Безопасность WordPress – эффективные способы защиты блога | BloggerMen

Безопасность WordPress – эффективные способы защиты блога

Рубрика: WordPress

Безопасность WordpressНа тему безопасности WordPress написано уже немало постов, предлагающих достаточно эффективные способы защиты блога. Тем не менее, многие вебмастера продолжают упорно игнорировать элементарные правила.

Надо признать, к их числу относился и я. Единственные меры безопасности, которые я принимал – подбор сложного пароля и скрытие версии WordPress. Но несколько дней назад на почту пришло сообщение, что кто-то запросил изменение пароля для блога.

Вроде бы ничего страшного не случилось, но это событие развеяло все сомнения относительно необходимости вплотную заняться безопасностью блога. Сразу появилось и время, и желание Безопасность вордпресс

В результате, после прочтение десятка постов, выделил для себя эффективные методы обеспечения безопасности WordPress, реализация которых не займет много времени и не потребует каких-то специальных знаний.

Понятно, что никакие меры предосторожности не помогут, если кто-то захочет взломать именно ваш блог. Но это не повод игнорировать их. Замок в квартире тоже можно открыть, но вы же не оставляете дверь незапертой Безопасность Wordpress

Как обеспечить безопасность WordPress

Обратите внимание, что многие меры безопасности можно принять уже на этапе создания блога и в дальнейшем не возвращаться к ним.

Сложный пароль

Большинство блогов взламываются именно подбором паролей. И дело не в том, что это самое слабое место. Просто многие пренебрегают элементарной безопасностью и используют простейшие комбинации. Например, дату рождения или собственное имя, подобрать которые не составляет особого труда.

Чтобы уменьшить вероятность взлома, используйте как минимум 8-значные пароли, а лучше 10 и более. Желательно, чтобы они содержали строчные и прописные буквы, цифры и спецсимволы.

Понятно, что держать в голове такие комбинации не получится, но это и не нужно. Есть специальные программы, которые надежно защитят ваши данные. Об одной из них я писал в посте «Где хранить пароли блоггеру».

Изменяем имя пользователя

При установке WordPress создается учетная запись администратора с именем «admin», что существенно облегчает работу хакерам. Ведь зная логин, подобрать пароль намного проще.

Изменить ник «admin» можно разными способами. Начиная от запроса к базе данных и заканчивая использованием плагинов. Но самый простой способ – создать нового пользователя с правами администратора, затем выйти из админки блога и залогиниться под новым ником. После чего следует проверить: все ли функции доступны, и удалить первую учетную запись, связав все записи с новым пользователем.

Скрываем версию WordPress

Не все блоггеры вовремя обновляют WordPress, тем самым облегчая задачу злоумышленникам. Зная версию WordPress, а, соответственно, и ее слабые места, взломать блог намного проще. Посмотреть ее достаточно просто в исходном коде страницы. Вот оттуда ее и нужно убрать.

Сделать это не так сложно. Нужно только отредактировать пару файлов шаблона. Первым открываем header.php, в котором находим и удаляем такую строку:

<meta name="generator" content="WordPress<?php bloginfo ('version'); ?>" />

После чего открываем файл functions.php и добавляем такой код:

<?php remove_action ('wp_head', 'wp_generator'); ?>

Изменяем префикс БД

Таблицы баз данных в WordPress по умолчанию имеют префикс «wp_», что существенно снижает безопасность блога. Чтобы устранить этот недостаток, нужно изменить префикс на более сложный.

Сделать это можно разными способами, но проще всего воспользоваться плагином WPSecurityScan. После установки и активации, в админке блога появится вкладка «Безопасность». Открыв которую, можно в два клика изменить префикс БД. Только не забудьте поставить после него нижнее подчеркивание.

Корректируем права на файлы и папки

Права на файлы и папки устанавливаются автоматически при закачке сайта на хостинг. Но бывает, что в процессе работы их приходится изменять. Например, для редактирования файлов темы. Поэтому, после внесения всех необходимых изменений, не забывайте выставить их обратно.

Для тех, кто еще не знает, права на папки должны быть 755, кроме cache и uploads (у них 777), а на файлы – 644.

Генерируем ключи безопасности

В файле wp-config.php есть 4 ключа, которые необходимы для обеспечения защиты блога. Придумывать самому ничего не нужно. Их можно автоматически сгенерировать по этой ссылке и вставить в соответствующие строки wp-config.php.

Защита блога на Wordpress

Закрываем возможность просмотра директорий на сервере

Достаточно часто хостеры не закрывают возможность просмотра директорий, что не очень хорошо с точки зрения безопасности WordPress.

Закрыть их от просмотра можно двумя способами: создать пустой файл index.html и поместить его в папку с плагинами wp-content/plugins или прописать в файле .htaccess следующую строку:

Options-Indexes

Изменяем адрес страницы авторизации

По умолчанию страница входа в админку блога находится по адресу: вашблог.ru/wp-login, что в очередной раз облегчает задачу взломщикам. Ведь ее даже искать не нужно.

Решается проблема довольно легко. Поможет плагин StealthLogin, который позволяет изменить адрес страницы авторизации. Придумать его можете самостоятельно.

Устанавливаем плагин Login Lock Down

После трех неудачных попыток авторизации плагин блокирует IP с которого идут запросы. Время блокировки можно задать в настройках. Помимо этого он фиксирует все неудачные попытки входа в админку. В любое время вы можете просмотреть с каких IP производилась попытка авторизации и в какое время.

Используйте плагин WP Security Scan

Как написано выше, плагин позволяет изменить префикс БД, но это не основное его назначение. Плагин предназначен для поиска слабых мест в защите блога. Он не только находит их, но и предлагает устранить.

Кроме изменения префикса, он позволяет скрыть версию WordPress, изменить имя пользователя, покажет неправильно выставленные права на файлы и папки и простой пароль.

После сканирования блога и устранения недостатков плагин можно деактивировать и удалить.

Устанавливаем плагин Secure WordPress

После того, как мы изменили имя пользователя, выбрали сложный пароль и ограничили количество попыток авторизации, осталось только убрать сообщение об ошибке входа, чтобы доставить еще больше проблем злоумышленнику. С этой задачей прекрасно справляется SecureWordPress. Ко всему прочему он добавляет пустой файл index.html в папку с плагинами, тем самым, запрещая возможность просмотра списка установленных плагинов.

Не храним пароли в FTP клиентах

Несмотря на очевидность этого пункта, некоторые его просто игнорируют, сводя на нет все предыдущие усилия по обеспечению безопасности WordPress.

Обновляем WordPress и плагины

В каждой новой версии WordPress учтены и исправлены все уязвимости предыдущих. Поэтому не забывайте обновляться. Это обеспечит дополнительную защиту блога. То же самое относиться и к плагинам.

Удаляем неиспользованные плагины

Каждый плагин – потенциальная угроза безопасности WordPress, и не важно, активирован он или нет. Поэтому неиспользованные плагины желательно удалить с сервера. При необходимости их можно закачать заново, много времени это не займет.

Делаем бэкапы БД и файлов движка

Пожалуй, это основной пункт, который позволяет обеспечить безопасность блога. Резервные копии дадут возможность в любой момент восстановить его. Главное, чтобы они были свежие.

Подробно этот процесс я уже описывал в статье «Резервное копирование сайта». При наличии бэкапа, сохраненного на двух (мало ли что Безопасность Wordpress ) носителях, можно спать спокойно.

К тому же, файлы движка нужно обновлять только после внесения каких-либо изменений. А бэкап БД можно ежедневно получать по почте, благодаря плагину WP DataBase Backup.

Придерживаясь таких несложных рекомендаций, вы сможете обеспечить вполне достойную защиту блога. Если у вас есть свои способы обеспечить безопасность WordPress, пишите в комментариях.

P. S. Если не хотите разбираться во всем этом, можно просто нанять специалиста, который оказывает услуги по WordPress. В частности хотелось бы порекомендовать Илью. На днях он помог мне в решении небольшой проблемы, за что ему отдельное спасибо.

Popularity: 4% [?]

 

Похожие записи:

Комментарии: (23)

Огромное спасибо! Пока только бегло посмотрел в ридере статью, но сразу видно, что очень много всего нужно. Сейчас буду разбираться.

Пожалуйста :)

Ну ты меня прямо напугал, даже комментарий оставить боюсь со ссылкой на блог :)

Но вообще я ведь тоже к этому не особо серьезно отношусь...Задумался...По крайней мере что-то из вышеперечисленного сделать не составит труда.

Оставляй без ссылки ;)

Спасибо, систематизировали самые важные моменты. Хочу попробовать проверить WP Security Scan, хотя почти все, описанное вам и в той или иной степени применял.

Обязательно попробуйте, сам неожидал насколько удобный плагин.

Серьезная подборка. Сразу видно что долго работал над ней. Добавлю в себе в еверноут, на будущее.

И запомните если Ваш сайт захотят сломать, его сломают. Всегда делайте бекапы.

Писал как инструкцию, чтобы при создании нового блога, не выискивать все по новой.

По поводу бэкапов ты прав — это лучшая защита.

Кое о чём знал, но большинство советов в новинку.

Будем работать над этим.

Столько много нового узнала!

Спасибо!

Расскажите, какую опастность несет в себе стандартный префикс бд?

Зная префикс, какой-нибудь хакер может отправить запрос к БД для выполнения произвольного кода.

Спасибо, какие-то меры безопасности, конечно, применяла, в том числе еженедельные бэкапы, но нашла для себя много нового и интересного. Коротко, понятно, по существу — здорово!

Утешает то, что мой сайтик узкоспециализированный и вряд ли представляет интерес для взломщиков. На досуге займусь претворением Ваших советов в жизнь!

То, что сайт узкоспециализированный, еще не показатель. Взломщикам это безразлично :)

Спасибо за информацию. А для чего все-таки взламывают блоги? Даже «узкоспециализированные»... Что это даёт взломщикам?

Причины могут быть разные. Например, могут поставить несколько скрытых ссылок.

Зачет! Полнейшая сборочка. Из всего перечисленного у меня за постулат принято только генерировать секретные ключи сразу после установки блога (это напрямую может отразиться на работе некоторых плагинов, к примеру, тот же wp-backup после его активации может перестать пускать в админку, если в wp-config.php не прописаны эти самые злосчастные ключи) и в обязательном порядке делать еженедельные бэкапы БД и хотя бы раз в пару месяцев бэкапы всего сайта. На WordPress бэкапы по расписанию настраиваю как раз в wp-backup, и они приходят на почту, а бэкапы сайта сливаю раз в пару месяцев или после всех значительных изменений руками. Ну, и естественно сложный пароль! Вот так вот и блюду безопасность :) . На плагины и прочее, честно, жалко времени. Наверное после взлома быстрее восстановить все из бэкапов и как раз пройтись по вашему списку, чем выполнять все это каждый раз после установки нового сайта.

А как делать бэкап всего сайта?

К сожалению Stealth Login поддерживает вордпресс только до версии 2.7.1 :(

Можете аналог посоветовать какой-нибудь?

А за статью благодарю, все вышеперечисленное проделал.

К сожалению, не могу. Я его тестировал как раз на версии 2.7.1. На более поздних не пробовал.

Если поменять ключи безопасности уже после установки, то уже зарегистрированные пользователи смогут зайти на сайт?

Разобрался. Если пользоваться именно ссылкой, то будет предложено изменить только ключи, а соль останется какой была.

Сохранение изменений приведет к забыванию авторизации. Нужно просто перезайти. Все пользователи цели, войти снова можно.

Оставить комментарий