Как защитить сайт на WordPress

По мере того, как вы продвигаетесь все дальше и дальше на пути ведения своего сайта, развиваетесь в этой сфере и ваш ресурс приобретает все более внятные очертания, прямо пропорционально увеличивается риск взлома вашего творения, ведь оно может представлять уже определенную ценность.

Именно поэтому пришло время рассказать о том, как защитить сайт на WordPress.

Представьте на миг, что в один прекрасный момент вы как обычно пытаетесь войти на ваш сайт, но вдруг понимаете, что сделать это не получается, и дело тут абсолютно не в том, что у вас возникли проблемы с доступом к интернету, и не с профилактическими работами вашего хостинг-провайдера, а дело в том, что какой-то нехороший человек, из каких-то непонятных вам побуждений, взял и взломал ваше творение.

Я такое представить-то боюсь, не то что пережить.

Конечно, с определенной долей вероятности что-то предпринять и исправить получится, но зачем эта пустая трата времени и нервов.

Чтобы спать спокойно и не переживать за сохранность вашего ресурса необходимо провести определенный комплекс мероприятий по усилению степени защищенности сайта.

Разумеется, сделать сайт абсолютно неуязвимым не удастся, учитывая уровень развития технологий в современном мире, при желании взломать можно что угодно.

Другое дело, что после проведения комплекса мероприятий по защите сайта, взломать его будет в разы сложнее, потребуется, так сказать, другой уровень квалификации хакера.

Думаю, на данный момент лирики достаточно, можно переходить к делу, к технической стороне вопроса, то есть к реализации поставленной цели — защитить сайт.

Как защитить WordPress?

Защищать сайт мы будем с использованием плагина WordPress под названием Better WP Security (в настоящее время плагин носит название iThemes Security). У меня он уже установлен:

После установки и активации плагина у вас в меню админ-панели появится пункт Безопасность:

Щелкаем по нему, в результате чего появляется окно, в котором предлагается создать резервную копию базы данных:

Жмем на соответствующую кнопку, предварительно убедившись, что указан верный email, на который будет выслана база. Проверяем — у меня все получилось, копия базы данных успешно пришла на мой почтовый ящик.

Идем дальше, в появившемся окне находим кнопку Защитить мой сайт от базовых атак:

Нажимаем ее, тем самым мы переходим к основным действиям по защите сайта. Появится следующее окно:

Логичным выглядит вопрос, почему текст разноцветный? Все просто, каждый цвет несет определенный смысл, а именно:

• зеленый — полная защита;
• желтый — частичная защита, для полной защиты необходимо проделать определенные действия;
• синий — защита не в полной мере по причине несовместимости с темой или каким-либо плагином;
• красный — защита отсутствует.

Таким образом можно оценить, по каким пунктам сайт требует проведения дополнительных мероприятий по его защите.

В моем случае, как видно из рисунка выше, концентрация зеленых пунктов невелика, следовательно нужно будет немало потрудиться над приведением в порядок защиты моего сайта.

Не будем терять ни минуты, ведь сайт судя по всему находится под угрозой. Приступаем к настройке плагина Better WP Security.

Наша цель — максимально снизить количество красных пунктов и увеличить количество зеленых.

Пойдем по порядку. Заходим во вкладку Пользователь:

По умолчанию WordPress создает пользователя с именем admin, и все прекрасно это знают. Так что если вы не поменяете имя пользователя на другое, то потенциальный взломщик может воспользоваться этим для упрощения своей жизни, то есть имя пользователя ему угадывать уже не нужно, остается только подобрать пароль.

Так вот, чтобы усложнить жизнь подобного рода вредителям нужно чтобы у вас не было пользователя с именем admin. Поэтому вводим новое имя администратора.

Также на данной вкладке нужно изменить идентификатор ID администратора (по умолчанию ему присвоено значение 1), для этого жмем на соответствующую кнопку.

В результате картина будет следующая:

С этим разобрались. Идем далее, и на очереди вкладка Away:

Смысл здесь довольно прост — вам предоставляется возможность определить временные интервалы, в которые доступ к админ-панели будет разрешен. Во все остальное время войти туда будет невозможно.

Данную функцию используйте по своему усмотрению, главное на попасться на свою же уловку.

Переходим на вкладку Ban.

Что здесь представляет интерес? Вот этот пункт:

отвечает за включение «черного списка по умолчанию», то есть определенного списка бот-сетей, с которого часто осуществляются атаки на интернет-ресурсы.

Здесь нужно быть осторожным, так как его активация может вызвать проблемы с индексацией вашего сайта Яндексом, основной поисковый робот которого может находится в данном черном списке.

Ниже расположены поля для внесения IP адресов и клиентских приложений, с которых идут атаки на ваш сайт, в черный список:

На очереди вкладка Dir:

Здесь предусмотрена одна функция, а именно вы можете изменить имя директории wp-content, в которой храниться содержимое вашего сайта (установленные темы, плагины, загруженные файлы и т.д.).

Я здесь ничего менять не буду, так как у меня в сайте уже все настроено и переименование данной директории повлечет необходимость переделывать все заново.

Если бы я знал о данном плагине раньше, то установил бы его в первую очередь и смог бы воспользоваться данной функцией.

Ничего не поделаешь, все приходит с опытом.

В следующей вкладке Backup:

можно задать параметры резервного копирования базы данных. Тут все понятно, подробнее рассказывать не буду.

Переходим на вкладку Prefix:

Для всех таблиц вашей базы данных по умолчанию назначен префикс wp_, что значительно облегчает процесс написания скриптов для получения доступа к вашей базе данных.

Так вот, сменив префикс, вы создадите дополнительные трудности для взлома базы данных, что соответственно повысит защищенность вашего сайта.

Для смены префикса на данной вкладке достаточно щелкнуть по кнопке Изменение префикса таблицы базы данных.

После этого будет сгенерирован новый префикс, его вы сможете увидеть здесь же:

Больше на этой странице ничего интересного нет, можно идти дальше.

На вкладке Hide вы можете изменить URL для доступа к админке WordPress:

Здесь можно прописать любые комбинации латинских символов, главное запомнить, ведь именно по ним вы в дальнейшем и будете авторизовываться. Данное мероприятие дополнительно обезопасит ваш сайт от взлома.

Идем далее, на очереди вкладка Detect.

Если замечаете, что очень часто идут запросы на несуществующие страницы вашего сайта (то есть запросы, получающие ошибку 404), то вероятнее всего это указывает на осуществление атаки на него.

Для пресечения данных атак нужно провести определенные настройки на вкладке Detect, в итоге получиться должно следующее:

Если не хотите особо вникать, то можете просто взять мои значения. Адрес электронной почты укажите свой (скорее всего он будет прописан автоматически).

Теперь подробнее:

Check Period означает сколько времени (в минутах) будет в памяти зафиксирован факт возврата ошибки 404 на определенный IP адрес.

Порог ошибки — это количество возвратов ошибки 404 за Check Period на определенный IP адрес, по мере достижения которого данный IP будет заблокирован на Период блокировки.

Blacklist Repeat Offender — это функция поместит IP адрес в черный список по мере достижения количества блокировок, указанного в поле Blacklist Threshold.

В поле 404 White List внесите IP адреса, для которых данные правила действовать не будут (к примеру, свой).

Вкладка Detect довольно длинная, поэтому скриншот я разбил на две части, вот вторая часть:

После внесения данных изменений вам на электронную почту, указанную в поле Адрес электронной почты, будут высылаться уведомления о внесенных в файлы сайта изменениях.

В поле File/Directory Check List укажите папки и типы файлов, изменения в которых будут/не будут фиксироваться (в зависимости от значения поля Include/Exclude List). Я исключил из перечня папку кэша. Не забывайте сохранить изменения.

Далее идем на вкладку Login. У меня данная вкладка выглядит следующим образом:

Теперь поясню подробнее.

Все действия подобны тем, что мы делали на вкладке Detect.

Суть такова: мы предоставили 5 попыток (поля Max Login Attempts Per Host и Max Login Attempts Per User) в течение 10 минут (поле Login Time Period (minutes)) для авторизации на вашем сайте, если все они неудачны (неверные учетные данные), то пользователь блокируется на 20 минут (поле Lockout Time Period (minutes)). Если подобное повторяется суммарно 5 раз (поле Blacklist Threshold), то пользователь оказывается в черном списке. Можете просто повторить мои настройки, ну или придумайте свои, на ваше усмотрение.

Идем далее, на очереди вкладка SSL:

SSL представляет из себя протокол, обеспечивающий безопасность связи.

Тут есть одна тонкость, для использования данной функции этот протокол должен поддерживаться вашим сервером. Если ваш сервер удовлетворяет данным требованиям, то можете выбрать использование данного протокола для шифрования передачи данных в отношении всего сайта или его части (поле Enforce Front end SSL).

В данной вкладке я ничего менять не буду.

На вкладке Tweaks содержится ряд настроек, которые могут существенно улучшить безопасность вашей системы.

Желтым цветом подсвечены пункты, изменение которых несет риск нарушения правильного функционирования системы, поэтому, если вы все-таки решили здесь что-то поменять, то проверьте потом работоспособность системы.

Тут рекомендовать ничего не буду, так как все индивидуально, и то, что помогло мне, у вас может вызвать негативный эффект.

Последняя вкладка — Log. Здесь аккумулируется статистика вторжений в вашу систему и некоторая другая информация. Периодически отслеживайте ее.

Мы рассмотрели все вкладки плагина Better WP Security.

В начале статьи я приводил скриншот вкладки Dashboard, на которой отображалось состояние защиты моей системы по различным параметрами. После внесения всех изменений получилась следующая картина:

Как видно из рисунка, красных пунктов у меня не осталось, а количество зеленых пунктов увеличилось.

На основании этого можно сделать вывод, что теперь моя система защищена и явных проблем в плане безопасности нет.

Таким образом, проведя комплекс мероприятий с использованием плагина Better WP Security, мы защитили WordPress.

Рекомендую и вам использовать описанный в данной статье метод защиты сайта на WordPress от действий злоумышленников и прочих угроз, встречающихся сплошь и рядом на просторах интернета.