Привет читатели seoslim.ru! Кто ведет свой блог, владеет интернет-магазином или контентным проектом знает, что защита сайта на WordPress – это сложный, но обязательный комплекс действий.
При этом опытные вебмастера уверяют, что чем больше способов защиты будет выбрано, тем меньше вероятность того, что портал взломают хакеры.
Но и применение всех методов не гарантирует сто процентов того, что сайт будет защищен от взлома.
Однако, это снизит общую вероятность, поэтому очень важно узнать не только для чего делают взломы, но и то, как обезопасить собственный ресурс.
Для чего взламывают сайты
Все сайты, в том числе и те, что созданы на движке Вордпресс взламывают с разными целями.
Основными из них можно назвать:
Ради развлечения. Начинающие хакеры просто так тренируются. Они находят абсолютно любой сайт и учатся применять различные инструменты для взлома. Это могут быть как скрипты, так и определенные программы. Увы, но никто не даст гарантии, что ваш портал не станет их «жертвой».
По теме: Кто такой Хакер простыми словами
Боты, спам. Ресурсы используются мошенниками для создания сетей, которые в свою очередь необходимы для того, чтоб проводить хакерские атаки на другие ресурсы или просто рассылать спам. Далее для завладения информацией хакеры встраивают определенный скрипт в код страниц.
Довольно сложно самостоятельно узнать, что площадку взломали таким образом. Выручают специальные программы.
Заражение вирусами ПК пользователей. В таком случае люди, которые заходят на ресурс, «подцепят» вирус на свой компьютер от него.
По сути при таком способе взлома площадка становится просто орудием взлома компьютеров других пользователей. Понять, что встроен вредоносный код, можно при помощи онлайн сервисов сканирования и лицензионных программам.
«Черное СЕО». В таком случае хакеры добавляют на площадку вредоносный код, с помощью которого размещают там ссылки, которые не имеют никакого отношения к тематике сайта. При этом страницы могут быть скрытыми, но некоторые сервисы дают возможность понять, что портал небезопасен.
Доступ к серверу. По сути сайт в таком случае напрямую не используется. Он является лишь способом войти на определенный сервер, к примеру, с целью взлома другого ресурса.
Что понадобится для защиты сайта на Вордпресс
Есть разные способы защиты ресурса, но как уже говорилось выше, ни один из них, а также все они в комплексе не дают стопроцентную гарантию защиты от взлома. Использование этих методов значительно снижает общий риск атаки хакерами.
Актуальная версия WordPress
Самый главный способ обезопасить площадку – использовать последнюю версию движка WordPress.
Это важно, ведь данные не будут содержать вирусов, а если в системе есть «дыры», что нередко бывает при установке старой CMS, то этим могут воспользоваться хакеры и осуществить атаку.
WordPress нужно всегда обновлять. Система сама присылает уведомления в админке.
При этом, как добавляют опытные программисты, скачивать WordPress обязательно необходимо с официальной страницы.
Использование бесплатных шаблонов – это, конечно, преимущество, однако нет гарантии того, что они являются полностью неуязвимыми. В них могут содержаться скрытые ссылки или скрипты, которые приведу к «падению» площадки .
Рекомендуется применять минимальное число плагинов. Если он не работает в данный момент, то лучше удалить.
В крайнем случае плагин скачивается вновь и активируется. Если говорить простыми словами, то на WordPress должно содержаться только необходимое. Если наблюдается хаос в модулях, то открываются новые возможности для мошенников.
Сложные пароли и логин для входа в админку
Простые пароли не рекомендуется устанавливать ни для каких сайтов и страниц в социальных сетях. Но почему-то даже опытные пользователи забывают об этом правиле.
Выбрав сложный пароль лучше его запомнить, а не записывать. Если сайт уже подвергался взлому, то, естественно, пароль нужно сменить.
Необходимо придумать сложный пароль, как для административной части сайта, так и к базе данных, личной учетной записи и аккаунту хоситнг-провайдера.
Еще прочитай: Что такое логин (имя пользователя) и пароль, как их придумать и создать
Пароль должен состоять как минимум из восьми символов. При этом этом маленькие и большие буквы, с разным регистром, с символами, с цифрами. Если же выбрать простой пароль (только буквы или цифры, комбинации из 4-5 символов), то при помощи специальных программ взломать его можно за пару минут.
Антивирусное ПО
Если даже установить сложный пароль, пользоваться только официальными скриптами и плагинами, то это не дает полной защиты, ведь компьютер по-прежнему подключен к интернету.
В таком случае хакеры могут получить доступ к сайту с помощью вирусов. Установка качественного программного обеспечения – очень важный пункт.
Конечно, можно установить стандартное ПО против вирусов. Но, к сожалению, оно не улавливают все угрозы. Лучше выбрать антивирусник с подпиской, хоть и платный.
Таким образом защита будет более серьезная. Антивирусные программы регулярно обновляются, также стоит самостоятельно с регулярной периодичностью проводить сканирование ПК.
Запрет доступа к файлу wp-config.php
В файле с этим названием есть данные по настройкам WordPress и доступу к базе данных MySQL, логично предположить, что никто кроме владельца не должен заполучить содержимое wp-config.php.
Самым оптимальным решением будет закрыть доступ с помощью специального кода, добавленного в файл .htaccess, который расположен в корневой папке сайта.
<files wp-config.php> order allow,deny deny from all </files> |
Запрет доступа к каталогу wp-content
В данной папке расположены все файлы портала, которые касаются контентной части. Это не только мультимедиа, но и плагины, шаблоны.
Хакеры через них могут вписывать код, который им требуется для доступа к площадке. Поэтому любые действий с каталогом для посторонних лиц требуется запретить.
Это не повлияет на активность пользователей, так как им к исполняемым файлам доступ не нужен.
Для защиты достаточно в файл .htaccess добавить содержимое.
# Блокируем любые запросы к папке order deny,allow deny from all # Разрешаем доступ к файлам с расширениями <files ~ ".(svg|ttf|woff|eot|xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar)$"> Allow from all </files> |
Для лучшего пониманию стоит пояснить, что svg|ttf|woff|eot|xml|css|js|jpe?g|png|gif|pdf|docx|rtf|odf|zip|rar — это те файлы, к которым будет доступ у пользователей, ко всем остальным нет.
Запрет доступа к файлу htaccess
Также специалисты настаивают, что нужно включить в .htaccess запрет на доступ к каталогам сайта и запрет непосредственно к этому файлу.
# Запрет на просмотр каталогов сайта Options All -Indexes # Запрет доступа к файлу .htaccess <files .htaccess> order allow,deny deny from all </files> |
Скрываем версию WordPress
Хакеры обычно используют специальные скрипты, чтоб «прорваться» на сайт и получать доступ к его содержимому. Но скрипту необходимо присваивать определенный алгоритм действий. Поэтому сначала они сканируют интернет в поисках порталов, которые можно было бы атаковать при помощи известных им алгоритмов. ВордПресс площадки не являются исключением, поэтому для защиты лучше из кода страниц убрать информацию о движке.
Делается это очень просто, достаточно в файл function.php вставить специальный код.
// Скрываем версию WordPress remove_action('wp_head', 'wp_generator'); |
Изменение стандартного префикса таблиц в базе данных
В WordPress у каждой таблицы есть соответствующий префикс с названием wp_. Но пользователь может самостоятельно изменить эту настройки, что обеспечивает лучшую защиту сайта от взлома.
Объясняется это тем, что поисковые алгоритмы ботов настроены на поиск именно этого префикса. Если его нет, то сайт для них станет невидимым.
Используйте протокол HTTPS
Этот протокол обеспечивает шифрование той информации, которую получает сайт от пользователей и зашедшие на площадку люди от сайта.
Если использовать HTTPS, то гарантирована защита от того, что вредоносный код не встроится между этими процессами.
Особенно это важно для сайтов, на которых люди оставляют свою информацию, к примеру, номер карты, паспортные данные, почтовый адрес, мобильный и др.
Для того, чтоб воспользоваться такой защитной опцией, необходимо приобрести SSL-сертификат и подключить его к сайту.
Перенос сайта на более безопасный хостинг
Хостинг также во многом влияет на безопасность сайта, поэтому все рекомендуют выбрать проверенный и безопасный. Не лишним будет при его выборе обратить внимание на отзывы в интернете, посмотреть, какими техническими возможностями он обладает.
Я уже почте 10 лет все сайты держу на хостинге Макхост, чего и всем советую.
Создаем резервное копирование файлов сайта и базы данных MySQL
Этот пункт не обеспечивает непосредственную защиту от взлома, но тем не менее он очень важен. Резервное копирование позволяет обезопасить информацию.
В случае хакерской атаки все базы данных, копии сохраняться. Воссоздавать их будет существенно легче, чем создавать новые.
Удаление неиспользуемых шаблонов и плагинов
Рекомендуется использовать на сайте минимальное число плагинов. Если модуль не работает в данный момент, то лучше его удалить, простыми словами на WordPress должно содержаться только то, что действительно нужно владельцу сайта в данный момент.
Защита сайта – важный этап. Есть различные методы для обеспечения безопасности, и использовать их рекомендуется все.
Но самые значимые: установка сложного пароля, лицензионного антивирусного ПО, и создание запрета на доступу к файлам и каталогам.
Хорошая подборка по защите сайта от взлома на движке WordPress, спасибо за информацию! Ещё полезно менять адрес входа в админпанель сайта.
Да. Тоже плюс к защите.
Спасибо за такие дельные советы, очень понравилось. Все таки защита блога или сайта — это важная составляющая развития проекта! Кстати, в дополнение к этой статье, рекомендую прочесть статью, из которой узнал, нужна ли защита вообще, как узнать, что сайт атакуют, пошаговая инструкция защиты веб-сайта от брутфорса, простой способ защиты сайта от взлома, советы по безопасности веб-сайта.