Защита WordPress

Опубликовано в категории Wopdpress 24 Июнь, 2015

Чтобы сайт на WordPress не взломали, надо соблюдать хотя бы элементарные меры безопасности, которые не соблюдаются примерно в 90-95% случаев. Защита WordPress, чаще всего, недостаточна именно по причине неправильных настроек или ошибок владельца сайта.

Само собой, если ломают даже сайты НАСА, АНБ, банков и прочие сильно защищенные сайты, то взломать блог на WordPress — вообще очень просто. Движок WordPress есть в открытом доступе, поэтому каждый специалист легко может его установить и изучить на наличие дыр в защите.

Будет ли кто-то пытаться взломать Ваш блог на WordPress? Почти наверняка, ответ — «да», это просто вопрос времени и особенно — привлекательности Вашего сайта для атаки. Тут дело скорее в разумном балансе затрат ресурсов и результата.

Кому, например, может быть нужен «блог про хомячков» или сайт мелкой фирмы из славного города Мухосранска? 🙂 Да вроде бы и никому… Тем не менее, это ничуть не значит, что Ваш сайт не попытаются взломать. Есть очень много способов использования взломанного сайта, причем большинство — не очевидны для неспециалиста по интернет-технологиям.

Хакеры, которые занимаются взломом сайтов «на поток» не делают это вручную, они собирают многотысячные базы сайтов на WordPress, Joomla и прочих популярных движках автоматическими и полуавтоматическими методами. Точно также производится и взлом сайта на WordPress, хакеры почти никогда это не делают вручную.

Большинству хакеров, взлом блога или другого конкретного сайта, сам по себе не нужен. Тогда зачем они это делают? Чаще всего, из взломанного сайта делают зомби-машину для других целей:

  • использования для атаки на другие сайты (например, DDOS-атаки);
  • для скрытия следов деятельности хакера и подставы владельца сайта;
  • для рассылки спама (часто с вирусами);
  • для заражения вирусами машин посетителей сайта;
  • для размещения рекламных ссылок (если у сайта — жертвы высокие ТИЦ и PR);
  • для размещения всяких всплывающих окон с рекламой порнушных сайтов и прочей нечисти (если на сайте приличная посещаемость).

Что делать, если Ваш блог на WordPress взломали?

  • Поменяйте пароль к контрольной панели хостинга, тоже самое проделайте в контрольной панели на хостинге для доступа к сайту фтп и для своего емэйла. Используйте сложный пароль (несловарное слово) с цифрами и спецсимволами типа @#%^&!?_+-=(){}[] и при этом, не меньше 20 символов длины (то же самое и для фтп). Везде где только возможно, логины и пароли должны быть разные!
  • На всякий случай, заранее сделайте архивную копию темы WordPress. Её лучше не использовать, если не можете самостоятельно проверить файлы темы на дыры в защите.
  • Нужна полная переустановка движка, т.е. удаление старых файлов и установка WordPress с нуля, обязательно используйте только файлы движка, полученные с официального сайта WordPress.
  • При установке WordPress, используйте сложный логин и пароль. Это ни в коем случае, не словарные слова или имена. Используйте нестандартный логин (например слово с ошибкой и цифрами, которое не забудете), а пароль установите по рекомендации выше.
  • Используйте другую тему WordPress, если не можете проверить свою тему на дырки самостоятельно. Можно также заказать проверку темы у меня (цена вопроса — всего 5$).
  • Отключите публикацию по емэйлу, если она включена.
  • Плагины ставьте только из официального репозитория WordPress.
  • Заблокируйте доступ к админке с любых IP-адресов, кроме своего (это можно делать, только если у Вас статический IP-адрес) или хотя бы поставьте плагин Login LockDown с жесткими настройками (для блокировки атак брутфорсом).

Защита WordPress от спама

Есть популярный плагин Akismet, но я не рекомендую его использовать, он слишком часто забрасывает в спам абсолютно нормальные комментарии. Есть лучшая альтернатива, которая сводит спам почти к нулю — плагин WP-SpamFree.

Вообще, защита WordPress — это целый комплекс мер, тут одной грубой ошибки на любом этапе для хакера достаточно.

Вы можете заказать комплекс мер по защите WordPress у меня. Пишите заявку в комменты, премодерация включена, а заявки не публикуются.




Написать комментарий!

Ваше имя или ник:

Ваш e-mail:

Ваш блог или личный сайт:

Ваш комментарий: