Когда речь идет о популярных CMS для создания сайта, то сразу в голову приходит . Не удивительно, ведь он является самой популярной системой в мире для управления содержимым сайта. Если верить статистике, то 43.2% всех онлайн-ресурсов в интернете используют именно его.
К сожалению, популярность WordPress привлекает не только создателей сайтов, но и мошенников, которые пытаются взломать их. Делают они это при помощи поиска уязвимостей, брешей в безопасности.
Нет, это не значит, что WP опасен или имеет плохую систему защиты. Большинство взломов связаны не с уязвимостью самой CMS, а с беспечностью пользователей, недостатком их осведомленности.
И мы приготовили для вас 22 метода повышения уровня безопасности сайта на WP, которые помогут вам справится с атаками злоумышленников. В статье собраны лучшие практики безопасности с использованием плагинов защиты и без. Некоторые советы можно применять не только к платформам на WordPress, но и другим.
Почему вам следует защитить сайт на WorPress?Безопасность важна, ее нельзя игнорировать. Если ваш онлайн-ресурс подвергается взлому или атакам со стороны интернет-мошенников, хакеров, то есть большая вероятность потерять важные данные (пользователей, банковские счета, реквизиты, пароли, доступ к аккаунтам), активы, доверие аудитории. В случае серьезного ущерба пользователям вы можете потерпеть серьезные репутационные риски.
Согласно исследованиям, к 2025 году общий ущерб от действий хакеров может достичь 10.5 триллионов долларов США. Не думаем, что вы бы хотели пополнить число лиц, которые стали жертвами мошенников.
Представляем топ-уязвимостей, которые были представлены ресурсом .
WPScan – программа-сканер, которая помогает находить уязвимости в сайтах на WordPress.
Подделка межсайтовых запросов или Cross-site request forgery (CSRF) – тип атаки, при которой злоумышленник при помощи скрипта или мошеннического сайта заставляет браузер пользователя выполнить нежелательное действие на доверенном сайте, на котором пользователь авторизован.
Атаки распределенного отказа в обслуживании Distributed denial-of-service (DDoS) attack. Это один из самых распространённых форматов атак. Хакеры перегружают систему сайта числом нежелательных запросов и соединений, система не справляется с нагрузкой и выходит из строя.
Обход системы аутентификации. Отсутствие системы аутентификации пользователя дает возможность хакерам просто, быстро получить доступ к вашей системе.
SQL (SQLi) или внедрение SQL-кода. Распространенный метод взлома, который основан на внедрении в запросы произвольного SQL-кода. Такой тип атаки дает хакерам возможность проводить различные манипуляции с базой данных. Хакеры используют фрагмент вредоносного кода, который написан на языке SQL и получают доступ к необходимой информации.
Межсайтовый скриптинг (XSS). Тип атаки на систему, который внедряет в страницу сайта или приложения вредоносный код. Когда пользователь открывает зараженную страницу, скрипт сразу начинает взаимодействие с серверами злоумышленников.
Включение локальных файлов (LFI) – одна из самых опасных угроз. Она позволяет злоумышленникам получить доступ к данным при помощи специально сформированного запроса, в том числе содержащим конфиденциальную информацию.
Выше мы перечислили самые опасные, популярные угрозы вашему сайту на WP. Их больше, но вышеперечисленные являются самыми опасными. Как с ними бороться? Комплексно. Одного или двух вариантов защиты будет недостаточно. Защита сайта на WordPress – комплексная процедура.
Мы приготовили для вас чеклист (лучше загрузите его или запишите), чтобы не потерять), который поможет отслеживать прогресс улучшения системы безопасности вашего сайта. Также наши специалисты приготовили для вас несколько ценных советов.
Как защитить свой сайт на WordPress?Регулярно обновляйте ваш сайт.
Используйте безопасные данные учетных записей для входа в wp-admin.
Настройте белый список и черный список учетных записей для доступа к админке (страницы администратора).
Используйте только надежные темы.
Установите SSL-сертификат для безопасной передачи данных.
Удалите неиспользуемые плагины и темы.
Используйте двухфакторную аутентификацию.
Регулярно создавайте бекапы.
Установите лимит на число неудачных попыток входа в аккаунт.
Измените URL-адрес страницы входа WordPress.
Добавьте функцию автоматического выхода инактивных пользователей.
Отслеживайте активность пользователей.
Регулярно проводите мониторинг на наличие вредоносного ПО.
Отключите функцию отчета об ошибках PHP.
Выбирайте безопасный, надежный хостинг для вашего онлайн-продукта.
Отключите возможность редактирования файлов.
Используйте файл .htaccess для отключения выполнения PHP-файлов и защиты файла wp-config.php.
Измените префикс базы данных WP по умолчанию.
Отключите опцию XML-RPC.
Скройте данные о версии WordPress.
Запретите хотлинкинг.
Управляйте правами к папкам и файлам.
Сейчас мы расскажем вам о 6 простых, но очень важных моментах по безопасности, которые может реализовать каждый. Они не требуют глубоких технических, практических знаний или инвестиций. Даже начинающий пользователь сможет их выполнить.
Регулярные обновления WordPressОбновления – важная часть работы с сайтом. Каждое новое обновление, даже небольшое, имеет в себе ряд исправлений, которые направлены на улучшение различных функций, параметров программ, систем. Игнорировать обновления – пренебрегать безопасностью.
Своевременное обновление WordPress – самый простой вариант повысить безопасность. Удивительно, что почти половина всех сайтов на WordPress используют старую версию. Как следствие, они являются более уязвимыми к атакам.
Как проверить актуальность версии WP:
Войдите в административную панель.
Перейдите на рабочий стол.
Выберите пункт «Обновление» в левом меню.
Если написано, что версия не актуальна, тогда обязательно обновите ее.
Регулярно проверяйте обновления вашего WordPress. Но мы советуем следить за обновлениями плагинов, которые вы используете. Да, устаревшие темы, плагины могут конфликтовать с новыми версии WordPress, что приведет к некорректной работе ресурса.
Как обновить плагины и темы на WordPress:
Перейдите в панель администратора.
Перейдите в панель управления.
Выберите пункт «обновления».
Проскрольте меню вниз до пункта «Плагины» и «Темы».
Проверьте список тем, плагинов, которые готовы к обновлению.
Обновите.
СОВЕТ ЭКСПЕРТА
В системе есть возможность включить автообновление. Да, это облегчит вашу работу. Вам не надо будет постоянно в ручном режиме проверять наличие новой версии. Но тут есть своя тонкость. Может возникнуть конфликт между новыми версиями WordPress и старыми плагинами, темами. Если вы решили использовать автообновление, то убедитесь, что вы регулярно делаете бекап сайта, чтобы в случае конфликта компонентов или их версий, вы могли откатиться до прежней версии.
Используйте безопасные данные учетных записей для входа в WP-AdminГенерация логинов, паролей для учетных записей администраторов должна быть надежной. Не стоит использовать что-то простое, популярное, вроде «admin», «administrator», «test» и так далее. Используйте сложные логины, пароли, которые будут длиннее 12 символов, будут содержать буквы латинского алфавита (строчные, заглавные), цифры.
Злоумышленники любят, когда пользователи используют простые ники, пароли. Среди самых популярных паролей встречаются «password» «12345» и так далее. Не делайте так, проведите беседу с сотрудниками, чтобы они не использовали такие данные.
Предлагаем вам инструкцию по созданию новой учетной записи администратора с надежными данными для входа.
Зайдите в WordPress.
Перейдите на рабочую панель.
Найдите кнопку «Пользователь», создайте нового.
4. Создайте нового пользователя с правами администратора.
СОВЕТ ЭКСПЕРТА
Надежный пароль не обязательно должен быть очень длинным. Комбинируйте буквы, символы, знаки вместе. Например, вместо «Alexey» можно написать «4leX3Y!». Запомнить не так сложно, а вот взломать уже сложнее. Комбинируйте разные буквы, символы, знаки, цифры, чтобы обеспечить безопасность аккаунта. Кроме того, вы можете использовать различные сервисы генерации паролей, которые смогут создать что-то уникальное, надежное.
После того, как вы создали нового пользователя, вам нужно удалить старый аккаунт. Как удалить старый аккаунт WordPress:
1. Залогиньтесь с нового аккаунта.
2. Перейдите в поле «Пользователь – все пользователи».
3. Выбираете старый профиль администратора, удалите его.
Не забудьте перед выходом проверить сеть. Мы не советуем подключаться к общественным, незащищенным сетям, ведь так вы можете стать жертвой хакеров.
Если вы вынуждены подключиться к общедоступной сети, то рекомендуем использовать VPN. Он предоставляет дополнительный уровень шифрования для вашего подключения, что делает его более сложным для перехвата данных, защищает ваши онлайн-активности.
Настройте список разрешенных и запрещенных пользователей для доступа к страничке администратораЕще один метод повышения безопасности ресурса – ограничение пользователей. Вы можете включить блокировку определенных URL-адресов. Это защитит вас от несанкционированных IP-адресов, атак, которые проходят с использованием метода подбора пароля. Для этого вам понадобится служба веб-приложений с брандмауэром (WAF), такая как Cloudflare или Sucuri.
Cloudflare дает возможность заблокировать определенную зону. Он определяет URL-адреса, которые вы хотите заблокировать и определенный диапазон IP-адресов. Любой пользователь, который будет находиться в указанном диапазоне адресов не сможет получить доступ к вашему ресурсу.
Sucuri имеет аналогичную функцию, но у нее она называется «черный список URL». Сначала вы добавляете URL-адрес страницы входа в черный список, чтобы никто не мог к ней получить доступ. Затем вы добавляете в белый список IP-адреса, которым разрешен доступ к странице входа.
Есть альтернативный метод – настройка файла .htaccess. Чтобы получить доступ к данному файлу, необходимо перейти в корневой каталог вашего сайта.
ВАЖНО! Прежде чем вносить изменения, обязательно сделайте бекап, чтобы можно было восстановить прежнюю версию сайта.
Если вы добавите этот параметр .htaccess, то ограничение к вашему wp-login.php будет реализовано только с одного IP-адреса. Злоумышленники не смогут получить доступ к вашему сайту с других локаций.
Этот параметр должен быть размещен после выражений # BEGIN WordPress и # END WordPress, как показано ниже.
Это правило применяется даже в том случае, если у вас нет статического IP. Вы можете ограничить доступ к логину с общего диапазона интернет-провайдера. Вы можете использовать это правило, для ограничения доступа к другим аутентифицированным URL-адресам, таким как /wp-admin.
СОВЕТ ЭКСПЕРТА
Обращаем ваше внимание на то, что данный тип блокировки работает только против известных типов угроз. Хакеры могут разработать отдельное вредоносное ПО, чтобы обойти такие вот методы защиты. Система белого списка хороша, но его сложнее реализовать.
Используйте надежные темы WordPressИспользуйте только оригинальные темы. Да, есть отдельная категория тем для WP, которые называются «Nulled WordPress». Они отличаются от премиум тем своей стоимостью – они дешевле. Темы из этой категории являются копиями или репликами с небольшими изменениями, но из-за стоимости их покупают и используют. Сразу скажем, что темы из разряда «Nulled WordPress» разрабатываются хакерами, мошенниками. При использовании таких тем пользователя могут ждать следующие неприятные «подарки»:
Спам-ссылки.
Вредоносный код.
Вредоносное ПО.
Такие темы могут иметь некоторые уязвимости, которые известны хакерам. Эти уязвимости могут стать неким «черным ходом» для эксплойтов.
Не забывайте, что эти темы не поддерживаются разработчиками. Если у вас возникла проблема, то вам никто не поможет.
Чтобы не стать жертвой мошенников, выбирайте темы из официального репозитория или закажите тему у профессионального разработчика. Да, это будет стоить денег, зато вы не жертвуете своей безопасностью. Если вы не знаете, где именно искать тему, то есть отличный рынок – ThemeForest. Там собрано огромное количество официальных тем для WP.
Secure Sockets Layer, SSL или SSL-сертификат – протокол передачи данных, который шифрует их, когда данные передаются от сайта к пользователю. Это усложняет процедуру их взлома.
У SSL-протокола есть отличительные особенности, преимущества:
Сильная сторона SSL-сертификата в том, что они улучшают оптимизацию поисковых систем для вашего цифрового ресурса. Это помогает привлечь больше пользователей.
Онлайн-площадки с установленным SSL-сертификатом будут использовать HTTPS вместо HTTP, что легко идентифицировать, понять уровень защиты ресурса.
Большинство хостинг-компаний включают SSL в свои пакеты. Например, Hostinger предоставляет бесплатный SSL-сертификат Let's Encrypt во всех своих хостинг-пакетах.
После того, как вы добавите SSL-сертификат на своем хостинге, надо его добавить в WordPress. Для этого можно использовать следующие плагины: Really Simple SSL или SSL Insecure Content Fixer. А вот премиум-версия Really Simple SSL может включить заголовки HTTP Strict Transport Security (HSTS), которые обеспечивают использование HTTPS при доступе к сайту.
После того, как сертификат добавлен, нужно изменить URL вашего сайта с HTTP на HTTPS:
Переходим в WP.
Ищем настройки.
Переходим в раздел «Общие».
Ищем «Адрес сайта URL».
Изменяем, подтверждаем изменения.
Не забывайте удалять неиспользуемые плагины. Они не используются, значит просто занимают место в структуре вашего сайта на WordPress. Устаревшие плагины и темы увеличивают риск атак, взломов, так как хакеры могут использовать их для получения доступа к вашему сайту.
Как удалить старый плагин на сайте WP:
Переходим в раздел «Плагины».
Выбираем «Установленные плагины».
Перед вами полный список всех установленных плагинов.
Выбирайте те, что устарели или не используются и удаляйте.
Кнопка «Удалить» станет доступна только после того, как плагин будет отключен. Его нельзя удалить, когда он включен.
С темами для WP ситуация аналогична: старые темы лишь создают дополнительные уязвимости в системе. Поэтому их тоже нужно удалять:
Из панели администратора в WP переходим в раздел «Внешний вид».
В разделе «Внешний вид» ищем «Темы», открываем раздел.
Выбираете тему, которую хотите удалить.
Удаляете.
Переходим к следующему варианту улучшения безопасности – установке плагинов безопасности. Напомним, что не стоит устанавливать все плагины сразу. Вы должны выбрать те, которые вам потребуются для работы. Большое число плагинов просто будут тормозить работу вашего сайта.
Первое, что надо сделать – определить ключевые потребности, цели установки плагинов WordPress.
Включите двухфакторную аутентификациюДвухфакторная аутентификация пользователя помогает обезопасить вход на ваш ресурс пользователям. Для того, чтобы закончить процесс входа, пользователь должен будет ввести уникальный код.
Код уникальный, он доступен только одному пользователю. Подворный ввод кода не позволит залогиниться.
Чтобы добавить возможность двухфакторной аутентификации вам потребуется отдельный плагин, например, Wordfence Login Security. А для того, чтобы пользователь получал уникальный код, ему потребуется стороннее приложение. Хороший вариант - Google Authenticator.
СОВЕТ ЭКСПЕРТА
Если вы сомневаетесь в выборе плагина, то выбирайте из официального магазина тот, который имеет хорошие оценки, большое число скачиваний. Обратите внимание на число обновлений, их регулярность.
После того, как вы установили плагин, вам необходимо подключить саму процедуру активации. Делается это следующим образом:
Перейдите на страницу плагина в админ-панели WordPress. Если вы используете Wordfence Login Security, перейдите в меню "Безопасность входа" в левой панели меню.
Откройте вкладку «Двухфакторная аутентификация».
Используйте свой смартфон, чтобы отсканировать QR-код.
На телефоне вы получите код активации. Его нужно ввести в отведенное поле.
После того, как вы его ввели, нужно нажать кнопку «Активировать».
Не забудьте скачать коды восстановления на случай потери доступа к устройству, содержащему приложение аутентификации.
Регулярно создавайте резервные копии в WordPressНе забывайте создавать бекапы (резервные копии сайта) перед тем, как вносите какие-то изменения: будь то обновления или добавление новых плагинов.
Бекап дает возможность восстановить прежнюю версию, если в процессе обновления что-то пошло не так, например, плагины конфликтуют с текущей версией WordPress.
Чтобы создавать резервную копию в WordPress, потребуется отдельный плагин All-in-One WP Migration.
Сначала нужно установить плагин.
Перейти в меню плагина All-in-One WP Migration.
Там найти раздел «Резервные копии».
Нажмите «Создать резервную копию».
После того, как резервная копия создана, она будет отображаться на странице резервных копий.
После того, как копия создана, необходимо ее скачать, загрузить на отдельный носитель данных. Для этого нужно перейти в плагин, нажать «Экспорт».
Выберите «Экспорт в», выберите необходимый файл.
После того, как резервная копия скачана, обязательно сохраните ее на отдельном носителе. Не сохраняйте резервные копии на том же сервере, где находится ваш сайт. Они могут быть общедоступными, а резервная копия будет уязвима для атак.
Если вы являетесь пользователем Hostinger, то можете создавать, сохранять копии без дополнительных плагинов для WordPress. В панели управления есть опция резервного копирования hPanel.
СОВЕТ ЭКСПЕРТА
Наши эксперты не рекомендуют хранить резервные копии на ПК или ноутбуке. Лучше использовать облачные хранилища, вроде Google Drive. Лучше скинуть версию на флешку или внешний жесткий диск.
Ограничьте число попыток входа в системуОсобенность WordPress в том, что он позволяет своим пользователям совершать неограниченное число попыток логина. Это делает его уязвимым для атак. Хакеры могут просто попасть административную область сайта и простыми методами подбора паролей, логинов найти верный (ограничения на число попыток же нет).
Ваша задача – устранить эту уязвимость. Большинству пользователей достаточно 1-3 попыток, чтобы войти на свой профиль. А вот профили, которые делают большее число попыток – вызывают подозрение. К ним стоит присмотреться и применить меры безопасности.
Лучший вариант – ограничение попыток на вход. Для этого существуют отдельные плагины.
Limit Login Attempts Reloaded. Дает возможность настроить количество неудачных попыток для конкретных IP-адресов, добавляет пользователей в белый список или блокирует их полностью.
Loginizer. Этот плагин предлагает функции безопасного входа, такие как двухфакторная аутентификация, reCAPTCHA, вопросы при входе
Limit Attempts by BestWebSoft. Автоматически блокирует IP-адреса, достигшие лимита попыток входа, добавляет их в черные списки.
Единственный, но не существенный, минус – блокировка легитимного пользователя, который просто ошибся при вводе данных. Это не страшно, ведь есть инструменты для восстановления заблокированных записей.
Измените URL-адреса страницы входа в WordPressЧтобы обезопасить сайт от прямых угроз, измените URL-страницы админки. У всех онлайн-ресурсов WordPress один адрес админки: yourdomain.com/wp-admin.
Хакеры тоже про это знают, а базовый адрес облегчает им задач по взлому страничек. Для того, чтобы минимизировать риски, нужно сменить адрес админки. Для этого есть специальные плагины:
WPS Hide Login и Change wp-admin Login, позволяют настраивать собственные URL-адреса для страницы входа.
Если вы решили использовать WPS Hide Login, тогда алгоритм смены адреса будет следующим:
В панели управления нужно перейти в настройки, выбрать «WPS Hide Login».
Заполните поле «URL-входа» собственными символами.
Сохраните изменения.
Очень частая проблема, которая открывает ряд возможностей для хакеров. Пользователи, которые забывают выходить с сайта, просто оставляют свои аккаунты активными.
Это позволяет другим пользователям воспользоваться их устройством, потенциально получить доступ к важной, конфиденциальной информации. Так как многие пользователи работают дистанционно, а также работают из кафе, интернет-кафе или коворкингов, то эта проблема становится все более распространенной.
Достаточно всего лишь установить нужный плагин, чтобы выход из системы неактивных пользователей проходил автоматически. Существует плагин под названием «Inactive Logout». Помимо завершения сеансов неактивных пользователей, этот плагин также может отправлять пользовательское сообщение для предупреждения пользователей о том, что их сеанс скоро завершится
Проводите мониторинг активности пользователяИдентификация вредоносных или нежелательных действий – еще один шаг к повышению показателей защиты. Если к админке есть доступ сразу у нескольких человек (сотрудников), то лучше установит плагин, который будет отслеживать их действия. Нет, не обязательно вас хотят обмануть или украсть данные, просто пользователи могут по ошибке изменить настройки, что-то изменить и забыть об этом. Представляем вашему вниманию 3 популярных плагина:
WP Activity Log – функциональный, удобный плагин. Он отслеживает изменения в различных областях веб-сайта, включая записи, страницы, темы и плагины. При этом плагин ведет журналы добавленных/удаленных файлов.
Activity Log - отслеживает различные действия в административной панели WordPress, позволяет настраивать правила для уведомлений по почте.
Simple History – интересный плагин, который помимо базовых функций (мониторинг изменений, их фиксация) также имеет поддержку сторонних плагинов Jetpack, WP Crontrol, Beaver Builder.
Нельзя забывать про регулярное тестирование вашего сайта на предмет вредоносного ПО. Почему? Согласно исследованиям, ежедневно в мире появляется более 450 00 вредоносных программ и нежелательных приложений. Некоторые из них относятся к категории «полиморфные». Это значит, что они могут изменять свою структуру, чтобы не быть выявленными.
Но не беспокойтесь, есть плагины, которые отлично справляются с диагностикой:
Wordfence – популярный плагин для WordPress. Он очень часто обновляется и обнаруживает наличие вредоносного ПО, а также присылает уведомления о том, что вас сайт мог вызвать подозрения или был заблокирован другими ресурсами.
BulletProof Security – функциональное решение, которое содержит в себе не только систему мониторинга угроз, но еще завершает неактивные сеансы, имеет инструменты для процедуры создания бэкапов. Позволяет проводить восстановление базы данных.
Sucuri Security – в плагине есть поддержка SSL-сертификатов, удаленное сканирование ресурса на наличие вредоносного ПО и множество других полезных функций.
СОВЕТ ЭКСПЕРТА
Небольшой гайд от нашего эксперта, на случай, если ваша система была хакнута или заражена.
Убедитесь, что у вас есть постоянный доступ к админке.
Выполните полное сканирование, избавьтесь от вредоносного ПО.
Убедитесь, что ваши плагины и темы обновлены до последних версий.
Проверьте вашу базу данных на наличие уязвимостей.
Убедитесь, что ваши плагины и темы не имею пометок «риск».
Мы говорили, что расскажем, как можно повысить защиту вашего сайта на WordPress без плагинов. Большинство методов, которые мы покажем требуют работы с настройками, но мы покажем, что и как делается.
Отключите отчеты об ошибках PHPСистема отчета об ошибках – хороший, нужный инструмент. Но отображение уязвимостей вашего сайта на бекенде – недостаток системы WordPress. Почему? Если система будет отображать конкретный плагин, который выдает ошибку, хакеры могут это вычислить и использовать для взлома системы.
Есть два варианта отключить данную функцию: через файл PHP и через панель управления хостинг-аккаунта.
Изменение PHP-файла:
Откройте файл wp-config.php вашего сайта с помощью FTP-клиента, такого как FileZilla или файловый менеджер вашего хостинг провайдера.
Добавьте следующий код в файл. Убедитесь, что добавляете его перед любой другой директивой PHP.
Нажмите «сохранить», чтобы применить изменения.
Отключаем отчеты через хостинг-провайдера на примере hPanel:
Из панели управления hPanel переходим в раздел "Дополнительно". Затем нажимаем "Конфигурация PHP".
Переходим во вкладку «Опции PHP».
Убираем флажок с опции «displayErrors».
Сохраняем.
Будем честны, без надежного хостинга большинство вышеописанных мер не имеют значения. Если вы работаете с уязвимым хостинг-провайдером, то рано или поздно ваш сайт будет подвержен атаке, а то и взломан.
Ваш провайдер должен гарантировать безопасное местоположение всех данных, файлов веб-сайта на своих серверах, поэтому крайне важно выбрать того, кто обеспечивает высокий уровень безопасности.
Если вы понимаете, что вам надо сменить провайдера, то вот пункты, которые нужно учитывать при выборе:
Тип хостинга. Выбирайте хостинг-провайдера, который предлагает услуги VPS или выделенного сервера для изоляции ваших ресурсов, данных.
Безопасность. Пообщайтесь с представителями хостинга про безопасность ресурса. Он должен иметь надежную систему защиты от атак, угроз разных типов, регулярно обновляться, совершенствовать свои алгоритмы защиты.
Функционал. Надежный хостинг должен гарантировать вам наличие автоматического создания резервных копий вашего сайта.
Поддержка. Обратите на этот момент особое внимание. Поддержка должна быть активной 24/7 и помогать решать вопросы, а не просто «имитировать рабочую деятельность». Операторы службы поддержки должны не просто работать по скрипту, а иметь технические знания в сфере.
Хорошим примером надежного хостинга является Hostinger WordPress. Он предоставляет необходимые ресурсы и функции для защиты вашего онлайн-ресурса WP, такие как брандмауэр веб-приложений и сканер вредоносных программ, такой как Monarx.
Отключите возможность редактирования файловВ WordPress есть встроенный редактор. ОН делает редактирование PHP-файлов проще, но если к ней получат доступ хакеры, то это негативно скажется на вашем сайте. Именно поэтому многие пользователи предпочитают отключить редактирование файлов в WP. Как это сделать:
В файл wp-config.php: нужно ввести следующую строку.
Если вы захотите отменить свои действия, то просто удалите строку из кода, все вернется, а редактирование станет снова доступным.
Установите ограничения при помощи файла .htaccessФайл .htaccess отвечает за правильную работу ссылок. Если этого файла не будет, то пользователи при переходе на ваш сайт будут видеть ошибку «404».
Кроме того, с помощью файла .htaccess можно блокировать доступ с определенных IP-адресов, ограничивать доступ с одного IP-адреса и отключать выполнение PHP в конкретных папках.
Не забывайте всегда создавать резервную копию вашего текущего файла .htaccess перед внесением в него каких-либо изменений. Это поможет вам легко восстановить сайт, если что-то пойдет не так.
Итак, чтобы гарантировать безопасность вашего сайта отключите выполнение PHP в этой папке, создав новый файл .htaccess в /wp-content/uploads/.
Если вы хотите защитить файл .htaccess, тогда вам нужно сделать следующее:
Почему защита важна? Файл в корневом каталоге содержит настройки ядра WordPress и данные MySQL. Поэтому часто становится главной целью хакеров.
Измените префикс базы данных WordPress по умолчаниюВ базе данных WordPress находится вся важная информация про функционал вашего сайта. Именно поэтому хакеры направляют свои атаки на нее, используя SQL-инъекции. Метод основан на интеграции вредоносного кода в базу и может обойти средства защиты WordPress.
По статистике, именно SQL-инъекции занимают более 50% от общего числа атак на сайты. Чтобы этого избежать, необходимо изменять префикс базы данных. По умолчанию префикс указан «wp_.», а мы расскажем, как его изменить.
Как изменить префикс:
Находим панель управления hPanel и переходим из нее в «Менеджер файлов».
Открываем файл wp-config.php. Как вариант вы можете использовать FTP-клиент для доступа к файлу.
Найдите в коде значение $table_prefix.
Замените стандартный префикс «wp_.» на новый. Используйте различные комбинации цифр и букв, чтобы сделать новый префикс уникальным.
Нажмите «сохранить и выйти».
Вернитесь на панель управления hPanel и перейдите в раздел "Базы данных".
Найдите и нажмите "phpMyAdmin".
Откройте базу данных сайта, кликнув по "Войти в phpMyAdmin".
Если у вас есть несколько баз данных, то в файле wp-config.php найдите следующий блок кода:
Проскрольте список вниз и нажмите кнопку «выбрать все».
После того, как все выбраны, справа у вас будет доступно выпадающее меню. Откройте его и выберите пункт «заменить префикс».
Введите текущее имя префикса вместе с новым и нажмите «продолжить».
Как изменить значение префикса?
В зависимости от числа установленных плагинов на вашем сайте WordPress, вам может потребоваться обновить некоторые значения в базе вручную. Для этого потребуется выполнить отдельные SQL-запросы в таблицах, где есть название «wp_».
Чтобы быстро отсортировать все значения, где указан данный префикс, используйте следующую строчку кода:
wp_1secure1_tablename содержит имя таблицы, в которой вы хотите выполнить запрос. А field_name представляет собой имя поля/столбца, в котором, скорее всего, содержатся значения с префиксом wp_.
Меняем значение префикса вручную:
Заходим в панель phpMyAdmin и переходим к таблице с префиксом wp_. Возьмем для примера таблицы wp_1secure1_usermeta.
Перейдите на вкладку SQL в верхней панели меню.
Введите код в редактор SQL-запросов, чтобы отфильтровать значения, содержащие wp_, и нажмите "Выполнить".
Перед вами буду показаны результаты после фильтрации. Нажмите кнопку «Редактировать» рядом с элементом, который вам нужен.
Измените значение префикса и нажмите «Выполнить». И так нужно изменить все префиксы для элементов, которые у вас показаны после фильтрации.
И так с первого по последний шаг нужно проделать, чтобы изменить все таблицы с префиксом wp_.
XML-RPC – функция в WordPress, которая позволяет проводить публикацию контента с мобильного устройства. Также она позволяет активировать трекбэки, пингбэки, использовать плагин Jetpack. Да, у функции есть свои уязвимости, которые могут использовать хакеры.
Они могут воспользоваться функцией пингбэка XML-RPC чтобы проводить DDoS-атаки. Функция позволяет атакующим отправлять пингбэки на тысячи сайтов одновременно, а это приводит к сбою в работе сайта.
Первое, что вам надо сделать – проверить включена ли функция XML-RPC. Проведите проверку вашего сайта с помощью службы валидации XML-RPC и посмотрите, получите ли вы сообщение об успешном выполнении. Это означает, что функция XML-RPC работает.
Как отключить XML-RPC при помощи плагина:
Находим плагин Disable XML-RPC Pingback.
Запускаем.
Он автоматически отключает часть функций.
Отключаем XML-RPC в ручном режиме:
Отправляемся в корневой каталог.
Ищем файл .htaccess.
Вставляем в него следующий код.
Чтобы дать разрешение на доступ к XML-RPC с определенного IP-адреса замените 000.00.000.000 на нужный IP-адрес или удалите строку кода полностью.
Да, зная данные вашей текущей версии WordPress хакеры могут ее взломать. Они могут узнать пул уязвимостей и использовать их против вас, особенное внимание они уделяют старым версиям WordPress. Но вы всегда можете скрыть текущую версию вашего WordPress. Как это сделать:
Заходим в панель управления WordPress.
Переходим в раздел «Внешний вид», затем в «Редактор темы».
Выбираете текущую тему и файл functions.php.
Чтобы удалить номер версии из заголовка и RSS-лент, вставьте следующий код в файл functions.php:
Метатег генератора WordPress также отображает номер версии WordPress. Добавьте эту строку, чтобы избавиться от него:
Нажимаем «обновить файл» для сохранения изменений.
Блокируйте хотлинкинг
Хотлинки или горячие ссылки – термин применяется, если кто-то из пользователей отображает активы (контент) вашего сайта на своем ресурсе, например, изображения или видео. Так как контент ваш, но находится на другом сайте, это будет расходовать ваши ресурсы, тем самым замедляя работу сайта.
Чтобы узнать, была ли ваша контент горячо связанной, введите следующий запрос в Google Images, заменив yourwebsite.com на ваш домен:
Чтобы предотвратить хотлинки с вашего сайта вы можете использовать FTP-клиент, плагин WordPress - CDN или отредактировать все в настройках панели управления.
Управление правами к папкам и файламПредотвратите доступ злоумышленников к вашей учетной записи, определив перечень пользователей, которые могут работать с вашими файлами и папками. Для управления разрешениями файлов и папок вы можете использовать файловый менеджер вашего хостинг-провайдера, FTP-клиент или командную строку.
Разрешения устанавливаются по умолчанию (обычно), но главное – проверьте папку wp-admin и файл wp-config. Доступ к ним должен быть только у администратора.
Интернет-сайт на WordPress – хороший выбор, ведь не просто так он стал популярным. Главное – не пренебрегать безопасностью. Как мы выяснили, существует большое число вариантов мошенничества и атак на сайты: от классического DDoS до взлома аккаунтов сотрудников.
Хакеры выбирают сайты на WordPress из-за его популярности, в надежде найти ресурс, который не так хорошо защищен. Ваша задача, как владельца сайта – сделать все, чтобы обезопасить систему.
Не забывайте, что установить плагин и установить пароль – не все, что предстоит делать. Защита сайта – комплексная процедура, которая должна регулярно обновляться и совершенствоваться. Проводите регулярный мониторинг качества защиты данных, обновляйте плагины и пароли. Да, риск всегда есть, но вы можете его минимизировать.
Мы надеемся, что данный материал поможет вам и вашему цифровому продукту быть в безопасности, развиваться и расти.
FAQ. Часто задаваемые вопросы про улучшение безопасности WordPressНужно ли использовать брандмауэр (фаерволл) с WordPress?
Да, нужно. Установка брандмауэра для веб-сайта важна. Она помогает защитить ваш сайт на WordPress от различных кибер-атак: от взлома системы до DDOS атак. Именно брандмауэр блокирует подозрительный, вредоносный трафик. В самом WordPress нет брандмауэра, но его можно настроить, например, загрузив плагин Sucuri.
Насколько легко взломать WordPress?Если рассматривать WordPress, как отдельную платформу, то он достаточно безопасен и надежен. Но нужно помнить, что общая безопасность ресурса на WordPress зависит не только от технической составляющей, но и человеческого фактора. Платформа может обладать самыми высокими показателями защиты, но ее будет легко хакнуть, если не использовать надежные пароли, многоступенчатую аутентификацию пользователей и так далее.
Почему мой WordPress может быть не безопасен?Если вы получили уведомление в браузере о том, что ваш сайт на WordPress недостаточно безопасен, тогда стоит проверить ваш SSL-сертификат. Если его нет, то его нужно установить или перенастроить. В качестве альтернативного варианта можно рассмотреть переход на HTTPS, чтобы исправить проблемы уязвимости.
Необходимы ли плагины защиты для WordPress?Да, это необходимая процедура. Так как WordPress своей собственной защиты не имеет, а сайт обезопасить надо. Есть несколько хороших вариантов: Jetpack и Sucuri. Но помните, что чрезмерное число плагинов только навредит, используйте только необходимые.
Как можно защитить свой сайт на WordPress без плагинов?Первое, что надо сделать – убедиться в надежности хостинга. Если хостинг надежный, тогда переходите к настройкам самого сайта: управляйте разрешением файлов, отключите отчеты об ошибках PHP и XML-RPC, поставьте ограничения на доступ к файлу wp-config.php и заблокируйте хотлинки с других сайтов.
Почему WordPress так часто взламывают?Первая причина частых атак на сайты WordPress – его популярность. Почти половина сайтов в мире основана на WordPress. Все последующие проблемы возникают из-за недостаточных мер безопасности со стороны владельца сайта: от ненадежного пароля до отсутствия плагинов защиты. Одна брешь в системе безопасности открывает целое окно возможностей для мошенников и хакеров.
Почему мой сайт на WordPress был атакован?Среди распространенных причин атак на сайты на WordPress можно выделить: устаревшие плагины защиты, незащищенный доступ к директории wp-admin. Не забывайте регулярно обновлять плагины и проводить комплексное обслуживание вашего сайта. Советуем использовать наш чеклист безопасности. Так вы не пропустите важных моментов при проверке безопасности.
Какой самый лучший плагин защиты для WordPress?Мы можем порекомендовать два актуальных варианта: Wordfence или Sucuri. Оба варианта хорошо себя зарекомендовали на дистанции. В обоих плагинах есть встроенный сканер программного обеспечения на наличие вредоносного ПО, брандмауэр, а также инструменты для мониторинга трафика на сайт.
– отлично подойдет для интернет-магазинов.
– надежный бесплатный вариант, который подходит небольшим сайтам и бизнесам.
