Пока гром не грянет…
Все знают о том, что защита для сайта необходима. Его нужно защищать от взлома, от спама, от всевозможных атак. Но очень часто мы пренебрегаем такой защитой думая, что она нам не требуется. Вот и я долгое время не уделял должного внимания защите своего блога на WordPress.
«Секретных данных на нем нет, посетителей пока немного. Кому нужно атаковать мой сайт». Так я думал, хотя знал, что атаки на сайты осуществляют не конкретные люди, а компьютерные программы.
Сначала возросло количество спама. Плагин Akismet исправно работал и отправлял в спам по несколько сотен записей в сутки.
Но в один прекрасный момент я обнаружил, что мой сайт оказался заблокирован. После проверки почты от хостинг-провайдера выяснилось, что было уже три предупреждения о превышении нагрузки на сервер. Причем пиковая нагрузка приходилась на файлы, которые якобы находились в папке wp-content, но, на самом деле, таких файлов там быть не могло.
Мне предлагалось для решения проблемы либо перейти на другой, более дорогой, тарифный план, либо оптимизировать программное обеспечение, установленное на сайте.
Так я понял, что необходимо всерьез заняться защитой своего блога.
Плагин iThemesSecurity
Для базовой защиты сайта на движке WordPress необходимо предпринять ряд действий. Но, оказывается, все можно сделать с помощью одного плагина. Это плагин iThemesSecurity, одно из самых мощных средств для защиты WP-сайтов. Не так давно произошло крупное обновление и смена названия этого плагина. Раньше он назывался BetterWPSecurity. iThemesSecurity – самый эффективный плагин для защиты сайтов на WordPress от всевозможных атак. Эта защита осуществляется более чем 30 способами.
Первая группа функций плагина скрывает или удаляет потенциально опасные объекты сайта.
- Меняется URLстраницы входа в админ-панель. По умолчанию этот адрес всегда одинаков – sitename/wp-login.php. Плагин предлагает сделать другой, удобный вам адрес, например sitename/voiti.
- Вход в админку можно заблокировать в определенное время, например, ночью, когда вы не работаете с сайтом.
- Удаляются все записи, позволяющие определить тип и версию движка (metaname =”generator”).
- По умолчанию, логин администратора WordPress всегда “admin”. Для взлома подбирать нужно только пароль. Поэтому iThemes Security настоятельно требует сменить логин.
- Можно изменить установленные по умолчанию ID (1) администратора и префикс (wp_) таблиц баз данных. Но делать это лучше на новом сайте.
- Также при создании сайта желательно сразу изменить имя директории wp-content, на уже работающем сайте это сделать сложнее. Это еще раз говорит о том, что о защите сайта нужно беспокоиться в первую очередь.
Вторая группа функций включает в себя различные методы защиты. Она включает в себя:
- сканирование сайта с последующим сообщением о местах, имеющих уязвимости;
- блокировка ботов и проблемных IP-адресов;
- блокировка пользователей в случае нескольких неудачных входов в админ-панель для защиты от перебора паролей;
- кстати, iThemesSecurity принуждает пользоваться надежными паролями;
- защита файловой системы и БД от всевозможных атак.
Важнейшей функцией плагина является создание резервных копий БД для последующего восстановления сайта. Сохранение БД можно настроить по расписанию (например, раз в сутки). Но, к сожалению, файлы сайта можно резервировать только с помощью платного сервиса компании iThemes.
Таковы основные возможности этого прекрасного плагина. После его установки и настройки нагрузка на сервер опустилась до нормального уровня, резко сократилось количество спама.
Недостатком плагина можно считать отсутствие перевода на русский язык, но в сети можно найти инструкции по его настройке на русском, например на сайте Александра Майера.
Пользуясь этой инструкцией, вы можете досконально настроить плагин.
P. S. Хочу дополнить статью сообщением о выходе нового курса, в котором глубоко и всесторонне описывается защита сайта на движке WordPress. Рекомендую вам видеокурс А. Борисова и Ю. Колесова
«Тотальная защита WordPress»
Хорошая статья, много полезного.
Классный плагин, самая клевая функция в нем это смена страницы входа в админку.
Владимир, рад заочному знакомству! И благодарю за упоминание моей инструкции по плагину iThemes Security.
Если позволите, оставлю одну ссылку — это перевод данного плагина, автором которого выступила блогер Жанна Лира (_http://zhannalira.ru/blogovedenie/plagin-ithemes-security-na-russkom/). Перевод (файлы локализации) она раздает совершенно безвозмездно. Думаю, новичкам он будет весьма кстати, и с его помощью будет легче «оседлать» этот плагин =)
Александр, я тоже рад, что Вы заглянули на мой блог!
Спасибо за ссылку, я знаю блог Жанны Лиры, но на этот перевод не обратил внимания.
Защита должна быть приоритетной задачей каждого, кто имеет свой сайт/блог…
Автору респект за статью о безопасности.
Но это лишь базовые способы (меры) защиты… Увы, это отпугнёт лишь «школьников», люди посерьёзнее будут ломать вас чуть иначе
Кстати, проверил этот сайт на уязвимости — здесь есть над чем работать (автору на заметку).
Андрей, в целом согласен с вами. Но все же отчему, что именно iThemes Security дает весьма полноценную защиту, в т.ч. и не только от «школьников». По сути — это такой комбайн, который сочетает в себе множество функций, включая самое главное — хотя бы частичный функционал (вполне себе неплохой на этом уровне) WAF.
Безусловно, безопасность — это не «одна кнопка» или «один плагин», а целый комплекс мер. Порвется одно звено в цепочке — грош цена всей защите. Ну и да, если кому-то захочется, сломают все (не говоря уж о WP-сайтах), тут я с вами совершенно согласен =)
—
PS: Адмиред… как же я его любил до смены на новый =) Жаль разрабы его забросили.
Полезная информация. Защита блога єта важная часть в веб программиста. Жалко что у меня блог на блогспот, то все же полезную информация для себя взял. Уверен что в будущем понадобиться . Спасибо за статью Владимир.
Сергей, почему жаль? Зато вам не надо заботиться о безопасности со стороны сайта/сервера — за вас это делает сам блогспот =)