Да, рекомендаций по недопущения сайтов от взлома и о том, как обезопасить их можно найти великое множество; и все же хакерские попытки продолжают беспокоить администрацию любых сайтов, особенно популярных. Есть ли выход или эффективные способы от взломов и недопущению проникновения вирусов на сайты или посторонней рекламы, блокирования доступа на собственный ресурс? Разумеется есть. О них сегодня мы и поговорим.
Безопасность сайта на WordPress — рекомендации от взлома
Что необходимо делать администратору сайта в первую очередь и как усовершенствовать и усилить безопасность с помощью всевозможных дополнительных средств и плагинов? В этой статье я выложу некоторые общие рекомендации, а так же приведу примеры работы с необходимыми плагинами, препятствующими взлому, предоставлю видео-урок по работе с одним из них. Итак
Общие и неукоснительные рекомендации по защите сайта
Начинающему вебмастеру необходимо помнить несколько очень важных вещей, которые нужно делать всегда и сразу:
- При создании сайта не выбирайте логин admin (создайте свой, похитрее) и префикс wp_;
- Создавайте сложный и регулярно меняйте пароль для входа в админпанель;
- Обновляйте версии WordPres , системные файлы и плагины — они создаются для улучшения безопасности сайта и позволяют не производить дополнительных операций (переноса папок в корневой директории, добавления кодов в файл htaccess и др.);
- Установите хотя бы один плагин, препятствующий взлому сайта и внедрению вирусов на него;
- Регулярно создавайте резервные копии базы данных сайта: в случае взлома сайт можно восстановить из более ранней версии ( как — читайте здесь).
- Доступ по FTP держите закрытым и включайте его только по мере надобности.
Дополнительные средства и способы
Плагины
Я упомянул о плагинах в четвертом пункте и, как вы сами понимаете, плагины — это важные дополнительные средства для безопасности сайтов на WordPress. О некоторых из них и поговорим.
Плагин WP Antivirus — о нем я уже писал ранее. Этот плагин хорош тем, что позволяет не только определять наличие вредоносных кодов в файлах сайта, но и определять их местоположение. Недостаток (если его можно так назвать) плагина — определяет некоторые файлы как вредоносные, но связанные с CSS-стилями выбранной темы, которые, в общем-то, таковыми, по большому счету, не являются. Поэтому обращаться с ним нужно умело.
Плагин WP-Security Scan — этот плагин полезен, главным образом, для определения правильности настроек безопасности сайта. После проверки его можно просто деактивировать и даже удалить. Устанавливается поиском в админпанели, затем в консоли появляется строка 
— кликайте, если у вас все нормально, все строки о рекомендациях и их выполнении будут окрашены в зеленый цвет. Красные — рекомендации. Картинка:
Перевод, который говорит о том, что плагин (вернее его авторы) рекомендуют сделать администрации сайта (здесь все хорошо):
У Вас есть последняя версия WordPress.
Ваш префикс таблицы не wp_.
Ваша версия WordPress успешно скрыты.
WordPress DB ошибок выключен.
WP ID META теги удалены форме WordPress основной.
Нет пользователя «администратор».
Htaccess файл найден в WP-администратор.
Обратите внимание на заключения после сканирования — только две последних нужно исправить администратору, если они не устранены, остальные — действуют автоматически на последних версиях WordPress. Понятно, почему нужно выполнять рекомендации по обновлению?
Плагин WordPress File Monitor — замечательный, легкий плагин, который можно включать периодически. Плагин не препятствует взлому, но сразу сообщает о тех изменениях, которые были произведены в файлах блога и сообщает о них в админпанели и на ваш e-mаil. О тех изменениях, которые вы внесли сами и о тех, что сделали без вашего ведома.
Устанавливается плагин в админке поиском, после активации на странице WordPress File Monitor Options рекомендую выставить интервал 1400 и выбрать опцию Hash ( помните, эта опция может вызвать проблемы с производительностью на больших сайтах!); добавить в окно Exclude Paths строки, исключающие сканирование :
wp-content/cache
wp-content/uploads
wp-admin/PHP_errors.log
Сохранить настройки и произвести сканирование. Желание использовать плагин всегда активированным приветствуется, особенно если вы предчувствуете недоброе.
Плагин Login LockDown — этот замечательный плагин препятствует взлому логинов и паролей при входе в админпанель.
Действия без плагинов
Они сводятся к
1) Переносу некоторых файлов в корне сайта на хостинге. Каким наиболее удобным для вас способом вы будете это делать, не имеет значения. Но сделать это желательно: перенести (или скопировать) файл htaccess из корневой папки в папку wp-admin/. Аналогично файл wp-config.php из той же папки, т. е. /domains/ваш сайт.ru/wp-config.php переместить выше — в /domains/wp-config.php: при этом ваш сайт на WordPress будет будет прекрасно работать, потому как этот движок умеет искать файл конфигурации в папке уровнем выше.
2) Использованию определенных сервисов по проверке вредоносных кодов, например http://2ip.ru/site-virus-scaner/, на котором можно определять очень много других нужных и интересных параметров. Проверка вредоносного кода может дать положительный результат, например вот такой, когда для предоставления видео в сообщении используется код You Tube с тегом ( iframe) , а не ссылка на него:
Не забывайте о сервисах Гугл- вебмастер и Яндекс-вебмастер на них так же есть странички для определения вредоносных кодов на сайтах («Состояние» — «Вредоносные программы»), которые могут занести взломщики.
3) Использованию SFTP вместо FTP и SSL шифрование — если это позволяет делать ваш хостинг и у вас достаточный личный опыт. Впрочем, этот пункт для отдельной статьи.
Уважаемые читатели, в этом небольшом мануале я не претендую на полное раскрытие темы: средств и методов, а так же плагинов для обеспечения безопасности сайтов и предотвращению взлома существует большое множество и 100% гарантии от злоумышленников никто вам не даст: хакер не дремлет!
Разумеется, у кого-то возникнут вопросы и пожелания, кто-то нашел свои действенные способы по защите. Рассказывайте, дополняйте, комментируйте.
Предлагаемые мной способы — все проверены на моих блогах WordPress и действуют не причиняя вреда их функциональности. Применяйте их по возможности, а береженого , как известно…
Удачи и хорошей зашиты вашим сайтам!
