Безопасностью вашего блога нужно заниматься с самого начала, не откладывая это на расплывчатое «раскручусь и займусь». Тем более что сейчас перед вами подробная инструкция о том, как защитить сайт на wordpress от взлома, вирусов и других неприятностей.
Я раньше задумывалась о безопасности, но не так серьезно. А после этой статьи на сайте А.Борисова подошла к делу серьезно. Нашла в интернете все проблемные места системы и методы их устранения. Получилась довольно большая статья из 14 пунктов!
Как защитить сайт на wordpress
1. Сменить стандартный логин. Первым делом хакеры пробивают такие популярные логины как admin, user, moderator, administrator. Если вы используете один из них, значит вы сделали за злоумышленников половину работы. Особенно часто используется admin – короткий, легко запоминается, сразу видно что важная шишка, поэтому владельцы сайтов не изменяют его на что-то более сложное.
Существует много вариантов, как сменить этот логин, но самый простой:
- Зайти в админку, зайти в раздел Пользователи – нажать Добавить.
- Придумать новому пользователю сложный логин (можно просто набор букв-цифр), и выбрать Роль – Администратор.
- Выйти из текущего пользователя (справа наверху выбрать Выйти).
- Зайти под новым пользователем, которого вы только что создали.
- Поработать с этого аккаунта: создать новые статьи, отредактировать старые, добавить/удалить плагины. В общем проверить, действительно ли он обладает всеми полномочиями Администратора.
- Удалить пользователя с ником admin.
2. Ставим сложный пароль – это именно тот случай, когда использовать свой стандартный пароль в виде qwerty нельзя. Нужно придумать уникальный пароль, очень сложный, из 20-символов с разным регистром, цифрами и разными символами. Если боитесь забыть, запишите в бумажный блокнот. Но не храните его на компьютере. Как придумать сложный пароль можно прочитать в этой статье .
Сложный пароль должен быть не только в админку wordpress, но и для других сервисов, связанных с сайтом: почта, хостинг и т.п.
3. Скрываем логин – как бы вы не пытались придумать супер сложный логин, существует лазейка, позволяющая увидеть его и скопировать. Для этого введите в адресную строку http://Ваш_домен.ru?author=1, подставив ваш домен. Если ссылка не превращается в /author/admin, где admin ваш новый логин, значит все в порядке.
Но если все же там отображается ваш логин, нужно срочно его скрыть с помощью специальной команды в файле functions.php:
/* Подмена логина в комментариях */
function del_login_css($css) {foreach($css as $key => $class) {
if(strstr($class, «comment-author-впишите_действующий_логин»)) {
$css[$key] = ‘comment-author-впишите_вымышленный_логин’; } }
return $css; }
add_filter(‘comment_class’, ‘del_login_css’);
Теперь настраиваем переодресацию на главную страницу, для этого нужно открыть файл.htaccess в корневой папке (с помощью filezilla), и здесь после строчки
RewriteRule . /index.php [L]
Добавить данный текст:
RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru
4. Своевременно обновляем WordPress. Время от времени появляются новые версии, уведомления висят прямо в панели управления. Сделайте резервную копию сайта, обновите и проверьте работоспособность. Чем новее, тем сложнее взломать систему – появляются новые уровни защиты, и старые методики взлома не работают.
5. Скрываем версию WordPress от чужих глаз. По умолчанию данная информация отображается в коде страниц, а злоумышленникам не стоит ее сообщать. Зная вашу версию, ему будет легче распознать бреши и взломать систему.
Так что откройте functions.php для редактирования, а затем добавьте строчку:
remove_action(‘wp_head’, ‘wp_generator’);
Эта простая функция запрещает выводить данные о системе.
6. Удаляем license.txt и readme.html из корневой папки. Сами по себе они не нужны, но с их помощью можно легко прочитать информацию о вашей системе и узнать версию WordPress. Они автоматически появляются снова, если вы обновите wordpress. Так что чистите файлы каждый раз, когда установите обновления.
7. Скрываем папки wp-includes, wp-content и wp-content/plugins/. Для начала проверьте, видно ли содержимое этих папок посторонним. Просто подставьте в ссылки ваш домен и откройте в браузере ссылки:
- http://Ваш_домен/wp-includes
- http://Ваш_домен/wp-content
- http://Ваш_домен/ wp-content/plugins
Если при переходе на эти страницы вы видите папки и файлы, значит нужно скрыть информацию. Делается это очень и очень просто – создайте пустой файл с названием index.php и поместите в эти директории. Теперь при переходе будет открываться этот файл, т.е. пустая страничка без какой-либо информации.
8. Не ставьте бесплатные темы – это уже из личного опыта информация, хотя об этом пишут все и каждый. Но я решила обойти систему, и поставила на другой свой сайт бесплатную тему из интернета – очень уж она мне понравилась. И сначала все было хорошо.
Примерно через полгода я стала проверять исходящие ссылки с сайта, и обнаружила 3 непонятные ссылки. Найти их на самих страницах я не смогла – очень уж хитро их спрятали. После изучения вопроса нашла информацию, что это очень распространенная проблема, когда в бесплатные шаблоны встраивают код для удаленного размещения ссылок. Пришлось потратить целый вечер, но проблему исправила и теперь все в порядке. Но сколько вреда могло это нанести!
9. Установите нужные плагины для защиты , но обязательно устанавливайте с официального сайта ru.wordpress.org или из панели управления.
- Limit Login Attempts – для ограничения попыток авторизироваться. Если 3 раза неправильно ввести логин и пароль, доступ будет заблокирован на N минут/часов. Вы сами устанавливаете число попыток и время блокировки.
- Wordfence Security – плагин для проверки сайта на вирусы и вредоносные изменения в кодах. Для запуска достаточно установить и нажать Scan. Но после проверки желательно отключить, чтобы не создавать дополнительную нагрузку на сайт. Проверяйте блог на вирусы хотя бы раз в месяц.
- WordPress Database Backup – автоматически высылает на почту резервную копию базы данных вашего сайта. Регулярность можно установить самостоятельно – раз в день или еженедельно.
- Rename wp-login.php – изменяет адрес входа в панель управления со стандартного http://Ваш_домен/wp-admin.
- Anti-XSS attack – защищает блог от XSS-атак.
10. Проверьте компьютер на вирусы – иногда вирусы приходят прямо из вашего компьютера. Так что поставьте хорошую антивирусную программу и своевременно обновляйте ее.
11. Систематически делайте резервные копии – или с помощью плагина WordPress Database Backup, или вручную. У некоторых хостеров это происходит автоматически, так что вы в любой момент можете восстановить сайт при проблемах.
12. Работайте с проверенным хостером , ведь во многом безопасность сайта зависит от качества хостинга. Я месяц назад перебралась на Макхост , и разница с предыдущим ощутима (переезд описала в этой статье). Рекомендовать настоятельно не буду, так как я с ними совсем недолго, хотя подруга с ними год и нарадоваться не может. В общем не берите тарифы за 100 рублей ради экономии, потом можно дорого поплатиться.
13. Разные почтовые ящики для сайта и хостинга . Из вордпресса весьма просто вытащить почтовый ящик, потом его можно взломать и получить доступ к данным. А если хостинг привязан к нему, будет не сложно сменить пароль и забрать сайт себе. Так что заведите отдельный ящик для хостинга, чтобы никто его не знал и не видел.
14. Подключите выделенный IP адрес , чтобы не соседствовать с порно-сайтами, сайтами под фильтром или с вирусами. Так что если у вас есть возможность – получите отдельный IP, чтобы не волноваться из-за этого. Кстати, в сфере блоггеров ходят неподтвержденные слухи, что выделенный IP улучшает позиции в поисковой выдаче.
Теперь вы знаете самые простые способы как защитить сайт на wordpress, и от банальных угроз будете избавлены. Но помимо этого существует еще много других опасностей, от которых так просто не спастить. Как раз для таких серьезных ситуаций Юрий Колесов создал курс «
Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.
Первое что я сделал это обратился в техподдержку с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог.
Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.
Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.
Что умеет All In One WP Security (защита wordpress всё в одном):
- Делает резервные копии базы данных, файла конфигурации wp-config. и файла.htaccess
- Смена адреса страницы авторизации
- Скрывает информацию о версии WordPress
- Защита админки – блокировка при неправильной авторизации
- Защита от роботов
- И ещё много чего полезного
Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.
Настройка All In One WP Security
Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:
- база данных;
- файл wp-config;
- файл htaccess
Делается это на первой странице настройки плагина All In One WP Security.
Сделайте бэкап (резервную копию) перед началом работы
Пройдусь только по самым важным пунктам.
пункты настройки плагина all in one wp security
Панель управления
Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.
Счетчик защиты сайта на wordpress
Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.
цифра прибавляется к общему счету безопасности
Настройки
Вкладка WP Version Info
Чекаем галочку Удаление метаданных WP Generator.
Удаление метаданных WP Generator
Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.
Администраторы
Пользовательское имя WP
Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять.
Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию.
Поэтому не используйте логин admin.
Отображаемое имя
Если ваш ник совпадает с логином, то обязательно меняем логин или ник.
Пароль
Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт.
Рекомендации по усилению надёжности пароля:
- Пароль должен состоять из букв и цифр
- Используйте строчные и прописанные буквы
- Не используйте короткие пароли (минимум 6 символов)
- Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)
Сложность пароля
Авторизация
вкладка Блокировка авторизаций
Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы:)
Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”.
Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.
опции блокировки авторизации
Автоматическое разлогинивание пользователей
Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит.
Я ставлю 1440 минут (это 24 часа).
Опции автоматического разлогинивания пользователей
Регистрация пользователей
Подтверждение вручную
Чекаем “Активировать ручное одобрение новых регистраций”
Ручное одобрение новых регистраций
CAPTCHA при регистрации
Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.
Registration Honeypot (бочка мёда)
Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.
Защита базы данных
Префикс таблиц БД
Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью
обязательно сделайте резервную копию БД
Если вы только что создали свой сайт, то можете смело менять префикс.
Префикс таблиц Базы данных
Резервное копирование базы данных
Включаем автоматическое создание бэкапов.
Выбираем частоту создание резервных копий.
И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается.
Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).
Настройки резервного копирования Базы данных
Защита файловой системы
Тут меняем права доступа к файлам, чтобы все было зелёным.
Редактирование файлов php
Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.
Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.
Черный список
Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.
Блокировка пользователей по IP
Файрволл
Базовые правила файрволла.
Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.
Эти правила вносятся в файл.htaccess, поэтому сначала делаем его резервную копию.
Теперь можно проставить нужные галочки:
Активировать основные функции брандмауэра
Защита от уязвимости XMLRPC и Pingback WordPress
Блокировать доступ к debug.log
Дополнительные правила файрволла
На этой вкладке отмечаем следующие галочки:
- Отключить возможность просмотра директорий
- Отключить HTTP-трассировку
- Запретить комментарии через прокси
- Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
- Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
- У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.
6G Blacklist Firewall Rules
Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.
Настройки файрволла (брандмауэра)
Интернет-боты
Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.
Предотвратить хотлинки
Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.
Детектирование 404
Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени.
Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.
Настройки отслеживания ошибок 404
Защита от брутфорс-атак
По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт.
Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой автоматически изменил мне эту страницу во время установки системы.
Защита от брутфорс-атак с помощью куки
Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.
CAPTCHA на логин
Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.
Защита капчей при авторизации
Белый список для логина
Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.
Забавно иногда выпадают события в жизни. Мне попался классный курс на Udemy по современным способам защиты и взломов сайтов. Повышая свой уровень квалификации, я проворонил заражение вирусами своего блога. Скорее всего, пользователи WordPress так или иначе сталкивались с симптомами, которые я дальше опишу. Если нет – то вы везунчики. Я сам очень долгое время ничего не цеплял на сайты, думая о том, как все же умудряются заражать свои веб-ресурсы. Еще в 2014 году меня удивляли сообщения на форумах о том, что их сайт с отличной посещалкой просто заразили и увели.
И вот, сегодня утром на почту от моего хостера прилетело письмо, которое меня и озадачило. Да, я был приятно удивлен, что ihc мониторит сайты на наличие малвари, но сообщение, которое гласило о том, что один файл был измен ночью без моего ведома и это подозрение на вирусную активность, вызвало сумбурные эмоции. Фактически, это было подтверждением моих подозрений.
Некоторое время назад я обнаружил, что в метрике есть переходы на сайты, которые у меня просто никак не могут быть прописаны в постах. Когда я попытался найти эти ссылки тупо через поисковик блога, меня редиректило на Apache с сообщением об ошибке. Уже тогда заподозрив неладное, я полез в файл search. php активной темы, в котором увидел обфусцированный код. Тогда это меня поставило в ступор, но в силу нехватки времени не стал копаться дальше. Как оказалось зря. Ведь это и был один из признаков заражения.
Пример закодированной малвари
Я глупо понадеялся на средства обнаружения вредоносного кода от различных сервисов, которыми пещрит интернет. Все они «радостно» сообщали мне о том, что сайт чист как утренняя роса.
Представьте себе парадоксальную ситуацию – есть неработающая функция поиска, есть обфусцированный код на php, чтобы незадачливый веб-мастер не увидел «подарок», а антивирусные сервисы просто молчат.
Но вернемся к нашим баранам, точнее, к сайтам. На всех этих сайтах у меня авторизация двухуровневая. Может, это и спасло от увода сайта хакером. Через два дня после того, как была заражена search.php на мою почту прилетело извещение от ihc.ru о том, что некоторые файлы были изменены и если я ничего не делал, то рекомендуется проверить антивирусом, который предоставляет сам хостинг. Что же, вот и подвернулась возможность потестить этот антивирус, жаль только что в качестве испытуемого попал мой любимый сайт 🙁
Результат проверки, мягко говоря, весьма озадачил меня. Антивирус лопатил сайт минут сорок и потом прислал свой «вердикт». 42 файла были заражены…
Вот тут было в пору хвататься за голову, думая о том, как вообще подобное могло произойти. Само собой, что имел место эксплойт. Но об этом потом.
Нужно было лечить сайт, но для этого его нужно было основательно исследовать. Да, можно было сделать гораздо проще – слить дамп базы, перенести картинки из wp- content и все это перезалить на свежеустановленный движок Вордпресса. Но «легче» – не значит «лучше». Фактически, не зная, что было изменено, можно было ожидать, что дыра появится и на перезалитом сайте. И тут впору было стать новоиспеченным Шерлоком Холмсом, дабы провести полный аудит сайта.
Поиск малвари похож на работу сыщика
Честно скажу, что подобного азарта и интереса я давно не испытывал. Да, мне во многом помог антивирус с хостинга, указав, в каких файлах он нашел изменения. Но и даже он не все смог обнаружить полностью, так как код чередовался обфускацией и банальным hex-кодированием посредством вредоносного js. Нужно было много ручками делать, используя все сторонние инструменты всего лишь в качестве помощников.
Итак, запускаем редактор кода и смотрим на зараженные файлы. На самом деле, в коде они «палятся» достаточно быстро в силу своей зашифрованности. Тем не менее, это далеко не везде. Бывало, что нужно было строчка за строчкой разбирать код php файла и разбираться, что с ним не так. Сразу скажу, что это было с файлами темы. В этом случае очень пригодятся оригинальные файлы темы для сравнения, если точно не уверен, для чего нужна та или иная функция (а ведь правильно написанный вирус должен наследить как можно меньше).
Но давайте все рассмотрим по порядку. Скриншот обфусцированного вирусом кода я уже выложил в начале статьи. При помощи ресурса https://malwaredecoder.com/ можно декодировать его в удобоваримый вид и изучить. В моем случае, некоторые файлы содержали инъекцию. Все это стираем к чертовой матери.
Тем не менее, иногда может попадаться короткий код с инклудом. Как правило, так заражаются index. php и wp- config. php . К сожалению, скриншот такого кода я не стал делать, так как на тот момент не планировал писать статью. По этому коду видно было, что это закодированный через js код вызова определенного файла. Для декодирования 16ричного кода воспользуемся сервисом http://ddecode.com/hexdecoder/ , с помощью которого и определим, что вызывается файл по адресу wp-includes/Text/Diff/.703f1cf4.ico (я опустил полный путь, важна сама суть). Как думаете, стоит ли вызов простого файла иконки кодировать, хоть и относительно простым кодированием? Думаю, ответ очевиден и открываем через блокнот эту «иконку». Естественно, что снова это оказался полностью закодированный файл php. Удаляем его.
Расчистив очевидные файлы, можно переходить на уже не такие очевидные – к файлам тем WordPress. Вот тут обфускация не используется, нужно рыть код. На самом деле, если не знать, что изначально задумывал разработчик, то эта задача весьма творческая, хотя и достаточно быстро решаема. Если не меняли код темы, проще заменить зараженные файлы (антивирус их точно опознал) и идем дальше. Либо можете покопаться как я и найти, что очень часто такого рода вирусы приписывают в файл function. php абсолютно левую функцию, в которой наверняка будет код обращения к sql. В моем случае он выглядит так (форматирование оставил без изменения):
$sq1="SELECT DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\"1\" AND comment_type=\"\" A ND post_author=\"li".$sepr."vethe".$comment_types."mes".$sepr."@".$c_is_approved."gm".$comment_auth."ail".$sepr.".".$sepr."co"."m\" AND post_password=\"\" AND comment_date_gmt >= CURRENT_TIMESTAMP() ORDER BY comment_date_gmt DESC LIMIT $src_count";
Куда эта выборка идет мы уже вычистили. Поэтому спокойно смотрим, в какой функции находится этот код и удаляем всю эту функцию – ее приписала малварь. Но, повторюсь, гораздо проще и лучше перезаписать весь файл из готовой темы, если боитесь что-либо сломать.
Ну и финальный штрих – проверяем число пользователей сайта . Все свои сайты я всегда вел сам. Соответственно, никаких иных пользователей быть не может и не должно. Однако учитывая заражение, легко догадаться, что сайт попытаются умыкнуть и создать своего пользователя с админскими правами. В моем случае это оказался wp.service.controller.2wXoZ . Удаляем его.
Работы проведено много, но есть ли выхлоп? Проверим снова антивирусом, который сообщает о том, что вирусов больше не обнаружено. Все, сайт вылечен.
Итоги
Как видите, вылечить сайт достаточно просто, хотя и время затратно. После лечения нужно предупредить подобные ситуации в дальнейшем. Тут нужно сделать всего несколько шагов:
- Обновите сам WordPress до последней версии. Возможно, что воспользовались эксплойтом для устаревшего движка.
- Прошерстите все плагины. Удалите все ненужные (которые поставили на «будущее» и не используете) и проверьте актуальность уже работающих. Тем не менее, даже выкачав плагин из репозитория WordPress, это не дает вам гарантии того, что этот плагин будет чист. Участились случаи, когда выкупают тот или иной плагин, делают из него малварь и при обновлении на вашем сайте вы столкнетесь с такими же «радостями» как и я. В моем случае, меня заразили как раз так.
- Всегда проверяйте тему. Если публичные – обновляйте. Конечно, лучше, если ее купить на том же templatemonster, хотя и это не дает 100% защиту.
- Не пренебрегайте инструментами типа Wordfence . Хотя бесплатная версия плагина весьма и весьма ограничена, но вы хотя бы будете знать, что на вашем сайте подозрительно стало.
- Раз в месяц не ленитесь прогонять сайт через wpscan, чтобы увидеть какие на нем появились уязвимости.
- Обратите внимание на корень сайта. Там может появиться файл index. html. bak. bak . Это тоже говорит о том, что у вас зараженный сайт (сразу можете править index.php, он 100% заражен)
- Не доверяйте публичным антивирусам сайтов. Толку от них мало.
Я попытался на своем примере показать то, как можно вылечить сайт на WordPress. Антивирус на ihc.ru представляет собой просто сканер малвари. Но и он хорошо упростил работу. Тем не менее, даже если у вашего хостинга нет подобной услуги, можно по приведенному выше алгоритму определить и предупредить заражение.
WordPress является одной из самых популярных систем управления контентом (CMS), используемой людьми либо для простого блоггинга, либо для других целей, как например создания интернет магазина. Существует множество плагинов и тем на выбор. Некоторые из них бесплатные, некоторые же — нет. Часто эти темы загружаются людьми, которые настроили их для своей выгоды.
1. Theme Authenticity Checker (TAC)
Theme Authenticity Checker (TAC) — это плагин для WordPress, который сканирует исходные файлы каждой установленной темы WordPress на предмет скрытых ссылок в футере и Base64 кодов. После обнаружения он отображает путь к определенной теме, номер строки и небольшой кусок вредоносного кода, что позволяет администратору WordPress легко проанализировать этот подозрительный код. [Скачать ]
2. Exploit Scanner
Exploit Scanner умеет сканировать файлы и базу данных вашего сайта и в состоянии определить присутствие чего-либо сомнительного. При использовании Exploit Scanner помните, что он не поможет предотвратить хакерскую атаку на вашем сайте и не будет удалять какие-либо подозрительные файлы с вашего сайта WordPress. Он нужен для того, чтобы помочь определить любые подозрительные файлы, загруженные хакером. Если вы захотите их удалить, то делать это нужно будет вручную. [Скачать ]
3. Sucuri Security
Sucuri — хорошо зарекомендовавший себя плагин обнаружения вредоносного кода и безопасности в целом. Основными функциями Sucuri является мониторинг файлов, загруженных на WordPress сайт, мониторинг черного списка, уведомления безопасности и другое. Также предлагается удаленное сканирование вредоносного кода с помощью бесплатного Sucuri SiteCheck Scanner . Плагин также предоставляет аддон мощного фаервола для сайта, который можно приобрести и активировать, для того, чтобы улучшить безопасность вашего сайта. [Скачать ]
4. Anti-Malware
Anti-Malware — это плагин для WordPress, который может использоваться для сканирования и удаления вирусов, угроз и других вредоносных вещиц, которые могут присутствовать на вашем сайте. Некоторые из его важных функций предлагают настраиваемое сканирование, полное и быстрое сканирование, автоматическое удаление известных угроз. Плагин можно зарегистрировать бесплатно на gotmls . [Скачать ]
5. WP Antivirus Site Protection
WP Antivirus Site Protection — это плагин безопасности для сканирования тем WordPress наряду с другими файлами, загруженными на ваш сайт WordPress. Основными функциями WP Antivirus Site Protection являются сканирование каждого загруженного на сайт файла, обновление базы данных вирусов на постоянной основе, удаление вредоносного кода, отправление уведомлений и оповещений по email и многое другое. Также присутствуют функции, за которые можно заплатить , если вы желаете более «ужесточенной» безопасности для своего сайта. [Скачать ]
6. AntiVirus for WordPress
AntiVirus for WordPress — это простой в использовании плагин защиты, который поможет в сканировании тем WordPress, используемых на вашем сайте на предмет вредоносного кода. Используя этот плагин, вы сможете получать уведомления о вирусах в административной панели. Также присутствует ежедневное сканирование, по результатам которого вы получите письмо, если будет найдено что-либо подозрительное. [Скачать ]
7. Quttera Web Malware Scanner
The Quttera Web Malware Scanner поможет в сканировании сайта и его защите против внедрения вредоносного кода, вирусов, червей, троянов и прочей компьютерной нечисти. Он предлагает несколько интересных функций, как например сканирование и определение неизвестных вредоносных штук, занесения их в черный список, движок сканирования с «искусственным интеллектом», определение чужеродных внешних ссылок и многое другое. Можно просканировать свой сайт для определения вредоносин бесплатно , в то время как другие сервисы стоят $60/в год . [Скачать ]
8. Wordfence
Если вы ищете способ защиты вашего сайта против кибер-атак, то вам стоит попробовать плагин Wordfence. Он предоставляет защиту в реальном времени против известных атак, двухфакторной аутентификации, блокирует всю зараженную сеть (при обнаружении), сканирует на наличие известных бекдоров и делает множество других вещей. Упомянутые сервисы бесплатны, однако предлагаются другие функции на платной основе . [Скачать ]
Использование плагина безопасности защищает ваш сайт WordPress от вредоносных программ, атак и попыток взлома. В этой статье собраны лучшие плагины безопасности WordPress, которые рекомендовано использовать для защиты сайта.
Зачем использовать плагин безопасности WordPress
Каждую неделю около 18,5 миллионов сайтов заражаются вредоносными программами. Средний сайт атакуют 44 раза каждый день, включая веб-сайты WordPress и других CMS.
Нарушение безопасности на вашем веб-сайте может нанести серьезный урон бизнесу:
- Хакеры могут украсть ваши данные или данные, принадлежащие вашим пользователям и клиентам.
- Взломанный веб-сайт можно использовать для распространения вредоносного кода, заражая им ничего не подозревающих пользователей.
- Вы можете потерять данные, потерять доступ к своему веб-сайту, сайт может быть заблокирован.
- Ваш сайт может быть уничтожен или поврежден, что может повлиять на рейтинг SEO и репутацию бренда.
Вы можете в любой момент отсканировать свой сайт WordPress на предмет нарушения безопасности. Однако очистка взломанного сайта WordPress без без профессиональной помощи может быть довольно сложной для начинающих веб-мастеров.
Чтобы избежать взлома, необходимо следовать рекомендациям по безопасности сайта. Одним из важных шагов по защите вашего сайта WordPress является использование плагина безопасности. Эти плагины помогают упростить безопасность WordPress, а также блокируют атаки на вашем сайте.
Давайте рассмотрим некоторые из лучших плагинов безопасности WordPress и как они защищают сайт.
Примечание!
Примечание. Вам нужно использовать только один плагин из этого списка. Наличие нескольких активных плагинов безопасности может привести к ошибкам.
Примечание. Вам нужно использовать только один плагин из этого списка. Наличие нескольких активных плагинов безопасности может привести к ошибкам.
1. Sucuri
Sucuri является лидером в области безопасности WordPress. Разработчики предлагают базовый бесплатный плагин Sucuri Security, который помогает вам укрепить безопасность и сканирует сайт на наличие распространенных угроз.
Но реальная ценность заключается в платных планах, которые поставляются с лучшей защитой брандмауэра WordPress. Брандмауэр помогает блокировать вредоносные атаки при доступе к WordPress.
Интернет-брандмауэр Sucuri отфильтровывает плохой трафик до того, как он достигнет вашего сервера. Он также обслуживает статический контент со своих собственных CDN-серверов. Помимо безопасности, их брандмауэр уровня DNS с CDN дает вам потрясающее повышение производительности и ускоряет работу сайта.
Самое главное, Sucuri предлагает очистить ваш сайт WordPress, если он заражается вредоносными программами без каких-либо дополнительных затрат.
Смотрите также:
2. Wordfence
Wordfence – еще один популярный плагин безопасности WordPress. Разработчики предлагают бесплатную версию своего плагина, которая поставляется с мощным сканером для вредоносного ПО. Плагин обнаруживает и оценивает угрозы.
Плагин автоматически сканирует ваш сайт на наличие распространенных угроз, но вы также можете запустить полную проверку в любое время. Вы будете предупреждены, если обнаружены какие-либо признаки нарушения безопасности. Вы также получите инструкции по их устранению.
Wordfence поставляется со встроенным брандмауэром WordPress. Однако этот брандмауэр работает на вашем сервере перед загрузкой WordPress. Это делает его менее эффективным, чем брандмауэр уровня DNS, такой как Sucuri.
3. iThemes Security
iThemes Security – это плагин безопасности WordPress от разработчиков популярного плагина BackupBuddy. Как и все их продукты, iThemes Security предлагает отличный чистый пользовательский интерфейс с множеством опций.
Он поставляется с проверками целостности файлов, усилением безопасности, ограничениями при попытке входа в систему, надежным обеспечением пароля, выявлением ошибок 404, защитой от атак и многое другое.
iThemes Security не включает брандмауэр веб-сайта. Он также не включает собственный сканер вредоносных программ, а использует сканер вредоносного ПО Sitecheck Sucuri.
4. All In One WP Security
All In One WP Security является мощным плагином для проверки безопасности, мониторинга и брандмауэра WordPress. Он позволяет легко применять основные рекомендации по безопасности WordPress на вашем веб-сайте.
Плагин включает функции блокировки входа в систему, чтобы предотвратить атаки на ваш сайт, фильтрацию IP-адресов, мониторинг целостности файлов, мониторинг учетных записей пользователей, сканирование подозрительных шаблонов ввода в базы данных и многое другое.
Он также оснащен базовым брандмауэром уровня веб-сайта, который может обнаруживать некоторые распространенные шаблоны и блокировать их. Тем не менее, он не всегда эффективен, и вам придется частенько вручную вводить подозрительные IP-адреса в черный список.
5. Anti-Malware Security
Anti-Malware Security – еще один полезный плагин для защиты от вредоносных программ и безопасности WordPress. Плагин поставляется с активно поддерживаемыми определениями, которые помогают найти наиболее распространенные угрозы.
Плагин позволяет легко сканировать все файлы и папки на вашем сайте WordPress на предмет обнаружения вредоносного кода, бэкдоров, вредоносных программ и других известных шаблонов вредоносных атак.
Плагин требует, чтобы вы создали бесплатную учетную запись на веб-сайте плагина. После этого вы получите доступ к последним определениям, а также некоторые премиальные функции, такие как защита от атак.
Нюанс: пока плагин проводит тщательные тесты, он часто показывает большое количество ложных срабатываний. Согласование каждого из них с исходным файлом – довольно кропотливая работа.
6. BulletProof Security
BulletProof Security – не самый красивый плагин безопасности WordPress на рынке, но он по-прежнему полезен благодаря некоторым замечательным функциям. Он поставляется с мастером настройки. Панель настроек также включает ссылки на обширную документацию. Это поможет понять, как работают проверки и настройки безопасности.
Плагин поставляется с программным сканером, который проверяет целостность файлов и папок WordPress. Он включает защиту входа, отключение сеанса ожидания, журналы безопасности и утилиту резервного копирования базы данных. Вы также можете настроить уведомления по электронной почте в журналах безопасности и получать предупреждения, когда пользователь заблокирован.
