Как показывает мировая статистика, на сайты Вордпресс каждую секунду производится около 100 000 атак в секунду. Для злоумышленников совершенно не имеет значения размер вашего сайта, его содержание, трафик или возраст. Главная цель таких взломов — ресурсы сети. Такая статистика ставит под сомнение безопасность WordPress. Для того чтобы быть уверенным в безопасности, нужно выполнить 10 простых шагов или установить всего один плагин.
О Безопасности WordPress
CMS WordPress самая популярная система управления контентом в настоящее время. Больше половины всех сайтов пользуются именно этой платформой.
Важно помнить, что WP является безопасной уже из коробки и основные несанкционированные проникновения происходят из-за человеческого фактора: слабые пароли, а также их хранение в ненадежных местах, пиратское ПО, незащищенные темы и некачественные плагины.
Все действия по обеспечению безопасности довольно рутинные, поэтому существует множество плагинов, которые сэкономят время и сделают этот процесс максимально комфортным, а главное простым.
TItan Anti-span & Secirity
Titan это мощный инструмент, который включает в себя защиту от спама, брандмауэр, сканер вирусов, проверку доступности сайтов, и аудит угроз для веб-сайтов и другие методы безопасности WordPress.
Помимо комплексных решений безопасности, Титан имеет набор дополнительных функций в виде надстроек, который помещен в простой и интуитивно понятный интерфейс.
В бесплатной версии доступны все основные функции для обеспечения безопасности сайта.
TItan Anti-span & Secirity обнаружит уязвимости и уведомит о потенциальных проблемах.
Практически все действия описанные далее можно выполнить с помощью Титана, потратив всего несколько минут на его установку и настройку. Более 100 000+ скачиваний и средняя оценка в 4.5 баллов не дают сомнений в выборе именно этого инструмента.
Разработчики WP регулярно исправляют найденные уязвимости системы и выпускают обновления. Всего несколько простых шагов позволит вам быть уверенным в безопасности сайта:
Перед любыми манипуляциями обязательно сделайте бэкап вашего сайта.
1.Скрыть данные WP
Необходимо скрыть данные версии ядра, а также изменить адрес админ-панели, чтобы существенно усложнить возможность взлома.
Для скрытия версии добавьте код в functions.php
- function remove_version_info() {
- return ‘’;
- }
- add_filter(‘the_generator’, ‘remove_version_info’);
- function remove_wp_version_strings( $src ) {
- global $wp_version;
- parse_str(parse_url($src, PHP_URL_QUERY), $query);
- if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) {
- $src = remove_query_arg(‘ver’, $src);
- }
- return $src;
- }
- add_filter( ‘script_loader_src’, ‘remove_wp_version_strings’ );
- add_filter( ‘style_loader_src’, ‘remove_wp_version_strings’ );
Боты, которые беспристрастно обходят большинство сайтов, действуют по простому механизму — просматривают доступность ссылки на админку, а если его не получают, то просто уходят на другой сайт.
2. Сложные имя пользователя и пароль
Не стоит использовать стандартное имя пользователя admin или login. Это самые стандартные имена, которые используют боты при попытке входа.
Выберите имя с регистром и специальными символами, чтобы усложнить процесс подбора логина и пароля.
Для полной уверенности используйте генератор паролей и регулярно меняйте его каждые пару месяцев.
3. Измените префикс базы данных
Стандартный префикс базы данных “wp_”. Лучше сделать это при первой установке WordPress. В случае, если сайт уже создан:
- Войдите в phpMyAdmin из панели вашего хостинга и откройте базу данных WP.
- Внизу таблицы нажмите на “Отметить все”.
- В фильтре действий выберите “Изменить префикс таблицы”.
- Придумайте свой префикс используя латинские буквы и цифры.
- Теперь в таблицах БД нужно найти все таблицы с прошлым именем префикса и заменяете на новый.
4. Изменение ключей безопасности.
В wp-config имеются ключи безопасности, которые требуются для шифрования. Если вы давно не меняли, то стоит это сделать, используя генератор ключей WordPress. После изменений cookies пользователей станет не действительным и для входа потребуется повторная авторизация.
5.Выпустите SSL сертификат.
Сегодня большинство хостинг-площадок автоматически выпускают SSL сертификат для вашего сайта, но если этого не произошло, необходимо это сделать самостоятельно, чтобы все пользователи подключались по безопасному соединению.
Для шифрования логина и пароля при авторизации, необходимо добавить следующую строчку в wp-config:
- define(‘FORCE_SSL_LOGIN’, true);
Для шифрования админской панели:
- define(‘FORCE_SSL_ADMIN’, true);
Чтобы использовать SSL на пользовательской стороне в файле .htaccess:
- <IfModule mod_rewrite.c>
- RewriteEngine On
- RewriteCond %{SERVER_PORT} 80
- RewriteRule ^(.*)$ https://www.example.com/$1 [R,L]
- </IfModule>
6. Пользуйтесь SFTP
Если ваш хостинг поддерживает SFTP, не стоит её игнорировать:
- define (‘FS_METHOD’, ‘ssh2’);
7.Отключите режим debug
Во время разработки сайта debug очень помогает выявлять ошибки, но с полным запуском он может показывать лишнюю информацию пользователям.
Переведите define(‘WP-DEBUG’, true); на define(‘WP-DEBUG’, false);
8.Обновляйте WordPress
Регулярно проверяйте наличие обновлений WP, чтобы быть в безопасности от уже известных уязвимостей.
Важно помнить, что переход на новую версию может вызывать ошибки из-за несовместимости версий, поэтому следует делать резервные копии сайта и при необходимости делать откат.
9. Не пользуйтесь подозрительными плагинами.
Не стоит устанавливать плагины из неизвестных источников. Некоторые из них могут содержать вредоносный код, а другие напротив могут иметь дыры, через которые возможен взлом сайта.
10. Отключите редактор файлов WordPress
В панели администратора WP имеется возможность редактировать файлы установленных тем и плагинов, что может быть опасно по мнению большинства разработчиков. В случае проникновения на сайт, злоумышленник сможет легко вставлять вредоносный код в тело сайта, полностью забирая на ним контроль.
Чтобы этого избежать, необходимо отключить эту функцию в файле wp-config, следующей строчкой
- define(‘DEFINE_FILE_EDIT’, true);
Заключение
Как видите, обезопасить ваш сайт не так сложно, но важно понимать, что все эти меры не дают стопроцентной гарантии защиты, однако значительно усложнит процесс взлома. Вкупе с регулярными манипуляциями, шанс взлома будет неумолимо стремиться к нулю.