При создании интернет ресурса самой важной темой является его безопасность.

В статье разберем, как защитить свой сайт от взлома и обеспечить его безопасность при использовании движка WordPress. А также рассмотрим способы, как обеспечить безопасность веб ресурса от злоумышленников.

Когда могут взломать

Использование слабого пароля – одна из главных и частых причин взлома не только сайта, но и аккаунтов, профилей и т.п. Речь идет о простых паролях типа: «qwerty» или «123456».

Если вы решили, например, сменить пароль в WordPress, то индикатор надежности вам поможет подобрать подходящий.

На что обратить внимание при выборе пароля:

1. Не рекомендуется использовать словарные слова.
2. Нежелательно дважды применять один и тот же пароль.
3. Рекомендуется использовать буквы, как верхнего, так и нижнего регистра.
4. Использование букв и цифр сделает пароль более надежным.
5. При добавлении различных символов в разы повысит его надежность.

Важно также отнестись очень серьезно к привилегиям пользователей сайта. Если необходимо добавить пользователя, который будет на сайте размещать новые статьи, то не стоит давать ему права администратора или редактора.

В некоторых случаях может быть полезно создать для себя дополнительный аккаунт редактора. В таком случае, если злоумышленник проникнет в ваш аккаунт, он может удалить весь контент сайта, но не сможет вносить изменения в код темы, менять настройки сайта, удалять или устанавливать плагины.

Немаловажную роль играет и логин пользователя. Чтобы злоумышленнику было сложнее его подобрать, логин «administrator» или «admin» лучше заменить на какой-нибудь другой.

Брутфорс пароля

Брутфорс (bruteforce) пароля представляет собой полный перебор различных комбинаций.

Независимо от того, слабый или надежный пароль, подобрать его можно всегда. Это всего лишь дело времени.

Понятно, что чем он будет сложнее, тем больше времени займет процесс взлома. Поэтому – одна из мер защиты – периодическая смена пароля.

Как защитить админ панель от злоумышленников

Самыми распространенными методами защиты сайта от взлома можно назвать следующие действия:

1. С помощью блокировки директории wp-admin по IP адресу.
2. Установка плагина, ограничивающего количество введения неверных попыток входа (Limit Login Attempts).
3. Введение капчи для входа в админ-панель блога.
4. Применение дополнительного фактора аутентификации при помощи мобильного приложения – с плагином Google Authenticator.

Уязвимости сайта на Вордпресс

Плагины

На данный момент директория WordPress.org насчитывает более двадцати тысяч различных плагинов, среди которых немало уязвимых, способных обеспечить злоумышленникам полный доступ к веб ресурсу. Невозможно знать заранее какой из плагинов безопасен, а проверить его на уязвимость – не всегда быстрый процесс.

Если разработчик популярного плагина – достаточно известная личность, то и сомнений в наличии уязвимости, как правило, меньше, чем в новом от неизвестного разработчика.

Выбирая плагин, следует обращать внимание на количество скачиваний, как часто происходит его обновление, почитать отзывы на форуме поддержки. Следует также поинтересоваться наличием других плагинов этого же автора.

При наличии сомнений относительно данного плагина, лучше поискать его аналог.

Темы

Перед публикацией на WordPress.org все темы проходят проверку, и поэтому вероятность появления там уязвимостей сводится к минимуму. Поэтому скачивать тему рекомендуется только с официальных сайтов.

Зачем обновлять тему и плагины

При обнаружении уязвимости, разработчики стараются быстрее ее исправить. Продолжать работать со старыми версиями не безопасно.

Обновление лучше всего делать сразу же, как только вышла новая версия.

Обновление устаревшей версии WordPress

Уязвимости могут быть и в самом движке, поэтому небезопасно работать с устаревшей версией. Обновлять Вордпресс необходимо точно так же, как темы и плагины, в день выхода обновления, а если речь идет о «техническом релизе», то тем более.

Может ли хостинг защитить

Роль хостинг-провайдера в защите ресурса играет огромную роль. Ведь существуют такие компоненты, над которыми мы не можем осуществлять контроль.

Например, если используется устаревшая версия PHP или модуль Apache. Такая ситуация наиболее часто характерна для дешевых хостинг-провайдеров. Не забывайте, что надежный хостинг не может быть дешевым.

Действия при взломе

Если выяснилось, что сайт взломали, главное чего не надо делать – это паниковать. Злоумышленники нередко оставляют следы взлома в виде измененного кода в движке, посторонних плагинов и др.

Как устранить

1. Поменять абсолютно все пароли доступа, в том числе и к базе данных.
2. Скачать с официального сайта самую актуальную версию WordPressи переустановить движок.
3. Поменять в файле wp-config.php все секретные ключи.
4. Экспортировать старую БД и тщательно почистить.
5. Заменить все пароли для пользователей в экспорте и импортировать содержимое во вновь установленный движок.
6. Проверить директорию загрузок на наличие лишних файлов, после чего импортировать директорию.
7. Проверить тщательно каждый плагин.
8. Из директории WordPress.org установить свежие версии необходимых плагинов.
9. Внимательно проверить тему, после чего установить ее самую актуальную версию.

Средства, которые можно использовать при поиске и устранении признаков взлома ресурса:

1. Инструменты Google Webmaster Tools
2. Плагин Exploit Scanner

После того, как работоспособность сайта будет восстановлена, необходимо выяснить, как злоумышленнику удалось пробраться на сайт. В этом может помочь надежный хостинг-провайдер, если предоставит вам журнал доступа.

Дополнительные способы защиты сайта

1. Не стоит забывать о создании резервных копий не только файлов, но и базы данных.
2. Включить, по возможности, для админ-панели, по возможности, SSL/HTTPS.
3. Для работы с хостингом, вместо FTP клиента, использовать защищенные SSH или SFTP.
4. Удалять не используемые плагины и темы.
5. Использование для БД префикса, отличного от стандартного.
6. Установить запрет через wp-config.php на редактирование файлов.
7. Установить запрет в директории wp-content на исполнение .php файлов.