Как обезопасить блог на WordPress

Как обезопасить блог на WordPress

А вы обезопасили свой блог?

Безопасность – благо цивилизации, которое мы воспринимаем как само собой разумеющееся в жизни. В Интернете ситуация с точностью до наоборот:  повсюду опасности: вирусы, трояны, фишинг.

Однако если мы взглянем на ситуацию по-другому, в жизни нас тоже окружают вирусы, бактерии и инфекции. Как мы боремся с ними? Элементарной гигиеной, прививками, нормами поведения в обществе.

Эта статья открывает новую рубрику статей по безопасности блогов на WordPress и самих блоггеров в Интернете. Цель – выработать у блоггеров определенную культуру поведения в Интернете для профилактики неблагоприятного воздействия кибер-угроз.

Уязвимые места блога на WordPress

WordPress, как и другие CMS – набор файлов + база данных. Если не теоретизировать об изощренных угрозах, наиболее распространено следующее:

  • Вредоносный код внедряется в файлы шаблона блога.
  • Внедряется в один из плагинов (бывает, что присутствует там изначально).
  • Вписывается в посты блога (возможно и во все сразу).

Обычно вирус на блоге представляет собой часть кода PHP или JavaScript, который дописывается в конец файла или поста. Опытный программист может найти недавно обновившиеся файлы и вырезать из них вредоносный код.

Но более правильно вместо подобных хирургических вмешательств выполнять ряд рекомендаций, которые можно рассматривать прививку или профилактику.

Права доступа к файлам темы блога

К каждому файлу или папке на хостинге даны определенные права доступа на запись, чтение и выполнение. В настоящий момент немного осталось программистов-эксперементаторов, которым нужны все права доступа, а  в большинстве преобладают обычные владельцы CMS. Но возможности для работы небезопасных скриптов на хостингах остались, часто они используются для заражения фалов блога.

Измените права доступа к файлам темы (Chmod) на 444 (Все пользователи имеют только права на чтения). Этим вы запретите редактировать файлы темы всем типам пользователей, и вписать в файлы темы вредоносный код будет намного сложнее.

Изменить права вы сможете при помощи файлового редактора в панели управления хостингом или с помощью FTP клиента (FileZilla, FlashFXP, Total Commander).

Внимание! Данная настройка не позволит редактировать файлы темы в админ-панели блога.

Чистоплотность в выборе плагинов и шаблонов

Существует десятки тысяч плагинов и шаблонов для WordPress, многие блоггеры постоянно меняют, пробуют, тестируют новые. Для таких, очень важно быть аккуратными в выборе мест скачивания оных.

Для злоумышленников очень просто выложить в свободный доступ новые плагины или темы, предварительно вписав в них вирус. Часто такие зараженные архивы передаются из «рук в руки», не подозревая скрытой в них опасности.

Загружайте темы или плагины с WordPress.org или с официальных источников (например, с сайта разработчика популярного плагина или темы).

Имейте резервные копии шаблона и базы данных

Если случилось так, что ваш блог заражен вирусом, профессиональный программист сможет «вычистить» файлы. Но любой новичок сможет просто переустановить темы на блог, удалить старые файлы и закачать резервную копию.

Более сложная ситуация с базой данных блога, ее не так просто восстановить. Но если вы регулярно делаете ее резервные копии, вы сможете все восстановить.

Резервная копия файлов темы – zip архив с файлами темы (в таком формате вы сможете обновить тему из админ-панели). Достаточно сделать архив один раз и обновлять его после каждой переделки темы блога.

Резервная копия базы данных – дамп базы данных, который нужно делать регулярно (минимум 1 раз в неделю). Можно вручную через MyPHPAdmin, но более удобно — через специальный плагин (например, WordPress Database Backup).

Надежные пароли и логины

Каждый сайт стремится научить пользователей выбирать надежные пароли, но по моему опыту, нам еще далеко до всеобщего понимания.

Если у вас логин от блога «admin», а пароль типа «max123» – взлом вашего блога вопрос времени!

Измените стандартный логин от панели администрирования, это не только безопаснее, но и намного приятнее вводить не «admin», а что-то вроде «brilliant», «lucky», «talent».

Измените пароль от блога на надежный, длиной более 7 символов (например «MaX_456#1») и меняйте пароль минимум каждый квартал.

И еще раз повторюсь: намного лучше уметь не восстанавливать блог после атаки, а придерживаться простых правил, чтобы не подхватить заразу.


Понравилась статья? Подпишитесь на рассылку блога или
Get Adobe Flash player
Комментарии к записи "Как обезопасить блог на WordPress"
А что Вы думаете по этому поводу?

Хотите чтобы ваше фото было видно в комментариях? Зарегистрируйте аватар.

  1. Полезная статья. Резервную копию баз данных делаю каждую неделю с помощью плагина.

  2. Валентина:

    Очень актуальная тема! Спасибо,Евгений!

  3. Доброго времени суток Евгений.Спасибо за информацию о смене кода доступа к темам движка.Может еще и файл php подскажете, где менять(я сильно новичек)?А установка плагина AntiVirus что-нибудь к безопосности блога реально добавляет?Или можно удалять?Вы про это вообще не упоминаете.

    • Светлана, если вы «сильно новичок» лучше вначале получить представление о структуре файлов WordPress на хостинге, а потом уже менять права доступа. Иначе % риска что вы сами что-то испортите весьма высок.

      Про плагины еще будет пост. Большинство плагинов для WordPress требуют настройки (помимо установки) если их просто установить и ждать что они сами настроятся наилучшим образом — результат может быть хуже чем до установки.

  4. Спасибо,Евгений,за статью.Воспользуюсь вашими советами!

  5. Спасибо, Жень! Полезные советы, уже пошел внедрять ! :) Если еще более подробно опишешь и другие способы избежать вирусных атак, такие как например, прописанный вирус в файл формата exe (эл. книгу), закаченную на хостинге, то будет просто супер. Недавно стал жертвой такой атаки.

    С уважением, Денис Панов!

  6. Спасибо за статью! Вовремя и полезно!

  7. Использую шаблоны исключительно собственного изготовления.

  8. Спасибо, Евгений за предупреждение! Резервную копию уже делаю один раз в неделю, обращу внимание и на другие пункты.

  9. Очень хорошая статья, буду теперь следовать всем правилам!

  10. Благодарю за статью. Она помогла понять глюки на компе.

  11. Евгений, спасибо!
    Я как раз столкнулся с таким делом. При открытии блога, а затем при открытии любого поста антивирусник выдавал сигнал о заражении трояном. Пришлось менять тему. Сейчас всё нормально. Но так как я долго разбирался с этим, то в поисковых системах начало проходить предупреждение об опасности блога. Как теперь от этого избавиться? Кстати предыдущая тема была от Артёма Беляйкина.

  12. Я б рекомендовал еще установить несколько плагинов, отвечающих за защиту WP от многократных попыток подбора пароля, для защищенного соединения с админкой и для слежения за изменениями в файлах блога. Если есть регистрация пользователей полезно еще отслеживать также их действия на своих аккаунтах

  13. Евгений, а можно ли проверить блог, на предмет заражения вирусами?

  14. Спасибо за информацию. Она сейчас как никогда актуальна для меня. А сделать бэк-ап сайта — на это много времени уходит?

  15. Читаю на сайтах о смене логина и пароля. Способов предлагают несколько и все труднопонимаемые.Какой способ Вы применяете?