На днях сражался за жизнь блога моего друга, а виной всему были халатные отношения к его безопасности…
Откуда проник вирус обнаружить так и не удалось, потому как практически ни один из ниже перечисленных советов по безопасности WordPress не исполнялся, в результате чего вирус был практически во всех функциональных файлах.
Правила безопасности
Для не допущения подобной ситуации соблюдайте 7 простых действий:
- Всегда обновляйте свой WordPress при выходе новой версии
Зачем это нужно делать? Новые версии выходят в основном для устранения уязвимости, найденных в более ранних версиях. - Удалите все плагины, которые не используете
Не нужно оставлять плагины если вы их не используете. - Установите плагины безопасности
WordPress-Firewall — плагин контролирует малейшие изменения в Ваших php-файлах, не дает возможности установки плагинов, деактивирует плагины если они не соответствуют безопасности.Внимание — контроль плагина распространяется даже для админа, поэтому при необходимости изменения файлов или установки новых плагинов деактивируйте в начале WordPress-Firewall.
Login LockDown — плагин, который ограничит количество попыток подбора пароля к админке блога.
- Никогда не храните пароли в FTP клиентах
Наиболее распространенная ошибка. В интернете полным-полно троянов, которые воруют пароли фтп-клиентов. К сожелению не все антивирусы способны их обнаружить. Поэтому лучше вводить каждый раз пароль, чем сносить полностью Блог или менять хостинг. - Установите права CHMOD
При закачке файлов CMS WordPress через ФТП на хостинг, права на папки и файлы устанавливаются автоматически в зависимости от особенностей хостинга. Но случается такое, что Вы сами иногда вручную меняете CHMOD файлов и папок. Чаще всего это файлы и папки Вашей темы. Не ленитесь изменять CHMOD обратно, потому как с правами 777 файлы Вашей темы уязвимы. Напомню, в большинстве случаев права CHMOD на все папки Вашего WP должны быть 755, на файлы 644. - Измените логин в aдмин панели
Это в несколько десятков раз усложнит задачу подбора пароля. - Регулярно делайте backup базы данных.
Вот пожалуй и все! Этого будет достаточно для безопасности Вашего WordPress блога.
5 Комментариев
Pander:
Ноя 12, 2012
Какая бы сильная защита не стояла, все равно найдется кто-то кто сможет обойти эту защиту
Иван:
Ноя 18, 2012
На счет паролей в FTP-клиентах хотел спросить — а нет ли какого-нибудь клиента (пусть даже платного), обеспечивающего защиту от воровства паролей?
И еще. А не проще ли вообще не использовать CMS? Иногда без нее обойтись нереально, но в половине случаев ведь можно в HTML и CSS разработать одну страницу и на этом шаблоне построить весь сайт. Взломать его будет очень сложно.
Анатолий:
Дек 1, 2012
А как поменять логин в админ панели? У меня он не меняется.
Вестовой:
Дек 1, 2012
Пожалуй самый простой способ сменить логин в WordPress, это создание нового пользователя:
— из админ. панели перейдите в «Пользователи» -> «Добавить нового»;
— введите новый логин, пароль, ваш e-mail и в выпадающем окне «Роль», выберите «Администратор»;
— нажмите «Добавить нового пользователя»;
— выйдите из админ. панели и войдите за нового пользователя;
— перейдите в «Пользователи» -> «Все пользователи» и удалите пользователя со старым именем;
— после этого привяжите все старые записи к новому пользователю.
Так же логин можно поменять, редактируя таблицу wp_users БД MySQL, и при помощи SQL запроса. Тут уже появляются небольшие трудности :)
Лев:
Дек 8, 2012
Можно просто в административную директорию закинуть htaccess файл, в котором будут введены ограничения на открытие всей директории и будет добавлена фильтрация всех регулярных выражений :)