Часто можно увидеть ситуации, когда человек начинает решать свои проблемы по взлому сайта уже после того, как его это коснулось. Конечно, это вполне логично, никому не хочется тратить свое время и силы, легче думать, что меня это обойдет. Защита вашего сайта на WordPress – это один из основных технических моментов, который нужно обязательно учитывать и ни в коем случае не игнорировать его.
Как заметить, что ваш сайт атакуют? Например, у меня это было так. Сам сайт очень молодой и в день его посещают около 15-20 человек. И в один прекрасный момент я обнаруживаю на счетчике – около 100 посетителей, думаю ну все, какой-то запрос выскочил в топ и сразу обрадовался, но не тут- то было. Просмотрев статистику, я увидел, что мой сайт со всех сторон атакуют айпишники, причем все они находятся в разных уголках мира. В тот раз я просто подождал 2 дня, и все прошло, без каких либо последствий, но все же я сразу ломанулся в интернет за поисками решений, которые помогут сохранить мой блог целым и не вередимым.
Я решил разбить эту статью на несколько подразделов, для того чтобы у вас была четкая картина по решению этой проблемы. Давайте от слов перейдем к практике.
Защита админки WordPress
Это один из азов, которые стоит обязательно применить на своем проекте. Тут также можно использовать плагины, либо же осуществить некоторые манипуляции вручную. Мы объединим эти два варианта и подберем золотую середину. Кстати, эти же действия можно проделать, если ваш сайт все-таки сломали, они должны отчасти решить вашу проблему.
Как вы знаете, по умолчанию в этом движке создается пользователь admin, которому мы задаем свой пароль. Тут сразу можно отметить пароль – его нужно делать очень сложным, используя различные символы, буквы, цыфры. Чем сложнее пароль, тем тяжелее будет сломать вашу админку.
Многие новички создают пароль вида: 123456, qwerty и прочие. Ни в коем случае этого не делайте, такие комбинации проверяются в первую очередь. Сменить пароль можно в административной панели WordPress в разделе «Пользователи» — «Все пользователи». Наведя курсор на юзера вы увидите ссылку на редактирование профиля. Внизу страницы будет форма для изменения пароля.
Теперь переходим к логину. Почему его стоит менять? Зная логин, взломщики могут поставить автоматический скрипт по подбору пароля. Если логин будет индивидуальным, этого удастся избежать. Но тут есть одна проблемка – чтобы изменить логин вам нужно будет зайти в phpMyAdmin в админ панели вашего хостинга и найти таблицу wp(или ваш префикс)_users.
После чего зайти в нее и нажать «Изменить» на интересующем нас юзере.
В нужном поле укажите новый логин и нажмите «Ок».
Вот и все вы уже сделали первый шаг на пути защиты своего проекта.
Еще одним вариантом защиты является плагин — Limit Login Attempts. Его основная задача – это ограничить количество попыток входа на сайт. Очень удобный плагин. Устанавливается стандартно. «Плагины» – «Добавить новый», вводим название плагина, устанавливаем и активируем его.
Как видите, настройки достаточно просты. Задаете количество попыток входа, и время изоляции. Вот и все. Таким образом, вы сможете ввести еще одну меру предосторожности.
Первые шаги к защите от взлома вашего блога на WordPress
В этом подразделе мы поговорим о том, как максимально уберечь свой сайт на WordPress от спамерских атак и попыток взлома.
Шаг 1 — Убираем вывод версии движка из исходного кода страницы.
Автоматически WordPress генерирует строку, в которой он четко указывает эту саму версию. Пример:
Зная версию движка, могут узнать и обо всех его изъянах, поэтому старайтесь ее скрыть.
Чтобы решить этот вопрос, заходим в папку с вашей темой и вписываем код:
remove_action(‘wp_head’, ‘wp_generator’);таким образом, вы запретите движку выводить его версию. Еще одним файлом, через который ее можно узнать является файл readme.html. Также можете удалить файл лицензии — license.txt, поскольку он является лишним признаком использования WordPress.
Шаг 2 – Защищаем файл конфигурации wp—config.
Этот файл содержит в себе все доступы к базе данных вашего ресурса, поэтому его защита – это первоочередная задача каждого блогера.
Для того чтобы ограничить к нему доступ нам потребуеться в корневой папке сайта изменить файл .htaccess, а точнее добавить в него строки:
<files wp-config.php>
order allow,deny
deny from all
</files>Проделав это, ваш файл конфигурации будет надежно защищен.
Шаг 3 – защита папок движка на сервере
Получить доступ к ним не так уж и тяжело. Чтобы проверить, открыт ли к ним доступ к ним в адресной строке браузера введите, например http://вашсайт/wp—content. Таким образом, вы сможете увидеть содержимое ваших папок. Чтобы этого избежать нужно в каждую из них поместить пустой файл index.html. В таком случае вы будете получать пустую страницу.
Шаг 4 – постоянный бэкап сайта.
Это очень важный шаг, я уже писал статью о том, как правильно делать бэкап для сайта на WordPress, перечитайте ее и старайтесь регулярно его производить.
Шаг 5 — Отправляем часть спамеров на пенсию
Спамеры – это те люди, которые просто заваливают ваш сайт различного рода не нужной информацией. Грубо говоря вы можете запретить им доступ с помощью того же файла .htaccess, для этого в нем вам нужно будет дописать следующую конструкцию:
<Limit GET POST PUT>
order allow,deny
allow from all
deny from 255.255.255
</LIMIT>Где вместо «255.255.255» указываем айпи надоедливого спамера.
Полезные плагины для защиты сайта на WordPress
Мы уже с вами рассмотрели основные меры, которые помогут защитить ваш сайт, но если у вас нет желания править различные файлы вручную можно воспользоваться разного рода плагинами, но при этом вы немного потеряете производительность. Я рассмотрю только парочку из них. На самом деле их огромное количество и каждый сможет подобрать именно то, что ему нужно.
Первый плагин, который мы рассмотрим, называется — Protected wp-login.
Очень интересный плагин, суть его действия в том, что он создает дополнительную защищенную страницу для входа в WordPress, о которой будете знать только вы, но при этом стандартная страница входа также будет отображаться, но при переходе с нее ничего не будет происходить, так называемая обманка. Давайте кратко рассмотрим основные настройки этого плагина. Для этого после установки перейдем в «Настройки» — «Защищенный вход».
Тут вам необходимо ввести секретный ключ и нажать кнопку «Сохранить изменения». После чего плагин сгенерирует вам ссылку для входа, сохраните ее для себя, а лучше запишите на листочке, чтобы не потерять.
Все можете, проверят на практике. А мы движемся дальше.
Следующим будем рассматривать довольно универсальный плагин — Better WP Security.
Он объединяет в себе большинство мер по защите приведенных выше. Фактически он автоматизирует процесс и делает все за вас. Этот плагин для ленивых, но все же он отлично работает.
Я не буду описывать весь его огромный функционал, но возможно в будущем сделаю его детальный обзор.
После установки плагина и его активации в левой панели админки WordPress появится новое меню «Безопасность». Перейдя в него, вам предложат сделать резервную копию базы данных.
Далее вы перейдете в обширную панель настроек. Для начала можете выбрать «Защитить мой сайт от базовых атак».
Основные возможности плагина:
- смена логина администратора со стандартного;
- отключение панели администратора на определенное время;
- заносить в бан спамеров;
- создание бэкапов сайта;
- изменение префикса базы данных;
- ограничение количества попыток зайти на сайт;
- и много другого.
Как видите, функционал плагина затрагивает практически все нюансы описанные выше. Как защищать свой сайт на WordPress решать только вам. А на сегодня все, подписывайтесь на обновление блога. Буду рад новым читателям.
Самый надежный вариант от брутфорса это все таки использование file2ban+firewall.
PS: Теме уже как 3 года, если баян то сори 🙂