Skip to content
 

Надежная защита сайта на WordPress

Защита-сайта-на WordPressСлучилось так, что защита сайта на WordPress укреплялась у меня постепенно (по мере необходимости).

Когда я сталкивалась с какими-то атаками на свой сайт, то сразу же искала способ, как этому противодействовать. И поэтапно усиливала безопасность.

Набравшись опыта, я хочу дать несколько советов новичкам по обороне своего блога. Все это протестировано на собственной шкуре.

Советы простые и не требуют особых навыков программирования и не изобилуют специфическими терминами, которые часто встречаются в статьях слишком грамотных авторов на эту тему.

Меняем логин admin на уникальный.

изменить-логин-admin

Это первое, что нужно сделать, если Вы начали вести сайт на CMS (Content management system) WordPress.

Сразу же придумайте и задайте свой неповторимый логин.

Срочно узнайте, как изменить логин admin администратора WordPress сайта.

Сделать это просто, если знать последовательность шагов. Не тяните с процедурой замены.

Если поменять логин на свой уникальный, то злоумышленникам придется подбирать методом перебора не только пароль, но и Ваш новый логин, что снижает риск взлома сайта.

Не забудьте и пароль усложнить.

Скрываем логин администратора.

Скрыть-логин-администратора WordPress

Вторым обязательным шагом следует скрыть логин администратора сайта WordPress, чтобы в коде любой открытой для просмотра страницы его нельзя было отыскать.

Существуют, по крайней мере, два узких места, которые могут засветить и обнаружить Ваш логин. Это ссылка на все статьи автора (администратора), расположенная сразу под заголовком статьи, и ответы админа на вопросы читателей в комментариях к статье.

Закройте эти узкие места на своем сайте, чтобы усилить его безопасность.

Или узнайте, как их можно обойти. Например, можно отключить показ автора, а ответы на комментарии писать без захода в административную панель блога.

Если новичку еще сложно осилить самостоятельное редактирование шаблона Вордпресс, которое в этом случае необходимо, то, по крайней мере, установите плагин для защиты от перебора паролей.

Хотя сейчас многие хостинги, столкнувшись с постоянными атаками, автоматически предоставляют Вашему сайту такую защиту.

И для того, чтобы войти на сайт, как зарегистрированный пользователь, нужно каждый раз заново отрывать страницу для входа в случае какой-то ошибки при вводе логина или пароля. Это отсекает непрерывный перебор.

Отключаем доступ по XML-PRC.

Запретить-интерфейс-XML-RPC

Система WordPress обладает множеством замечательных функций, о которых многие пользователи даже и не догадываются.

Я тоже изучаю ее постепенно, сталкиваясь с реальными проблемами на своем сайте.

Обычно, мы начинаем читать инструкцию по эксплуатации только, когда что-то сломалось.

А более грамотные хакеры этим пользуются.

Поэтому мне пришлось закрыть доступ к сайту по интерфейсу XML-PRC для всякого рода оповещений с помощью специального плагина после очередной атаки на сайт с использованием этого канала.

Об этом в статье про скрытие логина автора, на которую я ссылалась выше.

Защита Вордпресс укрепляется, но и злоумышленники не дремлют.

Кому-он-нужен,-этот-Васька

Кому он нужен, этот Васька?

Или, кому он нужен этот Ваш бложек?

Обновляем Вордпресс и плагины.

обновление-Вордпресс

Не обольщайтесь, что до Вас взломщики не доберутся.

Разработчики и грамотные пользователи советуют обязательно регулярно обновлять движок Вордпресс и все установленные на нем плагины до последних существующих версий для усиления безопасности.

Да, иногда могут возникнуть проблемы на сайте после очередного обновления WordPress.

Но они чаще всего некритические. О них можно заявить на форумах Вордпресс и дождаться новых версий движка с исправлениями.

Мой блог попадал в такие ситуации несколько раз, но благополучно их пережил.

Будет значительно хуже, если Ваш сайт столкнется с атаками злоумышленников, которые посылают запросы к файлам старых плагинов и несуществующим страницам на Вашем сайте. Или еще какие-нибудь запросы придумают.

Такого рода атаки отвлекают на себя все ресурсы, выделенные сайту на сервере, и обычным посетителям (и Вам в том числе) попасть на него будет уже затруднительно.

Вы увидите только табличку с объявлением, что сайт недоступен потому, что сильно перегружен.

Понятно, что подозрительные автоматические запросы идут непрерывным потоком, и вклиниться с доступом сложно.

Причем, вовсе не обязательно, что атаковать будут именно Ваш конкретный сайт.

«За что?» — будете думать Вы.

Возможно, что злоумышленники просто решили атаковать сервер, перебирая там все слабо защищенные сайты. И, если Ваш блог попал в их число, то достанется и ему.

А что делать?

файл-htaccess

В таком случае желательно обращаться в службу поддержки хостинга, чтобы специалисты проанализировали ситуацию и приняли адекватные меры для защиты или дали Вам полезные рекомендации.

Обычно они вычисляют вредительские IP-адреса и советуют запретить доступ для указанных IP-адресов с помощью специальных директив в файле htaccess в корневом каталоге сайта.

Я, таким образом, несколько адресов заблокировала.

Но умелые хакеры их постоянно меняют, и список плохих адресов разрастается. Да и ждать ответа с хостинга приходится некоторое время. Не очень быстро все получается.

Может, можно как-то самостоятельно вычислять такие IP-адреса?

А еще лучше сразу же автоматически блокировать их.

Фантастика! Скажете Вы.

Уже нет.

Сайт WordPress автоматически отбивает атаки.

плагин iThemes-Security

Светлые силы, которые противодействуют темным, постоянно совершенствуются. И уже достигли небывалых успехов. Будущее точно принадлежит им!

Умные программисты уже разработали плагин iThemes Security.

Он не только ведет статистику (logs) IP-адресов, с которых идут подозрительные запросы на Ваш сайт, но и автоматически блокирует их на заданное время.

А в случае повторных атак, записывает в черный список и помещает в файл htaccess совершенно без Вашего участия. Все автоматизировано.

Причем файл истории (logs) рассчитан на определенный объем информации и перезаписывается сверху, поэтому, вручную чистить его даже необязательно.

Для старта можно просто установить этот плагин с настройками по умолчанию.

А в случае атаки он пришлет на Ваш электронный адрес письмо с информацией о блокировке подозрительного IP-адреса и указанием конкретного времени произведенной попытки.

После активации можно посмотреть видео про первичный запуск плагина для свободного использования. Оно, хоть и на английском, но простые действия вполне понятны и без перевода. Обратите на него внимание.

Подробнее про настройку плагина здесь.

Не зря этот плагин позиционирует себя, как самая надежная современная защита сайта WordPress.

Он предоставляет большое количество настроек, которые обеспечивают безопасность Вашего сайта по многим направлениям.

Что подтолкнуло меня к установке плагина iThemes Security?

А дело было так. Несколько дней я периодически натыкалась при обращении к собственному сайту на сообщение, что он перегружен.

В административной панели моего хостинга Sprinthost есть возможность увидеть график потребления ресурсов сервера для своего аккаунта.

Статистика-использования-ресурсов

Нагрузка-сайта

Зеленая область — запросы к статическим файлам, на обслуживание которых ресурсов практически не требуется. Бежевая область — запросы к скриптам сайта, для выполнения которых выделяются ресурсы сервера. Как правило статические запросы составляют 70% и более всех запросов к сайту. Если это не так, возможно, следует провести оптимизацию сайта на предмет обработки статических запросов.

График показал огромные пики возрастания нагрузки в некоторые моменты времени.

Я обратилась в техподдержку. Специалисты хостинга подсказали, что наблюдается большое количество подозрительных запросов к несуществующим страницам на моем блоге.

А в интернете давно ходят слухи, что появился такой новый вид атаки на WordPress.

Поэтому пришлось срочно установить плагин iThemes Security и изменить его настройки для страниц 404.

Обращение-к-несуществующим-страницам

И поток подозрительных запросов в течение нескольких дней пошел на спад. А график потребления ресурсов сервера стал постепенно выравниваться.

При этом я получила несколько писем, что плагин заблокировал такой-то IP-адрес до такого-то времени. А задала я блокировку аж на 3 часа (180 минут). Это в общих настройках.

период-блокировки

За неделю только один из IP-адресов автоматически прописался в файл htaccess для постоянной блокировки. С него пытались штурмовать несколько  раз.

Но чаще всего адреса повторно не использовались и все время менялись. Это стратегия так называемой DDoS атаки.

А вот такие письма присылает плагин (можно увеличить).

письмо-о-блокировке

Можно прямо из письма перейти и узнать, где находится IP-адрес, посылающий подозрительные запросы.

И тут обнаружилась обширная география по всему миру. Умеют хакеры скрывать места своей дислокации.
Очень советую установить плагин iThemes Security для безопасности своего блога.

А при посещении административной панели сайта обязательно просматривать его файл logs.

И Вам не понадобится самостоятельно добавлять какие-то фрагменты кода при обнаружении очередной прорехи. Об этом позаботятся специалисты. Они учтут новые угрозы.

iThemes Security – это просто король безопасности для Вашего сайта на WordPress.

Тогда отдельные предыдущие шаги, о которых я писала в начале статьи, можно и не делать.

Плагин обеспечит все необходимые средства защиты. Нужно только внимательно изучить его настройки.
Да, их довольно много. И придется потратить некоторое время, чтобы разобраться.
Ссылку на подробную статью о настройках я указывала выше.

Если у Вас несколько сайтов, то не забудьте позаботиться о каждом из них.

Хорошо также, если вы будете периодически отслеживать нагрузку своего блога по графикам потребления ресурсов на хостинге.

И надежная современная защита сайта на WordPress будет Вам обеспечена.

Было бы здорово, чтобы и Ваш хост-провайдер обеспечивал хорошую защиту от DDoS атак и надежную работу своих серверов.

Елена и tvoy-internet.ru

Считаешь информацию полезной? Поделись с друзьями!

4 комментариев

  1. Наталья:

    Спасибо, Елена. Я всегда следую Вашим рекомендациям. Сейчас займусь установкой плагина.

  2. gwremi:

    На моем сайте однажды за несколько секунд было размещено 300 спам-комментов, а после в течение двух дней дудосили.
    А хост-провайдер в итоге написал, что я сильно нагружаю их процессор, и предложили перейти на более дорогой тариф.
    Но просмотр лога на сервере дал понять что происходит.
    Так что, я думаю, этот плагин будет полезен всем.
    Да, кстати, как сильно он тормозит WP?

  3. gwremi! Визуального торможения WordPress после установки плагина iThemes Security я не заметила.
    Гораздо хуже полные тормоза при обращении к сайту без него.

    Реальное время загрузки сайта можно оценить с помощью специального сервиса. Об этом у меня написано здесь.
    Если интересно, то можно замерить скорость загрузки сайта до и после установки плагина.
    Только в таком случае для чистоты эксперимента нужно выбирать на сервисе проверку из одного и того же места, например, из Амстердама.
    Потому что сервис проводит случайное тестирование из разных городов, если не задать это при старте проверки.

    А по поводу спама в комментариях, то я недавно установила плагин reCAPTCHA.
    Теперь у меня есть проверка «Я не робот».
    Она использует современную разработку Google и хорошо блокирует роботов.

  4. Спасибо за совет. Будем защищать блог полноценно. Сейчас этим и займусь.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *