Поиск по сайту:

Защита вашей установки WordPress

Работа с популярными системами управления контентом может стать отличным способом управления, изменения и обслуживания вашего веб-сайта. Но с большой популярностью приходит большая ответственность за защиту вашей установки WordPress от хакеров, которые стремятся использовать популярные системы, такие как WordPress. Давайте узнаем, как мы можем обезопасить наш сервер и защитить себя от злоумышленников.

Зачем мне нужно защищать WordPress?

Популярность WordPress делает его мишенью для хакеров. Имея миллионы пользователей по всему миру, злоумышленники получают максимальную отдачу, используя такие широко используемые инструменты. Один эксплойт может позволить хакеру скомпрометировать сотни или тысячи веб-сайтов, что может означать, что ваш веб-сайт является одним из многих уязвимых.

Основными способами взлома или компрометации WordPress являются легко угадываемые пароли, компрометация тем, плагинов и устаревшая установка WordPress. Обновление надежных паролей и имен пользователей, тем, плагинов и основных установок с помощью последних исправлений может иметь большое значение для защиты вашего сервера от злоумышленников.

Давайте посмотрим, как мы можем обновить эти элементы и убедиться, что наша установка WordPress обновлена.

Создание безопасного имени пользователя и пароля

Хотя вы не можете изменить имя пользователя, установленное во время установки WordPress, мы можем создать альтернативного администратора, у которого нет легко угадываемого имени пользователя, такого как «пользователь» или «администратор», что могло не учитываться во время установки. Затем мы можем создать безопасный пароль для исходной учетной записи администратора, чтобы его нельзя было угадать.

Легко угадываемые имена пользователей позволяют злоумышленникам угадывать распространенные комбинации имен пользователей и паролей, чтобы получить доступ к вашей установке WordPress. Имея неясное и уникальное имя пользователя, даже если ваш пароль такой простой, как «пароль», злоумышленникам все равно придется угадывать ваше сложное имя пользователя, чтобы получить доступ.

С таким именем пользователя, как «mywebsite123987@#$@!», хакерам будет сложно таким образом скомпрометировать ваш сервер.

Чтобы создать нового пользователя, откройте панель управления и перейдите к разделу «Пользователи».

Выберите Добавить нового в верхней панели навигации, чтобы создать нового пользователя.

Обязательно предоставьте уникальное и трудно угадываемое имя пользователя и пароль, состоящие из 12+ символов, включая буквы, цифры и символы.

Назначьте этому пользователю роль Администратора, затем выберите Добавить нового пользователя.

Теперь мы можем вернуться на страницу «Пользователи» и выбрать нашу первоначальную учетную запись администратора с именем user.

Сгенерируйте новый пароль для нашего первоначального пользователя, который будет невозможно угадать. Теперь, когда у нас есть альтернативная учетная запись администратора, наша первоначальная учетная запись с именем user может иметь очень длинный сложный пароль, поэтому злоумышленники не смогут подобрать его методом грубой силы из-за такого распространенного имени пользователя.

Изменение URL-адреса входа в WP-Admin

Еще один отличный способ защитить свои страницы входа — изменить URL-адрес входа по умолчанию для wp-admin на что-то уникальное. Таким образом, злоумышленники не смогут автоматически пытаться войти на ваш веб-сайт с помощью URL-адреса по умолчанию example.com/wp-admin/ и должны будут угадать вашу страницу входа (с безопасным именем), чтобы атаковать ваш веб-сайт.

Хотя это не поддерживается WordPress, мы можем сделать это одним из двух способов. Использование плагина или ручное изменение файлов для внесения наших изменений.

В этой статье мы будем вручную изменять наши файлы и делать все возможное, чтобы избежать ненужных плагинов.

Важно отметить, что эти изменения не будут перенесены в обновления WordPress и могут вызвать некоторые проблемы в будущем. Для обеспечения плавного обновления рекомендуется сохранять резервную копию всех измененных файлов и восстанавливать их перед обновлением. Затем вы можете просто внести те же изменения еще раз, чтобы восстановить защищенный URL-адрес входа в WordPress.

Для начала вам понадобится хороший текстовый редактор, такой как Notepad++, который имеет мощную функцию поиска и замены. Получив это, давайте найдем наш файл wp-login.php в корневом каталоге WordPress.

Прежде всего, сделайте резервную копию этого файла на случай, если в какой-то момент нам понадобится вернуться к исходному URL-адресу входа. Как только это будет сделано, откройте wp-login.php в Notepad++, чтобы мы могли запустить модуль поиска и замены, необходимый для защиты нашей страницы входа.

Чтобы получить доступ к модулю поиска и замены, перейдите к Поиск в верхнем меню и найдите Заменить.

Когда модуль открыт, в поле Найти что: введите wp-login, а в поле Заменить на: введите желаемый URL-адрес для входа. В данном случае я выбрал custom_login в качестве новой страницы входа.

Выберите Заменить все, чтобы заменить все вхождения wp-login.

Сохраните файл и вернитесь в домашний каталог WordPress. Пришло время переименовать наш файл wp-login.php в custom_login.php.

Теперь, чтобы проверить, что наше изменение сработало, откройте каталог wp-admin на своем веб-сайте. В моем случае он находится по адресу http://localhost/wordpress/wp-admin/. После загрузки этого URL-адреса вы должны обнаружить, что он выдает ошибку или предупреждение «Страница не найдена». Это означает, что наш URL-адрес входа изменился и не может быть найден хакерами, использующими URL-адрес входа по умолчанию!

Теперь давайте откроем правильную страницу входа, в моем случае расположенную по адресу http://localhost/wordpress/custom_login.php.

Поздравляем! Вы изменили URL-адрес для входа по умолчанию на более безопасный уникальный URL-адрес, который хакерам будет сложнее угадать. Это предотвратит взлом вашей страницы входа программами, специально ищущими URL-адрес wp-login.php. На шаг ближе к безопасности!

Поддерживайте плагины, темы и ядро WordPress в актуальном состоянии

Единственный наиболее эффективный способ защитить вашу установку WordPress — поддерживать темы, плагины и основную установку WordPress в актуальном состоянии.

Плагины и темы часто становятся мишенью хакеров, поскольку они, как правило, разрабатываются сторонними разработчиками с несколько ограниченными ресурсами, в отличие от организации WordPress, приоритетом которой будет безопасность и тестирование на наличие ошибок любых официальных плагинов и тем.

Темы и плагины создаются так, как решил их написать разработчик, и они не часто тщательно проверяются на наличие эксплойтов. Это может вызвать проблемы у пользователей, если злоумышленник обнаружит ошибку в файлах тем, которые, возможно, не были обновлены для всех пользователей. Это может случиться и спустя годы.

Плагины работают так же, но могут более широко использоваться пользователями WordPress, что делает плагины идеальной мишенью для хакеров. Было много случаев, когда подключаемые модули, установленные миллионами пользователей, подвергались эксплуатации, и все веб-сайты с уязвимым подключаемым модулем могли быть скомпрометированы, если не были обновлены.

Чтобы управлять обновлениями для WordPress, перейдите на панель управления и найдите Главную.

Эта страница поможет вам централизованно управлять основными обновлениями, обновлениями тем и даже обновлениями плагинов. Вы будете уведомлены обо всех устаревших расширениях и сможете обновить их здесь. Вам понадобится только FTP-доступ с правами на изменение темы, плагина или установки WordPress.

Хотя WordPress часто выдает предупреждения на главной странице панели инструментов для устаревших файлов, почаще проверяйте эту страницу обновлений WordPress и убедитесь, что ваши файлы обновлены. Исправление устаревших файлов — один из самых эффективных способов предотвратить простой захват злоумышленниками.

Сведение к минимуму использования плагинов и установленных тем

Конечно, может быть непросто поддерживать темы и плагины в актуальном состоянии с последними исправлениями, особенно если вы используете десятки или более тем и расширений. Один из самых простых способов минимизировать этот риск — ограничить количество используемых вами плагинов и тем.

Это дает экспоненциально меньше векторов атаки для хакеров для каждого плагина или темы, которые не установлены и могут иметь потенциальные эксплойты. Кроме того, удаление деактивированных плагинов и тем предотвратит использование серьезных ошибок даже неиспользуемыми инструментами в будущем.

Если вы решили не использовать плагин, полностью удалите его со своего веб-сайта. Было обнаружено, что даже в старых деактивированных плагинах есть серьезные ошибки, которые были скомпрометированы хакерами в больших масштабах.

Хотя кажется, что есть плагин для всего, даже для некоторых вещей, которые мы сделали сегодня, сведение к минимуму использования плагинов и установок тем, безусловно, поможет защитить ваш сайт от легко эксплуатируемых ошибок, которые хакеры могут обнаружить даже спустя годы. Если возможно, установите только тему по умолчанию и ту, которую вы используете, и как можно меньше плагинов, чтобы ваш сайт работал.

Помните, чем больше пользователей имеют установленный плагин или тему, тем интереснее цель для хакеров найти эксплойт.

Резервное копирование для восстановления и душевного спокойствия

Последним шагом в защите от необратимой компрометации является создание безопасных резервных копий. Если в плагине или WordPress обнаружено сообщение об ошибке, вы можете вернуться к более безопасной установке или просто удалить уязвимые файлы с работающего веб-сайта.

Если эксплойт достаточно серьезен, вы можете установить новую установку WordPress и просто импортировать свои сообщения в новую и безопасную установку.

Хотя существует миллион способов резервного копирования ваших данных, мы покажем вам самую простую форму резервного копирования файлов WordPress с помощью встроенного инструмента экспорта.

Этот инструмент находится в разделе Инструменты > Экспорт на панели управления WordPress.

Отсюда вы можете вручную экспортировать сообщения, страницы, медиафайлы или весь контент.

Это никоим образом не создаст резервную копию вашей темы или плагинов, а также не создаст резервные копии любых измененных файлов, таких как наша страница custom_login.php. Однако в случае аварии у вас будут безопасные резервные копии всех ваших сообщений и страниц, которые можно легко импортировать в новую установку.

Альтернативные методы резервного копирования ваших файлов включают экспорт базы данных SQL целиком. Но после компрометации трудно точно сказать, какие файлы и данные находятся под угрозой долгосрочного бэкдора. Если ваша установка WordPress была скомпрометирована, лучше начать с новой установки с минимальным количеством оставшихся файлов.

Безопасность: бесконечная работа

Хотя это руководство касается безопасности только поверхностно, это одни из наиболее эффективных методов предотвращения полной компрометации WordPress. Это наиболее часто используемые хакерами векторы атак, и защита этих систем защитит ваш сайт от наиболее распространенных автоматизированных атак, направленных против установок WordPress по всему миру.

Надежное имя пользователя и пароль, которые нелегко угадать, настраиваемая страница входа в систему, а также современные плагины, темы и основные установки будут иметь большое значение для защиты вашего сервера. Объедините это с надежными резервными копиями и минимизацией сторонних инструментов, и у хакеров будет значительно меньше векторов, которые можно использовать против вашей установки WordPress.

Сочетание надежных методов WordPress с надежными методами обеспечения безопасности сервера, такими как шифрование, брандмауэры и обнаружение вредоносной активности, обеспечит безопасность вашего веб-сайта и безопасное место в Интернете!