Защита блога на WordPress

Здравствуйте!

С вами снова на связи создатель и автор блога zacompom.ru — Юрич!

Сегодня мы чуток поговорим о безопасности вашего сайта или блога на вордпресс, а именно — как защитить свой блог!

Проводя еженедельные обходы по блогам из каталогов и поисковиков, очень часто попадаю на сайты с вирусами. Поэтому я не мог пропустить проблему безопасности блога.

Ко мне часто поступают вопросы про хостинг, которым я пользуюсь и поэтому решил указать хостинг в статье https://sprinthost.ru. Вы можете попробовать попользоваться хостингом 30 дней бесплатно. Чтобы понять, как будет работать Ваш сайт на этом хостинге просто перенести свой сайт (в этом поможет поддержка хостинга бесплатно) и и таким образом сможете понять подходит хостинг Вам или нет. На этом хостинге находятся сайты с 20 000 тысяч посещаемость и сайты чувствуют себя отлично. Рекомендую! Да, если делать оплату на 1 год то получаете скидку 25%. И что мне нравится - тех. поддержка всегда помогает в технических вопросах, за что им спасибо. Как Вы понимаете не всегда проходит всё гладко и нет желания, чтобы сайт не был доступен тем самым страдал трафик и доход.

Каким образом можно взломать блог?

1. Уязвимости в темах и плагинах.

Очень часто разработчики забывают закрывать «дыры» в скриптах, а иногда просто не знаю про их существование. С подобными проблемами я встречаюсь достаточно часто, особенно это касается бесплатных тем и плагинов, но не всегда. Иногда и платные продукты содержат достаточно много уязвимостей.

2. Вирусы на компьютере.

Если вы занимаетесь сёрфингом по сайтам, это проблема актуальна для вас. Очень много сайтов заражено и естественно заразить свой компьютер шансы достаточно большие. Из рабочего компьютера, можно легко получить доступы к вашим доступам и таким образом взломать ваши сайты.

3. Подбор пароля администратора к хостингу/серверу

Об этом никто не заявляет, так как подобные атаки не дают большой нагрузки. Но если вы обратите внимание на логи своего сервера, или запросите логи попыток доступа к вашему аккаунту на хостинге, вы сможете увидеть, что постоянно идёт подбор паролей.

4. Подбор пароля к сайту

В этом году, было 2 сильные атаки, которые создали большую нагрузку и смогли подобраться к большинству блогов. А из учётной записи администратора, при не закрытых дырах, можно уже загрузить трояны и вирусы на сайт.

Как защитить свой блог?

1. Никогда не ставить не проверенные темы и плагины.

Перед установкой просмотрите код.

Если у вас нет возможности попросить программиста, тогда попробуйте разобраться сами и определить уязвимости.

Проверить можно следующим образом:

— открываем все файлы темы блокнотом notepad++

— вводим $_POST и производим поиск.

Все переменные вида $_POST должны находится в какой-либо функции обработки. Это может быть
strip_tags, esc_html или htmlspecialchars, также не исключаю intval, (int), (string) и прочее
Если этого не будет, значит скрипт уязвим в большинстве случаев.

Есть исключения – массивы, но не опытному пользователю это будет сложно понять.

— таким же образом просматриваем $_GET и $_REQUEST

— производим поиск по функциям eval и base64

Если вы её нашли и не можете определить, что она делает, лучше не использовать эту тему или плагин.

— производим поиск по значению «x»

Обычно когда кодируют вирусы и делают вставки, в коде очень часто встречается эта буква.

Опять же, их очень много в какой-либо из функций и вы не можете определить происхождение, лучше её не использовать.

— производим поиск по fopen

Fopen, в 99% случаев, у вас быть не должно. Если увидите fopen, fclose, rmdir, лучше не использовать этот скрипт.

2. Что бы не допустить вирусов на вашем компьютере, нужно установить нормальный антивирус с хорошей базой.

Не важно что у вас, мобильный телефон, планшет или компьютер, не зависимо от операционной системы: windows или iOS, вирусы пишут под всё. Только про linux ничего не скажу конкретного, потому что просто не знаю.

Хотелось бы напомнить, что лучшими пользовательскими антивирусами являются Kaspersky или Dr. Web. Остальные, либо не защищают, либо требуют тонкой настройки, которая сложна для понимания обычного пользователя.

3. Регулярно изменяйте пароли доступа к хостингу, фтп и базе mysql (не база данных, а именно сервер).

4. Что бы избавиться от брутфорсов (атак подбора пароля), следует провести некоторые манипуляции:

— уникальный логин админа

То что по умолчанию, логином админа является admin, знают все. Подбирать 2 значения, гораздо сложнее одного. Поэтому нужно ставить уникальный логин.

— ставим хороший пароль админа.

Те люди, которые считают qwe123 хорошим паролем, ошибаются в своём мнении. Это не хороший пароль. Кстати, пароль 12345 – тоже легко подбирается.

— изменяем страницу доступа к административной панели.

С этой задачей хорошо справляется плагин Wp-lockdown.

— Запрещаем возможность добавлять и редактировать плагины и темы

Этого можно добиться, если прописать в файле wp-config.php следующий код:

define('DISALLOW_FILE_MODS', true);

Таким образом, даже если и подберут пароль админа, максимум что могут сделать – это отредактировать ваши сообщения, ну или удалить их вообще. А так как практически каждый хостинг делает ежедневный бэкап, вы сможете легко остановить утраченное.

— в файл вашей темы, в файле functions.php , следует поместить следующий код:

if (strpos($_SERVER['REQUEST_URI'], "eval(") ||
      strpos($_SERVER['REQUEST_URI'], "CONCAT") ||
      strpos($_SERVER['REQUEST_URI'], "UNION+SELECT") ||
      strpos($_SERVER['REQUEST_URI'], "base64")) {
    header("HTTP/1.1 414 Request-URI Too Long");
	header("Status: 414 Request-URI Too Long");
	header("Connection: Close");
	exit;
}

5. Всегда используйте чистый дистрибутив wordpress.

Не пользуйтесь подделками и прочими сборками. Чистый wordpress – это основа безопасности.

В то же самое время, не стоит использовать релизы с нулём в конце. К примеру, не стоит устанавливать wordpress 3.7, нужно дождаться выхода версии 3.7.1.

Безукоризненное выполнение всех этих пунктов, поможет вам защититься.

Что делать если ваш блог уже взломали?

Если уже так произошло, что ваш блог был взломан, не стоит отчаиваться и паниковать. Любую ситуацию можно решить, главное действовать поэтапно:

  1. Зайдите в админ-панель блога и запишите в отдельное место, все плагины, которые были активированы.
  2. Зайдите по ФТП, скачайте все файлы в папку на вашем компьютере. Антивирус сам удалит файлы с вирусами, файлы с инъекциями, к сожалению, он определить не сможет.
  3. Удалите все файлы вашего блога. Абсолютно все, включая дистрибутив WordPress.
  4. Зайдите в phpmyadmin и просмотрите таблицу _users, искать следует новых пользователей, которых быть не должно. Их следует удалить.
  5. Измените пароли к хостингу, ФТП, базе данных. Пароли лучше генерировать случайным генератором по 8 цифр. Если сгенерировать 2 раза, из двух паролей можно получить 1 из 16-ти, который и следует использовать.
  6. Просмотрите вашу тему, на предмет уязвимостей. Удалите всё лишнее. Если вы не проводили изменения в теме и работали со стандартной – скачайте её на свой компьютер.
  7. Загрузите по фтп, чистый оригинальный дистрибутив WordPress, последней версии. При этом не спешите, задавать настройки для соединения с базой данных. Пусть пока будет ошибка.
  8. По списку полученному в пункте 1, установите свежие плагины, которые были активированы. Просто загрузите их в папку plugins.
  9. Загрузите тему в папку themes
  10. Установите подключение с базой данных.
  11. Войдите в админ-панель и просмотрите выборочно 5-10 записей, на изменение текста. Если текст был изменён, придётся восстанавливать базу из бэкапа.
  12. После того как вы восстановите работу сайта, проведите действия по защите.

Вот такие вот пирожочки, друзья! Безопасность и защита блога очень ответственное дело и я вас прошу — не пренебрегайте ним.

До скорой встречи, надеюсь она и действительно будет скорой!

P. S. В следующем посте мы поговорим о политике конфденциальности вашего блога, сайта!

А ваш блог хорошо защищен? Расскажите какие методы и плагины использовали для этого?

Обо мне
Юрич:
Занимаюсь созданием сайтов на WordPress более 6 лет. Ранее работал в нескольких веб-студиях и решил делиться своим опытом на данном сайте. Пишите комментарии, буду рад общению.

Заказать сайт