Содержание
- 1 Плагины для защиты сайта на WordPress
- 2 Плагины для бэкапов сайта на WordPress
- 3 Не используйте в качестве имени пользователя Помните об этом. Возможно, это самый первый из основных шагов для обеспечения безопасности WordPress, который могут предпринять пользователи платформы. Сделать его несложно, инсталлятор позволяет легко соблюсти такое правило. Сегодня большинство атак нацелены на wp-admin / wp-login доступ с использованием подбора комбинации имени пользователя и пароля, известном как атака методом «грубой силы». Здравый смысл подсказывает — если вы удалите имя , то удалите и возможность прямой атаки. Да, остается вероятность того, что хакер угадает новое имя пользователя, перебирая идентификаторы и имена пользователя. Но безопасность – это не устранение риска, а его снижение. Удаление принятых по умолчанию имен пользователя или поможет защититься от обычных автоматических атак методом подбора. Как минимум, вы усложните хакеру жизнь при подборе произвольного имени пользователя. Чтобы не было путаницы, уточним: речь идет исключительно об использовании слов и в качестве имени пользователя, а не о правах администратора. Создайте новое имя пользователя в меню «Пользователь —> Новый пользователь» и назначьте ему права администратора. После этого удалите пользователя . Не переживайте о сохранности публикаций или страниц, которые были созданы под его именем. WordPress любезно поинтересуется у вас: «Что вы хотите сделать с контентом, принадлежащим этому пользователю?», а затем предложит на выбор удалить весь контент или привязать его к новому пользователю (например, созданному вместо ).
- 4 Создайте отдельный аккаунт с правами редактора
- 5 Не используйте простые пароли
- 6 Добавьте двухфакторную аутентификацию
- 7 Скройте файлы wp-config.php и .htaccess
- 8 Используйте для аутентификации ключи безопасности WordPress
- 9 Отключите редактирование файлов
- 10 Ограничьте число попыток авторизации
- 11 Выборочное использование интерфейса XML-RPC
- 12 Хостинг и безопасность WordPress
- 13 Не забывайте о хостинг-аккаунте
- 14 Будьте в курсе последних обновлений
- 15 Как выбрать правильный плагин для wordpress
- 16 Заключение
- 16.1 1. Переименуйте папку wordpress.
- 16.2 2. Усовершенствуйте файл wp-config.php
- 16.3 3. Переместите файл wp-config.php
- 16.4 4. Защитите файл wp-config.php
- 16.5 5. Удалите учетную запись администратора.
- 16.6 6. Выберите сильный пароль.
- 16.7 7. Защитите папку «wp-admin».
- 16.8 8. Запретите отображение ошибок на странице авторизации.
- 16.9 9. Ограничьте количество неудачных попыток авторизации.
- 16.10 10. Поддерживайте актуальные версии.
В статье:
Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.
WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.
Статистика заражений за 2017 год
Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.
Плагины для защиты сайта на WordPress
All In One WP Security & Firewall
Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.
Что делает плагин:
- добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
- блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
- дает просматривать активности учетных записей пользователей;
- делает резервные копии базы данных автоматически;
- создает резервные копии исходных файлов .htaccess и wp-config.php;
- обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
- генерирует сложные пароли;
- отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
- закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
- устанавливает межсетевые экраны для защиты от вредоносных скриптов.
Подробнее о функциях безопасности на странице плагина.
Панель управления плагином
Понятно о настройке плагина:
All In One WP Security & Firewall переведен на русский язык, установка бесплатна.
BulletProof Security
Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.
Что делает плагин:
- защищает файлы wp-config.php, php.ini и php5.ini через файл .htaccess;
- включает режим технических работ;
- проверяет права на редактирование папок и файлов в админке;
- не пропускает спам с помощью функции JTC-Lite;
- создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
- ведет журналы ошибок и журнал безопасности.
Подробнее о функциях безопасности на странице плагина.
Сканер вредоносного кода
Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.
Wordfence Security
Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.
Что делает плагин:
- сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
- выполняет функции антивируса, проверяет сайт на уязвимости;
- проверяет сообщения и комментарии на подозрительный контент и ссылки.
В бесплатной версии доступны и другие функции.
Премиум версия дает чуть больше:
- проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
- включает двухфакторную идентификацию для входа;
- составляет черный список и блокирует все запросы от IP из базы.
Подробнее о функциях безопасности на странице плагина.
Сканер безопасности
Не переведен на русский, базовую версию можно скачать бесплатно.
Disable XML-RPC Pingback
Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.
Что делает плагин:
- Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
- удаляет X-Pingback из HTTP-заголовков.
Установка плагина
Плагин на английском языке, установка бесплатна.
iThemes Security
Старое название – Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.
Что делает плагин:
- включает двухфакторную авторизацию при входе в администраторскую панель;
- сканирует код сайта и сигнализирует, если находит подозрительные изменения;
- мониторит сайт на автоматизированные атаки и блокирует их;
- генерирует сложные пароли;
- отслеживает активность аккаунтов пользователей;
- включает Google reCAPTCHA при входе на сайт;
- дает возможность создавать временные доступы в админке;
- ограничивает редактирование файлов в админке.
Подробнее о функциях безопасности на странице плагина.
Настройки плагина
Переведен на русский язык и доступен бесплатно.
Sucuri Security
Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.
Что делает плагин:
- проверяет код сайта на подозрительные изменения и присылает уведомления;
- сканирует вредоносные программы и запрещает доступ;
- создает черный список IP и запрещает им взаимодействие с сайтом;
- фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
- автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.
В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.
Сообщения о подозрительных активностях
Плагин не переведен на русский язык, доступен для бесплатного скачивания.
Keyy Two Factor Authentication
Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.
Что делает плагин:
- защищает сайт от взломов;
- хранит защищенный пароль на устройстве, его не нужно вводить при входе;
- позволяет ходить в админку по отпечатку пальца;
- администраторам нескольких сайтов дает переключаться между панелями в один клик.
Пример работы
Плагин не переведен, доступен бесплатно.
WWPass Two-Factor Authentication
Плагин для защиты от проникновения злоумышленников в панель администратора.
Что делает плагин:
- добавляет QR-код для сканирования при попытке войти в админку;
- дает доступ к бесплатному использованию менеджера паролей PassHub.
Пример работы плагина
Доступно бесплатное скачивание версии на английском.
Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.
Плагины для бэкапов сайта на WordPress
BackWPup – WordPress Backup Plugin
Плагин для создания резервных копий и восстановления прежних версий сайта.
Что делает плагин:
- делает бэкапы полного сайта с контентом;
- экспортирует XML WordPress;
- собирает установленные плагины в файл;
- проверяет и восстанавливает базы данных;
- отсылает копии на внешние облачные хранилища, email или передает по FTP.
Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.
Управление архивами резервных копий
Доступен бесплатно, есть платная PRO-версия, не переведен на русский.
UpdraftPlus WordPress Backup Plugin
Что делает плагин:
- копирует и восстанавливает данные в один клик;
- делает автоматические резервные копии по расписанию;
- проверяет и восстанавливает базы данных;
- отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.
Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.
Настройка хранения резервных копий
Не переведен на русский, доступен бесплатно.
VaultPress
Еще один плагин для резервного копирования и надежного хранения копий.
Что делает плагин:
- ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
- восстанавливает сайт из копии по клику;
- защищает сайт от атак и вредоносного ПО.
Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.
Рабочая панель
Плагин не переведен на русский язык, доступен для установки бесплатно.
Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.
Автор: Эдуард Бунаков · Опубликовано 29 марта 2018 · Обновлено 5 июля 2019
Вопросы безопасности WordPress всегда давали богатую пищу для размышлений. Хотя большая часть последних обновлений этой CMS была связана с безопасностью, есть много способов усилить защиту, которые доступны даже не самым технически продвинутым пользователям, даже без плагинов.
Вот несколько предложений, как повысить информационную безопасность для сайта на WordPress.
Разработчики платформы предлагают собственный список мер по обеспечению защиты сайтов на WordPress, с которым рекомендуем обязательно ознакомиться. Конечно, некоторые из этих рекомендаций будут повторяться ниже, но лишние практические советы и инструкции не помешают, когда речь идет о безопасности данных.
На всякий случай сделайте резервную копию сайта до того, как испытывать на практике эти советы.
Не используйте в качестве имени пользователя
Помните об этом. Возможно, это самый первый из основных шагов для обеспечения безопасности WordPress, который могут предпринять пользователи платформы. Сделать его несложно, инсталлятор позволяет легко соблюсти такое правило.
Сегодня большинство атак нацелены на wp-admin / wp-login доступ с использованием подбора комбинации имени пользователя и пароля, известном как атака методом «грубой силы». Здравый смысл подсказывает — если вы удалите имя , то удалите и возможность прямой атаки.
Да, остается вероятность того, что хакер угадает новое имя пользователя, перебирая идентификаторы и имена пользователя. Но безопасность – это не устранение риска, а его снижение. Удаление принятых по умолчанию имен пользователя или поможет защититься от обычных автоматических атак методом подбора.
Как минимум, вы усложните хакеру жизнь при подборе произвольного имени пользователя. Чтобы не было путаницы, уточним: речь идет исключительно об использовании слов и в качестве имени пользователя, а не о правах администратора.
Создайте новое имя пользователя в меню «Пользователь —> Новый пользователь» и назначьте ему права администратора. После этого удалите пользователя . Не переживайте о сохранности публикаций или страниц, которые были созданы под его именем.
WordPress любезно поинтересуется у вас: «Что вы хотите сделать с контентом, принадлежащим этому пользователю?», а затем предложит на выбор удалить весь контент или привязать его к новому пользователю (например, созданному вместо ).
Создайте отдельный аккаунт с правами редактора
Когда вы пишете или редактируете сообщения в блоге, «имя автора» показывается в нижнем левом углу браузера, если навести курсор на имя автора в публикации. Если ваше имя автора совпадает с именем администратора, вы сделали за хакеров половину работы по успешному взлому своего сайта.
Исправить ситуацию просто: создайте нового пользователя, у которого есть только права редактора, и авторизуйтесь под этим именем, когда собираетесь что-то публиковать или редактировать в блоге. Это имя будет отображаться во всех ваших публикациях; а хакеры потратят кучу времени, пытаясь взломать ваш блог под именем пользователя с якобы правами администратора, которое на самом деле позволяет лишь писать и редактировать сообщения.
Кроме того, специальные плагины безопасности для WordPress ограничивают попытки зайти на сайт под конкретным логином и сообщают о попытках несанкционированного проникновения на заданную электронную почту. Так вы узнаете, предпринимались ли попытки взлома с использованием настоящего логина администратора, и сможете уделить внимание безопасности сайта на вордпресс до того, как злоумышленники подберут пароль.
Не используйте простые пароли
Запомните простое слово СУД – Сложный, Уникальный, Длинный. Здесь вступают в игру инструменты вроде 1Password или LastPass, которые генерируют пароли установленной вами длины. В зависимости от того, какой уровень защиты вы хотите получить, выбирается длина пароля в знаках (обычно хватит 20 знаков) и включаются такие редко используемые символы, как # или *.
«123456» — это не пароль. «qwerty» равносильно тому, что вы напишете на банковской карте её пин-код. Даже «starwars» вошел в список 25 самых распространенных паролей 2015 года. Помните, вы не настолько уникальны, как думаете.
Добавьте двухфакторную аутентификацию
Даже если вы не используете имя пользователя admin и установили сильный, произвольно сгенерированный пароль, атаки методом «грубой силы» остаются проблемой. Для снижения риска такого проникновения методы вроде двухфакторной аутентификации являются ключевыми.
Да, двухфакторная аутентификация доставляет много хлопот. Но теперь это ваш Форт-Нокс. Суть ее для защиты сайта на WordPress заключается, как ясно из названия, в двух формах авторизации. Сегодня это стандарт, повышающий безопасность ваших точек доступа. Вы уже используете двухфакторную авторизацию для Gmail и Paypal (по крайней мере, должны это делать). Так почему бы не добавить в список WordPress?
Для реализации инструмента есть специальный плагин Google Authenticator. Альтернативный вариант с несколько другим подходом и тем же результатом — Rublon Plugin.
Используйте принцип минимальных привилегий
Команда WordPress.org составила отличную статью в кодексе WordPress, регулирующую Роли и Права пользователей. Обязательно ознакомьтесь с этим документом, который непосредственно касается данного шага.
Принцип минимальных привилегий очень простой – давайте доступ только:
— тем, кому он нужен;
— тогда, когда он нужен;
— на тот период времени, который нужен.
Если кому-то нужны права администратора, чтобы изменить конфигурацию, предоставьте их, но закройте доступ сразу же после выполнения задачи.
Хорошая новость – эти действия не займут у вас много времени.
Вопреки широко распространенному мнению, не каждый пользователь, получающий доступ к вашему сайту на WordPress, должен получать права администратора. Давайте людям права доступа, достаточные для выполнения их задач, и вы намного снизите угрозу безопасности своего wordpress-сайта.
Для настройки подобного рода безопасности wordpress есть плагин: Google Authenticator . Альтернативой, которая использует несколько иной подход для этой же цели, является плагин Rublon.
Скройте файлы wp-config.php и .htaccess
Это относительно просто сделать, но ошибки при выполнении процедуры могут превратить ваш сайт в недоступный. Создайте резервную копию, и только после этого приступайте к изменениям.
Перейдите в меню «Инструменты => Редактор файлов» для редактирования файла .htaccess. Для повышения уровня безопасности и защиты файла wp-cnofig.php вам нужно добавить такой код в файл .htaccess:
Вы сможете внести эти изменения самостоятельно, здесь нет ничего сложного.
Используйте для аутентификации ключи безопасности WordPress
Ключи аутентификации и salt-ключи работают в связке друг с другом, чтобы защитить ваши cookies-файлы и пароли во время передачи данных между браузером и веб-сервером. Эти ключи аутентификации построены на наборе случайных переменных. Они повышают защиту (шифрование) информации в файлах cookies.
Чтобы изменить их в файле wp-config.php, просто получите новый набор ключей здесь — https://api.wordpress.org/secret-key/1.1/salt/ — и добавьте в файл. При обновлении указанной страницы ключи изменяются, так что каждый раз вы будете получать новый набор.
Отключите редактирование файлов
Самым простым способом изменить ваши файлы является доступ к пункту меню WordPress «Оформление => Редактор». Чтобы повысить уровень защиты, вам нужно отключить возможность редактирования файлов через консоль. Откройте файл wp-config.php и добавьте строчку
У вас останется возможность вносить изменения в шаблоны через FTP-доступ, но теперь никто не сможет изменять их с помощью инструментов в консоли WordPress.
Ограничьте число попыток авторизации
Целью атак методом подбора ключей является форма для авторизации на сайте. Плагин All in One WP Security & Firewall позволяет изменить путь по умолчанию (/wp-admin/) к этой форме ввода. Помимо этого, с помощью специальных плагинов вы можете ограничить число попыток ввода с конкретного IP-адреса.
Выборочное использование интерфейса XML-RPC
XML-RPC – это прикладной программный интерфейс (API), который используется повсеместно. К нему обращается огромное число плагинов и тем, поэтому менее подготовленным технически пользователям нужно особенно осторожно экспериментировать с этим инструментом.
Несмотря на практичность шага, отключение XML-RPC может обойтись дорого. Вот почему не рекомендуется отключать его полностью, но внимательнее следить за тем, какие программы и как пытаются получить доступ к этому интерфейсу. Существует множество плагинов, которые помогают осуществлять выборочную реализацию и отключение XML-RPC.
Хостинг и безопасность WordPress
Владельцы сайтов часто жалуются, что их хостинговые компании не помогают защитить ресурс от взлома или вообще ничего не понимают в обеспечении безопасности сайтов на платформе WordPress.
Хостинговые компании просто видят ваш сайт иначе. Нет однозначных правил по выбору хостинга для wordpress, но он действительно важен, когда речь идет о мерах по улучшению защиты от несанкционированного доступа.
Буквально каждая статья о выборе хостинга начинается со слов о том, что дешевый не значит лучший. Самые дешевые тарифные планы не помогут вам уберечься от атаки хакеров. Такие пакеты включают минимальную защиту ресурса, например, предустановленный брандмауэр веб-сайта.
Виртуальный хостинг подразумевает, что сервер, на котором расположен ваш ресурс, является домом и для других сайтов. У них могут быть собственные проблемы безопасности, которые затрагивают и безопасность вашего сайта.
При этом безопасность WordPress, наверно, одно из главных преимуществ, которые предлагают хостинговые компании в специализированных WordPress-тарифах.
Обычно сюда входит резервное копирование, резервный брандмауэр, проверка файлов на наличие вредоносного ПО, защита от DDoS-атак и автоматическое обновление WordPress. Причем все это предлагается, как правило, за вполне приемлемую стоимость.
Не забывайте о хостинг-аккаунте
Одна из самых больших проблем хостингов связана с конфигурацией аккаунта для владельца сайтов. Пользователь может инсталлировать и конфигурировать столько сайтов, сколько захочет, что способствует появлению в системной среде «бесплатной столовой» для вредоносного ПО.
Проблема актуальна, потому что во многих случаях веб-ресурс может быть взломан методом, известным как межсайтовое заражение, когда вектором атаки является соседний сайт. Злоумышленник преодолевает защиту севера, а затем начинает проникать на соседствующие сайты, расположенные на этом сервере.
Лучший способ защиты от этого вида взлома — создание двух аккаунтов. Один из них вы используете как рабочую среду и размещаете на нем только активные сайты, а второй – как промежуточный, на котором вы храните все остальное.
Будьте в курсе последних обновлений
О том, что нужно поддерживать актуальность, легко говорить. Но для владельцев сайтов это означает ежедневный кропотливый труд. Наши сайты – сложные создания. В каждый момент времени на них происходят десятки событий, поэтому иногда внести мгновенные изменения бывает трудно.
Недавние исследования показал, что 56% установленных систем WordPress используют устаревшие версии платформы.
Обновления должны касаться не только ядра платформы. В упомянутом исследовании говорится также, что большое число хакерских атак использует устаревшие, уязвимые версии плагинов.
Как выбирать безопасные плагины и темы для WordPress
Большинство пользователей предпочитают беспорядочную установку плагинов и тем на своих сайтах. Это глупо, если только вы не делаете установку на тестовом сервере с единственной целью — проверить работу той или иной темы либо плагина.
Большинство плагинов и очень много тем бесплатные. И если авторы поддерживают свои разработки ради развлечения, а не в рамках какой-то серьезной бизнес-модели, вряд ли они потратили много времени на проверку уязвимостей и безопасности этих продуктов.
Как выбрать правильный плагин для wordpress
Как уже сказано выше, бесплатные темы и плагины являются потенциальной угрозой для безопасности сайта. Добавляя эти элементы на сайт, обязательно проверяйте их рейтинг, например, на WordPress.org.
Но просто пять звезд ничего не скажут о степени надежности плагина, в зависимости от ниши он должен иметь определенное количество отзывов. Если достаточно много людей считает, что это замечательный продукт, и нашли время для оценки, можно попробовать его в действии на собственном сайте.
Еще один момент, который вы должны проверять – актуальность плагина или темы. Если не было обновлений в течение последних двух лет, WordPress об этом сообщит. Отсутствие обновлений не обязательно означает, что плагин плохой.
Возможно, у автора просто не было необходимости в том, чтобы вносить исправления в рабочую программу. Все же не рекомендуется устанавливать плагины, которые давно не обновлялись. Рейтинг расскажет о работоспособности выбранного элемента и о его совместимости с текущей версией WordPress. Всю эту информацию можно увидеть на странице плагина на WordPress.org.
Опираясь на рейтинг и совместимость, вы можете сделать процесс выбора плагинов менее беспорядочным, одновременно повысив шансы на установку безопасного элемента.
Заключение
Если вы дочитали эту статью до конца, то просто обязаны принять дополнительные меры по защите своего сайта на WordPress. Добавьте в список ежедневных действий проверку защищенности своего ресурса. Она должно стать такой же ежедневной рутиной любого владельца сайтов, как регулярное добавление новых публикаций и страниц.
Не нужно забывать о регулярном создании резервных копий, для чего у платформы есть множество надежных плагинов. Правда, резервные копии не являются частью политики информационной безопасности, это скорее административные и служебные задачи.
Мы привели далеко не полный список того, что можно сделать для защиты сайта от взлома. Но надеемся, что наши практические советы помогут обеспечить хотя бы первый уровень информационной безопасности для вашего ресурса.
Помните, безопасность WordPress не бывает абсолютной.
Так что сделать жизнь хакеров тяжелой – наша задача, как владельцев сайтов.
Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress — при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.
Эта статья сфокусирована на вопросах усиления безопасности WordPress — как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin», которое отображается только после авторизации. Мы сознательно выделили фразу "после авторизации" — вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.
Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.
1. Переименуйте папку wordpress.
Начиная с версии 2.6, стало возможным изменять путь к папке wp-content. К сожалению это до сих пор неприменимо к папке wp-admin. Думающие о безопасности блоггеры смирились с этим и стали надеяться, что это станет возможным в будущих версиях. Пока этого не случилось, предлагаем воспользоваться следующим альтернативным решением проблемы. После распаковки архива с файлами WordPress, вы увидите папку «WordPress» — переименуйте папку (в идеале во что-то непонятное вроде "wordpress_live_Ts6K") и после этого настройте соответственным образом файл wp-config.php, который находится в корневой директории.
Что нам даст это изменение?
- Во-первых, все файлы WordPress не будут смешаны с другими файлами в корне сайта, таким образом мы повысим ясность корневого уровня.
- Во-вторых, множество копий WordPress может быть установлено параллельно в папки с разными именами, исключая их взаимодействие, что делает это идеальным для тестирования
- Третье преимущество напрямую касается безопасности: административная зона (и весь блог в целом) больше не находится в корневой папке и для проведения каких-либо действий по взлому сначала ее нужно будет найти. Это проблемно для людей, но что касается ботов — вопрос времени.
Несколько установленных версий в root-каталоге — это возможно!
Примечание: Если системные файлы WordPress больше не в корневой директории, и имя папки инсталяции изменено в соответствии с рекомендациями, описанными выше, блог будет все равно доступен по адресу wp-config.ru. Почему? Зайдите в раздел «Общие настройки (General settings)» вашего блога и введите в поле «WordPress address (URL)» реальный адрес блога на сервере, как показано в примере:
Адрес блога должен быть красивым и ненавязчивым
Это позволит блогу отображаться по красивому виртуальному адресу.
2. Усовершенствуйте файл wp-config.php
Конфигурационный файл WordPress wp-config.php содержит в себе некоторые настройки сайта и информацию для доступа к базе данных. Также там другие настройки, касающиеся безопасности (они представлены в списке ниже). Если таких значений в этом файле нет, или же имеются только установленные по умолчанию, вам необходимо, соответственно, добавить или изменить их:
- Ключи безопасности: начиная с версии 2.7, в WordPress есть четыре ключа безопасности, которые должны быть правильно установлены. WordPress спасает вас от необходимости выдумывать эти строки самому, автоматически генерируяправильные ключи с точки зрения безопасности. Вам просто нужно вставить ключи в соответствующие строки файла wp-config.php. Эти ключи являются обязательными для обеспечения безопасности вашего блога.
- Префикс таблицы заново установленного WordPress блога не должен быть стандартным «wp_» Чем больее сложным будет значение префикса, тем менее вероятна возможность несанкционированного доступа к таблицам вашей MySQL базы данных. Плохо: $table_prefix = ‘wp_’;. Намного лучше: $table_prefix = ‘wp4FZ52Y_’;Не стоит бояться забыть это значение — вам необходимо ввести его только один раз, больше оно вам не понадобится.
- Если у вас на сервере доступно SSL шифрование, рекомендуется включить его для защиты административной зоны. Это можно сделать, добавив следующую команду в файл wp-config.php: define(‘FORCE_SSL_ADMIN’, true);
Также вы можете регулировать другие системные настройки в конфигурационном файле. Четкий и исчерпывающий список доступных настроек доступен на странице Кодекса
Не пренебрегайте установкой правильных ключей безопасности!
3. Переместите файл wp-config.php
Также начиная с версии 2.6, WordPress позволяет перемещать файл wp-config.php на высший уровень. По причине того, что этот файл содержит в себе намного более важную информацию, чем какой либо другой, и потому что всегда намного сложнее получить доступ к корневой папке сервера, имеет смысл хранить его не в той же директории, где и остальные файлы. WortdPress автоматически обратится к высшей папке в поиске файла wp-config.php. Любые попытки пользователей самим настроить путь бесполезны.
4. Защитите файл wp-config.php
Не все ISP серверы позволят вам передавать данные на более высокие уровни, чем корневая директория. Другими словами, не у всех хватит прав для осуществления предыдущего шага. Или по другим причинам: например, если у вас несколько блогов, при определенной структуре папок у вас не получится положить в корень все файлы, так как их имена будут совпадать для каждого из блогов. В этом случае мы можем запретить доступ к файлу wp-config.php извне при помощи файла .htaccess. Вот код для этого:
[code]# protect wpconfig.php
Очень важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php.
5. Удалите учетную запись администратора.
Во время процесса установки WordPress создает учетную запись администратора с ником «admin» по умолчанию. С одной стороны это вполне логично, с другой — пользователь с известным ником, т.е. ID — 1, обладающий административными правами, является вполне предсказуемой мишенью для хакеров с их программами подбора паролей. Отсюда следует наш совет:
- Создайте еще одного пользователя с административными правами и вашим ником.
- Завершите сеанс работы.
- Залогиньтесь под новым аккаунтом.
- Удалите учетную запись "admin".
Если у вас не новый блог и под учетной записью admin вы уже публиковали посты или комментарии, то из предложенных вариантов в момент удаления, выберите пункт «Связать все записи и ссылки с:» и выберите имя нового пользователя:
Примечание: В идеале желательно чтобы логин нового пользователя отличался от отображаемого имени пользователя в постах, чтобы никто не узнал ваш логин.
6. Выберите сильный пароль.
Вероятность и частота потенциальных атак прямо зависит от популярности блога. И желательно до этого момента быть уверенным, что в вашем сайте не осталось слабых звеньев в цепи безопасности.
Чаще всего именно пароли являются самым слабым звеном в этой цепи. Почему? Способы выбора пароля у большинства пользователей зачастую необдуманны и беспечны. Многие проведенные исследования показали, что большинство паролей — односложные существующие слова, набранные строчными буквами, которые не сложно подобрать. В программах подбора паролей существуют даже списки самых часто используемых паролей.
В WordPress реализован интуитивно понятный индикатор стойкости набираемого пароля, который показывает цветом его уровень сложности:
Мы рекомендуем использовать как минимум семь символов, комбинировать строчные и прописные и использовать служебные символы такие как! "? $ % ^ & ( ).
7. Защитите папку «wp-admin».
Следуя пословице «две головы лучше одной», существует способ вдвое усилить защиту административной зоны. Защита регулируется файлом .htaccess, который должен находится в папке «wp-admin» вместе с файлом .htpasswd, который хранит логин и пароль пользователя. После обращения к папке, вам нужно будет ввести логин и пароль, но разница в том, что в этом случае авторизация контролируется на стороне сервера, а не силами самого WordPress.
Для того чтобы просто и быстро сгенерировать файлы .htaccess и .htpasswd, воспользуйтесь этим сервисом.
8. Запретите отображение ошибок на странице авторизации.
Страница авторизации WordPress — это дверь в административную зону вашего блога, которая становится доступна после безошибочного прохождения верификации. У каждого пользователя существует бесконечное количество попыток авторизации, и каждый раз по умолчанию услужливый WordPress указывает, в чем именно была ошибка. То есть, если введенный логин окажется неверным — WordPress так и скажет. Это удобно для пользователя, но также и для хакера.
Несложно догадаться, как быстро сокращается вероятность подбора комбинации логина/пароля, когда система указывает что именно введено неверно. Простая строка кода, поможет решить эту проблему, достаточно добавить её в файл functions.php вашей темы:
[php]add_filter(‘login_errors’,create_function(‘$a’, «return null;»));[/php] 
Изначальный/измененный вид страницы авторизации.
9. Ограничьте количество неудачных попыток авторизации.
WordPress не ведет статистику авторизаций, как удачных, так и нет. Это очень неудобно для администратора, так как у него нет возможности увидеть были ли попытки несанкционированного доступа, чтобы принять какие-либо меры, если они участятся. Предлагаем два решения: плагины Login LockDown и Limit Login Attempts. После установки они не только ведут лог авторизаций, но также ограничивают количество неудавшихся попыток авторизации, блокируя на определенное время IP пытающегося.
10. Поддерживайте актуальные версии.
И последнее: как правило разработчики WordPress очень быстро реагируют, если находят уязвимости в движке. Поэтому следите за обновлениями и обновляйтесь, когда возможно. Благо сам WordPress оповещает о выходе новой версии. Это касается и плагинов — держите их версии актуальными.
Запомните: меньше значит лучше, когда это касается любых надстроек и аддонов. Как администратор, вы должны удостовериться, что у вас установлены и активны, только те плагины, которые действительно вам нужны. Каждый плагин — это потенциальный риск и угроза безопасности, так как все они разрабатываются посторонними разработчиками.
Как вы защищаете свой блог от взлома? Что используете для этого?
