При богатом выборе движков для работы веб-ресурса Wordpress остается одним из наиболее распространенных не только в рунете, но и по всему миру. Эта CMS крайне проста и удобна в использовании. Если преимущества Wordpress привлекают большое число честных пользователей, то его популярность — злоумышленников. Создать свой сайт сегодня под силу даже школьнику, а вот для его качественной защиты от взлома требуется некоторый опыт и знания. Из этой статьи вы узнаете о наиболее эффективных методах обеспечения безопасности своего веб-ресурса.
Надежный логин
Многие знают о необходимости создания хороших паролей, использования SSL-сертификата, но не все почему-то эти и другие элементарные правила соблюдают. Если вы желаете защитить свой сайт от взлома, первое, что требуется сделать ? проверить надежность логина. Подавляющее число владельцев используют стандартное имя пользователя, установленное по умолчанию (admin), чем уже облегчают задачу хакерам ровно наполовину. Злоумышленникам остается лишь подобрать пароль.
Если вы не желаете делать новую учетную запись и создавать сайт с нуля, воспользуйтесь следующим алгоритмом действий для установки надежного логина.
- Создайте нового пользователя. В меню административной части найдите графу «Пользователи» и выберите опцию по добавлению нового. Придумайте более сложный логин и не забудьте наделить нового пользователя доступом ко всему функционалу, а также назначить Администратором.
- Удалите Admin. Для этого выйдите из текущей учетной записи и зайдите вновь, но уже под новым логином. Снова перейдите на вкладку с пользователями и найдите нужную учетку admin. Рядом с ней будет доступна опция «Удалить».
Вот и все, надёжный логин готов.
Сложный пароль
Надежная защита может быть обеспечена, если вы откажетесь от стандартных наборов букв и привязке к дате рождения. Надежный пароль представляет собой комбинацию из строчных, прописных букв, цифр и символов. Если вам сложно запоминать такие пароли, то вы всегда можете воспользоваться специальными программами, которые сгенерируют и сохранят эти данные, например, KeyPass, Password Agent и другие.
Регулярные обновления
Использование устаревшей версии движка является одной из наиболее опасных брешей в безопасности. Не забывайте обновлять сайт согласно рекомендациям, которые автоматически выпадают в административной части.
Используйте плагины, скачанные с надежных ресурсов
Этот движок настолько распространен, что для него регулярно выпускают дополнительные утилиты не только сами разработчики, но и сторонние агенты. Плагины расширяют функционал, но к использованию их стоит относиться с осторожностью. Лучше скачивать с официальных ресурсов, типа wordpress.org и внимательно относиться ко всем предупреждениям, появляющимся на административной панели. Как и в случае с самими движком, плагины необходимо регулярно обновлять.
Резервное копирование
На тот случай, если атаку все же не удастся предотвратить, нужно позаботиться о наличии актуального бекапа. Их делают большинство хостингов. Дополнительно вы можете использовать плагины, также создающие резервные копии. Сама платформа предлагает такой под названием Wordpress Database Backup.
Сделайте .htaccess файл
Этот файл вы можете найти в корневой папке или создать его самостоятельно при помощи текстового редактора. Расширений нет, достаточно просто в названии указать .htaccess. Это важный конфигурационный файл в котором с помощью специальных кодов можно добавлять и отключать некоторые функции.
Код |
Назначение |
<Files wp-config.php> order allow, deny deny from all </Files> |
Блокировка доступа к wp-config.php с данными для соединения с MySQL, базой данных. |
<files .htaccess> order allow, deny deny from all </files> |
Ограничение доступа к .htaccess файлу. |
order allow,deny allow from all deny from X.X.X.X |
Запрет доступа к веб-сайту определенных IP-адресов. |
order deny,allow deny from all allow from X.X.X.X |
Установка доступа к веб-сайту только конкретным IP-адресам. |
AuthUserFile /dev/null AuthGroupFile /dev/null AuthName «Access Control» AuthType Basic order deny, allow deny from all allow from X.X.X.X |
Ограничение доступа к административной части по IP. |
RewriteEngine On RewriteCond %{REQUEST_METHOD} ^TRACE RewriteRule .* — [F] |
Запрет отслеживания HTTP заголовков. |
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC, OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0 — 9A-Z]{0, 2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0 — 9A-Z] {0,2}) RewriteRule ^(.*)$ index.php [F.L] |
Защита от наиболее распространенного вида атак ? SQL-инъекций. |
Options –Indexes | Запрет просмотра содержимого папок по вводу их полного адреса |
Options +FollowSymLinks RewriteEngine On RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) RewriteRule ^(.*)$ index.php [F,L] |
Защита от XSS-инъекций и попыток изменения данных GLOBALS и _REQUEST. |
Если файл .htaccess у вас есть в корневой папке, то любые коды стоит вносить строго после записи #END WordPress.
Двухэтапная аутентификация
Эта система, добавляющая дополнительный защитный слой, уже используется многими для входа в email-ящик, онлайн-банк. Использовать ее можно и для WordPress. Для этого достаточно скачать специальное приложение на смартфон, которое поможет осуществить второй этап проверки.
Отключение отправки отчетов PHP об ошибках
Это полезная опция, если вы занимаетесь разработкой веб-ресурса и желаете убедиться в том, что все работает корректно. В остальных случаях сообщать в сети об ошибках ? серьезное упущение, с точки зрения безопасности. Чтобы его исправить вовсе не обязательно быть программистом. Просто найдите в корневой папке файл wp-config.php и вставьте код:
error_reporting(0);
@ini_set(‘display_errors’, 0);
Для этого может потребоваться специальный файловый менеджер или же FTP-клиент.
Удаление ненужной информации
Хакеры могут использовать для загрузки вредоносного ПО устаревшие и неиспользуемые вами темы и плагины, даже официальные. Поэтому целесообразно удалять расширения, если они вам не нужны. Так вы исключите дополнительную лазейку для проникновения злоумышленников.
Удаление файлов license.txt, readme.html
Эти документы есть в корневых папках любых версий движка. Вам, как владельцу веб-сайта, они не понадобятся, а хакерам помогут получить множество конфиденциальной информации, помогающий взломать сервис. Поэтому фалы license.txt и readme.html можно удалить сразу после установки движка.
Дата: 12.10.2018 Автор: Алексей
|
Авторам статьи важно Ваше мнение. Будем рады его обсудить с Вами:
comments powered by Disqus