Обезопасьте свой сайт на WordPress

Являясь одной из наиболее популярных CMS в мире, WordPress привлекает к себе повышенное внимание хакеров и спамеров. Как правило, владельцы сайтов задумываются о безопасности своих сайтов, после того как уже стали жертвами атак злоумышленников. Особенно чувствительный к таким атакам только что установленный сайт на WordPress. Обезопасьте свой сайт на ВордПресс – усложните задачу для злоумышленников, следуя достаточно простым правилам и советам, которые рассмотрим в этой статье.

Как хакеры получают доступ к сайту?

Статистика взломанных сайтов следующая:

• 41% сайтов были взломаны через уязвимость хостинг-аккаунта
• 29% были взломаны из-за проблем безопасности в используемой теме WordPress
• 22% были взломаны из-за проблем безопасности в используемых плагинах WordPress
• 8% сайтов были взломаны из-за слабых паролей.

Правила и советы по безопасности для сайтов ВордПресс

Лучше предупредить проблему, чем ее решать. Даже если ваш сайт не подвергался атакам в прошлом, не стоит на 100% рассчитывать, что ваш сайт полностью защищен.

1. Размещайте свой сайт на надежном хостинге.

Основные требования к хостингу:

• Поддержка последних версий PHP и MySQL
• Использование последних версий программного обеспечения
• Регулярное сканирование сайтов на наличие вредоносных программ
• Автоматические бекапы сайтов

2. Регулярно обновляйте сам движок WordPress

Разработчики выпускают новую версию движка, когда были замечены и устранены дыры в безопасности. Поэтому важно обновлять WordPress до последней версии.
Замечание: Если выпускается глобальное обновление, тогда обновлять движок следует более осторожно, дабы не привести к неработоспособности сайта вообще (из-за возможной несовместимости плагинов и/или шаблонов). Делайте в таких случаях бекапы сайтов и баз данных.

3. Использование доверенных плагинов и тем для WordPress

Через дыры в безопасности кода плагинов и тем злоумышленники получают доступ к сайтам в более чем в 50% случаев. Поэтому прагматично принимайте решение о необходимости установки нового плагина. Если острой необходимости в плагине нет – лучше не устанавливайте его. Для тем же очень важны качественный код и частота обновления разработчиком. Чтобы проверить качество кода шаблона – воспользуйтесь плагином «Theme Check», а чтобы проверить плагин – плагинами из раздела «Plugin Check».

4. Используйте корректные права доступа к файлам/папкам

Чтобы минимизировать возможности хакеров рекомендуется установить следующие права:

• Все папки должны иметь права 755 или 750
• Все файлы – 644 или 600
• Для файла wp-config.php установите 600

Если вы не уверены в том, что нужно делать и как, обратитесь к службе поддержки хостинга – они вам помогут в этом вопросе.

5. Использование нетривиальных префиксов в таблице баз данных.

По умолчанию префиксом таблиц баз данных ВордПресс является wp_. И об этом знают все, и хакеры тоже. Если изменить префиксы таблиц – это может помочь предотвратить уязвимости от SQL инъекций.
Префиксы таблиц записаны в файле wp-config.php:
$table_prefix = 'wp_';

Измените префиксы таблиц на что-то запутанное, чтобы повысить безопасность базы данных.
Изменить префиксы вы могли при установке WordPress. Если же у вас есть готовый сайт с префиксами по умолчанию, вы сможете их изменить в файле wp-config.php, но вам также придется их изменить и в базе данных (поскольку ваш сайт не будет работать).

Чтобы изменить префиксы вручную, вам нужен доступ к управлению вашей базы данных (например, к программе PHPMyAdmin).
Комплекс работ следующий:

• Переименовать все таблицы базы данных (например, с ‘wp_links‘, на что-то запутанное, типа ‘qt32rw1q08zw_links‘)
• Обновить ссылки в таблице usermeta
• Обновить ссылки в таблице options
• Указать новый префикс в файле wp-config.php

6. Защита сайта через файл .htaccess

Файл .htaccess — это очень мощный инструмент, который управляет различными настройками сервера. Приведем только некоторые моменты по работе с этим файлом.
Чтобы запретить просмотр содержимого директорий на сайте через браузер, добавьте следующий код:

Options All -Indexes

Также желательно защитить файл wp-config.php, который содержит массу сведений, и защита которого является одной из самых главных задач.

Для этого добавляем следующие строки в файл .htaccess в корне сайта:

<Files wp-config.php>
order allow, deny
deny from all
</Files>

а чтобы защитить сам файл .htaccess, пропишем следующее:

<Files .htaccess>
order allow, deny
deny from all
</Files>

Данный код запрещает доступ к указанным файлам через браузер кому бы то ни было. А вы сможете их редактировать через Notepad++, или другой текстовый редактор.

7. Периодически меняйте свой логин и пароль к Консоли.

Не используйте admin в качестве имени пользователя, а пароль должен быть достаточно сложным (состоять из букв и цифр в разном регистре), но не дата вашего рождения!

8. Дополнительная защита авторизации

Слабый пароль позволяет хакерам получить доступ к сайту достаточно легко, используя автоматизированные системы подбора паролей. Более сложные логин и пароль увеличивают ваши шансы на безопасность. Рассмотрите, также, возможность установки интересного плагина — Stealth Login Page, который создает дополнительное поле при авторизации — Authorization Code (Код Авторизации). В плагине можно настроить количество попыток ввода – например, если 1-я попытка была безуспешной, произойдет перенаправление на главную страницу сайта.

9. Защита от спама в комментариях

Есть много анти-спам плагинов для сайта на WordPress, но самый популярный из них — Akismet.
Если вы разрешили комментирование своих постов, тогда рекомендуем установить и этот плагин.

10. Проверить свой сайт на наличие в «черном списке».

Достаточно часто злоумышленники взламывают сайт, но стараются не выдать себя. Они тихонько прописывают на хостинге зловредный скрипт, который, всего лишь, занимается рассылкой спамных писем от вашего имени. Вроде ничего страшного, но все равно неприятно. А потом может оказаться, что ваш сайт «пропал» из поиска Google из-за этого, и посетителей уменьшилось – ужас! Мы конечно же шутим, но проверить свой сайт не будет лишним. Воспользуйтесь онлайн-сервисом и проверьте свой сайт на наличие в черном списке по адресу http://mxtoolbox.com/blacklists.aspx.