Захист сайту на WordPress від зламу

Diana Honcharenko

Оновлено 30.10.2020

Час читання: 6 хв.

WordPress – одна з найпопулярніших CMS (система управління контентом). Саме завдяки своїй простоті і зручності у використанні (як безкоштовне ПЗ) вона привертає до себе увагу як звичайних користувачів, так і зловмисників. Тому захист сайту на WordPress – завжди актуальна тема.

Для забезпечення безпеки вашого сайту необхідно здійснити базові налаштування щодо захисту і використовувати можливості самої CMS.

Для початку – кілька порад щодо установки WordPress

1. Використовуйте логін, що відрізняється від стандартного “admin”. При установці CMS ви маєте можливість обрати, яке словосполучення використовувати в якості логіна.

2. Використовуйте надійний пароль. Краще уникати імен, назв вашої компанії або сайту, а також словникових слів. Ідеальний пароль складається тільки з літер або тільки цифр. Також бажано уникати коротких паролів. Ми рекомендуємо використовувати генератори паролів і регулярно проводити оновлення пароля для доступу до адміністративної частини сайту.

3. Під час установки бажано змінити префікс таблиць бази даних. Можна придумати унікальне словосполучення з 2 або 3 символів, які будуть відрізнятися від стандартного префікса “wp_”.

4. Видаліть файли формату .txt і .html, якщо в них є інформація про встановлену CMS, або перемістіть ці файли з кореневої директорії сайту в директорію користувача, щоб вони не були доступні в мережі.

Найчастіше злам сайту відбувається двома способами:

– Brute-force (послідовний перебір символів в логіні та паролі за величезну кількість спроб);

– через вразливості в CMS | плагінах | темах.

Захист від Brute-force

Якщо використовувати логін, відмінний від стандартного “admin”, і унікальний пароль, який буде ще й регулярно змінюватися – це вже буде непоганий захист від Brute-force.

Додатково можна використовувати файл .htaccess, в якому доступні налаштування обмеження доступу до адміністративної панелі сайту по IP. Найчастіше такий додатковий метод захисту використовують ті користувачі, у яких є виділена статична IP-адреса, надана інтернет-провайдером, а на сервері встановлені Apache / Litespeed / зв’язка Apache + Nginx. Представлені веб-сервери використовуються на всіх тарифних планах у гілці Linux-хостингу.

У файлі .htaccess кореневої директорії сайту додайте наступне:

# Block access to wp-admin.

<Files wp-login.php>

Require ip x.x.x.x 

</Files>

x.x.x.x – ваша IP-адреса (дізнатися свою IP-адресу ви можете на сайті 2ip.ua).

Додатково можна вдатися до установки спеціалізованих плагінів для контролю кількості спроб входу в адміністративну панель вашого сайту або ж налаштування двохфакторної авторизації.

Найпопулярніші плагіни для контролю кількості входів:

– Limit Login Attempts

– Lockdown WP Admin

Одним з найпопулярніших плагінів для налаштування двохфакторної авторизації є плагін “Google Authenticator” .

Вразливості в CMS, плагінах і темах

З вразливостями в CMS, плагінах або темах ситуація дещо складніша. На жаль, станом на сьогодні не існує єдиної системи, яка забезпечувала б стовідсоткову гарантію, що сайт не буде зламано. Існують тільки алгоритми дій, дотримуючись яких можна знизити ризики:

1. Регулярно оновлюйте версію CMS. Важливо розуміти, що в кожній версії CMS регулярно виявляються вразливості. Розробники, випускаючи нову версію CMS, намагаються максимально швидко виключати знайдені вразливості. Коли постає питання про безпеку сайту, оновлення – це перше, на що варто звернути увагу.

2. Регулярно оновлюйте плагіни. У кожній новій версії плагіна також проводяться роботи з усунення можливих вразливостей. Це ж правило стосується і теми, яка використовується на сайті.

3. Не варто довіряти неперевіреним ресурсам. У файлах встановленого плагіна або теми може знаходитись вірус або, що найчастіше зустрічається, емулятор FTP у php-файлі. Це надасть повний доступ до структури вашого сайту. Завантажуйте плагіни і теми тільки з офіційних ресурсів. Офіційний сайт CMS – https://wordpress.org/

4. Рекомендуємо регулярно проводити сканування сайту на наявність шкідливого ПЗ. Це дозволить зрозуміти, чи є вразливості на сайті. Ця інформація також важлива, оскільки шкідливе ПЗ у вигляді файлів може перебувати в структурі сайту тривалий період, але не проявитися.

Зі скануванням сайту вам може допомогти наша технічна підтримка.

Додаткові запобіжні заходи

Також періодично необхідно проводити сканування і локального ПК, на якому ви працюєте з сайтом. Не виключено, що вразливість, через яку можна буде отримати дані доступу до сайту, розміщується на локальному ПК.

1. Створюйте резервні копії сайту у вигляді архівів на різних етапах розробки або наповнення сайту. У разі необхідності у вас буде можливість розгорнути сайт з резервної копії.

2. Використовуйте на сайті протокол https: //. Для його використання на сайті повинен бути встановлений SSL-сертифікат. Даний протокол працює за принципом захисного каналу передачі даних. Він не зможе захистити сайт від прямого зламу, однак точно зможе захистити дані, що передаються в мережі.

3. Видаляйте всі плагіни і теми, які не використовуються на сайті. Якщо тема або плагін не використовуються, їх дуже рідко оновлюють. При відключенні плагіна або теми, файли з сервера не видаляються, внаслідок чого є можливість отримати доступ до вже знайдених раніше вразливостей.

4. Використовуйте плагіни, які можуть підвищити безпеку вашого сайту. На сьогодні є велика кількість плагінів, які розроблені з цією метою. Їхній перелік і опис можна знайти тут – wordpress.org/plugins/tags/security

Плагіни, які зустрічаються нам найчастіше:

– Wordfence Security;

– iThemes Security .

Подбайте про захист ваших сайтів на WordPress разом з Hostpro!