Защита WordPress сайта от взлома

Как защитить WordPress сайт от взлома

Введение

Привет, раз ты сейчас читаешь это то ты наверняка имеешь свой блог на WordPress. Недавно мой сайт был подвержен взлому, несмотря на установленный плагин защиты All in One Security and Firewall, это было уже в третий раз, что заставило меня более серьезно заняться безопасностью своего блога. Сам по себе WordPress достаточно защищённый движок, и это регулярно проверяется сотнями разработчиков, но в этой статье я расскажу, что можно сделать, чтобы усилить защиту своего сайта на Вордпресс.

Регулярные обновления

Первый и самый важный шаг для улучшения безопасности WordPress — это обновлять все файлы и плагины WordPress, а также шаблоны, если вы их используете без собственных корректировок. WordPress реализовал функцию автоматического обновления в версии 3.7, но работает она только для небольших обновлений безопасности. Тогда как крупные, ключевые обновления должны быть установлены вручную.

Использование нестандартного логина и пароля

Очень много людей никогда не меняют логин по умолчанию (admin), давая хакерам возможность войти в систему под правами администратора. Строго рекомендуется изменить имя пользователя администратора на что-нибудь другое, например: superroot2018. Это же правило относится и для паролей. Хороший пароль играет очень важную роль в безопасности WordPress. Гораздо сложнее взломать пароль состоящий из цифр, букв нижнего и верхнего регистра и специальных знаков, например: d@4UnVqR40!S. Существуют сервисы которые помогут вам создать сложный пароль, например: www.lastpass.com www.onlinepasswordgenerator.ru

Отключение отправки отчетов об ошибках PHP

Отчеты об ошибках PHP могут быть довольно полезны, однако показывать ошибки всем, это серьезная дыра в безопасности WordPress. Для отключения показа PHP ошибок в WordPress нам потребуется отредактировать файл wp-config.php. с помощью FTP-клиента или Файлового менеджера.

Внутри файла wp-config.php, который лежит в корне вашего сайта, найдите строчку кода:
[html]define(‘WP_DEBUG’, true);[/html]
или
[html]define(‘WP_DEBUG’, false);[/html]
вам нужно заменить эту строчку на следующий код:
[html]ini_set(‘display_errors’,’Off’);
ini_set(‘error_reporting’, E_ALL );
define(‘WP_DEBUG’, false);
define(‘WP_DEBUG_DISPLAY’, false);[/html]
Не забудьте сохранить изменения и загрузить файл wp-config.php обратно на сайт.

Выключение редактирования файлов WordPress

Вам наверняка известно, что WordPress имеет встроенный редактор, с помощью которого можно редактировать PHP файлы. Если хакеры получат доступ к вашей панели управления, первая вещь, на которую они обратят внимание, это Редактор Файлов. Чтобы полностью выключить эту функцию нам потребуется отредактировать файл wp-config.php добавив туда следующей код:
[html]define( ‘DISALLOW_FILE_EDIT’, true );[/html]
Не забудьте сохранить изменения и загрузить файл wp-config.php обратно на сайт.

Защита WordPress с помощью файла .htaccess

.htaccess файл — это главный конфигурационный файл веб-сервера Apache, и некоторых других, подобных ему серверов. Находится он в корневой папке вашего веб-сайта. Если у вас нет этого файла, просто создайте его с помощью текстового редактора. Расширения у файла нет, поэтому вам достаточно будет назвать новый файл .htaccess. Важно: Все изменения в .htaccess необходимо вносить только после #END WordPress.

Отключаем выполнение PHP файлов

Хакеры любят загружать бэкдор скрипты в папку загрузок WordPress. По умолчанию эта папка используется только для хранения медиафайлов. Следовательно, не должна содержать каких-либо PHP файлов.
[html]<Files *.php>
deny from all
</Files>[/html]

Защита файла wp-config.php

wp-config.php — это основной файл конфигурации WordPress сайта, который содержит ядро настроек WordPress и детали базы данных MySQL. Он чаще всего становится главной целью WordPress хакеров. Однако вы можете легко обезопасить его используя следующие правила в .htaccess:
[html]<files wp-config.php>
order allow,deny
deny from all
</files>[/html]

Запрет на просмотр списка файлов в каталоге

Так как WordPress в настоящее время очень популярен, многие знают структуру WordPress и знают, где искать, чтобы выяснить какие плагины можно использовать или какие-либо другие файлы, которые могут дать много информации о Вашем сайте, один из способов борьбы с этим является запрет на просмотр каталогов.
[html]Options All -Indexes[/html]

Запрет на доступ к wp-content

Папка wp-content содержит изображения, темы и плагины, это очень важная папка WordPress, так что имеет смысл предотвратить несанкционированный доступ к ней. Это потребует создания отдельного файла .htaccess, который должен находиться в папке wp-content, что позволит пользователям просматривать изображения, CSS-файлы и т.д., но защищает важные PHP-файлы:
[html]Order deny,allow
Deny from all
<Files ~ ".(xml|css|jpe?g|png|gif|js)$">
Allow from all
</Files>[/html]

Защита .htaccess

Код, который ограничит доступ к самому .htaccess файлу:
[html]
<files .htaccess>
order allow, deny
deny from all
</files>
[/html]
Таким же образом можно защитить любой другой файл, просто заменив в коде «.htaccess» на название необходимого файла.

Отключаем xmlrpc.php в WordPress

Закрыв доступ к данному файлу повлечёт за собой запрет на написание и публикацию статей с внешних приложений и смартфонов. В большинстве случаев данной функцией мало кто пользуется. Поэтому смело закрываем к нему доступ и расстраиваем злоумышленников.
[html]<files xmlrpc.php>
order deny,allow
deny from all
</files>[/html]

Защита от SQL-инъекций и XSS-атак

SQL инъекция — это один из самых доступных способов взлома сайта. Суть таких инъекций – внедрение в данные (передаваемые через GET, POST запросы или значения Cookie) произвольного SQL кода. XSS-атака – это уязвимость, которая заключается во внедрении кода, исполняемого на стороне клиента (JavaScript) в веб-страницу, которую просматривают другие пользователи. Код, который защищает от использования XSS-инъекций и попытки модифицировать переменные GLOBALS и _REQUEST:
[html]
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
[/html]

Защита от хотлинкинга

Хотлинкинг (Hotlinking) – это когда владелец другого веб-сайта привязывается к одному или нескольким Вашим изображениям или мультимедийным файлам и помещает их на свою страницу. Код, защищающий от хотлинкинга:
[html]
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http(s)?://(www\.)?вашсайт.ru [NC]
RewriteRule \.(jpg|JPG|jpeg|png|gif|bmp|tiff)$ — [NC,F,L]
[/html]
Не забудьте сменить вашсайт.ru на имя вашего домена, чтобы добавить ваш сайт в список исключения блокировки. Теперь при запросе изображения находящемся на вашем сайте сторонним ресурсом, ваш сервер выдаст код ошибки 403 или же доступ запрещен.

Изменение стандартных префиксов базы данных WordPress

База данных WordPress содержит и хранит в себе всю ключевую информацию необходимую для работы вашего сайта. Спаммеры и хакеры используют автоматические коды для внедрения в SQL. К сожалению, многие люди забывают изменить префикс базы данных, когда они устанавливают WordPress. Из-за этого хакерам легче планировать массовые атаки, нацеливаясь на стандартный префикс wp_. Я советую Вам, создать резервную копию базы данных WordPress, перед тем как Вы внесёте какие либо изменения, предложенные в этом туториале.
1. Перейдите в раздел Плагины -> Добавить новый (Plugins -> Add new).
2. Введите в поле поиска change-table-prefix , Вы увидите список рекомендованных плагинов.
3. Нажмите на Установить сейчас и Активировать плагин изменения префикса таблицы (Install Now & Activate Change Table Prefix plugin).
Изменение префикса базы данных WordPress
4. После этого, перейдите на вкладку Настройки -> Изменить префикс таблицы (Settings -> Change table prefix).
5. Выберите настройку Хотели бы Вы использовать ваш пользовательский префикс (Would you like to use your own custom prefix) и введите префикс, который Вы хотите использовать в поле, например wpnew_.
6. Вы увидите сообщение об успешной замене префикса.
Изменение префикса базы данных WordPress

Удаление файлов readme.html и license.txt.

Файлы readme.html и license.txt присутствуют в корневой папке любой установки WordPress. Вам эти файлы ни к чему, а хакерам они могут облечить их злодеяния. Например, чтобы выяснить текущую версию вашего WordPress и много чего другого полезного для взлома веб-сайта. Рекомендуем удалить их сразу же после установки WordPress.

Включение двухэтапной аутентификации

Двухэтапная аутентификация добавляет дополнительный слой защиты для вашей страницы авторизации. После подтверждения имени пользователя, она добавляет еще один этап, который необходимо завершить для успешной авторизации. Одни из самых популярных плагинов двухфакторной верификации WordPress – это Google Authenticator и Clef Two-Factor Authentication.

Пплагины для защиты сайта

Помимо всех перечисленных способов обезопасить свой веб-сайт, существует так же большое количество специальных плагинов, разработанных для WordPress. Найти их можно здесь. Самые популярные: Wordfence Security iThemes Security All In One WordPress Security

Заключение

Всегда необходимо заботиться о безопасности своего веб-сайта, улучшать ее защиту. Сделать это не так тяжело как может показаться с первого взгляда. В этой статье я показал вам несколько простых и понятных советов, которых вам следует придерживаться, чтобы защита WordPress оставалась на должном уровне.

Уделите минутку внимания

Помоги, дай денежку
Братишка, мне нужна твоя помощь…неловко просить, но срочно нужны средства на оплату хостинга, поэтому если даный материал стал для тебя полезным поделись им с друзьями или пожертвуй денежку. Для тебя это пачка сигарет или пивасик, я понимаю что это святое, но без этой жертвы сайт закроеться. Заранее спасибо за понимание и помощь.

Мои искренние пожелания

Пусть твоя девушка будет одной из ангелов Victoria’s Secret, в доме все здоровы, пис#н как у лысого из Brazzers и само собой денег побольше. Ну а если ты девушка, то чтобы ты не в чем себе не отказывала, ведь за всё будет платить твой красивый, богатый мажор.
Прием донатов
www.donationalerts.ru
donatepay.ru

Понравилась статья? Поделиться с друзьями:

Оставьте комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Пролистать наверх