→ Безопасность WordPress — советы и рекомендации. Плагины безопасности для WordPress Плагины безопасности вордпресс не использующие htaccess

Безопасность WordPress — советы и рекомендации. Плагины безопасности для WordPress Плагины безопасности вордпресс не использующие htaccess

  • Перевод

Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress - при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress - как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin» , которое отображается только после авторизации . Мы сознательно выделили фразу "после авторизации " - вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.

Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.

1. Переименуйте папку wordpress.

Начиная с версии 2.6, стало возможным изменять путь к папке wp-content . К сожалению это до сих пор неприменимо к папке wp-admin . Думающие о безопасности блоггеры смирились с этим и стали надеяться, что это станет возможным в будущих версиях. Пока этого не случилось, предлагаем воспользоваться следующим альтернативным решением проблемы. После распаковки архива с файлами WordPress, вы увидите папку «WordPress» - переименуйте папку (в идеале во что-то непонятное вроде " wordpress_live_Ts6K" ) и после этого настройте соответственным образом файл wp-config.php , который находится в корневой директории.
Что нам даст это изменение?
  • Во-первых, все файлы WordPress не будут смешаны с другими файлами в корне сайта, таким образом мы повысим ясность корневого уровня.
  • Во-вторых, множество копий WordPress может быть установлено параллельно в папки с разными именами, исключая их взаимодействие, что делает это идеальным для тестирования
  • Третье преимущество напрямую касается безопасности: административная зона (и весь блог в целом) больше не находится в корневой папке и для проведения каких-либо действий по взлому сначала ее нужно будет найти. Это проблемно для людей, но что касается ботов - вопрос времени.

Несколько установленных версий в root-каталоге - это возможно!

Примечание: Если системные файлы WordPress больше не в корневой директории, и имя папки инсталяции изменено в соответствии с рекомендациями, описанными выше, блог будет все равно доступен по адресу wp-config.ru . Почему? Зайдите в раздел «Общие настройки (General settings)» вашего блога и введите в поле «WordPress address (URL)» реальный адрес блога на сервере, как показано в примере:

Адрес блога должен быть красивым и ненавязчивым

Это позволит блогу отображаться по красивому виртуальному адресу.

2. Усовершенствуйте файл wp-config.php

Конфигурационный файл WordPress wp-config.php содержит в себе некоторые настройки сайта и информацию для доступа к базе данных. Также там другие настройки, касающиеся безопасности (они представлены в списке ниже). Если таких значений в этом файле нет, или же имеются только установленные по умолчанию, вам необходимо, соответственно, добавить или изменить их:
  • Ключи безопасности: начиная с версии 2.7, в WordPress есть четыре ключа безопасности, которые должны быть правильно установлены. WordPress спасает вас от необходимости выдумывать эти строки самому, автоматически генерируя правильные ключи с точки зрения безопасности. Вам просто нужно вставить ключи в соответствующие строки файла wp-config.php. Эти ключи являются обязательными для обеспечения безопасности вашего блога.
  • Префикс таблицы заново установленного WordPress блога не должен быть стандартным «wp_» Чем больее сложным будет значение префикса, тем менее вероятна возможность несанкционированного доступа к таблицам вашей MySQL базы данных. Плохо: $table_prefix = "wp_"; . Намного лучше: $table_prefix = "wp4FZ52Y_"; Не стоит бояться забыть это значение - вам необходимо ввести его только один раз, больше оно вам не понадобится.
  • Если у вас на сервере доступно SSL шифрование , рекомендуется включить его для защиты административной зоны. Это можно сделать, добавив следующую команду в файл wp-config.php: define("FORCE_SSL_ADMIN", true);
Также вы можете регулировать другие системные настройки в конфигурационном файле. Четкий и исчерпывающий список доступных настроек доступен на странице Кодекса

Не пренебрегайте установкой правильных ключей безопасности!

3. Переместите файл wp-config.php

Также начиная с версии 2.6, WordPress позволяет перемещать файл wp-config.php на высший уровень. По причине того, что этот файл содержит в себе намного более важную информацию, чем какой либо другой, и потому что всегда намного сложнее получить доступ к корневой папке сервера, имеет смысл хранить его не в той же директории, где и остальные файлы. WortdPress автоматически обратится к высшей папке в поиске файла wp-config.php . Любые попытки пользователей самим настроить путь бесполезны.

4. Защитите файл wp-config.php

Не все ISP серверы позволят вам передавать данные на более высокие уровни, чем корневая директория. Другими словами, не у всех хватит прав для осуществления предыдущего шага. Или по другим причинам: например, если у вас несколько блогов, при определенной структуре папок у вас не получится положить в корень все файлы, так как их имена будут совпадать для каждого из блогов. В этом случае мы можем запретить доступ к файлу wp-config.php извне при помощи файла .htaccess . Вот код для этого:

# protect wpconfig.php
Order deny,allow deny from all

Очень важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php .

5. Удалите учетную запись администратора.

Во время процесса установки WordPress создает учетную запись администратора с ником «admin» по умолчанию. С одной стороны это вполне логично, с другой - пользователь с известным ником, т.е. ID - 1, обладающий административными правами, является вполне предсказуемой мишенью для хакеров с их программами подбора паролей. Отсюда следует наш совет:
  • Создайте еще одного пользователя с административными правами и вашим ником.
  • Завершите сеанс работы.
  • Залогиньтесь под новым аккаунтом.
  • Удалите учетную запись "admin ".
Если у вас не новый блог и под учетной записью admin вы уже публиковали посты или комментарии, то из предложенных вариантов в момент удаления, выберите пункт «Связать все записи и ссылки с:» и выберите имя нового пользователя:

Примечание: В идеале желательно чтобы логин нового пользователя отличался от отображаемого имени пользователя в постах, чтобы никто не узнал ваш логин.

6. Выберите сильный пароль.

Вероятность и частота потенциальных атак прямо зависит от популярности блога. И желательно до этого момента быть уверенным, что в вашем сайте не осталось слабых звеньев в цепи безопасности.

Чаще всего именно пароли являются самым слабым звеном в этой цепи. Почему? Способы выбора пароля у большинства пользователей зачастую необдуманны и беспечны. Многие проведенные исследования показали, что большинство паролей - односложные существующие слова, набранные строчными буквами, которые не сложно подобрать. В программах подбора паролей существуют даже списки самых часто используемых паролей.

В WordPress реализован интуитивно понятный индикатор стойкости набираемого пароля, который показывает цветом его уровень сложности:

7. Защитите папку «wp-admin».

Следуя пословице «две головы лучше одной», существует способ вдвое усилить защиту административной зоны. Защита регулируется файлом .htaccess , который должен находится в папке «wp-admin» вместе с файлом .htpasswd , который хранит логин и пароль пользователя. После обращения к папке, вам нужно будет ввести логин и пароль, но разница в том, что в этом случае авторизация контролируется на стороне сервера, а не силами самого WordPress.

Для того чтобы просто и быстро сгенерировать файлы .htaccess и .htpasswd , воспользуйтесь этим сервисом .

8. Запретите отображение ошибок на странице авторизации.

Страница авторизации WordPress - это дверь в административную зону вашего блога, которая становится доступна после безошибочного прохождения верификации. У каждого пользователя существует бесконечное количество попыток авторизации, и каждый раз по умолчанию услужливый WordPress указывает, в чем именно была ошибка. То есть, если введенный логин окажется неверным - WordPress так и скажет. Это удобно для пользователя, но также и для хакера.

Несложно догадаться, как быстро сокращается вероятность подбора комбинации логина/пароля, когда система указывает что именно введено неверно. Простая строка кода, поможет решить эту проблему, достаточно добавить её в файл functions.php вашей темы:

Add_filter("login_errors",create_function("$a", «return null;»));

Изначальный/измененный вид страницы авторизации.

9. Ограничьте количество неудачных попыток авторизации.

WordPress не ведет статистику авторизаций, как удачных, так и нет. Это очень неудобно для администратора, так как у него нет возможности увидеть были ли попытки несанкционированного доступа, чтобы принять какие-либо меры, если они участятся. Предлагаем два решения: плагины

Привет, уважаемые друзья.

Совсем забыв о базовых настройках блога на WordPress, я начал публиковать более продвинутые настройки. А нужно было начинать именно с настроек, которые необходимо проделать сразу после установки движка на хостинг.

И в данной статье я по полочкам разложу базовые настройки WordPress, которые нужно проделать, чтобы они не мешали в будущем и не мозолили глаза.

Все эти настройки не являются каким-то правилом для вас. Я лишь покажу свой вариант настроек. Но имеются некоторые моменты, которые обязательно должны быть и у вас. Поэтому, рекомендую тщательно ознакомиться со всеми настройками, чтобы в будущем вам было легче управляться с сайтом.

Решил сначала дать вам видео-урок. Смотрите его ниже. Если же хотите почитать, то под видео также имеется подробнейший текстовый материал. Но, для более полного усвоение сути, без видео никуда.

Теперь для любителей почитать.

Начнем мы с настроек нашего профиля. При регистрации любого сайта, всегда для более лучшей работы с ресурсом рекомендуется настроить профиль. Также и тут.

Настройки профиля

Сначала даю скриншот настроек, а затем опишу необходимые функции.

  • Отключить визуальный редактор - в меню редактора страниц и записей имеется визуальный редактор, который включен по-умолчанию и при заполнении показывает все содержимое так, как оно есть. Мы можем его отключить и тогда будет отображаться только текстовый редактор, который позволит обращаться именно с исходным кодом добавляемого материала;

Это может потребоваться, когда имеются некоторые моменты форматирования, работающие только в текстовом (HTML) редакторе и при переходе в визуальный они все исчезают или сбиваются. я использую такое форматирование, поэтому бывает, что при переходе в визуальный редактор, приходится заново производить форматирование.

Если у вас случается подобная ситуация, то рекомендую проводить такие моменты форматирования на самом конечном этапе.

  • Цветовая схема - для каждого эта настройка индивидуальна. В соответствии со своими вкусами вы можете выбрать цветовую схему для оформления админ-панели WordPress;
  • Горячие клавиши - можно управлять комментариями с помощью комбинаций клавиш. Более подробно все написано по ссылке "Дополнительная информация", предоставленной возле описания настройки. Там можно узнать и комбинации клавиш для форматирования, например для выделение фразы подчеркиванием (ctrl+u);
  • Верхняя панель - будет ли отображаться верхний админ-бар при просмотре любой страницы блога;
  • Настройки именных отображений (имя) - в данном пункте мы настраиваем, как будет отображаться наша персона при публикации статей;

Выбирается данное отображение в пункте "Отображать как", варианты которого формируются из данных, веденных в данных настройках (имя, фамилия, ник). После ввода этих данных в выпадающем списке пункта "Отображать как", будут доступны вариации для отображения автора публикации.


Выбираете понравившийся вариант.

  • Настройки контактов (контакты) - в этих настройках я заполняю только рабочий реальный e-mail адрес и ссылку на профиль в социальной сети Google+.

Последним пунктом в настройках профиля вы можете изменить пароль для доступа в админ-панель блога. Если у вас простой пароль, то срочно его меняем. Ставим очень сложный и длинный пароль, состоящий из случайного набора символов верхнего и нижнего регистра и цифр (например, tfh89EW4Kuyl43ferFGrs6uih).

Общие настройки

Настройки в данном пункте по большей мере также касаются отображения.

  • Название сайта - вводим название, которое будет отображаться на странице сайта в месте, где это предусмотрено вашим шаблоном. Кстати, обязательно прочтите материал про правильный выбор шаблона для WordPress сайта по ;


  • Краткое описание - тоже самое, что и название, только описание;


  • Адрес WordPress и адрес сайта - настройки менять не нужно. Они автоматически ставятся нужными при установке WordPress на хостинг;
  • Адрес e-mail - вводим реальный e-mail. На него будут приходить различного рода уведомления, если вы их настроите на блоге. Например, это могут быть плагины различного рода оповещения;
  • Членство - вы можете включить на сайте функцию регистрации, тогда в данном пункте необходимо выбрать, кем станет новый пользователь. Если у вас обычный блог, то функция регистрации совершенно не нужна;
  • Часовой пояс - выбираете свой часовой пояс. Хотя, я ничего не выбирал. Он должен подставиться автоматически, исходя из региональных настроек в операционной системе;
  • Формат даты и формат времени - ставите удобный вариант отображения даты возле опубликованного материала. Как на меня, то стандартный вариант наиболее привычный;

У меня от данной настройки ничего не меняется в отображении. Видимо шаблон подставляет свой вариант. А у вас что-то происходит при смене разных вариантов?

  • Первый день недели - естественно понедельник;
  • Язык сайта - я конечно же выбрать русский.

Настройки публикаций (написание)


  • Функцию преобразования смайлов я отключил, так как у меня данная стандартная функция не работает. Да и не нужно это;
  • WordPress должен исправлять некорректный XHTML-код автоматически - настройку оставил включенной, но ее работоспособность прокомментировать не могу, так как не видел результат ее работы;
  • Основная рубрика - в данном пункте нужно выбрать рубрику, в которую будут попадать публикации, при добавлении которых вы не выберите рубрику. Например, если забыли поставить чек-бокс напротив нужной рубрики, то она будет попадать в "основную рубрику";
  • Основной формат записи - с данной настройкой никогда не экспериментировал, так как не было надобности. Для обычного сайта оставляем стандартный вариант.

Настройки чтения

Данные настройки производятся больше для читателей, так как от них зависит, как читатели будут видеть содержимое блога.

  • На главной странице отображать - выбираем вариант, который более походит для вашего ресурса;

Если это простой блог, то конечно же выбираем вариант "Ваши последние записи", если же вы хотите создать какой-то сайт, на главной странице которого всегда должна быть информация, например, о фирме, то выбираете вариант "Статическую страницу". Затем выбираете саму страницу для отображения на главной.

  • На страницах отображать не более - если выбран вариант отображения последних записей на главной странице, то будет выводиться определенное количество анонсов. Их список целесообразно разбивать на страницы. Количество анонсов на одной станице выбирает каждый индивидуально. Мне подошел стандартный вариант в 10 анонсов;

Кстати, разбивка анонсов на страницы должна осуществляться с помощью . Поэтому, если ее нет у вас на блоге, обязательно сделайте.

  • В RSS-лентах отображать последние - также оставил стандартное значение;
  • Для каждой статьи в ленте отображать - выбираем "анонс", чтобы отображалась только начальная часть материала;
  • Видимость для поисковых систем - чек-бокс не ставим, хотя он сильно и не решает. Поисковые системы его во внимание могут и не взять.

Настройки обсуждения (комментариев)

Это самый объемный раздел стандартных параметров.

  • Настройки для статьи по умолчанию - первые 2 настройки я отключил, так как они создают лишнюю нагрузку на блог, а смысла от них нет. Они пытаются оповещать другие блоги о том, что мы их упомянули в своих статьях, а также пытаются принимать аналогичные уведомления;
  • Другие настройки комментариев - обязательно должна быть активна функция древовидных комментариев. По умолчанию она стоит, но вы проверьте ее активность;
  • Отправить мне письмо, когда - эти настройки я отключил полностью, так как при активном комментировании сайта, почта будет просто завалена письмами о добавлении новых комментариев и об ожидании их модерации. На начальном этапе, когда сайт совсем новый, можете оставить данные параметры активными. Я же выключил их сразу;
  • Модерация комментариев и черный список - эти 2 поля служат для добавления комментариев по заданным параметрам в модерацию или черный список соответственно. Например, можем добавить имя автора, который постоянно спамит, в поле черного списка и его комментарии проходить никогда не будут;
  • Аватары - эти настройки по умолчанию выставлены нормально. Можете только поменять вариант отображения аватара по своему усмотрению. Имхо, стандартный вариант наиболее приятный для восприятия.

Настройки медиафайлов

Когда мы добавляем медиафайлы (изображения) в наши статьи, то имеется вариант выбрать заданные значения, для уменьшения их под определенные размеры. Это очень удобно, когда вы предпочитаете добавлять изображение одного размера для эстетического оформления материалов.

Вот пример выбора размера, исходя из параметров, находящихся в данном пункте. Данные размеры доступны в редакторе изображения, когда вы добавляете их в свои статьи.


Если вы хотите изменить данные размеры на свои, то пункт "Настройки медиафайлов" вам и нужен.

Тут вы и задаете необходимые для вас параметры.


Ничего сложного нет. Просто меняете стандартные размеры на свои.

Чек-бокс "Помещать загруженные мной файлы в папки по месяцу и году" должен быть активен. Так будет происходить сортировка изображений на хостинге по году и месяцу. Вот, как это выглядит на самом хостинге.

Такой вариант сортировки очень удобный. Зная дату публикации статьи, мы можем легко зайти на хостинг и выкачать все изображения одним махом.

Настройка постоянных ссылок

Данный пункт тут описывать не буду, так как этому уделил очень подробный материал. Объяснил, как важность данной настройки, так и показал, как настроить правильный вид ссылок для статьи. .

Также не забываем, что действительно качественная настройка сайта на WordPress возможно только при установке нужных плагинов и их правильной настройке. Поэтому, даю список материалов, которые вы просто обязаны изучить и внедрить из них все фишки.

  • "Прошу вас в комментарии" .

    Кстати, напишите в комментариях, пожалуйста, вам удобно воспринимать такой формат подачи материала, когда я сначала даю видео-урок, а потом уже текстовый вариант? Или же лучше сначала текст, а в конце видео. Буду очень благодарен.

    На этом все. Пока.

    С уважением, Константин Хмелев.

Перед прочтением данной статьи вы должны четко понимать, что 100% гарантии безопасности вашего сайта (не зависимо от CMS) не может дать никто. Дело лишь за тем, сколько стоит информация на сайте. И если она стоит миллионы, для защиты сайта понадобится опытная команда программистов, а если несколько тысяч долларов, то следующие советы помогут здорово улучшить безопасность вашего Wordpress-сайта.

Внимание! Посмотрите основные правила безопасности , которые предназначены для большинства сайтов и не зависят от того, на каком движке они сделаны. Тем более в этой статье они не повторяются, т.к. в ней мы сосредоточились на особенностях Вордпресса.

Как защитить Wordpress от взлома?

1. Обновляйте движок

Постоянно проверяйте обновления вашего Wordpress, т.к. разработчики с помощью патчей устраняют уязвимости системы. Вот простой пример - хакер находит уязвимость в движке, и взламывает его. Учитывая, что этот движок стоит на тысячах сайтов, то используя этот способ можно почти в автоматическом режиме взломать и остальные сайты. Сюда также можно добавить темы и плагины. Поэтому не ленитесь и обновляйте все, что можно обновить.

2. Не используйте подозрительные плагины

Не устанавливайте себе на сайт всякую чепуху. Сейчас появляется огромное количество горе-разработчиков, которые пишут различные плагины на тяп-ляп. Такие плагины имеют большое количество дыр в безопасности и являются лакомым кусочком для хакеров. Поэтому устанавливайте на свой сайт только те расширения, которые действительно нужны и смогут улучшить его. Смотрите отзывы об этих расширениях, и проверяйте того, кто их разрабатывает.

3. Используйте надежный хостинг

Если смотреть на безопасность сайта в целом, то ее можно обозначить как связку CMS и ПО, которое установлено на сервере Вашего хостинг-провайдера. Да-да-да, именно это ПО тоже имеет дыры и его нужно постоянно обновлять. К сожалению не все хостеры делают это. Также, при DDOS-атаках на сайты, которые находятся на том же сервере, что и Ваш сайт, у плохого хостера будет долгое время недоступен и Ваш ресурс тоже. В общем выбирайте качественную хостинг-компанию, с хорошими отзывами и большим количеством клиентов. На нашем сайте есть рейтинги, которые составлены под конкретные задачи сайта, найти их можно в .

4. Установите надежные логин и пароль

Не используйте логин admin, т.к. это помогает хакеру подобрать пароль к Вашей админке. Также следите за тем, чтобы пароль был сложным. И самое главное - не храните логин\пароль в браузере и следите за тем, чтобы на вашем компьютере не было вирусов (они следят за всем, что вводится с клавиатуры и крадут).

5. Ограничьте количество попыток входа

Если хакер осуществляет попытку взломать сайт путем подбора логина и пароля, то теоретически когда-нибудь он это сделает. Помешать этому можно путем ограничения попыток неверного ввода с одного IP-адреса. Для этого используют плагины Limit Login Attempts и Login LockDown .

6. Используйте надежные темы

Перед установкой темы обязательно посмотрите кто ее сделал, старайтесь чтобы это была известная и опытная команда. Также следует запретить редактирование файлов вашей темы из админ-панели. Это поможет в том случае, хакер получит доступ к админке. Чтобы это сделать в файле wp-config.php добавляем следующее:

define("DISALLOW_FILE_EDIT", true);

7. Измените ключи шифрования

Следует поменять ключи шифрования, т.к. стандартные могут быть известны взломщикам. Для этого переходим на специальный сервис на официальном сайте Wordpress и в свой wp-config.php вставляем значения указанных там переменных. Или же придумайте сами, любые сочетания букв.

8. Установите компоненты защиты

Используйте следующие компоненты, которые помогут улучшить безопасность сайта на Wordpress:

  • Better WP Security - один из самых популярных плагинов по безопасности с мощным функционалом
  • WP Security Scan - проверяет множество параметров безопасности вашего сайта
  • WP Antivirus - постоянно сканирует файлы сайта на наличие взлома, и при обнаружении присылает сообщение на имейл
  • WP File Monitor - аналогичен предыдущему плагину
  • Securi Scanner - сканер сайта на наличие взлома и уязвимостей.

9. Измените префикс базы данных

Когда хакер хочет сделать SQL-инъекцию, то он уже знает, что в стандартном варианте Wordpress использует префикс wp_, поэтому желательно его изменить. Сделать это можно или с помощью плагина (легкий путь, но не всегда плагины корректно работают) или через PhpMyAdmin (чуть сложнее сделать, поэтому мы создали универсальную инструкцию).

10. Перенесите wp-config.php

Следует вынести этот файл за пределы папки public_html (или ее аналога, в которой установлен Wordpress), например поднять на один уровень вверх. О том как это сделать можно прочитать .

11. Заблокируйте админ-панель для чужих

Сделайте так, чтобы пользоваться вашей админ-панелью могли только вы. Для этого блокируется доступ к папке wp-admin для всех, у кого IP-адрес отличается от вашего. Чтобы так сделать нужно добавить в эту папку файл.htaccess и добавить в него:

order deny,allow
allow from xxx.xx.xxx.xx
deny from all

где "xxx.xx.xxx.xx" - это IP-адрес, с которого можно зайти в админ-панель.

12. Установите нужные права на папки

В классическом варианте нужно установить на все папки - 755, на все файлы - 644. Иногда на папку wp-content ставят права 777, но лучше - 755 (хотя это как правило запрещает добавлять контент для сторонних пользователей).

Если у вы считаете, что в этой статье упущена какая-либо рекомендация, то напишите о ней в комментарии и мы с удовольствием ее добавим.

Вопросы безопасности WordPress всегда давали богатую пищу для размышлений. Хотя большая часть последних обновлений этой CMS была связана с безопасностью, есть много способов усилить защиту, которые доступны даже не самым технически продвинутым пользователям, даже без плагинов.

Вот несколько предложений, как повысить информационную безопасность для сайта на WordPress.

Разработчики платформы предлагают собственный список мер по обеспечению защиты сайтов на WordPress, с которым рекомендуем обязательно ознакомиться. Конечно, некоторые из этих рекомендаций будут повторяться ниже, но лишние практические советы и инструкции не помешают, когда речь идет о безопасности данных.

Создайте отдельный аккаунт с правами редактора

Когда вы пишете или редактируете сообщения в блоге, «имя автора» показывается в нижнем левом углу браузера, если навести курсор на имя автора в публикации. Если ваше имя автора совпадает с именем администратора, вы сделали за хакеров половину работы по успешному взлому своего сайта.

Исправить ситуацию просто: создайте нового пользователя, у которого есть только права редактора, и авторизуйтесь под этим именем, когда собираетесь что-то публиковать или редактировать в блоге. Это имя будет отображаться во всех ваших публикациях; а хакеры потратят кучу времени, пытаясь взломать ваш блог под именем пользователя с якобы правами администратора, которое на самом деле позволяет лишь писать и редактировать сообщения.

Кроме того, специальные плагины безопасности для WordPress ограничивают попытки зайти на сайт под конкретным логином и сообщают о попытках несанкционированного проникновения на заданную электронную почту. Так вы узнаете, предпринимались ли попытки взлома с использованием настоящего логина администратора, и сможете уделить внимание безопасности сайта на вордпресс до того, как злоумышленники подберут пароль.

Не используйте простые пароли

Запомните простое слово СУД – Сложный, Уникальный, Длинный. Здесь вступают в игру инструменты вроде 1Password или LastPass, которые генерируют пароли установленной вами длины. В зависимости от того, какой уровень защиты вы хотите получить, выбирается длина пароля в знаках (обычно хватит 20 знаков) и включаются такие редко используемые символы, как # или *.

«123456» — это не пароль. «qwerty» равносильно тому, что вы напишете на банковской карте её пин-код. Даже «starwars» вошел в список 25 самых распространенных паролей 2015 года. Помните, вы не настолько уникальны, как думаете.

Добавьте двухфакторную аутентификацию

Даже если вы не используете имя пользователя admin и установили сильный, произвольно сгенерированный пароль, атаки методом «грубой силы» остаются проблемой. Для снижения риска такого проникновения методы вроде двухфакторной аутентификации являются ключевыми.

Да, двухфакторная аутентификация доставляет много хлопот. Но теперь это ваш Форт-Нокс. Суть ее для защиты сайта на WordPress заключается, как ясно из названия, в двух формах авторизации. Сегодня это стандарт, повышающий безопасность ваших точек доступа. Вы уже используете двухфакторную авторизацию для Gmail и Paypal (по крайней мере, должны это делать). Так почему бы не добавить в список WordPress?

Для реализации инструмента есть специальный плагин Google Authenticator. Альтернативный вариант с несколько другим подходом и тем же результатом — Rublon Plugin.

Используйте принцип минимальных привилегий
Команда WordPress.org составила отличную статью в кодексе WordPress, регулирующую Роли и Права пользователей. Обязательно ознакомьтесь с этим документом, который непосредственно касается данного шага.

Принцип минимальных привилегий очень простой – давайте доступ только:

— тем, кому он нужен;

— тогда, когда он нужен;

— на тот период времени, который нужен.

Если кому-то нужны права администратора, чтобы изменить конфигурацию, предоставьте их, но закройте доступ сразу же после выполнения задачи.

Хорошая новость – эти действия не займут у вас много времени.

Вопреки широко распространенному мнению, не каждый пользователь, получающий доступ к вашему сайту на WordPress, должен получать права администратора. Давайте людям права доступа, достаточные для выполнения их задач, и вы намного снизите угрозу безопасности своего wordpress-сайта.

Для настройки подобного рода безопасности wordpress есть плагин: Google Authenticator . Альтернативой, которая использует несколько иной подход для этой же цели, является плагин

Скройте файлы wp-config.php и.htaccess

Это относительно просто сделать, но ошибки при выполнении процедуры могут превратить ваш сайт в недоступный. Создайте резервную копию, и только после этого приступайте к изменениям.

Перейдите в меню «Инструменты => Редактор файлов» для редактирования файла.htaccess. Для повышения уровня безопасности и защиты файла wp-cnofig.php вам нужно добавить такой код в файл.htaccess:

Он закроет доступ посторонних к файлу wp-config.php. Похожий код можно использовать для защиты самого файла.htaccess: order allow,deny deny from all

Вы сможете внести эти изменения самостоятельно, здесь нет ничего сложного.

Используйте для аутентификации ключи безопасности WordPress

Ключи аутентификации и salt-ключи работают в связке друг с другом, чтобы защитить ваши cookies-файлы и пароли во время передачи данных между браузером и веб-сервером. Эти ключи аутентификации построены на наборе случайных переменных. Они повышают защиту (шифрование) информации в файлах cookies.

Чтобы изменить их в файле wp-config.php, просто получите новый набор ключей здесь — https://api.wordpress.org/secret-key/1.1/salt/ — и добавьте в файл. При обновлении указанной страницы ключи изменяются, так что каждый раз вы будете получать новый набор.

Отключите редактирование файлов

Самым простым способом изменить ваши файлы является доступ к пункту меню WordPress «Оформление => Редактор». Чтобы повысить уровень защиты, вам нужно отключить возможность редактирования файлов через консоль. Откройте файл wp-config.php и добавьте строчку

Define("DISALLOW_FILE_EDIT", true);

У вас останется возможность вносить изменения в шаблоны через FTP-доступ, но теперь никто не сможет изменять их с помощью инструментов в консоли WordPress.

Ограничьте число попыток авторизации

Целью атак методом подбора ключей является форма для авторизации на сайте. Плагин All in One WP Security & Firewall позволяет изменить путь по умолчанию (/wp-admin/) к этой форме ввода. Помимо этого, с помощью специальных плагинов вы можете ограничить число попыток ввода с конкретного IP-адреса.

Выборочное использование интерфейса XML-RPC

XML-RPC – это прикладной программный интерфейс (API), который используется повсеместно. К нему обращается огромное число плагинов и тем, поэтому менее подготовленным технически пользователям нужно особенно осторожно экспериментировать с этим инструментом.

Несмотря на практичность шага, отключение XML-RPC может обойтись дорого. Вот почему не рекомендуется отключать его полностью, но внимательнее следить за тем, какие программы и как пытаются получить доступ к этому интерфейсу. Существует множество плагинов, которые помогают осуществлять выборочную реализацию и отключение XML-RPC.

Хостинг и безопасность WordPress

Владельцы сайтов часто жалуются, что их хостинговые компании не помогают защитить ресурс от взлома или вообще ничего не понимают в обеспечении безопасности сайтов на платформе WordPress.

Хостинговые компании просто видят ваш сайт иначе. Нет однозначных правил по выбору хостинга для wordpress, но он действительно важен, когда речь идет о мерах по улучшению защиты от несанкционированного доступа.

Буквально каждая статья о выборе хостинга начинается со слов о том, что дешевый не значит лучший. Самые дешевые тарифные планы не помогут вам уберечься от атаки хакеров. Такие пакеты включают минимальную защиту ресурса, например, предустановленный брандмауэр веб-сайта.

Виртуальный хостинг подразумевает, что сервер, на котором расположен ваш ресурс, является домом и для других сайтов. У них могут быть собственные проблемы безопасности, которые затрагивают и безопасность вашего сайта.

При этом безопасность WordPress , наверно, одно из главных преимуществ, которые предлагают хостинговые компании в специализированных WordPress-тарифах.

Обычно сюда входит резервное копирование, резервный брандмауэр, проверка файлов на наличие вредоносного ПО, защита от и автоматическое обновление WordPress. Причем все это предлагается, как правило, за вполне приемлемую стоимость.

Не забывайте о хостинг-аккаунте

Одна из самых больших проблем хостингов связана с конфигурацией аккаунта для владельца сайтов. Пользователь может инсталлировать и конфигурировать столько сайтов, сколько захочет, что способствует появлению в системной среде «бесплатной столовой» для вредоносного ПО.

Проблема актуальна, потому что во многих случаях веб-ресурс может быть взломан методом, известным как межсайтовое заражение, когда вектором атаки является соседний сайт. Злоумышленник преодолевает защиту севера, а затем начинает проникать на соседствующие сайты, расположенные на этом сервере.

Лучший способ защиты от этого вида взлома — создание двух аккаунтов. Один из них вы используете как рабочую среду и размещаете на нем только активные сайты, а второй – как промежуточный, на котором вы храните все остальное.

Будьте в курсе последних обновлений

О том, что нужно поддерживать актуальность, легко говорить. Но для владельцев сайтов это означает ежедневный кропотливый труд. Наши сайты – сложные создания. В каждый момент времени на них происходят десятки событий, поэтому иногда внести мгновенные изменения бывает трудно.

Недавние исследования показал, что 56% установленных систем WordPress используют устаревшие версии платформы.

Обновления должны касаться не только ядра платформы. В упомянутом исследовании говорится также, что большое число хакерских атак использует устаревшие, уязвимые версии плагинов.

Как выбирать безопасные плагины и темы для WordPress

Большинство пользователей предпочитают беспорядочную установку плагинов и тем на своих сайтах. Это глупо, если только вы не делаете установку на тестовом сервере с единственной целью — проверить работу той или иной темы либо плагина.

Большинство плагинов и очень много тем бесплатные. И если авторы поддерживают свои разработки ради развлечения, а не в рамках какой-то серьезной бизнес-модели, вряд ли они потратили много времени на проверку уязвимостей и безопасности этих продуктов.

Как выбрать правильный плагин для wordpress

Как уже сказано выше, бесплатные темы и плагины являются потенциальной угрозой для безопасности сайта. Добавляя эти элементы на сайт, обязательно проверяйте их рейтинг, например, на WordPress.org.

Но просто пять звезд ничего не скажут о степени надежности плагина, в зависимости от ниши он должен иметь определенное количество отзывов. Если достаточно много людей считает, что это замечательный продукт, и нашли время для оценки, можно попробовать его в действии на собственном сайте.

Еще один момент, который вы должны проверять – актуальность плагина или темы. Если не было обновлений в течение последних двух лет, WordPress об этом сообщит. Отсутствие обновлений не обязательно означает, что плагин плохой.

Возможно, у автора просто не было необходимости в том, чтобы вносить исправления в рабочую программу. Все же не рекомендуется устанавливать плагины, которые давно не обновлялись. Рейтинг расскажет о работоспособности выбранного элемента и о его совместимости с текущей версией WordPress. Всю эту информацию можно увидеть на странице плагина на WordPress.org.

Заключение

Если вы дочитали эту статью до конца, то просто обязаны принять дополнительные меры по защите своего сайта на WordPress. Добавьте в список ежедневных действий проверку защищенности своего ресурса. Она должно стать такой же ежедневной рутиной любого владельца сайтов, как регулярное добавление новых публикаций и страниц.

Не нужно забывать о регулярном создании резервных копий, для чего у платформы есть множество надежных плагинов. Правда, не являются частью политики информационной безопасности, это скорее административные и служебные задачи.

Мы привели далеко не полный список того, что можно сделать для защиты сайта от взлома. Но надеемся, что наши практические советы помогут обеспечить хотя бы первый уровень информационной безопасности для вашего ресурса.

Помните, безопасность WordPress не бывает абсолютной.

Так что сделать жизнь хакеров тяжелой – наша задача, как владельцев сайтов.

Сегодня поговорим о безопасности вашего сайта на популярной платформе WordPress. Безопасность блога напрямую зависит от степени заботы о нем и качестве администрирования. Используя простые советы и рекомендации вы намного сможете повысить уровень безопасности.


Потребность в увеличении уровня безопасности растет по мере увеличения количества ваших посетителей. Чем ваш ресурс популярнее тем больше хакеров захочет его взломать. Исходя из ваших желаний по увеличении безопасности WordPress и была написана эта статья.

Безопасность WordPress 2015 содержит следующие рекомендации:

Навигация по статье:

Безопасность wordpress и файл htaccess.

Htaccess - это файл, который позволяет корректировать конфигурацию сервера. С помощью него можно проделать множество настроек, в том числе и добавить безопасности сайту.

Давайте рассмотрим все по порядку, раз.htaccess такой ценный значит для начала стоит обезопасить его от стороннего вмешательства.

Как защитить файл.htaccess WordPress сайта?

Говоря о поднятии безопасности при помощи файла.htaccess без защиты его самого было бы глупо. По этой причине защитим сперва наш файл, а затем пойдем далее.

Для того что бы защитить.htaccess нужно внести в него небольшой код:


order allow,deny
deny from all

Этот код позволит закрыть доступ к файлу из вне, что уже значительно обезопасит ваш сайт от взлома.

Как защитить файл wp-config.php?

Нам нужно также защитить важный файл который имеет множество информации связанной с доступом к базе данных и другое. Запретить доступ к файлу из вне можно при помощи.htaccess. Защитный код должен быть таковым:


order allow,deny
deny from all

Создайте свои секретные ключи для файла wp-config.php.

Для доступа к сайту WordPress использует 4 ключа, которые указываются в файле wp-config.php. Вы должны создать и установить свои собственные уникальные ключи, для обеспечения безопасности. Для облегчения сего действия существует специальный генератор ключей , с помощью которого вы создадите все что вам потребуется.

Сменить ключи можно изменив файл wp-config.php и перезаписать его на сервер.

Смена префикса таблиц базы данных WordPress.

Префикс базы данных создаются при установке WordPress, по умолчанию он назначается как wp_название таблицы. Если при установке вы не задали другое значение, вы можете сменить его в файле wp-config.php задав переменной $table_prefix другое значение. Чем сложнее будет ваш префикс тем меньше вероятность несанкционированного доступа к вашей базе данных. Примером может быть такая строчка $table_prefix = wp65zym6 . Запоминать это значение не требуется, вы устанавливаете его только один раз и больше к нему не возвращаетесь.

Ограничение количества неудачных попыток входа.

Одним из способов предотвращения взлома вашего сайта является ограничение количество попыток входа, и дальнейшая блокировка нарушителя. Эти простые настройки позволят обезопасить вас от автоматических переборов паролей бот программами, а так же ручного ввода людьми.

На помощь вам придет , настройка которого не займет у вас много времени, но позволит добавить очередную преграду взломщикам.

Используйте надежный пароль WordPress.

В версии WordPress 4.3 и выше при установке платформы вам будут предложены безопасные пароли, которые отлично подойдут вам, так же вы сможете изменить их в дальнейшем.

Безопасность сайта WordPress по большей мере зависит от безопасности доступа к административной панели, поэтому пренебрегать этими рекомендациями будет большой ошибкой.

Не используйте для входа login «admin».

Если вы выбрали другой логин, отлично! Убедитесь что его трудно подобрать вручную, также зайдите в вашу базу данных в таблицу префикс_users и убедитесь что в ней нету зарегистрированного логина admin. Если таков существует, удалите его.

Обновляйте версию WordPress, плагины и темы.

Обновитесь, обновитесь и еще раз обновитесь. Обновления версий ваших плагинов и самого движка WordPress выходят не просто так, основная их задача увеличить функционал и закрыть дыры в безопасности, по этому важность обновления стоит на одном из первых мест.

В корне блога удалите файлы readme.html и license.txt.

Эти файлы не нужны нам, но они показываю текущую версию WordPress и некоторую другую информацию сайта, а зачем нам лишняя утечка информации. По этому удалите их.

Эти файлы доступны всем пользователям по адресу ваш-сайт/readme.html, проверти это на своем блоге.

Периодически изменяйте пароли к базе данных, административной панели и хостинга.

Эти действия не займут у вас много времени раз в один два месяца меняйте пароли и вы сможете поставить очередную галочку в безопасности вашего блога на WordPress.

Делайте регулярные резервные копии.

В ручном режиме или автоматическом, с помощью плагинов или программ делайте резервные копии своего сайта, что бы при необходимости быстро восстановить последнюю версию сайта. Вас взломали? Или же вы сами поломали свой сайт? Резервные копии помогут быстро восстановить дееспособность вашего ресурса.

 

 
Это интересно: