Улучшаем безопасность в ВордПресс за десять шагов

Защита WordPress

Зона администрирования любого интернет-ресурса стала предметом хакерских атак, и рассматриваемая платформа не является исключением. Поэтому безопасность сайта wordpress стала предметом особой заботы со стороны разработчиков. При создании блога система также создает административный аккаунт с применением пароля, сформированного методом случайной генерации. Он препятствует осуществлению несанкционированного доступа к системным настройкам, и защита админки wordpress обеспечивается на высоком уровне.

В этой статье сделан акцент на способах, при использовании которых защита сайта на wordpress станет более надежной. Это имеет прямое отношение как к панели администратора, так и к настройкам блоггера. Ведь от надежности выбранного пароля зависит безопасность вордпресс.

Чтобы сделать попытки проникновения хакеров в вашу святую святых непосильными, необходимо выполнить ряд действий, которые создадут определенные препятствия на пути взломщиков. Эти действия не дают гарантии 100% безопасности, но помогут обеспечить безопасность wordpress.

Что же надо предпринять?

 
1. Присваиваем папке wordpress новое имя

Путь к месту расположения wp-content изменяется с версии 2.6. Но это не касается папки wp-admin. Блоггерам ничего не оставалось, как сжиться с этим фактом. Они питают надежду на возможные нововведения в следующих версиях. Не дожидаясь изменений, сделайте вот что:

  • распакуйте архивные файлы WordPress;
  • присвойте папке с одноименным названием другое имя;
  • измените файловые настройки wp-config.php;

Что мы получим в результате проделанных манипуляций?

  • Файлы WordPress будут отделены от других в корневом каталоге, что поднимет уровень ясности.
  • Многочисленные копии WordPress будут устанавливаться в параллельном режиме в разноименные папки, не взаимодействуя друг с другом, что создаст благоприятные условия для проведения тестирования.
  • Админка, включая блог целиком, будет выведена из корневой папки, затруднив поиск цели взломщикам.

Установка в root-каталог не одной версии – это реально

другая директория Вордпресс

При отсутствии файлов системы в папке корня и переименовании установочной папки доступность блога по адресу, обозначенному как мой-сайт.ru сохраняется. Обратите внимание на вкладку «Общие настройки». Зайдя в нее, заполните адресное поле, введя действительный серверный адрес блога согласно приведенному примеру:

Адрес сайта

Введенный адрес должен отличаться красотой и ненавязчивостью.

2. Доводим до совершенства файл wp-config.php

Файл конфигурации wp-config.php включает сведения о настройке ресурса и информацию, необходимую для доступа к базам с хранящимися данными. Здесь же и прочие настройки, от которых зависит защита wordpress. Они расположены внизу списка.

При отсутствии вышеуказанных значений или при наличии установленных по умолчанию требуется либо добавить, либо внести изменения в них.

Ключи безопасности (всего их восемь) требуют правильной установки, и система WordPress избавляет вас от необходимости заниматься выдумыванием содержания строк, генерируя их по своему усмотрению. Вы просто ставите ключ в необходимую файловую строку. Использование ключей является обязательным требованием при обеспечении безопасности.

Табличный префикс нового блога должен отличаться от стандартного wp_.Усложните значение префикса, минимизировав вероятность несанкционированного доступа к табличным данным MySQL. Приемлемый вариант префикса: $table_prefix = ‘my_prefix_’. Неприемлемый — $table_prefix = ‘wp_’. Ввод этого значения требуется осуществить однократно. Оно больше не понадобится.

При серверной доступности SSL-шифрования, задействуйте его в качестве защитной меры для зоны администратора. Это легко достигается командой

define('FORCE_SSL_ADMIN', true);

в файле wp-config.php. Возможна также регулировка и остальных настроек системы в файле конфигурации. Полный перечень настроек прописан в Кодексе.

define('AUTH_KEY',         'впишите сюда уникальную фразу');
define('SECURE_AUTH_KEY',  'впишите сюда уникальную фразу');
define('LOGGED_IN_KEY',    'впишите сюда уникальную фразу');
define('NONCE_KEY',        'впишите сюда уникальную фразу');
define('AUTH_SALT',        'впишите сюда уникальную фразу');
define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
define('LOGGED_IN_SALT',   'впишите сюда уникальную фразу');
define('NONCE_SALT',       'впишите сюда уникальную фразу');

Не игнорируйте использование правильных ключей для обеспечения безопасности. По этому лучше всего генерируйте ключи сейчас и вставьте их в данный момент.

3. Меняем место размещения файла wp-config.php

WordPress дает возможность файлового перемещения уровнем выше. Обозначенный файл обладает высокой ценностью благодаря той информации, которую он содержит. Настройка пути перемещения самостоятельно невозможна. Это делается в автоматическом режиме, и, при необходимости, wordpress обращается к папке, имеющий более высокий уровень.

4. Обеспечиваем файловую защиту wp-config.php

К сожалению не всеми серверами ISP поддерживается процесс передачи данных на более высокий уровень. Имеется определенный недостаток прав для этой операции. Если вы являетесь владельцем более чем одного блога, то при определенном порядке структурирования папок разместить в корневом каталоге все файлы не получится. Это происходит из-за совпадения файловых имен для каждого блога. Единственный вариант – недопущение доступа к wp-config.php, с использованием файла .htaccess.

<files wp-config.php>
    Order allow, deny
    Deny from all
</files>

Файлы .htaccess и wp-config.php должна объединять одна директория.

5. Удаляем административную учетную запись

Установка WordPress предполагает создание административной учетной записи с присвоением никаadmin. Он присваивается по умолчанию. В этом есть определенная логика, хотя подобный ник представляет собой четкую мишень для злоумышленников. Их арсенал программ, способных подбирать пароли, сделает свое дело.
Как же это предотвратить?

  • Однократно увеличьте количество пользователей с административными правами и любым другим ником.
  • Прекратите рабочий сеанс.
  • Осуществить вход, используя новый аккаунт.
  • Ликвидируйте старую административную учетную запись.

В случае, когда вы проделывайте эти операции со старым блогом, то при удалении следует выбирать пункт «Связать всё содержимое:» и указать нового пользователя.

Удаление пользователя

Логин этого пользователя должен иметь отличия от его имени, указанного в постах.

6. Выбираем надежный пароль

Спрогнозировать частоту атак возможно, основываясь на популярности блога. Необходимо обладать четкой уверенностью в отсутствии слабых мест в выстроенной системе безопасности сайта.

Зачастую именно пароли дают слабину. Это свидетельствует о необдуманности при их создании. Проведенные наблюдения доказали присутствие элемента односложности в словах для пароля, которые легко подбираются благодаря этому факту. Эти слова набираются в одном регистре. При создании пароля в WordPress цветовой индикатор говорит о надежности генерируемого пароля.

Надежный пароль wordpress

При формировании пароля вводите не менее семи символов и используйте комбинацию строчных с прописными, а также специальные символы.

7. Организуем защиту wp-admin

Защиту зоны администрирования требуется удвоить. Регулировка ее уровня осуществляется посредством .htaccess, который располагается в папке wp-admin наряду с .htpasswd, хранящим пользовательский логин с паролем. Зайдя в упомянутую папку, введите их. Авторизационный процесс подконтролен серверу, а не WordPress. Для быстрой генерации .htaccess и .htpasswd обратитесь к этому сервису.

8. Накладываем запрет отображения ошибок на странице авторизации

Вхождение в зону администрирования начинается со страницы авторизации. При прохождении авторизации количество попыток никак не ограничивается. Да еще и выводятся подсказки относительно возникающих ошибок. Это играет на руку хакерам. Они сэкономят время, просматривая эти подсказки, и без труда поберут необходимую комбинацию логина и пароля.

Вы наверное уже и сами представляете на сколько упрощается жизнь тому хакеру, который решил поломать сайт с доброжелательными подсказками. Для того, чтобы удалить подсказки создадим с помощью вордпресс хука функцию, которая будет возвращать «ни чего» и разместим все это в файде functions.php в каталоге вашей темы:

add_filter('login_errors', create_function('$a', 'return null;'));

или если у вас PHP >= 5.3 то можно и так:

add_filter('login_errors', function($a){return null;});

Первоначальный вид страницы:

С ошибками от WordPress

Вид после ее изменения:

Без ошибок от WordPress

9. Ограничиваем число попыток авторизации

Статистический учет количества попыток авторизации в WordPress отсутствует. Для администратора это является неудобным моментом в связи с отсутствием возможности просмотра попыток несанкционированного доступа. Улучшить авторизацию можно двумя путями, тем самым решив данную проблему. Используются два плагина защиты wordpressLoginLockDown и LimitLoginAttempts. Эти инструменты ограничивают количество провальных попыток авторизоваться путем блокировки IP-адреса совершающего подобные действия.

10.Поддерживаем актуальные версии

Создатели WordPress молниеносно реагируют на обнаружения уязвимостей различного характера, рекомендуя проведение регулярных и своевременных обновлений движка. Плагины тоже должны не терять актуальность. Проводите активацию только необходимых плагинов, так как каждый из них несет в себе определенные риски в отношении безопасности будучи разработанным другими разработчиками.

Если вы, прочитав все изложенное, считаете себя далекими от подобной тематики, а имеющаяся проблема безопасности сайта требует конкретных решений, то на помощь придут плагины безопасности wordpress, например, такие как iThemesSecurity, упоминаемый в этой статье улучшаем безопасность wordpress. С его помощью настройка безопасности wordpress не вызовет затруднений.




Оставить комментарий

Чтобы оставить комментарий Вам необходимо авторизоваться.