Способы взлома сайтов на WordPress и способы защиты

Ежедневно сотни и тысячи сайтов становятся жертвами хакеров. И это уже давно не редкость. Для тех, кто пользуется WordPress у нас “хорошая” новость: сайты на этой платформе атакуют намного чаще, ввиду ее популярности. Однако, этот факт мотивирует разработчиков полезных плагинов находить новые решения для того, чтобы защитить сайты. В этой статье мы расскажем, почему настройка безопасности wordpress – первое, чем вы должны заняться после установки сайта и как это сделать?

 

У меня небольшой блог, он тоже под угрозой?

Зачастую владельцы скромных по масштабам и аудитории сайтов считают, что их проект не интересен хакерам. И это напрасно. Не важно, сколько человек являются постоянными посетителями сайта, сто или миллион. Цель одна: проникнуть внутрь и начать управлять ресурсом извне. Тем более, что уже давно никто не перебирает логины и пароли вручную, все делает автоматика, например, система Brute Force.

 

Зачем нужны хакнутые сайты?

Очевидным кажутся ответы: завладеть персональными данными, информацией о банковских картах и счетах. Но эти варианты лежат на поверхности, копнув глубже вы еще раз убедитесь, что любой сайт, как единица может быть использован совершенно для разных целей:

  • «Drive-by-download». Если ваш сайт взломают, то с его помощью можно будет заражать вредоносными программами компьютеры пользователей, которые посещают ваш сайт. ПО соберет и украдет для преступников ваши персональные данные или иную информацию, представляющую ценность.
  • «Редирект». Если пользователь решит зайти к вам на сайт, то редирект моментально перенаправит его по другому адресу. Чаще всего там располагаются сайты взрослого и откровенного содержания, казино, а также иные запрещенные или полулегальные ресурсы. Задача увеличить трафик за счет других.
  • Использование чужих ресурсов. Бывают случаи, когда хакеров интересуют использовать чужие мощности себе во благо. Например ресурсы компьютера или сервера, чтобы майнить криптовалюты.

 

Настройка безопасности WordPress

Самым слабым звеном в системе безопасности сайта могут быть одновременно уязвимости темы, плагинов, хостинга или банально слабый пароль. Стоит учитывать так же, что ваш сайт может пострадать даже если атака направлена другой ресурс. Это вероятно, если оба сайта хранятся на одном “shared-хостинге”. Мы расскажем вам о мерах, предприняв которые вам удастся повысить уровень защиты.

 

Надежный хостинг

Кроме основных функций, предоставляемых хостингом, провайдер должен периодически сканировать все данные сайта для выявления постороннего ПО, которое может оказывать вред системе. Также хостер должен создавать резервные копии или предоставить вам возможность сделать это самостоятельно. Обратите внимание при выборе или поиске нового провайдера, существуют хостинги, в большей степени адаптированные для Вордпресса.

 

Улучшенная защита авторизации

Если хакеры соберутся атаковать ваш сайт, а в качестве логина у вас выставлено слово “admin”, да еще и к тому же слабый пароль, то почти со стопроцентной уверенностью можно заявить, что сайт взломают. Вопрос времени, которое автоматика потратит на перебор паролей.  Придерживайтесь следующих советов, чтобы минимизировать риск потери управлением сайта:

  • Забудьте про слово “admin”, когда будете подбирать себе логин;
  • Придумайте сильный пароль и храните в надежном месте. Прочитайте подробнее как это сделать;
  • Периодически создавайте новые коды доступа;
  • Ограничьте количество попыток авторизоваться;
  • Используйте двухфакторную аутентификацию (введение кода для подтверждения из СМС);
  • Замените стандартный URL доступа в консоль (www.aaa.ru/wp-admin например на www.aaa.ru/secretlogin и т.д.). И вместо того, чтобы перейти на страницу ввода пароля у программы-взломщика появится ошибка 404.
  • Атака прекратится. В предыдущей статье мы останавливались подробнее на этой функции.

 

Обновление до очередной версии WordPress

Обновление CMS происходит не только для добавления новых возможностей и функций, а в основном для удаления уязвимостей, которые программисты выявили в предыдущей редакции. Как обновляться автоматически и не следить за уведомлениями, мы предметно рассказывали в тематической статье.

 

Скрыть от посторонних свою версию WordPress, название темы и другие параметры

Если на данный момент третьи лица могут беспрепятственно ознакомить параметрами вашего сайта (ядро, тема, плагины и т.д.), то рано или поздно эта информация сыграет против вас. Ведь злоумышленникам будет легче подобрать ключи для проникновения на сайт. И вам понадобится настройка безопасности WordPress. В плагине Clearfy есть специальные функции для скрытия технических параметров сайта в разделе «Hide my WP». Подробнее о данной возможности мы говорили в материале по безопасности wordpress.

 

Грамотная эксплуатация плагинов и тем

Разумеется, игнорировать плагины и темы с хорошим функционалом не стоит. Большая часть процессов, которые происходят на сайте, происходят благодаря им. Достаточно придерживаться некоторых советов для безопасной работы. Как например, скачивать темы и плагины с надежных ресурсов, регулярно и обновлять и удалить приложения, которые не используются.

Настройка прав доступа к системным файлам сайта

Если эти права выставлены некорректно, то третьи лица смогут получить доступ к файлам. Вот, как они должны выглядеть в идеале:

  • 600 для wp-config.php.
  • 644 либо 640, абсолютно для всех файлов;
  • 755 либо 750, для всего количества папок;

 

Деактивировать редактор плагинов и тем

Благодаря WP-редактору пользователи со специальными правами доступа могут редактировать файлы не выходя из админки. Это одновременно и хорошо, и плохо. Объясняем: если даже случайно вы что-то испортите, могут начаться неполадки в работе сайта. И вот это как раз “плохо”, которое перевешивает все аргументы “за” использование функции. Так что лучше для этого использовать FTP-соединение. В файл wp-config.php внесите код:

define( 'DISALLOW_FILE_EDIT', true );

 

Деактивировать PHP-отчеты

В случае возникновения ошибки плагина либо темы, у вас появится сообщение, в котором присутствуют данные о директориях, а так же системных файлах. При случае, этой информацией воспользуются злоумышленники. Отключаем, как обычно в конфигурационном файле и вставляем код:

error_reporting(0); @ini_set('display_errors', 0);

 

Заключение

В интернете, как и в жизни никто не даст стопроцентной гарантии безопасности. Однако настройка безопасности wordpress при системном подходе и применение указанных выше советов может минимизировать риски и подарить вам спокойствие.