Безопасности никогда не бывает много. Никакие способы защиты не дают 100% гарантии. Эти два правила в полной мере касаются и сайтов на CMS WordPress. Взламывают сервера Пентагона, по корпоративным сетям гуляет вредоносное ПО, крупнейшие интернет-сервисы мира «теряют» конфиденциальную информацию миллионов пользователей. При этом у Министерства обороны США, «Coca-Cola» и Google возможности обеспечить собственную безопасность несоизмеримо выше, чем у самого продвинутого вебмастера.
Но есть и хорошие новости. Во-первых, вероятность того, что величайшие хакерские умы планеты заинтересуются вашим сайтом, стремится к нулю. Во-вторых, пусть мы не можем обеспечить 100% безопасности, но 98% или 95% – тоже неплохо. Итак, приступим. Строим линию обороны сайта на WordPress.
Спасение утопающих – дело рук самих утопающих
Никто не займется безопасностью вашего сайта, кроме вас самих. Но не стоит пугаться, обеспечить базовую защиту не так сложно.
Вот лишь некоторые способы:
- выбирайте безопасный хостинг: VPS всегда будет в разы безопасней, чем «коммунальная квартира» виртуального хостинга, а известный хостер – чем контора «Рога и копыта»;
- используйте последние версии ядра CMS, PHP, темы, расширений: в старых релизах уязвимости обнаруживаются, в новых апдейтах исправляются;
- используйте сложные пароли, храните их в недоступном никому (кроме вас) месте, замените логин «admin» при авторизации в WP (для этого нужно добавить нового пользователя в консоль > Пользователи и назначить ему роль «Администратор»);
- используйте двухфакторную аутентификацию;
- поставьте плагины безопасности.
На последнем пункте остановимся подробней. Рассмотрим несколько проверенных расширений.
Wordfence Security
Самый популярный и эффективный файрвол и сканер вредоносного ПО для WordPress с числом активных установок более 3 миллионов. Решает целый ряд проблем безопасности, в том числе блокирует подозрительный трафик, ограничивает количество попыток входа и вводит двухфакторную авторизацию.
Большинство функций доступно в бесплатной версии, которую можно использовать для любого количества сайтов на WordPress. В премиальный пакет входит блокировка IP по черному списку в реальном времени, блокировка входящего трафика из определенной страны, обновление сигнатур вредоносного программного обеспечения через Threat Defense Feed в реальном времени (а не через 30 дней как в бесплатной версии).
Основные функции бесплатной версии Wordfence Security:
- защита от брутфорс;
- двухфакторная аутентификация (2FA);
- включение/отключение 2FA для XML-RPC;
- ограничение количества попыток входа;
- блокировка атакующих по IP или по более сложным правилам (IP-диапазон, User Agent, имя хоста, Referrer);
- пресеты безопасности;
- CAPTCHA для окна авторизации;
- блокировка подозрительного трафика;
- сканер вредоносного ПО.
Сканер проверяет файлы ядра CMS WordPress, темы и плагины не только на вредоносное программное обеспечение, но и на битые ссылки, подозрительные редиректы, backdoor, SEO-спам. Помимо проверки ПО, сканируется контент, а поврежденные файлы заменяются их оригинальными версиями. Как видим, даже бесплатная версия популярного плагина представляет собой очень мощный инструмент безопасности, многократно усиливающий защиту вашего сайта на WordPress.
iThemes Security
Плагин iThemes Security, ранее называвшийся Better WP Security, второе по популярности расширение безопасности для сайтов на WordPress. Также достаточно мощный инструмент, особенно в варианте PRO. Как ни странно, в премиальные функции попали CAPTCHA и двухфакторная аутентификация. То, что в Wordfence Security входит в базовый функционал.
Возможности бесплатной версии iThemes Security:
- защита от брутфорс с блокировкой хостов и пользователей;
- сканирование сайта на вредоносное ПО;
- SSL для страниц и записей;
- мониторинг файловой системы с проверкой целостности и корректности файлов;
- выявление и блокировка различных типов атак;
- уведомления по электронной почте при обнаружении проблем с безопасностью;
- изменение адресов URL в критически важных местах (admin, страница авторизации и другие);
- переименование аккаунта «admin»;
- изменение префиксов БД;
- изменение пути wp-content.
Маскировка аккаунтов, префиксов, адресов – немаловажный аспект безопасности, так как при хакерских и вирусных атаках используются типовые значения путей, названий профилей и так далее. Еще одна интересная функция – определение ошибок 404 (файл не найден). Эта опция полезна как в плане SEO, так и в плане конверсии. Среднестатистический пользователь, попавший на страницу 404, сразу уходит с ресурса. Снижается среднее время пребывания на сайте (поведенческий фактор, учитывающийся поисковыми системами), а потенциальный клиент так и не становится клиентом.
All In One WP Security & Firewall
Еще один мощный, но при этом абсолютно бесплатный плагин безопасности для сайтов на «движке» WordPress. Количество активных установок расширения приближается к миллиону. Интерфейс переведен на 12 языков, в том числе на русский. Разработчики ввели три степени градации правил для модуля безопасности и сканера: «Базовый», «Средний», «Высокий». Каждый из уровней может настраиваться пользователем по своим предпочтениям.
Возможности плагина:
- минимальное влияние на скорость загрузки страниц;
- защита от брутфорс;
- мониторинг/просмотр активности всех пользователей по Username, IP-адресу, дате и времени авторизации;
- простая математическая CAPTCHA и Google reCaptcha;
- простая смена префикса базы данных;
- автоматическое резервное копирование БД, .htaccess, wp-config.php;
- блокировка пользователей по IP или диапазону адресов;
- защита от XSS;
- блокировка ложных поисковых ботов;
- сканер безопасности, мониторинг изменений файлов;
- автоматическая блокировка спамеров;
- Front-end защита текста от копирования (запрет правого клика, выделения, копирования);
- очистка кода HTML от данных WordPress Generator Meta;
- удаление информации о версии CMS из JS и CSS вашего сайта;
- экспорт и импорт настроек безопасности;
- и многое другое.
По своим возможностям бесплатный All In One WP Security & Firewall легко обходит многие премиальные версии плагинов безопасности для WordPress. При этом пользователь получает полный контроль над действиями пользователей. Весьма неплохой вариант постройки защиты вашего сайта.
Sucuri Security
Sucuri Security – один из самых популярных плагинов повышения уровня безопасности сайтов на WordPress. Количество активных установок превысило 700 тысяч и продолжает неуклонно расти. К сожалению, в базовом функционале нет файрвола, он включается только по премиальной подписке. То есть нужно либо платить деньги за PRO, либо использовать связку Sucuri Security + сторонний брандмауэр.
Возможности плагина Sucuri Security:
- выявление подозрительной активности;
- проверка целостности файлов;
- удаленное сканирование на вредоносное программное обеспечение;
- черные и белые списки;
- усиление многих других аспектов безопасности;
- уведомления безопасности.
Особое внимание специалисты Sucuri Inc уделили мерам безопасности после уже состоявшихся атак. Также есть возможность совместной работы плагина с самым популярным расширением безопасности Wordfence. При этом будет доступен функционал сразу двух плагинов (в том числе файрвол), но может появляться предупреждение о невозможности сканирования сайта. Происходит это из-за того, что Wordfence блокирует сканер Sucuri. Чтобы этого избежать, нужно зайти в дашборд Wordfence и ввести IP-адрес Sucuri в белый список.
WPS Hide Login
В отличие от описанных выше плагинов, крохотное расширение WPS Hide Login отвечает лишь за один небольшой аспект безопасности – изменение URL входа в панель администрирования WordPress. Пользователю нужно лишь ввести в соответствующее текстовое поле новое значение адреса. Это улучшит защиту от брутфорс и ряда других атак. У этого же разработчика есть и другие плагины, на которые стоит обратить внимание: WPS Cleaner (очистка сайта на WordPress) и WPS Limit Login (блокировка атак brute force).
2FAS Light
Еще один плагин ограниченного действия. На этот раз от компании Two Factor Authentification Service Inc. Как видно по названию, расширение отвечает за один, но важный аспект – двухфакторную авторизацию. 2FAS Light ведет базу данных известных устройств. Если кто-то пытается авторизоваться в панели администратора WordPress c неизвестного устройства, плагин предлагает ввести код безопасности. Код безопасности генерируется мобильным приложением Google Authenticator. Возможно использование и других генераторов токенов, например 2STP, OTP Auth, Authy, Microsoft Authenticator, Free OTP.
Преимущества 2FAS Light:
- минимальные требования к аппаратным ресурсам, не влияет на скорость работы сайта;
- все данные хранятся в вашей БД MySQL, плагин не связывается с внешними ресурсами;
- простота работы: установить, активировать – все, остальное плагин сделает сам;
- возможность использования различных мобильных приложений для генерации кодов безопасности;
- расширение абсолютно бесплатно;
- защита от нескольких типов вредоносной активности (атаки брутфорс, фишинг, кейлоггинг).
Прежде чем устанавливать 2FAS Light, есть смысл убедиться, что двухфакторной авторизации нет в других плагинах безопасности, которые вы используете.
Cerber Security
Cerber Security – популярный плагин (более 100 тысяч активных установок), предлагающий усиление различных аспектов безопасности, расширенный инструментарий борьбы со спамом и сканер вредоносного программного обеспечения. Расширение переведено на 11 языков, в том числе и на русский.
Особенности плагина Cerber Security:
- модуль анти-спам для форм обратной связи и регистрации;
- защита от атак DDoS;
- отслеживание изменений файлов с уведомлениями по электронной почте;
- автоматическое удаление спама;
- отключение XML-RPC;
- правила безопасности для отдельных пользователей или групп пользователей;
- дополнительная защита ключевых файлов PHP (wp-login, wp-signup, wp-register);
- совместимость с WooCommerce;
- черные и белые списки (IP, диапазон, подсеть);
- подробные логи подозрительной активности;
- рассылка еженедельных отчетов безопасности по списку email;
- фильтрация и мониторинг активности по IP, пользователю, виду активности;
- особый режим Citadel при брутфорсе;
- интеграция с CloudFlare;
- автоматическое восстановление поврежденных файлов;
- совместимость с fail2ban;
- соответствие требованиям GDPR;
- функции экспорта и удаления персональных данных;
- reCaptcha для комментариев, форм обратной связи WP и WooCommerce;
- отключение RSS, RDF, Atom;
- полная блокировка доступа к WordPress REST API либо ограничение доступа по различным правилам для разных пользователей или групп пользователей;
- двухфакторная аутентификация;
- переименование wp-login.php;
- сканирование на вредоносное программное обеспечение.
Как видим, даже далеко не полное перечисление возможностей «Цербера» выглядит впечатляюще. Реализация тоже на высоте. Вполне достаточно для того, чтобы назвать Cerber Security одним из лучших инструментов улучшения защиты сайта от хакеров, спамеров, вредоносного ПО, сбоев и повреждения ключевых файлов WordPress.
Заключение
Соблюдение приведенных в начале статьи рекомендаций и использование одного из мощных плагинов безопасности многократно усилит защиту вашего сайта на WordPress. Но не стоит забывать, что никаких мер не бывает достаточно и никакие меры не дают 100% гарантии. Старые уязвимости перекрываются, но появляются новые. Если одна сторона улучшает меры защиты, то другая совершенствует методы нападения.
Поэтому не стоит забывать ни о регулярном резервном копировании, ни о паролях, ни о своевременном обновлении программного обеспечения. Чтобы понять, насколько это актуально, достаточно посмотреть на статистику и ужаснуться проценту взломов, вирусных заражений и потери конфиденциальной информации, произошедших из-за паролей наподобие «qwerty» или вовремя не обновленного PHP.