Вступление
Когда я начинал работать в качестве администратора своего сайта мой сайт взламывали четыре раза за полгода. Это была большая проблема, однако время научила меня «дуть на воду». В этой статье я расскажу, что значит безопасность WordPress и отдам полный чек-лист безопасности WP в 32 пункта.
Когда появляются проблемы безопасности WordPress
Начиная работать с CMS WordPress сильно увлекаешься внешним видом сайта и его функциональными возможностями (плагинами). Безопасность WordPress отходит на второй план, а проще говоря о ней вовсе не думаешь.
Взлом сайта кажется нереальным, а термины SQL-инъекция, межсайтовый скриптинг, повышение привилегий и критические уязвимости безопасности остаются словами в технических новостях.
Однако однажды, твоя безалаберность ставит тебя в очень неудобную позу. О первом взломе мне сообщил мой хостинг провайдер, прислав письмо, что на сайте «критическая уязвимость». Предупреждение было жестким и пришлось быстро решать проблему.
Довольно быстро по FTP я нашел порядка 20-30 чужих файлов внедренных в каталог рабочего шаблона и ядра. Удалив их я снял проблему безопасности.
Гораздо хуже был второй взлом. О нем я узнал из кабинета Яндекс. Вебмастер. Здесь «чужих» файлов уже не было. Вредоносный код был внедрен в код сайта. На этот раз у меня была «чистая» резервная копия и я откатил сайт к ней, тем самым удалил вредоносный код.
После первого, а тем более второго взлома понимаешь, что безопасность WordPress не маркетинговый ход и ей нужно уделять внимание, лучше от установки сайта.
Безопасность WordPress является фундаментальной задачей администратора и каждый сайт WordPress должен быть защищен от взлома и потери данных.
Полный чек-лист безопасность WordPress сайта
Для начала давайте попробуем понять логику и рассуждения, связанные с взломом сайта. Иначе ответим на вопросы: Почему хакер заинтересовался моим сайтом? Это всего лишь сайт, который посещают несколько сотен человек. Что они собираются получить от взлома?
Ответом на этот вопрос может послужить мой третий взлом. Мне навесили на сайт рекламу и список ссылок на странные «говно сайты». Это было довольно примитивное перенаправление трафика, но существует много других гораздо хитрых причин, по которым хакер «положил глаз» на ваш «маленький» сайт.
Чаще всего причиной взлома будет заработок с помощью мошеннических средств. Как правило, после взлома сайта он становится посредником в распространении вредоносного программного обеспечения. В большинстве случаев владелец и администратор сайта может этого не замечать.
Взломанный сайт могут использовать как спам-прокси для рассылки спама.
Сайт который взломан и поврежден теряет свои позиции и на долго «впадают в немилость» у поисковых систем.
Взломанные сайты обычно перегружают сервер хостинга, что приводит к закрытию сайта и потере бизнеса. Затраты на восстановление взломанного сайта могут варьироваться от очень небольшого (если у вас есть резервное копирование на сайте) до полной переделки, если ваши данные будут удалены/потеряны без каких-либо шансов на восстановление.
Как Хакер находит ваш сайт?
Вам может показаться, что из миллионов доступных в Интернете сайтов вероятность обнаружения хакером именно вашего сайта крайне низкая. В конце концов, ваш сайт — это всего лишь капля в океане других сайтов. Ты страшно ошибаешься.
Хакеры не выполняют эту работу вручную. Они используют автоматические боты (программы), единственной целью которых является поиск уязвимых сайтов.
Эти программы или сценарии обычно запускаются на облачных серверах, где их можно настроить и уничтожить, не оставив практически следов. В сценариях используются средства сканирования сотен и даже тысяч сайтов в час.
Как только сайт найден, он исследуется на тысячи известных уязвимостей. Если ваш сайт WordPress не был полностью защищен, вероятность того, что сайт не будет взломан минимальна.
При этом уязвимости постоянно обнаруживаются на WordPress и его плагинах. Вот почему защита WordPress имеет решающее значение для здоровья вашего сайта.
Безопасность WordPress: максимальное руководство
Учитывая всё перечисленное выше администратору сайта WordPress необходимо вооружиться полным кейсом безопасности. Вот список всех мероприятий, которые вы должны делать, чтобы защитить свои сайты WordPress.
Чек лист разделен на две части: первая часть включает в себя меры, общего характера, например, наличие сильных паролей. Вторая часть посвящена расширенным мерам безопасности WordPress для «параноиков». Они могут показаться лишними, но только не во время массированных атак на сайт.
Общая безопасность WordPress, чтобы защитить свой сайт WordPress
1: ВСЕГДА держите версию WordPress в актуальном состоянии;
2: Не меняйте WordPress Core (ядро системы – все основные файлы, которые необходимы сайту WordPress для работы);
3: Убедитесь, что все ваши плагины обновлены;
4: Удалите любые неактивные или неиспользуемые плагины;
5: Убедитесь, что все установленные темы обновлены;
6: Устанавливайте темы, плагины и скрипты ТОЛЬКО с официальных (проверенных) источников;
7: Выбирайте безопасный хостинг для сайта с функционалом защиты и SSL;
8: Используйте последнюю версию PHP;
9: Измените имя администратора с коробочного имени «admin»;
10: Всегда используйте сложные пароли (система генерирует сложные пароли на этапе установки);
11: Не используйте простых паролей. После сброса пароля поменяйте простой пароль на сложный;
12: Не просите систему выслать ваш пароль по email;
13: Обновляйте свой сайт из консоли (автоматически с официального сайта). Если обновляете вручную, то только из официальных источников;
14: Используйте на своем компьютере антивирус;
15: Контролируйте сайт через Google Search Console и кабинет Яндекс.Вебмастер;
16: УСТАНОВИТЕ надежный плагин безопасности (Wordfence Security, iThemes Security, All In One WP Security & Firewall, Defender Security);
17: Всегда имейте под рукой свежую резервную копию сайта: это базовое правило безопасности. Вы можете ничего не делать из перечисленного, но иметь ежедневную резервную копию вы обязаны.
Дополнительная безопасность WordPress от уязвимости
Это несколько более сложные советы про безопасность WordPress. Для их реализации вам обычно нужно знать, как установить плагин, настроить несколько файлов и быть готовым к откату до резервной копии.
Некоторые советы затрагивают ядро системы и взаимодействие системы с хостингом, поэтому имейте полную резервную копию перед внедрением этих советом.
18: Ограничьте попытки входа в систему: это можно сделать отдельным плагином или настройками общего плагина безопасности;
19: Включите двухфакторную аутентификацию;
20: Убедитесь, что права CHMOD на файлы правильные (не выше 744);
21: Измените коробочный префикс (wp-) таблиц базы данных;
22: Убедитесь, что вы установили (поменяли) секретные ключи аутентификации WordPress (они в файле wp-config);
23: Отключите выполнение PHP: это можно сделать через файл .htaccess с запретным кодом. Файл размещают в каталогах /wp-includes/ и /wp-content/uploads/;
24 : Разделите большую базу данных WordPress (совсем необязательно, даже для оптимизации);
25: Ограничьте права пользователей до подписчика. Если есть авторы, то сделайте так, чтобы автор мог редактировать только свои собственные сообщения: используйте для этого скрипт или плагин, например, PublishPress Capabilities;
26: Отключите редактирование файлов: добавьте специальный код в файл functions.php;
27: Защитите свой файл конфигурации wp-config.php: генерируйте секретные ключи, можете переместить файл на один уровень вверх (система это допускает, но хостинг может запрещать) и запретите его редактирование в файле .htaccess;
28: Отключите XML-RPC, если вы его не используете в файле .htaccess;
29: Отключите отчеты об ошибках PHP: внутри файла wp-config.php есть нужная строка;
30: Установите брандмауэр (firewall): для этих целей есть специальный плагин или настройте общий плагин безопасности;
31: Используйте сетевой брандмауэр доставки контента на вашем хостинге;
32: Организуйте мониторинг безопасности WordPress с ведением журнала безопасности.
Примечание: Дополнительные меры безопасности по пунктам сложны в реализации. Однако все эти меры есть в функционале перечисленных выше плагинов безопасности. Вам нужно просто установить плагин и правильно его настроить. Возможно пообщаться с вашим хостингом.
Заключение
Поверьте моему нескромному опыту ― безопасность WordPress не блажь и паранойя, она гораздо важнее, чем внешний вид сайта, написание статей и их публикация. Если оставите сайт незащищенным, то потеряете его уже сегодня.
©wpkupi.ru
