Здравствуйте, дорогие подписчики, друзья и те, кто случайно забежал на огонек. А хотите внезапно потерять все статьи, которые вы публиковали несколько лет? Нет, не хотите! Это ужас, другими словами не назовешь! Поговорим сегодня о серьезных технических вещах простым человеческим языком, чтобы даже блоггер начинающего уровня смог понять, что к чему. Защита WordPress от взлома — такая наша сегодняшняя тема беседы!
А нужна ли вам защита вообще?
Для начала я хочу поделиться с вами следующим наблюдением. Сейчас многие блоггеры очень озабочены вопросами безопасности. Они устанавливают множество плагинов и скриптов по защите своего сайта от вирусов, хакеров и других неприятностей. Но какой-то практической необходимости в этом нет.
Почему? Вот вам простое правило: чем менее посещаем веб-сайт, тем меньший интерес он представляет для недоброжелателей.
Давайте проведем аналогию. Кому в реальной жизни нужен телохранитель? Наверное, только тем, кто много зарабатывает, и о ком знают, что он много зарабатывает. Человеку среднего достатка или даже обладающего несколькими квартирами бодигарды уж точно не нужны.
Примерно такая же ситуация с веб-сайтами. Если вы только создали свой блог на Вордпресс, можете продолжать публиковать материалы. WordPress — это достаточно хорошо защищенная от взлома система управления контентом.
Но все же между людьми и сайтами есть разница. Дело в том, что взломщики иногда применяют немножко другой подход: они ставят процесс взлома на автомат, и под атаку попадают все сайты, вне зависимости от их посещаемости и авторитетности.
Как узнать, что сайт атакуют?
Предлагаю вам свои личную стратегию, которой я руководствуюсь, когда сталкиваюсь с какими-то проблемами. Для начала необходимо определить, с чем конкретно вы столкнулись:
● Вас уже взломали — это значит, что на страницах сайта появилась какая-то чужая информация (чаще всего ссылки), а также у вас может быть недоступен вход в админку. У меня такого опыта, признаюсь, не было.
● Вас пытаются взломать — об этом вы можете даже не подозревать. Ниже я расскажу о том, как это выявить. В этом случае, как говорят политики, нам понадобятся превентивные меры.
Пошаговая инструкция защиты веб-сайта от брутфорса
В большинстве случаев вебмастер узнает о том, что его веб-сайт взломан или пытаются взломать, когда получает письма от хостера. Вот, например, какое письмо пришло однажды мне.
У вас сразу же может возникнуть два чувства:
● Радость, ведь вполне возможно, что причина такой нагрузки — резкий скачок посещаемости.
● Тревога — вы понимаете, что вряд ли поисковики одарили вас таким потоком трафика, поэтому, скорее всего, причина в том, что кто-то устроил настоящую атаку. Например, брутфорс. Это — многократное обращение к какой-нибудь странице, например странице логина, идет перебор паролей с целью подобрать данные входа.
● Поэтому если вы такое письмо получили, то для начала зайдите в панель управления своим сайтом (я имею в виду не админку, а панель хостера) и посмотрите на нагрузку, которую ваш аккаунт создает на сервер.
● Далее вам понадобятся данные статистики. Файлы тоже можно найти в админке, называются они access_logs.php. Откройте этот файл в админке и найдите IP-адреса, которые повторяются. Это значит, что пользователь (или бот) с одного и того же адреса многократно пытается получить доступ. Вряд ли какому-то добропорядочному посетителю или даже подписчику понадобилось бы каждые сутки получать доступ к вашему веб-сайту каждую минуту!
● Теперь вам понадобится запретить доступ к сайту с данного IP-адреса. Делается это с помощью файла .htaccess. Он находится в корне вашего веб-сайта (понадобится подключиться по FPT).
Просто откройте этот файл в Блокноте и допишите строчку «Deny from 123.123.123.123», только вместо «123.123.123.123» укажите адрес IP, с которого поступают многочисленные запросы.
Таким образом вы защитите свой веб-сайт от чрезмерной нагрузки и подбора паролей недоброжелателями.
Сложно? Да, соглашусь, но это — самый лучший и надежный способ.
Простой способ защиты сайта от взлома
А почему бы нам с вами не воспользоваться автоматической возможностью? Да, это вполне возможно! Но я привел инструкцию выше, чтобы поняли, что к чему, а не просто слепо устанавливали плагины, ведь в некоторых случаях вебмастеру все равно приходится разбираться со всем вручную.
● Зайдите в админку WordPress, перейдите в раздел плагинов и введите в строку поиска All In One Wp Security. Это — отличный бесплатный плагин.
● Активируйте его и зайдите в меню, вас просто поразит то, насколько он многофункциональный. Например, он показывает насколько защищен веб-сайт, были ли попытки взлома, их количество, также количество активных пользователей, которые находятся в режиме онлайн. В общем, для того, кто изучает статистику своего веб-сайта, это — настоящая находка.
Я не буду детально расписывать настройки этого веб-сайта, так как не вижу в этом особой необходимости. Просто распишу, что он предоставляет на самом деле колоссальные возможности. В частности, вы сможете изменить префикс базы данных с wp на какой-либо другой, например, bd. Таким образом, вы здорово испортите жизнь разного рода ботам, которые просто не будут знать, куда им следует обращаться, то есть, на какую именно страницу вашего веб-сайта.
Советы по безопасности веб-сайта
А сейчас хочу поделиться с вами простыми и полезными советами по поводу того, как уменьшить вероятность взлома вашего веб-сайта и в целом защитить его от недоброжелателей. Ориентироваться буду на пользователей WordPress, хотя советы можно адаптировать для любого движка.
● Всегда обновляйте версию веб-сайта до последней. Вместе с разными изменениями в админке разработчики всегда вносят изменения в защиту от взлома. Дело в том, что хакеры не дремлют и всегда атакуют в первую очередь веб-сайты, которые базируются на старых CMS. Можно настроить автоматическое обновление WordPress и вообще не переживать по этому поводу.
● Используйте сложный и нестандартный пароль. Как вы поняли, основа безопасности — это защитить доступ к админпанели с помощью длинного пароля. Используйте не только буквы, но также цифры и специальные символы. Это проще простого, а преимущества предоставляются огромные. Если у кого-то взломали сайт на любом движке, скорее всего, злоумышленнику просто удалось подобрать пароль.
● Используйте услуги надежной хостинговой компании. Это универсальное правило для 2018, 2019 года и для всех последующих. Среди качественных хостеров Рунета могу выделить компанию Sprinthost, услугами которой лично пользуюсь. Есть и некоторые другие.
● Время от времени сканируйте веб-сайт на наличие вирусов и других вредоносных программ. Только прошу вас: не превращайте это в паранойю. Не надо каждый день начинать с мониторинга того, с каких ай-пи адресов к вам поступали запросы. Помимо прочих, могу выделить BulletProof Security. Это — плагин, который поможет защитить не только файлы, но и базу данных.
● Установите автоматическое копирование данных. Ох, сколько прекрасных веб-сайтов было потеряно только из-за того, что вебмастера не побеспокоились о том, чтобы сделать копию файлов и базы данных. Например, данный блог, на котором вы сейчас находитесь, — это результат многолетнего труда, в него вложены часы работы.
Но даже если его взломают, даже если разделегируют домен, или случится еще что-то более страшное, все статьи и изображения все равно останутся у меня в наличии. Это потому что у меня есть регулярно обновляемая копия сайта. Она хранится у меня на Гугл.Диске, а также на моем личном компьютере.
Конечно, Апокалипсис, при котором все электронные устройства выйдут из строя, не выдержит, но это и не требуется! Можете делать это вручную, можете настроить такую функцию в админке хостера. Также можно использовать один из бесплатных плагинов, например, BackUpWordPress.
● Не обновляйте и сразу удаляйте темы и плагины, которыми вы не пользуетесь. Дело в том, что любая установленная тема или плагин — это внешний код. Конечно, места они занимают немного, но в случае обновления могут параллельно захватить на ваш диск вредоносные куски кода. Зачем так рисковать? Установили тему, не понравилась — удаляйте. Попробовали плагин, нашли лучше — удалите предыдущий.
● Если вы заметили, что ваш сайт создает повышенную нагрузку на сервер, обязательно включите мониторинг статистики и попытайтесь вычислить IP-адреса, с которых идет атака. Запретите им доступ через файл .htaccess
В целом, хочу подчеркнуть еще раз. Не страдайте манией преследования и не покупайте никакие платные решения. Защитить свой веб-сайт можно самостоятельно и бесплатно. Но тут вы должны сами определиться с тем, что для вас актуально. Я помню, когда-то потратил пару дней на то, чтобы разобраться с тем, как отбить брутфорс-атаку, сейчас понимаю, что гораздо более грамотным было бы заплатить фрилансеру 15 долларов!
Так что определяйте сами, что для вас ценнее — приобретение опыта и трата времени, или создание контента и перепоручение решения данных вопросов профильным специалистам.
Я хочу вам, кстати, посоветовать курс «Как создать свой сайт». Его автор Василий Блинов не только познакомит вас с основами успешного и прибыльного вебмастеринга, но также поделится своим видением вопросов безопасности. Настоятельно рекомендую, так как сам являюсь его подписчиком!
Прошу вас подписаться на обновления моего блога, поделиться ссылкой со своими друзьями и оставить комментарий.
Очень, очень познавательно и интересно!
Спасибо за полезную статью! Узнала новую информацию.
Спасибо за полезную статью! Узнала новую информацию для себя.
Спасибо, очень познавательно.
Спасибо за информацию. Очень актуальна и полезна.
Безопасность, уже готового сайта — на первом месте!