Главная / Блог / Как защитить сайт на Wordpress?
Поделиться

Как защитить сайт на Wordpress?

Благодаря простоте использования, бесплатности, разнообразию тем и плагинов, Wordpress на сегодня самая популярная CMS в мире - работает на 18,9% от всех интернет-сайтов и установлена более 76,5 миллионов раз. Но у такой популярности есть и другая сторона медали. По данным компании Securi, в 2016 году Wordpress занимала первую строчку в списке CMS, которые подвергались хакерским атакам. Но не стоит паниковать! Ниже мы рассмотрим самые популярные и эффективные способы защиты вашего сайта на Wordpress. 

Авторизация

Cамый простой способ уменьшить риск взлома - ограничить количество попыток входа в систему. Есть много бесплатных плагинов, которые позволяют это сделать. Например, Limit Login Attempts блокирует любые IP-адреса, которые пересекают порог неудачных попыток входа в систему. Плагин очень удобный и функциональный, после блокировки вам приходит на email уведомление, можно просмотреть журнал блокировок, а также внести нужные IP в белый или черный лист:

Но данный способ не поможет, если хакеры используют целую сеть ботов с разными IP адресами. В таком случае нужно обязатательно включить на своем сайте двухфакторную аутентификацию (Two-factor Authentification - 2FA). Это один из наиболее эффективных способов на сегодня защитить сайт от взлома. Не имеет значения, удалось ли кому-то узнать ваши пароли для входа - без ваших кодов доступа 2FA, они не смогут войти в систему. И сегодня есть бесчисленные плагины и приложения для мобильных телефонов, которые вы можете использовать для включения 2FA, например Google Authenticator.

Честно говоря, вы должны использовать этот метод не только для Wordpress сайта, но и для любых других CMS.

Имя Администратора

Сейчас много хостинг провайдеров предлагают автоматическую установку Wordpress одним кликом, которая по-прежнему использует по умолчанию имя учетной записи - admin. К сожалению, это дополнительная подсказка для хакеров и это облегчит им выполнение своих задач, поскольку они уже знают название учетной записи. 

Если это так, вы должны создать новую учетную запись в Wordpress с правами Администратора, залогиниться под ней, а старую удалить, связав все ее содержимое с новой учетной записью. Не рекомендуется использовать такие имена как administrator или support. Придумайте уникальное имя для своей учетной записи.

URL страницы входа

Другим популярным аспектом взлома многих сайтов на Wordpress, является страница входа в аккаунт, а именно ее URL, который по умолчанию выглядит: yoursite.com/wp-admin или yoursite.com/wp-login.php. Опять же, это дает еще одну возможность для хакеров знать куда направлять свои автоматические атаки. Вы можете сделать сайт более безопасным, если измените этот URL на нечто менее предсказуемое, например my_login.php. Этот простой шаг остановит большинство автоматических атак по URL-адресу. Сильнейший плагин iThemes Security поможет вам в этом  - содержит более 30-ти методов защиты!

Пароли

Генерируйте надежные пароли и храните их в безопасности. Уникальный и сложный пароль - базовая защита сайта. Если ваш пароль будет таким же простым как abcd123, то это вопрос времени, прежде чем кто-то взломает ваш сайт. Лучшая практика - убедиться, что вы используете комбинацию строчных, прописных, специальных символов и цифр для своего пароля. Времена, когда мы хранили все свои пароли в бумажном блокноте тоже давно прошли. Сейчас существует большое количество разных онлайн-диспечеров паролей, которые поддерживают синхронизацию с мобильными устройствами и надежно берегут ваши ключи от сайтов. Лично я для себя выбрал LastPass, так как с ним удобно и комфортно работать, а также он популярен среди многих пользователей. Устанавливается как дополнительное расширение для браузера. Позволяет каталогизировать ваши учетные записи, содержит генератор паролей, при входе на сайт приложение автоматически подставляет в форму данные для входа. Если зарегистрировались на новом сайте, LastPass предложит добавить логин и пароль в базу.

Есть также много других менеджеров, которые можно выбрать на свой вкус и цвет.  

Обновления

Следите за системными обновлениями Wordpress. Команда Wordpress постоянно работает над нейтрализацией любых уязвимостей и лазеек в безопасности движка. Поэтому, будьте в курсе последних событий. Огромное количество хакеров нацелены взломать именно эту CMS, так как многие владельцы веб-сайтов забывают или игнорируют обновления, задача которых - не только новые функции, но и исправление ошибок безопасности. 

Также это касается тем и плагинов, которые могут иметь различное количество "дыр". Плагины, которые давно не обслуживались и не обновлялись, о которых нет достаточной информации в интернете, нет обзоров на них, лучше не использовать. Устанавливайте только надежные и проверенные плагины. Бывали случаи, когда плагин или тема уже целенамеренно содержали дыру и в дальнейшем хакер без проблем использовал ее в своей работе так, что вы об этом и не догадываетесь. Поэтому, просматривая расширения в репозитории Wordpress, всегда обращайте внимание на такие факторы, как: количество установок и последнее обновление. Если у вас в системе накопилось много плагинов, которые вам не нужны и вы за ними не следите - удалите их. Это не только в целях безопасности, но и для облегчения загрузки вашей базы данных и обеспечения максимального быстродействия сайта. Замечу, чтобы удалить плагин, нужно перед этим его деактивировать.

Если вы хотите отдельно проверить достоверность уэе установленной темы, используйте плагин Theme Authenticity Checker (TAC). Можете просканировать и весь Wordpress на наличие вредоносного кода и скриптов (malware) с помощью еще одного отличного плагина - Sucuri Security:

Пользователи

Следите за пользователями, которые получают доступ к вашему сайту. Добавляйте новых с осторожностью. Если на сайте работает команда или у вас есть гостевые авторы - определитесь с ролями и правами доступа. То есть, являются ли они администратором, автором, подписчиком, редактором и т. д. Различия между ними хорошо описаны в документации WordPress.org. Предоставляйте доступ администратора только тем, кого вы знаете и доверяете. Также очень важно, чтобы все пользователи использовали надежные пароли и двухфакторную аутентификацию! Управлять всем этим можно с помощью того же iThemes Security:

Права доступа на файлы и папки

Многие из файлов и папок вашего сайта Wordpress содержат очень важную информацию, но порою оказывается, что они не защищены. К сожалению, рядовые пользователи от таких нюансов далеки и часто можно услышать "Да кому мы нужны?". А опытные хакеры тем временем могут получить доступ к содержимому вашего сайта и делать с ним все, что захотят, например прописать вредоносный скрипт, который будет рассылать спам от вашего имени или же проставить неограниченное количество токсических ссылок на другие сайты, вариантов множество. Поэтому, убедитесь, что все ваши папки и файлы имеют ограниченный доступ - защищены от стороннего копирования, редактирования, сохранения, перемещения и т.д. 

Чтобы защитить всю вашу файловую систему, установите следующие права:

  • Установите код доступа 755 для корневого каталога и
  • 644 для файлов.

Отнеситесь к данной операции максимально ответственно, так как если выставить не правильные права доступа, то система попросту не сможет работать, например не сможет выполнить какой-то скрипт или загрузить нужные файлы на сервер. Выставить права доступа к файлам и папкам можно с помощью любого FTP-клиента или же в Панели инструментов управления хостингом.

Быстро проверить текущие права доступа можно с помощью плагина iThemes Security, в разделе File Permissions

Для самых ленивых можно установить плагин Acunetix WP Security - он сам просканирует все файлы и папки, и затем выставит нужные коды доступа.

Хотя, я лично не советую доверять этот процесс сторонним програмам, а подробно изучить логику прав доступа и выставить их самостоятельно.

Резервное копирование

Регулярно создавайте резервные копии сайта. Особенно, если часто вносите какие-нибудь изменения на сайт. Резервные копии (Backups) необходимы, так как позволяют в считанные секунды восстановить сайт в случае хакерской атаки, краха или ошибочного удаления данных. В случае, если у вас нет резервных копий - вы понесете огромные финансовые потери. Резервное копирование обязательно и должно происходить, по крайней мере, несколько раз в неделю - как для содержимого сайта, так и базы данных. Скорее всего ваш хостинг будет предлагать ежедневные или еженедельные резервные копии, но я советую опять же полагаться только на себя и установить специальные плагины. Следить за резервным копирование базы данных поможет iThemes Security, раздел "Резервные копии данных":

Плагин UpdraftPlus WordPress Backup Plugin  позволяет комплексно подойти к этому вопросу и одним кликом запланировать резервные копии, а потом сохранить их по FTP или перенести в Google Диск, Dropbox и другие места хранения данных.

SSL сертификат

Очень важно, чтобы ваш сайт работал по защищенному протоколу https. Что это даcт? Во-первых, данные ваших посетителей и все операции на сайте будут шифроваться, хакеры не смогут следить за действиями. Если пользователи вводят какую-то информацию на сайте - она будет защищена. Например, данные платежной карты, логины, пароли и т.д.

Использование SSL-сертификата поможет перейти на https и зашифровать данные сайта, предотвращая хакерскую атаку. Во-вторых, наличие у домена протокола https свидетельствует о том, что сайт безопасный и является важным сигналом для Google, который ранжирует сайт. В последних версиях интернет-браузера Google Chrome сайты без https будут обозначаться, как ненадежные и опасные для пользователей.

Большинство провайдеров хостинга предлагают купить сертификат SSL за небольшую абонплату. Если у вас не коммерческий сайт, вы можете использовать бесплатный SSL сертификат от Let's Encrypt. Многие Панели управления хостингом поддерживают его автоматическую установку. 

Хостинг

От него тоже зависит ваша безопасность. Подберите хороший WordPress хостинг с встроенными функциями безопасности и защиты сайта, например защита от DDos атак, фильтрация нелегитимного трафика, HTTP-флуда и так далее. Это очень важно. У меня был случай, когда сайт постоянно падал от DDos атак, а дешевый хостинг не смог ничем помочь. Заняло много времени, чтобы переехать на новый хостинг и вернуть сайт к прежним позициям. Рекомендую подойти к выбору хостинга очень тщательно, не нужно недооценивать этот пункт. 

В заключение

Хочу сказать, что это не все способы защиты сайта на Wordpress. Я бы мог продолжить, но описал только самые распостраненные, понятные методы, которые в перую очередь смогут внедрить те пользователи, которые ранее мало читали об этом и не занимались улучшением безопасности своего сайта. Представьте, что входная дверь вашего дома не требует ключа (слабые пароли), либо замок очень слаб или дешев, и его можно открыть с помощью простой булавки  (не используется 2FA аутентификация). Или, может быть, у вас уже есть очень мощная парадная дверь, но вы дали всем кого знаете запасной ключ (предоставили всем пользователям роль администратора). Вы не сделали бы этого для своего дома, не так ли? Поэтому, отнеситесь к своему сайту так же серьезно. Ни один сайт не защищен на 100%. Но вы можете существенно ограничить риск взлома. Так что начните сейчас!

Поделиться

Интересно почитать

10 SEO-советов по оптимизации блога на Wordpress

В этой статье мы расскажем как с помощью Rush Analytics, а также стандартных средств и плагинов Wordpress, можно оптимизировать свой сайт под поисковые системы.
Юлия Туловская - специалист техподдержки Rush Analytics · 8 мин
29 Авг. 2018
Будь в курсе первым!