Защита wordpress – почему важно заботиться о ней

замочек с логотипом wordpressДоброго времени, уважаемые читатели. Этот пост я хочу посвятить такому важному вопросу, как защита wordpress. Данному вопросу многие (как и я раньше :)) не уделяют достаточно внимания, а потом получаются не совсем приятные вещи. Ну обо всем по порядку.

Почему меня заинтересовала защита моего wordpress блога

Началось все с того, что у меня вверху (на пол блога) вылезла красота с надписью на зарубежном языке в стиле “поздравляем, ваш блог успешно взломан командой ххх”. Играет добрая музычка (как в кейгенераторах) ну и само собой просто так убрать это все невозможно. А самое плохое – что оно еще пытается всем зашедшим на сайт поставить какое гадостное ПО. Вот такая радость откуда-то взялась. 🙂

С проблемой при помощи программиста разобрались (спасибо, Владимир!), пришлось переехать на более мощный хостинг (т.к. старый не позволял обновить версию вордпресс до последней) ну и теперь я провел анализ откуда такое взялось, как  и как предотвратить.

Итак: основные рекомендации по защите wordpress

Шаг № 1. Проведите изменение вашего admin – пользователя.

В большинстве блогов на вордпресс администратор носит банальное имя “admin”. Само собой взломщики знают, что почти никто не меняет его и радостно используют эту “дырку”. Ведь по сути 50% работы уже сделано – имя есть, нужно только подобрать пароль.

Поэтому делаем следующее: заходим в раздел “пользователи” – “добавить нового”. Придумываем интересный логин, ставим сложный пароль, даем новому пользователю права администратора (нажмите для увеличения):

скриншот админки wordpress

После того как новый админ-аккаунт создан, можно смело удалить старого admin.

Шаг № 2 по защите wordpress. Пароль должен быть по настоящему надежным!

Про это я уже писал в пункте номер один, но остановлюсь подробнее. Используйте в своем блоге максимально сложные пароли, благодаря менеджерам паролей их совсем не нужно запоминать и при этом можно не беспокоится, о том что его взломают. Ну вот посудите сами: что легче сломать – пароль “admin123” или же пароль “hYb9I467o$vG” ?) Взломщик состарится пока сможет подобрать подобную комбинацию.

Самое интересное, что совсем не обязательно запоминать такой сложный пасс – ведь есть специальные менеджеры, которые позволяют и генерировать и хранить все пароли. Я, например, использую плагин для Chrome – Roboform Lite, который позволяет не только создавать подобные пароли, но и хранить их под двухуровневой системой защиты, заходить и использовать с любого поддерживаемого устройства + он полностью бесплатный. Вот так выглядит его окно генерации:

скриншот плагина Roboform Lite

Делайте сложный пароль, сохраняйте. Можно двигаться дальше.

Шаг по защите вашего wordpress блога № 3. Следите за актуальной версией вашего движка.

Команда разработчиков вордпресса (ну и других популярных цмс тоже) регулярно обновляет свое “детище”, находит и устраняет уязвимости, повышает уровень безопасности и возможностей. Глупо это все не использовать :). Поэтому регулярно проверяйте наличие новой версии вордпресса и вовремя до нее обновляйтесь. Версия вашего вордпресса и наличие новых отображается в разделе консоль -> Обновления (должна всегда гореть надпись, что у вас актуальная версия wordpress):

скриншот уведомления  wordpress

Шаг № 4. Создавайте регулярно резервную копию базы данных вашего блога.

В случае с взломом моего блога мне реально повезло – ведь злоумышленники могли не просто поставить бредо-блок, а могли полностью стереть все записи, данные. Представьте себе сколько труда пропало бы зря оО.

Резервную копию БД можно сделать двумя способами: первый вариант – через админку хостинга (сейчас подробно на этом варианте останавливаться не буду, можете уточнить у своего хостера как это можно сделать). Второй вариант – при помощи специального плагина WordPress Backup to Dropbox, который позволяет не только создавать резервную копию БД но и сразу высылает ее в ваш Дропбокс аккаунт!

Ставите, активируете плагин, заходите в настройки – вас попросит подвязать аккаунт дропбокса, подвязываете. Затем в настройках проводите настройку периодичности создания бекапа (по умолчанию делается бекап только базы данных, но при желании можно бекапить и отдельные файлы/папки).

скриншот описания плагина WordPress Backup to Dropbox

Теперь, даже если вдруг ваш сайт исчезнет (например закроется хостинг провайдер или вирус все удалит) вы всегда сможете восстановить его из бекапа.

Шаг № 5. Защищаемся от грубого взлома ограничением кол-ва входов по IP.

Большинство взломов проводится при помощи так называемого brute-force (взлома методом “грубой силы” – когда к вашему аккаунту при помощи специальной программы методом перебора подставляются десятки тысяч вариантов логина/пароля).  Защититься от такого можно и сделать это совсем не сложно – ведь есть полезный плагин под названием Limit Login Attempts.

Все очень просто: если кто-то вводит логин/пароль подряд несколько раз неправильно – IP данного индивидуума блокируется на срок, который вы указываете в настройках. Настройки совсем не сложные (нажмите для увеличения):

скриншот настроек плагина Limit Login Attempts

Теперь любой “бтурфорсер” при попытке сломать ваш сайт будет жестоко огорчен, ведь придется искать какие-то прокси, менять IP. А добавьте к этому сложный пароль, который мы создали ранее и поймете, что еще один рубеж защиты воздвигнут!

Кстати – пока писал эти строки, вон уже кто-то ломился пытаясь зайти через логин support (см. на скрине). Плагин успешно заблокировал “умельца” :).

Шаг защиты wordpress № 6. Будьте внимательны с плагинами, которые вы устанавливаете.

Это то, на чем оступился я – когда поставил древний плагин, который уже давно никто не обновлял. Соответственно через его “дыры” злоумышленники смогли пробраться к исходным файлам моего блога.

Поэтому при установке плагинов – ставьте их только с официальной базы wordpress, следите когда было выпущено последнее обновление, какие отзывы о плагине, сколько звезд. Очень часто для реализации той или иной функции можно найти несколько десятков разных плагинов – поэтому, опираясь на вышеназванное – выбирайте лучшее.

Защита wordpress – заключение и выводы

Подытожим все вышеназванное, озвучив основные шаги:

1. Делаем замену стандартному admin – имени
2. Ставим мощный, надежный пароль
3. Следим за актуальностью версии движка и плагинов
4. Регулярно делаем резервные копии БД блога
5. Ограничиваем кол-во входов по ip
6. Внимательно выбираем, какие плагины ставить на блог 

Само собой данный список можно расширять вширь и вглубь, но стоит помнить, что чем больше плагинов стоит – тем медленней работает сайт и тем мощней хостинг будет требоваться. Поэтому во всем должна быть разумная рациональность.

А какие способы защиты своего блога используете вы? Попадали ли вы в неприятную ситуацию с взломом блога/заражением вирусами? Пишите в комментах ниже!

Да, не забудьте подписаться на обновления моего блога вот тут – просто вводите свой е-мейл, а потом активируете ссылку, которая прилетит на почту. После чего вы первым будете получать уведомления о новых публикациях блога!

Поделиться этой статьей в соц. сетях

Опубликовать в Google Buzz
Опубликовать в Google Plus
Опубликовать в LiveJournal
Опубликовать в Мой Мир
Опубликовать в Одноклассники