WordPress – одна из самых популярных систем управления контентом, и на то есть веские причины. Он прост в использовании, для него доступны тысячи тем и плагинов, и вы можете создать любой тип веб-сайта с ним. Неудивительно, что WordPress поддерживает 35,1% всех сайтов в интернете.


Но его популярность приходит с ценой. WordPress часто является целью хакеров. В соответствии с Sucuri, в 2018 году 90% всех запросов на очистку веб-сайта принадлежали WordPress, что на 7% больше, чем в 2017 году.

Отчет о тенденциях взлома сайта 2018 - Sucuri

Таким образом, защита вашего веб-сайта WordPress должна быть на вершине вашего списка, независимо от того, есть ли у вас личное портфолио, бизнес-сайт или интернет-магазин..

Когда речь заходит о безопасности WordPress, пользователи обычно попадают в два лагеря: те, кто серьезно относится к безопасности и принимают меры предосторожности, и те, кто верит или надеется, что этого никогда не случится, потому что их сайт недостаточно важен..

Чтобы лучше понять серьезность проблем безопасности, связанных с веб-сайтами, обязательно посетите Интернет Статистика иногда. Там вы можете увидеть точное количество веб-сайтов, взломанных каждый день, и даже наблюдать их рост в режиме реального времени..

Сайт взломан в режиме реального времени

Contents

22 шага, чтобы защитить ваш сайт WordPress

Чтобы ваш сайт не стал одним из сайтов в Интернете Live Stats, следуйте приведенным ниже советам и защитите свой веб-сайт WordPress..

1. Выберите хостинговую компанию с функциями безопасности

Первым шагом к защите вашего сайта WordPress является инвестирование в хостинговую компанию, которая реализует надлежащие функции безопасности. Это включает в себя поддержку последних версий PHP, MySQL и Apache, а также брандмауэр и мониторинг безопасности 24/7.

Если возможно, выберите хостинговую компанию, которая выполняет ежедневное резервное копирование и регулярное сканирование вредоносных программ. Вы даже можете найти хостинговые компании, которые используют различные меры профилактики DDOS.

Ваша хостинговая компания, как правило, является первым настенным хакером, которому нужно прорваться, чтобы получить доступ к вашему сайту, поэтому инвестирование более заранее и покупка более дорогого плана хостинга, безусловно, окупятся. Мы рекомендуем Выбор управляемого хостинга WordPress.

2. Используйте надежные пароли

Убедитесь, что пароли для вашего сайта WordPress, а также для вашей учетной записи хостинга защищены. Используйте сочетание прописных и строчных букв, цифр и символов, чтобы придумать надежный пароль. Вы также можете использовать менеджер паролей, например LastPass, для генерации и хранения безопасных паролей для вас..

3. Отказ от прав администратора

WordPress раньше использовал имя пользователя по умолчанию как admin, и большинство пользователей никогда не пытались изменить его. В результате администратор, как правило, первый пользователь, который попытается взломать имя пользователя при запуске атаки методом грубой силы..

Таким образом, вы никогда не должны использовать имя администратора для вашего сайта WordPress. Если вы недавно установили свой веб-сайт WordPress, скорее всего, вам пришлось установить собственное имя пользователя. Но если вы являетесь давним пользователем WordPress, вы все равно можете использовать имя администратора.

Если это так, создайте новое имя администратора для вашего сайта, перейдя в Пользователи> Добавить новый и выбрав надежное имя пользователя и пароль. Установите роль администратора и затем нажмите Добавить нового пользователя кнопка.

Создание учетной записи администратора

Затем вы войдете в систему с этими новыми учетными данными и удалите своего старого администратора. Не забудьте назначить весь свой контент новому администратору перед удалением старого.

4. Используйте аккаунт участника или редактора для публикации на своем сайте.

Если вы хотите продвинуть вышеупомянутый совет на шаг вперед, рассмотрите возможность создания аккаунта участника или редактора для добавления новых постов и статей на ваш сайт. Это сделает хакерам труднее нанести ущерб вашему сайту, так как участники и редакторы обычно не имеют прав администратора..

Создание учетной записи редактора

5. Используйте плагин резервного копирования

Если вы еще не создаете резервную копию своего веб-сайта, вам нужно начать прямо сейчас. Система резервного копирования поможет вам восстановить ваш сайт, если произойдет худшее и ваш сайт будет взломан.

Используйте плагин, такой как UpdraftPlus, чтобы создать регулярное расписание резервного копирования для вашего веб-сайта, и не забывайте хранить файлы резервных копий вне сайта, чтобы гарантировать, что эти файлы также не будут заражены.

6. Защищайте область администратора

Когда дело доходит до усиления зоны администратора, вам нужно изменить URL-адрес администратора по умолчанию и ограничить количество неудачных попыток входа в систему, прежде чем пользователь будет заблокирован на вашем сайте..

По умолчанию URL администратора для вашего сайта будет выглядеть так: yourdomain.com/wp-admin. Хакеры знают это и будут пытаться получить доступ к этому URL напрямую, чтобы они могли получить доступ к вашему сайту.

Вы можете изменить этот URL с помощью плагина как WPS Скрыть логин.

WPS Скрыть логин

Что касается ограничения количества неудачных попыток входа в систему, вы можете использовать Плагин блокировки входа.

Логин LockDown

7. Держите файлы в актуальном состоянии

Как мы уже упоминали ранее, устаревшие файлы представляют угрозу безопасности, поскольку делают ваш сайт уязвимым для других эксплойтов. Вот почему вы должны установить обновления, как только они будут выпущены.

Пока вы это делаете, не забывайте регулярно просматривать установленные плагины, а также деактивировать и удалять плагины, которые вы больше не используете..

8. Защитите свой компьютер

Вам может быть интересно, какое отношение ваш компьютер имеет к вашему веб-сайту. Если ваш компьютер заражен вирусом и вы заходите на свой сайт или загружаете на него файлы, эти зараженные файлы могут также заразить ваш сайт. Короче говоря, вы хотите убедиться, что:

  • Не используйте общедоступные сети Wi-Fi для доступа к вашему сайту.
  • Установите антивирусное программное обеспечение и убедитесь, что оно обновлено

9. Измените префикс вашей базы данных

Еще один факт, хорошо известный хакерам WordPress, заключается в том, что префикс вашей базы данных имеет значение wp. Этот факт позволяет им легко угадать префикс таблицы и использовать автоматические SQL-инъекции для получения доступа к вашему сайту..

Изменение префикса базы данных – это ручной процесс, который включает редактирование вашего WP-config.php файл и изменение имен таблиц с помощью phpMyAdmin. Перед внесением изменений обязательно сделайте резервную копию своего сайта в качестве превентивной меры.

Редактирование wp-config

Вам нужно будет войти в свою учетную запись хостинга и получить доступ к вашей cPanel или любой другой панели управления, которую использует ваш хост. Затем откройте диспетчер файлов и найдите свой WP-config.php файл в каталоге WordPress.

Найдите строку префикса таблицы, которая выглядит следующим образом: $ table_prefix затем следует знак = и сам префикс таблицы. Замените строку по умолчанию своим собственным префиксом, используя комбинацию цифр, подчеркиваний и букв следующим образом:

$ table_prefix = ‘hgwp_3456_’;

Как только вы закончите редактирование WP-config.php файл, выйдите из Файлового менеджера и получите доступ к phpMyAdmin, чтобы вы могли изменить все имена таблиц. Делать это вручную может быть утомительно, так как всего вам нужно отредактировать 11 таблиц. Вместо этого вы можете ввести запрос SQL, перейдя на вкладку SQL

запуск SQL-запроса

Затем введите это:

Переименовать таблицу `wp_commentmeta` в` hgwp_3456_commentmeta`;

Переименовать таблицу `wp_comments` в` hgwp_3456_comments`;

Переименовать таблицу `wp_links` TO` hgwp_3456_links`;

Переименовать таблицу `wp_options` в` hgwp_3456_options`;

Переименовать таблицу `wp_postmeta` в` hgwp_3456_postmeta`;

Переименовать таблицу `wp_posts` в` hgwp_3456_posts`;

Переименовать таблицу `wp_terms` в` hgwp_3456_terms`;

Переименовать таблицу `wp_termmeta` в` wp_a123456_termmeta`;

RENAME таблица `wp_term_relationships` TO` hgwp_3456_term_relationships`;

RENAME table `wp_term_taxonomy` TO` hgwp_3456_term_taxonomy`;

Переименовать таблицу `wp_usermeta` в` hgwp_3456_usermeta`;

Переименовать таблицу `wp_users` в` hgwp_3456_users`;

Хотя приведенный выше запрос должен повсеместно изменять префикс базы данных, рекомендуется выполнить другой запрос, чтобы убедиться, что все остальные файлы, использующие старый префикс базы данных, обновлены:

SELECT * FROM `hgwp_3456_options` WHERE` option_name` LIKE '% wp_%'

Вы также захотите выполнить поиск пользователя и заменить все оставшиеся старые префиксы новыми:

SELECT * FROM `hgwp_3456_usermeta` WHERE` meta_key` LIKE '% wp_%'

10. Защитите ваши файлы .htaccess и wp-config.php

.htaccess и WP-config.php являются наиболее важными файлами в вашей установке WordPress. Таким образом, вы должны убедиться, что они безопасны и защищены.

Просто добавьте приведенные ниже коды в ваш файл .htaccess за пределами тегов # BEGIN WordPress и # END WordPress, чтобы изменения не перезаписывались при каждом новом обновлении..

заказ разрешить, отказать

отрицать все





заказ разрешить, отказать

отрицать все





приказ отказать, разрешить

Отрицать все

# разрешить доступ с моего IP-адреса

разрешить с 192.168.1.1

Приведенные выше фрагменты защитят ваши wp-config и .htaccess, а также ограничат доступ к сор-login.php экран.

Наконец, добавьте фрагмент ниже, чтобы предотвратить выполнение файла PHP:

отрицать все

11. Проверьте и измените права доступа к файлам.

Когда вы закончили защищать .Htaccess а также WP-config.php файл, подождите немного дольше в вашей cPanel и проверьте права доступа к файлам и папкам на вашем сайте WordPress.

Файловые права

Согласно Кодекс WordPress, разрешения должны быть установлены следующим образом:

  • Все каталоги должны быть 755 или 750
  • Все файлы должны быть 644 или 640
  • wp-config.php должен быть 600

Если ваши настройки отличаются, хакеры могут легко прочитать содержимое, а также изменить содержимое файлов и папок, что может привести к взлому вашего сайта, а также к взлому других сайтов на том же сервере..

12. Используйте двухфакторную аутентификацию

Рассмотрите возможность использования плагина как Google Authenticator настроить двухфакторную аутентификацию для вашего сайта. Это означает, что помимо ввода пароля вам также потребуется ввести код, созданный мобильным приложением, для входа на ваш сайт. Это может остановить атаки методом “грубой силы”, поэтому лучше настроить его сейчас.

Google Authenticator

13. Отключить XML-RPC

XML-RPC позволяет вашему сайту устанавливать соединение с мобильными приложениями и плагинами WordPress, такими как Jetpack. К сожалению, это также фаворит хакеров WordPress, потому что они могут использовать этот протокол для одновременного выполнения нескольких команд и получения доступа к вашему сайту. Используйте плагин как Отключить плагин XML-RPC отключить эту функцию.

Отключить XML-RPC

14. Используйте HTTPS и SSL

В Интернете уже давно гудят сообщения в блогах и статьи о важности протокола HTTPS и о добавлении сертификатов безопасности SSL на ваш сайт..

HTTPS означает «Защищенный протокол передачи гипертекста», а SSL – «Защищенные сокеты». Короче говоря, HTTPS позволяет браузеру посетителя установить безопасное соединение с вашим хост-сервером (и, следовательно, с вашим сайтом). Протокол HTTPS защищен через SSL. HTTPS и SSL вместе обеспечивают шифрование всей информации между браузером посетителей и вашим сайтом..

Использование обоих на вашем сайте не только повысит безопасность вашего сайта, но также повысит ваш рейтинг в поисковой системе, укрепит доверие ваших посетителей и улучшить коэффициент конверсии.

Поговорите с вашим хостинг-провайдером и спросите о возможности получения SSL-сертификата или направьте вас в направлении уважаемой компании, где вы можете купить ее..

15. Отключите редактирование тем и плагинов через панель управления WordPress.

Возможность редактировать свою тему и файлы плагинов прямо на панели инструментов WordPress удобна, когда вам нужно быстро добавить строку кода. Но это также означает, что любой, кто входит на ваш сайт, может получить доступ к этим файлам..

Отключите эту функцию, добавив следующий код в WP-config.php файл:

// Запретить редактирование файла

define ('DISALLOW_FILE_EDIT', true);

16. Переместите файл wp-config.php в каталог, отличный от WWW.

Как упоминалось ранее, WP-config.php Файл является одним из наиболее важных файлов в вашей установке WordPress. Затруднить доступ, переместив его из корневого каталога в каталог, не доступный для www.

  1. Для начала скопируйте содержимое вашего WP-config.php файл в новый файл и сохраните его как wp-config.php.
  1. Возвращайся к своему старому WP-config.php файл и добавьте строку кода ниже:

К счастью, это легко исправить. Вы можете удалить номер версии WordPress, отредактировав файл functions.php вашей темы и добавив следующее:

remove_action ('wp_head', 'wp_generator');

20. Используйте заголовки безопасности

Еще один способ защитить ваш сайт WordPress – внедрить заголовки безопасности. Обычно они устанавливаются на уровне сервера, чтобы предотвратить хакерские атаки и уменьшить количество уязвимостей в системе безопасности. Вы можете добавить их самостоятельно, изменив тему functions.php файл.

Заголовки безопасности

Кросс-скриптовые атаки

Добавьте следующий код в белый список разрешенного содержимого, сценария, стилей и других источников содержимого:

заголовок ('Content-Security-Policy: default-src https:');

Это не позволит браузеру загружать вредоносные файлы..

Iframe clickjacking

Добавьте строку ниже, чтобы браузер не отображал страницу во фрейме: заголовок («X-Frame-Options: SAMEORIGIN»);

X-XSS-Protection и X-Content-Type-Options

Добавьте следующие строки, чтобы предотвратить атаки XSS, и скажите Internet Explorer, чтобы они не перехватывали MIME-типы.

заголовок ('X-XSS-Protection: 1; mode = block');

заголовок ('X-Content-Type-Options: nosniff');

Применять HTTPS

Добавьте приведенный ниже код, чтобы настроить браузер на использование только HTTPS:

заголовок ('Strict-Transport-Security: max-age = 31536000; includeSubdomains; preload');

Cookie с флагом HTTPOnly и Secure в WordPress 

Скажите браузеру, что нужно доверять только куки-файлу, установленному сервером, и что куки-файлы доступны по каналам SSL, добавив следующее:

@ini_set ('session.cookie_httponly', правда);

@ini_set ('session.cookie_secure', true);

@ini_set ('session.use_only_cookies', true);

Если вы не хотите добавлять эти заголовки вручную, рассмотрите возможность использования такого плагина, как Заголовки безопасности. Независимо от того, какой метод вы выберете для реализации заголовков безопасности, обязательно протестируйте их, используя https://securityheaders.io веб-сайт и ввод URL вашего сайта.

21. Предотвратить Hotlinking

Горячая ссылка сама по себе не является нарушением безопасности, но, учитывая, что она ссылается на другой веб-сайт, использующий URL-адрес вашего сайта для прямой ссылки на изображение или другой медиафайл, она считается кражей. Таким образом, хотлинкинг может привести к неожиданным затратам не только потому, что вам придется иметь дело с юридическими последствиями, но также и потому, что ваш счет за хостинг может пройти через крышу, если сайт, который украл ваше изображение, получает много трафика.

Добавьте приведенный ниже код в свой файл .htaccess, если вы используете сервер Apache, и замените фиктивный домен своим реальным доменным именем:

ПереписатьEngine на

RewriteCond% {HTTP_REFERER}! ^ Http (s)?: // (www \.)? Domain.com [NC]

RewriteRule \. (Jpg | jpeg | png | gif) $ - [NC, F, L]

Кроме того, если вы используете серверы NGINX, вы можете изменить свой конфигурационный файл следующим образом:

местоположение ~. (gif | png | jpe? g) $ {

valid_referers нет заблокированных ~ .google. ~ .Bing. ~ .yahoo yourdomain.com * .yourdomain.com;

if ($ invalid_referer) {

возврат 403;

}

}

22. Выйдите из режима ожидания

Последний совет в этом руководстве по повышению безопасности вашего сайта – выход из режима простоя пользователей после определенного периода бездействия. Вы можете использовать плагин, как Неактивный выход автоматически завершать неактивные сеансы.

Неактивный выход

Это необходимо, потому что если вы войдете на свой веб-сайт, чтобы добавить новую запись в блоге, и вас отвлекло другое задание, ваш сеанс может быть взломан, а хакеры могут злоупотребить ситуацией, чтобы заразить ваш сайт. Еще более важно прекратить неактивные сеансы, если у вас есть несколько пользователей на вашем сайте.

Как оправиться от взлома

Меры безопасности, описанные выше, являются отличным способом защитить ваш сайт. Но что, если ваш сайт все равно взломают? Вот несколько шагов, которые нужно предпринять в случае взлома вашего сайта..

1. Подтвердите взлом и смените пароль

Если ваш сайт был взломан, не паникуйте. Это не поможет вам, и дело сделано, поэтому важно действовать быстро. Начните с проверки вашего сайта и посмотрите, сможете ли вы войти в свою панель управления. Проверьте, перенаправляет ли ваш сайт на другой сайт, нет ли подозрительных или странных ссылок или рекламы..

Немедленно измените свой пароль и затем перейдите к следующему шагу.

2. Свяжитесь со своей хостинговой компанией

Свяжитесь с вашим хостом и дайте им знать, что ваш сайт был взломан. Они могут помочь вам определить источник взлома. Некоторые хосты также будут очищать ваш сайт и удалять вредоносный код и файлы..

Используйте резервную копию для восстановления вашего сайта

Если вы усердно работали над резервным копированием своего сайта, найдите резервную копию до взлома и используйте ее для восстановления своего сайта. Несмотря на то, что вы можете потерять часть контента, вы сможете запустить свой сайт так, как он был до атаки.

3. Сканирование вашего сайта на наличие вредоносных программ

Используйте бесплатный сканер Sucuri для сканирования вашего сайта на наличие вредоносных программ и выявления скомпрометированных файлов. Вы также можете выбрать службу очистки сайта, если не знаете, как самостоятельно удалить вредоносное ПО..

4. Проверьте пользователей вашего сайта

Войдите на свой сайт WordPress и перейдите в Пользователи> Все пользователи. Убедитесь, что нет пользователей, которых там быть не должно, и удалите их при необходимости..

5. Измените свои секретные ключи

Используйте вышеупомянутый WordPress Salts Key Generator для генерации новых ключей безопасности и добавления их в файл wp-config.php. Поскольку эти ключи шифруют ваш пароль, хакеры будут оставаться в системе до тех пор, пока их куки не будут признаны недействительными. Новые ключи безопасности сделают именно это и вынудят хакера покинуть ваш сайт.

6. Наймите профессионала

Наконец, нанять профессионала, чтобы убрать взломать и удалить вредоносные программы с вашего сайта. Имейте в виду, что хакеры могут скрывать вредоносный код в нескольких файлах, поэтому, если у вас нет опыта удаления вредоносных программ, легко пропустить зараженный файл. Это позволяет хакерам снова взломать ваш сайт, поэтому настоятельно рекомендуется нанять профессионала..

7 самых распространенных типов уязвимостей WordPress

Прежде чем углубляться в эту статью, давайте обратимся к слону в комнате: безопасен ли WordPress? Ответ на этот вопрос – да. Ядро программного обеспечения WordPress защищено, и компания, стоящая за WordPress, серьезно относится к безопасности.

Их служба безопасности В его составе 50 экспертов, в том числе ведущие разработчики и исследователи безопасности, которые работают за кулисами, чтобы обеспечить безопасность WordPress..

Фактически, большинство инцидентов и угроз безопасности являются результатом человеческой ошибки в сочетании с наличием уязвимости безопасности..

Существует семь типов уязвимостей WordPress, о которых вам необходимо знать:

  • Устаревшие файлы WordPress
  • Бэкдор эксплойты
  • Фарма хаки
  • Слабые пароли
  • Вредоносные перенаправления
  • Уязвимости в платформе хостинга
  • Атаки отказа в обслуживании

Давайте рассмотрим их и объясним, что именно.

1. Устаревшие файлы WordPress

Устаревшие файлы WordPress относятся к версии WordPress, файлам тем и плагинов. Они представляют угрозу безопасности, потому что они оставляют ваш сайт подверженным другим уязвимостям, таким как бэкдор-эксплойты и хакерские атаки..

Таким образом, вы должны убедиться, что ваша версия WordPress обновлена, а также ваша тема и плагины. Вы должны активно применять обновления по мере их выпуска, потому что они не только поставляются с новыми функциями, но также включают различные исправления безопасности и исправления ошибок..

2. Бэкдор эксплойты

Когда дело доходит до бэкдор-эксплойтов, хакеры воспользуются устаревшими файлами WordPress, чтобы получить доступ к вашему сайту. Помимо устаревших файлов, они также могут получить доступ к вашему сайту через SFTP, FTP и т.п..

Получив доступ к вашему сайту, они могут заразить ваш сайт, а также могут заразить другие сайты, которые находятся на том же сервере, что и ваш сайт. Бэкдор-инъекции выглядят как обычные файлы WordPress для неопытного пользователя. Но за кулисами они используют ошибки в устаревших файлах, чтобы получить доступ к вашей базе данных и нанести ущерб как вашему сайту, так и тысячам других сайтов..

3. Фарма Хаки

Фармакологические хаки – это эксплойты уязвимостей в устаревших файлах WordPress, когда хакер вставляет код в эти файлы. После того, как код вставлен, поисковые системы отображают рекламу фармацевтических продуктов вместо вашего веб-сайта. Это может привести к тому, что поисковые системы отметят ваш сайт как спам.

4. Слабые пароли

Слабые пароли могут быть легко запоминаемы, но они также позволяют хакерам получить доступ к вашему сайту с помощью атаки методом перебора. Атака грубой силы происходит, когда хакер использует автоматические сценарии, которые выполняются в фоновом режиме, чтобы попытаться использовать различные комбинации имени пользователя и пароля, пока не найдет рабочую комбинацию..

5. Вредоносные перенаправления

Аналогично использованию устаревших файлов и протокола FTP или SFTP для внедрения кода, который приводит к хакерской атаке или бэкдору, хакеры будут использовать файл .htaccess в вашей установке WordPress для перенаправления посетителей на вредоносный веб-сайт..

Затем ваши посетители могут получить вирус или стать жертвой фишинга..

6. Уязвимости в платформе хостинга

Иногда безопасность вашего сайта может быть скомпрометирована, потому что вы используете хостинговую компанию, у которой нет таких функций безопасности, как брандмауэр или мониторинг файлов. Обычно это происходит с более дешевыми хостинг-провайдерами, а это означает, что выбор более дешевого хостинга, как ни странно, обойдется вам дороже, если ваш сайт взломан.

Имейте в виду, что более дешевые хостинговые платформы также представляют более высокий риск для безопасности, поскольку ваш сайт может быть заражен или взломан в результате того, что хакеры используют уязвимости на другом веб-сайте, размещенном на том же сервере..

7. Отказ в обслуживании

Атаки типа «отказ в обслуживании» или DDOS-атаки являются одной из самых опасных угроз для любого владельца сайта. В DDOS-атаке хакер будет использовать ошибки и ошибки в коде, приводящие к переполнению памяти операционной системы вашего сайта. DDOS-атаки обычно приводят к сбою большого количества сайтов, использующих определенную платформу, такую ​​как WordPress..

Теперь, когда вы знаете, какие распространенные уязвимости связаны с WordPress, давайте перейдем к советам, рекомендациям и рекомендациям по безопасности, которые помогут вам обезопасить свой сайт WordPress..

Завершение

WordPress – это мощная и популярная CMS, которая позволяет любому легко создать сайт. Но поскольку он так популярен, он также любимая цель для хакеров. К счастью, есть ряд шагов, которые вы можете предпринять, чтобы защитить свой сайт WordPress, и если вы будете следовать советам, приведенным в этой статье, у вас будет хороший путь к созданию защищенного сайта WordPress..

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me