Захистіть свій сайт на WordPress

Будучи однією з найбільш популярних CMS в світі, WordPress привертає до себе підвищену увагу хакерів та спамерів. Як правило, власники сайтів замислюються про безпеку своїх сайтів, після того як вже стали жертвами атак зловмисників. Особливо чутливий до таких атак щойно встановлений сайт на WordPress. Захистіть свій сайт на ВордПрес – ускладніть завдання для зловмисників, слідуючи досить простим правилам та порадам, які розглянемо в цій статті.

Як хакери отримують доступ до сайту?

Статистика зламаних сайтів наступна:

  • 41% сайтів були зламані через уразливість хостинг-акаунту
  • 29% були зламані через проблеми безпеки у використовуваній темі WordPress
  • 22% були зламані через проблеми безпеки у використовуваних плагінах WordPress
  • 8% сайтів були зламані через слабкі паролі.

Правила та поради з безпеки для сайтів на Вордпрес

Краще попередити проблему, ніж її вирішувати. Навіть якщо ваш сайт не піддавався атакам у минулому, не варто на 100% розраховувати, що ваш сайт повністю захищений.

1. Розміщуйте свій сайт на надійному хостингу.

Основні вимоги до хостингу:

  • Підтримка останніх версій PHP та MySQL
  • Використання останніх версій програмного забезпечення
  • Регулярне сканування сайтів на наявність шкідливих програм
  • Автоматичні бекапи сайтів

2. Регулярно оновлюйте сам движок WordPress

Розробники випускають нову версію движка, коли були помічені та усунені діри в безпеці. Тому важливо оновлювати WordPress до останньої версії.
Зауваження: Якщо випускається глобальне оновлення, тоді оновлювати движок слід більш обережно, щоб не призвести до непрацездатності сайту взагалі (через можливу несумісність плагінів і/або шаблонів). Робіть у таких випадках бекапи сайтів та баз даних.

3. Використання довірених плагінів і тем для WordPress

Через дірки в безпеці коду плагінів і тем зловмисники отримують доступ до сайтів в більш ніж в 50% випадків. Тому прагматично приймайте рішення про необхідність встановлення нового плагіна. Якщо гострої необхідності в плагіні немає – краще не встановлюйте його. Для шаблонів же дуже важливі якісний код і частота оновлення розробником. Щоб перевірити якість коду шаблону – скористайтеся плагіном «Theme Check», а щоб перевірити плагін – плагінами з розділу «Plugin Check».

4. Використовуйте коректні права доступу до файлів/тек

Щоб мінімізувати можливості хакерів рекомендується встановити такі права:

  • Усі папки повинні мати права 755 або 750
  • Всі файли – 644 або 600
  • Для файлу wp-config.php встановіть 600

Якщо ви не впевнені в тому, що потрібно робити і як, зверніться до служби підтримки хостингу – вони вам допоможуть у цьому питанні.

5. Використання нетривіальних префіксів в таблиці баз даних.

За замовчуванням префіксом таблиць баз даних ВордПрес є wp_. І про це знають всі, і хакери теж. Якщо змінити префікси таблиць – це може допомогти запобігти уразливості від SQL ін’єкцій.
Префікси таблиць записані у файлі wp-config.php:
$table_prefix = 'wp_';



Змініть префікси таблиць на щось заплутане, щоб підвищити безпеку бази даних.
Змінити префікси ви могли в процесі встановлення WordPress. Якщо ж у вас є вже готовий сайт з префіксами за замовчуванням, ви зможете їх змінити у файлі wp-config.php, але вам також доведеться їх змінити і в базі даних (оскільки ваш сайт не буде працювати).

Не забувайте робити бекап (резервну копію) бази даних і файлів перед змінами!

Щоб змінити префікси вручну, вам потрібен доступ до управління вашої бази даних (наприклад, до програми PHPMyAdmin).
Комплекс робіт наступний:

  • Перейменувати всі таблиці бази даних (наприклад, з ‘wp_links‘, на щось заплутане, типу ‘qt32rw1q08zw_links‘)
  • Оновити посилання в таблиці usermeta
  • Оновити посилання в таблиці options
  • Вказати новий префікс у файлі wp-config.php

6. Захист сайту через файл .htaccess

Файл .htaccess – це дуже потужний інструмент, який управляє різними налаштуваннями серверу. Наведемо лише деякі моменти по роботі з цим файлом.
Щоб заборонити перегляд вмісту директорій на сайті через браузер, додайте наступний код:
Options All -Indexes

Також бажано захистити файл wp-config.php, який містить масу відомостей, і захист якого є однією з найголовніших завдань.

Для цього додаємо наступні рядки в файл .htaccess в корені сайту:

  <Files wp-config.php>  order allow, deny  deny from all  </Files>  

 

а щоб захистити сам файл .htaccess, пропишемо наступне:

<Files .htaccess>  order allow, deny  deny from all  </Files>  

 

Даний код забороняє доступ до зазначених файлів через браузер кому б то не було. А ви зможете їх редагувати через Notepad++, або інший текстовий редактор.

7. Періодично змінюйте свій логін та пароль до Консолі.

Не використовуйте admin в якості імені користувача, а пароль має бути досить складним (складатися з букв і цифр у різному регістрі), але не дата вашого народження!

8. Додатковий захист авторизації

Слабкий пароль дозволяє хакерам отримати доступ до сайту досить легко, використовуючи автоматизовані системи підбору паролів. Більш складні логін і пароль збільшують ваші шанси на безпеку. Розгляньте, також, можливість встановлення цікавого плагіна – Stealth Login Page, який створює додаткове поле при авторизації – Authorization Code (Код Авторизації). В плагіні можна налаштувати кількість спроб введення коду – наприклад, якщо 1-а спроба була безуспішною, відбудеться перенаправлення на головну сторінку сайту.

9. Захист від спаму в коментарях

Є багато анти-спам плагінів для сайту на WordPress, але найпопулярніший з них – Akismet.
Якщо ви дозволили коментування своїх постів, тоді рекомендуємо встановити і цей плагін.

10. Перевірити свій сайт на наявність в «чорному списку».

Досить часто зловмисники зламують сайт, але намагаються не видати себе. Вони тихенько прописують на хостингу шкідливий скрипт який, всього лише, займається розсилкою спамних листів від вашого імені. Начебто нічого страшного, але все одно неприємно. А потім може виявитися, що ваш сайт «пропав» з пошуку Google через це, і відвідувачів зменшилася – жах! Ми звичайно ж жартуємо, але перевірити свій сайт не буде зайвим. Скористайтеся онлайн-сервісом і перевірте свій сайт на наявність в чорному списку за адресою http://mxtoolbox.com/blacklists.aspx.