Всем привет!
В этой статье мы поговорим с вами о безопасности, исправим некоторые настройки и сделаем всё, чтобы доступ к нашей админке не был получен разного рода вредителями.
Приготовьтесь, мы начинаем!
Зачем нам это нужно?
Не хочу долго здесь расписывать многие вещи, но продемонстрирую вам всё, что хочу сказать на примере одной ситуации.
Представьте, что вы наполнили свой сайт контентом, либо же у вашего знакомого есть личный блог, сайт какого-нибудь интернет магазина.
Вы не позаботились о том, чтобы закрыть админку от внешнего посещения и оставили всё так, как изначально есть.
В один прекрасный день, кто-то подбирает ваш логин и пароль от админки.
Теперь, у подобравшего данные, есть полный доступ к контенту сайта, установленным плагинам и темам, а также к платёжным данным, если вдруг у вас магазин и вы используете платёжные модули.
Что может сделать злоумышленник?
Правильно. Изменить любые настройки на те, что нужны ему. Например поменять настройки платёжного шлюза, который вы подключили к wordpress. Ещё он может запустить с вашего сайта спам рассылку, разместить майнер или ещё какой-нибудь зловред. В общем, возможности злоумышленника в таком случае ничем не ограничены.
Проблема в том, что после этого вы, ничего сделать практически не сможете. Если только не отключите сайт и не измените множество настроек в базе данных / конфигурации. Также вам понадобится диагностика файлов сайта на вирусы, что вы сможете сделать только при должном уровне знаний.
А оно вам нужно?
Лично я думаю, что нет.
На данном этапе я дам вам только один совет:
Устанавливайте сложные пароли и не используйте в качестве логина admin.
Это сможет уберечь вас от взлома на некоторое время, пока вы будете заниматься безопасностью вашего сайта.
Шаг 1. Работа с vds или выделенным сервером.
Данный шаг подойдёт только тем, кто устанавливал wordpress на vds или на выделенном железе. Те, кто использует виртуальный хостинг, можете пропустить этот шаг и двигаться дальше.
Для начала вы должны изменить конфигурацию ssh на сервере, а именно:
- Изменить порт подключения со стандартного на какой-нибудь другой;
- Отключите возможность входить по паролю;
- сгенерируйте пару ключей и установите их на сервер.
Важно! Постарайтесь придумать такой порт, чтобы в нём не повторялись числа. Максимальный порт для назначения, 65535.
Также вы можете установить какой-нибудь дополнительный фаервол, для обеспечения усиленной защиты сервера. Думаю для начала csf вам подойдёт. Я рекомендую вам разобраться в настройке и установке fail2ban.
Также для полной безопасности, не передавайте никому данные от админки и сервера. Поверьте, это важно.
Мы переходим дальше!
Исправляем wordpress.
Лично я для обеспечения безопасности своего сайта использую “All In One WP Security”.
Мне хватает и бесплатной версии плагина. Одна из базовых рекомендаций от меня, установите его.
После установки, переходим к настройке, перед этим обязательно включив автоматические обновления.
Настройка плагина.
Всё здесь я описывать не буду, ибо считаю, что разберётесь сами. Его разделы будут находиться в меню.
Пройдите каждый раздел и настройте всё согласно своим потребностям.
Я лишь акцентирую внимание на некоторых настройках:
1. В разделе “настройки” мы обязательно отключаем отладку.
2. Там же отключите информацию о wordpress, закройте доступ к wp-config.php файлу, проверьте верно ли установлены права на сайте.
3. В разделе “Фаервол” включите базовые правила, активируйте дополнительные правила, включите защиту от поддельных ботов, настройте обнаружение 404 ошибок.
4. В разделе “Защита от брутфорс-атак” активируйте переименование страницы логина, также включите белый список и добавьте в него свой ip [Важно! Делайте это в том случае, если у вас есть статический адрес. В противном же случае, вы можете потерять доступ к админке сайта. Лично у меня для доступа к сайту используется отдельный vpn.], также реализуйте Предотвращение перебора на основе cookie. Это даст вам немного другую страницу логина. Лично я это использую как дополнительную меру защиты.
5. Обязательно активируйте все настройки в защите от спама.
6. Также проверьте раздел “Защита базы данных”. Там желательно изменить префикс установки wordpress.
Остальное я оставляю на разбор вам. Думаю вы справитесь с дальнейшей настройкой этого плагина.
Заключение.
Сегодня мы сделали wordpress относительно безопасным.
В данном материале я затронул далеко не все настройки, а также многое не рассказал. К остальному мы ещё подберёмся.
Пробуйте, настраивайте, экспериментируйте.
Да прибудет с вами стабильная работа сайтов!