Являясь одной из наиболее популярных CMS в мире, WordPress привлекает к себе повышенное внимание хакеров и спамеров. Как правило, владельцы сайтов задумываются о безопасности своих сайтов, после того как уже стали жертвами атак злоумышленников. Особенно чувствительный к таким атакам только что установленный сайт на WordPress. Обезопасьте свой сайт на ВордПресс – усложните задачу для злоумышленников, следуя достаточно простым правилам и советам, которые рассмотрим в этой статье.
Статистика взломанных сайтов следующая:
Лучше предупредить проблему, чем ее решать. Даже если ваш сайт не подвергался атакам в прошлом, не стоит на 100% рассчитывать, что ваш сайт полностью защищен.
Основные требования к хостингу:
Разработчики выпускают новую версию движка, когда были замечены и устранены дыры в безопасности. Поэтому важно обновлять WordPress до последней версии.
Замечание: Если выпускается глобальное обновление, тогда обновлять движок следует более осторожно, дабы не привести к неработоспособности сайта вообще (из-за возможной несовместимости плагинов и/или шаблонов). Делайте в таких случаях бекапы сайтов и баз данных.
Через дыры в безопасности кода плагинов и тем злоумышленники получают доступ к сайтам в более чем в 50% случаев. Поэтому прагматично принимайте решение о необходимости установки нового плагина. Если острой необходимости в плагине нет – лучше не устанавливайте его. Для тем же очень важны качественный код и частота обновления разработчиком. Чтобы проверить качество кода шаблона – воспользуйтесь плагином «Theme Check», а чтобы проверить плагин – плагинами из раздела «Plugin Check».
Чтобы минимизировать возможности хакеров рекомендуется установить следующие права:
Если вы не уверены в том, что нужно делать и как, обратитесь к службе поддержки хостинга – они вам помогут в этом вопросе.
По умолчанию префиксом таблиц баз данных ВордПресс является wp_. И об этом знают все, и хакеры тоже. Если изменить префиксы таблиц – это может помочь предотвратить уязвимости от SQL инъекций.
Префиксы таблиц записаны в файле wp-config.php:
$table_prefix = 'wp_';
Измените префиксы таблиц на что-то запутанное, чтобы повысить безопасность базы данных.
Изменить префиксы вы могли при установке WordPress. Если же у вас есть готовый сайт с префиксами по умолчанию, вы сможете их изменить в файле wp-config.php, но вам также придется их изменить и в базе данных (поскольку ваш сайт не будет работать).
Чтобы изменить префиксы вручную, вам нужен доступ к управлению вашей базы данных (например, к программе PHPMyAdmin).
Комплекс работ следующий:
Файл .htaccess — это очень мощный инструмент, который управляет различными настройками сервера. Приведем только некоторые моменты по работе с этим файлом.
Чтобы запретить просмотр содержимого директорий на сайте через браузер, добавьте следующий код:
Options All -Indexes
Также желательно защитить файл wp-config.php, который содержит массу сведений, и защита которого является одной из самых главных задач.
Для этого добавляем следующие строки в файл .htaccess в корне сайта:
<Files wp-config.php> order allow, deny deny from all </Files>
а чтобы защитить сам файл .htaccess, пропишем следующее:
<Files .htaccess> order allow, deny deny from all </Files>
Данный код запрещает доступ к указанным файлам через браузер кому бы то ни было. А вы сможете их редактировать через Notepad++, или другой текстовый редактор.
Не используйте admin в качестве имени пользователя, а пароль должен быть достаточно сложным (состоять из букв и цифр в разном регистре), но не дата вашего рождения!
Слабый пароль позволяет хакерам получить доступ к сайту достаточно легко, используя автоматизированные системы подбора паролей. Более сложные логин и пароль увеличивают ваши шансы на безопасность. Рассмотрите, также, возможность установки интересного плагина — Stealth Login Page, который создает дополнительное поле при авторизации — Authorization Code (Код Авторизации). В плагине можно настроить количество попыток ввода – например, если 1-я попытка была безуспешной, произойдет перенаправление на главную страницу сайта.
Есть много анти-спам плагинов для сайта на WordPress, но самый популярный из них — Akismet.
Если вы разрешили комментирование своих постов, тогда рекомендуем установить и этот плагин.
Достаточно часто злоумышленники взламывают сайт, но стараются не выдать себя. Они тихонько прописывают на хостинге зловредный скрипт, который, всего лишь, занимается рассылкой спамных писем от вашего имени. Вроде ничего страшного, но все равно неприятно. А потом может оказаться, что ваш сайт «пропал» из поиска Google из-за этого, и посетителей уменьшилось – ужас! Мы конечно же шутим, но проверить свой сайт не будет лишним. Воспользуйтесь онлайн-сервисом и проверьте свой сайт на наличие в черном списке по адресу http://mxtoolbox.com/blacklists.aspx.
Стабильное и быстрое интернет-соединение – важный критерий качества современной жизни. Если вы решили купить бытовую…
Защита сайта от хакеров, ботов и онлайн-уязвимостей – это многогранная и кропотливая работа. А среди…
Сегодня рассмотрим практический кейс по борьбе с надоедливой ошибкой, с которой часто сталкиваются программисты WordPress…
Если есть достойная цель, то она упрощает наше существование Харуки Мураками
В современном мире, где стабильность электроснабжения является ключевым фактором комфорта и бесперебойной работы, наличие надежного…
Даже если вы очень талантливы и прилагаете большие усилия, для некоторых результатов просто нужно время:…