1. Вступ WordPress одна з найпопулярніших CMS в світі. Більш 18.9% всіх Інтернет сайтів працює саме...
2. Крок 1 - Підтримка актуальної версії WordPress
3. Крок 2 - Використання нестандартних облікових даних для входу
4. Крок 3 - Включення двоетапної аутентифікації
5. Крок 4 - Відключення відправки звітів про помилки PHP
6. Крок 5 - Не використовуйте nulled шаблони для WordPress
7. Крок 6 - Сканування WordPress на наявність шкідливих програм
8. Крок 7 - Перенесення сайту на більш безпечний хостинг
9. Крок 8 - Робіть резервні копії даних настільки часто, наскільки це можливо
10. Крок 9 - Вимкнення редагування файлів
11. Крок 10 - Видалення шаблонів і плагінів
12. Крок 11 - Використання .htaccess для поліпшення захисту WordPress
13. Заборона доступу до адміністративної частини WordPress
14. Відключення виконання PHP в певних папках
15. Захист файлу wp-config.php
16. Крок 12 - Зміна стандартних префіксів бази даних WordPress для запобігання впровадження SQL-коду
17. Зміна таблиці префіксів для існуючого сайту на WordPress
18. Частина перша - Зміна префікса в wp-config.php
19. Частина друга - Оновлення всіх таблиць бази даних
20. Частина третя - Перевірка опцій і призначених для користувача таблиць метаданих
21. Забезпечення безпеки нових установок WordPress
22. висновок

Вступ

WordPress одна з найпопулярніших CMS в світі. Більш 18.9% всіх Інтернет сайтів працює саме на ній, а кількість установок перевищила 76.5 мільйонів. На жаль, у такій популярності є свої мінуси. Згідно з доповіддю Securi, компанії яка спеціалізується на безпеці сайтів, WordPress сама зламувати CMS в світі. Однак, якщо ви будете слідувати передовій практиці в цьому питанні і здійсните кілька прийомів з нашого керівництва, ви зрозумієте, що захист WordPress може бути легко укріплена за допомогою декількох простих кроків.

Що вам знадобиться

Перед тим, як ми почнемо це керівництво, перевірте наявність наступного:

• Доступ до панелі управління WordPress
• Доступ до вашого облікового запису на хостингу (необов'язково)

Крок 1 - Підтримка актуальної версії WordPress

Це стане першим і найважливішим кроком для поліпшення безпеки WordPress. Якщо вам потрібен чистий сайт без шкідливих програм, ви повинні переконатися в тому, що версія вашого WordPress актуальна. Можливо ця рада виглядає простим, однак, тільки 22% всіх установок WordPress доводиться на останню версію.

WordPress реалізував функцію автоматичного оновлення у версії 3.7, але працює вона тільки для невеликих оновлень безпеки. Тоді як великі, ключові поновлення повинні бути встановлені вручну.

У разі, якщо ви не знаєте, як оновити WordPress, загляньте сюди .

Крок 2 - Використання нестандартних облікових даних для входу

Ви використовуєте admin, як ім'я адміністратора в WordPress? Якщо ваша відповідь так, то ви серйозно знижуєте захист WordPress і спрощуєте процес злому хакерами вашої панелі управління. Строго рекомендується змінити ім'я користувача адміністратора на що-небудь інше (подивіться це керівництво , Якщо ви не впевнені, як це зробити) або створіть новий обліковий запис адміністратора з іншими даними. Дотримуйтесь цих кроків, якщо ви віддаєте перевагу другому варіанту:

1. Увійдіть в панель управління WordPress
2. Знайдіть розділ Користувачі і натисніть кнопку Додати нового.
3. Створіть нового користувача і призначте йому права Адміністратора
4. Перезайдіть в WordPress з вашими новими даними.
5. Поверніться в розділ Користувачі і видаліть стандартний обліковий запис Admin.

Хороший пароль грає ключову роль в безпеці WordPress. Набагато складніше зламати пароль складається з цифр, букв нижнього і верхнього регістру і спеціальних знаків. Такі інструменти, як LastPass і 1Password можуть допомогти в створенні та управлінні складними паролями.

Крок 3 - Включення двоетапної аутентифікації

Двоетапна аутентифікація додає додатковий захисний шар для вашої сторінки авторизації. Після підтвердження імені користувача, вона додає ще один етап, який необхідно завершити для успішної авторизації. Швидше за все ви вже використовуєте це для доступу до пошти, онлайн банку і інших облікових записів, які містять конфіденційну інформацію. Чому б не використати це і в WordPress?

Хоча це може здатися складним, включити двоетапну перевірку в WordPress дуже легко. Все що вам потрібно, це встановити мобільний додаток для двоетапної аутентифікації і налаштувати його для вашого WordPress. Ви зможете знайти більш детальну інформацію, як включити двоетапну перевірку на WordPress тут .

Крок 4 - Відключення відправки звітів про помилки PHP

Звіти про помилки PHP можуть бути досить корисні, якщо ви займаєтеся розробкою сайту і хочете упевнитися, що все працює правильно. Однак показувати помилки всім, це серйозне упущення в безпеки WordPress.

Ви повинні виправити це, як можна швидше. Не лякайтеся, вам не треба бути програмістом, щоб відключити звіти про помилки PHP на WordPress. Більшість провайдерів послуг хостингу надають таку опцію в панелі управління. Якщо немає, то просто додайте наступні рядки в ваш файл wp-config.php. Ви можете використовувати FTP-клієнт або Файловий менеджер для редагування файлу wp-config.php.

error_reporting (0); @ini_set ( 'display_errors', 0);

От і все. Звіти про помилки відключені.

Крок 5 - Не використовуйте nulled шаблони для WordPress

Запам'ятайте "Безкоштовний сир буває тільки в мишоловці". Це ж стосується nulled шаблонів і плагінів.

По всьому Інтернету існує тисячі nulled плагінів і шаблонів. Користувачі можуть безкоштовно їх скачати, використовуючи різні файлообмінники або торрент файли. Вони не знають, що більшість з них заражені шкідливими програмами або посиланнями чорних методів пошукової оптимізації.

Перестаньте використовувати nulled плагіни і шаблони. Це не тільки не етично, а й завдає шкоди вашій безпеки WordPress. В кінцевому підсумку, ви більше заплатите розробнику за очистку вашого сайту.

Крок 6 - Сканування WordPress на наявність шкідливих програм

Щоб заразити WordPress, хакери часто використовують діри в шаблонах або плагінах. Тому, важливо частіше проводити перевірку вашого блогу. Існує безліч добре написаних плагінів для цих цілей. WordFence виділяється з цієї множини. Він пропонує керівництво по застосуванню і можливість автоматичної перевірки, разом з купою інших різних налаштувань. Ви навіть можете відновити модифіковані / заражені файли в пару кліків. Поширюється він на безкоштовній основі. Цих фактів повинно бути достатньо, щоб ви встановили його прямо зараз.

Інші популярні плагіни для посилення безпеки WordPress:

• BulletProof Security - на відміну від WordFence, про який ми говорили раніше, BulletProof не виконує сканування ваші файли, але він надає вам фаєрвол, захист бази даних і т.д. Відмінною особливістю є можливість налаштування і установки плагіна в кілька кліків миші.
• Sucuri Security - цей плагін захистить вас від DDOS атак, містить чорний список, сканує ваш сайт на наявність шкідливих програм і управляє вашим фаєрволом. При виявленні чого-небудь. ви будете сповіщені через електронну пошту. Google, Norton, McAfee - в цей плагін включені всі чорні списки з цих програм. Ви можете знайти повне керівництво про встановлення плагінів для сайту WordPress тут .

Крок 7 - Перенесення сайту на більш безпечний хостинг

Можливо, ця порада може здатися дивним, але статистика показує, що більше 40% сайтів на WordPress були зламані через дірки в безпеці хостинг аккаунта. Ця статистика повинна підштовхнути вас перенести WordPress на більш безпечний хостинг. Трохи ключових фактів які необхідно тримати в голові при виборі нового хостингу:

• Якщо це віртуальний хостинг, упевніться, що ваш обліковий запис ізольована від інших користувачів, і немає ризику зараження від інших сайтів на сервері.
• На хостингу є функція автоматичного бекапа (резервного копіювання).
• Сервер має сторонній фаєрвол і інструмент для сканування.

Крок 8 - Робіть резервні копії даних настільки часто, наскільки це можливо

Навіть найбільші сайти зламуються кожен день, незважаючи на той факт, що їх власники витрачають тисячі на поліпшення безпеки WordPress.

Якщо ви прямуєте передовій практиці в цьому питанні і застосували поради з цієї статті, вам все одно необхідно регулярно робити резервні копії вашого сайту.

Існує кілька шляхів для створення бекапа. Наприклад, ви можете вручну завантажити файли сайту і експортувати базу даних, або скористатися інструментами, запропонованими вашої хостингу компанією. Ще один шлях, використовувати WordPress плагіни. Найпопулярніші з них:

Ви навіть можете автоматизувати процес створення і зберігання резервних копій WordPress бекапи в Dropbox .

Крок 9 - Вимкнення редагування файлів

Як ви напевно знаєте, WordPress має вбудований редактор, який дозволяє редагувати PHP файли. Ця функція настільки ж корисна, наскільки вона може завдати шкоди. Якщо хакери отримають доступ до вашої панелі управління, перша річ, на яку вони звернуть увагу, це Редактор фото. Деякі користувачі WordPress воліють повністю вимкнути цю функцію. Вона може бути виключена редагуванням файлу wp-config.php, шляхом додавання туди наступного коду:

define ( 'DISALLOW_FILE_EDIT', true);

Це все, що вам потрібно щоб вимкнути цю функцію в WordPress.

ВАЖЛИВО! У разі, якщо ви хочете повторно включити цю функцію, використовуйте FTP клієнт або Файловий менеджер вашого хостингу і видаліть цей код з файлу wp-config.php.

Крок 10 - Видалення шаблонів і плагінів

Зробіть прибирання вашого сайту на WordPress і видаліть всі непотрібні шаблони і плагіни. Хакери часто використовують відключені і застарілі шаблони і плагіни (навіть офіційні плагіни WordPress) для отримання доступу до вашої панелі управління, або завантаження шкідливого вмісту на ваш сервер. Видаляючи плагіни і шаблони, які ви перестали використовувати (і можливо забули оновити) давним давно, ви знижуєте ризики і робите ваш сайт на WordPress більш безпечним.

Крок 11 - Використання .htaccess для поліпшення захисту WordPress

.htaccess це файл необхідний для коректної роботи посилань WordPress. Без правильних записів в файлі .htaccess, ви будете отримувати багато помилок 404.

Не так багато користувачів знають, що .htaccess може бути використаний для поліпшення захисту WordPress. Наприклад, ви можете блокувати доступ або відключати виконання PHP в певних папках. Внизу наведено приклади того, як ви можете використовувати .htaccess для поліпшення безпеки сайту на WordPress.

ВАЖЛИВО! Перед тим, як ви справите зміни в файлі, зробіть резервне копіювання старого файлу .htaccess. Для цього ви можете використовувати FTP клієнт або Файловий менеджер .

Заборона доступу до адміністративної частини WordPress

Код нижче дозволить вам отримувати доступ до адміністративної частини WordPress тільки з певних IP.

AuthUserFile / dev / null AuthGroupFile / dev / null AuthName "WordPress Admin Access Control" AuthType Basic <LIMIT GET> order deny, allow deny from all allow from xx.xx.xx.xxx allow from xx.xx.xx.xxx </ LIMIT>

Зауважте, що вам потрібно змінити XX.XX.XX.XXX на ваш IP адреса. Ви можете використовувати цей сайт для перевірки вашого нинішнього IP. Якщо ви використовуєте більше ніж одне підключення для управління сайтом на WordPress, то упевніться, що написали інші IP адреси (додавайте стільки адрес, скільки вам знадобиться). Не рекомендується використовувати цей код, якщо у вас динамічний IP адреса.

Відключення виконання PHP в певних папках

Хакери люблять завантажувати бекдор скрипти в папку завантажень WordPress. За замовчуванням ця папка використовується тільки для зберігання мультимедійних файлів. Отже, не повинна містити будь-яких PHP файлів. Ви можете легко відключити виконання PHP, створивши новий файл .htaccess в / wp-content / uploads / с такими правилами:

<Files * .php> deny from all </ Files>

Захист файлу wp-config.php

Файл wp-config.php містить ядро ​​налаштувань WordPress і деталі бази даних MySQL. Отже, це найважливіший файл в WordPress. Тому він найчастіше стає головною метою WordPress хакерів. Однак ви можете легко убезпечити його використовуючи такі правила в .htaccess:

<Files wp-config.php> order allow, deny deny from all </ files>

Крок 12 - Зміна стандартних префіксів бази даних WordPress для запобігання впровадження SQL-коду

База даних WordPress містить і зберігає в собі всю ключову інформацію необхідну для роботи вашого сайту. В результаті, вона стає ще однією метою хакерів і спамерів, які виконують автоматизований код для проведення впровадження SQL-коду. Під час установки WordPress, багато людей не обтяжують себе зміною стандартного префікса бази даних wp_. згідно з даними WordFence , 1 з 5 зломів WordPress пов'язаний з впровадженням SQL-коду. Так як wp_ це одне зі стандартних значень, спершу хакери починають саме з нього. На даному етапі ми коротко розглянемо, як захистити сайт на WordPress від подібного роду атак.

Зміна таблиці префіксів для існуючого сайту на WordPress

ВАЖЛИВО! Головне це безпека! Перед початком, упевніться, що зробили бекап вашої бази даних MySQL .

Частина перша - Зміна префікса в wp-config.php

Знайдіть ваш файл wp-config.php використовуючи FTP клієнт або Файловий менеджер знайдіть рядок зі значенням $ table_prefix.

Можете додати додаткові цифри, букви або нижні підкреслення. Після цього, збережіть зміни і перейдіть до наступного етапу, В цьому керівництві ми використовуємо wp_1secure1_, як новий префікс таблиці.

Поки ви перебуваєте в вашому файлі wp-config.php, також знайдіть ім'я вашої бази даних, щоб знати яку саме змінити. Пошукайте в секції define ( 'DB_NAME'.

Частина друга - Оновлення всіх таблиць бази даних

Зараз вам потрібно оновити всі записи у вашій базі даних. Це може бути зроблено за допомогою phpMyAdmin.

Знайдіть базу даних певну в першій частині і увійдіть в неї.

За замовчуванням, установка WordPress має 12 таблиць і кожна повинна бути оновлена. Однак це можна зробити швидше, використовуючи розділ SQL в phpMyAdmin.

Змінювати кожну таблицю вручну займе дуже багато часу, тому ми використовуємо SQL запити, щоб прискорити процес. Використовуйте наступний синтаксис для оновлення всіх таблиць у вашій базі даних:

RENAME table `wp_commentmeta` TO` wp_1secure1_commentmeta`; RENAME table `wp_comments` TO` wp_1secure1_comments`; RENAME table `wp_links` TO` wp_1secure1_links`; RENAME table `wp_options` TO` wp_1secure1_options`; RENAME table `wp_postmeta` TO` wp_1secure1_postmeta`; RENAME table `wp_posts` TO` wp_1secure1_posts`; RENAME table `wp_terms` TO` wp_1secure1_terms`; RENAME table `wp_termmeta` TO` wp_1secure1_termmeta`; RENAME table `wp_term_relationships` TO` wp_1secure1_term_relationships`; RENAME table `wp_term_taxonomy` TO` wp_1secure1_term_taxonomy`; RENAME table `wp_usermeta` TO` wp_1secure1_usermeta`; RENAME table `wp_users` TO` wp_1secure1_users`;

Деякі шаблони WordPress або плагіни можуть додавати додаткові таблиці в базу даних. У разі якщо у вас більше 12 таблиць в базі даних MySQL, додайте залишилися з них вручну в запит SQL і виконайте його.

Частина третя - Перевірка опцій і призначених для користувача таблиць метаданих

Залежно від числа плагінів які ви встановили, деякі значення в вашій базі даних повинні бути оновлені вручну. Зробити це можна виконавши окремі SQL запити на таблицю опцій і метаданих.

Для таблиці опцій, ви повинні використовувати:

SELECT * FROM `wp_1secure1_options` WHERE` option_name` LIKE `% wp_%`

Для таблиці метаданих, ви повинні використовувати:

SELECT * FROM `wp_1secure1_usermeta` WHERE` meta_key` LIKE `% wp_%`

Коли ви отримаєте результати запиту, просто оновіть всі значення з wp_ на ваш новий налаштований префікс. У таблиці метаданих користувача вам потрібно відредагувати поле meta_key, тоді як для опцій, необхідно змінити значення option_name.

Забезпечення безпеки нових установок WordPress

Якщо ви плануєте встановлювати нові сайти WordPress, вам немає необхідності знову виконувати даний процес. Ви легко зможете поміняти префікси таблиць WordPress в процесі установки:

Вітаємо! Ви успішно поліпшили безпеку вашої бази даних від впровадження SQL-коду.

висновок

Незважаючи на те, що WordPress сама зламувати CMS в світі, поліпшити її захист не так важко. У цьому керівництві ми розповіли вам про 12 радах, яких вам слід дотримуватися, щоб захист WordPress залишалася на належному рівні.