Взломанные сайты WordPress: меры предосторожности

взломанные сайты wordpress

Безопасность WordPress стала серьезной проблемой, особенно за последнее время. За за пару месяцев на сайты, основанные на WordPress, было совершено множество хакерских атак.

Среди них:

  • атаки Blackhole Exploit Kit;
  • попытки внедрения в структуру SQL;
  • попытки получения доступа по логину и паролю;
  • фишинговые атаки и т.д.

Атаки изначально совершались из России, Польши, Германии и Индии. Файерволлы также блокировали хост-адреса из Австралии, некоторых Европейских стран и с компьютеров, которые невозможно было идентифицировать из-за скрытого IP-адреса.

Вообще-то говоря, легко минимизировать потенциальные угрозы за несколько минут, которые стоит потратить на меры предосторожности. Другими словами, лучше потратить чуточку времени на профилактику, чем неделю на устранение последствий.

Плагины безопасности для WordPress

Это первая линия обороны – правильно примененные плагины безопасности сведут на нет почти все усилия хакеров, включающие даже автоматические угрозы, основанные на скриптах. Неважно откуда ведется атака, вы можете легко чрезвычайно усложнить получение доступа к внутренностям вашего веб-сайта. Чем это сложнее, тем выше вероятность того, что хакер отступит и переключится на более легкую и доступную цель. Даже в мире хакеров время – деньги...

Существует множество доступных плагинов безопасности для WordPress, каждый со своей методологией и вариациями по теме. Выбор в пользу одного вместо другого во многих случаях будет зависеть от серверного окружения – некоторые плагины попросту не установятся, если не доступны нужные PHP-элементы или настройки сервера. Вот список наиболее популярных плагинов безопасности для WordPress:

  • Better WordPress Security
  • Wordfence Security
  • Bullet Proof Security
  • Secure WordPress.
  • У каждого свои особенности, грешки и причуды. Но каждый работает.

Плагин Better WordPress Security

Этот плагин заточен под большой диапазон угроз. Он быстро эволюционировал, превратившись в серьезное приложение. Новые релизы появлялись почти каждую неделю за последние два месяца. У некоторых пользователей обновления выполнялись в самую кульминацию кризиса их сайтов: 500 Server Error. Эту проблему особенно сложно решить, если WordPress у вас запущена в поддериктории. Подобные проблемы можно решить:

  • получив доступ на сайт через протокол FTP;
  • деактивировав плагин Better WordPress Security путем переименования или удаления директории;
  • отредактировав код BWS в файле .htaccess (или полностью его удалив).

Если WordPress у вас инсталлируется из корневой директории, BWS оставит вас в покое, но в этом случае вы должны хорошо понимать WordPress, проблемы безопасности и чувствовать себя уверенными в поиске неисправностей.

Включенная по умолчанию опция «Back-up» может привести к работе наравне c другими запланированными бэкапами, например, запускаемыми программами BackupBuddy или WP DB-Manager. Это может обернуться двумя копиями вашего сайта.

Проверка других файлов (не в рамках установки WordPress) обернется ошибками типа «timeout» и заблокирует доступ для Администратора, если у вас есть другие большие приложения или дополнительные домены. Существует опция «исключения директорий», но выбор должен производиться вручную. Блокировку нельзя убрать, поэтому потребуется деактивация (как указано выше).

Плагин Wordfence

WordFence обладает относительно простым интерфейсом в сравнении с BWS или Bullet Proof Security и работает по-другому. Он кажется очень устойчивым к ошибкам, а настраивать файервол очень легко. Рекомендуем сделать следующую настройку:

« Level 4: Lockdown. Protect the site against an attack in progress at the cost of inconveniencing some users».

Эта настройка нейтрализует самую изощренную спланированную автоматизированную хакерскую атаку, но ценой пользовательской юзабилити сайта.

Wordfence можно настроить таким образом, чтобы предупреждения об угрозах присылались на e-mail. Они включают:

  • предупреждение о критических проблемах;
  • предупреждение об уведомлении;
  • предупреждение о блокировке IP;
  • предупреждение о блокировке пользователя;
  • предупреждение о событии, когда форма «lost password» («забыли пароль?») используется для правомочного пользователя;
  • предупреждение о входе в систему какого-либо пользователя с правами администратора;
  • предупреждение о входе в систему любого другого пользователя, не являющегося администратором.

Другие важные аспекты безопасности включают:

  • разрешение автоматического запланированного сканирования;
  • сканирование и сопоставление основных файлов и репозиторных версий на наличие изменений;
  • сканирование и выявление вредоносных файлов по имеющимся в базе сигнатурам;
  • сканирование файлов на наличие бэкдоров, троянов и подозрительного кода;
  • сканирование постов на наличие известных опасных URL и подозрительного контента;
  • сканирование и выявление устаревших плагинов тем и версий WordPress;
  • проверка надежности паролей;
  • мониторинг дискового пространства;
  • сканирование и выявление несанкционированных изменений настроек DNS;
  • сканирование других файлов (не в рамках установки WordPress).

Выбор за вами

Таким образом, мы рассмотрели наиболее популярные плагины безопасности для WordPress. Все они имеют свои недостатки и преимущества, какой плагин выбрать – решать вам. Главное, всегда стоит помнить – регулярные меры предосторожности экономят массу времени и нервов.

Cкачайте приложение на Андроид и будьте в курсе новостей
Интернет-маркетинга всегда!

WebSEOHelp

smp-forum.ru


.
Наверх
закрыть