Цей движок давно переріс інформаційні ресурси і використовується сайтами-візитками, блогами, статійниками, сайтами послуг та інтернет-магазинами.
Але крім того, що ця CMS дуже популярна, її “ламають” найбільш часто серед усіх існуючих. За даними GoDaddy Security / Sucuri, понад 90% усіх хакерських атак припало саме на сайти, що використовують WordPress.У цій статті поговоримо про те, як убезпечити сайт на Вордпресс.
- Слідкуйте за новинами у сфері IT
- Не використовуйте як логін адміністратора слово admin
- Змініть стандартну адресу входу в адміністраторську панель
- Використовуйте складний пароль
- Регулярно оновлюйте WordPress
- Намагайтеся мінімізувати кількість використовуваних плагінів
- Не використовуйте готові теми із сумнівних джерел
- Створюйте бекапи (резервні копії)
- Вимкніть можливість редагування PHP-файлів через панель адміністратора
- Встановіть двофакторну авторизацію
- Забезпечте безпеку свого ПК або ноутбука
- Використовуйте SSL-сертифікат
- Змініть стандартний префікс таблиць у базі даних
- Підсумуємо
Слідкуйте за новинами у сфері IT
На жаль, хакери доволі часто знаходять уразливості як у самому движку, так і в плагінах до нього. Новини про те, що виявлено чергову “дірку”, з’являються мало не щомісяця. Використовуєте плагіни, пов’язані з безпекою на кшталт Wordfence або Sucuri? Тоді підпишіться на їхню стрічку новин!
Не використовуйте як логін адміністратора слово admin
Якщо зловмисники знають логін, це вже 50% їхнього успіху. Використовуйте відмінний від admin логін, а ще краще – email-адресу в якості нього.
Врахуйте, що логін адміністратора можна дізнатися кількома способами:
- На самому сайті. Якщо ви використовуєте свій акаунт адміністратора на сайті для розміщення постів/публікацій, а в темі виводиться їхній автор, будь-хто дізнається логін.
Тому або видаліть виведення автора, або використовуйте для роботи на сайті додатковий акаунт із правами редактора.
- Шляхом додавання до адреси сайту фрагмента ?author=1, щоб вийшло так: site.ua/?author=1.
Якщо ви введете такий рядок, найімовірніше, вас перекине на адресу виду site.ua/author/логін_адміністратора.
Щоб виправити ситуацію, потрібно додати в кінець файлу .htaccess, розташованого в корені сайту, такий рядок: RedirectMatch Permanent ^/author/login-admin https:\/\\/site\.ua, де login-admin – логін адміністратора, а https://site.ua – адреса вашого сайту. Тепер, якщо ви перейдете за адресою site.ua/?author=1, вас має перекидати на головну сторінку сайту.
Змініть стандартну адресу входу в адміністраторську панель
Усім відомо, що якщо додати до адреси сайту на WordPress запис: site.ua/wp-admin, то ми потрапимо на сторінку з формою авторизації.
Знаючи логін (з попереднього пункту), а також адресу, за якою розташована форма входу в панель управління, зловмисник може підібрати пароль шляхом перебору (мовою хакерів – “брутфорс”, від англ. brute force).
Використовуючи відмінну від wp-admin адресу входу в адміністраторську панель, ви істотно ускладните життя потенційному зломщику свого сайту.
І так, є ще одна адреса, яку слід замінити: site.ua/wp-login.php.
Забороніть вхід із чужих IP
За бажання ви можете дозволити вхід у панель адміністратора тільки з певних IP-адрес.
Для цього у файл .htaccess необхідно додати рядки:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “WordPress Admin Access Control”
AuthType Basic
order deny,allow
deny from all
allow from xx.xx.xx.xx.xxx
allow from xx.xx.xx.xx.xxx
Тут xx.xx.xx.xx.xxx – ваша IP-адреса.
Один рядок – одна IP-адреса.
allow from xx.xx.xx.xx.xxx
Таким чином ви можете додати кілька IP-адрес, якщо на сайті кілька адміністраторів.
І будьте обережні: якщо у вас динамічний IP, то після його зміни ви не зможете потрапити в панель управління.
Використовуйте складний пароль
До болю банально, проте багато хто досі використовує як пароль поєднання на кшталт qwerty1234 та інші “хитрі” комбінації.
Умови пароля, який захищає:
- містить щонайменше 10 знаків;
- складається з букв різного регістру;
- містить цифри;
- містить спецсимволи (#, $, %, !, & тощо).
Щоб не вигадувати пароль самостійно, скористайтеся будь-яким генератором паролів.
Регулярно оновлюйте WordPress
Оновлений рушій досить часто містить, окрім безлічі корисних доробок, виправлення знайдених вразливостей.
Щойно в панелі адміністратора ви помітили повідомлення про те, що з’явилася нова версія WordPress, необхідно оновити движок негайно.
Альтернативна думка – негайно оновити, якщо у офіційному описі оновлення вказано, що це безпекове оновлення. Обов’язково зробіть бекап, бо щось після оновлення може зламатися.
Намагайтеся мінімізувати кількість використовуваних плагінів
Наразі існує величезна кількість різних плагінів, що вирішують практично будь-які завдання.
Але що більше плагінів встановлено на сайті, то більша його вразливість. Чому?
- Плагін може бути написаний некваліфікованим розробником і містити критичні недоліки, що впливають на безпеку сайту.
- Плагін може бути занедбаний програмістом і не оновлюватися протягом тривалого часу, внаслідок чого його безпека знижується.
- Плагіни можуть конфліктувати один з одним, спричиняючи помилки.
- Плагіни так само, як і движок, необхідно регулярно оновлювати для зниження ризику появи вразливостей.
Припустимо, що вам на сайті потрібна форма зворотного зв’язку. І замість того, щоб ставити 2-3 плагіни або який-небудь ContactForm 7, форму можна зробити “вручну”.
Так, є плагіни, без яких не обійтися, тому порада полягає не в тому, щоб повністю відмовитися від них, а в тому, щоб обирати тільки перевірені часом рішення, а також, за можливості, обходитися без них.
І ще одна важлива порада: видаляйте невикористовувані плагіни. Якщо вони довго не використовуються або зовсім відключені, найкраще рішення – розлучитися з ними.
Нулені (зламані теми та плагіни) – харам! Не беріть цю гидоту у руки!
Не використовуйте готові теми із сумнівних джерел
Найбезпечніше, що може бути в WordPress-темі – це наявність посилань на сторонні ресурси. Дуже часто причиною злому сайту на базі WordPress стає скачана з неперевіреного безкоштовного джерела тема.
Виходу два: замовити розробку шаблону або ж купити преміум-тему у перевіреного продавця.
Створюйте бекапи (резервні копії)
Цей пункт рекомендується виконувати не тільки для захисту сайту, а й на випадок непередбачених ситуацій, таких як помилки на сайті, недоступність ресурсу з незрозумілих причин або закриття хостингу (так, і таке буває).
Робіть резервну копію як на хостингу (регулярно) в автоматичному режимі, так і вручну (хоча б раз на кілька місяців). Так ви збережете виконану роботу, час і нерви.
Вимкніть можливість редагування PHP-файлів через панель адміністратора
Припустимо, що хакер отримав доступ до панелі адміністратора. Наступна його мета – редактор файлів. Щоб не дозволити зловмиснику впровадити шкідливий код, вимкніть можливість редагування PHP-файлів через панель адміністратора.
Зробити це можна так: необхідно знайти файл wp-config.php і додати в нього рядок:
define( ‘DISALLOW_FILE_EDIT’, true );
Встановіть двофакторну авторизацію
Крім уже перерахованих вище заходів щодо захисту панелі адміністратора, можна встановити двофакторну аутентифікацію. Крім основного пароля, необхідно буде ввести додатковий пароль, відповідь на запитання або тимчасовий код, надісланий на мобільний телефон.
Для цього також можна скористатися плагіном. Наприклад, Google Authenticator.
І, звичайно ж, двофакторну авторизацію можна забезпечити без застосування вищевказаних плагінів.
Забезпечте безпеку свого ПК або ноутбука
Досить часто паролі та інші персональні дані крадуть за допомогою вірусів або кейлогерів, тому нехтувати захистом свого комп’ютера точно не варто. Використовуйте антивірусні програми та фаєрволи для захисту своєї інформації:
- ESET Nod32
- Avast Antivirus
- Dr. Web
- Comodo Firewall (фаєрвол)
- Avira (фаєрвол) та ін.
Використовуйте SSL-сертифікат
Використання протоколу HTTPS допоможе захистити передану інформацію як в адмінпанелі, так і у формі авторизації або оплати на сайті. Для використання протоколу необхідна наявність SSL-сертифіката (платного або безкоштовного).
Змініть стандартний префікс таблиць у базі даних
У всіх сайтів на WordPress однакова структура БД, відповідно, у всіх таблиць стандартний префікс. Ця особливість притаманна багатьом движкам.
У DLE (Data Life Engine) префікс – dle_, у WordPress – wp_.
Коли зловмисник виявить уразливість і отримає можливість виконувати SQL-запити, він зашкодить з меншою ймовірністю, якщо не знатиме префікс таблиць.
Для того щоб замінити префікс, можна скористатися одним із плагінів – WP-DBManager або iThemes Security.
Також можна виконати вручну такі дії:
У файлі wp-config.php у рядку $table_prefix = ‘wp_’; замінити wp_ на свій префікс, наприклад, так:
$table_prefix = ‘my_’;
Виконати SQL-запит для заміни старих префіксів wp_ на нові.
Врахуйте, що ви маєте змінити всі префікси, включно зі встановленими плагінами, інакше на сайті можуть з’явитися помилки.
Підсумуємо
- Слідкуйте за новинами про WordPress і оглядами про знайдені вразливості.
- Не використовуйте як логін слово admin і не дайте зловмисникам дізнатися логін адміністратора.
- Змініть стандартну адресу входу в адмінпанель.
- Дозвольте вхід у панель керування тільки з певних IP-адрес.
- Використовуйте зламостійкий пароль, який не зможуть підібрати шляхом простого перебору.
- Регулярно оновлюйте сам движок і всі встановлені плагіни.
- Видаліть невикористовувані плагіни.
- Не встановлюйте безкоштовні теми з неперевірених джерел.
- Робіть бекапи як бази даних, так і файлів.
- Забороніть редагування важливих системних файлів через панель адміністратора.
- Встановіть двофакторну авторизацію.
- Перевіряйте свій комп’ютер на наявність вірусів.
- Використовуйте захищений протокол HTTPS.
- Змініть стандартний префікс бази даних.
