Необходимая защита WordPress

Здравствуйте, уважаемые владельцы сайтов, блогеры и профессиональные веб-мастера.

На этой странице я хочу поделиться с вами подробным отчетом на такую важную тему как Защита сайта на WordPress.

Хочу вас спросить, — Как давно вы проверяли статус и уровень защищенности вашего ресурса?

Если ответ: «Да, настолько давно, что я уже не помню«, или, «Проверить статус? А Где и Как это можно сделать?»
В этом случае, крайне рекомендую выделить несколько часов драгоценного времени и направить его на анализ безопасности вашего сайта.
к содержанию ↑

Проверка статуса защищенности WordPress

Онлайн сканеры и/или внутренние плагины (Gotmls, WordFence)

Проверка безопасности WordPress c помощью онлайн сканера Sucuri.net.

Проверка безопасности WordPress c помощью онлайн сканера Sucuri.net

Сканировать на уязвимости с помощью плагина WordFence.

Сканировать на уязвимости с помощью плагина WordFence

Поиск вредоносного кода с помощью плагина Gotmls

Поиск вредоносного кода с помощью плагина Gotmls
к содержанию ↑

Проверьте не содержит ли сайт устаревший код тем и плагинов

WordPress отображает наличие обновлений на видном месте в верхней части панели администратора. Рекомендуется следить, чтобы ваши темы, плагины и WordPress всегда оставались в актуальном состоянии. Это поможет вам избавиться от конфликтов устаревшего кода с новым, а также защитит ваш сайт от найденных уязвимостей. В любом плагине можно обнаружить проблему безопасности. К счастью, разработчики наиболее популярных плагинов очень быстро выпускают заплатки с исправлениями. Ваша задача — установить их на своем сайте.
к содержанию ↑

Нет ли скрытых ссылок в вашей теме

Проверьте тему на вредоносный код плагином Theme Authenticity Checker.

проверка тема на вредоносный код плагином Theme Authenticity Checker

Если в результате анализа вы обнаружили подозрительную активность или вредоносный код, отключите сайт (по возможности), сделайте бэкап, свяжитесь с техподдержкой хостинга или другими специалистами, и незамедлительно примите меры по лечению. Помните, что файлы, репутацию, и позиции ранжирования в поисковиках гораздо труднее восстановить, после того как на них уже сказалось негативное влияние вирусного заражения. Гораздо эффективнее — вовремя предотвратить неприятные ситуации.

Для этого продолжайте читать данный отчет, в котором мы рассмотрим базовые рекомендации и настройки для защиты WordPress.
к содержанию ↑

Обновления — первый этап проверки на прочность

К сожалению, многие блогеры и владельцы сайтов, то ли забывают про это правило, то ли абсолютно игнорируют его.

Должен сказать вам прямо, большинство фактов взлома происходит из-за найденных и незакрытых уязвимостей в коде. Файлы движка WordPress сами по себе соответствуют высокому стандарту безопасности. Но если вы пользуетесь многочисленными сторонними плагинами, то вероятность взлома вашего сайта существенно возрастает. Старайтесь пользоваться только проверенными плагинами и скачивайте их на авторитетных ресурсах (пример, Envato Маркет — онлайн площадка для многих премиум плагинов и шаблонов). Следите за обновлениями и читайте инструкции от разработчиков.

Поверьте,

Вам просто необходимо держать весь код сайта в актуальном состоянии.

Возникает такой вопрос: «Можно ли безопасно для себя включить функции автоматического обновления?»

Во-первых, если у вас не сложный по функционалу сайт (содержит небольшое количество плагинов и стороннего кода), то я рекомендую вам обновлять плагины вручную. Это занимает совсем немного времени относительно каких-либо других задач. При этом, у вас появляется контроль над процессом, вы можете обновлять плагины по одному, тестировать определенные части сайта, и моментально реагировать в случае обнаружения неполадок в работе сайта.

Если вдруг по какой-то причине, вы захотите включить автоматические обновления, сделать это можно достаточно быстро и просто. Я рекомендую воспользоваться плагином Advanced Automatic Updates.

включение автоматических обновлений в плагине Advanced Automatic Updates
к содержанию ↑

Базовые настройки защиты каждой установки WordPress

Имея ваш логин и пароль, злоумышленник может попасть в консоль управления вашего сайта с правами и функциями администратора.

Все уровни остальной защиты оказываются в этой ситуации абсолютно бесполезными.

Измените срочно логин admin (если вы его еще используете)

Если злоумышленнику известен логин по умолчанию, ему остается выяснить только пароль для полного взлома и получения контроля над сайтом. Для этого, например, он может воспользоваться различными программными средствами для перебора паролей.

Чтобы защититься от этого и поменять логин admin данный по умолчанию, вы можете использовать ручной способ, или установить плагин-помощник (например, WPVN — Username Changer, Admin renamer extended и др.). Я рекомендую ручной способ. Поменяйте сразу и ID.

изменить логин admin в phpmyadmin

Создайте для нового логина сильный пароль.

Воспользуйтесь генератором паролей онлайн, или в браузере, или любой другой программой.

У вас возникает резонный вопрос: «Как же я его запомню?» А никак. Доверьте хранение конфиденциальной информации менеджеру паролей.
Я пользуюсь LastPass и вполне доволен удобством и функционалом.

Не храните логин и пароль в браузере!

Создали логин и пароль? Записали и сохранили? Отлично.

Следующий совет, вероятно, покажется вам немного фанатичным, но если присмотреться, то в нем есть абсолютно здравый смысл.

Не используйте главный администраторский аккаунт в ваших повседневных задачах.

Такими задачами являются, например, создание и публикация контента, отправка писем, модерирование комментариев. Для этого в WordPress есть замечательный функционал, который называется — распределение ролей и прав. Создайте нового пользователя и назначьте ему соответствующие права.

Это разумно не только для повышения безопасности вашего аккаунта, но также защитит ваш сайт от случайных и непродуманных действий.
к содержанию ↑

Защитите ваш WordPress от взлома через FTP

Кража паролей через FTP довольно распространенная ситуация, предшествующая взлому вашего сайта, установке на него вредоносного кода или совершению других недобрых действий.

Предлагаю вам рассмотреть следующие варианты, чтобы защититься от взлома по FTP, или значительно сократить его шансы.

1. Пользуйтесь защищенным протоколом SFTP. SFTP и FTP это не одно и то же. Приставка S (Secure) означает, что ваши данные будут передаваться в зашифрованном виде, что затруднит их дальнейшее чтение и расшифровку хакерами и программами.

2. Откажитесь по возможности от использования FTP. Если вы редко загружаете новые файлы или не часто трогаете код вашего сайта, вы можете пользоваться файловым менеджером в панели управления вашего хостинга.

3. Разрешите вход через FTP только для указанного IP адреса (адресов)

Если вы, также как и я, являетесь администратором сайта и разработчиком в одном лице, вы можете настроить доступ по FTP только для себя.

Для этого нужно создать файл .ftpaccess в корневом каталоге, где расположен ваш сайт. Следующее содержание блокирует все запросы, которые не идут с вашего IP адреса.

<Limit ALL>
Allow from xx.xx.xx.xx
Deny from all
</Limit>
Конечно, ваш внешний IP адрес не должен часто меняться для комфортного использования. Очень хорошо, если вам выделен статический IP.

Посмотреть текущий IP адрес можно вот здесь.
к содержанию ↑

Защитите ваш WordPress выключив неиспользуемые функции и разделы консоли управления

Я уже отметил выше, что лучше не использовать админ аккаунт в повседневном режиме.

Но даже, если вы решаете определенные админ задачи, вам необязательно держать весь функционал включенным.

Первый кандидат на исключение это Внутренний редактор тем и плагинов в консоли WordPress. (Внешний вид -> Редактор).
Представьте, кто-то очень вредный (или не очень добрый) заполучил доступ к вашему аккаунту. В один миг он может удалить важные вам файлы. Но, что еще хуже, он сможет легко и незаметно вставить ссылки или вредоносный код в шаблоны темы, о чем вы даже не будете подозревать!

Отключите встроенный редактор кода WordPress, если не пользуетесь им.

Для этого задайте константу в файле wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Отключите регистрацию на вашем сайте.

Если она разрешена, любой может зарегистрироваться на сайте, запросить пароль, и если злоумышленник уже знает логин и пароль к вашей почте, то он получит ссылку на изменение пароля и на вход.

отключить регистрацию новых пользователей

Отключите и полностью удалите неиспользуемые плагины.

Постарайтесь по возможности заменить их функционал на более простой код. Подумайте, так ли вам нужны плагины шорткодов, соцсетей, виджетов и т.п.

Они не только значительно замедляют (!) работу вашего сайта, усложняют его поддержку и обнаружение конфликтов, но также ставят по угрозу безопасность вашего сайта, если плагины, например, долго не обновляются, и/или не соответствуют стандартам и качеству исполнения.

Признайтесь, у каждого из вас есть парочка плагинов, которые вы установили когда-то в целях тестирования, но уже давно забыли про них. Почистите ваш WordPress от неиспользуемого кода плагинов, чтобы перестать переживать о защите и стабильной работе вашего сайта.
к содержанию ↑

Пользуйтесь защищенным хостингом и по возможности установите SSL сертификат

Самые популярные и репутабельные хостинг провайдеры предоставляют различные функции для увеличения уровня защиты вашего WordPress.

В пакет услуг может входить:

возможность проверить сайт на вирусы и вылечить их;

возможность защитить файлы и каталоги;

возможность установить пароли на любую директорию;

также, они предоставляют логи и журнал для мониторинга работы и безопасности;

Пользуйтесь тем, что включено в ваш тариф и интегрировано в панель управления. Это быстрый и удобный способ повысить защиту вашего сайта. Его надежная работа зависит не только от объема и квот предоставляемых услуг, но также от качественно настроенного хостинга, от скорости работы техподдержки, которые помогут своевременно решить и/или предотвратить многие проблемы в работе сайта.

По поводу SSL сертификата, это несомненно плюс, и стоит он недорого.

Возможно, если вы только настроили и запустили свой сайт, вы не захотите сразу включать защищенный протокол HTTPS.

Но обязательно рассмотрите эту возможность в будущем. Особенно, когда ваш сайт станет набирать популярность и окажется лакомым кусочком для злоумышленников.
к содержанию ↑

Узнавайте о состоянии безопасности в первую очередь и моментально

Возможность просматривать логи и журналы на хостинге это хорошо, но не всегда бывает достаточно.
С другой стороны, если вы дополните их системой мониторинга отслеживания изменений в файлах и/или наступления определенных событий, вы станете практически «непробиваемым» в плане защиты.

Всё, что вам нужно, — настроить получение уведомлений о важных (на ваш взгляд) событиях и изменениях.

Там, где не справилась защита плагина, или злоумышленник нашел/пытается найти обход, вы первым об этом узнаете, и сможете моментально среагировать, предотвратить вторжение или остановить его на ранней стадии.

Конечно, такая система уведомлений нуждается в первичной настройке, но она окупает все затраты вашего времени, и сэкономит ваши нервы и деньги.

Некоторые популярные плагины позволяют легко настроить систему журналирования и уведомлений даже неподготовленному технически пользователю.
Но, на мой взгляд, вам всё равно нужно понимать, как она работает, уметь ставить различные фильтры, потому что иначе будете получать много случайных срабатываний, и в конечном итоге прекратите уделять должное внимание приходящим уведомлениям. Что практически сведет к нулю ценность такой системы.

Здесь я бы хотел завершить базовые рекомендации безопасности WordPress. И предложить вам перейти на более детальные уровни настроек и продвинутые руководства по защите вашего сайта.

Но прежде чем это сделать, убедитесь, что вы выполнили и соблюдаете вышеизложенные фундаментальные базовые принципы. Только так вы можете гарантировать высокую защищенность вашего ресурса и надежность его работы.

Помните, вы всегда можете обратиться за помощью и консультациями ко мне, либо непосредственно в комментариях на этой странице.