10 советов побезопасностиWordPress

10 СОВЕТОВ ПОБЕЗОПАСНОСТИ WORDPRESS

Если вы всерьёз решили заняться вашим сайтом на WordPress, то в первую очередь вам нужно позаботиться о его безопасности. В этой книге мы расскажем о способах защиты вашего сайта от злоумышленников, а в конце вы найдёте несколько рекомендаций относительно того что делать, если ваш сайт уже взломали.

Используйте надёжные паролиОбезопасьте свой компьютерОбновляйте всё и вовремяИзбегайте подозрительные темы и плагиныПравильно распределяйте права доступаИспользуйте двухфакторную аутентификациюЗащитите форму входа от перебораИспользуйте защиту на уровне веб-сервераЗапретите редактирование файлов в админ-панелиИспользуйте дополнительные инструменты защиты

Что делать если сайт уже взломалиПолезные ресурсы по безопасностиО журнале WP Magazine

01020304050607080910

ABC

01 ИСПОЛЬЗУЙТЕ НАДЁЖНЫЕ ПАРОЛИ. ВЕЗДЕ.

Самая частая причина взлома (не только сайтов) - это простой словарный пароль, например “password” или “12345678”. Подобные пароли подбираются за считанные секунды. Ваш пароль должен быть надёжным и уникальным. Не используйте один и тот же пароль на разных сайтах или сервисах.

Надёжный пароль должен содержать не менее 16 букв нижнего и верхнего регистра, цифр, символов, пробелов. Не используйте простые словарные слова.

Надёжность пароля относится не только к вашему сайту WordPress, но и к вашей электронной почте, к вашему аккаунту на Facebook, Twitter и других социальных сетях, а так же к вашему компьютеру. Не храните пароли на листочках под клавиатурой или в записной книжке - используйте специальные приложения, которые для этого предназначены, например 1Password.

Стандартное имя пользователя в WordPress стоит так же поменять - не используйте имя пользователя “admin”, поскольку пароль именно к этому пользователю будут пытаться подобрать злоумышленники.

Наконец, не забывайте о надёжности пароля к панели управления вашим хостинг-аккаунтом, пароля для FTP доступа к сайту, а так же пароля к базе данных MySQL.

***

02 ОБЕЗОПАСЬТЕ СВОЙ КОМПЬЮТЕР

Если вирусы и черви живут на вашем компьютере, то они легко могут пробраться к вашему сайту, например при работе в вашем FTP клиенте. Убедитесь в том, что ваш компьютер чист и старайтесь избегать работу с вашим сайтом используя чужой, и уж тем более общедоступный компьютер (например в интернет-кафе).

Компьютерные вирусы могут передаваться через электронную почту, на дисках и USB носителях, и даже через смартфон, например при его синхронизации с компьютером. Никогда не открывайте подозрительные файлы.

Антивирусные программы помогут вам обнаружить вирусы на вашем компьютере и обезопасить вас при работе в сети. Популярные антивирусные программы: Sophos и Антивирус Касперского.

03 ОБНОВЛЯЙТЕ ТЕМЫ, ПЛАГИНЫ ИЯДРО WORDPRESS. ВСЕГДА И ВОВРЕМЯ.

Устаревшие версии ядра, тем оформления и плагинов являются частой причиной взлома сайтов на WordPress. Помните, что в новых версиях разработчики часто устраняют уязвимости, найденные в старых версиях.

Особенно важно это учитывать при работе с продуктами с открытым исходным кодом как WordPress. Ведь любой желающий может сравнить исходный код новой версии со старой, и понять какие именно уязвимости были устранены.

Обновления ядра WordPress бывают двух типов - основные (например 3.8) и технические (например 3.8.1, 3.8.2). Как правило технические обновления состоят из мелких исправлений, часто касаются безопасности, и крайне редко конфликтуют с активными плагиами или темой.

Технические релизы WordPress стоит применять как можно быстрее, желательно в день выхода обновления. Кстати, начиная с версии 3.7, WordPress автоматически обновляет ядро на технические релизы, если ваш хостинг-провайдер это позволяет.

Не забывайте так же обновлять темы и плагины для WordPress, а если у вас есть темы и плагины, которым вы не пользуетесь, их лучше вовсе удалить.

04 ИЗБЕГАЙТЕ ПОДОЗРИТЕЛЬНЫЕ ТЕМЫ И ПЛАГИНЫ

Темы и плагины позволяют легко расширять функционал и внешний вид WordPress, но к их выбору необходимо относиться с осторожностью. Частые взломы сайтов на WordPress происходят из-за уязвимых тем и плагинов.

Перед тем как установить очередную тему или плагин, найдите отзывы, узнайте как можно больше об авторе и если есть хоть какое-то подозрение, попытайтесь найти другой аналог.

Бесплатные плагины и особенно темы для WordPress стоит скачивать только из официальной директории WordPress.org, которая просматривается модераторами.

При обнаружении уязвимых тем или плагинов в директории, обязательно сообщите о них на themes@wordpress.org и plugins@wordpress.org соответственно.

Такие инструменты как Theme Check и Plugin Check позволяют просканировать темы и плагины на некоторые известные уязвимости, а так же на соответствие стандартам WordPress.

05 ПРАВИЛЬНО РАСПРЕДЕЛЯЙТЕ РОЛИ ПОЛЬЗОВАТЕЛЕЙ

В WordPress есть гибкая система ролей и привилегий. Не давайте пользователям лишних прав. Например, если пользователю нужно лишь публиковать новые записи, присвойте ему права автора. Если есть необходимость править записи других пользователей, работать с медиатекой, виджетами и настройками темы, используйте роль редактора.

Если вам необходимая более тонкая настройка ролей и привилегий в WordPress, воспользуйтесь плагином, например User Role Editor.

Некоторые привилегии можно так же отключить на уровне конфигурационного файла wp-config.php, например можно запретить всем пользователям (включая администраторов и сетевых администраторов) публиковать нефильтрованный HTML с помощью:

define( 'DISALLOW_UNFILTERED_HTML', true );

06 ИСПОЛЬЗУЙТЕ ДВУХФАКТОРНУЮ АУТЕНТИФИКАЦИЮ

Двухфакторная аутентификация это дополнительная защита поверх вашего пароля. С помощью таких плагинов и приложений как Google Authenticator или Authy, при входе в панель администрирования WordPress попросит вас ввести дополнительный код, который вы можете найти на вашем смартфоне. Этот код меняется каждую минуту.

Так же советуем воспользоваться двухфакторной аутентификацией на всех сервисах, которые её позволяют, например ваш аккаунт Google и почта Gmail, ваша учётная запись сети WordPress.com, ваш аккаунт на GitHub и т.д.

Если вы вдруг потеряете ваш телефон, вы сможете восстановить доступ к вашим учётным записям с помощью специальных резервных кодов, которые стоит хранить в надёжном месте.

07 ЗАЩИТИТЕ ФОРМУ ВХОДА ОТ ПЕРЕБОРА

Перебор (или “брутфорс”) это когда программа перебирает большое количество возможных паролей к форме входа, либо по словарю (словарный перебор), либо по алгоритму (полный перебор).

Защитить форму входа от перебора вы можете несколькими способами. Мы рекомендуем попробовать плагин Limit Login Attempts, который запретит пользователям несколько раз подряд выполнить попытку входа. К сожалению подобный плагин не спасает, когда брутфорс-атака происходит из сети ботов с разными IP-адресами.

Вы можете так же повесить “капчу” на форму входа WordPress, например с помощью плагина Captcha. Это доставит какое-то неудобство для настоящих пользователей, а для роботов это будет серьёзной помехой.

Не забывайте так же, что перебор можно осуществить не только на вашей форме входа WordPress, но и на форме входа к управлению вашим хостинг-аккаунтом, и на сервисы FTP/SSH. Узнайте у вашего хостинг-провайдера, какими средствами от перебора они защищены.

08 ИСПОЛЬЗУЙТЕ ЗАЩИТУ НА УРОВНЕ ВЕБ-СЕРВЕРА

Ваш веб-сервер (Apache, nginx, ...) имеет возможность защищать директории дополнительным логином и паролем, часто создаваемым с помощью инструментов htpasswd. Вы можете установить подобную защиту на директорию wp-admin. Учтите, что некоторые файлы в директории wp-admin могут исполняться и анонимными пользователями, например файл admin-ajax.php часто используется в темах и плагинах, для работы с AJAX в WordPress. Защищать данный файл паролем не стоит.

На уровне веб-сервера вы так же можете ограничить доступ к файлам и директориям по IP адресам, но учтите, что это работает наиболее эффективно тогда, когда у вас один статический IP адрес, или вы работаете через сеть VPN или прокси-сервер.

09 ЗАПРЕТИТЕ РЕДАКТИРОВАНИЕ ФАЙЛОВ В ПАНЕЛИ АДМИНИСТРИРОВАНИЯ

В админ-панели WordPress есть встроенный редаткор, который позволяет вам редактировать файлы вашей темы и плагинов. Хоть это и удобно для мелких правок, это не безопасно. Ведь любой, кто сможет получить доступ к вашей учётной записи, сможет исполнять любой PHP код на вашем сервере не получив при этом доступ к FTP или SSH.

Вы можете запретить редактирование файлов в панели администрирования с помощью константы в конфигурационном файле WordPress wp-config.php:

Дання директива запретит редактирование файлов, но не запретит администраторам устанавливать новые плагины и темы через панель администратора WordPress. К счастью существует ещё одна константа, которая запрещает любое редактирование файлов в файловой системе WordPress (кроме директории для загрузок wp-content/uploads):

Учтите, что установив эту директиву вы больше не сможете устанавливать и обновлять темы и плагины через панель администратора. Вам придётся это делать вручную с помощью FTP или SSH.

define( 'DISALLOW_FILE_EDIT', true );

define( 'DISALLOW_FILE_MODS', true );

10 ИСПОЛЬЗУЙТЕ ДОПОЛНИТЕЛЬНЫЕ ИНСТРУМЕНТЫ ЗАЩИТЫ

Существует огромное количество сервисов, как платных, так и безплатных, которые помогут вам найти и устранить уязвимости на вашем сайте.

Google Webmaster Tools и Яндекс.Вебмастер сообщат вам, если на вашем сайте вдруг появится какие-либо посторонние ссылки или скрипты. С помощью этих инструментов вы можете так же просмотреть, как ваш сайт выглядит в глазах поисковика, ведь некоторые вирусы отображают “левые” ссылки только поисковым роботам.

Плагин Exploit Scanner позволит просканировать ваш WordPress на вредоносные скрипты, плагины и темы. Сервисы Sucuri и VaultPress позволят делать это регулярно, а так же помогают с очисткой и резервным копированием.

Яндекс.Метрика или Pingdom могут оповестить вас, если ваш сайт вдруг перестал работать.

И наконец, не забывайте о резервном копировании. Создайте график резервных копий и придерживайтесь ему. Не храните резервные копии только на вашем сервере, ведь добравшись до него, злоумышленник может удалить как ваш сайт, так и все его резервные копии.

Обратитесь к вашему хостинг-провайдеру за возможностью полного резервного копирования вашего сайта, включая вашу базу данных MySQL и узнайте о возможности и скорости восстановления сайта из резервной копии.

ЧТО ДЕЛАТЬ, ЕСЛИ САЙТ УЖЕ ВЗЛОМАЛИ

Если ваш сайт уже взломали, то главное не паниковать, особенно если у вас есть резервная копия. Злоумышленники часто оставляют за собой след в виде плагина, или дополнительного кода в ядре. Ниже приведены несколько советов по устранению следов злоумышленников:

Если вы не разбираетесь в серверном администрировании, советуем обратиться к вашему хостинг-провайдеру. Они смогут просмотреть все логи доступа, и попытаться выявить кто и каким образом взломал ваш сайт. Это поможет вам защитить сайт о подобных взломов в будущем.

Изменить все пароли доступа к хостинг-площадке, включая пароль к базе данных и FTPУстановить WordPress “с нуля” скачав самую свежую версиюИзменить все секретные ключи в wp-config.phpЭкспортировать старую базу данных и заняться её чисткойИмпортировать содержимое в новый установленный WordPressПросмотреть директорию загрузок на лишние файлыИмпортировать директорию загрузокПросмотреть все плагины и установить свежии версии из директории WordPress.orgТщательно просмотреть используемую тему и установить самую свежую версиюПросмотреть логи доступа до момента взлома

ПОЛЕЗНЫЕ РЕСУРСЫ ПО БЕЗОПАСНОСТИ

Ниже представлены некоторые интересные ресурсы и инструменты, которые помогут вам повысить безопасность вашего сайта на WordPress.

Разработчикам тем и плагинов для WordPress так же рекомендуем просмотреть статью Data Validation из англоязычного кодекса WordPress. В ней вы найдёте функции, которыми необходимо пользоваться при обращении с пользовательскими данными в ваших темах и плагинах WordPress.

Статья: Безопасные паролиСтатья: Основы безопасности WordPressПлагин: Theme CheckПлагин: Plugin CheckПлагин: Exploit ScannerПлагин: Limit Login AttemptsПлагин: Google AuthenticatorПлагин: Authy Two Factor AuthenticationПлагин: CaptchaПлагин: User Role EditorСервис: VaultPressСервис: Sucuri Security

О ЖУРНАЛЕ WP MAGAZINE

WP Magazine (wpmag.ru) — это онлайн журнал посвящённый системе управления контентом WordPress. Мы публикуем много полезной информации, как для начинающих пользователей, так и для опытных разработчиков. Новости в мире WordPress, события, подборки тем и плагинов, советы, уроки и многое другое.

© 2013 Копирование материалов без разрешения автора запрещено. WordPress является зарегистрированной торговой маркой и принадлежит фонду WordPress Foundation.

Популярные статьи на WP Magazine:

Пять способов изменить пароль в WordPressКак переводить темы для WordPressПочему темы и плагины для WordPress стоит скачивать только с официальных ресурсовКак редактировать CSS в WordPressОсновы кэширования в WordPressОсновы безопасности WordPress

http://wpmag.ru