Від автора: напевно, ні для кого не буде великим відкриттям, що одним з найбільш популярних движків для створення блогів і міні-сайтів у наш час є WordPress. Давайте поговоримо про безпеку сайтів на WordPress про те як захистити його від поганих людей, тобто від зловмисників.
Нижче Ви можете побачити різні поради, хакі і плагіни, які допоможуть вам значно збільшити безпеку WordPress сайтів, але попереджаю, що 100% безпеки вони не дадуть.
Поради, як убезпечити сайт на WordPress
1. Оновлюйте движок і плагіни
Як тільки виходить нова версія, не полінуйтеся і оновіть систему. Коли у Вас стоїть остання версія wordpress’а і плагінів тоді у Вас більше шансів відбитися від хакерських експлойтів (це програма або скрипт, які отримують доступ до ресурсів за рахунок вразливостей в системі), і ще оновлені плагіни можуть зменшити навантаження на Ваш хостинг.
До речі плагіни, які Ви не використовуєте (тобто неактивні), потрібно видалити, оскільки вони несуть загрозу для безпеки WordPress.
2. Паролі
Пароль до адмін. панель сайту повинен бути дуже складним, як мінімум 10 символів (рядкові і прописні букви, цифри і різні спецсимволи), ні в якому випадки паролем не повинна бути дата вашого народження або ваш нік. Для зберігання паролів користуйтеся спеціальним софтом, наприклад «Kee Pass» або сеціальним блокнотом.
3. Бекап БД
Робимо Бекап БД (Бази Даних), як можна частіше, тоді у нас завжди буде на руках резервна копія сайту, за допомогою якої ми завжди зможемо відновити свій сайт.
Для того що б зробити бекап БД, потрібно встановити плагін «WP DataBase Backup», в налаштуваннях якого Вам потрібно вписати свій email на який буде відправлятися резервна копія БД. До речі, там, в налаштуваннях плагіна, можна налаштувати час відправки бекапу Бази Даних, я рекомендую поставити 1 раз в день.
4. Файл wp-config.php
Приховуємо файл wp-config.php від чужих очей. Всі знають, де знаходиться цей файл, в цьому файлі записана вся інформація про доступ до БД сайту. Звичайно, зловмисник буде шукати шляхи, як отримати доступу до файлу wp-config.php. Ми в свою чергу повинні сховати цей файл від тих, хто захоче отримати доступ до нього, просто візьміть і перемістіть wp-config.php на один рівень вгору в ієрархії вашого сервера (це ніяк не вплине на роботу блогу).
5. Ключі безпеки
Ключі безпеки у файлі wp-config.php потрібно завжди при установці WordPress ставити ключі безпеки, багато хто навіть і не знаю про існування таких ключів. Все що нам потрібно зробити так це зайти на спеціальний сайт, де автоматично сгенерируются ці ключі, а потім відкрити файл wp-config.php і вставити ключі безпеки.
Хакі для безпеки WordPress
1. Версія WordPress
. Приховуємо версію WordPress від чужих очей. Щоб подивитися, яка версія WP у Вас стоїть, зловмиснику вистачить переглянути вихідний код вашого блогу, і там він побачить ось такий рядок:
Щоб приховати версію WordPress, потрібно зайти в файл function.php (він знаходиться в папці шаблону), і вставте ось цей код:
А потім трохи відредагувати файл header.php (він знаходиться в папці шаблону). Зайдіть до нього і знайдіть ось такий шматок коду і видаліть його:
2. Перегляд директорій
Закриваємо перегляд директорій. Деякі хостинги дозволяють переглядати директорії сайту (папки сайту), ми ж не хочемо, щоб погані люди могли переглядати наші папки на сервері. Для цього потрібно закрити цю лазівку. Зайдіть в файл .htaccess (що б редагувати цей файл, відкрийте його за допомогою блокнота) і додайте ось цей рядок:
Options-Indexes
3. Помилка авторизації
Відключаємо повідомлення про помилки авторизації при заході в адмінку WordPress. Може, хтось помічав, що коли вводиш невірно пароль при вході в адмін. панель, WP виводить ось таке повідомлення:
Таке ж повідомлення з’являється, коли введено невірно логін, це ще одна лазівка для поганих людей. Щоб вимкнути ці повідомлення потрібно зайти в файл function.php (він знаходиться в папці шаблону), і вставити з нового рядка ось цей код:
4. Захист на файл налаштувань WordPress
Вище я вже писав, що у файлі wp-config.php записані всі дані про доступ до БД сайту, а це логін, пароль і назву Бази Даних. Щоб поганий чоловік не отримав доступ до файла налаштувань WP, нам потрібно поставити захист у файлі .htaccess файл wp-config.php. Для цього вставте ось цей код з нового рядка у файлі .htaccess (щоб редагувати цей файл, відкрийте його за допомогою блокнота):
order allow,deny
deny from all
5. Захищаємо WordPress від шкідливих скриптів
Зловмисник може написати шкідливий скрипт, який відправить через форму на сайті у вигляді запиту. Щоб присікати на корені такі шкідливі запити, потрібно ці запити перевіряти, чи немає в них коду скрипта чи імена змінних. Для цього з нового рядка у файлі .htaccess пишемо ось цей код:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
6. Використання SSL
Використання SSL (криптографічного)– протоколу для захисту переданих даних між користувачем і сервером. Перш ніж включити використання SSL – протоколу дізнайтеся, чи підтримує Ваш хостинг SSL-протокол. Якщо підтримує, тоді щоб його включити, зайдіть в файл function.php (він знаходиться в папці шаблону), і вставити з нового рядка цей код:
Плагіни для безпеки WordPress
1. WP Antivirus
WP Antivirus – невеликий антивірус для WordPress, який перевіряє всі файли вашого шаблону на наявність шкідливих кодів, якщо він щось небезпечне знаходить, тоді він повідомить Вам. А також, якщо хочете отримувати щоденний звіт на свій email, тоді в налаштуваннях плагіну потрібно вписати свій email і поставити галочку біля пункту «Включити щоденне сканування антивірусом».
2. Login LockDown
Login LockDown – плагін, з допомогу якого можна поставити кількість спроб авторизуватися в адмін. панель WP, а також можна блокувати на певний час IP тих користувачів, які кілька разів поспіль вводили неправильний дані. В налаштуваннях плагіна Ви побачите такі параметри як:
Max Login Retries – кількість спроб для авторизації
Retry Time Period Restriction (minutes) – час, через яке буде заблокований чоловік, який декілька разів поспіль не зміг авторизуватись.
Lockout Length (minutes) – час, на який блокується людина.
Mask Login Errors? – сховати повідомлення про неправильному введенні логіна або пароля.
Currently Locked Out – список, в якому показуються IP, з яких були зроблені невдалі авторизації і їх час.
3. WP Security Scan
WP Security Scan – дуже хороший плагін для аналізу безпеки сайту на WP. В настоянках плагіна є вкладка «Scanner», там можна подивитися на всіх файлах і папках стоять правильні права доступу (для папок права доступу мають бути 755, крім таких папок як cache і uploads на них 777, а на файли – 644).
Таблиці в Базі Даних WordPress за замовчуванням при установці мають префікс «wp_», це є не дуже добре, для усунення цієї проблеми потрібно перейменувати цей префікс на більш складний. Щоб не влазити в БД і все правити руками, можна скористатися WP Security Scan, він сам перейменує у всіх таблицях префікс на новий. Вам потрібно тільки на вкладці «Database» вписати, який саме префікс Ви хочете.
Після сканування сайту і усунення всіх лазівок, плагін WP Security Scan можна вимкнути і видалити.
4. Stealth Login
Stealth Login – з допомогою цього плагін можна заховати сторінку авторизації від поганих людей. Наприклад, замість стандартної сторінки авторизації «ваш-сайт.ru/login.php» можна поставити ось такий адресу «ваш-сайт.ru/admin» чи якийсь інший. Це вже залежить від ваших потреб і фантазії.
5. Anti-XSS attack
Anti-XSS attack – вже з назви плагіна можна зрозуміти для чого він. Плагін призначений для відбивання XSS атак на WordPress. Докладніше про те, як працює плагін можна прочитати на сторінці автора плагіна (російською). Anti-XSS attack не має ніяких налаштувань, просто активуйте плагін і все, захист від XSS атак буде автоматично включена.
Висновок
Ось і весь список основних порад, хаків і плагінів які можна використовувати для посилення безпеки сайту на WordPress.
Якщо у Вас є ще якісь поради або хакі, якими Ви користуєтеся, тоді поділіться з нами в коментарях.
E-mail: [email protected]
