WordPress – пожалуй, самая популярная и вместе с тем одна из самых часто взламываемых платформ. Почему-то существует мнение, что если ваш сайт особо никому не интересен, то и взламывать его не будут – зачем? На самом деле угроза взлома есть буквально у каждого сайта (и не только на WordPress), поэтому важно заботиться о защите своей странички. Что можно предпринять, а точнее, какие плагины установить, я и расскажу в этой статье.
Общие советы
Эти советы будут полезны не только в работе с WordPress, но и с любой другой CMS. Они базовые, но, как показывает практика, все равно есть люди, которые о них не знают. Зачем это все делать? Чтобы усложнить жизнь злоумышленнику. Используя данные, которые устанавливаются по умолчанию, хакер может относительно легко взломать ваш сайт, а также вашу базу данных. Поэтому нужно сделать следующее.
1. Измените имя пользователя с admin на другое.
Чтобы это сделать, вам нужно сначала создать нового пользователя в качестве администратора. Сделать это можно вот тут:
После создания пользователя зайдите под его аккаунтом и в списке «Все пользователи» удалите аккаунт “admin”. При этом новый логин постарайтесь сделать каким-нибудь относительно сложным, ну хотя бы состоящим из нескольких слов: vasyapupkin99. Можете свой никнейм использовать, например.
Про пароль писать не буду – лучше воспользоваться тем, который сгенерирует вам Wordpress на стадии создания аккаунта, а не придумывать какой-то свой (который, скорее всего, будет легче).
2. Изменить префикс базы данных с wp на другой.
Существует два пути сделать это: либо самостоятельно правя таблицы в phpMyAdmin (или даже просто в файловом менеджере), либо через плагин. Кратко расскажу об обоих вариантах.
Изменение через phpMyAdmin
Сразу скажу, что это действие требует внимания к деталям и некоторого опыта работы в phpMyAdmin.
Первым делом создайте бэкап базы данных – он поможет вам восстановить информацию, если что-то пошло не так (или вы где-то что-то не то отредактировали).
Теперь зайдите в файловый менеджер и найдите файл wp-config.php, в нем строку $ table_prefix = 'wp_';
“wp” надо изменить на что-то другое, менее связанное с WordPress и базами данных. Можно менять даже на произвольный набор букв и цифр (но вам его нужно запомнить или записать).
Внимание. Лучше всего производить это изменение на только что установленном WordPress. На уже запущенных сайтах информации больше – больше данных придется менять.
После этого зайдите в phpMyAdmin (на хостинге Timeweb это можно сделать прямо через панель управления) и найдите базу данных для нужного сайта. Все таблицы этой базы данных нужно переименовать, вместо “wp_” подставляя то, что вы уже написали выше.
Как переименовать: выбираете таблицу в левом столбце, нажимаете вкладку «Операции», далее смотрите блок «Параметры таблицы» и строку «Переименовать таблицу в». После внесения изменений не забудьте нажать «Вперед».
После этого ищите в списке таблицу “…_options”. Выбрав ее, нажмите «Обзор» - в содержимом примерно на второй странице в столбце “meta_key” вы увидите wp_user_roles – измените префикс “wp” на тот, который вы сейчас собираетесь использовать. Сохраните изменение.
Следующая таблица для изменения – “…_usermeta” – аналогичным образом посмотрите ее содержимое и измените все старые префиксы на новые.
Все, на этом изменения префикса можно считать выполненными!
Если после редактирования у вас что-то стало работать не так или вообще перестало работать, проверяйте, все ли изменения вы внесли. В крайнем случае используйте бэкап.
Изменение через плагин All In One WP Security & Firewall
Этот плагин не нуждается в представлении, поэтому сразу перейду к тому, что необходимо сделать.
После того, как вы установили и активировали плагин, зайдите в раздел «Защита Базы данных». Там вы увидите строку «Сгенерировать новый префикс таблиц БД» - напишите тот префикс, который хотите поставить (или поставьте галочку около «Отметьте, чтобы плагин сам сгенерировал префикс длиной в 6 случайных символов»), и нажмите «Изменить префикс таблиц». После этого ниже вы увидите отчет от ходе изменения префикса. Чтобы убедиться в том, что ожидаемый результат достигнут, зайдите в phpMyAdmin.
Еще раз напомню, что делать это нужно на новом сайте без статей, так как если на сайте уже есть много информации, плагин может сработать некорректно.
All In One WP Security & Firewall
Раз уж мы уже перешли к использованию этого плагина, то расскажу о других вещах, благодаря которым можно повысить защиту вашего сайта.
В разделе «Настройки» плагина перейдите во вкладку “WP version info” и поставьте галочку рядом с «Удаление мета-данных WP Generator». Так как хакеры зачастую основываются на информации, которую содержат мета-данные, то будет нелишним убрать эту информацию из кода страницы.
Кстати, если вы все еще не поменяли имя администратора (следуя совету выше), то сделать это можно и через этот плагин – во вкладке «Администраторы». Просто напишите новое имя пользователя и еще раз авторизуйтесь в панели (пароль остается прежним).
В разделе «Авторизация» необходимо включить опции блокировки попыток авторизации, отметив этот пункт галочкой.
Дальше идет раздел «Регистрация пользователей» - тут нужно активировать ручное одобрение новых регистраций (чтобы на сайте не плодились спамеры и другие нехорошие личности).
Здесь же вы можете видеть вкладку «CAPTCHA при регистрации» - тоже активируйте этот пункт.
Теперь переходим в раздел «Файрволл» - здесь ставим галочку в блоках «Основные функции брандмауэра». Остальное можете включить/оставить выключенным по своему желанию.
Раздел «Защита от брутфорс-атак»: вам нужно включить опцию переименования страницы логина и написать желаемый адрес в графе ниже. Тут важно понять – этот адрес будет использоваться для входа в админку, жизненно важно его запомнить!
С этим плагином мы закончили, переходим к следующему.
AntiVirus
Этот плагин сканирует файлы сайта на предмет вредоносного кода. Пользоваться им достаточно просто – после установки зайдите в его настройки и нажмите “Scan the theme templates now”, после этого все файлы вашей темы будут проверены.
Тут же вы можете настроить и ежедневную проверку с отчетом на email.
Во время проверки плагин подсвечивает код, который показался ему подозрительным. При этом все замечания вам лучше проверять внимательно – не всегда речь идет именно о вирусе. Если вы не обладаете навыками в программировании, то можете просто сравнить найденную строчку кода со строчкой в коде этой же темы сайта на вашем компьютере или у разработчика. Если запись присутствует изначально, то опасаться ее не нужно.
Как и другие активные плагины, AntiVirus нагружает сервер (а значит, ваш сайт работает медленнее), поэтому лучше пользоваться им время от времени, чем постоянно держать в активном состоянии.
Wordfence Security
Этот плагин по функционалу схож с предыдущим, ими можно пользоваться параллельно, хуже не будет. Точно так же установите, активируйте, перейдите во вкладку “Scan” и нажмите на большую синюю кнопку “Start a Wordfence Scan”. Кое-какие возможности доступны только для оплаченных (премиум) аккаунтов, но базовый функционал тоже неплох. Если с вашим сайтом все хорошо, то вы увидите зеленую надпись “Congratulations! No security problems were detected by Wordfence”.
Расскажу еще о других плагинах, которые тоже можно использовать для защиты сайта.
Sucuri Security
Вообще Sucuri – это компания, которая специализируется на защите веб-сайтов, поэтому они предоставляют защиту для любого сайта (не только на WordPress). Плагин от этой серьезной компании с внушительной репутацией обладает широким функционалом, представляющим полный цикл защиты сайта, включая предупреждение взлома и атаки на ваш сайт. Можно пользоваться бесплатной версией, а можно купить платную за 16,66$ в месяц – сумма немаленькая, но за такой диапазон защитных инструментов вполне обоснованная.
Для того, чтобы пользоваться бесплатной версией, после установки вам будет необходимо сгенерировать бесплатный ключ (в синем блоке сверху нужно будет нажать кнопку “Generate API Key”, проверить, что введенные данные корректны, и отослать заявку.
iThemes Security
Если Sucuri Security можно назвать лучшим платным плагином защиты, то iThemes Security часто называют лучшим бесплатным плагином, который стоит установить для безопасности вашего сайта. Тем более что сейчас у него более 800 тысяч установок!
Про функционал много писать не буду – как и все другие плагины, iThemes Security направлен на защиту вашего сайта от большинства вещей, которые могут ему угрожать, и в то же время на проверку существующего состояния сайта. Кстати, раньше плагин назывался Better WP Security – возможно, кто-то помнит его по этому названию.
Если в целом говорить об его функциях, то можно выделить следующие стороны этого плагина:
- скрытие и удаление потенциально уязвимых элементов (об этом было написано в начале статьи – смена логина администратора, префикса базы данных и так далее);
- защита сайта от атак (сканирование на наличие уязвимостей, защита от брутфорса, шифрование админки и так далее);
- мониторинг сайта (на наличие внезапных изменений, блокировок и так далее);
- восстановление (резервное копирование на случай непредвиденной ситуации).
Теперь перейдем к самому использованию этого плагина.
Настройка iThemes Security
Начну с того, что у него есть и PRO (то есть более расширенная) платная версия, поэтому в бесплатной версии доступны не все возможности этого плагина (но их все равно много).
После установки активируйте плагин и переходите в раздел «Настройки». В синем блоке сверху вы сможете включить защиту от взлома методом полного перебора (Network Brute Force Protection) – для этого нужно запросить API ключ, который автоматически будет добавлен в настройки (но также отправлен вам на почту).
Нажмите “Security Check” (самый верхний левый блок или в меню под «Настройки») и нажмите “Secure site”. После этого вы увидите список включенных модулей.
Следующий блок – «Основные настройки» (справа от “Security Check”). Так как плагин почти полностью переведен, каждый пункт имеет свою расшифровку – советую пробежаться по ним всем и посмотреть, что из этого наиболее актуально для вас (даже если не будете пользоваться, будете хотя бы знать, где что находится).
Далее переходим к «Отслеживание ошибки 404» - так как ошибка может быть на руку взломщикам, то есть смысл включить эту защиту. Изначальные настройки можно не менять – они оптимальны.
В режиме «Нет на месте» вы можете установить время, когда административная панель будет недоступна. На постоянной основе этим можно не пользоваться, но вы можете использовать это для подстраховки, когда находитесь далеко от компьютера. При этом настроить можно как на постоянной основе (например, каждую ночь), так и один раз в определенный день и период времени.
Блок «Заблокированные пользователи» - тут все понятно, помещайте сюда всех, кого нужно заблокировать.
“Local Brute Force Protection” – это блок защищает от взлома путем перебора паролей. У вас он уже включен, настройки можно оставить по умолчанию.
«Резервные копии базы данных» - настройка резервного копирования, в бесплатной версии речь идет только про базы данных.
«Обнаружение изменений файлов» - крайне полезная функция, которая будет следить за всеми изменениями в файлах сайта; можно быстрее отследить внезапно появившуюся на сайте активность. Обязательно включите.
“File Permissions” – блок показывает права доступа к файлам.
“Network Brute Force Protection” – сетевая защита от брутфорса заключается в том, что если хакер пытался взломать чей-то другой сайт, доступ к вашему сайту у него будет также заблокирован, даже если он еще не начал атаку на ваш сайт.
“SSL” – вы можете настроить использование SSL в этом плагине, то если у вас сайт на хостинге Timeweb, я советую использовать настройки в панели управления сайтом.
“Strong Password Enforcement” – если ваш сайт предполагает регистрацию других пользователей (форум, блог…), тогда это настройка будет полезной, пользователям придется выбирать только сложные пароли для своих аккаунтов. В остальных случаях ее можно не использовать.
«Тонкая подстройка системы» и «Подстройка WordPress» – эти дополнительные настройки нужны для того, чтобы еще больше усилить защиту вашего сайта. Но есть один нюанс – включение некоторых настроек может повлиять на работу плагинов. Поэтому не стоит выбирать все сразу – включайте по одному пункту и проверяйте работоспособность вашего сайта.
Наконец, «WordPress Соли» – настройка позволяет добавить к паролю секретный ключ, подобрать который будет намного сложнее, чем пароль отдельно. Обычно это случайный набор символов, который добавляется при хэшировании. Периодически пользуйтесь этой настройкой («Изменить WordPress Соли») для того, чтобы сменить соль.
О разделах все. В платной версии их больше, но и этих вполне хватает для того, чтобы защитить сайт от многих популярных видов взлома.
Заключение
Плагины – это существенный элемент безопасности вашего сайта, но хочу напомнить, что он не единственный. Не забывайте следить за обновлениями WordPress и плагинов, регулярно меняйте пароли и делайте бэкапы.
Комментарии