Защита сайта на WordPress от взлома

Diana Honcharenko

Обновлено 29.10.2020

Время чтения: 6 мин.

WordPress – это одна из самых популярных CMS (система управления контентом). Именно благодаря своей простоте и удобности в использовании (как бесплатное ПО) она привлекает к себе внимание как обычных пользователей, так и злоумышленников. Поэтому защита сайта на WordPress — всегда актуальная тема.

Для обеспечения безопасности вашего сайта необходимо провести базовые настройки по защите и использовать возможности самой CMS.

Для начала – несколько советов по установке данной CMS

1. Используйте логин, отличный от стандартного “admin”. При установке CMS вы имеете возможность указать, какое словосочетание использовать в качестве логина.

2. Используйте надежный пароль. Не используйте в нем имена, название вашей компании или сайта, а также словарные слова – только буквы или только цифры. Избегайте коротких паролей. Рекомендуем использовать генераторы паролей и регулярно проводить обновление пароля для доступа к административной части сайта.

3. При установке измените префикс таблиц базы данных. Можно придумать уникальное словосочетание из 2 или 3 символов, которые будут отличаться от стандартного префикса “wp_”.

4. Удалите файлы формата .txt и .html, если в них есть информация об установленной CMS, или переместите эти файлы из корневой директории сайта в директорию пользователя, чтобы они не были доступны в сети.

В большинстве случаев взлом сайта происходит двумя способами:

– Brute-force (последовательный перебор символов в логине и пароле за огромное количество попыток);

– через уязвимости в CMS | плагинах | темах.

Защита от Brute-force

Если использовать логин, отличный от стандартного “admin”, и уникальный пароль, который будет ещё и регулярно меняться – это уже неплохая защита от Brute-force.

Дополнительно можно использовать файл .htaccess, в котором есть возможность настроить ограничение доступа к административной панели сайта по IP. Чаще всего такой дополнительный метод защиты используют те пользователи, у которых есть выделенный статический IP-адрес, предоставленный интернет-провайдером, а на сервере есть предустановленные Apache / Litespeed / связка Apache + Nginx. Представленные веб-сервера используются на всех тарифных планах в ветке Linux-хостинга.

В файле .htaccess корневой директории сайта добавьте следующее:

# Block access to wp-admin.

Require ip x.x.x.x

</Files>

x.x.x.x – ваш IP-адрес (узнать свой IP-адрес вы можете на сайте 2ip.ua).

Дополнительно можно прибегнуть к установке специализированных плагинов для контроля количества попыток входа в административную панель вашего сайта или настройке двухфакторной авторизации.

Популярные плагины для контроля количества входов:

– Limit Login Attempts

– Lockdown WP Admin

Одним из самых популярных плагинов для настройки двухфакторной авторизации является плагин “Google Authenticator” .

Уязвимости в CMS, плагинах или темах

С уязвимостями в CMS, плагинах или темах ситуация несколько сложнее. К сожалению, на текущий момент не существует единой системы, которая обеспечивала бы стопроцентную гарантию, что сайт не будет взломан. Существуют только алгоритмы действий, следуя которым можно снизить риск взлома сайта:

1. Регулярно обновляйте версию CMS. Важно понимать, что в каждой версии CMS регулярно обнаруживаются уязвимости. Разработчики, выпуская новую версию CMS, стараются максимально быстро исключать найденные уязвимости. Если уж мы говорим о безопасности сайта, обновление – это первое, на что стоит обратить внимание.

2. Регулярно обновляйте плагины. В данном случае, помимо новых возможностей плагина, в связи с новой версией, также проводятся работы по устранению возможных уязвимостей. Это же правило касается и темы, которая используется на сайте.

3. Не стоит доверять непроверенным ресурсам. В файлах установленного плагина или темы может находиться вирус или, что чаще всего встречается, эмулятор FTP в php-файле. Это даст полный доступ к структуре вашего сайта. Скачивайте плагины и темы только с официальных ресурсов. Официальный сайт CMS – https://wordpress.org/

4. Рекомендуем регулярно проводить сканирование сайта на наличие вредоносного ПО. Это даст понимание того, есть ли уязвимости на сайте. Эта информация очень важна, поскольку вредоносное ПО в виде файлов может находиться в структуре сайта длительный период, но не проявиться.

С вопросом сканирования сайта вам может помочь наша техническая поддержка.

Дополнительные меры предосторожности

Также время от времени необходимо проводить сканирование и локального ПК, на котором вы работаете с сайтом. Не исключено, что уязвимость, через которую можно будет получить данные доступа к сайту, размещается на локальном ПК.

1. Создавайте резервные копии сайта в виде архивов на разных этапах разработки или наполнения сайта. В случае необходимости у вас будет возможность развернуть сайт из резервной копии.

2. Используйте на сайте протокол https://. Для его использования на сайте должен быть установлен SSL-сертификат. Данный протокол работает по принципу защитного канала передачи данных. Он не сможет защитить сайт от прямого взлома, но сможет защитить передаваемые данные в сети.

3. Удаляйте все плагины и темы, которые не используются на сайте. Если тема или плагин не используются, их очень редко обновляют. При отключении плагина или темы файлы с сервера не удаляются, вследствие чего есть возможность получить доступ к уже найденным ранее уязвимостям.

4. Используйте плагины, которые могут повысить безопасность вашего сайта. На текущий момент есть большое количество плагинов, которые разработаны с данной целью. Их перечень и описание вы можете найти здесь – wordpress.org/plugins/tags/security

Плагины, которые нам встречались чаще всего:

– Wordfence Security;

– iThemes Security .

Позаботьтесь о защите содержимого ваших сайтов на WordPress вместе с Hostpro!