WordPress является одним из самых опасных компонентов веб-программного обеспечения, которое вы можете установить на свой сервер. Хакер может вызвать настоящий хаос при доступе к вашей учетной записи администратора WordPress. Поверьте, я знаю это из первых рук! Хотя хакеры или спамеры могут злонамеренно удалять или изменять контент, худшие не будут. Они с большей вероятностью пробьют несколько ссылок в ваш контент или разместят фишинговые сайты глубоко в вашей файловой структуре. Вы узнаете, что ваш сайт был взломан только тогда, когда Google, PayPal или банк связались с вами. Изменение пароля также недостаточно. Первое, что сделает хакер, это установит плагин для просмотра файлов. Это позволит им загружать системы, которые могут создавать дополнительные учетные записи администратора WordPress или размещать дополнительные фишинговые страницы на вашем сайте.
Установка в первый раз?
Если вы начинаете новую установку WordPress, вы можете предпринять несколько шагов, обеспечивающих дополнительную безопасность с первого дня. 1. Используйте надежные имена баз данных MySQL. Я рекомендую использовать новую базу данных для каждой установки WordPress. Тот факт, что WordPress может устанавливать таблицы в существующей базе данных, не означает, что вы должны это делать! Необходимо иметь надежные идентификаторы и пароли: избегайте именования вашей базы данных «wordpress» с помощью идентификатора пользователя «user» и пароля «password». Их можно установить только один раз, поэтому они могут быть настолько сложными, насколько вы захотите. Если вы их забыли, вы можете проверить детали в wp-config.php Автоматизируйте процесс, чтобы его нельзя было забыть. 2. Установите пользовательский префикс таблицы. По умолчанию WordPress использует префикс таблицы wp_wp_postswp_users Измените префикс, чтобы стало труднее выполнять запросы SQL-инъекций и подобные атаки.
Безопасность после установки
Вы можете добавить дополнительные защитные стены после успешной установки. 3. Заблокируйте wp-config.php Как уже упоминалось, wp-config.php Следующая запись в файле .htaccess
<files wp-config.php> order deny,allow deny from all</files>
4. Избегайте использования идентификатора администратора по умолчанию. До версии 3 WordPress устанавливал идентификатор первой учетной записи администратора на «admin». Установщик версии 3 дает вам возможность изменить его, но я подозреваю многих, кто обновлялся из более ранних выпусков. никогда не делал. Если хакер знает, что ваш идентификатор «admin», все, что ему нужно сделать, это угадать пароль. Создать новую учетную запись администратора легко, а затем удалить «admin» из раздела «Пользователи». Не забудьте также использовать надежный пароль. 5. Ограничьте доступ к вашему IP-адресу. Если у вас есть только несколько пользователей WordPress, имеющих доступ к панелям администрирования, вы можете ограничить доступ к этим IP-адресам. Если вы используете Apache, создайте файл .htaccesswp-admin
order deny, allowallow from 1.2.3.4 # user 1 IPallow from 5.6.7.8 # user 2 IP, etcdeny from all
Аналогичные условия могут быть настроены для IIS. Обратите внимание, что вы не можете использовать этот метод, если у вас есть динамический IP-адрес; однако при необходимости вы можете реализовать дополнительный уровень базовой аутентификации по паролю сервера. 6. Удалите ссылки WordPress из вашей темы . Хакер попытается взломать WordPress, только если узнает, что вы его используете. Вы можете удалить все ссылки на CMS и номер ее версии в файлах темы; например, большинство файлов header.php
<meta name="generator" content="WordPress" />
Удаление этих ссылок не сможет остановить закоренелого хакера, но это сделает его менее очевидным для сценаристов. 7. Регулярно обновляйте Если вы все еще используете WordPress 1.5, возможно, пришло время для обновления. Более новые версии исправляют многие из опубликованных эксплойтов, и, используя последнюю версию, вы знаете, что у хакеров было меньше времени, чтобы отточить свои навыки. 8. Установите хорошие плагины безопасности … На сайте WordPress есть коллекция плагинов безопасности с полезными описаниями и отзывами других пользователей. Плагин WP Security Scan сканирует вашу установку WordPress на наличие уязвимостей и предлагает исправления безопасности. 9.… но будьте осторожны с тем, что вы устанавливаете Интернет переполнен отличными и не очень хорошими бесплатными плагинами и темами для WordPress. Любой из них может содержать вредоносный код, передавая ключи для вашей установки. Будьте внимательны и, по возможности, тестируйте код локально, прежде чем развертывать его на своем работающем сервере.
10. Меня взломали! Что мне делать?
Если вы получили электронное письмо с предупреждением о фишинге на вашем сайте, я бы порекомендовал следующий порядок действий:
- Измените все пароли вашего сайта, такие как FTP, cPanel, SSH и т. Д.
- Если у вас нет последней резервной копии базы данных, экспортируйте ваши статьи в файл WordPress XML. Дважды проверьте его на наличие любого кода PHP или неожиданного содержимого.
- Запишите любые плагины или настройки, которые вы используете.
- Если это абсолютно необходимо, загрузите файлы ресурсов, такие как изображения или видео, но проверьте каждый из них, чтобы убедиться, что это то, что вы ожидаете.
- Сотрите свои файлы и базу данных с вашего сайта. Это все, а не только папки WordPress.
- Вернитесь в начало этой страницы и выполните новую переустановку.
Могу поспорить, что вы хотели бы обеспечить безопасность WordPress раньше! Есть ли у вас какие-либо советы по улучшению безопасности WordPress? У вас есть какие-нибудь истории с хакерами?
Если вы хотите узнать больше от Крейга, подпишитесь на нашу еженедельную новостную рассылку Tech Times .