Любые ваши действия, направленные на повышение безопасности сайта, оправданы. Для любого новичка тема безопасности сайта на WordPress настолько непонятна и сложна, что новичок из-за этого просто старается не думать на эту тему, оправдывая своё бездействие мыслями о том, что его сайт никому не нужен. В плане взлома.
Буквально несколько дней назад один из клиентов моего хостинга написал мне, что получил письмо от Google о том, что его сайт распространяет фишинговые страницы. Фишинг — особый способ мошенничества, когда рассылается спам с ссылками посетить аккаунты и пройти повторную регистрацию. Фактически подставляется «липовая» страница сайта (например, Google, Yahoo, сайты банков и т.д.), где посетителя просят ввести свои логин и пароль для проверки. А реально — идет массовый сбор данных регистрации через мошеннические страницы.
Только не думайте, что этим занимается конкретный человек. Ваш сайт может попасть под атаку специального вирусного скрипта, который может найти «лазейку» и проникнуть на ваш сайт. Сначала это будет PHP-иньекция, с закодированным кодом PHP, который через некоторое время будет автоматически инициирован и загрузит на ваш сайт целую папку с файлами PHP+JS, и превратит ваш сайт в мошеннический.
Вариантов и способов взлома сайта на WordPress — десятки, и каждый день появляются все новые и новые способы, как обойти защиту.
И что очень важно: разработчики системы WordPress знают о удачных попытках взлома системы и выпуская новые обновления WordPress, учитывают новые тенденции хакеров.
И все же — нельзя надеяться только на разработчиков системы WordPress. Вам, как владельцу своего сайта, надо тоже активно заниматься его безопасностью. Для этого существуют в первую очередь, ваши дополнительные действия. Именно ваши. Никто за вас это делать просто так не будет. Можно, конечно, нанять специалиста (например, меня :)), который за определенную плату установит дополнительную защиту вашему сайту. Но. Можно и самому выполнить ряд шагов. Даже новичок, слабо знающий и понимающий систему, может выполнить ряд необходимых действий, которые повысят безопасность сайта.
Сегодня, в этой статье, я хочу дать вам несколько советов: что вам надо делать обязательно с своим сайтом, чтобы повысить его безопасность.
Ваш сайт — это основная директория, которая чаще всего на вашем сервере имеет название: public_html, www, httpdocs и так далее. В этой директории лежат папки системы WordPress: /wp-admin, /wp-content, wp-include. Именно эти папки вместе с файлами вам надо регулярно архивировать и скачивать на свой компьютер. Не забывать делать бэк-ап базы данных. Для этого есть функционал на вашем сервере хостинга, а также есть специальные плагины для бэк-апа базы данных и сайта в целом.
Я уже писал об этом, как правильно делать обновления системы. Лучше всего, ждать, когда выйдет версия с тремя числами и никогда не спешить обновляться на версию с двумя числами. Например:
- Не обноляться, когда выходит версия WordPress с номером: 3.4, 3.5, 3.6, 3.7 и т.д.
- Обновляться, когда выходит версия: 3.5.1, 3.5.2, 3.6.1, 3.6.2 и т.д.
Правильней всего — это сделать на сервере в программе phpMyAdmin, с помощью SQL-запроса:
UPDATE wp_users SET user_login = ‘test’ WHERE user_login = ‘admin’;
В примере выше слово ‘test’ — это новое имя администратора. Если вас взламывает человек, он найдет новое имя администратора, если взламывает робот — может не найти.
Эти системы автоматически ведут мониторинг сайта 24 часа в сутки и в случае его взлома и размещения на сайте вредоносного кода — сразу сообщат вам об этом на электронный адрес. В этом сообщении может быть даже указан путь, где лежат файлы вируса.
Если у вас не закрыты системные папки WordPress от индексирования, тогда любой человек или робот может видеть, какие у вас на сайте стоят, к примеру, плагины. Это плохо. Для того, чтобы закрыть папки от индексирования, достаточно в файл .htaccess в основной директории добавить команду:
#Prevent directory indexing
Options -Indexes
А лучше — создать такие файлы для каждой директории с этой командой.
Этот совет на тот случай, если ваш компьютер слабо защищен и у вас не стоит лицензионное программное обеспечение антивирусной защиты. Я уже давно отказался от варезных вариантов антивируса и купил лицензию Касперского для 2-х компьютеров. Стоимость такой лицензии — всего 170 украинских грн. на 1 год. Ерунда в сравнении с теми проблемами, которые несет в себе вирус на компьютере.
В этом файле хранятся данные подключения вашей базы данных: имя базы, имя пользователя и пароль. Это очень важная информация, которая должна быть надежно защищена. Варианты защиты файла: добавить ключи аутентификации (пример есть в файле), переместить файл на папку выше, добавить специальный код в файл .htaccess. Обо всех этих вариантах в сети много информации, как это сделать правильно.
Много сайтов, которые раздают бесплатно темы и плагины. И примерно 80% таких сайтов раздают их с внедренными кодированными кодами PHP. Поэтому, прежде, чем вы хотите что-то новое скачать, трижды подумайте, насколько надежен источник, откуда вы собрались скачивать новую тему или новый плагин.
Кроме этих восьми советов, добавлю еще несколько строк.
На этом сайте есть подборка моих публикаций на тему безопасности сайта. Советую скачать ее одним файлом в формате PDF. Там вы найдете много полезной информации.
Здесь же, на сайте, есть рубрика под именем Шпаргалки. Там — тоже много полезной информации, и о безопасности в том числе. Советую почитать.
Интернет-магазин Фокстрот — кухонные комбайны киев. Лучший подарок жене.
Добрый вечер,
отличная статья, спасибо!!!
Прошу Вас пояснить, а куда именно вставляется этот код в .htaccess
#Prevent directory indexing
Options -Indexes
то есть в конце или наоборот в начале?
заранее благодарен.
Все равно