Поради щодо безпеки блогу на WordPress
Мало прибрати наслідки, потрібно зрозуміти причини виникнення. Я вже писав, що нас зламали і, мовляв, ми все вирішили. Однак, через тиждень історія повторилася, був змінений іншою jquery скрипт, а також файли .htaccess. Причому в .htaccess стояли редіректи на якийсь лівий сайт тільки для мобільних пристроїв і планшетів, а тому помітив я це не відразу.
За пару днів вдалося знайти всі файли змінені зловмисником, а також створені ним спеціально для проникнення (shell). І знову спасибі хостингу за допомогу. Після чого я вирішив вжити всіх заходів, про які розказано в інтернеті.
Зміст статті
- 1 Всі частини мого невеликого FAQ для блогерів:
- 2 Поради щодо безпеки блогу на WordPress
- 2.1 Оновити коди лічильників і віджетів
- 2.2 Оновити всі плагіни і WordPress до останніх версій і видалити невикористовуване
- 2.3 оновити timthumb.php
- 2.4 Перевірити права на папки і файли
- 2.5 Змінити логін користувача admin
- 2.6 Змінити всі паролі на більш складні
- 2.7 Захистити файли .htaccess і wp-config.php від доступу для всіх
- 2.8 Захистити папку wp-includes за допомогою .htaccess
- 2.9 Захистити папку wp-admin за допомогою .htaccess і .htpasswd
- 2.10 Змінити префікс бази даних
- 2.11 Встановити плагін Belavir
- 2.12 Встановити плагін WP Security Scan
- 2.13 Встановити плагін Better WP Security
- 2.14 Моніторинг змін на вашому ftp
- 2.15 Бекапи баз даних і файлів раз в декілька днів
Всі частини мого невеликого FAQ для блогерів:
Я написав ряд статей, пов'язаних з блогінгом. Вони не претендують на повноцінний мануал, але початківцям можуть виявитися корисними. Можете ознайомиться, якщо цікаво.
0. Рекомендую курс «Як стати блогером тисячником і заробляти»
1. Як почати вести блог
2. Як розкрутити блог - список моїх дій
3. Як заробляти на блозі і в подорожах
4. Приклад заробітку на нашому блозі - фінстріп 2013, фінстріп 2012, фінстріп 2011
5. Читацький і пошукової трафік, а також чому читачі не повертаються
6. Трохи правди про тревел-блогінг
7. Поради щодо безпеки блогу на WordPress
Поради щодо безпеки блогу на WordPress
Список навряд чи буде повним, та й, як то кажуть, кому треба, все одно зламають. Але принаймні ці дії може зробити практично будь-який блогер, щоб хоч трохи захиститись.
Оновити коди лічильників і віджетів
Перевірити коди всіх лічильників і соціальних віджетів у себе на блозі і на сайті, звідки ви їх взяли.
Можливо вони оновилися. Помітив, що у Facebook часто змінюється код для віджетів, посилювати безпеку мабуть.
Оновити всі плагіни і WordPress до останніх версій і видалити невикористовуване
Тут коментарі зайві, все вміють це робити. Уразливості зазвичай містяться в плагінах і темах, тому, як мінімум, все неиспользуемое краще видалити.
оновити timthumb.php
Якщо у вашій темі використовується ресайз мініатюр за допомогою timthumb.php, то обов'язково потрібно оновити цей файл на найостаннішу версію, так як старі версії відому уразливість.
Перевірити права на папки і файли
У всіх файлів права повинні бути 644, у папок 755, крім .htaccess - права 444 і папки uploads - права 777.
Змінити логін користувача admin
Найшвидший варіант - це зайти в phpadmin і там у вашій базі даних виконати ось цей запит:
UPDATE wp_users SET user_login = ‘Ваш новий логін’ WHERE user_login = ‘admin’;
Або можна просто через адмінку блогу створити нового користувача, перепризначити йому всі статті, а старого користувача admin, видалити.
Змінити всі паролі на більш складні
Банальний рада, але паролі повинні бути складними, що складаються з цифр і букв різного регістра. Також не варто забувати, що після боротьби з вірусами потрібно по-любому поміняти всі паролі (админка блогу, админка хостингу, ftp, sql-бази), а також має сенс змінити секретні ключі у файлі wp-config.php.
Захистити файли .htaccess і wp-config.php від доступу для всіх
Додаємо в ваш .htaccess в корені блогу, ось цей код:
Order deny, allow
deny from all
order allow, deny
deny from all
Захистити папку wp-includes за допомогою .htaccess
Створюємо файл звичайний текстовий файл, називаємо його .htaccess і копіюємо в папку wp-includes, попередньо додавши в файл код:
Order Allow, Deny
Deny from all
Allow from all
Захистити папку wp-admin за допомогою .htaccess і .htpasswd
Створюємо файл звичайний текстовий файл, називаємо його .htaccess і копіюємо в папку wp-admin, попередньо додавши в файл код:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “restricted”
Order Deny, Allow
Deny from all
Require valid-user
Satisfy any
де, «/home/public/.htpasswd» - це повний шлях до файлу .htpasswd. Бажано, щоб цей файл розташовувався вище директорії вашого блогу.
У файлі .htpasswd зберігається пароль для доступу в зону wp-admin в зашифрованому вигляді. Створити цей файл найпростіше тут, вказавши ім'я користувача і пароль в звичайному вигляді. Краще за все не повторяться і вказувати дані, що відрізняються від вже існуючих облікових записів.
З цим способом є тільки одна незручність - він не застосуємо, якщо у вас багато користувачів блог, так як пароль буде запитуватися у всіх користувачів.
Змінити префікс бази даних
Змінити префікс вашої sql бази даних зі стандартного «wp_» на який-небудь «wpsdjflk647_» можна було на самому початку створення блогу. Але і зараз це не проблема. Я зробив це плагіном, про який йтиметься нижче. Хоча можна було зайти в phpadmin, замінити там все назви таблиць, а потім змінити префікс і в файлі wp-config.php
Встановити плагін Belavir
Встановіть плагін Belavir, який буде відслідковувати зміни у всіх php файлах вашого блогу. Плагін сам нічого не моніторить, а запускає перевірку, коли ви заходите в адмінку блога на сторінку Консоль, де власне він і відображає зміни. Налаштувань у нього ніяких немає.
Встановити плагін WP Security Scan
Встановіть плагін WP Security Scan, за допомогою якого можна зробити деякі речі, зокрема:
- змінити префікс бази даних
- перевірити права на папки і файли
- приховати версію WordPress
- підключити антивірус для блогу і перевірити його
Встановити плагін Better WP Security
Встановіть плагін Better WP Security, він навіть більше потрібен, ніж попередні два. Список його можливостей дуже великий, перерахую частина:
- дозволяє змінити префікс бази даних
- прибирає непотрібну інформацію з коду блогу по типу версії вордпресс
- моніторить зміни у всіх файлах
- банить айпі тих, хто вводить дивні адреси в браузері після імені вашого блогу, отримуючи помилку 404
- забороняє підбирати пароль до адмінки, банить айпі
- змінює стандартні адреси входу в адмінку, відмінний захист від brute-force атак
- і багато іншого.
Моніторинг змін на вашому ftp
Встановіть програму ftpinfo на свій комп'ютер, яка дозволяє під'єднуватися до вашого ftp-сервера і моніторити зміни всіх файлів аккаунта на предмет їх появи / видалення / зміни. Дуже зручна штука під час вірусних атак. Можна моніторити не тільки всі файли, але і створювати маски для файлів і папок.
Бекапи баз даних і файлів раз в декілька днів
Дуже корисна річ, може стане в нагоді і для боротьби з вірусами. Під рукою завжди будуть оригінали файлів і буде можливість відкотиться назад, якщо не виходить вичистити сайт від вірусів. Я використовую плагін BackWPup. У нього багато можливостей, в тому числі і копіювання даних в Dropbox - зручний сервіс, що надає в інтернеті 2Гб вільного місця і синхронізацію з вашим комп'ютером.
Ось такі ось поради щодо захисту блогу на WordPress я застосував у нас на блозі. Якщо, є якісь питання або доповнення (може ще щось ще можна зробити), пишіть в коментарях :)