Системы управления сайтами (CMS) прочно закрепились в веб-технологиях, практически все современные сайты используют их. Удобство CMS заключается в следующих преимуществах:

  • Чтобы управлять веб-ресурсом, не нужно специальных знаний;
  • Наполнение страниц происходит аналогично текстовому редактору, с которым каждому пользователю ПК доводилось иметь дело;
  • Редактирование информации осуществляется быстро;
  • Для редактирования программного кода не обязательно обращаться к специалистам, это может сделать любой штатный сотрудник.

Популярной CMS-системой для сайта является WordPress. По открытым данным статистики на нем реализовано около 60 процентов всех веб-ресурсов. Эта система управления контентом предназначена для блогов, но можно на ней реализовать и другие электронные ресурсы(доски объявлений, поиск работы, ответы на вопросы и т.д.).

Популярность ее объясняется просто:

  • Простота установки и настройки;
  • Продукт бесплатный, установить его может любой желающий;
  • Для этой CMS разработано множество плагинов и шаблонов дизайна.

Но популярность этой системы неоднозначна. С одной стороны, пользователи могут использовать удобный программный продукт для своего сайта, не требующий специальных знаний для его использования. Но и злоумышленники проявляют интерес к ресурсам, созданным на этом программном обеспечении. Как защитить Вордпресс от взлома? Вопрос, интересующий многих владельцев веб-ресурсов.

защита сайта

Зачем злоумышленнику взламывать сайт?

Многие думают, что вероятность взлома сайта напрямую зависит от его популярности. Большинство веб-ресурсов взламываются с помощью специального программного обеспечения. Оно позволяет взломать сразу множество сайтов. Вручную злоумышленник с таким количеством не справился бы и это могло бы занять у него годы.
Программное обеспечение, взламывающее веб-сайты, проводит поиск уязвимостей на сайтах, использующих cms WordPress. В зону действия такого радара может попасть любой сайт, от популярности это не зависит. Если ресурс содержит важную информацию или персональные данные пользователей (кредитные карты, электронные кошельки и т. д.), то могут проводиться попытки взлома вручную. Но задуматься о том, как защитить WordPress от взлома, не помешает владельцу любого ресурса.
Взломать сайт могут по ряду причин, например:

  • злоумышленнику нужна информация, находящаяся на сайте;
  • интернет-магазины содержат данные о кредитных и банковских картах, которые могут быть проданы на кардерских форумах;
  • для рассылки спама;
  • заражение посетителей ресурса вредоносными программами;
  • переадресация на другой ресурс;
  • внедрение рекламы;
  • нарушение работоспособности ресурса.

Защита сайта

Базовые версии программного обеспечения для сайтов не оснащены хорошей защитой. В первую очередь это относится к бесплатным программным продуктам, поэтому защитить Вордпресс от взлома является первостепенной задачей.

Владельцам популярных площадок в интернете перед тем, как разбираться в технических вопросах, стоит назначить ответственного сотрудника и ограничить доступ к администрированию сайта. Так как основной проблемой для бизнеса является утечка клиентской базы, то для защиты данных в трудовом договоре с работниками существует пункт о коммерческой тайне и нераспространении сведений.

защита wordpress

Логин и пароль

Как защитить WordPress от взлома с помощью логина и пароля? Логин и пароль сами по себе предназначены для защиты данных, и чтобы они не подвели в нужный момент, необходимо следовать простым рекомендациям:

  1. Стандартный логин Вордпресс легко подбирается злоумышленниками, используя стандартные БрутФорс утилиты. Поэтому первое, что нужно сделать после установки этой системы управления сайтом – сменить стандартный логин. Лучше, чтобы логин никак о себе не напоминал, например, вводить доменное имя в качестве логина была бы не безопасным решением, и тем более оставлять стандартное admin в качестве логина.
  2. Пароль нужно ставить сложный. Он не должен содержать личные данные пользователя, его имя на английском, номер телефона и вообще какое-либо слово. Лучше чтобы это был набор бессвязных букв, цифр, символов. Такой пароль подобрать намного сложнее. Многие ошибочно думают, что написав слово английской раскладкой, получают надежный пароль. Надежный пароль не содержит вообще какой-либо логической составляющей. Он является произвольной символьной комбинацией.

У каждой учетной записи существует свой номер в базе данных. Поэтому лучше стандартную запись удалить и создать новую. Чтобы не потерять доступ, необходимо сначала создать новую запись с правами администратора, затем удалять прежнюю.

Важно! Для того чтобы защитить WordPress от взлома, необходимо позаботиться о надежном логине и пароле своего e-mail, который указан в учетных данных администратора сайта. Особенно это касается владельцев популярных ресурсов. Могут взломать сначала почту, а потом восстановить пароль от сайта.

Хостинг с защитой

Выбирать хостинг для площадки следует внимательно, от него многое зависит. Как минимум необходимо учитывать:

  • Наличие установленного программного обеспечения последних версий;
  • Отзывы клиентов на независимых ресурсах;
  • Сколько лет работает компания по предоставлению услуг хостинга.
  • Наличие антивируса на хостинге
  • Наличие ежедневных бэкапов

Надежный и защищенный хостинг — это еще один плюс к безопасности площадки.

Обновления

Чтобы защитить сайт от взлома, необходимо своевременно устанавливать обновления по мере их выхода в свет. Добросовестные разработчики плагинов, разработчики самой Вордпресс постоянно совершенствуют свое программное обеспечение. Улучшаются и параметры безопасности ПО.

Многие доработки плагинов и CMS являются ответом на новые угрозы и взломы. Своевременная установка обновлений сократит вероятность такого взлома сайта. В WordPress информация обо всех новых версиях программного обеспечения находится в разделе «Обновления».

Плагины

Популярность WP привела к появлению множества плагинов для нее, которые дают дополнительные возможности. Но с их помощью злоумышленник может проникнуть на сайт. Поэтому владельцу веб ресурса необходимо:

  • Следить за всеми обновлениями установленных плагинов
  • Неиспользуемые плагины лучше удалять. Внимание! Не просто деактивировать, а удалять с сайта!
  • Необходимо обратить внимание на плагины, которые не выпускают обновлений. Если их можно заменить на аналогичный плагин (разработчики которого заботятся об улучшении своего ПО и выходе новых версий) лучше это сделать. Если нет аналогов, то по возможности такие плагины удалять. Они могут стать причиной взлома сайта.
  • Пользоваться только проверенными плагинами. Информацию об их использовании можно найти в сети. Там же есть и отзывы тех, кто плагином пользовался.

Ограничение попыток ввода пароля

С помощью специального плагина можно ограничить число попыток входа с логином и паролем. Такая защита поможет избежать подбора пароля. Для ее реализации необходима установка плагина WordPress BruteForce Protection, который позволяет:

  • Ограничить число попыток входа (оптимальное ограничение 3 попытки).
  • Установить время ограничения ввода логина и пароля после трех неудачных попыток. Например, после ввода трех раз логина и пароля неудачно следующая попытка возможна только через 1 час.
  • Установка времени повторной попытки, после первой и второй неудач (до ограничения доступа). Это время не должно быть запредельным. 3-7 минут будет достаточно.
  • Видеть заблокированные IP-адреса и сколько времени им осталось для разблокировки.
  • Воспринимать неверные попытки ввода логина как ошибку пользователя.
  • Маскировать ошибочные вводы данных для скрытия этого от злоумышленника.

Плагин станет еще одним препятствием на пути взломщика. При установке плагина на странице ввода логина и пароля может быть надпись о том, что веб-ресурс защищен разработчиком данного ПО. Такая информация там ни к чему, так как злоумышленник ее тоже увидит. Скрыть это можно, отредактировав файл плагина.

Проверка антивирусом

С помощью облачного антивируса можно периодически проверять сайт на наличие уязвимостей. А также на наличие вредоносных скриптов. Некоторые антивирусы позволяют «вылечить» сайт, если на нем уже обнаружено вредоносное ПО. Поинтересуйтесь у вашего хостинг провайдера есть ли у них в наличии антивирус для cPanel и если нет, то почему они не устанавливают защиту для сайтов своих клиентов. В зависимости от ответа хостера, вам следует задуматься стоит ли продолжать с ним сотрудничество, или же посмотреть варианты хостинга с защитой

Защита reCaptcha

Во избежание автоматической регистрации пользователей, рассылки спама в комментариях к материалам лучше использовать защиту CAPTCHA. Если нет встроенной защиты, можно воспользоваться сервисом Google.

Система предлагает ввести в поле специальные символы с картинки. Если они совпадают, значит регистрация или комментарий принимается. При несовпадении символов на картинке и в поле их придется вводить еще раз. И так до полного совпадения. Некоторые программы с каждой неверной попыткой усиливают защиту размытием символов, их зачеркиванием, волнистым текстом и т.п.

SSL-сертификат

ssl сертификат

Компаниям, которые продают товары через интернет, передают важные данные, персональные данные своих клиентов, наличие такого сертификата необходимо. Суть его заключается в шифровании данных. При отправке данные зашифровываются, и только конечный получатель может их прочитать.

Сертификат не является обязательным, но его наличие свидетельствует о надежности веб ресурса. Если в адресной строке видно зеленый замок, значит интернет-площадка имеет SSL-сертификат.

Доступ к файлам и папкам

Для того чтобы любой скрипт мог выполниться, необходим доступ к файлам и папкам на сервере. Права доступа регулируются в файловых менеджерах. Можно воспользоваться:

  • Total Commander;
  • Встроенным файловым менеджером хостинг-провайдера;
  • Любым другим файловым менеджером, поддерживающим связь по ftp.

Итак, необходимо войти по FTP на дисковое пространство сайта. Данные для входа FTP хостинг-провайдер присылает после заказа услуг и их оплаты. Затем нужно выделить файл или папку и в контекстном меню выбрать «Атрибуты».

Формат записей может быть такой:

  • w – запись;
  • r – чтение;
  • x – исполнение;
  • прочерк – права отсутствуют.

Права доступа часто обозначаются цифрами, которых три:

  • Первая цифра – владельцы веб сайта;
  • Вторая – пользователи;
  • Третья – все посетители.

Цифры, означающие параметры доступа:

  • 7 – полный доступ;
  • 6 – чтение, редактирование;
  • 5 – чтение, исполнение;
  • 4 – чтение;
  • 0 – нет прав.

Соответственно, 755 говорит о том, что владельцы имеют полный доступ, а пользователи и посетители могут только читать содержимое и запускать исполняемые файлы.

Ограничивать доступ нужно так, чтобы не нарушить работоспособность некоторых механизмов сайта, которые тоже используют доступ к файлам и папкам. Вот рекомендуемые параметры:

  • К папкам на сайте – 755 (если позволяет 750);
  • К файлам – 644;
  • Для системных файлов с настройками конфигурации – 600.

Системным файлом в WordPress является файл wp-config.php.

Сообщения об ошибках

Когда исполняемый файл не срабатывает на сайте, он может выдавать ошибку. Пользователю она ни о чем не скажет, а вот для взломщика предоставить информацию о расположении директорий на сайте. Чтобы этого избежать, необходимо отключить показ таких отчетов. Для этого необходимо проделать несколько простых действий:

1. Открыть в редакторе (панели управления хостингом или файловом менеджере с использованием протокола FTP) файл конфигурации wp-config.php;

2. Ввести следующий код:

error_reporting(0);
@ini_set(‘display_errors’, 0);
Делаем выводы

Базовые версии многих CMS не обеспечиваются должным уровнем безопасности, на то они и базовые. По этой причине над безопасностью владельцу сайта придется работать самостоятельно. Даже если сайт не содержит важной информации, то не стоит думать, что его не взломают. Никто не отменял рассылку спама и распространение рекламы. Чем ресурс популярнее, тем больше владельцы заботятся о его безопасности.

Но так только в теории, практика показывает, что думать о том, как защитить сайт, начинают в тот момент, когда его уже атаковали. Выполнив хотя бы несколько вышеописанных пунктов, можно минимизировать риски и сохранить свой сайт, репутацию, время и деньги.