Як і багато користувачів, Ви, напевно, в курсі, що WordPress є однією з провідних CMS (система управління контентом) з відкритим вихідним кодом. Спочатку CMS WordPress створювалася для ведення блогів, але через деякий час вона далеко вийшла за рамки стандартів і зараз це відмінна платформа для будь-якого типу веб-сайту. Однак, як показав час, інтернет загрожує небезпеками, які змушують розробників ворушитися.
Навіщо комусь ламати Ваш блог
У далекому минулому мета атаки веб-хакерів полягала в простому відключенні веб-сайту, але пораскинув мізками вони прийшли до висновку, що таке заняття не несе в собі прибутку, дуже сумно. Така ситуація тривала недовго і сьогодні їх мета змінилася: будь-яким можливим чином захопити веб-сайт для своїх корисливих цілей.
Частенько злом відбувається через поля форм і ін'єкція (інфікований код) передається практично на всі сторінки вашого сайту.
«Який збиток нам від цих ін'єкцій» - запитаєте Ви і отримаєте відповідь:
- По-перше це час, витрачений на позбавлення від напасті
- По-друге можливе зниження позицій в пошуковій видачі
Кожен хто веде блог на WordPress, і не тільки, вкладає в нього значну кількість часу, енергії і фінансових коштів для настройки і підтримки. І так між іншим хочу зауважити що особистий блог це джерело доходу, і такі фактори як зниження PR і ТІЦ, втрата трафіку і грошиків надалі такої атаки, псує нам сильно настрій.
Як же все-таки захиститися
Ми хочемо, щоб ніхто без попиту не копався в наших файлах на хостингу. Наведу Вам ряд прикладів як можна себе убезпечити і активно протистояти всім центрам.
Стандартний підхід
Самі важливі кроки як завжди до початку.
Якщо Ви розробляли тему самі і впевнені, що з нею проблем немає, то все добре. Якщо ж Ви десь скачували тему, переконайтеся в надійності її джерела. Пам'ятайте про плагіни до WordPress, користуйтеся тими, що знаходяться в офіційному каталозі.
Захист за допомогою пароля
Надійний пароль одним з перших приймає на себе удар від обдарованих. WordPress радує і дає можливість поставити будь-яке божевільний пароль, не забудьте його записати в блокнотику ручкою. В інтернеті Ви знайдете багато безкоштовних online-сервісів, які генерують випадкові надійні паролі.
Створення секретних ключів
Завдяки секретним ключам WordPress зберігає ваш пароль у максимальній безпеці, вони додають випадкові елементи до пароля користувача. Щоб отримати секретні ключі Ви повинні перейти на WordPress API і скопіювати надані ключі до відповідного розділу файлу wp-config.php.
Створіть безпечне ім'я адміністратору
За замовчуванням облікового запису адміністратора для установки WordPress дано ім'я користувача «admin». Більшість хакерів знають про це, і, як результат, половина інформації, необхідної для доступу до Ваших даних у них вже є. Їм залишається тільки підібрати пароль.
Дуже шкода, але ми їм Уговтаємо крила, додаємо нового користувача з правами адміністратора, унікальним ім'ям і мегасложним паролем, заходимо під ім'ям цього користувача в консоль і видаляємо стару обліковий запис адміністратора.
Підвищіть безпеку за допомогою плагінів
Для підвищення безпеки Вашого сайту, каталог плагінів WordPress пропонує кілька рішень:
- WP Security Scan
Цей плагін шукає місця уразливості Вашого блогу і каже які дії потрібно зробити для їх усунення. Він не повинен бути активованим весь час, досить раз на тиждень або дві перевіряти на наявність вразливостей. - WordPress Exploit Scanner
Плагін WordPress Exploit Scanner сканує Ваші файли на наявність вторгнень хакерів, може Вас попередити про уразливості. Плагін також не вимагає постійної активності. - WordPress File Monitor
Потужний інструмент, весь час стежить за Вашими файлами, попереджає про будь-які зміни, які були зроблені. Ви легко виявите дії хакерів. Для ефективної роботи плагін повинен бути активним завжди. - Login Lockdown
Прекрасне рішення для захисту від хакерів, якщо їм заманеться перебором підібрати пароль. Плагін обмежує кількість спроб входу на сайт часовим проміжком, який Ви можете задати самі. Плагін повинен бути активним на постійній основі.
Встановіть правильні права на папки
Такий нюанс теж зриває всякий свавілля. Пам'ятайте що права на всі файли і папки крім wp-content повинні бути 644, на папку wp-content 755, на папку wp-content / uploads - 755. Встановити права на папку Ви можете безпосередньо з панелі управління хостингом (якщо там є така можливість ) або за допомогою програми FileZilla (відмінна фтп-програма для закачування Ваших файлів на сервер). Ви можете змінити права на папки як того вимагають деякі плагіни.
Змініть префікс таблиці БД WordPress
За замовчуванням у таблиць бази даних WordPress стандартний префікс wp_ - і це ще одна крихта інформації добре відома зловмисникам. Однак при установці WordPress при налаштуванні файлу wp-config.php його легко змінити на щось унікальне.
Змінювати префікс таблиці бази даних вже працюючого сайту не рекомендується.
Переміщення wp-config.php
З виходом WordPress 2.6, користувачі тепер мають можливість переміщення WP-config.php. Здатність переміщати файл wp-config.php запобігає хакерські атаки при пошуку файлу та внесення небажаних змін в нього. Файл можна переміщати тільки в батьківську директорію установки WordPress. Наприклад, якщо файл знаходиться в:
public_html / WordPress / wp-config.php
вона може бути переміщена в:
Однак слід зазначити, що WordPress запрограмований на пошук тільки в батьківську директорію. Якщо файл конфігурації буде переміщений в інше місце, Ви побачите повідомлення про помилку.
використовуйте .htaccess
Група шифрування SSL
- Для сторінки Ввійти - визначити ( 'FORCE_SSL_LOGIN, true);
- Для сторінок панелі управління - визначити ( 'FORCE_SSL_ADMIN, true);
Ви можете захистити себе від нападу
Загрози хакерських атак на блоги WordPress реальні, але використовуючи дані в статті рекомендації Ви збережете свій час і нерви, запобігши заздалегідь практично всі атаки, крім самих непередбачуваних. Дані рекомендації забезпечать дуже високий рівень безпеки Вашого блогу чи сайту.