Защита блога
Прошли те времена когда целью взлома было разрушение блога или его приложений. Сейчас это развлечение начинающих хакеров, а специалисты используют чужой блог для внедрения своих скриптов, левых ссылок, перенаправления Ваших посетителей на свои сайты с рекламой, подмены Вашей рекламы на свою, используют чужой сайт как прокси или источник спама и т.д.
Есть два основных направления для реализации таких намерений:
- Проникновение через админку путем подбора комбинаций логинов и паролей, естественно программным путем. Статистика показывает, что количество атак на WordPress по адресу /wp-login.php достигает 50 млн. в день.
- Проникновение через уязвимости и дыры в движке CMS, шаблонах и плагинах.
Опыт показывает, что основой безопасности вашего сайта являются:
— правильная настройка
— постоянный мониторинг
— регулярные обновления
- Правильная настройка. Что нужно сделать:
- Во-первых, правильная подготовка вашего домена к установке CMS WordPress. В принципе эту операцию можно провести двумя путями:
— автоматический режим – проводится хостером после покупки домена и выбора CMS. Здесь пользователь вписывает в установленную форму необходимые «имя пользователя»- (не допускается «свое имя» и «admin»), «пароль»-(слава разработчикам пароль сейчас генерируется), «имя БД»-(создать свое), префикс БД «WP_»(добавить какие-то знаки, но не усердствовать – влияет на скорость работы, например, «WP_a_».
— ручной режим установки WordPress – опытные пользователи устанавливают CMS в папку, отличную от папки WordPress, а путь к ней прописывают в файле index.html, располагаемом в корневом каталоге.
- Во-вторых, вся ответственность за установку CMS, шаблона, плагинов, найденных на просторах Internet, лежит на вас. Рекомендуется скачивать и устанавливать шаблоны и плагины, приобретенные на Темефоресте / Кодеканьоне или с официального сайта WopdPress.
Для проверки всех шаблонов, даже купленных, а не только с варезников, применяется плагин Theme Authenticity Checker (ТАС) – классика поиска подозрительного и вредоносного кода.
Выполнение этих мероприятий закладывает гарантию почти 90% безопасности вашего сайта или блога.
- Постоянный мониторинг.
Плагинов защиты WordPress довольно много, предлагаю обратить внимание на связку iThemes Security и Wordfence Security.
iThemes Security проводит такие настройки:
— удаляет и переименовывает имя пользователя «admin»;
— замена старого пароля;
— обеспечивает доступ к админке по расписанию (например, только в дневное время);
— блокировка доступа при попытке подобрать пароль;
— изменение пути к админке или странице авторизации;
— запрет на исполнение php-скриптов в папке загрузки (ранее было требование удалять все zip-архивы;
— изменение префикса базы данных;
— обнаружение изменений системных файлов и многое другое.
Wordfence Security обеспечивает другие задачи:
— проверка файлов ядра, шаблонов, плагинов, сверка их с оригиналами репозитария и предупреждение;
— мониторинг активности на сайте с блокировкой нежелательных изменений;
— блокировка нежелательных стран и ботов;
— поиск кода бекдоров, троянов и нежелательных скриптов;
— отслеживание изменений плагинов и сообщения об этом.
То есть, если будут попытки подобрать пароль, авторизоваться на блоге, изменения содержимого файлов и т.д., то будут уведомления. Например:
- Регулярное обновление.
Ранее отмечалось, что одним из направлений проникновения на сайт является использование дыр и уязвимостей в CMS, шаблоне и плагинах.
Простому пользователю с этой проблемой, конечно, не справиться, но есть способы, которые должен усвоить и применять каждый:
- Регулярное обязательное обновление и движка WordPress, и шаблона, и плагинов, как платных, так и бесплатных.
- Регулярное обязательное создание копий файлов и базы данных сайта. Тем более, что разработчики рекомендуют делать резервирование при любом обновлении.
Резервное копирование делает автоматически каждый уважающий себя хостер, и он в критической ситуации должен помочь. Однако резервная копия – это ваша головная боль, так что на хостера надейся, а сам не плошай.
На большинстве хостингов можно вручную через файловый менеджер панели управления сделать копии и сайта, и базы данных, а затем отправить на свой компьютер.
Плагинов резервного копирования очень много. Выбирать надо исходя из объемов копирования и места хранения: на сайте, на ftp-сервере, в облаке, на компьютере через e-mail.
Самые распространенные – Updraft Plus Backup and Restoration и BackWPup Free.
В завершении хотелось бы обозначить два новых метода защиты:
- Использование двухуровневой защиты доступа в админпанель ( в т.ч. с применением смартфона).
- Обеспечение чистоты браузеров, которыми вы работаете с админкой сайта (блога), т.е. внедрение технологии CSP (Content Security Police).
Эти методы довольно обширны, и каждый из них заслуживает отдельного обзора.
До следующей встречи.
С уважением, Геннадий Лаптев.
Средняя оценка: 0 из 5