С развитием самой системы WordPress появляются атаки, вирусы и другие опасности, которые могут доставить массу неприятностей владельцам сайтов и интернет-магазинов. Что такое вирусы и как от них защититься?
Вредоносные программы, атакующие сайты на базе WordPress, ищут и используют любые уязвимости, прежде всего, в плагинах и шаблонах. Затем они "внедряют" специальный вредоносный код, который будет выполнять различные задачи в зависимости от типа вируса.
Однако прежде чем перейти к защите WordPress, необходимо понять, с чем мы можем иметь дело.
Вирусы на сайтах с движком WordPress
WordPress сам по себе является очень безопасной платформой. Над его разработкой трудятся программисты со всего мира, поэтому они могут очень быстро обнаружить возможную уязвимость в системе и немедленно ее устранить.
Если WordPress безопасен, то почему он является наиболее часто атакуемой вирусами платформой? WordPress – самая популярная система управления контентом, которую используют около 40% веб-сайтов по всему миру, поэтому она наиболее уязвима для всех типов атак. Слабым местом WordPress являются плагины и шаблоны, написанные как профессиональными компаниями, так и обычными пользователями.
Как проверить, заражен ли сайт вирусом
1. Необходимо зайти на свой сайт, просмотреть его, например, товары, категории, предложения, корзину и т.д. Если не происходит ничего странного, то есть не всплывают окна или не идет перенаправление на совершенно другую страницу. Иными словами, нужно убедиться, что с сайтом все в порядке.
2. С помощью FTP нужно найти в папках файлы с неизвестными и подозрительными именами. Например, такими:
46fr1s55p9_index.php
li5qszcoh4_index.php
3. Следует проверить основные файлы index.php, wp-config.php, wp-settings.php на наличие вредоносного кода. Для этого в редакторе файлов желательно включить отображение пробелов и табуляции.
4. Можно также проверить результаты поиска в Google для вашего сайта.
5. Не лишним будет установить программу поиска вредоносных программ, например, WebDefender Security – Protection & AntiSpam. С помощью этого плагина можно проверить, не скрываются ли на сайте вирусы. К сожалению, каждую найденную проблему необходимо индивидуально проверить и убедиться, является ли она вредоносной, поскольку часто бывает, что используемые плагины могут содержать код, который программа посчитает вредоносным.
Как защитить сайт на WordPress
Ниже приведен список профилактических мер, которые, безусловно, защитят и уменьшат вероятность заражения сайта вирусом. В зависимости от вида вируса или атакующих роботов, этих рекомендаций может быть недостаточно.
1. Хостинг
Одним из самых важных элементов любого веб-сайта является правильный выбор хостинга. Большинство владельцев сайтов, выбирая подходящий сервер руководствуются ценой или рекомендацией другого человека. Однако выбор не так прост.
Прежде всего, необходимо проверить, работает ли хостинг, а именно:
- установлена ли последняя версия PHP – в настоящее время 8.0;
- делаются ли копии баз данных и файлов, и есть ли свободный доступ к ним;
- есть ли у него защита от DDoS-атак.
Помимо проверки безопасности, стоит также проверить параметры (процессор, оперативная память, мощность, ограничения), которые предлагает сервер.
2. SSL-сертификат
SSL-сертификат шифрует любую информацию, передаваемую между браузером пользователя и веб-сайтом. Каждая профессиональная хостинговая компания предлагает бесплатные и платные SSL-сертификаты.
3. Обновления WordPress
Постоянно выходящие обновления WP не только включают ряд новых функций и возможностей, но и содержат важные исправления, связанные с безопасностью системы. Дополнения также должны быть обновлены. Именно плагины и шаблоны наиболее уязвимы для вирусных атак, поэтому их следует всегда обновлять, чтобы снизить риск.
4. Удаление ненужных плагинов и шаблонов
Если какие-то определенные плагины никогда не используются или используются очень редко, лучше удалить их! Это также касается и шаблонов – удалите их, если они не нужны.
Следует снижать риск везде, где это возможно, тем самым усложняя жизнь хакерам и роботам!
5. Скрытие версий WordPress и плагинов
WordPress по умолчанию отображает версию на исходной страницы, добавляя тег в разделе HEAD:
name="generator" content="WordPress 5.6.4"
В случае с плагинами WordPress добавляет? Ver = XX к URL-адресу файлов CSS и JS.
Отображение версий можно заблокировать, добавив соответствующий код в файл functions.php нашего шаблона.
6. Изменение паролей
Необходимо менять пароли для всех администраторов сайта раз в несколько месяцев.
7. Изменение логина администратора
Самый распространенный логин – admin, поэтому если ваш логин - admin, administrator или имя домена, то следует поменять его как можно скорее. Изменив этот параметр, уменьшается вероятность взлома сайта.
Как изменить логин в WordPress
Первый метод:
- войдите в базу данных через phpMyAdmin;
- найдите таблицу wp_users;
- найдите свою учетную запись, нажмите редактировать
- в столбце user_login измените старый логин на новый.
Второй метод:
- в панели WP добавьте нового пользователя, но обязательно с правами администратора;
- войдите в новую учетную запись;
- удалите старую учетную запись.
8. Изменение страницы входа в систему
По умолчанию можно войти на любой сайт WordPress, используя URL:
example.com/wp-login.php
example.com/wp-admin/
Поэтому для снижения атак с помощью плагина Limit Login Attempts есть возможность ограничить количество входов в систему и заблокировать пользователя на определенный период времени.
Однако если необходимо полностью обезопасить форму входа, можно изменить ее расположение с помощью плагина WPS Hide Login.
9. Блокирование доступа к файлам
Используя соответствующие правила в файле .htaccess, можно защитить внешний доступ к определенным файлам или папкам.
Корневая папка WP содержит файл xmlrpc.php и файл wp-config.php, которые хранят данные для базы данных MySQL, поэтому хорошей идеей будет дополнительно защитить эти файлы, добавив следующее правило в файл .htaccess, который находится в той же папке:
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>
Кроме того, в каталоге /wp-content/uploads/, если его нет, нужно создать файл .htaccess и добавить следующее правило, которое будет блокировать выполнение некоторых вирусов:
<Files ~ "\.ph(?:p[345]?|t|tml)$">
deny from all
</Files>
10. Отключение ненужных функций
WordPress предлагает множество различных функций, которые обычно редко используются, поэтому некоторые из них стоит отключить.
Если мы используем комментарии на сайте, стоит отключить первые два флажка в разделе "Настройки → Обсуждение".
Если вы не используете встроенные комментарии WordPress, стоит установить плагин Disable Comments.
11. Плагины безопасности
По мере того как растет число атак и вирусов на сайты, основанные на системе WordPress, многие компании выпустили дополнения, помогающие защититься от них.
Примерами плагинов являются: Wordfence Security, All In One WP Security & Firewall или iThemes Security.
Данные плагины в основном обеспечивают безопасность сайта, позволяют обнаружить вредоносное ПО или блокируют атаки. Единственным недостатком этих плагинов является возможное снижение скорости сайта.
12. Резервные копии
Регулярное резервное копирование обязательно, даже если хостинг-провайдер делает это самостоятельно. Иногда может возникнуть ситуация, что с его восстановлением возникла проблема или по каким-то причинам оно даже не было выполнено. Вот почему их все же лучше делать самому. Существует множество плагинов WordPress, создающих копии, но один из них стоит порекомендовать – UpdraftPlus, благодаря которому копии создаются автоматически и могут быть отправлены на другой сервер.