Полезные плагины и советы по безопасности для WordPress +17

Системное администрирование, Серверное администрирование, Блог компании HOSTING.cafe, Антивирусная защита

Онлайн-маркетинг и ведение блогов не получили бы столь широкого распространения без таких систем управления содержимым (CMS), как WordPress.

Считается, что WordPress — это самая простая и при этом многофункциональная CMS. С помощью нее все от любителей до крупных компаний могут создавать, публиковать, управлять и следить за веб-контентом.

На сегодняшний день на WordPress работает примерно 76,5 миллионов блогов, или 27% всех страниц в интернете. Каждый день создается еще 50000 веб-сайтов (источник: WordPress).

Из-за такого объема операций WordPress становится мишенью для злоумышленников. Взломщики проникают в систему, чтобы распространять вирусы, раскрывать данные или мешать работоспособности WordPress-сайта в целом.

Кто должен задуматься о безопасности WordPress?

• администраторы сайтов;
• блогеры;
• владельцы интернет-магазинов (пользователи WooCommerce);
• любой, кто использует WordPress.

Обязательные меры для обеспечения безопасности вашего WordPress-сайта.

Обеспечение безопасности на WordPress начинается с администратора. Он отвечает за организацию системы безопасности для защиты данных пользователей и сайта от возможных угроз.

К мерам повышения безопасности вашего WordPress-сайта относятся:

Двухфакторная аутентификация (ДФА)

При применении двухфакторной аутентификации появляется дополнительный уровень безопасности: помимо логина и пароля для получения доступа необходимо ответить на дополнительный контрольный вопрос или ввести данные.

Как правило при ДФА на мобильный телефон пользователя отправляется одноразовый пароль или секретный код. Иногда ДФА реализуется через контрольный вопрос, который пользователь выбирает при создании учетной записи.

Двухфакторная аутентификация обеспечивает защиту учетной записи WordPress так, что даже если логин и пароль окажутся в руках злоумышленников, доступа к аккаунту пользователя они не получат. Можете воспользоваться предложением Clef для двухфакторной аутентификации.

Логины и пароли

Ненадежные пароли и логины по прежнему остаются слабым звеном, обеспечивающим взломщикам легкий доступ в систему. По данным Nakedsecurity 55% пользователей используют одинаковый пароль на всех веб-сайтах, таким образом подвергая себя угрозе.

Важно, чтобы требования безопасности соблюдали как пользователи, так и администраторы. Например, некоторые администраторы WordPress имеют дурную привычку использовать слово «admin» одновременно в качестве логина и пароля, что делает их сайты очень уязвимыми.

Вместо этого следует задать минимальные требования надежности логина и пароля, чтобы снизить возможные угрозы со стороны взломщиков.

Зашифровать все

Кибератаки зачастую имеют форму перехвата закрытой или личной информации в момент ее передачи между пользовательской системой и сервером.

Поскольку WordPress — это CMS, которая часто используется для создания интернет-магазинов, информация о кредитных картах, персональные данные покупателей и т.д. могут быть перехвачены и похищены.

Шифрование данных интернет-магазина с помощью SSL-сертификата, например, от GeoTrust, снизит вероятность перехвата данных. Передаваемые по сети данные шифруются, и взломщик уже не сможет заполучить данные целиком. Даже если он получит доступ к части информации, он увидит лишь совершенно бессмысленный набор символов.

Обновления CMS

Обновления ПО, патчи, обновления ОС — все это предоставляется в том числе и для обеспечения безопасности. Они закрывают существовавшие в предыдущих версиях изъяны. WordPress также периодически выпускает обновления системы безопасности, чтобы CMS-платформа отражала возможные кибератаки.

Плагины для укрепления безопасности WordPress

WordPress — это CMS, к которой можно подключить множество плагинов и расширений, призванных повысить эффективность работы с ней. Существует множество платных и бесплатных плагинов, которые помогут усилить безопасность.

К плагинам для повышения безопасности вашего WordPress-сайта относятся:

Wordfence

Когда речь заходит о плагинах безопасности на WordPress в первую очередь в голову приходит Wordfence. Плагин набрал целых 4,9 звезд из 5, так что если вы теряетесь при выборе, плагин с таким впечатляющим результатом заслуживает внимания. Он завоевал признание пользователей благодаря множеству функций:

• расширенная проверка безопасности;
• блокировка пользователей по IP;
• безопасный вход в систему;
• совместимость с IPv6;
• полная поддержка сайтов WooCommerce;
• поиск вредоносного кода;
• оценка уязвимости;
• единая панель управления администратора для нескольких блогов.

iThemes Security

Более 30 инструментов iThemes Security превратят ваш WordPress-сайт в настоящую цифровую крепость. Он идеально подходит для защиты сайтов на WordPress от обыденных атак и уязвимостей, которые большинство администраторов пропускают или к которым они не готовятся.

К самым интересным инструментам относятся:

• защита от брутфорса;
• двухфакторная аутентификация;
• поддержка клиентов при помощи системы тикетов (версия Pro);
• логирование действий пользователей;
• блокировка после нескольких неудачных попыток входа в систему;
• требования минимальной надежности пароля.

SUCURI Security

SUCURI — еще один сервис с хорошей репутацией в обеспечении защиты сайтов. Плагин для безопасности на WordPress от SUCURI отлично справляется с проверкой целостности файлов, усилением безопасности, аудитом действий, поиском вредоносного кода и многим другим.

• защита от DDoS-атак;
• оценка уязвимости;
• оптимизация скорости;
• защита от брутфорса;
• оповещения безопасности;
• восстановление после взлома;
• поиск вредоносного кода.

BulletProof Security

BulletProof Security — это плагин безопасности WordPress, в который входит файервол, защита регистрации, защита баз данных и множество других инструментов для безопасности в сети. Это полноценный плагин безопасности для защиты сайта на WordPress от кибератак.

• мастер установки в один клик;
• автоматический выход после бездействия;
• логирование HTTP-ошибок;
• три темы на выбор;
• логирование резервирования баз данных;
• срок истечения авторизационных cookie (ACE).

WordPress — это простая в настройке и использовании CMS-система. Благодаря удобству в использовании ей отдает предпочтение существенная доля пользователей. Вместе с тем, в связи с широкой пользовательской базой она становится легкой жертвой для взломщиков. Ко всему прочему большинство пользователей и компаний — непрофессионалы и не разбираются в мерах безопасности, которые могли бы оградить их от угроз.

Однако, с помощью приемов и плагинов, которые мы перечислили, вы сможете обезопасить свой сайт и личные данные. Берегите себя. Берегите пользователей. Берегите покупателей.

HOSTING.cafe предлагает инструменты для поиска виртуальных и выделенных серверов, виртуального хостинга и SSL-сертификатов.

Мощная защита сайта на WordPress реализована в плагине BulletProof Security, который выполняет следующие функции:

• Предохранение вашего ресурса от самых распространенных видов атак (RFI, XSS, CSLF, CRLF, Code и SQL Injections, Base64).
• Обеспечение безопасности сайта с помощью файлов .htaccess и доступный метод их конфигурации.
• Встроенная .htaccess защита важнейших системных файлов (php.ini, php5.ini, bb-config.php, install.php, wp-config.php и readme.html).
• Быстрый и удобный способ установки сайта в режим технического обслуживания (HTTP 503).
• Расширенный контроль безопасности, включающий проверку уязвимых мест, таких как переопределение разрешений на доступ к файлам и папкам, отключение вывода ошибок, связанных с работой базы данных и т.д.
• Обзор детальной системной информации (PHP, MySQL, используемый сервер, операционная система, ОЗУ, IP, DNS, SAPI, максимально допустимый размер загружаемых файлов и т.д.).
• Встроенный интерфейс редактирования файлов .htaccess, а также возможность их загрузки и выгрузки.

В чем преимущество.htaccess веб-защиты перед другими методами обеспечения безопасности веб-узла?

Все очень просто – файлы с расширением .htaccess обрабатываются в первую очередь, а затем остальной код, содержащийся на сайте. Другими словами, плагин BulletProof Security изолирует вредоносный код хакера, не позволяя системе запускать его на начальном этапе загрузки. Данный плагин использует .htaccess файлы, применяемые на серверах Apache, работающих наLinux. Поэтому для нормальной работы плагина необходимо учитывать вопросы, связанные с его совместимостью с используемым вами сервером:

• Защита BulletProof Security основана на использовании .htaccess файлов, которые характерны для серверов Apache, функционирующих на системеLinux.
• Этот плагин совместим и с Nginx сервером, только в том случае, если Nginx, предоставляя основной интерфейс, работает под управлением сервера Apache. Если же на вашем хостинге функционирует только Nginx сервер, то плагин BulletProof Security работать не будет.
• Использование плагина возможно на платформе, поддерживающей сервер Windows IIS, но если ваш хостинг работает исключительно под управлением Windows, то использование BulletProof Security невозможно, так как в этой ОС предусмотрен другой метод защиты (отличный от .htaccess).

Если вы не знаете, на каком сервере работает ваш сайт, то эту информацию можно увидеть на панели настроек плагина в строке «Server Type» и «Operating System».

BulletProof Security очень эффективен, прост в обращении и не требует ручной конфигурации.

Этот плагин разработан с целью обеспечения оперативной, максимально простой .htaccess защиты WordPress сайта. Активация этой защиты и переключение сайта в режим технического обслуживания происходит мгновенно, одним щелчком мыши, при этом не требуется FTP соединение. Простой интерфейс программы позволяет создавать, копировать, переименовывать, перемещать или модифицировать управляющие .htaccess файлы (master files), создаваемые данным плагином.

BulletProof Security помимо встроенной .htaccess защиты корневого каталога сайта и папки wp-admin, позволяет создавать дополнительную, расширенную защиту ресурса. Все, связанные с добавлением дополнительных .htaccess файлов на ваш сайт, действия можно производить непосредственно из административной панели WordPress, и для этого вам не потребуется входить в панель управления сайтом на хостинге или создавать FTP соединение для загрузки необходимых файлов на сайт.

Плагины WordPress для безопасности

Плагин позволяет применять следующие режимы обеспечения безопасности ресурса:

• защита корневого каталога (Root protection);
• защита wp-admin (wp-admin protection);
• полная самозащита (Deny All self protection);
• стандартный режим защиты, используемый по умолчанию (default mode protection);
• Режим технического обслуживания ресурса (503 HTTP Maintenance mode).

Режим обслуживания сайта.

BulletProof Security позволяет вам после активации режима технического обслуживания веб-узла производить необходимые работы по настройке, модернизации или доработке вашего сайта. Этот режим допускает вход на ресурс только его владельцев и разработчиков, тогда как пользователям в ответ на их запрос будет предоставлена страница, информирующая о временной недоступности ресурса по техническим причинам (503 Website Under Maintenance). Доступ на сайт при включенном режиме обслуживания сайта можно регулировать, добавляя или запрещая необходимые IP адреса прямо из административной панели платформы WordPress.

Переводы плагина.

Доступен перевод на литовский язык: автор – Vincent G, ресурс http://www.host1free.com/. Если вы пожелаете заняться переводом плагина на ваш родной язык, то для этого ознакомьтесь с Руководством по переводу плагина BulletProof Security.

Дополнительная защита безопасности.

Несмотря на то, что BulletProof Security сам по себе обеспечивает достаточную защиту, он позволяет использовать расширенные методы реализации безопасности. Дополнительные инструменты применяются в зависимости от конкретных ситуаций и позволяют обеспечить полную защиту сайта, за счет внедрения .htaccess файлов и кода в необходимые места, а также ряда других методов.

Кроме того BulletProof Security содержит некоторые другие не менее полезные функции:

• Автоматический update .htaccess файлов при установке обновлений плагина.
• Автоматическая установка и активация новых .htaccess фильтров после обновления.
• Активация плагина происходит автоматически после каждого обновления.
• Индикация результатов работы плагина в административной панели управления WordPress.
• Резервное копирование и возможность восстановления .htaccess файлов.
• Предусмотрена .htaccess защита от спама в комментариях (Anti Comment Spam), которая работает в связке с плагином Akismet или другим подобным ему, что позволяет свести к минимуму наличие спама в комментариях.
• Дополнительная защита от ботов-спамеров путем отказа в размещении комментария при отсутствии значения поля Referrer HTTP запроса (Forbid Empty Referrer Spambots).
• Защита от уязвимости wp-плагина TimThumb.
• Встроенная возможность редактирования, загрузки и выгрузки .htaccess файлов, в том числе пользовательских, не предусмотренных в стандартной конфигурации плагина.
• Автоматическое обнаружение признаков подозрительной активности: (отключение вывода ошибок работы с базой данных; включение/отключение отображения версии движка и генератора мета тегов; отсутствие/наличие предустановленной учетной записи admin и т.д.
• Проверка установленных разрешений на доступ к файлам и папкам (CGI, SAPI, DSO).
• Страница расширенной справки и поддержки для пользователя.
• Возможность создания собственных .htaccess мастер файлов, их добавления и редактирования при помощи файлового менеджера плагина.

Система управления контентом WordPress, в силу своей громадной популярности, также привлекает к себе и недоброжелателей. Кроме того, “движок” распространяется бесплатно, поэтому еще больше подвержен риску нарушения безопасности. Сам WordPress является довольно безопасным программным продуктом. “Дыры” начинают открываться, когда пользователь устанавливает плагины и темы.

Небезопасность плагинов и тем

К сожалению, не всегда можно быть уверенными в безопасности и безобидности тем или плагинов.

Их платные версии имеют вполне конкретных разработчиков, которые дорожат своей репутацией. В итоге их продукты более высокого качества, и вероятность получить вместе с ними какой-либо зловредный код довольно низка.

Но, как подсказывает наш жизненный опыт, из любого правила есть исключения. Некоторые добавляют вполне безобидный код для обеспечения обратной связи, а другие делают это совсем для других целей. Даже в самом “движке” иногда выявляют уязвимости, которые позволяют злоумышленнику внедрить свой код в ее ядро.

Плагины для защиты от вирусов

К счастью, для WordPress существует и целый ряд полезных решений, способных полностью просканировать Ваш ресурс на предмет всякого рода уязвимостей и зловредного кода и в случае обнаружения указать конкретное место их “обитания” или полностью обезвредить. Рассмотрим несколько довольно качественных и надежных плагинов для защиты Вашего WordPress-сайта.

Sucuri Security

Бесплатный плагин Sucuri Security является лидирующим инструментом в области безопасности, благодаря чему используется огромным количеством WordPress-пользователей. Решение обеспечивает сайтам несколько видов и уровней защиты, среди которых можно выделить следующие:

• сканирование всех файлов на наличие вредоносного кода;
• слежение за целостностью файлов;
• протоколирование всех операций, связанных с безопасностью;
• выявление и уведомление о риске попадания сайта в черные списки ESET, Norton, AVG и др.;
• автоматическое выполнение определенных действий в случае обнаружения взлома.

Плагин в целом зарекомендовал себя как надежная защита для всего сайта.

Wordfence Security

Wordfence Security — решение, выполняющее глубокую проверку веб-ресурса на предмет уязвимостей и вредоносного кода не только в файлах тем и плагинов, но и в самом ядре “движка”.

Плагин использует WHOIS-сервисы для мониторинга соединений. Благодаря встроенному фаерволу, он способен блокировать целые сети. Как только будет обнаружена сетевая атака, мгновенно происходит автоматическое обновление набора правил брандмауэра для наиболее эффективного противостояния угрозам.

AntiVirus

Плагин AntiVirus занимается тем, что ежедневно сканирует все файлы сайта (включая темы, базу данных) и отправляет email-отчет на заданный адрес. Кроме того, AntiVirus проводит сканирование и очистку следов также при удалении плагинов.

Quttera Web Malware Scanner

В список сканирования и обнаружения мощного сканера Quttera Web Malware Scanner входят следующие уязвимости:

• вредоносные скрипты;
• троянские черви;
• программы-шпионы;
• бэкдоры;
• эксплойты;
• редиректы;
• вредоносные iframes;
• обфускация и др.

Помимо этого списка, плагин проверяет на предмет наличия сайта в черных списках.

Anti-Malware Security and Brute-Force Firewall

Дополнение Anti-Malware Security and Brute-Force Firewall призвано сканировать и обезвреживать известные на сегодняшний день уязвимости, включая скрипты backdoor. Антивирусные базы плагина автоматически обновляются, что позволяет обнаруживать самые свежие вирусы и эксплойты.

Плагины безопасности для WordPress

Плагин имеет встроенный файерволл, блокирующий сетевые угрозы.

Особенностью плагина является предоставление дополнительной защиты для сайта (защита от brute-force-, DDoS-атак, а также проверка целостности ядра WordPress). Для этого необходимо просто зарегистрироваться на сайте gotmls.net.

WP Antivirus Site Protection

Антивирус WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы сайта, включая темы, плагины и загружаемые файлы в папке uploads. Найденный вредоносный код и вирусы будут немедленно удалены или перемещены в карантин.

Exploit Scanner

Плагин Exploit Scanner занимается исключительно выявлением подозрительного кода (файлы сайта и база данных). Как только что-либо будет обнаружено, администратор сайта сразу будет уведомлен об этом.

Centrora WordPress Security

Комплексное решение Centrora WordPress Security является многогранным инструментом защиты веб-ресурса от всех типов угроз. Оно включает в себя следующие функции:

• поиск зловредного кода, спама, SQL-инъекций;
• присутствие брандмауэра;
• наличие сканера проверки прав доступа;
• выполнение резервного копирования.