Главная » Безопасность » Как обеспечить безопасность сайта на WordPress

Как обеспечить безопасность сайта на WordPress

вордпресс безопасность сайтаПри создании интернет ресурса самой важной темой является его безопасность.

Данная статья посвящена основам безопасности при использовании движка WordPress.

Мы попробуем разобраться с наиболее частыми причинами и способами его взлома, а также рассмотрим способы защиты сайта от злоумышленников.

Причины взлома

Использование слабого пароля – одна из главных и частых причин взлома не только сайта, но и аккаунтов, профилей и т.п. Речь идет о простых паролях типа: «qwerty» или «123456».

Если вы решили, например, сменить пароль в WordPress, то индикатор надежности вам поможет подобрать подходящий пароль.

как защитить сайт паролем

На что обратить внимание при выборе пароля:

  • Не рекомендуется использовать словарные слова.
  • Не рекомендуется дважды применять один и тот же пароль.
  • Рекомендуется использовать буквы, как верхнего, так и нижнего регистра.
  • Использование букв и цифр сделает пароль более надежным.
  • При добавлении различных символов в разы повысит надежность пароля.

Важно также отнестись очень серьезно к привилегиям пользователей сайта. Если необходимо добавить пользователя, который будет на сайте размещать новые статьи, то не стоит давать ему права администратора или редактора.

В некоторых случаях может быть полезно создать для себя дополнительный аккаунт редактора. В таком случае, если злоумышленник проникнет в ваш аккаунт, он может удалить весь контент сайта, но не сможет вносить изменения в код темы, менять настройки сайта, удалять или устанавливать плагины.

Немаловажную роль играет и логин пользователя. Чтобы злоумышленнику было сложнее его подобрать, логин «administrator» или «admin» лучше заменить на какой-нибудь другой.

Брутфорс пароля

Брутфорс (bruteforce) пароля представляет собой полный перебор различных комбинаций.

Независимо от того, слабый или надежный пароль, подобрать его можно всегда. Это всего лишь дело времени.

перебор пароля защита от взлома

Понятно, что чем он будет сложнее, тем больше времени займет процесс взлома. Поэтому – одна из мер защиты – периодическая смена пароля.

Как защитить админ панель от злоумышленников

Самыми распространенными методами защиты сайта от взлома можно назвать следующие действия:

  • С помощью блокировки директории wp-admin по IP адресу.
  • Установка плагина, ограничивающего количество введения неверных попыток входа (Limit Login Attempts).
  • Введение капчи для входа в админ-панель блога.
  • Применение дополнительного фактора аутентификации при помощи мобильного приложения – с плагином Google Authenticator.

Уязвимости сайта на Вордпресс

Плагины

На данный момент директория WordPress.org насчитывает более двадцати тысяч различных плагинов, среди которых немало уязвимых, способных обеспечить злоумышленникам полный доступ к веб ресурсу. Невозможно знать заранее какой из плагинов безопасен, а проверить его на уязвимость – не всегда быстрый процесс.

Если разработчик популярного плагина – достаточно известная личность, то и сомнений в наличии уязвимости, как правило, меньше, чем в новом плагине от неизвестного разработчика.

Выбирая плагин, следует обращать внимание на количество скачиваний, как часто происходит его обновление, почитать отзывы на форуме поддержки. Следует также поинтересоваться наличием других плагинов этого же автора.

При наличии сомнений относительно данного плагина, лучше поискать его аналог.

Темы

Перед публикацией на WordPress.org все темы проходят проверку, и поэтому вероятность появления там уязвимой темы сводится к минимуму.

Поэтому скачивать тему рекомендуется только с официальных сайтов.

Зачем обновлять тему и плагины

При обнаружении уязвимости в плагине или теме, разработчики стараются быстрее ее исправить. Продолжать работать со старыми версиями не безопасно.

Обновление лучше всего делать сразу же, как только вышла новая версия.

Обновление устаревшей версии WordPress

Уязвимости могут быть и в самом движке, поэтому небезопасно работать с устаревшей версией.

Обновлять Вордпресс необходимо точно так же, как темы и плагины, в день выхода обновления, а если речь идет о «техническом релизе», то тем более.

что делать, если сайт взломали

Может ли хостинг защитить сайт от взлома

Роль хостинг-провайдера в защите ресурса играет огромную роль. Ведь существуют такие компоненты, над которыми мы не можем осуществлять контроль.

Например, если используется устаревшая версия PHP или модуль Apache. Такая ситуация наиболее часто характерна для дешевых хостинг-провайдеров. Не забывайте, что надежный хостинг не может быть дешевым.

Действия при взломе сайта

Если выяснилось, что сайт взломали, главное чего не надо делать – это паниковать.

Злоумышленники нередко оставляют следы взлома в виде измененного кода в движке, посторонних плагинов и др.

Как устранить

  • Поменять абсолютно все пароли доступа, в том числе и к базе данных.
  • Скачать с официального сайта самую актуальную версию WordPressи переустановить движок.
  • Поменять в файле wp-config.php все секретные ключи.
  • Экспортировать старую БД и тщательно почистить.
  • Заменить все пароли для пользователей в экспорте и импортировать содержимое во вновь установленный движок.
  • Проверить директорию загрузок на наличие лишних файлов, после чего импортировать директорию.
  • Проверить тщательно каждый плагин.
  • Из директории WordPress.org установить свежие версии необходимых плагинов.
  • Внимательно проверить тему, после чего установить ее самую актуальную версию.

Средства, которые можно использовать при поиске и устранении признаков взлома ресурса:

  • Инструменты Google Webmaster Tools
  • Плагин Exploit Scanner

После того, как работоспособность сайта будет восстановлена, необходимо выяснить, как злоумышленнику удалось пробраться на сайт. В этом может помочь надежный хостинг-провайдер, если предоставит вам журнал доступа.

Дополнительные способы защиты сайта

  • Не стоит забывать о создании резервных копий не только файлов, но и базы данных.
  • Включить, по возможности, для админ-панели, по возможности, SSL/HTTPS.
  • Для работы с хостингом, вместо FTP клиента, использовать защищенные SSH или SFTP.
  • Удалять не используемые плагины и темы.
  • Использование для БД префикса, отличного от стандартного.
  • Установить запрет через wp-config.php на редактирование файлов.
  • Установить запрет в директории wp-content на исполнение .php файлов.

Комментарий о “Как обеспечить безопасность сайта на WordPress

  1. О защите сайта я как то не задумывалась, хотя не раз слышала о взломах, пока не коснулась эта проблема меня. Началось с того, что не было доступа в админ панель сайта, выдавала ошибку 503. Обратившись за помощью в свой хостинг, на что мне ответили — необходимо следить за логами обращений и предотвращать нежелательные запросы, то есть поставить защиту от злоумышленников в качестве соответствующего плагина. Плагин отличный не раз оповещал меня о попытках авторизации. Главное во время побеспокоится и защите сайта и оградить себя от лишних проблем.

Добавить комментарий

Ваш e-mail не будет опубликован.

*

Заполняя форму для комментария вы соглашаетесь с Политикой конфиденциальности