5 Шагов на пути к безопасности вашего сайта на WordPress

6 мая 2015, 17:16 Комментарии: 1

Безымянный-2Просто представьте, что в один прекрасный день ваш сайт перестанет быть доступным для пользователей за распространение спам-рассылки или вредоносного кода (вирусов). Страницы вылетают из индекса, а все инвестиции времени и финансов, потраченные на раскрутку сайта идут насмарку. Согласитесь, неприятно? Дабы избежать вышеперечисленных проблем, предлагаю ознакомиться с важными шагами на пути к безопасности вашего сайта на WordPress.

1. Используйте надёжные пароли

Каким бы банальным ни был данный пункт, я все же упомяну, что если ваш пароль «password» или «1234», то будьте уверены — они подбираются практически мгновенно. И речь сейчас не только о вашем сайте, а так же о вашей электронной почте, аккаунтах в социальных сетях и вашем компьютере.

Лучший пароль
Знакома ситуация? А проверить за сколько можно подобрать ваш пароль можете тут.

Надёжный пароль должен содержать 8-15 букв нижнего и верхнего регистра,
символов, цифр и пробелов.

Данное правило так же применимо к панели управления вашим хостинг аккаунтом, паролю для FTP доступа к сайту, а так же к MySQL.

2. Проверяйте темы

Одной из причин популярности WordPress является огромное количество бесплатных тем наряду с удачной архитектурой самого движка и легкостью использования. С помощью такого разнообразия тем можно конструировать практически любые проекты, что для рядового пользователя истинная находка. Но какие за этим кроются подводные камни?

Как следствие этой самой популярности мы имеем большое количество уязвимостей. Более 54% русифицированных тем для WordPress заражены хакерскими веб-шеллами, бэкдорами, спам ссылками, а также содержат скрипты с критическими уязвимостями. Таковы данные специалистов компании “Ревизиум”, которые в конце 2014 года проанализировали 2350 тем для WordPress.

Поэтому перед установкой выбранной бесплатной темы проверяйте все входящие в её состав файлы. Но если вы новичок и PHP и HTML, для вас это что-то из области фантастики, есть другой выход — плагины. Давайте его и рассмотрим.

Theme Authenticity Checker (TAC)
Очень простой и удобный в использовании плагин. Предназначен для анализа ваших установленных тем на предмет внешних вредоносных ссылок, которые могут быть на первый взгляд незаметны.
Theme Authenticity Checker (TAC)

  • Качаем плагин по ссылке.
  • Заливаем в папку /wp-content/plugins/
  • Заходим в админку и активируем его.
  • Заходим во вкладку Appereance (Внешний вид) и видим:

Внешний вид
Под темами видим зеленые кнопки «Theme OK!» Что означает что поводов для беспокойства нет.
Но бывают и другие случаи. Например:
Внешний вид

Тут мы видим сообщение «Encrypted Code Found» и «1 Static Link Found». Нажав на кнопку «Details» мы получаем более конкретные данные. Перед тем как приступать к любого рода изменениям на вашем сайте, сначала сделайте резервную копию.

А далее избавляемся от зашифрованного кода. Можно попробовать сразу его удалить, но он может содержать важные элементы, поэтому сначала лучше его расшифровать. Плагин показывает путь к файлу и строку где находится код. Данный зашифрованный код методом base64 расшифруем с помощью данного сервиса. Сервис преобразует зашифрованный код в привычный. В нем нужно найти те части, которые отвечают за вывод ссылки (a href) и удалить.

Далее удаляем последнюю внешнюю ссылку. После удаления всегда проверяйте, как работает сайт. Если вдруг вы не можете зайти в админку, это значит, что в файле functions.php введены ограничения на удаление данных ссылок. Зайдите в файл functions.php и найдите там строку: vs (fgecbf ($p,$y)==0. В ней нужно заменить 0 на 1.

После всех выполненных операций еще раз проверьте тему с помощью плагина. В идеале он должен показать «Theme OK!» и отсутствие статических ссылок как на первом скриншоте.
Еще плагины, которые стоит взять на заметку: Exploit Scanner, AntiVirus. Theme Check позволяет проверить темы на соответствие стандартам WordPress

Так же не забывайте о Google Webmaster Tools, который сообщит вам, если на вашем сайте вдруг появились какие-либо посторонние ссылки или скрипты.

3. Обновляйтесь вовремя

Важно понимать, что безопасность зависит и от действий самого пользователя в первую очередь. Очень важно вовремя обновлять систему, использовать только проверенные темы и плагины. И только в таком случае можно гарантировать высокую защиту.

Давайте вспомним август 2012 года, когда был взломан сайт агентства Reuters. Как позднее выяснилось, виной всему была не обновленная версия WordPress 3.1.1 (актуальной на тот момент была 3.4.1).

При обнаружении каких-либо уязвимостей команда разработчиков WordPress тут же выпускает обновление защиты. После этого вся ответственность лежит на пользователе – он должен вовремя обновить свою сборку.
23 апреля 2015 года WordPress выпустили версию 4.2, и вскоре была найдена XSS уязвимость в ядре WordPress, версии 4.2 и ниже и уже 27 апреля вышел релиз безопасности 4.2.1, устраняющий данную уязвимость.

4. Правильно распределяйте роли пользователей

Если у вас есть необходимость расшарить доступы к админ-панели сайта другим пользователям, то не забывайте, что у WordPress есть отличная функция распределения прав — subscriber, contributor, author, editor, administrator. Так же права можно отключать в wp-config.php.

5. Запретите редактирование файлов в админ-панели

Используйте директиву

define( ‘DISALLOW_FILE_EDIT’, true );

в файле wp-config.php для запрета редактирования файлов в админ-панели. Но это не запретит администраторам устанавливать новые темы и плагины. Для того чтобы запретить любое редактирование (кроме папки загрузок wp-content/uploads) и возможность обновлять и устанавливать темы и плагины используйте

define( ‘DISALLOW_FILE_MODS’, true );

В таком случае редактирование будет возможно только с помощью FTP или SSH.

Надеюсь, вы почерпнули для себя что-то полезное из этой статьи. Но хочу напомнить, что это далеко не весь гид по безопасности, а всего лишь 5 шагов, о которых важно помнить. И скорее просто повод задуматься о безопасности вашего ресурса и обновиться до последней версии WordPress, если вы этого еще не сделали.

Поделиться в соц. сетях

Опубликовать в Google Plus

Автор поста: Виталий

  • Оксана

    Пока писали статью, уже до 4.2.2 просится обновиться 🙂