Wordpress админка - как защитить сайт от взлома и вирусов

Практические советы как защитить сайт WordPress от взлома и проверить блог на вирусы. Не могу зайти в админку wordpress – значит, мне взломали сайт. О безопасности вордпресс или других cms нужно подумать до того, как вам взломают административную панель входа. Проверить на вирусы файлы шаблона можно при выборе тем.

Не ждите, пока взломают ваш сайт на вордпресс. Когда вам придется дважды восстанавливать доступ к админке, то приятных ощущений не получите. Пока сайт не особо посещаем, то и на крючок к взломщикам может и не попасть. Но только авторитет интернет проекта вырастет, а посещаемость начнет расти семимильными шагами, то тут и начинаются проблемы. Так случилось и со мной. После первого взлома я благополучно восстановила доступ к админке WordPress и успокоилась. Пронесло, так показалось… Но после повторного взлома подумалось, а что ж защиту не выставила тогда? Поэтому сегодня решила собрать всевозможные советы по защите сайтов от хакеров, а в частности вордпресс админок.
Советов по защите много, есть целые сайты, посвященные безопасности веб-ресурсов. Я соберу все лучшие рекомендации на этой странице.

Найдем слабые места в защите вордпресс блога с помощью плагинов:

AntiVirus for WordPress, скачать http://wordpress.org/extend/plugins/antivirus/ 
Устанавливаем и проверяем шаблон на наличие вирусов. Жмем «Scan the templates now». В результате чистые файлы будут показаны зеленым цветом, а желтым и красным подозрительные.

TAC (Theme Authenticity Checker) – проверяем темы wp на наличие вредоносного кода перед установкой. Скачать http://wordpress.org/extend/plugins/tac/ 

WP Security Scan, скачать http://wordpress.org/extend/plugins/wp-security-scan/
Настройка плагина. Во вкладке «Scanner» смотрим правильность прав доступа. Для папок права доступа - 755, папки  cache и uploads - 777, для файлов – 644, wp-config.php - 644).
Еще этот плагин может переименовать префикс wp_ без вашего входа в базу данных. Для этого идем на вкладку «Database» и вписываем собственный префикс. Но проверить  префикс лучше и в БД.

После того, как вы отсканируете  и исправите все слабые места, то можете удалить сам плагин.
Если возникнет проблема с входом в админку, то удалите виновный плагин.

Совет первый – установка плагинов для защиты WordPress сайта.

Плагин WordPress Anti-XSS attack — предупреждение и защита от XSS-атак wp блога. Это означает защиту от хакерских запросов с адресной строки.
Скачать русскую версию Anti-XSS attack http://mywordpress.ru/plugins/anti-xss-attack/
Установка стандартная:  залейте файл anti-xss-attack.php в папку wp-content/plugins/, затем активировать и все. Он будет работать.
На заметку по работе плагина: если в браузере пользователя отключена передача referer, то все действия пользователя вордпресс будет воспринимать как XSS-атаку.

Плагин Login LockDown (Limit Login Attempts) – заблокирует ботов, которые попытаются совершить взлом адинки вордпресс.  Выглядит это так: бот пытается попасть в административную часть блога с помощью подборов пароля. Плагин можно настроить на конкретный интервал времени таких попыток с одного ip. При его превышении бот будет заблокирован.  Настраивается и время блокировки, и отмена ее.
Скачать Login LockDown http://wordpress.org/extend/plugins/login-lockdown/ 
Устанавливаем как обычно. Залили  на сервер, активировали и настроили время. Можете оставить и по умолчанию.

Stealth Login – меняет адрес страницы авторизации, которая по умолчанию имеет адрес   WP-login.php. Можно придумать любой адрес типа «сайт/Любой_логин». Также он может запретить вход на сайт по адресу WP-login.php – для этого отметьте  «Stealth Mode».

Secure WordPress
Удаляет информацию об ошибке входа.
Добавляет index.php в папки плагинов и тем. Не даст злоумышленнику посмотреть список установленных плагинов. Такие файлы, как index.php и index.html лучше вставить во все папки. Иначе может произойти вот что: читайте ниже.
Закрывает возможность хакеру просмотреть какие плагины установлены на блоге с помощью добавления пустого файла index.html.
При запросе http://сайт.ru/index.html  можно обнаружить, что ваш блог все-таки поражен вредоносным кодом. Например, я обнаружила множество страниц не со своим контентом из несуществующей директории своего домена, типа http://сайт.ру/drivers/. Ответ сервера при этом код 200.

Удаляет WP-версии, кроме как в админ зоне.
Удаляет Really Simple Discovery. (RSD)  - это формат XML  и издательское соглашение, создающие сервисы, используемые блогами, а также  иными  web-приложениями.
Удаление Windows Live Writer - это программа (редактор), c помощью которой можно писать и публиковать свои сообщения в блог.
Удаляет ядро обновления информации для не администраторов (т.е.  всем, кроме админа).
Удаляет информацию обновления плагинов для не администраторов.
Удаляет тему обновления информации для не администраторы (только WP 2.8 и выше)
Скрывает WP-версию на доске объявлений  для не администраторов.
Удаляет версию на URL-адресов из скриптов и таблиц стилей только на интерфейсе.
Блокирует любые подозрительные  запросы, которые могут быть вредны для вашего сайта WordPress.
Скачать плагин Secure WordPress  http://wordpress.org/extend/plugins/secure-wordpress/
Скачать Secure WordPress  на русском языке http://blogproblog.com/wp-content/uploads/2009/10/secure-wordpress.zip

Еще подборка плагинов для усиления безопасности wp блога:
belavir (php MD5)
bs-wp-noerrors
WordPress File Monitor – сканирование и отслеживание измененных файлов. 

Полезно использовать защиту от спама, спамер может рассылать невидимые глазу ссылки:
WP-SpamFree на русском http://turkenichev.ru/wpfiles/plugins/wp-spamfree-ru_RU.zip

Второй совет для защиты вордпресс блога.

• Не обязательно, но можно изменить данные администратора через phpmyadmin в таблице wp-users, здесь же мы и восстанавливаем доступ к сайту в случае взлома. Прописываем количество попыток авторизации.
• Полезно удалять не нужные файлы сразу после установки. В них имеется служебная информация, как версия движка и т.д.. Удалите из корня сайта файлы readme.html и license.txt.  Не оставляйте возможности повторно установить блог – удалите файл install.php.
• Эти способы скроют лишь версию cms, т.к. используемый движок можно легко вычислить по стандартным папкам (например, наберите в поисковой строке http://сайт.ру/wp-admin или http://сайт.ру/wp-login.php), по пути к файлам, скриптам, листу стилей, картинкам – в адресах увидите «wp-content», в сервисах автоматического определения движков сайта типа http://2ip.ru/cms/ тоже легко определите cms. Если взломщик не определит версию вордпресс, то жизнь его усложнится при поиске слабых мест сайта. А для того, чтобы скрыть сам тип движка, как видите, нужно повозиться.

 

Зачищаем код, убирая или изменяя мета гег generator в header.php темы.


<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
Вместо вордпресс можно написать свое придуманное название
<meta name=»generator» content=айлялялюлю7 ?/>
Не получилось, то в wp-includes/general-template.php комментируем содержимое функции (то, что находится внутри функции):
function get_the_generator( $type ) {/**
……. */
}
Или закрываем мета тэг  генератор. Для этого в файле function.php установленной темы добавьте вверху после  <?php следующую строку:
remove_action(‘wp_head’,'wp_generator’);

Не переусердствуйте в самозащите.  Например, файлы .htaccess и search.php служат для настройки конфигурации веб-сервера и php. Хостер их тоже защищает, закрыв к ним доступ.  Так что следующий совет для продвинутых программистов и необязателен для остальных:

В файле поиска  search.php замените строку
<!--?php echo $_SERVER ['PHP_SELF']; ?-->

на
<!--?php bloginfo (’home’); ?-->
Таким образом, вы наложите запрет для взломщиков  рыться на вашем сервере.

 

• Вбейте в адресную строку http://ваш_сайт.ру /wp-content/ и http://ваш_сайт.ру /wp-content/plugins/. Чистый лист – хорошо, но если вы увидели содержимое, то срочно запретите доступ к каталогам в файле htaccess.
• Делайте бекап блога, установив плагин WordPress Database Backup. Скачать русифицированный http://mywordpress.ru/plugins/wordpress-database-backup/
• Запрещение регистрации пользователей на сайте тоже укрепит безопасность интернет проекта.
• Простой и быстрый способ защиты блога от взлома – настройки пользователя, вы там как admin и есть возможность добавления ника. Воспользуйтесь этим. Сделайте себе ник и отметьте  его «отображать как». Плюс и пароль сделайте сложным. Хакер в этом случае будет подбирать пару ник-пароль вместо логин-пароль.
• Удаление с темы вордпресс ссылки на административный вход тоже усложнит жизнь хакерам.

Общие рекомендации по совершенствованию безопасности блога:

Сложный длинный пароль не менее 12 символов, пароль из одних цифр подбирается на раз-два;
Разные логины и пароли для хостинга, базы данных, входа на сайт, доступ по ftp, электронной почты, статистики и прочих сервисов;
Установите дополнительно пароль на папку wp-admin – такую возможность предоставляет хостер.

А если wp блог уже взломали, то читайте инструкцию, как восстановить доступ к админке.

Еще полезно ознакомиться: Как проверить сайт на зараженность вирусами

Веб-мастер! Тебе памятка в ленте новостей. Читайте новости нашего сайта в формате RSS

Чтобы быть в курсе появления новых материалов для вебмастеров и сеошников, вы можете подписаться на RSS или получать информацию по электронной почте. Мне больше нравится рсс подписка, знаете почему? Потому что нужен один клик мышкой и вы у цели. В браузере сохраняются все мои подписки и я в любое время могу их просмотреть, сделать пометки. А в нижнем правом углу монитора показываются все новости и для чтения мне не нужно открывать почтовый ящик. Я вам представляю обе возможности, выбирайте по своему вкусу.