Продолжаем изучение WordPress Сегодня освещаем тему безопасности — разбираем защиту от взлома, вирусов и спама. Все как всегда, просто, быстро и без воды.
В рамках работы по обеспечению безопасности WordPress сайта можно выделить 3 рабочих направления:
- Защита блога от спама
- Защита блога от взлома
- Защита от вирусов
Подробно об этом не буду. Попробуйте просто поставить плагин Invisible Captcha и забудьте о спаме навсегда.
Скажу честно, что вообще над проблемами защиты от взлома я заморачиваюсь не очень сильно и ограничиваюсь только несколькими базовыми настройками самого WordPress и плагином безопасности All In One WP Security. Уверен, что этого будет хватать и вам.
Что касается защиты от вирусов, то тут вообще ничего не делаю, так как, во-первых, какого-то механизма защиты не существует — есть только инструменты, которые позволяют увидеть уже случившийся факт заражения, а, во-вторых, хорошая защита от взлома, предупреждает заражение вирусами .
Защита WordPress от взлома
Давайте начнем с рассмотрения базовых настроек самого движка WordPress.
Базовые настройки безопасности
Вообще об этом надо было сказать еще в разделе про установку, и, возможно, в будущем я эту информацию туда и перенесу, но пока она будет тут. Речь идет об имени главного администратора, сложности пароля и префиксе базы данных.
Конечно эти настройки можно поменять и после установки (об этом читайте далее в статье), но в самом начале их сделать проще. Рекомендации такие:
- Имя пользователя должно отличаться от admin (значение по-умолчанию) и быть каким-то относительно сложным словом. В качестве варианта можно воспользоваться вашим ником на каком-нибудь форуме или в какой-нибудь игре, например cyrax88.
- Пароль должен быть сложным, состоящим из букв и цифр в разном регистре, например такой 4boqjFF941. Я пользуюсь duckduck.com, например чтобы сгенерировать сложнвй пароль из 8 символов перейдите по этой ссылке.
- Префикс базы данных тоже рекомендуется сменить со стандартного wp_ на что-нибудь нечитаемое, например jzpif_.
Настройка плагина All In One WP Security
Устанавливается плагин стандартным образом, из репозитория приложений
После установки в меню слева появится новый пункт «WP Security», наводим на него стрелку и переходим в пункт «Настройки».
Далее идем во вкладку wp-метаинформация, ставим галочку «Удаление мета-данных WP Generator» и нажимаем сохранить. Эта настройка уберет из отображения исходного кода сообщения, что generator нашего сайта WordPress:
Далее идем в раздел «Администраторы» и, если у вас до сих пор admin, то меняем это имя пользователя на какое-то другое (то о чем я говорил чуть выше):
После смены имени вам надо будет перелогиниться в WordPress.
Переходим в раздел «Авторизация», на вкладке «Блокировка авторизаций» ставим галочку напротив «Включить опции блокировки попыток авторизации», больше ничего не меняем, нажимаем «сохранить настройки»:
Переходим в раздел «Регистрация пользователей» на вкладке «Подтверждение вручную» ставим галочку «Активировать ручное одобрение новых регистраций» и нажимаем на кнопку «сохранить настройки»:
В этом же разделе переходим на вкладку «CAPTCHA при регистрации» и ставим галочку в поле «Активировать CAPTCHA на странице регистрации», нажимаем «сохранить настройки»:
Далее идем в раздел «База данных», и, если у вас новый блог, и вы не поменяли префикс базы данных при установке, то сейчас самое время это сделать. Если же у вас на блоге уже есть стати, то лучше ничего не трогать. Вводим в поле префикса нужное значение и нажимаем «Изменить префикс таблиц»:
Далее идем в раздел Файерволл и на вкладке «Базовые правила файервола» ставим галочку в поле «Основные функции брандмауэра»:
Можно также поставить галочку в поле «Защита от Пингбэк-уязвимостей», но я не ставлю, так как работаю со своим блогом через приложение iphone и если включить эту опцию, то этот механизм работать не будет.
Нажимаем «Сохранить основные настройки брандмауэра» и больше ничего в этом разделе не трогаем, на остальных вкладках ничего интересного нет.
Далее идем в раздел «Защита от брутфорс атак» и при желании ставим галочку на опцию «Включить опцию переименования страницы логина» и далее в пункте «Адрес (URL) страницы логина» водим новый путь к странице логина. Главное не забудьте его, а то больше никогда не зайдете на свой сайт. Лично я не пользуюсь этой настройкой.
Также для людей особо страдающих паранойей, можно сходить в раздел «Разное» и включить защиту контента от копирования:
но я в этом смысла никакого не вижу, во-первых, потому что тому, кому надо и так скопируют, все эти отключения выделений, правых кнопок мыши и клавиш ctrl+c элементарно обходятся знающими людьми, а, во-вторых, есть мнение что подобная скриптовая защита усложняет парсинг вашего сайта поисковыми роботами.
На этом по настройке плагина все.
Защита WordPress от вирусов
Как я уже говорил ранее, какого-то механизма защиты от вирусов нет, есть только инструменты, позволяющие увидеть факт заражения.
Инструменты можно разделить на 2 типа:
- Внешние
- Внутренние
Внешние инструменты защиты и предупреждения
К внешним относятся сервисы, регулярно проверяющие страницы вашего сайта на появление сторонних скриптов и какого-нибудь вредоносного кода.
Примером такого сервиса может служить «На замок» — nazamok.com, который после добавления в систему регулярно осуществляет сканирование сайта и, в случае появления каких-то прецедентов, незамедлительно об этом сообщает.
Важно понимать, что ни сервис, ни его сотрудники не исправляют вашу проблему, они просто сообщают вам о ней, то есть говорят что и где произошло, а решение проблемы ложиться полностью на ваши плечи.
Я одно время пользовался этим сервисом, но потом перестал, так как за время существования моего блога у меня не было ни одного актуального прецедента.
Сервис платный, но цена более чем доступная. Поэтому, если вы сильно обеспокоены безопасностью, можете им воспользоваться.
Оповещение + лечение WordPress от вирусов и шпионского кода
Другим примером внешнего сервиса по защите от вирусов является «Sucuri» — sucuri.net.
Сервис иностранный и более дорогой, чем «На замок», но и услуги у них покруче. В частности они занимаются лечением блога от вирусов, когда заражение уже произошло.
Несколько раз эти ребята меня выручали, когда на клиентских сайтах были вирусы и моих знаний было недостаточно для того, чтобы справиться с этой проблемой.
Если у вас сайт приносит хорошую прибыль и у вас идут постоянные проблемы с вирусами, я рекомендую обратиться к ним. Уверен, что они решат все ваши проблемы.
Устанавливаются оба сервиса достаточно просто — регистрируетесь в сервисе, добавляете свой сайт, оплачиваете и, собственно, на этом все. Для Sucuri еще будет необходимо разместить специальный файл в корне вашего сайта и предоставить FTP доступы, чтобы в случае чего спецы могли удалить вирус.
Внутренние инструменты защиты и предупреждения
Внутренние инструменты — это обычные WordPress плагины. Я использую в своей практике два — это WordPress Antivirus и Wordfence Security.
У обоих плагинов похожий принцип действия — они сканируют файлы на вредоносный код и, если находят что-то подозрительное, то сообщают об этом. Кстати, очень часто у этих плагинов бывает ложное срабатывание, поэтому каждое их предупреждение надо внимательно проверять вручную.
WordPress Antivirus сканирует только файлы активной темы, а Wordfence Security все файлы системы (включая картинки). Рекомендую пользоваться обоими.
Устанавливаются плагины стандартным способом. Вот так выглядят их карточки:
WordPress Antivirus:
Wordfence Security:
После установки Antivirus доступен в разделе «Настройки» — «Antivirus», а Wordfence имеет свой собственный раздел.
Сканирование выполняется по нажатию одной кнопки:
WordPress Antivirus:
Можно также включить ежедневное сканирования с оповещением на почту, для этого надо поставить галочку «Daily malware scan» и ввести свою электронку в поле «Email Address for notifications», но я этого делать не рекомендую — зачем нагружать блог?
Wordfence Security:
В обоих плагинах сканирование занимает определенное время, после которого вам будут представлены результаты. О том, как их анализировать и какие принимать действия по устранению проблем я как-нибудь расскажу в другой статье.
А пока на этом по защите WordPress блога все. Жду вопросы, пожелания и рекомендации. Картинки добавляю чуть позже.
Спасибо, что остаетесь на связи!