Как защитить WordPress от вторжений: ваш контрольный список, который необходимо прочитать

Ботнеты по всему миру переключили свое внимание с рассылки спам-писем на систематический взлом установок WordPress; Это прибыльный бизнес, учитывая, что WordPress поддерживает 40% всех блогов. Особенно учитывая, что даже мы стали жертвами этого, пришло время написать исчерпывающую статью о том, как именно защитить вашу установку WordPress.

Примечание: этот совет относится только к WordPress устанавливает самостоятельно. Если вы пользуетесь WordPress.com, вам, как правило, не нужно заботиться о безопасности, потому что они сами справляются с этим. В чем разница между WordPress.com и WordPress.org?

Установите Google двухступенчатый аутентификатор

Если у вас уже включена двухэтапная аутентификация для вашей учетной записи Gmail или других служб, вы можете использовать то же приложение для аутентификации с этим плагином для WordPress.

К счастью, вы можете ограничить использование двухэтапной аутентификации только для учетных записей верхнего уровня, поэтому вам не нужно раздражать всех своих пользователей.

Блокировка входа

Старый плагин, но все еще работает как задумано; Блокировка входа в систему проверяет IP-адрес попыток входа в систему и блокирует диапазон IP-адресов на час, если он не проходит 3 раза в течение 5 минут. Просто, эффективно.

Регулярно делайте резервные копии

Хакеры не просто изменят один файл, но разместят собственную панель управления где-нибудь скрытую и другие скрытые бэкдоры — так что даже если вы исправите первоначальный взлом, они вернутся и сделают все снова. Делайте ежедневные или еженедельные резервные копии, чтобы вы могли легко восстановить их до того уровня, когда хакера не было видно — и обязательно исправьте все, что они сделали, чтобы получить доступ. Лично я только что вложил в лицензию Backup Buddy разработчика стоимостью 150 долларов — это самое простое и полное решение для резервного копирования, которое я нашел.

Запрет индексирования папок

Проверьте корневой каталог вашей установки WordPress на наличие файла .htaccess (обратите внимание на точку в начале — вам может потребоваться показать невидимые файлы, чтобы просмотреть это), и убедитесь, что в нем есть следующая строка. Если нет, добавьте его — но сначала сделайте резервную копию, так как этот файл довольно важен.

Options All -Indexes

Оставаться в курсе

Не делайте ту же ошибку, что и мы: всегда обновляйте WordPress, как только доступно обновление. Иногда обновления содержат незначительные исправления ошибок, а не исправления безопасности, но входят в привычку, и у вас не будет проблем. Если у вас более одной установки WordPress и вы не можете отследить их все, проверьте ManageWp.com, панель инструментов премиум-класса для всех ваших блогов, которая включает сканирование безопасности.

Не только основные файлы WordPress, но и плагины: один из крупнейших взломов WordPress в прошлом включал уязвимость в общем скрипте генератора миниатюр под названием timthumb.php, и до сих пор существуют темы, использующие старую версию. Хотя плагины были быстро обновлены, поддерживать актуальность тем сложнее, конечно — WordPress не скажет вам, уязвима ли ваша тема, и для этого вы будете использовать какой-нибудь плагин для сканирования безопасности — прокрутите вниз до Плагины безопасности раздел ниже для некоторых предложений.

Никогда не скачивайте случайные темы

Если вы не знаете, что делаете с PHP-кодом, очень легко попасть в ловушку загрузки прекрасной случайной темы откуда-то, только чтобы обнаружить, что там есть какой-то неприятный код — чаще всего обратные ссылки, которые вы не можете удалить, но хуже можно найти. Придерживайтесь премиум и известных дизайнеров тем (таких как Smashing Magazine или WPShower), или для бесплатных тем используйте только каталог тем WordPress.

Удалить неиспользуемые плагины и темы

Чем меньше исполняемого кода у вас на сервере, тем лучше — исключите возможность наличия старого, уязвимого кода, удалив темы и плагины, которые вы больше не используете. Отключение их просто остановит загрузку их функциональности с помощью WordPress, но сам код может все еще выполняться хакером.

Удалите контрольную мету в заголовке

По умолчанию WordPress транслирует свою версию миру в коде вашего заголовочного файла — простой способ для хакеров идентифицировать более старые установки. Добавьте следующие строки к вашей теме functions.php файл для удаления версии WordPress, информации Windows Live Writer и строки, которая помогает удаленным клиентам найти ваш файл XML-RPC.

remove_action( 'wp_head', 'wp_generator' ) ;
remove_action( 'wp_head', 'wlwmanifest_link' ) ;
remove_action( 'wp_head', 'rsd_link' ) ;

Удалить учетную запись «admin»

Большинство грубых атак на WordPress включают в себя многократные попытки админ account — по умолчанию для всех установок WordPress — и словарь общих паролей. Если вы либо авторизуетесь с учетной записью администратора, либо у вас есть учетная запись администратора в таблице пользователей, вы уязвимы для этого.

Есть два способа исправить это: либо использовать плагин wp-optimize — отличный плагин, который, помимо прочего, позволяет отключать пост-ревизии и выполнять оптимизацию базы данных — чтобы переименовать учетную запись администратора. Или просто создайте другую учетную запись с правами администратора, войдите в систему как новый пользователь, затем удалите учетную запись «admin», назначив все сообщения новому пользователю.

Безопасные пароли

Даже если вы отключили учетную запись администратора, возможно, будет возможно идентифицировать имя пользователя вашей учетной записи администратора — в этот момент вы снова уязвимы для атаки методом перебора. Принять строгую политику паролей из 16 или более случайных символов, состоящих из прописных и строчных букв, знаков препинания и цифр.

Или просто используйте метод действительно LongSentenceThatsEasyToRememberMethod.

Отключить редактирование файлов в WordPress

Для тех, кто не хочет входить через FTP, WordPress включает в панель администратора легкий редактор тем и плагинов PHP-файлов, но это делает вашу установку уязвимой, если кто-то получит доступ. Фактически, именно так кому-то удалось внедрить перенаправление вредоносных программ в наш заголовок. Добавьте следующую строку в нижней части вашего WP-config.php (в корневой папке), чтобы отключить все функции редактирования файлов — и использовать SFTP

для входа на ваш сервер вместо.

define( 'DISALLOW_FILE_EDIT', true );

Скрыть ошибки входа

Неправильный пароль или неправильное имя пользователя могут быть идентифицированы по ошибкам, указанным при входе в систему, которые могут быть использованы для идентификации учетных записей для перебора. Очевидно, это нехорошо, поэтому исправьте ошибки с помощью этого дополнения к вашей теме. functions.php файл

function no_errors_please(){
return 'Nope';
}
add_filter( 'login_errors', 'no_errors_please' );

Активировать Cloudflare

Обладая не только ускорением вашего сайта, CloudFlare предотвращает даже попадание в ваш блог многих известных ботнетов и сканеров. Читать все о CloudFlare

Вот. Установка выполняется одним щелчком мыши, если вы находитесь в MediaTemple, в противном случае вам потребуется доступ к панели управления доменом для изменения серверов имен.

Плагины безопасности

• Better WP Security реализует многие из этих исправлений для вас и является наиболее полным бесплатным решением.
• WordFence — это премиум-пакет, который активно сканирует ваши файлы на наличие вредоносных ссылок, перенаправлений, известных уязвимостей и т. Д. И исправляет их. Цена начинается с $ 18 / год за 1 сайт.
• Решение для безопасности входа в систему ограничивает попытки входа в систему и обеспечивает безопасные пароли.
• BulletProof security — это комплексный, но сложный плагин, который имеет дело с некоторыми более техническими аспектами, такими как внедрение XSS и проблемы .htaccess. Также доступна версия Pro плагина, которая автоматизирует большую часть процесса.

Я думаю, вы согласитесь, что это довольно полный список шагов по укреплению WordPress, но я не предлагаю вам реализовать все из них. Если бы мне пришлось делать все это для каждого сайта, который я когда-либо настраивал, я бы все равно настраивал их сейчас. Запуск любой системы создает риск, и в конечном итоге вам необходимо найти баланс между уровнем безопасности, который вы хотите, и усилиями, которые вы хотите приложить для его обеспечения — ничто никогда не будет на 100% безопасным. Низко висящие фрукты здесь:

• Поддержание WordPress в актуальном состоянии
• Отключение учетной записи администратора
• Добавление двухэтапной аутентификации
• Установка плагина безопасности

Если вы будете делать это самостоятельно, то вы будете выше 99% всех других блогов, что достаточно, чтобы потенциальные хакеры могли перейти к более легким целям.

Думаешь, я что-то пропустил? Ответь мне в комментариях.