Как защитить свой блог на Wordpress: 12 незаменимых плагинов для защиты

11.01.2010 Автор: Ksana Рубрика: Безопасность Один отзыв »

Продолжение поста "Как защитить свой блог на Wordpress: 12 необходимых способов защиты".

Защитите администраторскую часть сайта.

Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Чтобы этого не произошло, используйте плагин AskApache Password Protect.

Этот плагин, создает файлы .htpasswd и .htaccess в главных папках сайта, в которых приписывает логин и пароль, дополнительно установленные Вами и запрашивает их каждый раз при попытке получить доступ к админке.

Ну, вот, теперь в админку, не зная пароля, скорее всего никто не попадет.
Измените префикс таблиц в базе данных WordPress.

По умолчанию префикс WordPress таблиц - wp_, то есть все таблицы в базе начинаются с этих символов.

Большинство ботов, использующих SQL-инъекцию (SQL-Injections) уязвимости, применяют стандартные имена таблиц. Изменив их префикс, мы снизим риски взлома сайта хакерскими ботами и самими хакерами.
- Если WordPress еще не установлен, то необходимо отредактировать файл wp_config.php.
  
  Найдите строку:
```
$table_prefix = 'wp_';
```
  И поменяйте ее на:
```
$table_prefix = 'myprefix_';
```
  Дальше можно установить Wordpress обычным способом.
- Если, WordPress уже установлен, то потребуется вручную переименовать все существующие в базе WordPress таблицы, выполнив для каждой таблицы SQL запрос:
```
RENAME TABLE wp_categories TO myprefix_categories;
```
  Имена и количество таблиц зависят от установленной версии WordPress. Но, обычно, их десять:
```
wp_categories, 
wp_comments, 
wp_link2cat, 
wp_links, 
wp_options, 
wp_post2cat, 
wp_postmeta, 
wp_posts, 
wp_usermeta, 
wp_users.
```
  Поменяйте, также, несколько записей в таблице wp_options (myprefix_options):
```
UPDATE myprefix_options SET option_name=’myprefix_user_roles’ WHERE option_name=’myprefix_user_roles’ LIMIT 1;
 
UPDATE myprefix_options SET option_name=’myprefix_autosave_draft_ids’ WHERE option_name=’myprefix_autosave_draft_ids’ LIMIT 1;
 
UPDATE myprefix_options SET option_name=’myprefix_user_level’ WHERE option_name=’myprefix_user_level’ LIMIT 1;
```
А можно не париться и установить плагин WP-Prefix-changer, который сделает все автоматически.

Внимание!
Прежде, чем выполнить любые действия с базой данных, обязательно сделайте бэкап вашей базы.
Контролируйте доступ в админку
Для этого существует полезный плагин Login LockDown. Он помогает защититься от подбора пароля и логина к админке, фиксируя все IP, с которых пытаются получить доступ к админской части.

Если попытки попасть в админку происходят неоднократно – плагин интерпретирует их как брутфорс-атаки и блокирует IP, с которых они совершаются. Количество неудачных попыток и время блокировки настраиваются в параметрах плагина.
Следите за состоянием файлов движка.
Всегда полезно узнать первым о том, что в какой-то файл внедрен посторонний код (вирус и т.п.) и принять соответствующие меры. В этом нам может помочь плагин Belavir, который покажет, какие файлы вордпресса или вашей темы изменились.

Информация об измененных файлах отобразится в «Панели управления» на странице «Доска объявлений» в колонке «Текущее состояние блога».
Защитите свой сайт от XSS-атак.

Во всех версиях WordPress (да и всех других движках) есть дыры. К сожалению, не все они найдены и известны. Злоумышленник может обнаружить уязвимость и сформировать специальный запрос к вашему сайту и тем самым, например, получить админский доступ. А что он может сделать, зайдя в админку, сложно даже представить.

Чтобы защитить свой сайт от таких непрошенных гостей, скачайте плагин anti-xss-attack - и установите его. Плагин не нуждается в настройке и начинает работать сразу же после активации.
Проверьте ваш Wordpress на возможные уязвимости при помощи дополнения
WP Security Scan.

Главной задачей плагина является сканирование установленной версии системы и проверка ее на возможные прорехи в безопасности. Этот плагин считается одним из лучших по обеспечению безопасности сайтов на WordPress. Он проверяет большое количество параметров безопасности, начиная от версии WP и заканчивая разрешением доступа к файлам и безопасностью базы данных.

После чего он выдает список рекомендуемых действий и по вашей команде сможет выполнить корректировку для уменьшения рисков взлома вашего сайта.

В Интернете можно найти подробное описание работы плагина WP Security Scan, поэтому я не буду писать об этом. Прочитайте, например, здесь http://tods-blog.com.ua/
Защитите ваш сайт от вирусов.
Вирусы, черви и вредоносные программы могут быть внедрены в WordPress и способны нарушить работу вашего сайта. Чтобы этого не случилось установите плагин antivirus для WordPress. Он мониторит состояние сайта и предупреждает о любых возможных нападениях.

Этот плагин русифицирован. Кроме того, его можно настроить автоматически проводить ежедневное сканирование антивирусом и отправлять отсчет на e-mail администратора.
Отключите сообщения об ошибках

Сообщения об ошибках, как правило, содержат много полезной информации не только для вас, но и для желающих взломать наш сайт. Поэтому, лучше их отключить. Для отключения сообщений об ошибках удобно использовать плагин bs-wp-noerror.
Используйте SSH/Shell доступ вместо FTP

Если кто то получит данные доступа к вашему сайту из Вашего FTP-клиента (а они находятся там в незашифрованном виде), то одновременно он получит полное управление над всеми файлами на Вашем сервере. Поэтому, если хостинг предоставляет Shell-доступ, обязательно воспользуйтесь этой возможностью.

Shell-доступ реализуется по протоколу https. Им можно пользоваться и для входа в WordPress.

Для реализации Shell-доступа существуют плагины bs-wp-https и force-ssl.

Для Shell-доступа можно, также, использовать программы Putty или Winscp (для Windows). Пароль в этих программах шифруется.

Далее нужно полностью закрыть доступ к сайту по FTP. Для этого в корне сайта создайте файл .ftpaccess, в котором пропишите такой код:
```
<Limit ALL>  
Deny from all  
</Limit>
```
Специальное предупреждение:

Не используйте программу TotalComander для соединения по FTP - через нее очень просто украсть пароли. Есть несколько неплохих программ для работы по FTP. Если ваш хостер не предоставляет Shell-доступ, пользуйтесь лучше ими.

Анонс: Скоро вы сможете прочитать на моем блоге обзор лучших бесплатных FTP-клиентов.
Защитите свой блог от спама.

Для этого существует классный плагин wp-spamfree, действующий против автоматического спама. Я уже писала о нем.

Качайте здесь.
Регулярно делайте бэкап вашей базы данных.

Если же все выше написанное не помогло и сайт все-таки был взломан, для его восстановления нужен будет бэкап базы данных. Позаботьтесь о том, чтобы сделать его заранее. Для этого можно использовать плагин WordPress Database Backup.

Его можно настроить так, что архив базы данных вашего блога будет автоматически приходить к вам на e-mail ежедневно или еженедельно по вашему выбору.

Кроме базы данных, сохраните на жесткий диск своего компьютера папку с вашей темой, все плагины и все дополнительные файлы: .htaccess, robots.txt и wp-config.php.

Наличие всех этих файлов поможет вам быстро восстановить свой сайт в случае аварии на сервере или заражения вирусом.
Регулярно делайте бэкап вашего сайта.
Вот еще один плагин для бэкапа - BackUpWordPress.

Этот плагин делает не просто бэкап базы данных, а полную резервную копию всего вашего блога. Он сохраняет базу данных, плагины, файлы самого WP и файлы которые вы загружали в ваш блог. В нем есть множество настроек, касающихся автоматизации бэкапа, уведомления о сделанных бэкапах и восстановления из резервной копии. Вообщем, в плагине есть много интересных и полезных функций.