Безопасность сайта на WordPress — рекомендации от взлома

Да, рекомендаций по недопущения сайтов от взлома и о том, как обезопасить их можно найти великое множество; и все же хакерские попытки продолжают беспокоить администрацию любых сайтов, особенно популярных. Есть ли выход или эффективные способы от взломов и недопущению проникновения вирусов на сайты или посторонней рекламы, блокирования доступа на собственный ресурс? Разумеется есть. О них сегодня мы и поговорим.

Безопасность сайта на WordPress — рекомендации от взлома

Что необходимо делать администратору сайта в первую очередь и как усовершенствовать и усилить безопасность с помощью всевозможных дополнительных средств и плагинов? В этой статье я выложу некоторые общие рекомендации, а так же приведу примеры работы с необходимыми плагинами, препятствующими взлому, предоставлю видео-урок по работе с одним из них. Итак

Общие и неукоснительные рекомендации по защите сайта

Начинающему вебмастеру необходимо помнить несколько очень важных вещей, которые нужно делать всегда и сразу:

  1. При создании сайта не выбирайте логин admin (создайте свой, похитрее) и префикс wp_;
  2. Создавайте сложный и регулярно меняйте пароль для входа в админпанель;
  3. Обновляйте версии WordPres , системные файлы и плагины —  они создаются для улучшения безопасности сайта и позволяют не производить дополнительных операций (переноса папок в корневой директории, добавления кодов в файл htaccess и др.);
  4. Установите хотя бы один плагин, препятствующий взлому сайта и внедрению вирусов на него;
  5. Регулярно создавайте резервные копии базы данных сайта: в случае взлома  сайт можно  восстановить из более ранней версии ( как — читайте здесь).
  6. Доступ по FTP держите закрытым и включайте его только по мере надобности.

Дополнительные средства и способы

Плагины

Я упомянул о плагинах в четвертом пункте и, как вы сами понимаете, плагины — это важные  дополнительные средства для безопасности сайтов на WordPress. О некоторых из них  и поговорим.
Плагин WP Antivirus — о нем я уже писал ранее. Этот плагин хорош тем, что позволяет не только определять наличие вредоносных кодов в файлах сайта, но и определять их местоположение. Недостаток (если его можно так назвать) плагина — определяет некоторые файлы как вредоносные, но связанные с CSS-стилями выбранной темы, которые, в общем-то, таковыми, по большому счету, не являются. Поэтому обращаться с ним нужно умело.
Плагин WP-Security Scan — этот плагин полезен, главным образом, для определения правильности настроек безопасности сайта. После проверки его можно просто деактивировать и даже удалить. Устанавливается поиском в админпанели, затем в консоли появляется строка — кликайте, если у вас все нормально, все строки о рекомендациях и их выполнении будут окрашены в зеленый цвет. Красные — рекомендации. Картинка:
Перевод, который говорит о том, что плагин (вернее его авторы) рекомендуют сделать администрации сайта (здесь все хорошо):

У Вас есть последняя версия WordPress.

Ваш префикс таблицы не wp_.

Ваша версия WordPress успешно скрыты.

WordPress DB ошибок выключен.

WP ID META теги удалены форме WordPress основной.

Нет пользователя «администратор». 

Htaccess файл найден в WP-администратор.

Обратите внимание на заключения после сканирования — только две последних нужно исправить администратору, если они не устранены, остальные — действуют автоматически на последних версиях WordPress. Понятно, почему нужно выполнять рекомендации по обновлению?

Плагин WordPress File Monitor — замечательный, легкий плагин, который  можно включать периодически. Плагин не препятствует взлому, но сразу сообщает о тех изменениях, которые были произведены в файлах блога  и сообщает о них в админпанели и на ваш e-mаil. О тех изменениях, которые вы внесли сами  и о тех, что сделали  без вашего ведома.

Устанавливается плагин в админке поиском, после активации на странице WordPress File Monitor Options рекомендую выставить интервал  1400 и выбрать опцию Hash ( помните, эта опция  может вызвать проблемы с производительностью на больших сайтах!); добавить в окно Exclude Paths строки, исключающие сканирование :

wp-content/cache
wp-content/uploads
wp-admin/PHP_errors.log

Сохранить настройки  и произвести сканирование. Желание  использовать плагин всегда активированным приветствуется, особенно если вы предчувствуете недоброе.

Плагин Login LockDown — этот замечательный плагин препятствует взлому логинов и паролей при входе в админпанель. Скачать его можно здесь.  О том как работает этот плагин в паре с плагином, который я так и не нашел — Anti-XSS attack (устаревший, наверное), но который вполне может работать и без него, рассказывает в своем видео уроке Алексей Козымаев и добавить к сказанному мне нечего:

Действия без плагинов

Они сводятся к

1) Переносу некоторых файлов в корне сайта на хостинге. Каким наиболее удобным для вас  способом вы будете это делать, не имеет значения. Но сделать это желательно: перенести (или скопировать) файл  htaccess из корневой папки в папку wp-admin/. Аналогично файл   wp-config.php из той же папки, т.е.  /domains/ваш сайт.ru/wp-config.php перместить выше —   в /domains/wp-config.php: при этом ваш сайт на  WordPress будет  будет прекрасно  работать, потому как этот движок  умеет искать файл конфигурации в папке уровнем выше.

2) Использованию определенных сервисов по проверке вредоносных кодов, например http://2ip.ru/site-virus-scaner/, на котором можно определять очень много других нужных и интересных  параметров. Проверка вредоносного кода может дать положительный результат, например вот такой, когда для предоставления видео в сообщении используется код You Tube с тегом ( iframe)  , а не ссылка на него:

Не забывайте о сервисах Гугл- вебмастер и Яндекс-вебмастер на них так же есть странички для определения вредоносных кодов на сайтах («Состояние» — «Вредоносные программы»), которые могут занести взломщики.

3) Использованию SFTP вместо FTP  и SSL шифрование — если это  позволяет делать ваш хостинг и у вас достаточный  личный  опыт. Впрочем, этот пункт для отдельной статьи.

Уважаемые читатели, в этом небольшом мануале я не претендую на полное раскрытие темы: средств и методов, а так же плагинов для обеспечения безопасности сайтов и предотвращению взлома существует большое множество и 100% гарантии от злоумышленников никто вам не даст: хакер не дремлет!

Разумеется, у кого-то возникнут вопросы и пожелания, кто-то нашел свои действенные способы по защите. Рассказывайте, дополняйте, комментируйте.

Предлагаемые мной способы —  все проверены на моих блогах WordPress и действуют не причиняя вреда их функциональности. Применяйте их по возможности, а береженого , как известно…

Удачи и хорошей зашиты вашим сайтам!

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *