WordPress – это специализированная система управления данных на сайте с открытым исходным кодом. С 2003 года стал лидером по количеству установок и стал одним из самых популярных сервисов в мире. Почти каждый четвертый сайт в современном мире пользуется WordPress.
Но, несмотря на глобальную популярность сервиса и постоянные обновления, у CMS все еще остался один существенный минус – частые взломы. Почти 90% злоумышленников взламывают именно сайты пользующиеся WordPress. В этой статье мы расскажем, как защитить сайт на WordPress от любых взломов. Ниже будет расписано несколько проверенных способов.
Наиболее часто взламываемые CMS по версии Sucuri
Просмотр новостей с информацией о взломах сайтов на WordPress
Почти после каждого обновления сервиса WordPress, на различных сервисах публикуют информацию о новых уязвимостях в сервисе. Они могут находиться как в самих плагинах, так и в движке. Каждая такая уязвимость помогает взламывать страницы и изменять их содержание.
Чтобы знать о таких уязвимостях, нужно регулярно посещать сайты, связанные с программированием и интернет-бизнесом. Благодаря этой информации можно быстро принять меры и обезопасить свой сайт от взломов.
Не использовать логины «admin» или «1234»
Если злоумышленники знают логин, то это 50% их успеха. Поэтому очень важно не использоваться логин вроде «admin» или «1234». Для этого лучше всего подойдет email-адрес или номер телефона.
Логин злоумышленники могут узнать несколькими путями:
На сайте. Если администратор самостоятельно размещает контент на или кто-то делает это через его страницу и в постах упоминается их автор, логин может узнать любой желающий.
Добавление: «?author=1». Если злоумышленник введет такую строку в ссылку, то произойдет переход на адрес.
Чтобы исправить эту проблему в программе, нужно в «htaccess» добавить логин администратора. Эта функция может не работать, если используется старая версия сервиса, поэтому важно регулярно его обновлять
Теперь если злоумышленники попробуют воспользоваться данным методом и ведет этот фрагмент, их просто перекинет на главную страницу.
Изменения адреса входа на панель администратора
При добавлении к адресу сайта: «site.ru/wp-admin», то произойдет автоматический переход на страницу авторизации. Если хакер знает логин, а также адрес расположения формы входа, он может подобрать пароль. Это возможно при помощи пути перебора и специальных программ для взлома.
Поэтому важно использовать другой адрес входа, отличающийся от wp-admin. Это усложнит взломщикам их работу и помешает войти на панель администратора.
Безопасный вход с IP
На WordPress есть возможность запретить и разрешить вход с определённого IP Для этого в «htaccess» добавляются строки:
«xx.xx.xx.xxx»
— это один IP-адрес.
Таким образов администратор может добавить несколько IP, для разных администраторов.
Вместе «xx.xx.xx.xxx» нужно ввести свой личный IP-адрес. Узнать его можно при помощи: 2ip.ru. Только крайне важно, чтобы адрес не был динамическим, а не то произойдет крах системы и вход в панель будет невозможна, а также будет выходить ошибка.
Сложные пароли для входа
Для того чтобы обезопасить собственный сайт, нужно иметь пароль, который будет соблюдать всем ниже перечисленным критериям:
- 10 знаком и больше
- заглавные и строчные буквы
- латинские буквы
- цифры
- символы (№, %, *, @, #, $)
Если самостоятельно подобрать пароль не удалось можно воспользоваться специализированным для этого генератором: lastpass.com.
Обновления WordPress
Нужно регулярно обновлять свой сервис. Так безопасность сайта на WordPress увеличиться и хакеру будет тяжелее его взломать. А также обновление принесет множество полезных дополнений и доработок, а также исправленных уязвимостей.
Как только на панели администратора появится информация о новом обновлении, необходимо сразу же обновить движок.
Удалить лишние плагины
В WordPress есть большое количество плагинов, которые выполняют различные задачи на сервисе. Чем меньше их установлено, тем больший шанс взломать сайт.
Причины, почему это может произойти:
- плагин может содержать ошибки, которые влияют на работу сайта;
- он заброшен, и большой промежуток времени не обновляться;
- плагины могут начать конфликтовать, что приведет к ошибкам и вылетам;
- плагины долго не обновлялись, из-за чего их функции устарели.
Полная инструкция о том как устанавливать плагины на вордпресс мы уже описывали в предыдущих статьях, но большинство форм на сайте можно сделать самостоятельно, не используя плагины.
Готовые бесплатные темы
Самым безобидным в WordPress-теме являются подозрительные ссылки. Из-за них риск получить взлом сайта WordPress увеличивается. Чаще всего они производят переход на сомнительные источники, которые и являются причиной взломов.
Поэтому лучше всего или заказать шаблон или купить премиум-тему.
Копии базы данных для защиты сервиса
Резервные копии помогут не только защитить сайт от злоумышленников, но и обезопасить его от различных непредвиденных ситуаций. Например: ошибка, закрытие хостинга или недоступность ресурсов.
Редактирование РНР файлов
После того как хакер взломает сайт он начнет редактировать файлы, воровать информации. Чтобы помешать ему вести вредоносный код, который полностью разрушит и изменит все данные, нужно отключить возможность редактировать РНР файлы через панель.
Безопасная двухфакторная авторизация
Еще одним отличным способом защитить панель администратора от злоумышленников, это – двухфакторная авторизация . Пользователю придется, кроме своего основного пароля, ввести еще один для дополнительной защиты. Вместо него возможно потребуется ввести ответ на определенный вопрос, временный пароль, который придет на телефон или номер телефон.
Для того чтобы включить такую функцию можно воспользоваться двумя способами:
- Плагином, который можно скачать на официальном сайте
- Включить его самостоятельно.
Защита сайта при помощи SSL-сертификат
Протокол HTTPS способен защитить передаваемую информацию. Это распространяется как на панель администратора на WordPress, так и на обычные формы авторизации, изменения файлов и таблиц. Для того чтобы использовать этот протокол нужно иметь SSL-сертификат. Подойдет как платная, так и бесплатная версия.
Благодаря этому злоумышленникам не удастся, перехватит передаваемую информацию и при помощи нее, после уже взломать и сам сервис.
Изменить стандартный префикс таблиц
У всех сайтов на WordPress одинаковое построение базы данных, вследствие чего все таблицы идентичны друг другу. Это присуще всем движкам без исключения.
Когда злоумышленники заметят в движке уязвимость, благодаря которой ему удастся войти в систему, хакер получит все возможности сервиса, включая изменения данных в таблицах. Чтобы это не произошло крайне важно изменять их префикс.
Чтобы изменить префикс, можно воспользоваться специальным плагином. Для этого подойдет WP-DBManager. Но также эту замену можно выполнить, самостоятельно проделав вручную такие действия:
В файловой строке «$table_prefix = ‘wp_’»
нужно заменить «wp_»
на «my_»
Выполнить SQL-запрос. После этого произойдет замена префикса и сайт обновиться.
Важно изменить именно все префиксы. В этот список также входят все установленные плагины, которые могут начать неправильно работать и проявить изъяны.
Самое главное
- нужно регулярно заходить на новостные сайты, в которых публикуются посты о WordPress;
- не использовать классический, легкодоступный логин «admin» или «1234»;
- запретить вход в административную панель на WordPress через ссылку;
- следить за обновлениями движка, а также всех плагинов;
- отказать от плагинов, которые не представляют особой важности, и делать их функции самостоятельно;
- скачивать только проверенные плагины, которые регулярно обновляются;
- удалять неиспользуемые или неправильно построенные плагины;
- сделать так, чтобы входить в панель могли только люди с определенного IP;
- придумать себе сложный пароль, который проходит по всем критериям: количество символов, цифры, символы, заглавные и строчные буквы;
- не применять бесплатные темы с WordPress, которые производят переход на подозрительные сайты;
- делать копии базы данных самостоятельно, а автоматически каждую неделю;
- включить двойную авторизацию с паролем для дополнительной защиты;
- запретить администратору редактировать файлы, а разрешить редактору;
- изменить внешний вид базы данных и таблиц на более безопасный и скрытный;
- регулярно проверять компьютер на наличие вирусов.