10 ключевых способов защитить стандартную установку WordPress

За более чем десятилетие WordPress превратился из молодой системы управления контентом в наиболее используемое онлайн-решение. Эта дурная слава, вообще говоря, хороша для всего сообщества и привела к созданию самой большой группы разработчиков для любой доступной в настоящее время системы управления контентом. CMS меняется, развивается и становится более продвинутой, в основном из-за своего размера, масштаба и влияния на онлайн-публикации.

Но именно из-за этих вещей WordPress становится регулярной целью злонамеренных попыток взлома и вторжений в частную жизнь. Хакеры обратили внимание на распространение CMS среди независимых веб-сайтов и крупных СМИ, и они используют ряд уязвимостей, которые позволяют им получить доступ к панели инструментов и даже к самой базе данных WordPress.

К счастью, пользователи WordPress — не просто «сидячие утки» во все более злонамеренной онлайн-среде. Есть ряд вещей, которые можно сделать, чтобы значительно повысить безопасность установки WordPress и предотвратить попытки хакеров завладеть содержимым веб-сайта, базой данных и общей надежностью.

1. Измените префикс базы данных WordPress

По умолчанию каждая установка WordPress помещает свои таблицы в базу данных MySQL с префиксом «wp_». Обычно это делается для того, чтобы сделать его более интуитивным, поскольку WordPress часто сокращается до «WP», и просто нет путаницы в отношении того, к какой CMS принадлежат эти таблицы.

Тем не менее, более гнусные пользователи Интернета знают, что WordPress по умолчанию размещает свой контент в таблицах с этим префиксом, и это один из первых способов взлома установки или возникновения проблем с базой данных программного обеспечения извне.

Сам префикс задается в файле wp-config.php до того, как произойдет процесс установки. В это время владельцы веб-сайтов WordPress должны прокрутить файл конфигурации и найти следующую строку:

 $table_prefix = 'wp_';

Эта строка должна быть изменена практически на что угодно, кроме префикса по умолчанию. Выбор чего-то вроде названия веб-сайта или имени главного администратора может стать отличным первым шагом в обеспечении безопасности установки и защите от злоумышленников со всего Интернета.

2. Скройте номер версии установки WordPress от общественности

Каждый шаблон WordPress поставляется с переменной, которая отображает основную информацию WordPress и позволяет постоянно изменять заголовок с помощью плагинов. Это переменная <?php wp_head() ?> , и она неизменно размещается между открывающим и закрывающим тегами <HEAD> файла header.php . Одной из основных функций, выполняемых этой переменной, является отображение номера версии текущей установки WordPress для публики.

На самом деле это используется командой разработчиков Automattic в аналитических целях, поскольку позволяет им видеть, какие номера версий используются чаще всего и есть ли большое количество нетекущих пользователей.

Это также позволяет хакерам просматривать номер версии установки WordPress и соответствующим образом планировать свою атаку. Поскольку уязвимости в системе безопасности WordPress, как правило, зависят от версии и исправляются в любых последующих версиях, а устаревшая установка, демонстрирующая номер версии, готова для атаки со стороны тех, кто хочет получить несанкционированный доступ к панели управления или базе данных.

Эту информацию можно и нужно удалить из переменной «wp_head»; это можно сделать, добавив следующую строку кода в файл functions.php текущей темы:

 remove_action('wp_header', 'wp_generator');

Сохраните этот файл и загрузите его на сервер, и никто никогда не узнает, является ли установка WordPress текущей, устаревшей или даже находится в стадии бета-тестирования. Ничто не будет рекламироваться публично.

3. Установите ограничение на количество неудачных попыток входа в систему.

Как правило, злоумышленники в Интернете получают доступ к панели инструментов WordPress с помощью атаки «грубой силы», которая быстро вводит десятки тысяч паролей. Эта атака использует словарные слова и общие числа, чтобы выяснить учетные данные пользователя. Без надлежащего блокирования этих повторяющихся попыток их действительно ничто не остановит.

Вот тут-то и появляется плагин Login LockDown. С помощью плагина пользователи WordPress могут установить ограничение на количество неудачных попыток входа в систему, прежде чем они будут фактически заблокированы на панели инструментов в течение часа. Эти неудачные попытки привязаны к IP-адресам, что делает этот плагин еще более эффективным.

4. Администраторы не должны называть себя «Админ»

При установке WordPress из встроенного установщика пользователь-администратор обычно по умолчанию называется « admin ». Злоумышленники в Интернете знают об этом, и это первое имя, которое они попытаются угадать, получив доступ к панели управления WordPress методом перебора.

При первой установке WordPress обязательно назовите пользователя-администратора как-то трудно угадать (возможно, псевдоним или что-то еще). Атака с подбором пароля эффективна только в том случае, если известно имя пользователя администратора. В противном случае получить доступ будет вдвойне невозможно.

5. Постоянно обновляйте WordPress и своевременно сообщайте об этом

Новая версия WordPress обычно выпускается каждые несколько недель или около того, с небольшими обновлениями и исправлениями безопасности, которые служат для защиты пользователей от хакеров, которые все чаще атакуют информационные панели и базы данных в Интернете.

Отсутствие обновлений WordPress по сути похоже на открытое приглашение хакеров войти, удалить некоторые сообщения и поставить под угрозу безопасность веб-сайта. Очень плохо отставать от этих обновлений, тем более что неизмененная тема даже будет отображать номер версии для любознательных умов.

Начиная с версии 3.0, WordPress позволяет автоматически обновлять панель управления одним щелчком мыши. На самом деле, Dashboard даже автоматически уведомляет пользователей об обновлениях и предлагает им обновиться довольно жирным, выдающимся текстом. Это следует сделать, как только будет доступно обновление; это не приведет к потере каких-либо файлов, плагинов, тем или настроек.

Вместо этого обновление WordPress будет служить только для включения любых новых функций и исправления уязвимостей безопасности, которые были обнаружены с тех пор, как последняя версия была разослана 60 миллионам пользователей программного обеспечения. Всегда оставайтесь в курсе, пытаясь отбиться от хакеров.

6. Скройте файл WP-Config.PHP практически от всех пользователей Интернета

Пользователи WordPress никогда не должны забывать о силе файла .htaccess , когда хотят скрыть файлы и защитить целостность своей панели управления WordPress и базы данных. Фактически, этот файл необходим для обеспечения долгосрочной безопасности WordPress несколькими способами. С помощью нескольких простых строк кода файл «.htaccess» может фактически полностью скрыть файлы от общедоступных пользователей Интернета, даже если для этого файла не установлены надлежащие права доступа к файлам.

Это решение для публичного отображения файла «wp-config.php», который содержит такие вещи, как ключи API и префикс базы данных, необходимые для компрометации установки.

Чтобы защитить этот файл от злонамеренных пользователей Интернета, просто добавьте следующие строки кода в файл «.htaccess», расположенный в корневой папке установки WordPress. Если такого файла нет, создайте его:

 <Файлы wp-config.php>
порядок разрешить, запретить
отрицать от всех
</файлы>

Поместив эту строку кода в файл, сохраните его и загрузите на сервер через FTP-клиент. Файл конфигурации для соответствующей установки WordPress теперь по существу исчезнет из поля зрения, и это может означать только хорошее для безопасности и душевного спокойствия.

7. И, говоря о правах доступа к файлам, проверьте их для обеспечения безопасности

WordPress не требует очень разрешительных правил для доступа к файлам и их модификации для правильной работы. Действительно, все настройки сайта и информация о содержимом записываются в базу данных, а не сохраняются в PHP-файлах на стороне сервера. По этой причине нет абсолютно никаких оснований для использования значения 777 CHMOD в любом файле WordPress. Напротив, это просто способ гарантировать, что хакеры имеют легкий доступ к параметрам конфигурации или другим файлам, которые могут поставить под угрозу установку.

Чтобы проверить разрешения и, возможно, исправить их для более безопасной установки, откройте FTP-клиент и перейдите в корневой каталог WordPress. Щелкните правой кнопкой мыши любой файл PHP и найдите пункт меню, относящийся к разрешениям. В появившемся окне найдите число, указывающее на доступность файла. Это точно не должно быть 777 . Во многих случаях рекомендуется использовать значение 744 CHMOD , которое ограничивает доступ и изменение файлов только корневым пользователем FTP сервера. При необходимости измените этот параметр, а затем сохраните его. Сервер будет обновляться соответственно.

8. Используйте файл .htaccess, чтобы скрыть файл .htaccess

Большинство людей не считают это возможным, но файл .htaccess действительно можно использовать, чтобы скрыть себя от общественности. Это уже в значительной степени достигается за счет использования имени файла, начинающегося с точки, но это не будет работать на компьютерах под управлением Windows. Эти машины должны найти файл недоступным, используя инструкции, содержащиеся в самом «.htaccess». Разрешения на самом деле очень похожи на метод, используемый для скрытия файла конфигурации PHP WordPress, как показано здесь:

 <Файлы .htaccess>
порядок разрешить, запретить
отрицать от всех
</файлы>

Опять же, как только эта строка будет помещена в файл, ее можно будет сохранить и загрузить на сервер. Теперь он будет невидим практически для всех, кто посещает сайт, кроме администратора root.

9. Понимание и использование возможностей пустого HTML-документа

Каждый, кто хочет получить доступ к скомпрометированной установке WordPress, знает, что программное обеспечение размещает свои плагины и темы в определенном каталоге. Они будут проверять эти каталоги, чтобы найти отсутствие подключаемых модулей безопасности или ряд уязвимостей на основе XHTML и CSS, а затем они будут использовать эти вещи для получения доступа. Это на самом деле довольно легко предотвратить.

Чтобы убедиться, что списки файлов в этих каталогах не видны ни одному пользователю Интернета, просто создайте пустой HTML-документ и поместите его в папку. Документ должен быть довольно простым, с тегами заголовка и заголовком, который говорит что-то вроде « Ограниченный доступ ». Этот заголовок может указывать на то, что администратор сайта кое-что знает о безопасности, и он будет отправлять злоумышленников на другие веб-сайты.

10. Всегда имейте под рукой последнюю резервную копию

Правильный подход к обеспечению безопасности установки WordPress заключается в том, что это одна часть подготовки и одна часть предотвращения.

Аспект «подготовки» этого процесса проявляется в форме резервного копирования. Необходимо регулярно создавать резервные копии как самих файлов WordPress, так и базы данных, используемой для хранения информации; это можно сделать несколькими способами, включая несколько плагинов WordPress для панели инструментов.

Если требуется более продвинутый метод резервного копирования файлов, пользователи могут использовать инструменты резервного копирования в областях администрирования серверной части cPanel или Plesk Panel. Кроме того, администраторы могут автоматизировать процесс и создавать задания Cron, чтобы последняя резервная копия всегда была доступна.

Важным моментом в безопасности WordPress является то, что вы всегда должны быть готовы к худшему сценарию. Когда дело доходит до обеспечения бесперебойной работы и надежности, даже в случае атаки злоумышленника, резервное копирование сайта — это самый простой способ вернуться в онлайн после того, как дыра в безопасности была закрыта.

Бдительность и разумное использование — ключи к безопасной установке WordPress

Вообще говоря, WordPress стал экспоненциально более безопасным в последние годы. Некоторое время казалось, что каждую неделю появляются новые уязвимости в системе безопасности. Этот шаблон особенно беспокоил крупных корпоративных пользователей, и команда Automattic быстро приступила к полной перезагрузке.

Эта перезагрузка была в значительной степени выпуском 3.0 с гораздо более безопасной архитектурой и инструментами автоматического обновления, которые избавили от тяжелой работы, чтобы оставаться в курсе последних обновлений и исправлений безопасности.

Когда дело доходит до обеспечения безопасности, эти выпуски должны обязательно обновляться, а пользователи должны использовать строгие разрешения, ограничения и приемы безопасности, чтобы оставаться в безопасности от злоумышленников в Интернете.