Защита сайта

Приветствую вас, дорогие друзья. Данная статья будет посвящена защите сайта. И давайте знакомиться непосредственно с содержимым статьи. Какие опасности подстерегают наш сайт на WordPress?

  1. Подбор логина и пароля для входа в админку — нельзя использовать логин “admin”, а пароль должен быть сложным, а не типа «123». Если у вас будет стандартный логин, то злоумышленники просто возьмут, подберут пару логин-пароль и проникнут в админку. Ну а дальше, они смогут натворить все, что хотят. Самое лучшее, что может быть, это использование пароля, который сгенерирован автоматически, рандомно, и использовать уникальный логин. И если вы будете это делать, то, наверное, уже догадываетесь, что подобрать логин и пароль уже будет невозможно. Для того, чтобы проникнуть на сайт, хакерам уже нужно будет использовать какие-то другие пути. А нам нужно будет знать об этих путях заражения, потому что нам нужно будет им противостоять. Но самое первое и главное, что надо сделать — это завести нормальный логин и пароль.
  2. Дыры в движке- своевременное обновление движка необходимо. У вас не должно возникать вопроса, надо ли обновлять движок, ведь обновление — это устранение всевозможных уязвимостей.
  3. Дыры в плагинах — своевременное обновление плагинов, использование регулярно обновляемых плагинов.
  4. Дыры в темах — своевременное обновление тем. Зараженные плагины и темы устанавливать только из проверенных источников.Если вы скачиваете что-то из непроверенного источника, форума, то есть большая вероятность, что плагины или темы будут заражены.
  5. Вирусы на компьютере администратора — установить антивирус и не сохранять пароли.
  6. Взлом почты — кража доступов к хостингу — помните, что в вашей почте хранятся все пароли от админки, хостинга и тд. В почте тоже генерируйте хороший пароль.

И теперь, давайте поговорим о еще одном возможном пути защиты сайта. Очень многие переживают о том как противостоять доступу третьих лиц к админке сайта и, например, делают какую-то двойную авторизацию. Но это все, я вам скажу, бессмысленно и, в принципе, вполне достаточно нормальной пары логин-пароль уникальной, чтобы защититься от проникновения в админку. Ну, если вы уже очень сильно переживаете по этому поводу, то стоит не двойную авторизацию делать, а можно заблокировать по IP доступ к странице авторизации в админку.

Для того, чтобы заблокировать доступ по IP и разрешить доступ только себе, узнав свой IP, нужно взять, открыть редактирование файла .htaccess, который находится в корне вашего сайта и в начало этого файла добавить код.

При этом, вы должны понимать, что вы блокируете доступ не только в админку, но и для авторизации и регистрации всех остальных пользователей.

Поэтому, если вы планируете, чтобы у вас кто-то регистрировался на сайте, для каких-то целей, может быть, у вас какая-то система комментирования, например, есть или еще какие-то дополнительные функционалы, личный кабинет.

Вы должны понимать, что, в случае наличия у вас таких функций, ничего блокировать нельзя, потому что пользователи, которые захотят войти в этот личный кабинет, точно также должны пользоваться админкой.

Поэтому, только в том случае, если членство на вашем сайте не разрешено для любого пользователя, имеет смысл что-то блокировать.

В данном коде я заблокировал доступ и разрешил его только двум пользователям, указав их IP. Если вы хотите только одному пользователю разрешить доступ, то, соответственно, убираете одну строку, предпоследнюю.

К примеру, если у вас IP динамический, то вы можете остановиться на «76», в данном случае, и не указывать конечные цифры. Таким образом вы разрешите доступ всем IP из этой подсетки, это если у вас IP меняется. Если же он у вас постоянный, то вы его полностью вносите.

Ну, а если хотите дать доступ еще какому-нибудь технарю, то прописываете еще 1 строчку и IP технаря там указываете.

Если, вдруг, у вас IP сменился, ничего страшного — вы просто заходите в .htaccess и меняете соответствующие цифры. Вы никогда не потеряете доступ к админке таким образом, потому что код хранится на жестком диске сервера, вы всегда можете попасть туда и посмотреть данные.

All in One WP Security

Ну и, еще одна штука, которая позволяет обезопасить определенным образом свой сайт — это плагин «All in One WP Security». Имеет смысл его поставить только в том случае, если вы хотите блокировать неудачные попытки авторизации.

То есть, после активации данного плагина вы увидите, что есть такой раздел, как «Авторизация», и в этом разделе среди всего прочего, есть меню авторизации. Вы можете поставить галочку для блокировки неудачных попыток авторизации. Если вас беспокоит проблема возможных переборов логинов и паролей, таким образом вы можете после трех авторизаций, на 60 минут заблокировать по IP попытки авторизации данного пользователя.

Кроме того, есть раздел «Защита от брут-форс атак», данный раздел позволяет нам изменить адрес авторизации. То есть, по умолчанию там WP-admin. Если вы там поставите, например, test, и поставите галочку «Включить опцию переименования страницы логина», то зайти можно будет в админку уже только по той ссылке, которую вы прописали.

При этом, если, опять же, вы хотите блокировать доступ к админке по IP-адресу, то ссылку и там надо будет заменить.

Вот такие полезные вещи в данном плагине. Но, опять же, это имеет смысл делать только в том случае, если вы боитесь перебора логина и пароля и, если вы не установили блокировку по IP. Потому что блокировка по IP — довольно-таки мощная вещь, и она решает эти все проблемы.

Просмотр содержимого директории

Еще одна уязвимость, которая часто из виду упускается, это уязвимость в плане просмотра содержимого директории.

Данная уязвимость встречается часто на сайтах, которые используют не виртуальный хостинг, а какой-то сервер, который сами администрируют. Очень часто они неправильно настроены, эти сервера, и в итоге, если вы наберете имя своего сайта, а потом /wp-content, то вы можете просто просмотреть содержимое директории в браузере непосредственно. Это не хорошо как с точки зрения СЕО, так и с точки зрения безопасности.

Если в вашем случае происходит подобная картина, то есть вы видите содержимое директории (по хорошему, вы должны здесь видеть либо сообщение об ошибке доступа либо просто белую страницу), то вам нужно закрыть доступ к просмотру директории, делается это очень просто.

Опять же, идете в файл .htaccess, перемещаетесь в начало этого файла, и в начале файла прописываете: «Options All — Indexes». И данная команда запретит просмотр содержимого директории в браузере.

Теперь посмотрим очень мощный инструмент для того, чтобы защитить свой сайт — это плагин WordPress File Monitor. Что он делает? Данный плагин мониторит изменения файлов вашего сайта. В настройках переходите на страницу WordPress File Monitor и отмечаете все возможные варианты изменения состояния сайта:

  • размер файлов;
  • дата модификации;
  • разрешения;
  • хэш (по содержимому).

Ну и дальше я задаю интервал сканирования, например ежедневно, чтобы данный плагин сканировал изменения по моему сайту. И, в случае изменения, у меня будет приходить уведомление на почту.

И что я сделал, чтобы проверить работоспособность этого плагина. Я взял его, установил, отметил те галочки и нажал «отсканировать вручную». То есть, после первого сканирования, естественно, в почту ничего не придет, надо внести какие-то изменения. Я взял, открыл файл header.php в теме на редактирование, и написал там “1,2,3”. Дальше нажал «Сканировать вручную» еще раз и увидел, что на мою почту пришло сообщение. В сообщении написано, что изменен файл, и что изменение произошло именно по содержимому.

Соответственно, если вы что-то редактировали в файлах сайта, то вы понимаете, что это вы внесли изменения. А если без вашего ведома, вдруг, произошло изменение, то об этом вы узнаете и сможете сравнить версию до изменения с текущей, и таким образом понять, не появился ли у вас там вредоносный код.

При этом, вы должны понимать, что движок и плагины генерируют так называемые “кэшированные версии” страниц. Поэтому, если у вас в папке /wp-content/cache что-то появляется, и вам об этом сообщает WordPress File Monitor, то в этом нет ничего страшного. Для того, чтоб не получать эти сообщения, вы по примеру можете скопировать /wp-content/cache в окно «Исключить пути/файлы» и запретить отслеживание папки с кэшированными файлами. Потому что в этом нет никакого смысла. Имеет смысл отслеживать только файлы ядра, файлы темы, файлы плагинов.

Ну и, соответственно, как я и сказал, в случае появления каких-то изменений в файлах, надо сравнить, что же было в данном файле до, и что стало после.

Соответственно, у вас должна быть какая-то резервная копия. И эта резервная копия — тоже очень важная вещь, потому что своевременное резервное копирование может, в случае возникновения проблем, помочь восстановить состояние вашего сайта. Что вам нужно иметь в плане резервного копирования?

Нужно иметь копию всех файлов сайта — это означает, что вам нужно себе на жесткий диск скопировать абсолютно все файлы сайта. Лучше всего это делать при помощи копирования архива своего сайта. То есть, если у вас есть доступ по SSH и вы понимаете, что это такое, не боитесь этим воспользоваться, то можно ввести команду, “tar -cjvf imya_archiva.tar.bz2 chto_archivirovat”, чтобы все содержимое сайта поместить в один файл архива.

Таким образом, скопировав себе этот файл архива на жесткий диск, вы будете уверены в том, что полная версия вашего сайта одним файлом отправилась к вам на жесткий диск и хранится в резервной копии.

Если вам это сложно, то вы можете копировать просто по папкам все содержимое сайта себе на жесткий диск. Таким образом, может быть, в принципе, нарушена целостность сайта, потому что какая-то папка может быть не докопированна. Но не стоит параноить по этому поводу, если вы попапочно так себе копируете и убеждены в том, что действительно полная версия сайта вам пришла на жесткий диск, то нет никакой разницы — копировать это полным архивом или по папкам.

Соответственно, на вашем компьютере будет храниться резервная копия всех файлов сайта, до каких-либо изменений.

То есть, что это значит? Это значит, что вы установили движок, разместили несколько публикаций, установили тему, которая будет использоваться на вашем сайте, установили плагины, и после этого вы делаете полную копию вашего сайта, предполагая, что пока он, по крайней мере, не заражен. И потом, в случае каких-то изменений, вы всегда можете посмотреть, что же в файле каком-то добавилось.

Есть программы, которые позволяют сравнивать копии, разные версии файлов и вы сможете наглядно увидеть, что в него добавилось.

Ну и, опять же, надо понимать, что, например, при обновлении движка или обновлении плагинов также не нужно переживать, если вас WordPress File Monitor уведомляет об изменениях. Нужно переживать только в том случае, если никто ничего не обновлял и тут, вдруг, какие-то файлы получили изменения.

Ну и, необходимо иметь актуальную копию базы данных. То есть, безусловно, вы должны скопировать себе не только файлы, но и содержимое вашего сайта. Содержимое хранится в базе данных.

То есть, что вы должны сделать — вы должны сделать полный экспорт базы данных себе на жесткий диск в качестве файла. Как это делать? https://goo.gl/8549Mx — это ссылка на официальное руководство WordPress, в зависимости от того, каким вы хостингом пользуетесь, нужно зайти и сделать актуальную копию базы данных.

Если вы хотите использовать какие-то плагины резервного копирования, которые упрощают данный процесс, то нет проблем. Ну, в принципе, я от этого отошел, потому что все вразумительные хостинги делают автоматическое резервное копирование как файлов сайта, так и базы данных. Главное вам — убедиться в том, что ваш хостинг тоже делает резервную копию и узнать, с каким интервалом происходит это резервное копирование.

Копию базы данных надо делать в зависимости от того, как часто вы вносите изменения на ваш сайт. То есть, чтобы не потерять свежие публикации, потому что файлы сайта вы не так часто изменяете, как добавляете контент.

И таким образом, в случае выявления проблем в работе вашего сайта, вы всегда можете вернуться на какой-то момент нормального состояния, и с него снова начать развивать ваш сайт. Главное — не забывать о наборе опасностей, о которых мы говорили в начале.

Спасибо за внимание, до встречи.

1 Star2 Stars3 Stars4 Stars5 Stars (Блииин(( ... еще нет оценок)
Загрузка...

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *