Защита сайта на WordPress от взлома

WordPress – это одна из самых популярных CMS (система управления контентом). Именно благодаря своей простоте и удобности в использовании (как бесплатное ПО) данная CMS привлекает к себе внимание как обычных пользователей, так и злоумышленников.

Для обеспечения безопасности вашего сайта необходимо провести базовые настройки по защите и использовать возможности самой CMS.

Для начала – несколько советов по установке данной CMS:

1. Используйте логин, отличный от стандартного “admin”. При установке CMS вы имеете возможность указать, какое словосочетание использовать в качестве логина.

2. Используйте надежный пароль. Не используйте в нем имена, название вашей компании или сайта, а также словарные слова – только буквы или только цифры. Избегайте коротких паролей. Рекомендуем использовать генераторы паролей и регулярно проводить обновление пароля для доступа к административной части сайта.

3. При установке измените префикс таблиц базы данных. Можно придумать уникальное словосочетание из 2 или 3 символов, которые будут отличаться от стандартного префикса “wp_”

4. Удалите файлы формата .txt и .html, если в данных файлах есть информация об установленной CMS, или переместите эти файлы из корневой директории сайта в директорию пользователя, чтобы они не были доступны в сети.

В большинстве случаев взлом сайта происходит двумя способами:

– Brute-force (последовательный перебор символов в логине и пароле за огромное количество попыток);

– через уязвимости в CMS | плагинах | темах.

Если использовать логин, отличный от стандартного “admin”, и уникальный пароль, который будет ещё и регулярно меняться – это уже неплохая защита от Brute-force.

Дополнительно можно использовать файл .htaccess, в котором есть возможность настроить ограничение доступа к административной панели сайта по IP. Чаще всего такой дополнительный метод защиты используют те пользователи, у которых есть выделенный статический IP-адрес, предоставленный интернет-провайдером, и на сервере есть предустановленные Apache или Litespeed, или же связка Apache + Nginx (на всех тарифных планах в ветке Linux-хостинга используются представленные веб-сервера).

В файле .htaccess корневой директории сайта добавьте следующее:

# Block access to wp-admin.

<Files wp-login.php>

Require ip x.x.x.x 

</Files>

x.x.x.x – ваш IP-адрес (узнать свой IP-адрес вы можете на сайте 2ip.ua).

Также, дополнительно, можно прибегнуть к установке специализированных плагинов для контроля количества попыток входа в административную панель вашего сайта или настройке двухфакторной авторизации.

Популярные плагины для контроля количества входов:

– Limit Login Attempts 

– Lockdown WP Admin 

Один из самых популярных плагинов для настройки двухфакторной авторизации является плагин “Google Authenticator” .

С уязвимостями в CMS, плагинах или темах ситуация несколько сложнее. К сожалению, на текущий момент не существует единой системы, которая обеспечивала бы стопроцентную гарантию, что сайт не будет взломан. Существуют только алгоритмы действий, следуя которым можно снизить риск того, что сайт будет взломан.

1. Регулярно обновляйте версию CMS. Важно понимать, что в каждой версии CMS регулярно обнаруживаются уязвимости. Разработчики, выпуская новую версию CMS, стараются максимально быстро исключать найденные уязвимости. Обновление — прежде всего вопрос безопасности сайта.

2. Регулярно обновляйте плагины. В данном случае, помимо новых возможностей плагина, в связи с новой версией, также проводятся работы по устранению возможных уязвимостей. Это же правило касается и темы, которая используется на сайте.

3. Не стоит доверять непроверенным ресурсам. В файлах установленного плагина или темы может находиться вирус или, что чаще всего встречается, эмулятор FTP в php-файле. Это даст полный доступ к структуре вашего сайта. Скачивайте плагины и темы только с официальных ресурсов. Официальный сайт CMS – https://wordpress.org/

4. Рекомендуем регулярно проводить сканирование сайта на наличие вредоносного ПО. Это даст понимание того, есть ли уязвимости на сайте. Эта информация также важна, поскольку вредоносное ПО в виде файлов может находиться в структуре сайта длительный период, но не проявиться.

С вопросом сканирования сайта вам может помочь наша техническая поддержка.

Также время от времени необходимо проводить сканирование и локального ПК, на котором вы работаете с сайтом. Не исключено, что уязвимость, через которую можно будет получить данные доступа к сайту, размещается на локальном ПК.

5. Создавайте резервные копии сайта в виде архивов на разных этапах разработки или наполнения сайта. В случае необходимости будет возможность развернуть сайт из резервной копии. 

6. Используйте на сайте протокол https://. Для его использования на сайте должен быть установлен SSL-сертификат. Данный протокол работает по принципу защитного канала передачи данных. Он не сможет защитить сайт от прямого взлома, но сможет защитить передаваемые данные в сети.

7. Удаляйте все плагины и темы, которые не используются на сайте. Если тема или плагин не используются, их очень редко обновляют. При отключении плагина или темы файлы с сервера не удаляются, вследствие чего есть возможность получить доступ к уже найденным ранее уязвимостям.

8. Используйте плагины, которые могут повысить безопасность вашего сайта. На текущий момент есть большое количество плагинов, которые разработаны с данной целью. Перечень данных плагинов и их описание можете найти здесь – wordpress.org/plugins/tags/security

Плагины, которые нам встречались чаще всего:

– Wordfence Security;

– iThemes Security .

Позаботьтесь о защите содержимого ваших сайтов вместе с Hostpro.

Источник

Просмотров:

Добавить комментарий

Adblock
detector