Создавая сайт на ВордПресс, важно позаботиться о настройке безопасности движка. Так вы защитите проект от попыток взлома, утери важных данных, потери прибыли и других потенциально возможных проблем. Уберечься от всего нельзя, но существенно снизить вероятность плохих сценариев — можно и нужно. Из этой статьи вы узнаете, как выполнить настройку безопасности движка WordPress в 2020 году, чтобы защитить его от самых распространенных уязвимостей.
Этапы безопасности
Для защиты сайта нужно позаботиться обо всех этапах безопасности:
- Выбор хорошего хостинга. Он должен работать 24/7 и иметь качественную техподдержку, сотрудники которой всегда помогают решать вопросы, связанные с безопасностью проекта. Вот подборка качественных площадок, откуда можно выбрать.
- Регулярные обновления. Следите, чтобы шаблоны, плагины и другое программное обеспечение имело последнюю версию. Апдейты исправляют найденные уязвимости, улучшают скорость работы и вносят другие полезные нововведение в старые продукты.
- Резервное копирование. Важно, чтобы у вашего сайта всегда была копия, хранящаяся где-то отдельно. Тогда, если что-то пойдет не так (потеряются важные данные, «слетят» настройки», «сломается» дополнительный инструмент), вы сможете в любой момент установить резервную копию вместо существующих файлов сайта, мгновенно исправив любую проблему.
- Ограничение доступа. Необходимо уменьшить количество возможностей, позволяющих злоумышленнику попытаться зайти в админ-панель вашего сайта ВордПресс.
- Сдерживание. Нужно выстроить работу проекта таким образом, чтобы даже если он окажется взломанным, у хакера не было возможности нанести слишком много вреда. Упомянутое выше резервное копирование во многом решает эту проблему.
- Устранение уязвимостей на вашем компьютере. На вашей рабочей машине могут быть вирусы, шпионские программы, кейлоггеры и другое вредоносное ПО, которое сведет на нет все настройки безопасности движка. Поэтому нужно регулярно обновлять операционную систему, антивирусную программу, браузер.
Также к этой информации хочется добавить, что лучше подключать к сайту только премиальные шаблоны и плагины, либо бесплатные, но включенные в официальную библиотеку WordPress. В инструментах, публикующихся на сторонних сайтах в интернете, могут быть проблемы безопасности или вредоносный код. Кроме того, они обычно не поддерживаются разработчиком, а значит, не обновляются и имеют много уязвимостей. Также вы не сможете обратиться за помощью в квалифицированную службу поддержки, где вам помогут разобраться с любым возникшим затруднением. Всех этих проблем можно избежать, используя премиальные шаблоны и плагины, например, обозреваемые в подборках в нашем блоге.
7 шагов для обеспечения безопасности движка ВордПресс
Ограничение доступа в панель администратора по ip-адресу
Пожалуй, из всех методов обеспечения безопасности движка ВордПресс этот — самый простой. С одной стороны, он универсальный, но с другой — подойдет не всем. Для его внедрения нужно создать файл .htaccess, а затем перенести его в папку wp-admin, предварительно вписав в файл следующий код:
Заменить в нем нужно только ip-адрес во второй строчке снизу, указав свой. Чтобы узнать его, можно использовать сервисы вроде 2ip.ru. После добавления файла, в админ-панель можно будет войти только с вашего ip, поэтому посторонние люди, в т.ч. и злоумышленники, не смогут получить доступ к управлению сайтом.
Однако, для использования этого метода, нужен ip-адрес, который не меняется. Такая услуга стоит у провайдеров примерно 100 рублей в месяц, поэтому выгоден ли способ вам — решайте самостоятельно.
Установка лимитов на неправильный ввод пароля
Чтобы зайти в «админку», любой пользователь может узнать логин администратора или редактора. Сделать это просто — нужно посмотреть имя автора, создавшего пост на сайте. Однако, для доступа в админ-панель, потребуется еще и пароль. Его злоумышленник может попытаться подобрать. Если у него будет возможность бесконечно проверять разные пароли, это будет существенным недостатком безопасности движка WordPress, поэтому такую возможность нужно устранить.
Первый способ — удалить в самом шаблоне строку, показывающую автора поста. Подойдет не всем, но довольно эффективен. Однако, придется изучать код вашей темы ВордПресс, чтобы найти нужное место и выполнить настройку. Для начинающих вебмастеров задача может быть сложной. Поэтому можно использовать второй способ — установка лимитов посредством плагина. Есть много дополнений, созданных для решения этой задачи. Например, Limit Login Attempts. Установив его и настроив (необязательно, стандартные настройки подходят для большинства сайтов на ВП), вы ограничите количество попыток неправильного ввода связки логин+пароль, поэтому подобрать значение для доступа в панель администратора мошенник не сможет. Также можно использовать для этой задачи плагин Wordfence, который будет рассмотрен ниже.
Установка капчи
Предыдущий метод имеет недостаток. Плагины обычно ограничивают доступ к движку по ip-адресу. Если пользователь будет его постоянно менять — у него будет неограниченное количество попыток ввода пароля. Поэтому дополнительно можно установить в окно ввода капчу от сервиса вроде captcha. Тогда при каждой попытке входа потребуется распознавать символы на изображении, с чем автоматически роботы подбора пароля не справятся.
Скрытие админ-панели
На большинстве сайтов вход для управления движком размещен на боковой панели, потому что один и тот же элемент используется для входа всех пользователей. Если вашим посетителям не нужно регистрироваться и авторизовываться — уберите этот блок. Настройка повысит безопасность движка, а вам неудобств не создаст, ведь вы сможете входить с отдельной страницы для авторизации администратора.
Также будет не лишним изменить адрес админ-панели, вводящийся в строку браузера. Поменяйте стандартный путь, чтобы усложнить задачу потенциальному мошеннику, пытающемуся найти способ входа.
Установка длинных паролей
Важные ключи, защищающие «админку», движок, базы данных и другие страницы, доступ к которым должен быть только у владельца сайта ВордПресс, следует обезопасить сложным длинным паролем — на 20 и более символов. Найдите в интернете генератор паролей и используйте его, чтобы сервис выдал код, который практически невозможно подобрать.
Проверка шаблонов на вирусы
В официальной библиотеке ВордПресс есть плагин, называющийся ТАС. Вы можете загрузить его вручную или подключить через раздел «плагин» в панели администратора. Инструмент проверяет код установленных шаблонов, пытаясь найти там вредоносные элементы. Для использования нужно:
- подключить плагин;
- активировать его соответствующей кнопкой сразу после установки;
- перейти во Внешний вид -> ТАС;
- рядом со списком установленных тем отобразится либо метка Theme ok, показывающая, что вредоносный код не обнаружен, либо красное окошко с предупреждением;
- во втором случае нажмите Details, и плагин покажет, в каком месте размещен опасный элемент, чтобы вы могли его удалить.
Если обнаружен вредоносный код, лучше полностью удалить шаблон и отказаться от его использования, особенно если он бесплатный и загружен из ненадежного источника. Не факт, что плагин обнаружит все опасные составляющие, а если есть одна, значит практически наверняка есть и другие уязвимости движка.
Важно проверять даже темы из надежных источников. Вредоносный код может активироваться в самый неожиданный момент, навредив сайту ВордПресс. Однако более вероятно, что он будет работать скрытно, размещая ссылки или воруя ресурсы, конфиденциальные данные, что может постепенно нанести довольно большой урон проекту или компании. Поэтому мы и рекомендуем пользоваться только премиальными шаблонами WordPress, которые попадают в подборки нашего блога. Они созданы проверенными разработчиками с хорошей репутацией и продаются в магазине, тщательно следящем за безопасностью покупателей.
Создание резервной копии
Как было указано в начале статьи, это один из важнейших этапов настройки безопасности движка WordPress. Поскольку далеко не от всех атак хакеров и других проблем можно защититься заранее, нужно резервная копия проекта, также называемая бэкап. Она обезопасит вас от потери всей информации, которая есть на сайте, и позволит почти мгновенно восстановить его к исходному состоянию, что бы ни произошло.
Зачастую делать бэкапы можно прямо в панели управления на сайте хостинговой компании. Однако, лучше не ограничиваться этой возможностью и хранить резервные копии самостоятельно, а не доверять эта задачу третьим лицам. Для создания бекапов можно использовать один из множества плагинов, которые можно найти в официальном каталоге ВордПресс по ссылке. Также рекомендуем дополнительно подключить инструмент WordPress Database Backup, предназначенный для создания резервных копий базы данных проекта.
Большинство плагинов позволяет автоматически создавать бэкапы движка с определенной периодичностью. Они будут отправляться вам на электронную почту, откуда в случае необходимости вы сможете легко их скачать и загрузить на сервер.
Плагин настройки безопасности движка ВордПресс Wordfence
Полезнейший плагин, который можно бесплатно загрузить в официальной библиотеке WordPress по ссылке. Небольшой недостаток — не подойдет для слабых хостингов, поэтому используйте осторожно. Инструмент дает возможность следить за активностью пользователей, заходящих на ваш сайт на WP. Вы будете видеть, какие посетители на какие страницы заходят и что делают. Также есть функционал сканера и файрвола. Если решите подключить плагин, оставляйте стандартные настройки, если пока не являетесь опытным вебмастером. В большинстве случаев они подходят и отлично справляются с поставленными задачами.
Разберем основные функции плагина для настройки безопасности движка WordPress:
- All hits. Это вкладка, позволяющая получить информацию об истории посещений. Иногда можно даже невооруженным глазом заметить попытки злоумышленников получить неправомерный доступ. Например, если обнаружите, что кто-то перебирает страницы, связанные с панелью администратора: wp-admin, wp-content и подобные. В таких ситуациях можно легко забанить подозрительного посетителя одним кликом.
- Logins and Logouts. Еще один полезнейший раздел, позволяющий мгновенно заметить, если кто-то пытался войти в админ-панель ВП-сайта без вашего ведома. Это возможно, даже если в проекте работает много редакторов и модераторов, потому что несколько попыток входа с ошибкой подряд все равно будут заметны.
- Options. Тут стоит обратить внимание на настройку файрвола, который будет отвечать за безопасность движка, не позволяя вирусам проникнуть в важные директории.
- Настройка ошибки 404 для людей.Позволяет установить лимит количества открытий страницы 404. Лучше всего поставить 10. Так посетители, действительно ошибающиеся при вводе или случайно не попадающие в нужный раздел, смогут все-таки найти то, что им нужно. При этом злоумышленник, перебирающий страницы с подозрительными целями, быстро столкнется с лимитом, усложняющим ему задачу.
- Настройка ошибки 404 для роботов. Если робот чаще раза в минуту пытается попасть на страницу, которой попросту нет, он будет автоматически попадать в бан. Обычно так себя ведут вредоносные программы, поэтому им можно без опасений ограничивать доступ.
- Лимиты на неправильный логин и пароль. Не позволят злоумышленнику перебирать ключи доступа.
- Login Security options. Здесь содержится много настроек безопасности движка ВордПресс, связанных с входом в панель администратора. Рекомендуем изучить, подключив интересующие вас возможности.
- Advenced blocking. Здесь можно в верхней строке ввести любой ip-адрес, чтобы забанить пользователя, заходящего с него. Дополнительно можно добавить информацию о причине бана, которая будет высвечиваться ему в случае попытки входа на сайт. Можно оставить адрес электронной почты, по которой следует писать по вопросам, связанным с блокировкой.
Есть и менее интересные возможности, которые вы сможете изучить самостоятельно, если выберете этот инструмент для подключения в своем проекте. Сделать это действительно стоит — дополнение полезное, часто обновляется разработчиком (на момент написания статьи последний апдейт вышел меньше месяца назад) и может использоваться бесплатно.
Плагин настройки безопасности движка ВордПресс iThemes Security
Еще один инструмент, заслуживающий вашего внимания — iThemes Security, ранее существоваший под названием Better WP Security. Его можно загрузить из официального каталога ВордПресс по ссылке. Недостатком плагина является тот факт, что не со всеми шаблонами он работает адекватно — иногда возникают конфликты. Однако, даже если некоторые его возможности будут недоступны для вашего сайта, основные настройки безопасности с его помощью можно установить в любом случае. Важно лишь создать резервную копию перед тем, как подключать дополнение.
Кратко рассмотрим его возможности:
- защита логина и пароля панели администратора WordPress от перебора;
- Your installation is not actively looking for changed files — полезная функция, которая будет уведомлять вас по электронной почте каждый раз, когда кто-то пытается редактировать важные файлы, будь это администратор или злоумышленник;
- на вкладке Logins можно отслеживать попытки зайти в «админку»;
- на вкладке Detect настраиваются лимиты для ошибки 404, появление которой у одного и того же пользователя много раз также должно вызывать подозрения;
- ограничение доступа в админ-панель по времени позволяет выбрать периоды, когда зайти в нее не сможет никто (например, можно установить ограничение на ночное время, когда вы не работаете над проектом).
Также инструмент дает рекомендации по поводу настройки безопасности движка, подсказывая, что еще нужно изменить в вашем ВордПресс, чтобы устранить те или иные уязвимости — обращайте на них внимание. Подробнее о плагине iThemes Security читайте в отдельном обзоре.
В заключение
Пренебрегать настройками безопасности движка ВордПресс ни в коем случае не стоит. Гораздо проще, хоть и потратив время, обеспечить защиту сайта на годы вперед, чем восстанавливать его после возникновения проблем. Подходите к задаче комплексно, используя все рекомендации. Начинающему вебмастеру некоторые из них могут показаться сложными, но на самом деле, все процедуры выполняются довольно просто и быстро.