Вопросы безопасности WordPress всегда давали богатую пищу для размышлений. Хотя большая часть последних обновлений этой CMS была связана с безопасностью, есть много способов усилить защиту, которые доступны даже не самым технически продвинутым пользователям, даже без плагинов.
Вот несколько предложений, как повысить информационную безопасность для сайта на WordPress.
Содержание:
- Не используйте в качестве имени пользователя admin
- Создайте отдельный аккаунт
- Не используйте простые пароли
- Добавьте двухфакторную аутентификацию
- Скройте файлы wp-config.php и .htaccess
- Используйте ключи безопасности
- Отключите редактирование файлов
- Ограничьте число попыток авторизации
- Выборочное использование интерфейса XML-RPC
- Хостинг и безопасность WordPress
- Не забывайте о хостинг-аккаунте
- Будьте в курсе последних обновлений
Как выбрать правильный плагин для wordpress
Разработчики платформы предлагают собственный список мер по обеспечению защиты сайтов на WordPress, с которым рекомендуем обязательно ознакомиться. Конечно, некоторые из этих рекомендаций будут повторяться ниже, но лишние практические советы и инструкции не помешают, когда речь идет о безопасности данных.
На всякий случай сделайте резервную копию сайта до того, как испытывать на практике эти советы.
- Не используйте в качестве имени пользователя <admin>
- Создайте отдельный аккаунт с правами редактора
- Не используйте простые пароли
- Добавьте двухфакторную аутентификацию
- Скройте файлы wp-config.php и .htaccess
- Используйте для аутентификации ключи безопасности WordPress
- Отключите редактирование файлов
- Ограничьте число попыток авторизации
- Выборочное использование интерфейса XML-RPC
- Хостинг и безопасность WordPress
- Не забывайте о хостинг-аккаунте
- Будьте в курсе последних обновлений
- Как выбрать правильный плагин для wordpress
- Заключение
Не используйте в качестве имени пользователя <admin>
Помните об этом. Возможно, это самый первый из основных шагов для обеспечения безопасности WordPress, который могут предпринять пользователи платформы. Сделать его несложно, инсталлятор позволяет легко соблюсти такое правило.
Сегодня большинство атак нацелены на wp-admin / wp-login доступ с использованием подбора комбинации имени пользователя и пароля, известном как атака методом «грубой силы». Здравый смысл подсказывает – если вы удалите имя <admin>, то удалите и возможность прямой атаки.
Да, остается вероятность того, что хакер угадает новое имя пользователя, перебирая идентификаторы и имена пользователя. Но безопасность – это не устранение риска, а его снижение. Удаление принятых по умолчанию имен пользователя <admin> или <administrator> поможет защититься от обычных автоматических атак методом подбора.
Как минимум, вы усложните хакеру жизнь при подборе произвольного имени пользователя. Чтобы не было путаницы, уточним: речь идет исключительно об использовании слов <admin> и <administrator> в качестве имени пользователя, а не о правах администратора.
Создайте новое имя пользователя в меню «Пользователь –> Новый пользователь» и назначьте ему права администратора. После этого удалите пользователя <admin>. Не переживайте о сохранности публикаций или страниц, которые были созданы под его именем.
WordPress любезно поинтересуется у вас: «Что вы хотите сделать с контентом, принадлежащим этому пользователю?», а затем предложит на выбор удалить весь контент или привязать его к новому пользователю (например, созданному вместо <admin>).
Подробнее: 3 способа изменить логин администратора wordpress
Создайте отдельный аккаунт с правами редактора
Когда вы пишете или редактируете сообщения в блоге, «имя автора» показывается в нижнем левом углу браузера, если навести курсор на имя автора в публикации. Если ваше имя автора совпадает с именем администратора, вы сделали за хакеров половину работы по успешному взлому своего сайта.
Исправить ситуацию просто: создайте нового пользователя, у которого есть только права редактора, и авторизуйтесь под этим именем, когда собираетесь что-то публиковать или редактировать в блоге. Это имя будет отображаться во всех ваших публикациях; а хакеры потратят кучу времени, пытаясь взломать ваш блог под именем пользователя с якобы правами администратора, которое на самом деле позволяет лишь писать и редактировать сообщения.
Кроме того, специальные плагины безопасности для WordPress ограничивают попытки зайти на сайт под конкретным логином и сообщают о попытках несанкционированного проникновения на заданную электронную почту. Так вы узнаете, предпринимались ли попытки взлома с использованием настоящего логина администратора, и сможете уделить внимание безопасности сайта на вордпресс до того, как злоумышленники подберут пароль.
Не используйте простые пароли
Запомните простое слово СУД – Сложный, Уникальный, Длинный. Здесь вступают в игру инструменты вроде 1Password или LastPass, которые генерируют пароли установленной вами длины. В зависимости от того, какой уровень защиты вы хотите получить, выбирается длина пароля в знаках (обычно хватит 20 знаков) и включаются такие редко используемые символы, как # или *.
«123456» – это не пароль. «qwerty» равносильно тому, что вы напишете на банковской карте её пин-код. Даже «starwars» вошел в список 25 самых распространенных паролей 2015 года. Помните, вы не настолько уникальны, как думаете.
Добавьте двухфакторную аутентификацию
Даже если вы не используете имя пользователя admin и установили сильный, произвольно сгенерированный пароль, атаки методом «грубой силы» остаются проблемой. Для снижения риска такого проникновения методы вроде двухфакторной аутентификации являются ключевыми.
Да, двухфакторная аутентификация доставляет много хлопот. Но теперь это ваш Форт-Нокс. Суть ее для защиты сайта на WordPress заключается, как ясно из названия, в двух формах авторизации. Сегодня это стандарт, повышающий безопасность ваших точек доступа. Вы уже используете двухфакторную авторизацию для Gmail и Paypal (по крайней мере, должны это делать). Так почему бы не добавить в список WordPress?
Для реализации инструмента есть специальный плагин Google Authenticator. Альтернативный вариант с несколько другим подходом и тем же результатом – Rublon Plugin.
Используйте принцип минимальных привилегий
Команда WordPress.org составила отличную статью в кодексе WordPress, регулирующую Роли и Права пользователей. Обязательно ознакомьтесь с этим документом, который непосредственно касается данного шага.
Принцип минимальных привилегий очень простой – давайте доступ только:
– тем, кому он нужен;
– тогда, когда он нужен;
– на тот период времени, который нужен.
Если кому-то нужны права администратора, чтобы изменить конфигурацию, предоставьте их, но закройте доступ сразу же после выполнения задачи.
Хорошая новость – эти действия не займут у вас много времени.
Вопреки широко распространенному мнению, не каждый пользователь, получающий доступ к вашему сайту на WordPress, должен получать права администратора. Давайте людям права доступа, достаточные для выполнения их задач, и вы намного снизите угрозу безопасности своего wordpress-сайта.
Для настройки подобного рода безопасности wordpress есть плагин: Google Authenticator . Альтернативой, которая использует несколько иной подход для этой же цели, является плагин Rublon.
Скройте файлы wp-config.php и .htaccess
Это относительно просто сделать, но ошибки при выполнении процедуры могут превратить ваш сайт в недоступный. Создайте резервную копию, и только после этого приступайте к изменениям.
Перейдите в меню «Инструменты => Редактор файлов» для редактирования файла .htaccess. Для повышения уровня безопасности и защиты файла wp-cnofig.php вам нужно добавить такой код в файл .htaccess:
<Files wp-config.php> order allow,deny deny from all </Files>
Он закроет доступ посторонних к файлу wp-config.php. Похожий код можно использовать для защиты самого файла .htaccess:
<Files .htaccess> order allow,deny deny from all </Files>
Вы сможете внести эти изменения самостоятельно, здесь нет ничего сложного.
Используйте для аутентификации ключи безопасности WordPress
Ключи аутентификации и salt-ключи работают в связке друг с другом, чтобы защитить ваши cookies-файлы и пароли во время передачи данных между браузером и веб-сервером. Эти ключи аутентификации построены на наборе случайных переменных. Они повышают защиту (шифрование) информации в файлах cookies.
Чтобы изменить их в файле wp-config.php, просто получите новый набор ключей здесь – https://api.wordpress.org/secret-key/1.1/salt/ – и добавьте в файл. При обновлении указанной страницы ключи изменяются, так что каждый раз вы будете получать новый набор.
Отключите редактирование файлов
Самым простым способом изменить ваши файлы является доступ к пункту меню WordPress «Оформление => Редактор». Чтобы повысить уровень защиты, вам нужно отключить возможность редактирования файлов через консоль. Откройте файл wp-config.php и добавьте строчку
define('DISALLOW_FILE_EDIT', true);
У вас останется возможность вносить изменения в шаблоны через FTP-доступ, но теперь никто не сможет изменять их с помощью инструментов в консоли WordPress.
Ограничьте число попыток авторизации
Целью атак методом подбора ключей является форма для авторизации на сайте. Плагин All in One WP Security & Firewall позволяет изменить путь по умолчанию (/wp-admin/) к этой форме ввода. Помимо этого, с помощью специальных плагинов вы можете ограничить число попыток ввода с конкретного IP-адреса.
Выборочное использование интерфейса XML-RPC
XML-RPC – это прикладной программный интерфейс (API), который используется повсеместно. К нему обращается огромное число плагинов и тем, поэтому менее подготовленным технически пользователям нужно особенно осторожно экспериментировать с этим инструментом.
Несмотря на практичность шага, отключение XML-RPC может обойтись дорого. Вот почему не рекомендуется отключать его полностью, но внимательнее следить за тем, какие программы и как пытаются получить доступ к этому интерфейсу. Существует множество плагинов, которые помогают осуществлять выборочную реализацию и отключение XML-RPC.
Хостинг и безопасность WordPress
Владельцы сайтов часто жалуются, что их хостинговые компании не помогают защитить ресурс от взлома или вообще ничего не понимают в обеспечении безопасности сайтов на платформе WordPress.
Хостинговые компании просто видят ваш сайт иначе. Нет однозначных правил по выбору хостинга для wordpress, но он действительно важен, когда речь идет о мерах по улучшению защиты от несанкционированного доступа.
Буквально каждая статья о выборе хостинга начинается со слов о том, что дешевый не значит лучший. Самые дешевые тарифные планы не помогут вам уберечься от атаки хакеров. Такие пакеты включают минимальную защиту ресурса, например, предустановленный брандмауэр веб-сайта.
Виртуальный хостинг подразумевает, что сервер, на котором расположен ваш ресурс, является домом и для других сайтов. У них могут быть собственные проблемы безопасности, которые затрагивают и безопасность вашего сайта.
При этом безопасность WordPress, наверно, одно из главных преимуществ, которые предлагают хостинговые компании в специализированных WordPress-тарифах.
Обычно сюда входит резервное копирование, резервный брандмауэр, проверка файлов на наличие вредоносного ПО, защита от DDoS-атак и автоматическое обновление WordPress. Причем все это предлагается, как правило, за вполне приемлемую стоимость.
Не забывайте о хостинг-аккаунте
Одна из самых больших проблем хостингов связана с конфигурацией аккаунта для владельца сайтов. Пользователь может инсталлировать и конфигурировать столько сайтов, сколько захочет, что способствует появлению в системной среде «бесплатной столовой» для вредоносного ПО.
Проблема актуальна, потому что во многих случаях веб-ресурс может быть взломан методом, известным как межсайтовое заражение, когда вектором атаки является соседний сайт. Злоумышленник преодолевает защиту севера, а затем начинает проникать на соседствующие сайты, расположенные на этом сервере.
Лучший способ защиты от этого вида взлома – создание двух аккаунтов. Один из них вы используете как рабочую среду и размещаете на нем только активные сайты, а второй – как промежуточный, на котором вы храните все остальное.
Будьте в курсе последних обновлений
О том, что нужно поддерживать актуальность, легко говорить. Но для владельцев сайтов это означает ежедневный кропотливый труд. Наши сайты – сложные создания. В каждый момент времени на них происходят десятки событий, поэтому иногда внести мгновенные изменения бывает трудно.
Недавние исследования показал, что 56% установленных систем WordPress используют устаревшие версии платформы.
Обновления должны касаться не только ядра платформы. В упомянутом исследовании говорится также, что большое число хакерских атак использует устаревшие, уязвимые версии плагинов.
Как выбирать безопасные плагины и темы для WordPress
Большинство пользователей предпочитают беспорядочную установку плагинов и тем на своих сайтах. Это глупо, если только вы не делаете установку на тестовом сервере с единственной целью – проверить работу той или иной темы либо плагина.
Большинство плагинов и очень много тем бесплатные. И если авторы поддерживают свои разработки ради развлечения, а не в рамках какой-то серьезной бизнес-модели, вряд ли они потратили много времени на проверку уязвимостей и безопасности этих продуктов.
Как выбрать правильный плагин для wordpress
Как уже сказано выше, бесплатные темы и плагины являются потенциальной угрозой для безопасности сайта. Добавляя эти элементы на сайт, обязательно проверяйте их рейтинг, например, на WordPress.org.
Но просто пять звезд ничего не скажут о степени надежности плагина, в зависимости от ниши он должен иметь определенное количество отзывов. Если достаточно много людей считает, что это замечательный продукт, и нашли время для оценки, можно попробовать его в действии на собственном сайте.
Еще один момент, который вы должны проверять – актуальность плагина или темы. Если не было обновлений в течение последних двух лет, WordPress об этом сообщит. Отсутствие обновлений не обязательно означает, что плагин плохой.
Возможно, у автора просто не было необходимости в том, чтобы вносить исправления в рабочую программу. Все же не рекомендуется устанавливать плагины, которые давно не обновлялись. Рейтинг расскажет о работоспособности выбранного элемента и о его совместимости с текущей версией WordPress. Всю эту информацию можно увидеть на странице плагина на WordPress.org.
Опираясь на рейтинг и совместимость, вы можете сделать процесс выбора плагинов менее беспорядочным, одновременно повысив шансы на установку безопасного элемента.
Заключение
Если вы дочитали эту статью до конца, то просто обязаны принять дополнительные меры по защите своего сайта на WordPress. Добавьте в список ежедневных действий проверку защищенности своего ресурса. Она должно стать такой же ежедневной рутиной любого владельца сайтов, как регулярное добавление новых публикаций и страниц.
Не нужно забывать о регулярном создании резервных копий, для чего у платформы есть множество надежных плагинов. Правда, резервные копии не являются частью политики информационной безопасности, это скорее административные и служебные задачи.
Мы привели далеко не полный список того, что можно сделать для защиты сайта от взлома. Но надеемся, что наши практические советы помогут обеспечить хотя бы первый уровень информационной безопасности для вашего ресурса.
Помните, безопасность WordPress не бывает абсолютной.
Так что сделать жизнь хакеров тяжелой – наша задача, как владельцев сайтов.
Читать далее: Как начать вести свой блог с нуля