защита сайта на wordpress
5
(3)

Защита сайта на WordPress – это комплекс мер направленный на безопасную и стабильную работу сайта. И если сайт это один из инструментов продаж в бизнесе, то безопасность сайта – это и есть безопасность вашего бизнеса.

Когда сайт недоступен или содержит вредоносный контент это не только провал продаж, но и падение позиций в поисковой выдаче. Чем грозит вирус на сайте будет ниже в статье.

А сейчас разберем основные действия которые вы должны совершить для защиты сайта:

Выявление уязвимостей в защите сайта WordPress

В процессе работы над сайтом и последующей его эксплуатации есть ряд действий создающих “дыры” в безопасности.

Хостинг сайта

  1. Доступ на хостинг посторонних лиц. Доступ на хостинг нужен только вам и вашему работающему администратору сайта (не контент-менеджеру). Основные работы на сайте проводятся в админ-панели. Для правки текстов, добавления фотографий или изменения дизайна-структуры не нужен доступ на хостинг. Человек который проводит данные работы – контент-менеджер. Для более сложной загрузки на сайт файлов используется FTP-доступ, его тоже стоит давать с осторожностью. Никто другой не должен иметь ваши доступы. Совет: регулярно меняйте пароль на хостинге, особенно после увольнения администратора сайта.
  2. Размещение сторонних сайтов на вашем хостинге. Частая ошибка владельцев сайтов это “дружеское” размещение чужих сайтов на своем хостинге. Иногда это делается без ведома владельца сайта его администратором. Почему это делать нельзя? Потому что вы не можете отвечать за качество проводимых работ на этих сайтах. И если данные чужие сайты не будут должным образом защищены, то работы по защите вашего сайта будут бесполезны. Совет: регулярно заходите на ваш хостинг и интересуйтесь папкой домены. В ней должны быть только ваши сайты.
  3. Некачественный хостинг для сайта. Провайдеры имеют уязвимости, если ваш хостинг не заботится о защите себя как внешней, так и внутренней, то вероятность взлома вашего сайта достаточно высокая. У вас в личном кабинете должна быть антивирусная защита и должен быть монитор нагрузки на сервер. Это минимальный набор который позволит вам следить за безопасностью вашего сайта. Совет: прежде чем заказывать сайт решите вопрос где будет размещен ваш сайт и не экономьте на хостинге. Эта экономия приведет к большим потерям в последствии.

В качестве примера важности подбора качественного хостинга можно привести пример одного из обращений в нашу компанию:

Обратился клиент “у меня не работает сайт” перед началом работ отправили на тестирование сайт. Результаты показали странные файлы в каталоге файлов. Отправили на проверку на вирусы все аккаунта клиента на хостинге. Антивирус показал – что на техническом имени есть официальная заглушка хостинга, которая заражена и передала вирус на сайт. По счастливому стечению обстоятельств действие по активации вируса на основном сайте не было запущено и сайт работал. Пролечив все – проблема была устранена до падения сайта клиента.

Сигналом о том, что у вас могут быть проблемы с сайтом, может быть резкий всплеск нагрузки на сервер. Его нужно регулярно отслеживать на хостинге. Данный параметр может говорить о резком всплеске активности посетителей на сайте, о попытках вскрытия вашего сайта, не правильной работе модулей вашего сайта и неправильной настройке в общем сайта, причин всплеска нагрузки может много. Но если всплеск происходит значит что-то работает не правильно и нужно анализировать данные и принимать меры по защите сайта.

Так же не мало важным моментом в работе с хостингом является количество хранимых им резервных копий и частота их создания. При обычной работе по поддержке сайта важно иметь ежедневную копию сайта. При восстановлении сайта после взлома важно иметь возможность откатиться на минимум 4-5 дней – это связано с периодом обнаружения проблемы и механизмом действий вируса на сайте. Чем больше ваш хостинг хранит копий тем лучше для вас. Хороший хостинг – минимум 5 дней.

Безопасность WordPress

Проблемы безопасности WordPress давняя тема для дискуссий. Основная проблема уязвимости сайтов это популярность данной CMS, но это же одновременно является ее преимуществом. Давняя претензия к WordPress возможность подобрать логин и пароль к системе давно устранена. Современная версия изначально генерирует сложные пароли, которые требуют много машинного времени на подбор. Но проблемы все равно остаются и к сожалению время от времени всплывают.

  • Вход в CMS – все знают что вход в админ-панель /wp-admin.
  • По умолчанию логин администратора – admin.
  • Пароль на вход, в базовых настройках – 6 цифр и букв. Спасибо что не 123456.
  • Версия WordPress отображается всем желающим поинтересоваться вашим сайтом.
  • Доступ для просмотра к системным файлам системы для желающих.
  • и много интересной информации о сайте в коде

Это все упрощает работы как по массовому вскрытию ваше сайта, так и заказному для вашего сайта. Тут нужно немного пояснений:

  • заказное вскрытие сайта – это когда ваш сайт специально вскрывают для определенных целей. Заказать вскрытие может как ваш конкурент, так и любой человек желающий вам причинить вред. Данный тип взлома характеризуется уровнем квалификации взломщика. Полностью устоять перед подобным взломом невозможно (напомню, что и сайт пентагона регулярно ломают), но можно сделать взлом вашего сайта не целесообразным. Совет: для того чтобы минимизировать свои потери, регулярно делайте резервные копии и сохраняйте их.
  • массовое вскрытие сайтов – это когда на всех сайтах ищутся “дыры” и потом массово ломаются. Поясню: ваш сайт кроме посетителей регулярно посещают и разнообразные боты. Их задача собрать информацию о сайте. Например: для того чтобы вы выдавались в поиске Google к вам регулярно заходит их бот и берет информацию о ваших текстах, стилях и коде сайта – это хороший бот. Так же к вам заходят боты которые: считывают информацию о вашей CMS (WordPress), о ее версии, о теме которая у вас стоит, о плагинах которые вы используете на сайте.
    На основании этих данных формируется база данных для взлома. Далее запускается механизм по которому, допустим, все сайты с плагином “А” имеют уязвимость в точке “1”. В эту точку подсаживается определенный код. Потом по действию активирующему данный код получается некое действия в результате которого все сайты с параметрами “А” и “1” перестают работать и начинают проводить действия предписанные им вживленным кодом. В этом случае ваш сайт просто попадает в число сломанных сайтов. Совет: регулярно обновляйте сайт, но при этом соблюдайте то же меры предосторожности (перед обновлением посоветуйтесь с вашим администратором сайта).

Для того чтобы у вас не было проблем с системой нужно просто в самом начале настроить WordPress и соблюдать простые правила безопасности.

Так же нужно напомнить что SSL-сертификат это не просто “зелененький замочек” это безопасное соединение вашего сайта с браузером посетителя. Установка и настройка его на сайте не прихоть поисковиков, а один из пунктов безопасности вашего сайта и защиты ваших посетителей.

Предупреждение: есть информация что в 2021 году будут изменены требования в выпуску сертификатов. И некоторые типы сертификатов могут не работать. Вам нужно обратить на внимание на работу вашего сертификата и при необходимости перевыпустить.

Уязвимости тем и плагинов

Данная уязвимость и самая простоя и в тоже время самая сложная, имеющая много параметров и зависящая от многих факторов.

Советы по безопасности Тем WordPress

  1. Скачивайте только из официального репозитария (https://wordpress.com/themes) или крупных бирж специализирующихся на продаже тем (templatemonster.com или themeforest.net).
  2. Не используйте вскрытые платные темы – вы не знаете какие сюрпризы вам приготовили в коде
  3. При использовании бесплатной темы из репозитария внимательно проверяйте код темы. Вирусов в них нет, но безопасность вашего сайта это не только вирусы но и возможности вашего продвижения сайта. Частая проблема – ссылки зашитые в код и ведущие на другие сайты которые продвигает разработчик темы.Защита сайта на WordPress - здоровье сайта
  4. Темы написанные специально для вас. Редко бывает прямое уменьшение безопасности. Чаще всего бывает ситуация при которой тема не обновляется, потому что разработчик не выпускает обновлений, тема же сделана под ваш сайт. При этом WordPress это живая экосистема, которая постоянно меняется. Из-за этого ваш администратор устанавливает запрет на обновления и вот тут вы получаете уязвимости. Если вы хотите использовать тему сделанную под ваш сайт, проговорите с разработчиком ее регулярное поддержание и обновление.

Советы по безопасности Плагинов

  1. Не скачивайте плагины из неизвестных мест, только репозитарий и официальные биржи кода.
  2. Не устанавливайте на сайт вскрытые или не обновляемые плагины.
  3. Регулярно следите за “здоровьем сайта” в панели администратора.
  4. Регулярно проверяйте нагрузку на сервер на хостинге.
  5. Регулярно обновляйте плагины

Эти простые правила помогут вам избежать многих проблем со вскрытием сайта.

Настройка безопасности WordPress

Рассмотрим что вам нужно сделать для организации защиты вашего сайта:Защита сайта на WordPress-настройка

  1. заменить логин администратора во вкладке “Пользователи”-> “Все пользователи”->”admin”. Логин может быть вашем именем, набором букв и цифр, чем угодно. только не admin и administrator. Не должен быть доменом вашего сайта и вашей электронной почтой.
  2. Там же генерируем новый пароль –  в современных версиях он достаточно сложный. Этого достаточно. Записываем его в файл и сохраняем на флэшку.
  3. Проверяем нет ли у вас пользователей о которых вы ничего не знаете. Удаляем лишних.
  4. Ставим SSL-сертификат
  5. Защищаем публикации через e-mail. Удаляем всю информацию о сервере, логин и пароль.
  6. Меняем URl страницы входа в админ-панель. Это можно сделать или через плагины безопасности или самостоятельно прописать код:
    1. Меняем wp-config.php – вставляем код в начало после php:

      define('WP_ADMIN_DIR', 'qwerty');
      define( 'ADMIN_COOKIE_PATH', SITECOOKIEPATH . WP_ADMIN_DIR);
    2. Добавляем код в файл wp-includes/functions.php
      add_filter('site_url', 'wpadmin_filter', 10, 3);
      function wpadmin_filter( $url, $path, $orig_scheme ) {
      $old = array( "/(wp-admin)/");
      $admin_dir = WP_ADMIN_DIR;
      $new = array($admin_dir);
      return preg_replace( $old, $new, $url, 1);
      }

      /*перекрываем старый url wp-admin*/
      add_action( 'init', 'block_wp_admin' );
      function block_wp_admin() {
      if(strpos($_SERVER['REQUEST_URI'],'wp-admin') != false){
      wp_redirect( home_url().'/404' );
      exit;
      }
      }
    3. Правим файл .htaccess. После “RewriteEngine On” добавляем

      RewriteRule ^aaa/(.*) wp-admin/$1?%{QUERY_STRING} [L]

      Где aaa – желаемый url страницы

    все на старом url у нас выводится ошибка, новый /aaa

  7. Убираем отображение версии WordPress и служебной информации. Это можно сделать при помощи плагина или самостоятельно.
    Самостоятельно это можно сделать добавив код в файл functions.php:

    /* Remove WP version */
    function remove_version_info() {
    return '';
    }
    add_filter('the_generator', 'remove_version_info');
    /* Удалить версии скриптов и стилей */
    function remove_wp_version_strings( $src ) {
    global $wp_version;
    parse_str(parse_url($src, PHP_URL_QUERY), $query);
    if ( !empty($query[‘ver’]) && $query[‘ver’] === $wp_version ) {
    $src = remove_query_arg(‘ver’, $src);
    }
    return $src;
    }
    add_filter( ‘script_loader_src’, ‘remove_wp_version_strings’ );
    add_filter( ‘style_loader_src’, ‘remove_wp_version_strings’ );
    ?>

Это базовые настройки защиты сайта на WordPress.

Более серьезную работу по настройке безопасности сайта лучше проводить при помощи специализированных плагинов. Так эти настройки требуют определенных знаний и делаются под каждый конкретный сайт отдельно, то лучше эту работу доверить профессионалам.

Соответственно, безопасность сайта – это не что иное как безопасность вашего бизнеса. Простой сайта или упавшие позиции в поисковой выдаче это уязвимость безопасности вашего бизнеса.

Чем грозит сайт с вирусами

Заражение сайта вирусами является угрозой для вашего бизнеса, а так же угрозой для посетителей. И если угроза бизнесу касается только вас, то за угрозами для посетителей следят поисковые системы.

И поисковая система считает основной вашей задачей организовать безопасность сайта и предотвратить нежелательные действия вашего сайта против посетителей. Поэтому, если ваш сайт после взлома переадресовывает посетителей на другой “плохой” сайт или пытается получить данные посетителей, то поисковые системы воспринимают ваш сайт как угрозу и блокирую его, накладывая санкции и поисковые фильтры.

Ваш сайт отныне считается вредоносным и попадает под фильтры. Поисковые фильтры накладываются на сайт в течении 3-5 дней (зависит от частоты захода поисковых ботов на ваш сайт) от момента взлома. Выход из под санкций поисковиков в среднем от 3 до 6 месяцев, после устранения последствий взлома сайта.

Сайт под фильтром приведет к долгосрочному провалу в посещениях сайта, соответственно и продажах. Поэтому оперативное устранение проблемы “не работающего” и взломанного сайта сайта так важно: нужно быстро вылечить сайт и не попасть под фильтры.

Проверка сайта на вирусы сервисами

Если на сайте вы увидели “странную абракадабру”, картинки, рекламные баннеры, которые вы не размещали, то вероятнее всего вебсайт заражен. Если сайт на обслуживании, то необходимо срочно обратиться к админу. Обращаться к сервисам, проверяющим наличие вируса уже нет смысла, так как все признаки уже на “морде” сайта есть, а время уходит. Нужно приступать к лечению.

Проверка на вирусы сторонним анализатором может даже не показать заражение или показать только проблемы внешнего вывода сайта, без анализа файловой структуры. Есть антивирусные анализаторы в интернете которые запрашивают ваши доступы к хостингу и теоретически могут проверить и файловую систему сайта. Но возвращаемся к пп 1 данной статьи никто посторонний не должен знать ваши доступы к хостингу. Поэтому важно иметь на хостинге антивирусную проверку которая проверит ВСЕ ваши файлы в аккаунте. И проверять сайт на вирусы нужно регулярно!

Лечение будет состоять из проверки, выявления и чистки всех зараженных мест на сайте. Достаточно воспользоваться нашими советами и получите защиту сайта на WordPress от взломов практически на 90%.

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 5 / 5. Количество оценок: 3

Оценок пока нет. Поставьте оценку первым.

Так как вы нашли эту публикацию полезной...

Подписывайтесь на нас в соцсетях!

Поддержка, администрирование