинете на хостинге.

Для работы желательно применять проверенные временем программы FileZilla, WinSCP. В настройках, которых также следует включить использование защищенного протокола.

В менеджере Filezilla это делается в два клика: выбираем в главном меню  Файл —> Менеджер сайтов

filezilla

Указываем параметры:

Протокол -SFTP — SSH File Transfer Protocol
Тип входа -нормальный
Пользователь -логин
Пароль -пароль к личному кабинету на хостинге.

 

Теперь займемся самим WordPress.

5. Смените имя администратора “admin“

При атаке на сайт в качестве логина часто используются слова “admin”, ”moderator”, ”user” или распространенные имена. Поэтому, будет надежнее, после установки WordPress сменить имя администратора.
Делается это следующим образом:

-добавьте еще одного пользователя с правами администратора.
-завершите сеанс работы WordPress.
-залогинтесь под новым ником.
-попробуйте поработать на блоге от имени нового администратора, например, добавить статью или плагин. Если все работает нормально, то удалите старую учетную запись “admin“.

6. Файлы readme.html и license.txt

Обязательно удаляем из корневой папки сайта файлы readme.html и license.txt. Фактически они не нужны, но помимо прочего из них можно узнать информацию о версии WordPress.

7. Почтовые ящики

Указываем разные почтовые ящики на хостинге и на сайте. Выудить имя почтового ящика из WordPress проще простого, достаточно подписаться на комментарии к статье или обновления блога. Взломав его, естественно можно легко подтвердить смену пароля.

Для хостинга лучше завести отдельный, нигде не «засвеченный» ящик.

8. Установить плагины

Я не любитель нагружать систему всевозможными плагинами, но этими двумя, пожалуй, не стоит пренебрегать.

Limit Login Attempts – этот плагин ограничивает количество попыток авторизироваться.
После N попыток доступ к админ панели будет заблокирован на указанный интервал времени. Можно настроить отправку уведомлений на почту, а также сохранять данные – IP адрес, географическое местоположение вредоносного компьютера.
WordPress Database Backup – не совсем для защиты, но тоже в тему. Создает архивную копию базы данных. Можно настроить автоматическую архивацию и отправку базы на e-mail.
Например, мне база исправно приходит на почту раз в неделю.

9. Обновления

В консоли WordPress есть виджет в котором публикуется информация о новых версиях, как движка, так и установленных плагинов. Будет хорошей привычкой периодически его просматривать.

И самый главный совет!

Мне иногда вспоминается одна забавная фраза.

Человек — это такое существо, у которого если нет проблем, то он их себе создает :-D

Так как придется работать со святая святых сайта — настройками, и тем более если вы первый раз сталкиваетесь со всем описанным выше, то советую сначала проделать все шаги на тестовом сайте.

Создайте такой либо на хостинге либо на локальном компьютере с помощью программы Denwer. Сегодня многие хостинги предоставляет бесплатный период тестирования своего сервиса до 15-30 дней.

Вот, пожалуй и весь список основных хаков, советов и плагинов, которые актуальны сегодня для усиления безопасности сайта на WordPress.

 

4 комментариев к “Защита сайта на WordPress. 9 первых шагов после установки”

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>