wordpress_security

Как защитить свой сайт на WordPress

6 декабря 2012 54

Вот, наконец, настал час X и вы стали очередным счастливым обладателем новоиспеченного сайта на WordPress. С чего же начать? Что сделать в первую очередь? И как вообще теперь дальше жить? Этот опус будет полезен начинающим вебмастерам и владельцам сайтов на WordPress и не только.

Reg.ru: Неограниченный бесплатный трафик
Reg.ru: Неограниченный бесплатный трафик

Можно сразу же начать работать с контентом, наполнять сайт информацией, но все ваши труды будут напрасны если вы не уделите должного внимания безопасности своего сайта. Поэтому, разобравшись немного в администраторской панели WordPress, прежде всего нужно сменить администраторский пароль. Сделать это очень просто, процедура займет всего несколько секунд, и, вполне возможно, сохранит вам несколько сотен долларов и нервных клеток. Для этого зайдите в раздел «Настройки» и введите два раза свой новый пароль. Следует обратить внимание и на сам пароль, он должен состоять не менее чем из 8-10 символов и содержать цифры и латинские буквы в верхнем и нижнем регистре. Причем, желательно чтобы это были не какие-то словарные слова, а просто тупой набор символов. Я не буду здесь расписывать теорию информационной безопасности, приводить примеры расчетов количества комбинаций пароля и времени, необходимого для его подбора. Кому интересно — гуглите, информации по данной теме более чем достаточно.
Конечно, только лишь сложный пароль не сможет в полной мере обеспечить полную безопасность вашего сайта. Поэтому, для его защиты я настоятельно вам рекомендую следовать нескольким простым правилам.

1. Как уже было сказано выше, установите на сайт сложный пароль. Это же касается и вашего хостинга (сервера), а также панели управления регистратора доменных имен, если вы регистрировали ваши домены непосредственно у регистратора. Кроме того, рекомендуется периодически менять пароли, хотя бы пару раз в год. Большое количество взломов происходит именно по причине слабых и дефолтных паролей, таких как: admin, qwerty, demo, test, 11111, 00000, 12345 и т.п.

2. Возьмите в привычку заходить в закрытые разделы своего сайта, требующие авторизацию, только с личных компьютеров, доступ к которым имеется только у вас или доверенных людей. Кроме этого, не рекомендуется без острой необходимости авторизовываться на своем сайте используя общественные, открытые и незащищенные Wi-Fi сети. Например, в аэропортах, торговых центрах, кафе, ресторанах и т.д. С помощью нехитрого софта трафик в таких сетях легко перехватывается, и злоумышленнику не составит большого труда получить полный доступ к вашему сайту.

3. Никогда не сохраняйте пароли от своего сайта и хостинга (сервера) в браузере и всегда завершайте сессию, нажав на «Выход». Да, сохранение паролей в браузере — это очень удобно, но крайне не безопасно. Даже если к вашему компьютеру никто кроме вас не имеет доступ, пароль может быть легко украден по локальной сети или с помощью троянских программ. Это касается не только браузеров, но и FTP/SSH-клиентов и другого вспомогательного сетевого софта.

4. Если на вашем компьютере установлена операционная система Windows, обязательно пользуйтесь антивирусами. Я рекомендую ESET Smart Security. Это целый комплекс защиты, включающий в себя в т.ч. и отличный файрвол, который тоже будет очень полезен, т.к. стандартный брандмауэр Windows, признаться, слабоват. Наличие в системе антивируса, еще совсем не гарантирует, что ваш PC полностью защищен. Большинство эпидемий приходится именно на новые неизвестные вирусы, поэтому чтобы антивирус был в курсе последних событий в мире вирусологии, его необходимо регулярно обновлять. Обычно это происходит автоматически, пользователь получает лишь уведомление об очередном успешном обновлении базы сигнатур.

5. Независимо от используемой операционной системы, старайтесь своевременно обновлять версию ОС и версию браузера до актуальной. Злоумышленники с постоянной периодичностью отыскивают все новые способы взлома и обхода защиты ОС и браузеров. Разработчикам же ПО, в свою очередь, приходится постоянно держать защиту, выпуская более новые и защищенные версии своих программ. Актуальное ПО гарантирует вам более высокую защищенность нежели старое со множеством известных дыр и уязвимостей.

6. Аналогично локальному софту, следует своевременно обновлять и серверный софт. На виртуальном хостинге это сделают без вашего ведома, а вот если у вас свой или арендованный сервер, то придется произвести обновление и настройку самостоятельно или привлечь к этой ответственной процедуре квалифицированных специалистов.

7. Теперь, что касается непосредственно самой платформы WordPress. Не секрет, что данная платформа пользуется огромной популярностью во всем мире. Естественно, она довольно популярна и у хакеров. Поэтому, при всей своей, казалось бы, защищенности, в WordPress иногда отыскиваются и уязвимости. Нужно регулярно, по мере выхода новых версий, обновлять WordPress. Особенно это касается критических обновлений. Тем более, что обновление осуществляется прямо из админпанели буквально в один клик. Но делать это нужно очень аккуратно, обязательно создав резервную копию сайта и БД, чтобы в случае падения сайта, можно было хотя бы на время откатиться назад и разобраться в проблеме. То же касается плагинов и шаблонов. Их своевременное обновление гарантирует вам максимальную совместимость и корректную работу с актуальной версией WordPress. Но нужно быть предельно осторожными, и ни в коем случае не скачивать плагины с различных сомнительных ресурсов, т.к. чаще всего таким образом злоумышленниками распространяются плагины, содержащие вредоносный код и другие гадости. Старайтесь скачивать плагины из официального репозитория на WordPress.org или непосредственно с официальных сайтов разработчиков, а шаблоны старайтесь покупать у известных разработчиков или заказывайте индивидуальные решения специалистам по WordPress. Для WordPress также существуют плагины безопасности, контролирующие изменение файлов внутри платформы. Их использование я рекомендую только если позволяют мощности вашей площадки. Подобные плагины не защищают ваш сайт, а только лишь информируют о несанкционированных изменениях.
На бесплатных шаблонах для WordPress подробно я останавливаться не буду. Их использование без должного анализа кода категорически не рекомендуется.

В данной статье я рассказал только об основных аспектах безопасности. Естественно, даже выполнив все рекомендации, риск быть взломанным достаточно велик. Идеальных и на 100% защищенных систем в мире не существует. Поэтому, если кто-то решил сломать ваш сайт — его обязательно сломают, вопрос лишь в финансировании подобного мероприятия.

Однако, если подобный инцидент уже произошел, вы имеете полное право обратиться в провоохранительные органы, т.к. такого рода деяния предусматривают вполне реальное наказание. Интересующиеся могут ознакомиться со статьями 272-274 Уголовного кодекса Российской Федерации:

  • Статья 272 УК РФ. Неправомерный доступ к компьютерной информации.
  • Статья 273. Создание, использование и распространение вредоносных программ для ЭВМ.
  • Статья 274. Нарушение правил эксплуатации ЭВМ, системы ЭВМ или их сети.

Однако, органам не всегда удается вычислить хотя бы примерное географическое местоположение злоумышленника, т.к. вполне возможно осуществить взлом через прокси-сервер или через целую цепочку прокси, расположенных в разных частях планеты. Да, даже если доступ в Интернет был осуществлен с помощью неавторизованной сим-карты, купленной, например, в переходе метро и ранее не засвеченного оборудования, вряд ли уже злоумышленник будет найден. Конечно, если он не прокололся на какой-нибудь мелочи и не засветил свои реальные данные. К примеру, при пополнении счета со своей банковской карты или имел глупость поставить эту сим-карту в свой действующий мобильный телефон. Если работали действительно профессионалы по чьему-то спецзаказу, затея с обращениями в органы имеет очень туманный смысл. А вот всяких там кулхацкеров или незадачливых конкурентов, подобравших пароль и возомнивших себя великими взломщиками, вы можете запросто привлечь к уголовной ответственности.

Успехов!

Автор: Иван Данилин

Практикующий веб-разработчик, специализируюсь на платформе WordPress.

Комментарии

Разгоните свой WordPress

Хостинг-провайдер номер один в России — REG.RU

Подробнее