Сегодня мы поговорим о такой замечательной штуке как защита Ваших сайтов на популярном движке WordPress от хакеров и прочих злоумышленников.

Вас ждут простые, интересные и, самое главное, рабочие советы. Приступим.

  1. Смените ваш логин
    Он у вас всё ещё admin? При создании сайта его ставят чаще всего. Это первое, что проверяют боты, ищущие прорехи в безопасности. Войдите в административную часть и создайте новую административную учётную запись с каким-нибудь другим именем. Затем выйдите из системы управления, войдите вновь и удалите аккаунт admin.
  2. Необычный пароль
    Никто не хочет запоминать по 20 разных паролей, но жизненно важно, чтобы для вашего блога он был уникальный. Используйте прописные, строчные буквы, знаки пунктуации и пр.
    Пример: Vg8uB6Z.<4 – это отличный пароль.
    Есть программы, хранящие и генерирующие пароли – это то, что вам нужно. К примеру, Password Agent.
  3. Обновляйте WordPress
    Одним из самых часто встречающихся случаев взлома сайта является использование устаревших скриптов. WordPress уведомит вас о выходе своей новой версии прямо в панели управления. Обновите его. Потеряв минуту, вы сэкономите часы в дальнейшем – новая разработка сайтов стоит и денег и времени.
  4. Избегайте бесплатных тем
    Множество сайтов предлагают вам скачать уже готовые темы для оформления вашего веб-ресурса. В некоторых их них есть неприятные скрытые «сюрпризы». Используйте только доверенные сайты, вроде WordPress.org для скачивания тем или создавайте свою собственную с помощью бесплатных фреймворков.
  5. Бойтесь плагинов
    Конечно, плагины дают вам отличную от базовой функциональность, однако, некоторые из них открывают двери для хакеров. Скачивайте их только с официального сайта Вордпресса и обращайте внимание на все появляющиеся предупреждения. Также, не забывайте обновлять плагины.
  6. Храните только то, что вам нужно
    У вас есть несколько неиспользуемых плагинов? Даже будучи неактивированными, они могут представлять угрозу. Удалите все неиспользуемые плагины, темы, файл readme из корня сайта. Есть простое правило: меньше скриптов, меньше уязвимостей.
  7. Делайте резервные копии
    Не все хакерские атаки могут повредить вам, но даже одна успешная испортит вам жизнь. Делайте регулярные резервные копии своего сайта! У многих хостеров эта функция включена по умолчанию и в случае проблем вам можно будет восстановить сайт из копии месячной, недельной, вчерашней «свежести».
  8. Проверьте свой компьютер на наличии вирусов
    Нужно следить не только за своим сайтом на WordPress, но и за собственным компьютером. У вас должен быть часто обновляемый антивирус. Не хотите же вы заразить свой сайт, разместив там несколько вирусных файлов?
  9. SFTP это не ФТП
    Все загрузки файлов на ваш сайт должны происходить через SFTP, если ваш провайдер позволяет это делать. Если нет, перейдите к более защищённому хостеру. Соединение будет происходить по защищённому протоколу и «плохие парни» не смогут его перехватить.
  10. Защитите свои конфигурационный файлы
    Добавив специальный файл .htaccess в корень сайта, вы существенно повысите безопасность. Если у вас нет этого файла, создайте текстовой с этим именем и переименуйте его (расширения нет!). Код, представленный ниже, не даст злоумышленнику логин от базы данных в случае неполадок с PHP.
    <Files wp-config.php>
    order allow, deny
    deny from all
    </Files>
    <IfModule mod_rewrite.c>
    RewriteEngine On
    RewriteBase /
    RewriteRule ^index\.php$ —
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteRule . /index.php
    </IfModule>
  11. Смените префикс у таблиц в базе данных
    Этот шаг только для новых установок (первоначальное создание сайтов, Пермь)(см. код ниже для уже существующих сайтов). Убрав префикс wp по умолчанию, вы значительно осложните поиск для злоумышленников. Откройте файл wp-config.php и найдите строки, касающиеся префикса. Смените его на что-либо другое.
    К примеру, $table-prefix=’movie_’;Как сменить префикс у уже работающих сайтов? Вам понадобится PHPMyAdmin и Dreamweaver (скачать дамп базы данных, произвести поиск/замену, закачать дамп снова).Если это выглядит слишком сложным для вас, в конце статьи будет описан более лёгкий способ.
  12. Защитите каталоги от просмотра
    Чтобы хакеры не смогли просмотреть папки на вашем сервере, набрав их полный путь, защитите их с помощью .htaccess (добавьте туда Options -Indexes) или поместите в директорию пустой файл index.html
  13. Защитите файл .htaccessВыглядит немного странным, что кто-то будет менять этот файл, но это самое сердце вашей защиты, поэтому, лучше о нём позаботиться заранее. Заприте каждую дверь, какую сможете. Поместите туда код:
    <files .htaccess>
    order allow, deny
    deny from all
    </files>
  14. Ограничения по IP адресу Если у вас статичный IP-адрес, вы можете ограничить доступ к административной части сайта. Это отличный способ обезопасить себя. В файл .htaccess добавьте следующие строки:
    AuthUserFile /dev/null
    AuthGroupFile /dev/null
    AuthName «Access Control»
    AuthType Basic
    order deny, allow
    deny from all
    allow from ??.???.???.???
  15. Ограничение попыток входа
    Обычно хакеры, подбирая пароль, делают множество попыток входа. Можно настроить систему так, что после 2й неудачной попытки ip-адрес злоумышленника будет заблокирован на несколько часов.
  16. Запрет отслеживания HTTP заголовка
    Добавьте в .htaccess эти строки:
    RewriteEngine On
    RewriteCond %{REQUEST_METHOD} ^TRACE
    RewriteRule .* —
  17. Защита от SQL-инъекций
    Это самая часто встречающаяся форма атак на WordPress сайты. Многие хостеры закрывают эти возможные «дыры» в защите, но вам не мешает защититься и самим. Опять же, добавьте в .htaccess эти строки:
    RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E)
    RewriteCond %{QUERY_STRING} GLOBALS(=|\{0, 2})
    RewriteCond %{QUERY_STRING} _REQUEST(=|\ {0,2})
    RewriteRule ^(.*)$ index.php

А чтобы не мучиться со всем этим, просто поставьте плагин Better WP Security. Он может всё вышеперечисленное и даже больше.

Шаг 2 – Использование нестандартных учетных данных для входа

Вы используете admin, как имя администратора в WordPress? Если ваш ответ да, то вы серьезно снижаете защиту WordPress и упрощаете процесс взлома хакерами вашей панели управления. Строго рекомендуется изменить имя пользователя администратора на что-нибудь другое (посмотрите это руководство, если вы не уверены, как это сделать) или создайте новую учетную запись администратора с другими данными. Следуйте этим шагам, если вы предпочитаете второй вариант:

  1. Войдите в панель управления WordPress
  2. Найдите раздел Пользователи и нажмите кнопку Добавить нового.
  3. Создайте нового пользователя и назначьте ему права Администратора
  4. Перезайдите в WordPress с вашими новыми данными.
  5. Вернитесь в раздел Пользователи и удалите стандартную учетную запись Admin.

Хороший пароль играет ключевую роль в безопасности WordPress. Гораздо сложнее взломать пароль состоящий из цифр, букв нижнего и верхнего регистра и специальных знаков. Такие инструменты, как LastPass и 1Password могут помочь в создании и управлении сложными паролями. Кроме того, если вам когда-либо понадобится войти в свою панель управления WordPress при подключении к незащищенной сети (например, в кофейнях, публичных библиотеках и т. д.), не забудьте использовать безопасный VPN, который защитит вашу регистрационную информацию.

Шаг 6 – Сканирование WordPress на наличие вредоносных программ

Чтобы заразить WordPress, хакеры часто используют дыры в шаблонах или плагинах. Поэтому, важно почаще проводить проверку вашего блога. Существует множество хорошо написанных плагинов для этих целей. WordFence выделяется из этого множества. Он предлагает руководство по применению и возможность автоматической проверки, вместе с кучей других разных настроек. Вы даже можете восстановить модифицированные/зараженные файлы в пару кликов. Распространяется он на бесплатной основе. Этих фактов должно быть достаточно, чтобы вы установили его прямо сейчас.

Другие популярные плагины для усиления безопасности WordPress:

  • BulletProof Security – в отличии от WordFence, о котором мы говорили ранее, BulletProof не сканирует ваши файлы, но он предоставляет вам фаервол, защиту базы данных и т.д. Отличительной особенностью является возможность настройки и установки плагина в несколько кликов мыши.
  • Sucuri Security – этот плагин защитит вас от DDOS атак, содержит черный список, сканирует ваш сайт на наличие вредоносных программ и управляет вашим фаерволом. При обнаружении чего-либо. вы будете оповещены через электронную почту. Google, Norton, McAfee – в этот плагин включены все черные списки из этих программ. Вы можете найти полное руководство об установке плагинов для сайта WordPress .

Шаг 11 – Использование .htaccess для улучшения защиты WordPress

.htaccess это файл необходимый для корректной работы ссылок WordPress. Без правильных записей в файле .htaccess, вы будете получать много ошибок 404.

Не так много пользователей знают, что .htaccess может быть использован для улучшения защиты WordPress. К примеру, вы можете блокировать доступ или отключать выполнение PHP в определенных папках. Внизу приведены примеры того, как вы можете использовать .htaccess для улучшения безопасности сайта на WordPress.

ВАЖНО! Перед тем, как вы произведете изменения в файле, сделайте резервное копирование старого файла .htaccess. Для этого вы можете использовать FTP клиент или Файловый менеджер.

Запрет доступа к административной части WordPress

Код ниже позволит вам получать доступ к административной части WordPress только с определенных IP.

AuthUserFile /dev/null AuthGroupFile /dev/null AuthName «WordPress Admin Access Control» AuthType Basic <LIMIT GET> order deny,allow deny from all allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx </LIMIT>

Заметьте, что вам нужно изменить XX.XX.XX.XXX на ваш IP адрес. Вы можете использовать этот сайт для проверки вашего нынешнего IP. Если вы используете больше чем одно подключение для управления сайтом на WordPress, то удостоверьтесь, что написали другие IP адреса (добавляйте столько адресов, сколько вам понадобится). Не рекомендуется использовать этот код, если у вас динамический IP адрес.

Отключение выполнения PHP в определенных папках

Хакеры любят загружать бэкдор скрипты в папку загрузок WordPress. По умолчанию эта папка используется только для хранения медиафайлов. Следовательно, не должна содержать каких-либо PHP файлов. Вы можете легко отключить выполнение PHP, создав новый файл .htaccess в /wp-content/uploads/ с такими правилами:

<Files *.php> deny from all </Files>

Защита файла wp-config.php

Файл wp-config.php содержит ядро настроек WordPress и детали базы данных MySQL. Следовательно, это самый важный файл в WordPress. Поэтому он чаще всего становится главной целью WordPress хакеров. Однако вы можете легко обезопасить его используя следующие правила в .htaccess:

<files wp-config.php> order allow,deny deny from all </files>

Шаг 12 – Изменение стандартных префиксов базы данных WordPress для предотвращения внедрения SQL-кода

База данных WordPress содержит и хранит в себе всю ключевую информацию необходимую для работы вашего сайта. В результате, она становится еще одной целью хакеров и спамеров, которые выполняют автоматизированный код для проведения внедрения SQL-кода. Во время установки WordPress, многие люди не утруждают себя изменением стандартного префикса базы данных wp_. Согласно данным WordFence, 1 из 5 взломов WordPress связан с внедрением SQL-кода. Так как wp_ это одно из стандартных значений, сперва хакеры начинают именно с него. На данном этапе мы кратко рассмотрим, как защитить сайт на WordPress от подобного рода атак.

Изменение таблицы префиксов для существующего сайта на WordPress

ВАЖНО! Главное это безопасность! Перед началом, удостоверьтесь, что сделали бэкап вашей базы данных MySQL.

Часть первая – Изменение префикса в wp-config.php

Найдите ваш файл wp-config.php используя FTP клиент или Файловый менеджер найдите строку со значением $table_prefix.

Можете добавить дополнительные цифры, буквы или нижние подчеркивания. После этого, сохраните изменения и перейдите к следующему этапу, В этом руководстве мы используем wp_1secure1_, как новый префикс таблицы.

Пока вы находитесь в вашем файле wp-config.php, также найдите имя вашей базы данных, чтобы знать какую именно изменить. Поищите в секции define(‘DB_NAME’.

Часть вторая – Обновление всех таблиц базы данных

Сейчас вам нужно обновить все записи в вашей базе данных. Это может быть сделано используя phpMyAdmin.

Найдите базу данных определенную в первой части и войдите в нее.

По умолчанию, установка WordPress имеет 12 таблиц и каждая должна быть обновлена. Однако это можно сделать быстрее, используя раздел SQL в phpMyAdmin.

Изменять каждую таблицу вручную займет огромное количество времени, поэтому мы используем SQL запросы, чтобы ускорить процесс. Используйте следующий синтаксис для обновления всех таблиц в вашей базе данных:

RENAME table `wp_commentmeta` TO `wp_1secure1_commentmeta`; RENAME table `wp_comments` TO `wp_1secure1_comments`; RENAME table `wp_links` TO `wp_1secure1_links`; RENAME table `wp_options` TO `wp_1secure1_options`; RENAME table `wp_postmeta` TO `wp_1secure1_postmeta`; RENAME table `wp_posts` TO `wp_1secure1_posts`; RENAME table `wp_terms` TO `wp_1secure1_terms`; RENAME table `wp_termmeta` TO `wp_1secure1_termmeta`; RENAME table `wp_term_relationships` TO `wp_1secure1_term_relationships`; RENAME table `wp_term_taxonomy` TO `wp_1secure1_term_taxonomy`; RENAME table `wp_usermeta` TO `wp_1secure1_usermeta`; RENAME table `wp_users` TO `wp_1secure1_users`;

Некоторые шаблоны WordPress или плагины могут добавлять дополнительные таблицы в базу данных. В случае если у вас больше 12 таблиц в базе данных MySQL, добавьте оставшиеся из них вручную в запрос SQL и выполните его.

Часть третья – Проверка опций и пользовательских таблиц метаданных

В зависимости от числа плагинов которые вы установили, некоторые значения в вашей базе данных должны быть обновлены вручную. Сделать это можно выполнив отдельные SQL запросы на таблицу опций и метаданных.

Для таблицы опций, вы должны использовать:

SELECT * FROM `wp_1secure1_options` WHERE `option_name` LIKE `%wp_%`

Для таблицы метаданных, вы должны использовать:

SELECT * FROM `wp_1secure1_usermeta` WHERE `meta_key` LIKE `%wp_%`

Когда вы получите результаты запроса, просто обновите все значения с wp_ на ваш новый настроенный префикс. В таблице метаданных пользователя вам нужно отредактировать поле meta_key, тогда как для опций, необходимо изменить значение option_name.

Обеспечение безопасности новых установок WordPress

Если вы планируете устанавливать новые сайты WordPress, вам нет необходимости вновь выполнять данный процесс. Вы легко сможете поменять префиксы таблиц WordPress в процессе установки:

Поздравляем! Вы успешно улучшили безопасность вашей базы данных от внедрения SQL-кода.

20 советов по защите сайта или блога от взлома

Каждый интернет-предприниматель знает об угрозе взлома сайта и потери важных данных. Но многие владельцы ресурсов пренебрегают правилами безопасности. Они думают, что хакеров интересует только крупная добыча, например, сайты крупных ритейлеров Target и Neiman Marcus, порталы органов власти или крупных СМИ. В действительности, каждый сайт подвергается опасности взлома. Хакеры могут атаковать ваш блог или корпоративный портал даже ради развлечения.

В этой статье вы найдете рекомендации, которые помогут вам уменьшить вероятность взлома сайта и связанных с этим потерь.

Абсолютно надежных способов защиты сайтов от взлома не существует. Однако воспользовавшись нижеследующими рекомендациями, вы значительно уменьшите подверженность взлому вашего ресурса. Кроме того, вы полностью защититесь от непрофессиональных взломщиков. Чтобы не подарить сайт злоумышленникам, воспользуйтесь такими советами:

  1. Не используйте логин admin для входа в панель администратора сайта. Это первый вариант, который попробует пятиклассник Ваня, считающий себя начинающим хакером.

  1. Не используйте в качестве логина реальные имена и фамилии, а также публичные электронные адреса. Используйте логин, который не имеет отношения к вашему сайту и публичной деятельности.
  2. Создайте резервную учетную запись с правами администратора. Это необходимо на случай, если ваш админ уедет в отпуск, а вам придется быстро защищать сайт от атаки или восстанавливать данные.
  3. Следите за правами зарегистрированных пользователей. Не предоставляйте им права редактора или администратора без крайней необходимости.
  4. Лишайте пользователей административных прав и удаляйте их учетную запись в случае увольнения. Это актуально для крупных организаций, в штате которых работают десятки или сотни сотрудников. Обяжите отдел персонала уведомлять IT-службу об увольнении сотрудников и необходимости удалить их учетную запись.
  5. Не используйте в качестве пароля простые слова, комбинации цифр, имена, дни рождения.
  6. Не используйте один пароль для доступа к разным системам, например, к сайту, личной электронной почте и интернет-банкингу. Это особенно опасно, если ваш пароль легко подобрать.
  7. Не используйте общий пароль для всех сотрудников организации. В этом случае вам будет сложно контролировать безопасность сайта.
  8. Не используйте слишком сложные пароли, которые невозможно запомнить. В этом случае их придется записывать на бумагу. Например, некоторые люди вешают стикер с логином и сложным паролем на монитор компьютера, а потом жалуются на ужасных хакеров. Если вы все же записали пароль в блокнот, храните его в доступном только вам месте.

  1. Используйте надежный пароль. Используйте в кодовом слове комбинацию больших и маленьких букв, цифр, специальных символов. Если вы боитесь забыть пароль, придумайте короткую фразу, транслитерируйте ее и используйте без пробелов в качестве кода доступа. Например, фраза «я люблю летать на Сатурн» в качестве пароля будет выглядеть так: yalyublyuletatnasaturn. Этот пароль легко запомнить. Думаете, не вы один любите летать на Сатурн? Усложните пароль: Yalyublyule_tatnasaTurn48. Или так: Nasaturn_s_lenkoi_letatlyublyu.
  2. Следите за безопасностью в сети. Не давайте сторонним сайтам или сервисам доступа к вашему ПК.
  3. Регулярно изменяйте пароль от сайта. Делайте это каждые 90 дней, даже если вы уверены, что кодовое слово находится в безопасности. Ваша уверенность не защищает от возможности кражи пароля.
  4. Не отправляйте логин и пароль от сайта с помощью электронной почты. Если у вас нет другого выхода, отправьте пароль и логин с разных ящиков. Попросите получателя удалить письма после прочтения. Не пишите в теме письма слов «пароль», «логин», доступ к сайту» и т.п.
  5. Отправляя пароль с помощью электронной почты или мессенджера, убедитесь, что общаетесь с одним человеком. Например, проверьте, не отправляете ли вы кому-нибудь копии письма с паролем.
  6. Немедленно меняйте пароль и логин от сайта, который известен посторонним лицам. Например, если вы наняли на разовую работу программиста и дали ему доступ к административной панели, измените кодовое слово после завершения сотрудничества.
  7. Добавьте ресурс в сервисы «Яндекс.Вебмастер» и инструменты для веб-мастеров Google. В этом случае вы быстро узнаете о появлении на сайте вредоносного кода. Заранее подготовьтесь к необходимости экстренного восстановления сайта. Запишите телефон и электронную почту хостинг-провайдера, подумайте, какие каналы вы сможете использовать для общения с клиентами до восстановления ресурса.
  8. Регулярно создавайте резервные копии сайта или блога. Используйте для этого штатные средства CMS или дополнительные плагины. Храните резервные копии в надежном и доступном месте.
  9. Заранее узнайте, как восстанавливать данные с помощью резервных копий. Или убедитесь, что у вас есть контактные данные специалистов, которые помогут решить соответствующий вопрос.
  10. Регулярно обновляйте программное обеспечение. Это касается CMS, серверного программного обеспечения, плагинов для популярных блог-платформ и т.п.
  11. Защищайте сайт от взлома методом полного перебора. Для этого используйте или программы, ограничивающие возможность входа в административную панель после нескольких неудачных попыток.

Описанные рекомендации защитят вас от хакеров-любителей, которые взламывают ресурсы ради спортивного интереса. Также соблюдение советов уменьшает вероятность потери сайта в результате направленных атак.

А как вы защищаете сайт или блог от взлома?

Плагин Anti-XSS attack по праву считается одним из базовых элементов, просто требующих установки. Но обо всем по порядку.

Для начала предлагаем разобраться, что же за загадочный зверек XSS. В переводе с английского эта не всем пользователям понятная аббревиатура означает «межсайтовый скриптинг» и подразумевает под собой внесение вредосносного кода в определенную страницу сайта, которой в данный момент времени управляет явно не доброжелатель.

К сожалению, в мире нет ничего совершенного, и даже самые последние версии WordPress – не исключение. При глубоком и тщательном поиске недоброжелатели вполне способны найти «дыры» в защите системы и использовать найденную уязвимость в своих, весьма неблаговидных целях. Злоумышленник, обнаружив баги в защите вполне способен получить доступ к вашей админке, отправляя и формируя специальный запрос в адрес вашего веб-ресурса.

Работает плагин таким образом:

Данные на ваш сайт могут приходить двух видов: _POST и _GET. Первый метод подразумевает, что передача данных осуществляется в скрытом виде, а во втором случае передача данных происходит посредством адресной строки сайта. Работа плагина в первом и во втором случаях несколько отличается, но суть остается неизменной – в случае обнаружения угрозы выполнение скрипта приостанавливается, и проникновение в админку сайта предотвращается.

Как установить:

Устанавливается плагин довольно просто. Для начала необходимо скопировать его и вставить в папку с остальными плагинами. Затем, уже через админ-панель его необходимо активировать.

Важно обратить внимание на то, что если в вашем браузере не включена передача refer, то плагин, с большой долей вероятности, будет расценивать все ваши действия WordPress как XSS атаку. Поэтому, необходимо включить данную настройку, желательно сделать это перед установкой плагина. Если вы забыли это сделать перед активацией Anti-XSS attack и по этой причине доступ в админку блокируется, вам придется удалить файл плагина для того, чтобы WordPress его автоматически отключил, затем включить передачу refer и заново установить плагин.

С Уважением, Сергей Курников

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *