Некоторые люди, ведущие блоги или личные сайты «понемногу обо всем», редко задумываются о вопросах безопасности до тех пор, пока не столкнутся с атакой злоумышленников. Такой ход мысли можно объяснить: владельцы небольших ресурсов просто не верят, что кому-то понадобится их взламывать, однако, практика показывает, что лучше вовремя принять меры по защите сайта под управлением CMS Wordpress, чем потом обнаружить, что страничка распространяет вредоносное программное обеспечение. Как ни странно, сегодня через такие небольшие блоги и сайты заражается все больше пользовательских компьютеров. Кроме распространения вирусов и троянов, существует множество причин для атаки на ресурс: от нелегального размещения рекламы и банального хулиганства, до попытки присвоения или полного удаления.
Во-первых, как было уже сказано выше, самая распространенная причина взлома сайтов – это небрежное отношение самих владельцев. Нежелание почитать статьи по информационной безопасности и сделать так, как рекомендуют специалисты, стоило многим беспечным веб-мастерам головной боли и лишней работы.
Во-вторых, для обеспечения более-менее устойчивой защиты сайта требуется намного меньше времени, чем на исправление результатов деятельности злоумышленников. То же самое верно и в отношении сложности, потому не стоит игнорировать вопросы безопасности. Это позволит существенно упростить себе жизнь и тем самым оставит больше сил и времени на что-нибудь приятное.
В-третьих, нет сайтов абсолютно неинтересных для хакеров. Невозможно точно сказать, зачем взламывают личные страницы. Кого-то привлекает возможность бесплатно разместить рекламные сообщения или завладеть уже готовым ресурсом, других – просто спортивный интерес или желание похулиганить. Следовательно, даже если на веб-мастера никто не затаил зла, а тематика сайта не предполагает конкуренции, защита от взлома лишней не будет. Ведь обнаружить, что страница, в которую было вложено столько времени, идей и сил, повреждена – это, как минимум, неприятно и губительно для резюме.
Говорят, что все гениальное – просто. Верно это утверждение и относительно обеспечения безопасности Wordpress: большая часть предпринимаемых мер не требует каких-либо особых знаний и умений. Даже начинающему веб-мастеру не составит труда защитить свой сайт от взлома.
Первое, что необходимо сделать, удалить пользователя admin, причем, еще на этапе запуска, поскольку наполнять ресурс с такой дырой в безопасности – это напрасная трата времени. Едва ли стоит говорить, насколько сильно это упрощает работу хакера. В зависимости от версии Wordpress, это делается либо вручную, либо при помощи SQL-запроса. Новый аккаунт с правами администратора стоит назвать так, чтоб отображаемое имя отличалось от логина, – это дополнительно усложнит работу хакеров.
Второй важный шаг – генерация сложного пароля. Здесь на помощь приходит наглядный индикатор стойкости, встроенный в Wordpress, который светится зеленым, если сложность комбинации достаточна. Разумеется, использовать существующие слова в чистом нельзя, поскольку, даже при длине в семь и больше символов, их несложно подобрать. Рекомендуется сочетать строчные и заглавные буквы, цифры и знаки препинания, причем, в случайном порядке. Для этого, кстати, можно воспользоваться одним из генераторов паролей, многие из них создают очень сложные сочетания.
Третье, что стоит сделать, – это установить плагин, ограничивающий количество попыток входа, например, Login LockDown. Помимо основной функции, он также ведет лог неудачных попыток авторизации и блокирует потенциального взломщика, если они совершаются слишком часто и с одного IP-адреса. Кроме того, стоит запретить Wordpress показывать ошибки авторизации. Безусловно, эта функция существенно упрощает жизнь пользователям, но и увеличивает шансы взломщика. Делается это очень просто: надо ввести « add_filter("login_errors",create_function("$a", «return null;»)); » в файл functions.php выбранной темы.
Не следует забывать и о бэкапе. Регулярное резервное копирование полезно по ряду причин, а времени для выполнения требует очень мало. Кроме того, существуют специальные плагины, которые еще делают этот процесс еще проще. Следует также регулярно обновлять Wordpress, поскольку в новых версиях содержатся не только визуальные улучшения, но и доработки системы безопасности. Версию, в свою очередь, стоит скрыть от глаз злоумышленников, удалив файлы readme.html и license.txt в корневой папке сайта, а также добавив в functions.php такой код « remove_action("wp_head", "wp_generator"); ». Таким образом, информация о версии движка будет скрыта, следовательно, взломщик не узнает о недоработках и уязвимостях, которыми он может воспользоваться.
Еще один немаловажный этап обеспечения защиты от взлома – удаление лишних плагинов и тем. Иногда неактивные надстройки оказываются очень полезными для злоумышленников, потому от их наличия напрямую зависит уровень безопасности сайта.
Перечисленные выше меры, безусловно, помогут существенно повысить безопасность ресурса, работающего на Wordpress, но такой защиты еще недостаточно. Для повышения устойчивости к взлому стоит выполнить еще несколько операций, которые закроют оставшиеся бреши.
Во-первых, при выборе хостинга стоит обращать внимания на те предложения, которые дают возможность использования SSL-протокол. Он позволяет защитить передаваемые данные от перехвата, следовательно, повышает уровень безопасности. Для принудительного использования SSL, надо ввести в файл wp-config.php строку « define("FORCE_SSL_ADMIN", true); ».
Во-вторых, CMS Wordpress следует установить в папку с каким-нибудь непредсказуемым названием. Благодаря этому найти вход в «админку» будет намного сложнее. Кроме того, следует настроить предварительную авторизацию, что позволит не только усложнить подбор паролей, но и сбить с толку ботов.
В-третьих, следует оградить директории wp-includes и wp-content. Для этого в каждой из вложенных в них папок надо создать файл index.php. Можно реализовать это также при помощи специальных плагинов.
И последнее, что важно знать для защиты от взлома: даже самые надежные пароли и логины можно со временем подобрать. Потому, чтобы обезопасить сайт, стоит регулярно менять их.
