WordPress – это самая популярная система управления сайтами, ею пользуются миллионы вебмастеров по всему миру. Конечно же, среди этих миллионов есть и нечестные специалисты, хакеры, которые уже успели изучить CMS настолько, что легко её взламывают для заражения вирусом.
В действительности, WordPress, как самая популярная CMS подвергается атакам чаще остальных. Поэтому для защиты нужно принять некоторые меры. В этой статье мы расскажем вам о плагинах, которые могут помочь защитить WordPress от вирусов.
Sucuri Security
Sucuri Security – это одно из самых популярных решений, которое помогает защитить WordPress от вирусов. Плагин пользуется хорошим мнением большого количества пользователей WordPress и многие сайты защищены именно им.
В функции плагина входит:
- Протоколирование различных действий, связанных с защитой.
- Мониторинг файлов сайта на их изменение.
- Сканирование на наличие вредоносного кода.
- Плагин будет уведомлять, если есть риск попадания его в чёрные списки антивирусных программ. Это дополнение работает совместно с большим количеством известных и популярных антивирусов.
Wordfence Security
Этот плагин отлично защищает сайт от атак хакеров, блокируя им доступ к уязвимым частям проекта по их IP. Дополнение уникально тем, что записывает и сохраняет в своей базе те IP и сети, которые когда-либо совершали атаки на сайт. Поэтому, устанавливая такой плагин на сайт, вы получаете наработанную базу хакерских адресов, доступ которым к вашему сайту будет закрыт.
У плагина есть платная версия, которая имеет больше функций, которые могут защитить WoprdPress от вирусов.
AntiVirus
Плагин AntiVirus работает так же, как и любой компьютерный антивирус – он периодически сканирует сайт на наличие подозрительных файлов. Еженедельно администратору сайта на почту будет приходить письмо с отчётом о сканировании. Если вирусный код, всё-таки, будет обнаружен, то уведомление приходит немедленно. Плагин сканирует как ядро WordPress, так и файлы плагинов, тем, а также базу данных.
Прочтите также о проверке сайта на вирусы.
Quttera Web Malware Scanner
Условно-бесплатный плагин, который может достойно защитить WordPress от вирусов методом сканирования файлов сайта на предмет вредоносного кода. Плагин распознаёт большое количество вирусов и легко их находит. Так же вы будете получать уведомления, если ваш сайт окажется в чёрных списках известных антивирусных программ.
Wordfence Security выполняет глубокую и тщательную проверку сайта на предмет уязвимостей как в самом ядре Wordpress, так и в темах и плагинах.Он использует сервисы WHOIS для мониторинга соединений и способен блокировать целые сети благодаря встроенному брендмауэру . При выявлении новых атак (даже если им подвергся другой сайт с установленным WordFence) происходит автоматическое обновление набора правил брендмауэра для наиболее эффективного противостояния угрозам.
Wordfence Security бесплатен и имеет открытый код, однако предлагаемая подписка позволит еще больше защитить ваш сайт благодаря обновлению брендмауэра, malware-сигнатур и списка «черных» IP-адресов в режиме реального времени
Стоимость премиум-подписки: до $99 в год (имеются значительные скидки при приобретении нескольких ключей или на более длительный срок)
AntiVirus
AntiVirus работает так же, как обычный антивирус - выполняет ежедневное сканирование всего сайта (в том числе тем, и баз данных), отправляя отчет на заданный e-mail. Сканирование и очистка следов выполняются также при удалении плагинов.При обнаружении подозрительных или опасных действий уведомления об этом направляются на тот же электронный адрес и отображаются в админпанели.
Quttera Web Malware Scanner
Очень мощный сканер , который выполняет поиск таких уязвимостей, как вредоносные скрипты, трояны, бэкдоры, черви, программы-шпионы, эксплойты, вредоносные iframes, редиректы, обфускацию и другие нежелательные или опасные изменения кода. Кроме того, плагин проверяет не попал ли ваш сайт в черные списки.Стоимость: бесплатно, однако расширенные возможности, такие как устранение обнаруженных уязвимостей и очистка от вредоносных файлов предоставляется на платной основе (от $119 в год)
Anti-Malware
Anti-Malware сканирует и обезвреживает известные на данный момент уязвимости, включая backdoor-скрипты. Автоматически обновляет антивирусные базы, что позволяет обнаруживать самые свежие вирусы и эксплойты. Встроенный файерволл блокирует внедрение в слайдеры и некоторые другие плагины вируса SoakSoak и других эксплойтов.WP Antivirus Site Protection
WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы, включая темы, плагины и загружаемые файлы в папке uploads. Найденные зловреды и вирусы будут немедленно удалены или перемещены в карантин.Exploit Scanner
Exploit Scanner не удаляет подозрительный код - он оставляет это «грязное» дело администратору. Но зато он хорошо выполняет не менее важную и более трудоемкую операцию по его поиску . И будьте уверены он его найдет, будь он в базе данных или в обычных файлах.Centrora Security
Плагин Centrora Security выполнен по принципу «швейцарского ножа» - это комплексный инструмент для всесторонней защиты сайта от всех типов угроз. Он имеет встроенный firewall , модуль резервного копирования и ряд сканеров, выполняющих проверку прав доступа, поиск зловредного кода, спама, SQL-инъекций и прочих уязвимостей.Мошенники могут попытаются атаковать сайт, чтобы взломать админку, украсть пароли пользователей, изменить код сайта, получить доступ к конфиденциальной информации, разместить скрытые ссылки или еще как-то навредить ресурсу. Из-за таких атак можно потерять клиентов, позиции в выдаче, репутацию или даже сам сайт.
WordPress сам по себе достаточно защищенный движок, но базовой защиты недостаточно.
Статистика заражений за 2017 год
Повысить безопасность сайта помогут специальные плагины, они не сделают сайт полностью неуязвимым для любых атак, но будут препятствовать злоумышленникам.
Плагины для защиты сайта на WordPress
All In One WP Security & Firewall
Плагин защищает учетные записи пользователей, файлы кода, делает безопаснее вход на сайт через личные кабинеты, делает резервные копии баз данных.
Что делает плагин:
- добавляет капчу на страницу регистрации и в форму входа на сайт, чтобы оградить от спама;
- блокирует вход пользователям с определенным IP на время или навсегда и дает временный блок после нескольких неудачных попыток войти;
- дает просматривать активности учетных записей пользователей;
- делает резервные копии базы данных автоматически;
- создает резервные копии исходных файлов.htaccess и wp-config.php;
- обнаруживает уязвимости в учетных записях, к примеру, с одинаковым именем и логином;
- генерирует сложные пароли;
- отключает редактирование некоторых файлов из админки, чтобы защитить PHP-код;
- закрывает доступ к файлам readme.html, license.txt и wp-config-sample.php;
- устанавливает межсетевые экраны для защиты от вредоносных скриптов.
![](https://i1.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/f085e716705dde16cb941245821de5a7.jpg)
Понятно о настройке плагина:
All In One WP Security & Firewall переведен на русский язык, установка бесплатна.
BulletProof Security
Плагин сканирует вредоносный код, защищает авторизацию на сайте, не пропускает спам, делает резервные копии.
Что делает плагин:
- защищает файлы wp-config.php, php.ini и php5.ini через файл.htaccess;
- включает режим технических работ;
- проверяет права на редактирование папок и файлов в админке;
- не пропускает спам с помощью функции JTC-Lite;
- создает резервные копии автоматически или вручную, отправляет архивы по e-mail;
- ведет журналы ошибок и журнал безопасности.
Подробнее о функциях безопасности на странице плагина.
![](https://i0.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/700495a6c3e50b899621a5858a255ff5.jpg)
Плагин переведен на русский язык. Он бесплатный, есть премиум версия с расширенными возможностями защиты сайта и предупреждения атак.
Wordfence Security
Защищает CMS от взлома и атак вредоносного ПО благодаря защите входа в систему сайта, сканированию изменений кода, попыток входа и уведомлениям о подозрительных активностях.
Что делает плагин:
- сравнивает основные темы и плагины с тем, что находится в репозитории WordPress.org и при расхождениях сообщает владельцу сайта;
- выполняет функции антивируса, проверяет сайт на уязвимости;
- проверяет сообщения и комментарии на подозрительный контент и ссылки.
В бесплатной версии доступны и другие функции.
Премиум версия дает чуть больше:
- проверяет, попал ли сайт или IP в черный список спама или сайтов с проблемами в безопасности;
- включает двухфакторную идентификацию для входа;
- составляет черный список и блокирует все запросы от IP из базы.
Подробнее о функциях безопасности на странице плагина.
![](https://i1.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/a73fa529edd45cd461fdfa56f44ea9ec.jpg)
Не переведен на русский, базовую версию можно скачать бесплатно.
Disable XML-RPC Pingback
Сайт закрывает возможную уязвимость XML-RPC, через которую мошенники могут атаковать другие сайты и замедлять работу вашего ресурса.
Что делает плагин:
- Удаляет pingback.ping и pingback.extensions.getPingbacks из интерфейса XML-RPC;
- удаляет X-Pingback из HTTP-заголовков.
![](https://i0.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/7486952862002b4ee7613af82367a9ce.jpg)
Плагин на английском языке, установка бесплатна.
iThemes Security
Старое название - Better WP Security. Плагин защищает при входе в панель администратора, выполняет функции антивируса.
Что делает плагин:
- включает двухфакторную авторизацию при входе в администраторскую панель;
- сканирует код сайта и сигнализирует, если находит подозрительные изменения;
- мониторит сайт на автоматизированные атаки и блокирует их;
- генерирует сложные пароли;
- отслеживает активность аккаунтов пользователей;
- включает Google reCAPTCHA при входе на сайт;
- дает возможность создавать временные доступы в админке;
- ограничивает редактирование файлов в админке.
Подробнее о функциях безопасности на странице плагина.
![](https://i1.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/cf53bd0a71a0cd4fc416cfdac641a96c.jpg)
Переведен на русский язык и доступен бесплатно.
Sucuri Security
Комплексный плагин, отслеживающий изменения в файлах сайта и выполняющий функции антивируса.
Что делает плагин:
- проверяет код сайта на подозрительные изменения и присылает уведомления;
- сканирует вредоносные программы и запрещает доступ;
- создает черный список IP и запрещает им взаимодействие с сайтом;
- фиксирует IP посетителей, которые безуспешно пытаются войти на сайт, и блокируют их на ограниченное время;
- автоматически проверяет сайт на вирусы и отправляет отчеты на e-mail.
В премиум-версии создает сетевой экран для дополнительной защиты от атак. Подробнее о функциях безопасности на странице плагина.
![](https://i1.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/af586f7bdb25ab23c69167cbe38d7454.jpg)
Плагин не переведен на русский язык, доступен для бесплатного скачивания.
Keyy Two Factor Authentication
Плагин для защиты панели администратора от злоумышленников, делает доступ в админку удобнее и быстрее.
Что делает плагин:
- защищает сайт от взломов;
- хранит защищенный пароль на устройстве, его не нужно вводить при входе;
- позволяет ходить в админку по отпечатку пальца;
- администраторам нескольких сайтов дает переключаться между панелями в один клик.
![](https://i1.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/4584c9fbb9484b50a99ccb1c3892ff24.jpg)
Плагин не переведен, доступен бесплатно.
WWPass Two-Factor Authentication
Плагин для защиты от проникновения злоумышленников в панель администратора.
Что делает плагин:
- добавляет QR-код для сканирования при попытке войти в админку;
- дает доступ к бесплатному использованию менеджера паролей PassHub .
![](https://i2.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/5f7270d3733811eec39cb432ab39ef6c.jpg)
Доступно бесплатное скачивание версии на английском.
Если злоумышленникам удалось что-то сделать с сайтом, и нужно восстановить его прежнее состояние, помогут бэкапы. Обычно хостеры периодически делают резервные копии, но на всякий случай лучше делать бэкапы самому. Некоторые плагины из подборки могут делать копии, а также есть отдельные решения для бэкапов.
Плагины для бэкапов сайта на WordPress
BackWPup – WordPress Backup Plugin
Плагин для создания резервных копий и восстановления прежних версий сайта.
Что делает плагин:
- делает бэкапы полного сайта с контентом;
- экспортирует XML WordPress;
- собирает установленные плагины в файл;
- отсылает копии на внешние облачные хранилища, email или передает по FTP.
Платная PRO-версия шифрует архивы с бэкапами и восстанавливает резервные копии за пару кликов.
![](https://i0.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/6e508d14fadb67c286626050a4d78fd6.jpg)
Доступен бесплатно, есть платная PRO-версия, не переведен на русский.
UpdraftPlus WordPress Backup Plugin
Что делает плагин:
- копирует и восстанавливает данные в один клик;
- делает автоматические резервные копии по расписанию;
- проверяет и восстанавливает базы данных;
- отправляет бэкапы в облако, на Google-диск и в другие места хранения по выбору.
Расширенная версия дает больший выбор мест для хранения копий и другие дополнительные функции.
![](https://i1.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/e162af3605c6ebedec357b9a25086f68.jpg)
Не переведен на русский, доступен бесплатно.
VaultPress
Еще один плагин для резервного копирования и надежного хранения копий.
Что делает плагин:
- ежедневно автоматически копирует все файлы сайта с контентом и комментариями;
- восстанавливает сайт из копии по клику;
- защищает сайт от атак и вредоносного ПО.
Работает бесплатно для одного сайта, хранит данные 30 дней. За дополнительную плату можно наблюдать за несколькими сайтами из одной панели и хранить данные дольше.
![](https://i2.wp.com/s3-eu-central-1.amazonaws.com/news.pr-cy.ru/535312/images/06fbd2f01c3b4713a459d9f5a495e569.jpg)
Плагин не переведен на русский язык, доступен для установки бесплатно.
Сайтам необходима защита от злоумышленников, чтобы они не смогли получить доступ к секретной информации, использовать ваш ресурс для атак на другие сайты, рассылать письма клиентам и нарушать стабильную работу ресурса. Плагины ставят мошенникам препятствия, защищают пользовательские данные и код сайта, а системы резервного копирования откатят сайт до прежнего состояния, если злоумышленникам все-таки удалось навредить.
Забавно иногда выпадают события в жизни. Мне попался классный курс на Udemy по современным способам защиты и взломов сайтов. Повышая свой уровень квалификации, я проворонил заражение вирусами своего блога. Скорее всего, пользователи WordPress так или иначе сталкивались с симптомами, которые я дальше опишу. Если нет – то вы везунчики. Я сам очень долгое время ничего не цеплял на сайты, думая о том, как все же умудряются заражать свои веб-ресурсы. Еще в 2014 году меня удивляли сообщения на форумах о том, что их сайт с отличной посещалкой просто заразили и увели.
И вот, сегодня утром на почту от моего хостера прилетело письмо, которое меня и озадачило. Да, я был приятно удивлен, что ihc мониторит сайты на наличие малвари, но сообщение, которое гласило о том, что один файл был измен ночью без моего ведома и это подозрение на вирусную активность, вызвало сумбурные эмоции. Фактически, это было подтверждением моих подозрений.
Некоторое время назад я обнаружил, что в метрике есть переходы на сайты, которые у меня просто никак не могут быть прописаны в постах. Когда я попытался найти эти ссылки тупо через поисковик блога, меня редиректило на Apache с сообщением об ошибке. Уже тогда заподозрив неладное, я полез в файл search. php активной темы, в котором увидел обфусцированный код. Тогда это меня поставило в ступор, но в силу нехватки времени не стал копаться дальше. Как оказалось зря. Ведь это и был один из признаков заражения.
Пример закодированной малвари
Я глупо понадеялся на средства обнаружения вредоносного кода от различных сервисов, которыми пещрит интернет. Все они «радостно» сообщали мне о том, что сайт чист как утренняя роса.
Представьте себе парадоксальную ситуацию – есть неработающая функция поиска, есть обфусцированный код на php, чтобы незадачливый веб-мастер не увидел «подарок», а антивирусные сервисы просто молчат.
Но вернемся к нашим баранам, точнее, к сайтам. На всех этих сайтах у меня авторизация двухуровневая. Может, это и спасло от увода сайта хакером. Через два дня после того, как была заражена search.php на мою почту прилетело извещение от ihc.ru о том, что некоторые файлы были изменены и если я ничего не делал, то рекомендуется проверить антивирусом, который предоставляет сам хостинг. Что же, вот и подвернулась возможность потестить этот антивирус, жаль только что в качестве испытуемого попал мой любимый сайт 🙁
Результат проверки, мягко говоря, весьма озадачил меня. Антивирус лопатил сайт минут сорок и потом прислал свой «вердикт». 42 файла были заражены…
Вот тут было в пору хвататься за голову, думая о том, как вообще подобное могло произойти. Само собой, что имел место эксплойт. Но об этом потом.
Нужно было лечить сайт, но для этого его нужно было основательно исследовать. Да, можно было сделать гораздо проще – слить дамп базы, перенести картинки из wp- content и все это перезалить на свежеустановленный движок Вордпресса. Но «легче» – не значит «лучше». Фактически, не зная, что было изменено, можно было ожидать, что дыра появится и на перезалитом сайте. И тут впору было стать новоиспеченным Шерлоком Холмсом, дабы провести полный аудит сайта.
Поиск малвари похож на работу сыщика
Честно скажу, что подобного азарта и интереса я давно не испытывал. Да, мне во многом помог антивирус с хостинга, указав, в каких файлах он нашел изменения. Но и даже он не все смог обнаружить полностью, так как код чередовался обфускацией и банальным hex-кодированием посредством вредоносного js. Нужно было много ручками делать, используя все сторонние инструменты всего лишь в качестве помощников.
Итак, запускаем редактор кода и смотрим на зараженные файлы. На самом деле, в коде они «палятся» достаточно быстро в силу своей зашифрованности. Тем не менее, это далеко не везде. Бывало, что нужно было строчка за строчкой разбирать код php файла и разбираться, что с ним не так. Сразу скажу, что это было с файлами темы. В этом случае очень пригодятся оригинальные файлы темы для сравнения, если точно не уверен, для чего нужна та или иная функция (а ведь правильно написанный вирус должен наследить как можно меньше).
Но давайте все рассмотрим по порядку. Скриншот обфусцированного вирусом кода я уже выложил в начале статьи. При помощи ресурса https://malwaredecoder.com/ можно декодировать его в удобоваримый вид и изучить. В моем случае, некоторые файлы содержали инъекцию. Все это стираем к чертовой матери.
Тем не менее, иногда может попадаться короткий код с инклудом. Как правило, так заражаются index. php и wp- config. php . К сожалению, скриншот такого кода я не стал делать, так как на тот момент не планировал писать статью. По этому коду видно было, что это закодированный через js код вызова определенного файла. Для декодирования 16ричного кода воспользуемся сервисом http://ddecode.com/hexdecoder/ , с помощью которого и определим, что вызывается файл по адресу wp-includes/Text/Diff/.703f1cf4.ico (я опустил полный путь, важна сама суть). Как думаете, стоит ли вызов простого файла иконки кодировать, хоть и относительно простым кодированием? Думаю, ответ очевиден и открываем через блокнот эту «иконку». Естественно, что снова это оказался полностью закодированный файл php. Удаляем его.
Расчистив очевидные файлы, можно переходить на уже не такие очевидные – к файлам тем WordPress. Вот тут обфускация не используется, нужно рыть код. На самом деле, если не знать, что изначально задумывал разработчик, то эта задача весьма творческая, хотя и достаточно быстро решаема. Если не меняли код темы, проще заменить зараженные файлы (антивирус их точно опознал) и идем дальше. Либо можете покопаться как я и найти, что очень часто такого рода вирусы приписывают в файл function. php абсолютно левую функцию, в которой наверняка будет код обращения к sql. В моем случае он выглядит так (форматирование оставил без изменения):
$sq1="SELECT DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\"1\" AND comment_type=\"\" A ND post_author=\"li".$sepr."vethe".$comment_types."mes".$sepr."@".$c_is_approved."gm".$comment_auth."ail".$sepr.".".$sepr."co"."m\" AND post_password=\"\" AND comment_date_gmt >= CURRENT_TIMESTAMP() ORDER BY comment_date_gmt DESC LIMIT $src_count";
Куда эта выборка идет мы уже вычистили. Поэтому спокойно смотрим, в какой функции находится этот код и удаляем всю эту функцию – ее приписала малварь. Но, повторюсь, гораздо проще и лучше перезаписать весь файл из готовой темы, если боитесь что-либо сломать.
Ну и финальный штрих – проверяем число пользователей сайта . Все свои сайты я всегда вел сам. Соответственно, никаких иных пользователей быть не может и не должно. Однако учитывая заражение, легко догадаться, что сайт попытаются умыкнуть и создать своего пользователя с админскими правами. В моем случае это оказался wp.service.controller.2wXoZ . Удаляем его.
Работы проведено много, но есть ли выхлоп? Проверим снова антивирусом, который сообщает о том, что вирусов больше не обнаружено. Все, сайт вылечен.
Итоги
Как видите, вылечить сайт достаточно просто, хотя и время затратно. После лечения нужно предупредить подобные ситуации в дальнейшем. Тут нужно сделать всего несколько шагов:
- Обновите сам WordPress до последней версии. Возможно, что воспользовались эксплойтом для устаревшего движка.
- Прошерстите все плагины. Удалите все ненужные (которые поставили на «будущее» и не используете) и проверьте актуальность уже работающих. Тем не менее, даже выкачав плагин из репозитория WordPress, это не дает вам гарантии того, что этот плагин будет чист. Участились случаи, когда выкупают тот или иной плагин, делают из него малварь и при обновлении на вашем сайте вы столкнетесь с такими же «радостями» как и я. В моем случае, меня заразили как раз так.
- Всегда проверяйте тему. Если публичные – обновляйте. Конечно, лучше, если ее купить на том же templatemonster, хотя и это не дает 100% защиту.
- Не пренебрегайте инструментами типа Wordfence . Хотя бесплатная версия плагина весьма и весьма ограничена, но вы хотя бы будете знать, что на вашем сайте подозрительно стало.
- Раз в месяц не ленитесь прогонять сайт через wpscan, чтобы увидеть какие на нем появились уязвимости.
- Обратите внимание на корень сайта. Там может появиться файл index. html. bak. bak . Это тоже говорит о том, что у вас зараженный сайт (сразу можете править index.php, он 100% заражен)
- Не доверяйте публичным антивирусам сайтов. Толку от них мало.
Я попытался на своем примере показать то, как можно вылечить сайт на WordPress. Антивирус на ihc.ru представляет собой просто сканер малвари. Но и он хорошо упростил работу. Тем не менее, даже если у вашего хостинга нет подобной услуги, можно по приведенному выше алгоритму определить и предупредить заражение.
Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.
Первое что я сделал это обратился в техподдержку с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.
Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.
Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.
Что умеет All In One WP Security (защита wordpress всё в одном):
- Делает резервные копии базы данных, файла конфигурации wp-config. и файла.htaccess
- Смена адреса страницы авторизации
- Скрывает информацию о версии WordPress
- Защита админки – блокировка при неправильной авторизации
- Защита от роботов
- И ещё много чего полезного
Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.
Настройка All In One WP Security
Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:
- база данных;
- файл wp-config;
- файл htaccess
Делается это на первой странице настройки плагина All In One WP Security.
Сделайте бэкап (резервную копию) перед началом работы
Пройдусь только по самым важным пунктам.
![](https://i0.wp.com/1akm.ru/wp-content/uploads/2018-08-29_01-15-59-167x300.png)
Панель управления
Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.
![](https://i1.wp.com/1akm.ru/wp-content/uploads/2018-08-29_22-52-22.png)
Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.
![](https://i2.wp.com/1akm.ru/wp-content/uploads/2018-08-29_22-47-50-300x50.png)
Настройки
Вкладка WP Version Info
Чекаем галочку Удаление метаданных WP Generator.
![](https://i0.wp.com/1akm.ru/wp-content/uploads/2018-08-29_01-40-53.png)
Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.
Администраторы
Пользовательское имя WP
Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.
Отображаемое имя
Если ваш ник совпадает с логином, то обязательно меняем логин или ник.
Пароль
Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:
- Пароль должен состоять из букв и цифр
- Используйте строчные и прописанные буквы
- Не используйте короткие пароли (минимум 6 символов)
- Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)
Авторизация
вкладка Блокировка авторизаций
Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы:)
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.
![](https://i0.wp.com/1akm.ru/wp-content/uploads/2018-08-29_23-04-36.png)
Автоматическое разлогинивание пользователей
Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).
![](https://i0.wp.com/1akm.ru/wp-content/uploads/2018-08-29_23-08-35.png)
Регистрация пользователей
Подтверждение вручную
Чекаем “Активировать ручное одобрение новых регистраций”
![](https://i1.wp.com/1akm.ru/wp-content/uploads/2018-08-29_23-17-19.png)
CAPTCHA при регистрации
Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.
Registration Honeypot (бочка мёда)
Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.
Защита базы данных
Префикс таблиц БД
Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью
обязательно сделайте резервную копию БД
Если вы только что создали свой сайт, то можете смело менять префикс.
![](https://i0.wp.com/1akm.ru/wp-content/uploads/2018-08-29_23-45-21.png)
Резервное копирование базы данных
Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).
![](https://i2.wp.com/1akm.ru/wp-content/uploads/2018-08-29_23-48-55-600x412.png)
Защита файловой системы
Тут меняем права доступа к файлам, чтобы все было зелёным.
![](https://i1.wp.com/1akm.ru/wp-content/uploads/2018-08-29_23-55-14.png)
Редактирование файлов php
Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.
Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.
Черный список
Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.
![](https://i0.wp.com/1akm.ru/wp-content/uploads/2018-08-30_00-20-16-600x342.png)
Файрволл
Базовые правила файрволла.
Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.
Эти правила вносятся в файл.htaccess, поэтому сначала делаем его резервную копию.
Теперь можно проставить нужные галочки:
![](https://i1.wp.com/1akm.ru/wp-content/uploads/2018-08-30_00-36-21.png)
![](https://i0.wp.com/1akm.ru/wp-content/uploads/2018-08-30_00-37-49-300x150.png)
![](https://i2.wp.com/1akm.ru/wp-content/uploads/2018-08-30_00-38-55.png)
Дополнительные правила файрволла
На этой вкладке отмечаем следующие галочки:
- Отключить возможность просмотра директорий
- Отключить HTTP-трассировку
- Запретить комментарии через прокси
- Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
- Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
- У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.
6G Blacklist Firewall Rules
Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.
![](https://i2.wp.com/1akm.ru/wp-content/uploads/2018-08-30_00-58-50.png)
Интернет-боты
Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.
Предотвратить хотлинки
Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.
Детектирование 404
Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.
![](https://i1.wp.com/1akm.ru/wp-content/uploads/2018-08-30_01-16-49.png)
Защита от брутфорс-атак
По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой автоматически изменил мне эту страницу во время установки системы.
![](https://i1.wp.com/1akm.ru/wp-content/uploads/2018-08-30_01-27-29-600x175.png)
Защита от брутфорс-атак с помощью куки
Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.
CAPTCHA на логин
Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.
![](https://i1.wp.com/1akm.ru/wp-content/uploads/2018-08-30_23-57-53.png)
Белый список для логина
Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.