Як захистити wordpress від злому безпеку вордпресс

Сьогодні злом WordPress являє собою досить небезпечну поширену проблему. Мені здається, що з 10 блогерів приблизно 6 піддаються або злому їх сайту, або заражаються шкідливим ПЗ.

Між зараженням шкідливим ПЗ і зломом зовсім невелика різниця. Хоча, до тих пір, поки ваш ресурс не стане мега-популярним або поки у вас не виникне особистих розбіжностей з хакером, я не бачу причин, чому ваш сайт може бути підданий злому. Якщо хакер захоче, він може запустити ботнетів, влаштувати DDOS-атаку, і протягом пари секунд «покласти» ваш сайт, і якщо ви при цьому використовуєте віртуальний хостинг з іншими сайтами, то ваш шанс захиститися дорівнює приблизно нулю. Але не варто відразу лякатися. Я говорю це лише тому, що найчастіше блоги інфікують шкідливим ПЗ або піддаються злому через наявність відкритих дірок безпеки.

Простіше кажучи, в більшості випадків, хакери просто проводять масове сканування сайтів на наявність уразливості, а потім просто заражають сервер шкідливим ПЗ, що дозволяє проникнути інфекції і на інші сайти. Шкідливе ПО може бути дійсно важким для блогерів. На відміну від простої зміни файлу .htaccess, що можна з легкістю виправити, ПО може проникнути всередину ваших скриптів, в файли шаблону, базу даних і т.д.

Тепер, так як ви вже знаєте, що таке шкідливе ПО, і на що воно здатне, дозвольте я почну свою історію. Отже, ви вже зрозуміли, що недавно деякі з моїх блогів піддалися зараженню. Кому до цього є діло, вірно? Нікому до цього немає справи, але я б хотів поділитися важливою інформацією про те, як я виявив факт вторгнення, і як я позбувся шкідливого ПЗ.

Мене не лякав той факт, що я потрапив в чорний список, так як завжди знайдуться способи це виправити. Проте, я був схвильований тим, як це може вплинути на мою репутацію і ставлення користувачів до мене. Уявіть, що ви знаходите в результатах пошуку Google сайт з моїм ім'ям, який відзначений як небезпечний вірусний сайт? Ви напевно подумаєте, що я якийсь спамер або ще гірше. Але ви навряд чи задумаєтеся про те, що я і сам можу бути жертвою, а вже тим більше навряд чи задумаєтеся про те, що заражені були, наприклад, інші блоги на нашому спільному віртуальному хостингу. Це дійсно може негативно позначитися на репутації власника блогу. Мені здається, ви можете уявити собі таку картину.

Після деякого дослідження, я виявив на сервері багато зайвого барахла. Пам'ятаєте, я казав, що в більшості випадків хакери роздобувають доступ за допомогою дірок? У моєму випадку все було не так.

Я виявив, що скачав троян з якогось сайту, який був запущений на моєму комп'ютері на Windows 7. Багато людей хваляться тим, що у них кращі антивіруси: Kaspersky, Avast, Nod 32 і так далі. Дозвольте повідомити вам, що я використовував більшість з них, і всі вони не змогли мені допомогти.

Тепер ви, ймовірно, задається питанням про те, що якщо Avast, настільки хороший, яким же чином мій комп'ютер був схильний до зараження? Відмінний питання: я неймовірно багато сиджу в інтернеті, а мій комп'ютер на ОС Windows запущений 24/7. Avast має автоматичний захист, а блокування сайтів включена постійно. На жаль, пару тижнів тому, після поновлення Avast, я виявив баг, який відключив захист з блокуванням сайтів. Я не помітив цього, або може бути навіть проігнорував, не думаючи про те, наскільки все може бути серйозно. Я помилявся.

Я використовував Avast на 2-х своїх комп'ютерах, що працюють на Windows, вже на протязі 1.5 років і, судячи за моїми особистими дослідженнями, цей інструмент захищає від досить великої кількості гидот. Ніщо не ідеально, але якби мені довелося вибирати антивірус ще раз, я б все одно вибрав Avast.

Кого тут можна звинувачувати? Новачка на вашому віртуальному хостингу? Вас самих? Хакера? Або антивірус? Давайте нікого звинувачувати не будемо, і замість цього постарається бути відповідальними і пильними. На даний момент я не можу надати вам всеосяжного керівництва про те, як усунути шкідливе ПО з сервера, так як, як я вже зазначав вище, в більшості випадків вам легше буде просто скористатися послугами якого-небудь фахівця. Я не кажу, що це неможливо зробити самостійно, я просто намагаюся краще захистити ваші сайти і блоги на wordpress.

Сканування, визначення та усунення шкідливого ПО

Спочатку проскануйте ваш ПК за допомогою безкоштовного сканера cureit від DrWeb і усуньте все шкідливе ПО, яке знайдете (якщо знайдете). Ваш комп'ютер повинен бути захищений в першу чергу, так як він може виступати в ролі точки доступу, через яку зловмисник проникає на ваш сервер

Захищаємо WordPress від шкідливого ПО

Тепер, коли ви позбулися від шкідливого ПО, яким був заражений ваш блог, можна приступити до установки декількох плагінів і підкрутка деяких кодів. Давайте приступимо!

міняємо паролі

Це найважливіший етап, і його не можна ігнорувати. Я пам'ятаю, як спілкувався з фахівцем з безпеки в інтернеті, і він сказав мені, що можна навіть не боятися нічого, якщо в запасі є резервна копія сайту. Я тоді завмер на мить, і ця фраза відклалася у мене в пам'яті, тому що резервної копії у мене не було ... Благо на той момент мій блог був зовсім маленьким, але я спробував уявити, який плачевною була б ситуація, якби це був блог з тоннами інформації та контенту.

Тепер, коли у вас є повна резервна копія вашого блогу на WordPress, вам можна не турбуватися про що-небудь, тому що ви завжди зможете відновити нормальну версію. Тепер прийшов час розібратися з плагінами для безпеки сайту.

1. WP Security Scanner

Це полегшений сканер від Website Defender. Встановіть його і просто пройдіть по етапах. Тут є опція, що дозволяє вам перейменувати приставку таблиць в базі даних. Змініть її на щось, що буде складно вгадати. Зазвичай WordPress встановлюється з приставкою wp_. Це полегшує хакерам завдання з виявлення слабких баз даних, за допомогою яких можна реалізувати проникнення.

2. Better WP Security

Better WP Security включає в себе кращі функції безпеки WordPress. Цей плагін здатний запропонувати вам практично все необхідне, і він повинен бути плагіном №1 у кожного блогера. Запитайте «чому?». Та тому що за допомогою всього одного кліка ви зможете активувати багато необхідні функції безпеки системи для просунутих користувачів, плагін сам створить і модернізує .htaccess таким чином, щоб підвищити безпеку вашого блогу. Вам не доведеться вручну створювати .htaccess і піклуватися про кодах. Дозвольте плагіну зробити все за вас.

Після установки і активації плагіна, нам потрібно буде зробити ще дещо. Перш за все, вам потрібно буде в один клік включити «secure from basic attack», і подивитися, скільки зелених і синіх пунктів вам буде відображено. Обидва кольори повідомляють, що все ок! Зелений колір відповідає за відмінний захист, а синій як би говорить вам, що ви можете зробити цей пункт зеленим, але тоді не будуть працювати деякі плагіни і тому можна залишити все на своєму місці. Червоний же колір говорить про небезпеку.

Тепер клацніть по вкладці «hide backend» і включіть цю опцію. Функція «hide backend» змінює URL, по якій ви можете здійснити доступ до внутрішнього інтерфейсу WordPress.

Якщо ви тільки що встановили свіжу версію WordPress, то я рекомендую вам клікнути по вкладці «Content Directory», і змінити назву директорії. Це додасть ще один рівень безпеки. Але робити це варто тільки якщо ваш блог абсолютно новий! Пам'ятайте, що якщо ви зміните директорію на вже працюючому блозі, то більшість посилань перестане працювати.

Основне завдання тут полягає в тому, щоб змінити коди для підвищення безпеки. Пограйте з опціями, і подивіться, який варіант вам підходить найбільше. Наприклад, я можу змінити все сині пункти на зелені, так як це не вплине на роботу мого блогу або встановлених плагінів. Проте, ті ж настройки можуть істотно позначитися на роботі вашого блогу або встановленого шаблону. Як я вже і сказав, тут відмінно працює метод проб і помилок. Я сьогодні розповів вам про важливі кроки, і тільки від вас залежить - зробите ви їх чи ні.

Викачуємо .htaccess і robots.txt

Сьогодні я також вирішив поділитися в вами відмінним файлом .htaccess. Ви можете завантажити його безкоштовно, і завантажити в свій кореневий каталог з сайтом. Будь ласка, не забудьте його відредагувати відповідно до ваших вимог. Не всі блоги і сайти працюють за однаковим принципом. Але мені здається, що він буде працювати нормально, і якщо ви використовуєте плагін better wp security, то вам він навіть не знадобиться. Проте, я сюди включив ще деякі коди, які плагін не створить самостійно, так що ви можете завантажити цей файл в кореневій каталог, а потім дозволити плагіну відредагувати його. Вибір за вами!

Я навіть не знаю, радіти мені чи сумувати з приводу того, що мої блоги зламують і піддають зараження. Іноді я думаю, що якби мій блог не був зламаний, то я б і не задався ідеєю написати подібну статтю, і тоді мої Новомосковсктелі б не дізналися про мій досвід, адже все, що я пишу - це мій особистий досвід і пройдені етапи в життя і нашу спільну справу. Як я вже говорив раніше, не існує повноцінного гарантованого способу захистити ваш блог, але якщо робити хоч якісь кроки для його захисту - у вас все вийде. У вас піде не більше пари годин на те, щоб зробити все, що описано в цій статті, і в подальшому це принесе вам величезну вигоду! Тепер ідіть, і захищайте свій блог від лиходіїв!