Захист сайту на WordPress від зламу
WordPress – одна з найпопулярніших CMS (система управління контентом). Саме завдяки своїй простоті і зручності у використанні (як безкоштовне ПЗ) вона привертає до себе увагу як звичайних користувачів, так і зловмисників. Тому захист сайту на WordPress – завжди актуальна тема.
Для забезпечення безпеки вашого сайту необхідно здійснити базові налаштування щодо захисту і використовувати можливості самої CMS.
Для початку – кілька порад щодо установки WordPress
1. Використовуйте логін, що відрізняється від стандартного “admin”. При установці CMS ви маєте можливість обрати, яке словосполучення використовувати в якості логіна.
2. Використовуйте надійний пароль. Краще уникати імен, назв вашої компанії або сайту, а також словникових слів. Ідеальний пароль складається тільки з літер або тільки цифр. Також бажано уникати коротких паролів. Ми рекомендуємо використовувати генератори паролів і регулярно проводити оновлення пароля для доступу до адміністративної частини сайту.
3. Під час установки бажано змінити префікс таблиць бази даних. Можна придумати унікальне словосполучення з 2 або 3 символів, які будуть відрізнятися від стандартного префікса “wp_”.
4. Видаліть файли формату .txt і .html, якщо в них є інформація про встановлену CMS, або перемістіть ці файли з кореневої директорії сайту в директорію користувача, щоб вони не були доступні в мережі.
Найчастіше злам сайту відбувається двома способами:
– Brute-force (послідовний перебір символів в логіні та паролі за величезну кількість спроб);
– через вразливості в CMS | плагінах | темах.
Захист від Brute-force
Якщо використовувати логін, відмінний від стандартного “admin”, і унікальний пароль, який буде ще й регулярно змінюватися – це вже буде непоганий захист від Brute-force.
Додатково можна використовувати файл .htaccess, в якому доступні налаштування обмеження доступу до адміністративної панелі сайту по IP. Найчастіше такий додатковий метод захисту використовують ті користувачі, у яких є виділена статична IP-адреса, надана інтернет-провайдером, а на сервері встановлені Apache / Litespeed / зв’язка Apache + Nginx. Представлені веб-сервери використовуються на всіх тарифних планах у гілці Linux-хостингу.
У файлі .htaccess кореневої директорії сайту додайте наступне:
# Block access to wp-admin.
<Files wp-login.php>
Require ip x.x.x.x
</Files>
x.x.x.x – ваша IP-адреса (дізнатися свою IP-адресу ви можете на сайті 2ip.ua).
Додатково можна вдатися до установки спеціалізованих плагінів для контролю кількості спроб входу в адміністративну панель вашого сайту або ж налаштування двохфакторної авторизації.
Найпопулярніші плагіни для контролю кількості входів:
Одним з найпопулярніших плагінів для налаштування двохфакторної авторизації є плагін “Google Authenticator” .
Вразливості в CMS, плагінах і темах
З вразливостями в CMS, плагінах або темах ситуація дещо складніша. На жаль, станом на сьогодні не існує єдиної системи, яка забезпечувала б стовідсоткову гарантію, що сайт не буде зламано. Існують тільки алгоритми дій, дотримуючись яких можна знизити ризики:
1. Регулярно оновлюйте версію CMS. Важливо розуміти, що в кожній версії CMS регулярно виявляються вразливості. Розробники, випускаючи нову версію CMS, намагаються максимально швидко виключати знайдені вразливості. Коли постає питання про безпеку сайту, оновлення – це перше, на що варто звернути увагу.
2. Регулярно оновлюйте плагіни. У кожній новій версії плагіна також проводяться роботи з усунення можливих вразливостей. Це ж правило стосується і теми, яка використовується на сайті.
3. Не варто довіряти неперевіреним ресурсам. У файлах встановленого плагіна або теми може знаходитись вірус або, що найчастіше зустрічається, емулятор FTP у php-файлі. Це надасть повний доступ до структури вашого сайту. Завантажуйте плагіни і теми тільки з офіційних ресурсів. Офіційний сайт CMS – https://wordpress.org/
4. Рекомендуємо регулярно проводити сканування сайту на наявність шкідливого ПЗ. Це дозволить зрозуміти, чи є вразливості на сайті. Ця інформація також важлива, оскільки шкідливе ПЗ у вигляді файлів може перебувати в структурі сайту тривалий період, але не проявитися.
Зі скануванням сайту вам може допомогти наша технічна підтримка.
Додаткові запобіжні заходи
Також періодично необхідно проводити сканування і локального ПК, на якому ви працюєте з сайтом. Не виключено, що вразливість, через яку можна буде отримати дані доступу до сайту, розміщується на локальному ПК.
1. Створюйте резервні копії сайту у вигляді архівів на різних етапах розробки або наповнення сайту. У разі необхідності у вас буде можливість розгорнути сайт з резервної копії.
2. Використовуйте на сайті протокол https: //. Для його використання на сайті повинен бути встановлений SSL-сертифікат. Даний протокол працює за принципом захисного каналу передачі даних. Він не зможе захистити сайт від прямого зламу, однак точно зможе захистити дані, що передаються в мережі.
3. Видаляйте всі плагіни і теми, які не використовуються на сайті. Якщо тема або плагін не використовуються, їх дуже рідко оновлюють. При відключенні плагіна або теми, файли з сервера не видаляються, внаслідок чого є можливість отримати доступ до вже знайдених раніше вразливостей.
4. Використовуйте плагіни, які можуть підвищити безпеку вашого сайту. На сьогодні є велика кількість плагінів, які розроблені з цією метою. Їхній перелік і опис можна знайти тут – wordpress.org/plugins/tags/security
Плагіни, які зустрічаються нам найчастіше:
– iThemes Security .
Подбайте про захист ваших сайтів на WordPress разом з Hostpro!
Можливо, вас зацікавить
У цьому гайді ви дізнаєтеся, як встановити Google Analytics на WordPress сайт за кілька...
Клієнти HostPro мають можливість керувати усіма інсталяціями WordPress просто з особистого кабінету. У цій...
WordPress – найпопулярніша CMS у світі. Зважаючи на це, більшість зламів та вразливостей також...
Наш телеграм
з важливими анонсами, розіграшами й мемами
Приєднатися