Защита блога

Защита блога

Здравствуйте, друзья. В статье «Как защитить контент» рассмотрены некоторые варианты защиты от копирования статей, изображений и видеороликов. О защите самого WordPress сказано тезисами. Об этом и поговорим сегодня.

Прошли те времена когда целью взлома было разрушение блога или его приложений. Сейчас это развлечение начинающих хакеров, а специалисты используют чужой блог для внедрения своих скриптов, левых ссылок, перенаправления Ваших посетителей на свои сайты с рекламой, подмены Вашей рекламы на свою, используют чужой сайт как прокси или источник спама и т.д.

Есть два основных направления для реализации таких намерений:

• Проникновение через админку путем подбора комбинаций логинов и паролей, естественно программным путем. Статистика показывает, что количество атак на WordPress по адресу /wp-login.php достигает 50 млн. в день.
• Проникновение через уязвимости и дыры в движке CMS, шаблонах и плагинах.

Опыт показывает, что основой безопасности вашего сайта являются:

— правильная настройка

— постоянный мониторинг

— регулярные обновления

1. Правильная настройка. Что нужно сделать:

• Во-первых, правильная подготовка вашего домена к установке CMS WordPress. В принципе эту операцию можно провести двумя путями:

— автоматический режим – проводится хостером после покупки домена и выбора CMS. Здесь пользователь вписывает в установленную форму необходимые «имя пользователя»- (не допускается «свое имя» и «admin»), «пароль»-(слава разработчикам пароль сейчас генерируется), «имя БД»-(создать свое), префикс БД «WP_»(добавить какие-то знаки, но не усердствовать – влияет на скорость работы, например, «WP_a_».

— ручной режим установки WordPress – опытные пользователи устанавливают CMS в папку, отличную от папки WordPress, а путь к ней прописывают в файле index.html, располагаемом в корневом каталоге.

• Во-вторых, вся ответственность за установку CMS, шаблона, плагинов, найденных на просторах Internet, лежит на вас. Рекомендуется скачивать и устанавливать шаблоны и плагины, приобретенные на Темефоресте / Кодеканьоне или с официального сайта WopdPress.

Для проверки всех шаблонов, даже купленных, а не только с варезников, применяется плагин Theme Authenticity Checker (ТАС) – классика поиска подозрительного и вредоносного кода.

Выполнение этих мероприятий закладывает гарантию почти 90% безопасности вашего сайта или блога.

2. Постоянный мониторинг.

Плагинов защиты WordPress довольно много, предлагаю обратить внимание на связку iThemes Security и Wordfence Security.

iThemes Security проводит такие настройки:

— удаляет и переименовывает имя пользователя «admin»;

— замена старого пароля;

— обеспечивает доступ к админке по расписанию (например, только в дневное время);

— блокировка доступа при попытке подобрать пароль;

— изменение пути к админке или странице авторизации;

— запрет на исполнение php-скриптов в папке загрузки (ранее было требование удалять все zip-архивы;

— изменение префикса базы данных;

— обнаружение изменений системных файлов и многое другое.

Wordfence Security обеспечивает другие задачи:

— проверка файлов ядра, шаблонов, плагинов, сверка их с оригиналами репозитария и предупреждение;

— мониторинг активности на сайте с блокировкой нежелательных изменений;

— блокировка нежелательных стран и ботов;

— поиск кода бекдоров, троянов и нежелательных скриптов;

— отслеживание изменений плагинов и сообщения об этом.

То есть, если будут попытки подобрать пароль, авторизоваться на блоге, изменения содержимого файлов и т.д., то будут уведомления. Например:

3. Регулярное обновление.

Ранее отмечалось, что одним из направлений проникновения на сайт является использование дыр и уязвимостей в CMS, шаблоне и плагинах.

Простому пользователю с этой проблемой, конечно, не справиться, но есть способы, которые должен усвоить и применять каждый:

• Регулярное обязательное обновление и движка WordPress, и шаблона, и плагинов, как платных, так и бесплатных.
• Регулярное обязательное создание копий файлов и базы данных сайта. Тем более, что разработчики рекомендуют делать резервирование при любом обновлении.

Резервное копирование делает автоматически каждый уважающий себя хостер, и он в критической ситуации должен помочь. Однако резервная копия – это ваша головная боль, так что на хостера надейся, а сам не плошай.

На большинстве хостингов можно вручную через файловый менеджер панели управления сделать копии и сайта, и базы данных, а затем отправить на свой компьютер.

Плагинов резервного копирования очень много. Выбирать надо исходя из объемов копирования и места хранения: на сайте, на ftp-сервере, в облаке, на компьютере через e-mail.

Самые распространенные – Updraft Plus Backup and Restoration и BackWPup Free.

В завершении хотелось бы обозначить два новых метода защиты:

• Использование двухуровневой защиты доступа в админпанель ( в т.ч. с применением смартфона).
• Обеспечение чистоты браузеров, которыми вы работаете с админкой сайта (блога), т.е. внедрение технологии CSP (Content Security Police).

Эти методы довольно обширны, и каждый из них заслуживает отдельного обзора.

До следующей встречи.

С уважением, Геннадий Лаптев.