Необходимые меры для повышения безопасности вашего сайта на WordPress

Здесь я расскажу вам про 10 приемов, необходимых для улучшения безопасности вашего сайта, также расскажу про самый надежный метод сохранения вашего сайта – это регулярное создание копий базы данных вашего сайта и постоянный контроль над изменениями файлов вашего сайта.

Скачать исходники для статьи можно ниже

Начну с того, что 100% защиты не существует, то есть, если ваш сайт захотят взломать, то его взломают.

Поэтому, если это случилось,  нужно как можно быстрее об этом узнать и предпринять необходимые меры.

Почему реагировать нужно быстро?

Во-первых, это поисковики, если они определят, что ваш сайт подвергся заражению, они опустят вас в результатах поиска, и чтобы восстановить их доверие нужно будет потратить много времени, а возможно придется и вовсе поменять домен сайта. Так что поисковиков нужно в обязательном порядке опередить.

Во-вторых, это сами посетители, на зараженные сайты никто не хочет заходить, и если они увидят в следующий раз ссылку на ваш сайт, они не перейдут по ней.

В-третьих, лечить зараженный сайт легче и дешевле на ранних стадиях.

Как узнать заражен ли ваш сайт вредоносным кодом (вирусом)? – читайте про это в ранее написанной мною статье.

Регулярное резервное копирование базы данных вашего сайта.

Для того, чтобы обезопасить себя от вышеперечисленных нежелательных последствий заражения сайта, вам необходимо создавать регулярно резервные копии базы данных вашего сайта (это сохранит ваши статьи, комментарии, странички и прочее наполнение вашего сайта), а также иногда желательно делать копию всех файлов темы через FTP (например через программу FileZilla).

Для регулярного резервного копирования базы данных можно воспользоваться плагином WordPress Database Backup (установка стандартная: переходим в панель управления вашим сайтом – далее нажимаем на пункт “Плагины” – далее подпункт “Добавить новый” – в строке поиска вводим WordPress Database Backup и находим вот такую строчку WP-DB-Backup, далее жмем активировать и установить).

По данным сайта wordpress.org:

Количество скачиваний данного плагина: 1,327,168 раз

Количество проголосовавших: 515 человек (4 звезды из 5).

После активизации в панели управления вашим сайтом в левом меню в пункте “Инструменты” появился подпункт “Резервное копирование”, открываем его и видим следующие настройки:

Настройка резервного копирования базы данных WordPress

Я поставил пункты  «Отправить на e-mail», на который будет отправляться резервная копия, а периодичность отправки базы данных – раз в день.

Можно не отправлять на свой e-mail базу данных, а создавать ее копию только при каких-нибудь ваших изменениях, для этого необходимо выбрать пункт ” Скачать на компьютер” и нажать на кнопку “Создать архив!”.

Также возможно создавать копии ваших баз данных через ваш хостинг.

Желательно после скачивания базы данных на ваш компьютер сохранить ее на флешку или диск, так будет надежнее.

Отслеживание изменений файлов вашего сайта.

Далее приступим к мониторингу изменений файлов сайта.

Плагины контроля за изменением файлов сайта:

1. WordPress File Monitor Plus – на русском языке.

плагин мониторинга изменений файлов WordPress

плагин WordPress для мониторинга изменений файлов движка

Особенности

  •  Контроль файловой системы на предмет добавленных, удаленных, измененных файлов
  •  Отправка по электронной почте при обнаружении изменений
  •  Предупреждения в админ. панели для уведомления об изменениях
  •  Возможность контролировать изменения файлов по изменению хэш функции файла, времени изменения или изменению размера файла
  •  Возможность исключения файлов и каталогов из проверки (например, если вы используете кэширование системы, которая хранит свои файлы в контролируемой зоне)
  •  Включение URL сайта в уведомление по электронной почте в случае, если плагин используется на нескольких сайтах
  •  Возможность запуска проверки таким образом, чтобы не замедлять визиты на сайт и обеспечить большую гибкость планирования
  •  Возможность перечисления расширений файлов, которые будут проигнорированы или наоборот просканированы.

Если у вас есть подозрения на вредоносное изменение, то нужно просмотреть этот файл с помощью редактора или, пройдя по указанному пути на хостинге. Если в указанное время Вы собственноручно ничего не меняли, то изменения появились в результате взлома или заражения. Т.е в этом файле нужно найти подозрительный вредоносный код и удалить его.

Данный плагин я поставил на свой сайт, достаточно удобно, когда уведомления об изменениях появляются при входе в панель управления, а также отсылаются на ваш почтовой адрес.

2. Simple Changed Files  – на английском, но плагин очень прост в использовании.

В отличие от WordPress File Monitor Plus, плагин не отсылает уведомлений на электронную почту и не показывает предупреждений в админ. панели. Работает только по требованию. Плагин способен показывать изменения в файлах, произошедшие до его установки.  Поэтому его не обязательно держать постоянно включенным – можно проверить файлы, далее его удалить или деактивировать, а когда нужно выполнить проверку заново, опять активировать или установить заново.После установки и активизации плагина заходим в левом меню нашей панели управления в пункт “Инструменты” и выбираем подпункт “Simple Changed Files” и видим его настройки:

плагин по мониторингу за изменениями файлов сайта

В строке Start Time вводится момент времени, начиная с которого интересуют изменения файлов (указывать обязательно). В строке End Time вводится конец интересующего промежутка времени (указывать не обязательно, то есть при не указанном данном параметре отчет об изменениях будет выводится до текущего времени). Формат ввода времени поддерживает следующий:  “May 4” или “2011-05-04” (год-месяц-день) или “2pm” (здесь “2”- это часы от 1 до 12, а далее следует параметр обозначающий время до обеда или после, так “am” (утро) – это время с 00.00 до 12.00, а “pm” (вечер) – с 12.00 до 24.00 ). Можно так же комбинировать данные параметры, ну например: 2012-04-29 2am (2.00 ч. 29 апреля 2012 г.). Кнопка Review Setting показывает за какой временной промежуток будет выводиться отчет об измененных файлах. Кнопка Run запускает сканирование изменений и выводит отчет. Изменившиеся файлы будут показаны в таблице ниже.

мониторинг изменений файлов WordPress

Необходимые приемы для улучшения безопасности вашего сайта на WordPress.

Перед проведением ниже указанных действий не забудьте сделать резервную копию вашей базы данных и всех папок и файлов вашего сайта, чтобы не потерять данные.

Здесь я перечислю самые необходимые меры:

1. Следим за последними обновлениями самой WordPress  и установленными на нашем сайте плагинами.

Обновить WordPress и имеющиеся у вас плагины можно автоматически, если зайти в панели управления вашим сайтом и в левом меню  в пункте “Панель” выбрать подпункт “Обновления”.

2. Усложняем пароли.

В первую очередь, усложните пароль от вашего домена – здесь можно поставить пароль длиною 20-30 символов, при этом используя буквы, цифры, специальные символы и регистр (заглавные буквы).

Также рекомендуется усложнить пароли для входа в панель управления, базы данных, для хостинга, для почтовых ящиков, но так как данные пароли часто используются для создания и редактирования контента, то есть для вашей работы над сайтом, сильно сложными и длинными делать их не советую – это замедлит вашу работу.

Также стараемся не сохранять пароли в программах и браузерах, то есть функция “автозаполнения пароля” или функция “запомнить меня”.

3. Меняем логин admin на другой.

У большинства пользователей логин администратора – admin, что упрощает взломщику войти в вашу панель управления, ведь ему остается только подобрать пароль.

Рассмотрим самый простой и быстрый способ смены логина администратора через панель управления вашим сайтом.

Входим в левом меню панели управления вашим сайтом в пункт “Пользователи”, далее выбираем подпункт “Добавить нового”.

смена логина администратора

Вписываем новое имя администратора, адрес почты, отличный от старого адреса, пароль.

В строке “Роль” выставляем Администратор.

Далее жмем на кнопку Добавить нового пользователя.

Выходим из админ панели (так как мы сами себя удалить не сможем), заходим под новым именем администратора и удаляем пользователя со старым именем (с логином admin).

смена логина администратора

Как видите записи и ссылки старого администратора можно перенести на нового и ничего не потеряется.

Можно и не удалять администратора с логином admin, а просто понизить его роль, например до “Подписчика”, думаю этого будет достаточно.

4. Убираем подсказку о неверно набранном логине, пароле при входе в панель управления.

Для того, чтобы убрать подсказку необходимо добавить небольшой код в functions.php:

add_filter('login_errors', create_function('$a', "return null;"));

5. Удаляем ссылку входа в панель управления со страниц вашего сайта, чтобы вашим пользователям не захотелось взломать ваш сайт просто для интереса.

6. Скрываем страничку входа с помощью плагина wSecure Authentication – как его настроить –  читайте в моей предыдущей статье.

7. Ограничиваем количество попыток ввода пароля и логина на страничке входа в панель управления.

Имеются 2 достаточно популярных плагина (оба есть на wordpress.org):

– плагин Login Lockdown

Последняя дата обновления: 2009-9-17

Количество загрузок: 157,894 раз.

Но он достаточно давно не обновлялся, поэтому я выбрал следующий плагин, а именно:

– плагин Limit Login Attempts

Последняя дата обновления: 2011-8-25

Количество загрузок: 125,155 раз.

Устанавливаем данный плагин стандартно, а именно: переходим в панель управления вашим сайтом, далее в левом меню выбираем пункт “Плагины”, далее подпункт “Добавить новый”, в строке поиска печатаем Limit Login Attempts, далее жмем установить и активизировать.

Для того, чтобы перейти к настройке плагина заходим в левом меню вашей панели управления в пункт “Настройки” и выбираем подпункт Limit Login Attempts.

плагин для безопасности Limit Login Attempts

Выше вы можете увидеть мои настройки, однако можно оставить и настройки по умолчанию, кроме пункта “Обрабатывать куки логина”. Здесь я рекомендую вам поставить параметр “Нет”. Параметр “Да” в этой строке можно оставить только тогда, когда Вы уверены, что будете входить в админ панель своего сайта только с одного компьютера, только с одного браузера и никогда не будете удалять куки. Разумеется, в браузере должен быть разрешен прием куки.

8. Вводим пароль, логин и прочую важную информацию через виртуальную клавиатуру.

Если у вас Windows, то есть стандартная экранная клавиатура, я использую именно ее, хотя в интернете есть более удобные аналоги.

Добраться до нее очень просто:

Пуск- Все программы -Стандартные – Специальные возможности – Экранная клавиатура.

9. Изменяем расположение файла wp-config.php.

Файл конфигурации WordPress «wp-config.php», можно убрать из папки блога, на один уровень вверх, там где его никто не найдет, что повысить безопасность блога. К примеру, блог находится в папке «/ваш сайт.ru/public_html/» как правило, к папке «ваш сайт.ru» доступа через веб уже нет, но если переместить туда файл wp-config.php, WordPress все еще будет работать, потому, как умеет искать файл конфигурации в папке на уровень выше.

10. Настраиваем необходимые права доступа на файлы и папки.

Для этого воспользуемся плагином WP Security Scan установим его посмотрим какие права должны стоять и исправим, а после можно его удалить.

Устанавливаем данный плагин как обычно – в панели управления в левом меню выбираем “Плагины” – подпункт “Добавить новый” – в строке поиска вводим WP Security Scan – далее жмем установить и активировать.

В левом меню в панели управления появился пункт WSD security, выбираем в нем подпункт “Scanner” и видим следующую таблицу:

WP - Security Scan

Name – наименование файлов и папок Вашего сайта (root directory – это папка public_html).
File/Dir – показывает путь к папке или файлу.
Needed Chmod – показывает рекомендуемый код прав доступа на данную папку или файл.
Current Chmod  – демонстрирует код прав доступа, который существует у Вас на данный момент.

Расхождения столбцов Needed Chmod и Current Chmod  выделяются желтым цветом.

Код доступа тем выше, чем больше возможностей у других лиц использовать данный файл (просматривать, записывать, выполнять над ним какие-либо действия).

код прав доступа к файлам и папкам в FileZilla

Так например при коде доступа 777 – каждый может читать, записывать и выполнять все действия над папкой и файлом, а при коде 644 – все могут просматривать (читать) данный файл, папку, но только владелец может изменять ее.

Что вам нужно сделать? Во первых проверяете все выделенные желтым цветом строчки и если код доступа в столбце Needed Chmod ниже, чем в столбце Current Chmod – то необходимо поменять права доступа ( в других случаях, когда  Needed Chmod больше или равен Current Chmod  можно оставлять все как есть – угрозы нет).

Для изменения значений кода прав доступа я пользуюсь программой FileZilla, для этого просто подключаетесь к вашему хостингу, ищите необходимую вам папку или файл, у которого необходимо изменить права доступа, нажимаете не ней правой кнопкой мыши и выбираете пункт “Атрибуты файла” и у вас появиться окошко наподобие скриншота выше, там в поле “Числовое значение” ставите нужный вам код прав доступа, такой как в столбце Needed Chmod .

А вообще возможности плагина WP Security Scan достаточно большие, а именно:
1. Установка надежных паролей и смена логина
2. Установка прав доступа
3. Безопасность баз данных
4. Сокрытие версии
5. Защита директории администратора WordPress

Однако, разработчики плагина предупреждают, что все действия, который плагин произвел для увеличения безопасности вашего сайта, а именно:  сокрытие версии, отключение  ошибок БД, удаление WP ID META тегов из HTML-вывода и другие функциональные возможности прекратятся, если  отключить плагин.

Более подробно читайте про этот плагин по следующей ссылке:

http://bezopasnostpc.ru/soft/plagin-wp-security-scan-nastroyka-ispolzovanie-ch2

Вот и все!

Введите свой email адрес для того, чтобы подписаться на мой блог:


knopkisoc

Необходимые меры для повышения безопасности вашего сайта на WordPress: 10 комментариев

  1. Александр

    Да. меры действенные, особо мне на учет после предыдущего “обвал”.
    Спасибо автору.
    Как поступать с резервными Б.Д, каков ход восстановления самой базы, если старая утеряна

  2. Дима

    А я просто, как только напишу новую статью на своем сайте, копирую ее из браузера (Firefox) и вставляю в Microsoft Word, также копирую html код статьи – в движке WordPress это делается достаточно легко – в редакторе записи заходим на вкладку html и копируем код.

  3. ALina

    подскажите, пожалуйста! сделала в точности то же самое, что было написано насчет смены имени пользователя. создала нового админа под новым логином, переписала на него все посты, зашла через новый аккаунт, удалила пользователя admin. И все, с этих пор сайт не открывается, выдает ошибку 404. Захожу через созданный взамен админа аккаунт, посты сохранены, рубрики в принципе существуют, но скоплектованного меню нет, виджеты потеряны, в общем, прошиб холодный пот и не знаю, что делать. Помогите, пожалуйста, куда бежать, может быть где-то что-то надо исправить с админа на новогого пользователя?

    1. Константин

      ALina, к сожалению, не знаю в чем может быть причина сбоя работы вашего сайта.
      Есть форум поддержки пользователей WordPress, я думаю здесь найдутся вебмастера, способные решить вашу проблему:
      “mywordpress.ru/support/”
      Можно попробовать восстановить ваш сайт с помощью бэкапа (резервного копирования), если у вас не сохранились бэкапы, попросите вашего хостинг-провайдера помочь вам (большинство из них делают бэкапы сайтов каждый день).

  4. Александр

    Алина, напишите в техподдержку хостинга. Попросите восстановить, назовите дату, когда все работало, вам все восстановят сами. Я несколько раз после экспериментов восстанавливал. Пишите – Срочно, в течении часа будете с исправленным сайтом. Удачи.

  5. Лада

    Здравствуйте! Изменила имя администратора, но ведь теперь это новое имя всплывает как имя автора статей.
    Получается, что получилась классная подсказка взломщикам.

    1. Константин

      Лада, ваша проблема решается следующим образом, зайдите в панель управления сайтом, в левом меню выберите пункт “Пользователи”, далее нажмите на подпункт “Ваш профиль”, после найдите пункт “Ник (обязательно)” – и введите сюда что-нибудь (можно просто admin), отличное от имени пользователя.
      Далее в следующем пункте “Отображаемое публично имя” – выберите то, что ввели в предыдущем пункте (admin).

Добавить комментарий