Безопасная установка WordPress
Опубликовано: 22.06.2023
Безопасная установка WordPress
Сегодня WordPress, безусловно, является одной из самых популярных CMS (систем управления контентом), на которой, по оценкам, работает каждый шестойвеб-сайт. Именно поэтому WP является чрезвычайно привлекательной мишенью для заинтересованных лиц: хакеров, авторов различных агрессивных скриптов или повешенных детей, которые от скуки пытаются снести сайт своего соседа. Эксплуатируя недостатки безопасности самого приложения или используемых на немплагинов, они пытаются (и часто успешно) размещать вредоносный контент на серверах, через которые они имеют возможность запускать DDOS-атаки, отправлять большое количество [(14500 )]СПАМАили вызвать незначительные проблемы, затрагивающие сервер, на котором размещен взломанный веб-сайт, или другие серверы, на которые нацелена их атака.
Однако почти все дыры в безопасности вызваны так называемыми «плохая практика» при самой начальной установке WP или последующее отсутствие регулярного обслуживания приложения. А именно, иногда мы получаем запросы вида "Почему оно (приложение) не работает сейчас, а работало последние XY лет?", которые сами по себе содержат ответ - использование одного и того же, не обновленного приложения в течение нескольких лет (период приведен для примера, иногда достаточно и нескольких месяцев) - это равносильно размещению огромной таблички над смущенно открытой дверью на доме с надписью "Вход свободный, дома никого!" – рано или поздно случится что-то плохое. От оставленного сообщения «Эй, ты забыл закрыть дверь!» (или оставление смс с подписью «хакера» в папке приложения, до полного уничтожения всего в доме (или удаление важных документов, установка на сервер вредоносных скриптов, через которые возможен запуск различных атак, нарушить стабильность сервера и тому подобное).
В этом тексте мы рассмотрим некоторые полезные процедуры, которые вы должны выполнить при новой установке WP на серверах Linux.
1. Использование пользователя-администратора
При установке WP вам предлагается выбрать имя пользователя-администратора, который будет иметь доступ ко всем элементам приложения, которое вы будете использовать. Многие сценарии автоматически пытаются атаковать интерфейс входа в системуdomainname/wp-admin, используя стандартные имена пользователей admin, Admin, administrator, Administrator, root или Root, поэтому разумно и желательно использовать некоторые альтернативные имена. имя для основного логина.2. Использование сложного пароля
Стандартная рекомендация по безопасности — использовать комбинацию прописных и строчных букв, цифр и специальных символов длиной 10 и более символов, чтобы затруднить автоматизированные инвазивные скрипты. Пять наиболее часто используемых автоматических попыток проникновения пароли Ранее в этом году в массовых атаках использовались:admin, 123456, 111111, 666666 и 12345678. Хотя для простоты эти (и подобные) пароли очень привлекательны, они также открывают ненужную, очень уязвимую дыру в безопасности, которая вызовет у вас гораздо большие проблемы, чем усилия по запоминанию (или записи в надежном месте) и использованию пароли вида4vAl0n3!2$.3. Изменение никнейма WP
Автоматические скрипты часто сканируют все сообщения, опубликованные на вашем веб-сайте, на наличие тегов, т. е. имен авторов, и пытаются использовать эти имена для доступа к администрированию сайта. Чтобы избежать этой проблемы, в администрировании WP в разделеПрофильилиПользователидобавьтеПсевдоними для значения « [(14500)] Отображать имя публично как» выберите значение, отличное от того, которое вы используете для доступа.4. Резервная организация
Обязательно периодически сохраняйте локально в безопасное месторезервные копиивсейкорневой папкиприложения и самой базы данных, чтобы в В случае нарушения безопасности у вас есть отправная точка для устранения проблем. А именно, если речь шла об использовании бреши в безопасности, присутствующей в состоянии приложения, которое у вас есть в вашейрезервной копии, то сам процесс восстановлениярезервной копиина скомпрометированном сервере приложения не решат проблему, но вы сократите время, затрачиваемое на загрузку совершенно нового контента.5. Изменение префикса установки в базе данных
При новой установке WP приложение само предложит вам префикс в базе данных «wp_», который рекомендуется изменить, чтобы затруднить работу скрипта, который со временем попытается провести атаки на саму базу.6. Ограничение использования различных плагинов, надстроек и тем
Помимо повышения уровня незащищенности системы, использование многих плагинов и тем в вашем приложении также может привести к замедлению работы самого веб-сайта. Ограничьте использованиеплагиновтолько теми, которые вы действительно используете, и удалите все неиспользуемые плагины и темы, чтобы уменьшить вероятность взлома сайта. Также важно установить все последние обновления для упомянутых частей приложения, чтобы поддерживать уровень безопасности. Если один изплагиновперестанет обновляться, или станет несовместимым с более новыми версиями WP, обязательно удалите его и найдите замену, это лишь вопрос времени, когда в это, и вы рискуете потенциальным вторжением в ваше приложение. В случае возможного вторжения поддержание «чистой» системы (путем удаления всех неиспользуемых компонентов) позволит вам легче и безболезненнее диагностировать и устранить проблему.7. Удаление информации о версии приложения
Удаление информации о том, какую версию приложения вы используете, — это небольшой, но полезный шаг, который усложнит работу автоматизированных скриптов, используемых для атаки на WP. Для этого в файлеfunctions.phpиспользуемой вами темы добавьте:// удаление информации о версии
function comete_version_removal() { return ''; } add_filter('the_generator', 'comete_version_removal');8. Отключение регистрации новых пользователей
Если вы ведете блог или сайт, который не предусматривает регистрацию большего количества пользователей, чем администратор, в административных (Общих настройках) отключите регистрацию новых пользователей ("[(14500)]Членство” – отключить “Каждый может зарегистрироваться“. Кроме того, чтобы избежать дальнейших возможных автоматических атак, удалите файлwp-register.phpвнутри вашего приложения или переименуйте его, если возникнет необходимость дальнейшего использования.9. Защита файла wp-config.php
Чтобы предотвратить доступ неавторизованных пользователей к файлуwp-config.php, вы можете добавить следующий код в файл.htaccessвашего приложения: порядок разрешить, запретить все файлыТаким образом, файл не будет доступен никаким образом, кроме как черезftpили через администрациюcPanel. Другой способ защиты — переместить файл в каталог «parent» (если вы установили WP в каталог/public_html/wp -config.phpвдомашнемкаталоге). Также измените разрешения на чтение/запись для каждого файла на 0600, чтобы предотвратить принудительные изменения.
10. Запретить доступ к файлам «только для включения»
В качестве дополнительной меры безопасности используйте файл.htaccess, чтобы отключить доступ веб-браузера к той части приложения, к которой только вы должны иметь доступ через администратора. Добавьте следующие строки: RewriteEngine On RewriteBase / RewriteRule ^wp-admin/includes/ - [F,L] RewriteRule !^wp-includes/ - [S=3] RewriteRule ^wp-includes/[^/]+\.php$ - [F, L] RewriteRule ^wp-includes/js/tinymce/langs/.+\.php - [F,L] RewriteRule ^wp-includes/theme-compat/ - [F,L]Таким образом, любая попытка доступа к стандартнымпапкамв каждой установке WP будет предотвращена со стороны внешних сторон.
11. Включение SSL-входа
Если вы используете SSL-сертификат на своем веб-сайте, добавление следующих строк в ваш файлwp-config.phpпозволит вам отправлять данные для входа через безопасное соединение://SSL для входа обычного пользователя
определить('FORCE_SSL_LOGIN', правда);//SSL для входа администратора
определить('FORCE_SSL_ADMIN', правда);12. Удаление readme и других ненужных файлов
WP и многиеплагиныиспользуют файлыreadme.html, которые содержат информацию о версии и другие данные, которые не обязательно должны быть общедоступными, и их можно удалить. с сервера. Также желательно удалить все файлы, которые вы точно не добавляли на сервер самостоятельно.Другие советы — основы безопасности WP.
1. Оставьте последнюю версию WP и плагинов
Хранение WP иплагиновв последних версиях является одним из необходимых шагов для обеспечения безопасности приложения, и в большинстве случаев вам просто нужно нажать кнопку «Обновить. )]”. А именно, поскольку WP является бесплатной CMS, она общедоступна для всех заинтересованных сторон, а это также означает, что у людей с плохими намерениями есть больше времени на поиск и использование недостатков безопасности в той же версии CMS. Если команда разработчиков больше не поддерживаетплагин, который вы используете, попробуйте найти ему замену. Поскольку количествоплагинов, созданных для WP, ежедневно растет, почти наверняка вы найдете некоторые из тех же (или лучше реализованных) функций, которые по-прежнему будут безопасными.2. Позаботьтесь о местной безопасности
Используйте антивирусную защиту на компьютере, с которого вы подключаетесь к администрированию сайта, и не заходите на него с непроверенных компьютеров.Кейлоггеры(программы для мониторинга типизированных данных на компьютере) являются одной из наиболее частых причин взлома пароли.3. Скачивайте плагины и темы с безопасных сайтов
Ищитеплагиныи темы через сам поисковик в администрации WP, либо через официальные страницы. Большинство сайтов, с которыми вы сталкиваетесь при поиске бесплатных плагинов WP через различные поисковые системы, заражены каким-либовредоносным ПО, так что это только вопрос удачи и времени, прежде чем вы столкнетесь с проблемами.Конечно, это не все шаги, которые вы можете предпринять, чтобы оставаться в безопасности. Какие действия вы предпринимаете для обеспечения безопасности вашего приложения?