руслан белый

Я вебмастер с ИП. Опыт работы — 10 лет.

Помогаю бизнесу исправлять ошибки на сайтах, создавать полезный контент, делать рекламу в интернете.

В свободное время ищу ошибки на сайтах и учу делать контентники

Рассылка
Популярное

Как решить любую техническую проблему

Сколько денег надо
вложить в сайт

Как самому сделать сайт

Как выбрать нишу сайта

Бесплатный аудит сайта

Мероприятия

Пока мероприятий нет.

Как защитить сайт на Вордпресс

Защита WordPress

Продолжаем изучение WordPress  и моего подхода к тому, как надо делать сайты на этой CMS. Сегодня освещаем тему безопасности — разбираем защиту от взлома, вирусов и спама. Все как всегда, просто, быстро и без воды.

Прежде чем начать, хочу сказать, что марафончик мой провалился и я не успел к 1 февраля опубликовать все черновики, но к 10 точно успею. Поэтому конкурс на лучший вопрос продлеваю, все призы будут выплачены. А теперь к теме.

В рамках работы по обеспечению безопасности WordPress сайта можно выделить 3 рабочих направления:

  1. Защита блога от спама
  2. Защита блога от взлома
  3. Защита от вирусов

Про защиту от спама я уже писал в этой статье, поэтому подробно говорить на эту тему я тут не буду. Попробуйте почитать указанную статью и сделать то, что там написано, а если не получится, то просто поставьте плагин Invisible Captcha и забудьте о спаме навсегда.

Скажу честно, что вообще над проблемами защиты от взлома я заморачиваюсь не очень сильно и ограничиваюсь только несколькими базовыми настройками самого WordPress и плагином безопасности All In One WP Security. Уверен, что этого будет хватать и вам.

Что касается защиты от вирусов, то тут вообще ничего не делаю, так как, во-первых, какого-то механизма защиты не существует — есть только инструменты, которые позволяют увидеть уже случившийся факт заражения, а, во-вторых, хорошая защита от взлома, предупреждает заражение вирусами .

Защита WordPress от взлома

Давайте начнем с рассмотрения базовых настроек самого движка WordPress.

Базовые настройки безопасности

Вообще об этом надо было сказать еще в разделе про установку, и, возможно, в будущем я эту информацию туда и перенесу, но пока она будет тут. Речь идет об имени главного администратора, сложности пароля и префиксе базы данных.

Конечно эти настройки можно поменять и после установки (об этом читайте далее в статье), но в самом начале их сделать проще. Рекомендации такие:

Имя пользователя должно отличаться от admin (значение по-умолчанию) и быть каким-то относительно сложным словом.

В качестве варианта можно воспользоваться вашим ником на каком-нибудь форуме или в какой-нибудь игре, например cyrax88.

Пароль должен быть сложным, состоящим из букв и цифр в разном регистре, например такой 4boqjFF941.

Кстати, для генерации паролей я пользуюсь вот этим сервисом genpas.narod.ru.

Префикс базы данных тоже рекомендуется сменить со стандартного wp_ на что-нибудь нечитаемое, например jzpif_.

Я помню, что чуть ранее я рекомендовал не менять префикс базы данных, так как сталкивался с проблемами. Но это было в тот момент, когда сайту был уже год и там было много информации.

Если же поменять префикс при установке, то проблем быть не должно.

Настройка плагина All In One WP Security

Устанавливается плагин стандартным образом, как написано в этой статье:

установка плагина all in one wp security

После установки в меню слева появится новый пункт «WP Security», наводим на него стрелку и переходим в пункт «Настройки»:

базовая настройка all in one wp security

Далее идем во вкладку wp-метаинформация, ставим галочку «Удаление мета-данных WP Generator» и нажимаем сохранить. Эта настройка уберет из отображения исходного кода сообщения, что generator нашего сайта WordPress:

как отключить generator wordpress

Далее идем в раздел «Администраторы» и, если у вас до сих пор admin, то меняем это имя пользователя на какое-то другое (то о чем я говорил чуть выше):

изменение имени пользователя wordpress

После смены имени вам надо будет перелогиниться в WordPress.

Переходим в раздел «Авторизация», на вкладке «Блокировка авторизаций» ставим галочку напротив «Включить опции блокировки попыток авторизации», больше ничего не меняем, нажимаем «сохранить настройки»:

блокировка попыток авторизации в wordpress

Переходим в раздел «Регистрация пользователей» на вкладке «Подтверждение вручную» ставим галочку «Активировать ручное одобрение новых регистраций» и нажимаем на кнопку «сохранить настройки»:

ручная активация пользователей wordpress

В этом же разделе переходим на вкладку «CAPTCHA при регистрации» и ставим галочку в поле «Активировать CAPTCHA на странице регистрации», нажимаем «сохранить настройки»:

капча на странице регистрации wordpress

Далее идем в раздел «База данных», и, если у вас новый блог, и вы не поменяли префикс базы данных при установке, то сейчас самое время это сделать. Если же у вас на блоге уже есть стати, то лучше ничего не трогать. Вводим в поле префикса нужное значение и нажимаем «Изменить префикс таблиц»:

изменение префикса базы данных wordpress

Далее идем в раздел Файерволл и на вкладке «Базовые правила файервола» ставим галочку в поле «Основные функции брандмауэра»:

настройка файервола в wordpress

Можно также поставить галочку в поле «Защита от Пингбэк-уязвимостей», но я не ставлю, так как работаю со своим блогом через приложение iphone и если включить эту опцию, то этот механизм работать не будет.

Нажимаем «Сохранить основные настройки брандмауэра» и больше ничего в этом разделе не трогаем, на остальных вкладках ничего интересного нет.

Далее идем в раздел «Защита от брутфорс атак» и при желании ставим галочку на опцию «Включить опцию переименования страницы логина» и далее в пункте «Адрес (URL) страницы логина» водим новый путь к странице логина. Главное не забудьте его, а то больше никогда не зайдете на свой сайт. Лично я не пользуюсь этой настройкой.

как изменить путь к админке wordpress

Также для людей особо страдающих паранойей, можно сходить в раздел «Разное» и включить защиту контента от копирования:

защита контента от копирования в wordpress

но я в этом смысла никакого не вижу, во-первых, потому что тому, кому надо и так скопируют, все эти отключения выделений, правых кнопок мыши и клавиш ctrl+c элементарно обходятся знающими людьми, а, во-вторых, есть мнение что подобная скриптовая защита усложняет парсинг вашего сайта поисковыми роботами.

На этом по настройке плагина все.

Защита WordPress от вирусов

Как я уже говорил ранее, какого-то механизма защиты от вирусов нет, есть только инструменты, позволяющие увидеть факт заражения.

Инструменты можно разделить на 2 типа:

  1. Внешние
  2. Внутренние

Внешние инструменты защиты и предупреждения

К внешним относятся сервисы, регулярно проверяющие страницы вашего сайта на появление сторонних скриптов и какого-нибудь вредоносного кода.

Примером такого сервиса может служить «На замок» — nazamok.com, который после добавления в систему регулярно осуществляет сканирование сайта и, в случае появления каких-то прецедентов, незамедлительно об этом сообщает.

Важно понимать, что ни сервис, ни его сотрудники не исправляют вашу проблему, они просто сообщают вам о ней, то есть говорят что и где произошло, а решение проблемы ложиться полностью на ваши плечи.

Я одно время пользовался этим сервисом, но потом перестал, так как за время существования моего блога у меня не было ни одного актуального прецедента.

Сервис платный, но цена более чем доступная. Поэтому, если вы сильно обеспокоены безопасностью, можете им воспользоваться.

Оповещение + лечение WordPress от вирусов и шпионского кода

Другим примером внешнего сервиса по защите от вирусов является «Sucuri» — sucuri.net.

Сервис иностранный и более дорогой, чем «На замок», но и услуги у них покруче. В частности они занимаются лечением блога от вирусов, когда заражение уже произошло.

Несколько раз эти ребята меня выручали, когда на клиентских сайтах были вирусы и моих знаний было недостаточно для того, чтобы справиться с этой проблемой.

Если у вас сайт приносит хорошую прибыль и у вас идут постоянные проблемы с вирусами, я рекомендую обратиться к ним. Уверен, что они решат все ваши проблемы.

Устанавливаются оба сервиса достаточно просто — регистрируетесь в сервисе, добавляете свой сайт, оплачиваете и, собственно, на этом все. Для Sucuri еще будет необходимо разместить специальный файл в корне вашего сайта и предоставить FTP доступы, чтобы в случае чего спецы могли удалить вирус.

Внутренние инструменты защиты и предупреждения

Внутренние инструменты — это обычные WordPress плагины. Я использую в своей практике два — это WordPress Antivirus и Wordfence Security.

У обоих плагинов похожий принцип действия — они сканируют файлы на вредоносный код и, если находят что-то подозрительное, то сообщают об этом. Кстати, очень часто у этих плагинов бывает ложное срабатывание, поэтому каждое их предупреждение надо внимательно проверять вручную.

WordPress Antivirus сканирует только файлы активной темы, а Wordfence Security все файлы системы (включая картинки). Рекомендую пользоваться обоими.

Устанавливаются плагины стандартным способом. Вот так выглядят их карточки:

WordPress Antivirus:

установка wordpress антивирус

Wordfence Security:

установка wordfence security

После установки Antivirus доступен в разделе «Настройки» — «Antivirus», а Wordfence имеет свой собственный раздел.

Сканирование выполняется по нажатию одной кнопки:

WordPress Antivirus:

сканер вирусов wordpress

Можно также включить ежедневное сканирования с оповещением на почту, для этого надо поставить галочку «Daily malware scan» и ввести свою электронку в поле «Email Address for notifications», но я этого делать не рекомендую — зачем нагружать блог?

Wordfence Security:

сканер безопасности wordpress

В обоих плагинах сканирование занимает определенное время, после которого вам будут представлены результаты. О том, как их анализировать и какие принимать действия по устранению проблем я как-нибудь расскажу в другой статье.

А пока на этом по защите WordPress блога все. Жду вопросы, пожелания и рекомендации.

Спасибо, что остаетесь на связи!