Защищаем сайт WordPress от взлома
Если вы еще не задумывались о защите своего сайта на движке WordPress, самое время сделать это прямо сейчас. Ежедневно в мире взламывают тысячи сайтов, и большинство взломов происходят потому, что веб-мастера не позаботились о безопасности ресурса. Давайте выясним, какие способы взлома сайтов на ВордПресс существуют и как с ними бороться.
Nuke атака
В принципе, раньше этот вид атаки был весьма и весьма опасным, но сегодня он морально устарел и может навредить только тем пользователям, которые работают с выделенными серверами. Суть Nuke атаки заключается в том, что начинающий хакер, используя особое ПО, может попросту взломать сервер, отправляющий большое число пинг-запросов на IP адрес вашего сайта.
В результате, если ваш сервер пока не настроен на фильтрацию атак подобного рода, он не сможет справиться с обработкой других запросов. Сервер подвисает и становится уязвимым для злоумышленников.
DDOS-атака
А это – куда более современный метод взлома. Он нацелен на то, чтобы попросту «положить» сервер и прервать передачу всех данных, а затем заразить компьютер парой-тройкой вирусов и троянов.
Лучшее, что можно сделать сегодня для защиты сайта от DDOS-атак – это работать с проверенными хостинг-провайдерами. Если у хостера мощный сервер, он обеспечит вам должный уровень безопасности.
Brute Force атаки
На сегодня данный метод является чуть ли не самой большой брешью в безопасности ВордПресса. Ведь основной целью такой атаки является получение логина и пароля администратора либо одного из пользователей. Используя особые алгоритмы и специальные программы, злоумышленники могут достаточно быстро выяснить, какой именно пароль вы используете и какой у вас логин.
Старый «дедовский» способ введения капчи – один из самых первых и весьма эффективных даже на сегодняшний день способов защитить свой сайт от Brute Force атаки. Кроме этого, можно просто скачать и установить специальный плагин, который будет блокировать систему при повторяющемся вводе неправильного логина/пароля.
SQL Injection
Перед вами – пожалуй, самый опасный и в то же время сложный вид атаки, существующий на сегодня. Его основной целью является проведение комплексного анализа сайта, хостинга и плагинов, тем оформления и пр. То есть, хакеры долго и нудно ищут дыры в конкретном сайте, а если находят их… одним словом, мало не покажется.
Чтобы сохранить интригу и «зацепить» вас еще больше, предлагаем поговорить о методах повышения безопасности своего сайта на WordPress.
Запретить просмотр папок
Первое, что вам нужно будет сделать – это отключить общий доступ ко всем служебным папкам. Вы открываете файл .htaccess и добавляете туда строку «Options All –Indexes». Имейте в виду, что вам не нужно менять что-то в этом файле. Достаточно добавить еще одну строку в конец файла.
Придумать новый пароль и логин для администратора
Наверное, вы знаете, что большинство взломов проводятся хакерами с помощью подбора пароля и логина. Нередко можно также встретить сайты, на которых вообще присутствует только одна учетная запись. Большинство хакеров подбирают пароли по словарю, так что потрудитесь придумать что-то оригинальное и непростое.
Например, после установки WordPress желательно сразу же заменить стандартный логин «Admin» на что-то свое. Но если ВордПресс у вас уже установлен, советуем вообще создать новую учетку с правами администратора, а затем удалить старую.
Не забывайте, что если вы имеете дело с опытным хакером, он все равно сможет узнать ваш логин, так что советуем позаботиться о мощном и надежном пароле. Он должен иметь не менее 16 символов и состоять не только из цифр и букв, но и спецсимволов. Так будет надежнее!
Всегда обновляйте темы и WordPress
Никогда не забывайте об установке обновлений. Как только они появятся, следует немедленно их установить. Такие обновления устраняют ошибки и в значительной мере повышают стабильность, безопасность вашего сайта.
Как проверить, является ли новый плагин или шаблон безопасными? Просто почитайте отзывы о них в Интернете. Если вы имеете дело с «кривым» модулем, то наверняка узнаете об этом.
Удалите все лишнее
Не забывайте удалять лишние, ненужные вам плагины – особенно если вы их больше не используете. Как правило, о старом плагине забывают, он деактивируется и остается храниться в панели управления.
Затем владельцы сайта забывают о нем. А ведь именно такие плагины открывают пользователям дорогу к уязвимости вашего сайта.
Внесите нужные изменения в файл functions.php
Удивительно, но functions.php могут использовать даже хакеры. Он отображает полную информацию о вашей версии WP. Чтобы свести угрозу взлома к минимуму, добавьте в файл такой код:
remove_action( ‘wp_head’, ‘wp_generator’ );
remove_action( ‘wp_head’,’rsd_link’ );
remove_action( ‘wp_head’,’wlwmanifest_link’ );
Кстати, еще одна хитрость. Обычно при входе в аккаунт вы вводите пароль, верно? Естественно, есть вероятность, что вы сделаете это неправильно. Дело в том, что вся информация о неудачных попытках ввода пароля сохраняется в журнале, которым могут воспользоваться хакеры.
Используя неправильный пароль, они могут легко вывести настоящий. Чтобы этого не случилось, добавьте в файл functions.php следующий код:
function no_errors_please(){
Return ‘Nope’;
}
add_filter( ‘login_errors’, ‘no_errors_please’ );
Экспортируйте ваши записи в формат XML
При регулярном создании резервных копий сайта вы обезопасите себя от возможных проблем. При необходимости, можно будет даже сделать откат системы до точки сохранения.
Запретите редактирование файлов через WordPress
Многие пользователи активно используют встроенный редактор WordPress для того, чтобы работать со своими файлами. Как вы понимаете, если хакер получит доступ к вашей учетке, это может стать дополнительной угрозой.
Так что если острой необходимости использовать учетку постоянно нет, советуем вам отключить редактор. Сделать это несложно – просто добавьте в файл wp-config.php такой код:
define( ‘DISALLOW_UNFILTERED_HTML’, true );