WordPress – це відмінна платформа для створення сайтів. Враховуючи безкоштовність двигуна та багатий функціонал, платформу встигла оцінити велика аудиторія веб-майстрів. Ось тільки далеко не всі замислюються про безпеку своїх праць і живуть у щасливому невіданні до першої атаки хакера.

Що може статися з веб-ресурсом

Створюючи блоги, багато веб-майстрів починають нашпигувати їх різними «корисними» плагінами і величезною кількістю текстового або графічного контенту. Але зосередившись на розвитку сайту, чомусь ніхто не замислюється про зломщиків, яким не важко буде завдати шкоди будь-якому незахищеному веб-ресурсу. Найчастіше блог зламується для розміщення реклами чи шкідливого програмного забезпечення. Непоодинокі випадки присвоєння або повного видалення.

Резервне копіювання

Один з найбільш примітивних способів збереження даних – це резервне копіювання. Справа в тому, що база даних WordPress містить кожен запис, посилання та коментар вашого блогу, а отже, періодичне резервне копіювання – це надійний спосіб зберегти всі зміни на сайті. Звичайно, спосіб не захищає від атак хакерів, і не запобігає втраті даних, але він дозволяє зберегти результат вашої праці і в найкоротші терміни відновити працездатність веб-ресурсу.

Як здійснити резервне копіювання

Безліч хостинг-провайдерів надають послуги зі створення резервної копії сайтів, що розміщуються. Якщо такі послуги не надаються, копіювати дані можна і вручну, використовуючи різні FTP-клієнти. Але все ж таки набагато зручніше це робити за допомогою спеціальних програм синхронізації. Наприклад, WinSCP дозволяє синхронізувати з вашим веб-ресурсом і зможе копіювати останні версії файлів і контенту на жорсткий диск.

Плагіни для резервного копіювання

Потрібно відзначити, що можливість бекапу є в базовому функціоналі WordPress. З ним можна ознайомитись у розділі «Інструменти-Експорт». Таким чином, можна зберегти XML-файл, який містить текстову інформацію вашого веб-ресурсу. Відновлення здійснюється у розділі «Імпорт».

Для того щоб робити регулярні бекапи баз даних WordPress, можна скористатися плагінами Simple BackUp, BackUp WordPress, WP Remote, Online Backup та VaultPress.

Захист для WordPress під час встановлення

Звичайно, резервне копіювання – перший захід, який допоможе швидко відновити пошкоджений сайт. Але значно важливіше уникнути подібних ситуацій. Тому в першу чергу слід виконати деякі дії відразу після встановлення.

Рада 1: Оновлюйтесь

Працюючи з WordPress, слід використовувати найбільш актуальну версію движка, яку необхідно завантажувати тільки на офіційному сайті: розробники намагаються дізнаватися про нові вразливості і скоріше виправляти їх в оновлених версіях. Важливо запам’ятати, що своєчасне оновлення двигуна та встановлених плагінів дозволяє не тільки розширити функціонал, а й зменшити кількість «дір» у безпеці, тому нехтувати оновленням не варто.

Порада 2: Не використовуйте «admin» як ім’я користувача

Слід відразу ж змінити логін адміністратора. За умовчанням у WordPress використано логін – «admin». Не важко здогадатися, скільки часу це заощадить хакеру. Крім того, для перестрахування можна зареєструвати новий профіль адміністратора, вилучивши старий. Це робиться для того, щоб зловмисник не зміг дізнатися нік за ID: спочатку адміністратор числитиметься під номером «1».

Рада 3: Вибирайте складні паролі

Звичайно, подбати слід і про складність пароля, який повинен складатися з великої кількості символів різного регістру. Також для ускладнення пароля можна використовувати цифри та розділові знаки. Поміняти пароль можна через адмінку в меню ліворуч. Для цього необхідно перейти по вкладці «Користувачі» та вибрати пункт «Ваш профіль».

Порада 4: Захистіть адмінку

Наступний крок – захист адмінки. Як правило, більшість зломщиків використовують програмне забезпечення, яке працює за певними шаблонами. Найчастіше атакуючі намагаються зробити запит до файлів wp-login.php та wp-config.php. Для захисту від таких дій достатньо перейменувати wp-login.php на нове ім’я, яке може містити безладний набір цифр і символів, у форматі XXXXXXXXXXXX.php. Ця дія дозволить змінити адресу адмінки: спочатку для входу до адмін-панелі використовується стандартна адреса «назва блогу/wp-login.php» або «назва блогу/wp-admin».

Важливо відзначити, що необхідно перейменовувати всі файли з даним ім’ям (у тому числі й ті, що знаходяться в самому файлі), також дане ім’я слід ввести у файлі wp-includes/general -template.php. Зробити це можна, відкривши файли текстовим редактором. До речі, багато ключових папок також можна перейменувати (наприклад, деякі веб-майстри воліють перейменовувати навіть папку wp-content). Після цього доступ до файлів можна обмежити через .htaccess:

<
   order allow,deny
   deny from all

Також файлом «.htaccess» можна захистити папку «wp-admin», та й практично будь-яку папку або файл. Слід зазначити, що захистити можна і файл «.htaccess», але ця дія може спричинити конфлікт із деякими темами або плагінами.

Не зайвим буде обмежити доступ до вмісту папок директорії від перегляду браузером, для цього можна створити порожні файли index.html або index.php і закинути їх у всі папки та підпапки. Заборонити перегляд певних директорій на сервері можна командою Options All-Indexes.

Порада 5: Сховайте версію WordPress

Ще один профілактичний крок – усунути всю зайву інформацію. Справа в тому, що навіть інформація про версію двигуна може стати приводом для злому, якщо зловмисник дізнається, що ви не встигли оновити версію WordPress, і деякі вразливості все ще відкриті. По-перше, в корені сайту є файли license.txt та readme.html. Дані файли ніяк не впливають на роботу сайту, але якщо вони дістануться зломщику, вони можуть надати деяку корисну інформацію. Також слід видалити інформацію про версію, яка доступна всім користувачам. Для цього потрібно зайти у вкладку Зовнішній вигляд, після чого вибрати Редактор і відкрити файл header.php. У ньому необхідно видалити рядок у коді:

Захист за допомогою плагінів

Виконавши низку профілактичних заходів, описаних вище, можна уникнути багатьох проблем. Тим не менш, убезпечити свій веб-ресурс від професійних атак можна лише за допомогою спеціальних плагінів. До того ж, деякі плагіни позбавлять вас необхідності робити деякі вищеперелічені дії: достатньо виставити потрібні галочки в налаштуваннях. А це виключить можливість помилитися, що особливо актуально для новачків, які не знаються на всіх тонкощах програмних кодів. Наприклад, плагін Lockdown WP Admin здатний змінити адресу адмінки, якщо зайти в налаштування, знайти поле WordPress Login URL і ввести в нього нову адресу. Як видно, редагувати безліч файлів не доведеться. Також плагін може приховувати каталог wp-admin і видавати помилку 404 при запиті.

Якщо говорити про способи злому веб-ресурсів, то найбільш популярним з них залишається підбір пароля. Оскільки WordPress не веде статистику спроб несанкціонованого доступу і не припиняє такі спроби, доводиться вирішувати цю проблему плагінами.

Login Lockdown – це плагін, який може фіксувати всі спроби входу в адмінку. У статистиці зберігається час та IP-адреса таких спроб. Але найкорисніша функція – плагін здатний блокувати доступ до сайту на певний час, якщо кількість таких спроб перевищить задане значення. Якщо зайти в налаштування Login Lockdown та розібратися у всіх пунктах, можна налаштувати:

• кількість спроб входу до адмінки;
• період часу для повторної спроби;
• час, на який доступ до адмінки блокується;
• облік неправильного введення логіну;
• маскування помилок введення (коли зломщику полегшується завдання, якщо він помилився під час введення логіну).

Limit Login Attempts – плагін, що пропонує приблизно той же функціонал, він також здатний блокувати IP, з якого здійснюються невдалі спроби авторизації.

Ask Apache Password Protect – плагін запобігає можливим атакам, працюючи з файлами “.htaccess”. Примітно, що він працює на рівні мережі без використання php.

Sideways8 Custom Login and Registration – приховує роботу вбудованої опції авторизації.

Login Dongle – додаткова захисна оболонка для вашої адмінки. Вводить додаткове захисне питання, не змінюючи сторінку авторизації.

WordPress HTTPS (SSL) – пакетне рішення для захисту авторизації та пошуку помилок.

ALL IN ONE WP SECURITY – про цей плагін можна сказати дуже багато. Все тому, що це комплексне рішення, що забезпечує безпеку:

• він здатний блокувати невдалі авторизації та вести логи активності;
• додає капчу під час реєстрації всіх користувачів блогу;
• здійснює резервне копіювання бази даних;
• закриває доступ до важливих WP-файлів;
• захищає від спаму;
• захищає від брутфорс атак.

Але, мабуть, основна перевага програми – фаєрвол. Він запобігає хотлінкам, блокує роботів і забезпечує безпеку додатковим брандмауером. За додаткову оплату передбачено і сканер, який відстежує шкідливі програми та зміни у файлах.

Сканери та антивіруси

Незважаючи на те, що існує велика кількість плагінів безпеки, гарантувати повний захист вони не можуть. Адже, крім простих атак підбором пароля, існують і інші загрози. Зокрема це віруси, які впроваджуються в сайт у вигляді шкідливого коду. Його не так вже й легко виявити самотужки. До того ж, убезпечивши свій веб-ресурс деякими з наведених вище засобів, можна залишити інші вразливості, які ви не врахували. Тому для пошуку вразливостей слід використовувати спеціальні сканери, які допоможуть вам зрозуміти, в якому напрямку слід зміцнювати оборону вашого блогу. Для пошуку шкідливого коду слід використовувати антивіруси.

WPScanner

– потужне рішення, що дозволяє виявити потенційні проблеми. Адже якщо ви не скористаєтеся їх пошуком, не факт, що подібною програмою не скористаються зломщики для пошуку легких шляхів до вашого блогу. Отже, за рахунок чого WPScanner завоював популярність:

• має актуальну оновлювану базу;
• показує найбільш повну інформацію про версію WordPress, а також розповідає про всі вразливості;
• проводить сканування на наявність вразливих тем;
• показує список плагінів, а також виділяє найуразливіші.

Взагалі існує чимало сканнерів, які визначають уразливості. Але їхня проблема саме в наявності актуальної бази. Наприклад, Plecost – це оптимальне рішення для сканування вразливих плагінів, та її основи давно оновлювалися. Тому, незважаючи на те, що функціонал збережено, нових можливостей, які можуть використовувати для заподіяння шкоди сайту, програма не знайде.

Theme Authenticity Checker (TAC)

– плагін, призначений для перевірки встановлених тим, про що свідчить і назва. Скориставшись цим рішенням, можна перевірити теми WordPress на наявність Base64-кодів та прихованих посилань у футері. При виявленні відразу ж відображається шлях до теми, а також номер рядка з шматком підозрілого коду.

Exploit Scanner

– Засіб, що сканує базу даних сайту на предмет сумнівних файлів. Він виявляє ознаки підозрілої шкідливої ​​активності, також перевіряє імена файлів, але рішення про видалення залишається лише за вами.

Acuntetix WP Security

– Ще один плагін, що надає перелік захисних дій. Сканує блог на помилки безпеки, приховує доступ до версії движка блогу, перевіряє дозволи у файловій системі, може видаляти з коду ядра мета-теги. З переваг – безкоштовність та універсальність.

Sucuri Security

– плагін, який добре зарекомендував себе у виявленні шкідливого коду. Крім цього, плагін веде моніторинг завантажених на WordPress файлів, повідомляє про безпеку, моніторить чорний список та інше. Також можна активувати платне доповнення – досить потужний фаєрвол.

Wordfence
– На відміну від більшості сканнерів, це плагін, що захищає веб-ресурс у реальному часі. Забезпечує безпеку від багатьох відомих кібер-атак, сканує наявність уразливостей, при виявленні блокує всю заражену мережу.

Anti-Malware

– плагін, цікавий тим, що дозволяє не лише сканувати платформу на наявність вірусів та різних шкідливих загроз, але й здатний видаляти все це. Серед функцій є як експрес-сканування, і повне сканування. Ви можете настроїти видалення загроз в автоматичному режимі.

Загалом для WordPress існує чимало антивірусів.

Наприклад, WordPress AntiVirus, WP Antivirus Site Protection, Antivirus For WordPress та інші. Незважаючи на схожість назв, вони мають деякі відмінності в пристрої та роботі, хоч і виконують одні й ті самі завдання:

• сканують на предмет шкідливого коду;
• сканують файли, що завантажуються;
• видаляють шкідливий код та файли;
• моніторять підозрілі ін’єкції.

Звичайно, відмінності в роботі є, але зупинитися на якомусь певному рішенні можна тільки попрацювавши з ним. Також варто відзначити, що краще не перевантажувати двигун великою кількістю плагінів, а вибрати кілька найбільш оптимальних.