Безопасность WordPress – эффективные способы защиты блога

На тему безопасности WordPress написано уже немало постов, предлагающих достаточно эффективные способы защиты блога. Тем не менее, многие вебмастера продолжают упорно игнорировать элементарные правила.

Надо признать, к их числу относился и я. Единственные меры безопасности, которые я принимал – подбор сложного пароля и скрытие версии WordPress. Но несколько дней назад на почту пришло сообщение, что кто-то запросил изменение пароля для блога.

Вроде бы ничего страшного не случилось, но это событие развеяло все сомнения относительно необходимости вплотную заняться безопасностью блога. Сразу появилось и время, и желание

В результате, после прочтение десятка постов, выделил для себя эффективные методы обеспечения безопасности WordPress, реализация которых не займет много времени и не потребует каких-то специальных знаний.

Понятно, что никакие меры предосторожности не помогут, если кто-то захочет взломать именно ваш блог. Но это не повод игнорировать их. Замок в квартире тоже можно открыть, но вы же не оставляете дверь незапертой

Как обеспечить безопасность WordPress

Обратите внимание, что многие меры безопасности можно принять уже на этапе создания блога и в дальнейшем не возвращаться к ним.

Сложный пароль

Большинство блогов взламываются именно подбором паролей. И дело не в том, что это самое слабое место. Просто многие пренебрегают элементарной безопасностью и используют простейшие комбинации. Например, дату рождения или собственное имя, подобрать которые не составляет особого труда.

Чтобы уменьшить вероятность взлома, используйте как минимум 8-значные пароли, а лучше 10 и более. Желательно, чтобы они содержали строчные и прописные буквы, цифры и спецсимволы.

Понятно, что держать в голове такие комбинации не получится, но это и не нужно. Есть специальные программы, которые надежно защитят ваши данные. Об одной из них я писал в посте «Где хранить пароли блоггеру».

Изменяем имя пользователя

При установке WordPress создается учетная запись администратора с именем «admin», что существенно облегчает работу хакерам. Ведь зная логин, подобрать пароль намного проще.

Изменить ник «admin» можно разными способами. Начиная от запроса к базе данных и заканчивая использованием плагинов. Но самый простой способ – создать нового пользователя с правами администратора, затем выйти из админки блога и залогиниться под новым ником. После чего следует проверить: все ли функции доступны, и удалить первую учетную запись, связав все записи с новым пользователем.

Скрываем версию WordPress

Не все блоггеры вовремя обновляют WordPress, тем самым облегчая задачу злоумышленникам. Зная версию WordPress, а, соответственно, и ее слабые места, взломать блог намного проще. Посмотреть ее достаточно просто в исходном коде страницы. Вот оттуда ее и нужно убрать.

Сделать это не так сложно. Нужно только отредактировать пару файлов шаблона. Первым открываем header.php, в котором находим и удаляем такую строку:

<meta content=»WordPress<?php bloginfo (‘version’); ?>» />

После чего открываем файл functions.php и добавляем такой код:

<?php remove_action (‘wp_head’, ‘wp_generator’); ?>

Изменяем префикс БД

Таблицы баз данных в WordPress по умолчанию имеют префикс «wp_», что существенно снижает безопасность блога. Чтобы устранить этот недостаток, нужно изменить префикс на более сложный.

Сделать это можно разными способами, но проще всего воспользоваться плагином WP Security Scan. После установки и активации, в админке блога появится вкладка «Безопасность». Открыв которую, можно в два клика изменить префикс БД. Только не забудьте поставить после него нижнее подчеркивание.

Корректируем права на файлы и папки

Права на файлы и папки устанавливаются автоматически при закачке сайта на хостинг. Но бывает, что в процессе работы их приходится изменять. Например, для редактирования файлов темы. Поэтому, после внесения всех необходимых изменений, не забывайте выставить их обратно.

Для тех, кто еще не знает, права на папки должны быть 755, кроме cache и uploads (у них 777), а на файлы – 644.

Генерируем ключи безопасности

В файле wp— config.php есть 4 ключа, которые необходимы для обеспечения защиты блога. Придумывать самому ничего не нужно. Их можно автоматически сгенерировать по этой ссылке и вставить в соответствующие строки wp— config.php.

Закрываем возможность просмотра директорий на сервере

Достаточно часто хостеры не закрывают возможность просмотра директорий, что не очень хорошо с точки зрения безопасности WordPress.

Закрыть их от просмотра можно двумя способами: создать пустой файл index.html и поместить его в папку с плагинами wpcontent/plugins или прописать в файле .htaccess следующую строку:

Options-Indexes

Изменяем адрес страницы авторизации

По умолчанию страница входа в админку блога находится по адресу: вашблог.ru/wplogin, что в очередной раз облегчает задачу взломщикам. Ведь ее даже искать не нужно.

Решается проблема довольно легко. Поможет плагин Stealth Login, который позволяет изменить адрес страницы авторизации. Придумать его можете самостоятельно.

Устанавливаем плагин Login Lock Down

После трех неудачных попыток авторизации плагин блокирует IP с которого идут запросы. Время блокировки можно задать в настройках. Помимо этого он фиксирует все неудачные попытки входа в админку. В любое время вы можете просмотреть с каких IP производилась попытка авторизации и в какое время.

Используйте плагин WP Security Scan

Как написано выше, плагин позволяет изменить префикс БД, но это не основное его назначение. Плагин предназначен для поиска слабых мест в защите блога. Он не только находит их, но и предлагает устранить.

Кроме изменения префикса, он позволяет скрыть версию WordPress, изменить имя пользователя, покажет неправильно выставленные права на файлы и папки и простой пароль.

После сканирования блога и устранения недостатков плагин можно деактивировать и удалить.

Устанавливаем плагин Secure WordPress

После того, как мы изменили имя пользователя, выбрали сложный пароль и ограничили количество попыток авторизации, осталось только убрать сообщение об ошибке входа, чтобы доставить еще больше проблем злоумышленнику. С этой задачей прекрасно справляется Secure WordPress. Ко всему прочему он добавляет пустой файл index.html в папку с плагинами, тем самым, запрещая возможность просмотра списка установленных плагинов.

Не храним пароли в FTP клиентах

Несмотря на очевидность этого пункта, некоторые его просто игнорируют, сводя на нет все предыдущие усилия по обеспечению безопасности WordPress.

Обновляем WordPress и плагины

В каждой новой версии WordPress учтены и исправлены все уязвимости предыдущих. Поэтому не забывайте обновляться. Это обеспечит дополнительную защиту блога. То же самое относиться и к плагинам.

Удаляем неиспользованные плагины

Каждый плагин – потенциальная угроза безопасности WordPress, и не важно, активирован он или нет. Поэтому неиспользованные плагины желательно удалить с сервера. При необходимости их можно закачать заново, много времени это не займет.

Делаем бэкапы БД и файлов движка

Пожалуй, это основной пункт, который позволяет обеспечить безопасность блога. Резервные копии дадут возможность в любой момент восстановить его. Главное, чтобы они были свежие.

Подробно этот процесс я уже описывал в статье «Резервное копирование сайта». При наличии бэкапа, сохраненного на двух (мало ли что ) носителях, можно спать спокойно.

К тому же, файлы движка нужно обновлять только после внесения каких-либо изменений. А бэкап БД можно ежедневно получать по почте, благодаря плагину WP DataBase Backup.

Придерживаясь таких несложных рекомендаций, вы сможете обеспечить вполне достойную защиту блога. Если у вас есть свои способы обеспечить безопасность WordPress, пишите в комментариях.