SiteSecure

Защита интернет-бизнеса от потерь и простоев

Безопасность сайта на WordPress: 12 практических шагов

Максим ЛагутинМаксим Лагутин,09 июня 2015, 23:19

WordPress – это самая популярная в мире система управления сайтом (CMS), которая при этом является бесплатной. И эта популярность делает сайты на WordPress частыми мишенями для хакеров. Вероятно, многие помнят, как в сентябре 2014 года в ней была обнаружена уязвимость, позволяющая захватить администрирование сайтом, а затем и всем сервером, просто введя определенный код в комментариях. Так были украдены по некоторым подсчетам 800 000 кредиток. А в декабре того же года из-за критической уязвимости было взломано около 100 000 сайтов по всему миру, используя уязвимость в плагине, установленном по умолчанию на многих сайтах WordPress.

Каким бы ни было ваше отношение к этой платформе, в этой статье мы постараемся дать полезную информацию, которая поможет повысить безопасность сайта на WordPress.

Согласно официальным данным wordpress.com в Интернете 23% сайтов работают на WordPress. Это немалая доля, и среди них встречаются новостные блоги, портфолио, статичные сайты, каталоги товаров и интернет-магазины. Наше исследование безопасности сайтов за 2014 год показало, что порядка 5,6% сайтов на этой CMS заражены. Поэтому мы решили составить список мер, которые значительно улучшат ситуацию с безопасностью сайта в Рунете и представляем его ниже.

12 практических шагов по защите сайта на WordPress от SiteSecure:

  1. Аккуратно выбирайте плагины.

В сети находятся тысячи плагинов для расширения функционала CMS, на каждый отдельный случай. Но будьте с ними осторожны. С одной стороны, они могут привести к перегрузке сервера и, соответственно, самого сайта. С другой – в них изначально может содержаться вирус.

Аккуратнее выбирайте плагины, которые собираетесь установить, удаляйте неиспользуемые плагины, ведь каждый из них – это потенциальный риск для сайта быть взломанным.

  1. Обновляйтесь до последней версии.

Когда в панели управления появляется сообщение о наличии новой версии WordPress, не игнорируйте его. Ведь большинство обновлений содержат в себе исправления уязвимостей этой CMS, которые могут привести к взлому сайта.

  1. Регулярно меняйте пароли.

Лучше всего менять как можно чаще, но старайтесь делать это хотя бы каждые полгода и после того, как вы обращались к сторонним разработчикам для доработки сайта. Порекомендуйте делать тоже самое ваших зарегистрированных пользователей. О том, как создать сложные пароли и правильно с ними работать, мы написали в отдельной статье.

  1. Используйте секретные ключи для доступа к Wp-Config.

Создавая их, используйте тот же принцип, что в пункте 3.

  1. Регулярно делайте резервное копирование сайта WordPress.

Всегда проверяйте работоспособность копий независимо от того, делаете ее при помощи специального плагина или вручную. Бывает, что при попытке сделать бэкап сайта WordPress, архивы оказываются «битыми».

  1. Измените имя пользователя.

Логин для админ-панели изначально имеет стандартное значение. Чтобы не дать этим воспользоваться злоумышленникам для подбора доступов к админ-панели, измените его на другой.

  1. Закройте данные о версии WordPress и плагинов.

Тогда хакерам будет сложнее узнать об уязвимостях вашего сайта. Убрать видимость версии движка можно в файле header.php. А чтобы закрыть видимость плагинов, в корневой папке своего сайта создайте файл .htaccess с программным кодом, перечисляющим все установленные плагины. Чтобы узнать их точный список, можно воспользоваться специальными онлайн-сервисами, например, http://whatwpthemeisthat.com, которые проанализируют ваш сайт и дадут информацию за несколько секунд.

  1. Запретите индексацию админ-панели.

Это поможет защититься от автоматического сканирования и индексации ботами.

  1. Переименуйте префикс таблицы.

Чтобы защитить таблицы MySQL, не используйте стандартные названия. Переименовывайте их, используя произвольное сочетание разных букв и цифр.

  1. Используйте шифрование SSL-сертификата.

Оно позволит защитить канал между пользователями и сайтом, и тем самым не дать злоумышленнику перехватить важные данные и взломать сайт. Более подробно ознакомиться с особенностями SSL-сертификатов вы можете в нашем отдельном материале.

  1. Ограничьте количество неудачных попыток авторизации в админ-панель.

Это мера позволит защититься от автоматического подбор пароля (брутфорса).В случае превышения количества попыток, на определенное время IP-адрес того, кто пытается подобрать доступы, будет заблокирован.

  1. Используйте системы мониторинга безопасности сайтов.

Благодаря регулярной проверке сайтов, система мониторинга безопасности позволяет выявить проблемы и угрозы безопасности сайта до того, как сайт будет заблокирован поисковыми и антивирусными системами.

Система мониторинга безопасности сайтов SiteSecure выявляет проблемы быстрее и эффективнее поисковых систем, что позволяет исправить проблему до занесения сайта в их черные списки. Это доказано в ходе исследования безопасности коммерческих сайтов в 2015 году.

Реализуйте хотя бы часть рекомендаций из этой статьи - это значительно повысит безопасность вашего сайта. А подключив круглосуточный мониторинг безопасности сайта, вы сможете получать регулярные отчеты о состоянии системы. В случае, если будет совершена попытка атаки на сайт, вы получите мгновенное уведомление с точными данными, позволяющие без задержек и последствий для репутации сайта предпринять защитные меры.

Если вы столкнулись со сложным поражением сайта или у вас возник вопрос – наша команда специалистов в области информационной безопасности поможет вам.


Подключите бесплатно свой сайт к мониторингу доступности и безопасности, чтобы повысить его защиту и первым узнавать об угрозах безопасности.

Подключить сайт