Уроки        08 июня 2017        336         0

12 шагов на пути к безопасности WordPress

12 шагов на пути к безопасности сайтов на WordPressЗащита сайта — комплекс мер, где важно всё. Если упустить что-то одно, то кто-то непременно этим воспользуется. Не стоит думать, что малоизвестные ресурсы никому не нужны: современные мощности позволяют сканировать весь интернет без ручного участия. А владельцам популярных сайтов следует быть особо осторожными из-за не честных конкурентов и любителей причинять неудобства.

 

 

1. Надёжный хостинг

Взлом осуществляется не только напрямую, но и через другое ПО, которое тоже может быть уязвимо. Хостинг с грамотной политикой безопасности и продвинутыми специалистами — фактор первостепенной важности, поскольку серверная часть выходит за рамки контроля владельца сайта.

Если же сайт установлен на VDS, то его конфигурация должна быть тщательно проверена, а проблемы устранены в кратчайшие сроки после их обнаружения. Необходимо постоянно следить за новостями, чтобы быстро узнавать о новых угрозах и методах защиты.

 

2. Настройка базы данных

Не стоит использовать одного и того же пользователя MySQL для нескольких сайтов, так как в случае взлома одного пострадают все остальные.
При установке WordPress следует изменить стандартный префикс таблиц на случайную строку из символов разного регистра — тогда просканировать БД и внести изменения будет сложнее.
Если есть такая возможность, отключение некоторых прав усложнит причинение вреда. Например, команда «drop database» вряд ли когда-нибудь понадобится.

 

3. Правильная установка прав

Для файлов «wp-config.php» и «.htaccess» рекомендуется использовать права 444 (только чтение) — они представляют собой узкое место, которое удобнее всего модифицировать. Для остальных директорий (кроме папки загрузок) корректно использовать права 775, а для файлов — 644. Проверка правильности выставленных прав есть во многих плагинах безопасности, например, All In One WP Security.

 

4. Использование шифрования

Протокол SSL/TSL не позволит перехватить данные в незащищённом канале во время работы с сайтом. Это особенно важно, когда вход на сайт периодически осуществляется через общественные точки доступа, либо на нём большой штат администраторов, чью благонадёжность нельзя гарантировать с полной уверенностью.

Функционал для включения шифрования встроен во многие плагины для обеспечения безопасности. Есть и отдельные решения: Really Simple SSL, One Click SSL и прочие. А проверить правильность настройки можно с помощью сервиса SSL Server Test.

 

5. Переименование wp-content

В данной директории содержатся все сторонние элементы (темы, плагины, загрузки). Используя известный путь, сканеры легко производят поиск по нему с целью обнаружения известных им уязвимостей в коде. Переименование директории усложнит сканирование, отсеяв часть атак. Осуществить его можно с помощью iThemes Security и аналогичных плагинов, либо вручную, внеся изменения в файл «wp-config.php».

 

6. Перемещение wp-config.php

WordPress умеет находить данный файл на уровнях выше, поэтому его не обязательно держать в той же папке, где установлен сайт. Благодаря этому простому ходу найти его будет сложнее и автоматика вряд ли справится, а ручной взлом профессионалом — значительно более редкое явление.

 

7. Отключение просмотра файлов

Возможность просматривать каталоги помогает в выяснении точного списка всех установленных компонентов, что необходимо для поиска уязвимостей. Для предотвращения достаточно создать везде индексные файлы или настроить «.htaccess», либо воспользоваться плагинами.

 

8. Проверка плагинов и тем

Сторонние элементы могут содержать уязвимости и вредоносный код, поэтому их нужно проинспектировать после установки. Для упрощения поиска «дыр» есть несколько инструментов сканирования, выводящих информацию о проблемных местах.

  • Theme Authenticity Checker (TAC)

Его предназначение — поиск признаков вредоносного кода и статических ссылок в файлах тем. Сканирование происходит в автоматическом режиме, а информация выводится на специальной вкладке в разделе «Внешний вид».

  • AntiVirus

Похожий по применению плагин для проверки установленного шаблона. Его отличие в том, что в нём можно включить ежедневное сканирование с отправкой результатов на e-mail. Это полезно в тех случаях, когда включено автоматическое обновление WordPress и его компонентов.

Чтобы осуществить тщательную проверку, необходимо обладать знаниями PHP, JavaScript, HTML и CSS. Отсутствие предупреждений от сканеров не означает полной безопасности, как и наличие реальных вирусов в обратном случае. Установить истину можно только с помощью ручной проверки. Другим недостатком сканеров является то, что они не в силах распознать все уязвимости, которые сами по себе не несут никакого вреда, но могут быть использованы для взлома.

 

9. Защита аккаунта администратора

Самые распространённые ошибки, которые делают возможным взлом:

  • Логин «admin», «administrator», «root» и тому подобные, которые легко угадать.
  • Логин совпадает с отображаемым ником.
  • Простой пароль, который есть в словарях, либо может быть подобран из-за малого количества символов.
  • Один и тот же пароль на разных ресурсах.

Соблюдение элементарных правил сетевой безопасности делает практически невозможным взлом с помощью перебора паролей, который производится ботнетами с целью заражения слабо защищённых сайтов.

Аккаунт, созданный при установке WordPress, имеет ID 1, что так же используется для попыток несанкционированного доступа. Использование другого профиля либо смена ID в базе данных усложняют задачу взломщикам.

Нежелательно наличие редактора кода — при качественной первоначальной разработке он не нужен, а в случае получения доступа к аккаунту он позволит легко внести любые изменения. Отключить редактор можно с помощью плагинов, либо добавив настройку в «wp-config.php»: «define( ‘DISALLOW_FILE_EDIT’, true );».

Двухкратная аутентификация

Плагины Google Authenticator и Clef Two-Factor Authentication делают возможным вход через мобильное устройство, проводя дополнительный рубеж обороны на пути к панели управления. Таким образом, даже знание пароля не позволит совершить взлом.

 

10. Установка плагинов для защиты

WordPress не имеет встроенных механизмов обеспечения безопасности, даже лимита на количество попыток авторизации. Но это легко компенсируется с помощью некоторых плагинов, которые препятствуют большинству распространённых атак.

iThemes Security

Его общедоступная версия имеет 21 блок различных настроек, повышающих безопасность сайта. Среди них есть и параноидальные, радикально увеличивающие защищённость: ограничение возможности входа в панель управления по времени и белый список IP-адресов, с которых разрешён вход. Таким образом, если пароль одного из администраторов всё же был скомпрометирован, воспользоваться им не удастся. А платная версия снабжена дополнительными модулями, среди которых есть антивирусное сканирование.

All In One WP Security

Не менее мощный аналог, имеющий чуть больше опций для тонкой настройки параметров защиты. А дополнительные возможности, такие как отключение копирования текста и показ картинок на чужих сайтах, являются приятным бонусом к высокому уровню безопасности.

 

11. Создание бэкапов

Резервные копии — спасение в тех случаях, когда не удалось избежать заражения или возникли ошибки. Важно не хранить их в том же месте, где расположен сайт, по двум причинам:

  1. В случае взлома они так же могут пострадать, либо исчезнуть.
  2. При возникновении проблем с хостингом можно будет быстро развернуть актуальную версию сайта.

BackWPup

Этот плагин реализует настройку автоматического резервного копирования файлов и базы данных с последующей выгрузкой в удалённые хранилища.

Есть поддержка:

  • E-mail;
  • FTP;
  • Dropbox;
  • S3 Service;
  • Microsoft Azure;
  • Rackspace Cloud Files;
  • SugarSync.

Тонкие настройки обеспечивают создание задач с архивированием только нужного, благодаря чему возможна реализация разной периодичности для разных данных.

В том случае, когда сайт установлен на выделенном сервере, лучшим решением будет написание собственных скриптов и запуск их через cron. Тогда при взломе сайта доступ к резервным копиям, как и к ключам от внешних ресурсов для их выгрузки, будет невозможен.

 

12. Регулярные обновления

Часто в описании новых версий WordPress содержатся сведения о том, что были устранены какие-либо уязвимости, либо произведены другие изменения, влияющие на безопасность. То же самое касается плагинов и тем: разработчики стараются устранять обнаруженные проблемы. Своевременная установка обновлений позволяет избежать взлома, поскольку старые версии всегда более изучены, чем новые, и со временем они становятся не безопасными.

WordPress автоматически устанавливает критические обновления, но для актуализации других компонентов необходимо либо ручное вмешательство, либо использование плагина Update Control или его аналогов.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *