WordPress стал очень популярной платформой в наши дни (около 8.5% всех веб сайтов работают под управлением WordPress!). Так как данная система имеет открытый исходный код, то любой желающий может исследовать внутренне строение системы и экспериментировать с методами взлома. Более миллиона сайтов WordPress было взломано за прошедший год. Но с помощью небольших усилий вы можете защитить ваш сайт под управлением WordPress и усилить его безопасность.
1. Не используйте имя ‘admin’
Начиная с версии 3.0 WordPress имеет опцию, которая позволяет изменять имя администратора. Те, кто пытаются получить доступ к панели инструментов администратора непременно начнут с имени ‘admin’. Если вы измените его, то потенциальным взломщикам придется подбирать не только пароль, но и имя администратора.
Если вы используете более ранние версии WordPress (что не желательно), то можно изменить имя администратора непосредственно в базе данных. Открывайте ваш phpMyAdmin и выполняйте запрос:
UPDATE wp_users SET user_login = 'новое_имя_администратора' WHERE user_login = 'admin';
2. Установите плагин Login LockDown
Потенциальный взломщик попытается вскрыть комбинацию имя пользователя/пароль или провести словарную атаку экрана входа в систему вашего сайта. Плагин Login LockDown поможет предотвратить попытки взлома.
Плагин Login LockDown записывает IP адрес и время всех неудавшихся попыток входа. Если за короткий период времени будет обнаружено определенное количество попыток из одного диапазона IP адресов, то функция входа в систему будет заблокирована для всех запросов из данного диапазона. Таким методом можно существенно усложнить жизнь взломщику.
По умолчанию плагин блокирует на 1 час блок IP адресов после 3 неудачных попыток входа в течении 5 минут. Установки можно изменить через панель настройки. Также администратор системы в ручную может снять блокировку.
Плагин Login LockDown можно скачать здесь.
3. Установите плагин Secure WordPress
На сайте под управлением WordPress есть много мест, которые могут сообщить взломщику номер версии системы и другую потенциально опасную информацию.
Secure WordPress усиливает безопасность вашего WordPress сайта удаляя информацию об ошибках со страницы входа в систему, добавляя файл index.html в папки плагинов, скрывая номер версии системы и много другое:
- Удаляет информацию об ошибках со страницы входа в систему.
- Добавляет index.php в папку плагинов (виртуально)
- Удаляет информацию о номере версии WordPress.
- Удаляет Really Simple Discovery
- Удаляет Windows Live Writer
- Удаляет информацию об обновлении ядра для пользователей, кроме администратора.
- Удаляет информацию об обновлении плагинов для пользователей, кроме администратора.
- Удаляет информацию об обновлении темы для пользователей, кроме администратора.
- Скрывает номере версии WordPress в панели инструментов для пользователей, кроме администратора.
- Удаляет номер версии из URL скриптов и стилей.
- Блокирует запросы, которые могут нанести вред сайту.
Вы можете загрузить Secure WordPress here.
4. Переместите файл wp-config.php
В файле wp-config.php имеется информация о параметрах соединения с базой данных и другие важные сведения, которые нужно хранить с особенной тщательностью. Начиная с версии WordPress 2.6 вы можете легко переместить данный файл из корневого каталога в другой. WordPress будет автоматически искать данный файл, если не сможет прочесть его в корневом каталоге.
Таким образом, только пользователь с FTP или SSH доступом сможет прочитать данный файл.
5. Измените префикс базы данных
По умолчанию таблицы WordPress используют префикс wp_. Так как система имеет открытый исходный код, то если вы оставите префикс без изменений, любой желающий будет знать точные имена таблиц вашей базы данных.
Вы можете изменить префикс таблиц баз данных в процессе установки. Для изменения префикса на уже работающей системе надо воспользоваться плагином WP Secure Scan.
6. Измените ключи безопасности
Если вы откроете файл wp-config.php вашей системы, то сможете найти 4 ключа безопасности:
define('AUTH_KEY', ''); define('SECURE_AUTH_KEY', ''); define('LOGGED_IN_KEY', ''); define('NONCE_KEY', '');
Очень многие, даже опытные, пользователи оставляют данные ключи без изменений. Ключи безопасности используются при хэшировании паролей, чтобы усилить их.
Просто посетите страницу https://api.wordpress.org/secret-key/1.1 и скопируйте 4 сгенерированных ключа в файл wp-config.php вашей системы.
7. Обновляйте систему
Всегда обновляйте систему до последней версии, так как она имеет более высокий уровень безопасности. Также обязательно следите за обновлениями плагинов и тем.
Обновление системы, плагинов и тем осуществляет очень просто из панели администратора.
8. Защитите папку wp-admin
Плагин AskApache Password Protect добавляет серьёзную защиту для папок wp-admin, wp-includes, wp-content, plugins, и так далее.
9. Используйте более сильные пароли
Самый простейший метод по усилению защиты вашей системы WordPress. Но очень многие пользователи используют слабые пароли, которые легко взламываются.
Существует много рекомендаций в Интернет по усилению паролей.
10. Регулярно делайте резервные копии ваших данных
Данный совет косвенно касается безопасности. если кто-нибудь взломает ваш сайт, а у вас не будет резервной копии, то восстановить систему будет достаточно сложно.
Регулярное резервное копирование просто необходимо. Большой список плагинов WordPress для резервного копирования доступен здесь.
11. Прочие рекомендации
Несколько общих советов:
- Удаляйте незадействованных пользователей из системы.
- Удаляйте неиспользуемые темы.
- Удаляйте неиспользуемые плагины.