Как защитить сайт на WordPress от хакеров

Рубрика: Теория и статистика | Время на чтение: 9 мин.

Несколько советов по поводу того, как защитить сайт на WordPress от хакеров. И небольшой список плагинов, призванных улучшить безопасность вашего проекта.

А спонсором блога в этом месяце выступает сервис Rookee. Когда требуется комплексное поисковое продвижение, контекстная реклама на автопилоте или формирование репутации в сети – на помощь приходят Rookee!

Вордпресс довольно часто ломают. Атакам хакеров подвергаются темы, основные файлы движка, плагины и даже страница входа в админку. Как владелец нескольких сайтов на этой CMS, я сам неоднократно сталкивался с вредителями. Поэтому сегодня хочу предложить несколько шагов, которые помогут вам снизить вероятность взлома и облегчить восстановление, если он всё же произойдёт.

Оглавление

Как хакеры атакуют WordPress

Сайты в интернете ежедневно подвергаются атакам злоумышленников. Будь то форум на vBulletin или блог на WordPress – хакеры регулярно тестируют защиту и ищут уязвимости. Для таких специалистов по безопасности нет ничего необычного в том, чтобы регулярно сканировать тысячи страниц или пытаться войти в систему управления сайтом сотни раз в день.

И это всего лишь один хакер. На практике же ваш интернет-магазин или корпоративный портал подвергается атакам нескольких хакеров одновременно.

В большинстве случаев это происходит совсем не так, как любят показывать в голливудских фильмах. Ломает не человек, сидящий за ноутбуком в подвале родительского дома. Хакеры используют автоматизированное программное обеспечение для сканирования Сети в поисках конкретных слабых мест на сайтах.

Этот автоматизированный софт, сканирующий интернет, называется ботами. Аналогичные боты есть у всяких разных SEO-сервисов, и даже у поисковых систем. Правда, в отличие от хакерских ботов, эти занимаются другими вещами: анализируют и копируют контент, что-то куда-то кросспостят, собирают информацию по техническим параметрам страниц и т.д.

Защита сайта на ВордПресс с помощью брандмауэра

Брандмауэр (файрвол) – это софт, который блокирует вторженцев. Одним из лучших брандмауэров для WP считается плагин от Wordfence. У него более 3 миллионов активных установок и рейтинг на wordpress.org «5 из 5».

Wordfence проверяет, соответствует ли поведение посетителя веб-сайта поведению злоумышленника. Если бот нарушает определённые правила, например запрашивает слишком много веб-страниц за короткий промежуток времени, Wordfence автоматически блокирует его.

Плагин функционирует таким образом, чтобы не трогать на сайте «хороших» роботов, таких как, например, Гугл-бот.

Продвинутые функции Wordfence позволяют вебмастеру видеть, какие именно боты атакуют сайт и откуда они это делают. Плагин даёт возможность заблокировать вредителя по его IP-адресу, диапазону IP-адресов или даже по поддельному пользовательскому агенту браузера, который использует бот.

Пара слов о пользовательских агентах (User Agent)

Пользовательский агент идентифицирует информацию, отправляемую браузером, которая сообщает веб-сайту, какой это браузер (Chrome, Firefox, Яндекс) и в какой операционной системе он работает (Windows 10, Mac OS X).

Например, это строка пользовательского агента для браузера Safari 11 на компьютере Mac OS X:

Mozilla/5.0 (Macintosh; Intel Mac OS X 10_11_6) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/11.1.2 Safari/605.1.15

Боты используют множество различных пользовательских агентов, чтобы обмануть веб-сайты и проникнуть внутрь. Например, некоторые роботы сейчас выдают себя за браузер в Windows XP.

И так как фактическое количество реальных пользователей Win XP близко к нулю, я могу создать правило в Wordfence для блокировки всех пользовательских агентов с Windows XP в качестве операционной системы, и с помощью этого правила заблокировать тысячи гадких ботов, независимо от страны или IP-адреса.

Вредители иногда реагируют на блокировку сменой user-agent. Поэтому вебмастер может создать несколько правил и заблокировать широкий спектр хакерских роботов.

Всё это делается абсолютно бесплатно. В платной версии Wordfence есть функция, которая позволит вам блокировать целые страны. Такая штука довольно популярна в среде электронной коммерции, когда вы обслуживаете интересы одного конкретного региона. Правда, под удар могут попасть пользователи VPN, так что будьте осторожны.

Защита WordPress от эксплойтов

Платная версия Wordfence заранее защитит вас от многих скомпрометированных тем и плагинов, прежде чем они будут обновлены.

Как только исследователи Wordfence узнают об эксплойте, они обновляют премиум-версию брандмауэра, чтобы обеспечить подписчикам защиту от него, иногда за несколько недель до того, как скомпрометированная тема или плагин исправляется разработчиком (а бывает и так, что не исправляется).

Повышение безопасности сайта

Ещё один неплохой бесплатный плагин, обеспечивающий дополнительный уровень защиты, называется Sucuri Security (от GoDaddy). У него 800 тысяч активных установок и рейтинг на wordpress.org «4.5 из 5».

Модуль помогает повысить безопасность WordPress, защищая ваш сайт от определённых видов атак нехороших ботов. Он также имеет функцию сканирования на наличие вредоносных программ, которая проверяет все файлы на предмет изменений.

Каждый раз, когда кто-то заходит в админку сайта, Sucuri отправляет вам соответствующее уведомление об этом. Также он может предупреждать вебмастера об изменении какого-либо файла проекта (что обычно и делают хакеры).

Особенности бесплатной версии Sucuri:

Аудит безопасности
Мониторинг целостности файлов
Удалённое сканирование на вредоносное ПО
Мониторинг чёрных списков (Norton, Яндекс, McAfee SiteAdvisor и т.п.)
Укрепление безопасности
Действия по обеспечению безопасности после взлома
Уведомления об атаках

Платная версия Sucuri включает брандмауэр.

Ограничение количества входов на сайт

Выше я уже писал, что WordFence может блокировать ботов, которые неоднократно вводят имена пользователей и пароли на странице входа в WordPress. Но если вы хотите сосредоточиться на ограничении этих входов в систему, есть плагин под названием Limit Login Attempts Reloaded.

Более 1 миллиона активных установок. Рейтинг на wordpress.org «5 из 5». Модуль позволяет вебмастерам автоматически блокировать всех хакеров, которые вводят заданное количество неудачных комбинаций имени и пароля. Например, можно настроить блокировку злоумышленников после трёх попыток угадать пароль.

Особенности этого блокировщика входа в систему:

Ограничивает количество повторных попыток входа в админку сайта (на каждый IP). Гибко настраивается.
Информирует пользователя об оставшихся попытках или времени до блокировки на странице входа.
Опционально ведёт журнал учёта и отправляет соответствующие уведомления на электронную почту.
IP-адреса и имена пользователей можно занести в белый или чёрный список.
Совместим с Sucuri Website Firewall.
Защита XMLRPC.
Защита страницы входа в Woocommerce.
Многосайтовая совместимость с дополнительными настройками.
Соответствует регламенту GDPR. Когда эта функция включена, все зарегистрированные IP-адреса становятся обфусцированными (md5-hashed).
Поддержка настраиваемых источников IP (Cloudflare, Sucuri и т.д.).

Плагин Limit Login Reloaded позволяет быстро отключить ботов, пытающихся угадать пароль.

Резервное копирование сайта на WordPress

Важно автоматически создавать ежедневную (еженедельную или хотя бы ежемесячную) резервную копию вашего сайта. Любое катастрофическое событие, приводящее к остановке его работы, может быть нивелировано с помощью бэкапа данных.

Существует множество решений для резервного копирования, но одно я считаю наиболее оптимальным – UpdraftPlus WordPress Backup Plugin. Более трёх миллионов активных установок, средняя оценка на wordpress.org «5 из 5».

Плагин для резервного копирования сайта на WordPress

С помощью этой надстройки можно регулярно отправлять резервные копии ваших сайтов на email или в облачное хранилище, например, Dropbox или Google Диск. Отличное решение, особенно для таких криворуких кодеров, как я. Он меня неоднократно спасал от полной потери шаблонов. Последний раз такое было, когда я пытался сделать из классического шаблона этого блога «резиновый».

Регулярное обновление тем и плагинов

Важно оперативно обновлять все шаблоны и плагины. ВордПресс позволяет сейчас это делать автоматически, что довольно удобно для владельцев сайтов, которые не очень часто заходит в админку.

Включив функцию автоматического обновления, вебмастер может быть уверен в том, что у него установлена самая последняя версия программного обеспечения. Наличие устаревшего плагина – одна из основных причин взлома.

Существует ряд причин, по которым эту функцию некоторые вебмастеры предпочитают не включать. Например, новая версия того или иного плагина может оказаться несовместима с другими вашими модулями. Поэтому тут для себя каждый решает сам.

Остерегайтесь брошенных плагинов

Некоторые плагины могут продолжать работать даже спустя годы после того, как их разработчик отказался от них. Случается так, что эти старые надстройки содержат уязвимости. Но поскольку они заброшены, «дыры» никогда не будут заделаны.

Другая проблема заключается в том, что хакеры иногда покупают старые плагины и снабжают их вредоносными программами и вирусами.

Проверьте все свои WordPress-плагины, чтобы убедиться, что они не заброшены и обновляются довольно часто.

Заключение

В большинстве случаев принятия этих мер будет достаточно для того, чтобы защитить сайт на WordPress от хакеров. Бесплатные версии упомянутых плагинов обеспечивают довольно крепкую броню вашим проектам.

Вообще в репозитории ВП существует множество всяких разных плагинов для повышения уровня безопасности. И некоторые из них сами содержат уязвимости. Поэтому лучше пользоваться тем, что проверено миллионами активных установок.

Но в комментариях вы можете предложить и свои любимые плагины. С удовольствием их посмотрю.

Ссылки на плагины, о которых говорится в статье: