Как обезопасить блог на WordPress
Безопасность в Интернете 2 апреля 2012г.
А вы обезопасили свой блог?
Безопасность – благо цивилизации, которое мы воспринимаем как само собой разумеющееся в жизни. В Интернете ситуация с точностью до наоборот: повсюду опасности: вирусы, трояны, фишинг.
Однако если мы взглянем на ситуацию по-другому, в жизни нас тоже окружают вирусы, бактерии и инфекции. Как мы боремся с ними? Элементарной гигиеной, прививками, нормами поведения в обществе.
Эта статья открывает новую рубрику статей по безопасности блогов на WordPress и самих блоггеров в Интернете. Цель – выработать у блоггеров определенную культуру поведения в Интернете для профилактики неблагоприятного воздействия кибер-угроз.
Уязвимые места блога на WordPress
WordPress, как и другие CMS – набор файлов + база данных. Если не теоретизировать об изощренных угрозах, наиболее распространено следующее:
- Вредоносный код внедряется в файлы шаблона блога.
- Внедряется в один из плагинов (бывает, что присутствует там изначально).
- Вписывается в посты блога (возможно и во все сразу).
Обычно вирус на блоге представляет собой часть кода PHP или JavaScript, который дописывается в конец файла или поста. Опытный программист может найти недавно обновившиеся файлы и вырезать из них вредоносный код.
Но более правильно вместо подобных хирургических вмешательств выполнять ряд рекомендаций, которые можно рассматривать прививку или профилактику.
Права доступа к файлам темы блога
К каждому файлу или папке на хостинге даны определенные права доступа на запись, чтение и выполнение. В настоящий момент немного осталось программистов-эксперементаторов, которым нужны все права доступа, а в большинстве преобладают обычные владельцы CMS. Но возможности для работы небезопасных скриптов на хостингах остались, часто они используются для заражения фалов блога.
Измените права доступа к файлам темы (Chmod) на 444 (Все пользователи имеют только права на чтения). Этим вы запретите редактировать файлы темы всем типам пользователей, и вписать в файлы темы вредоносный код будет намного сложнее.
Изменить права вы сможете при помощи файлового редактора в панели управления хостингом или с помощью FTP клиента (FileZilla, FlashFXP, Total Commander).
Внимание! Данная настройка не позволит редактировать файлы темы в админ-панели блога.
Чистоплотность в выборе плагинов и шаблонов
Существует десятки тысяч плагинов и шаблонов для WordPress, многие блоггеры постоянно меняют, пробуют, тестируют новые. Для таких, очень важно быть аккуратными в выборе мест скачивания оных.
Для злоумышленников очень просто выложить в свободный доступ новые плагины или темы, предварительно вписав в них вирус. Часто такие зараженные архивы передаются из «рук в руки», не подозревая скрытой в них опасности.
Загружайте темы или плагины с WordPress.org или с официальных источников (например, с сайта разработчика популярного плагина или темы).
Имейте резервные копии шаблона и базы данных
Если случилось так, что ваш блог заражен вирусом, профессиональный программист сможет «вычистить» файлы. Но любой новичок сможет просто переустановить темы на блог, удалить старые файлы и закачать резервную копию.
Более сложная ситуация с базой данных блога, ее не так просто восстановить. Но если вы регулярно делаете ее резервные копии, вы сможете все восстановить.
Резервная копия файлов темы – zip архив с файлами темы (в таком формате вы сможете обновить тему из админ-панели). Достаточно сделать архив один раз и обновлять его после каждой переделки темы блога.
Резервная копия базы данных – дамп базы данных, который нужно делать регулярно (минимум 1 раз в неделю). Можно вручную через MyPHPAdmin, но более удобно — через специальный плагин (например, WordPress Database Backup).
Надежные пароли и логины
Каждый сайт стремится научить пользователей выбирать надежные пароли, но по моему опыту, нам еще далеко до всеобщего понимания.
Если у вас логин от блога «admin», а пароль типа «max123» – взлом вашего блога вопрос времени!
Измените стандартный логин от панели администрирования, это не только безопаснее, но и намного приятнее вводить не «admin», а что-то вроде «brilliant», «lucky», «talent».
Измените пароль от блога на надежный, длиной более 7 символов (например «MaX_456#1») и меняйте пароль минимум каждый квартал.
И еще раз повторюсь: намного лучше уметь не восстанавливать блог после атаки, а придерживаться простых правил, чтобы не подхватить заразу.
Еще статьи по теме:
|
|
|
|
Полезная статья. Резервную копию баз данных делаю каждую неделю с помощью плагина.
Очень актуальная тема! Спасибо,Евгений!
Доброго времени суток Евгений.Спасибо за информацию о смене кода доступа к темам движка.Может еще и файл php подскажете, где менять(я сильно новичек)?А установка плагина AntiVirus что-нибудь к безопосности блога реально добавляет?Или можно удалять?Вы про это вообще не упоминаете.
Светлана, если вы «сильно новичок» лучше вначале получить представление о структуре файлов WordPress на хостинге, а потом уже менять права доступа. Иначе % риска что вы сами что-то испортите весьма высок.
Про плагины еще будет пост. Большинство плагинов для WordPress требуют настройки (помимо установки) если их просто установить и ждать что они сами настроятся наилучшим образом — результат может быть хуже чем до установки.
Спасибо,Евгений,за статью.Воспользуюсь вашими советами!
Спасибо, Жень! Полезные советы, уже пошел внедрять ! :) Если еще более подробно опишешь и другие способы избежать вирусных атак, такие как например, прописанный вирус в файл формата exe (эл. книгу), закаченную на хостинге, то будет просто супер. Недавно стал жертвой такой атаки.
С уважением, Денис Панов!
Спасибо за статью! Вовремя и полезно!
Использую шаблоны исключительно собственного изготовления.
Спасибо, Евгений за предупреждение! Резервную копию уже делаю один раз в неделю, обращу внимание и на другие пункты.
Очень хорошая статья, буду теперь следовать всем правилам!
Благодарю за статью. Она помогла понять глюки на компе.
Евгений, спасибо!
Я как раз столкнулся с таким делом. При открытии блога, а затем при открытии любого поста антивирусник выдавал сигнал о заражении трояном. Пришлось менять тему. Сейчас всё нормально. Но так как я долго разбирался с этим, то в поисковых системах начало проходить предупреждение об опасности блога. Как теперь от этого избавиться? Кстати предыдущая тема была от Артёма Беляйкина.
Сергей, тему можно почистить от вредоносного кода и вернуть. Можно просто подождать, пока роботы определят что сайт снова чист, или же в сервисах Яндекс.Вебмастер и Инструменты для веб-мастеров Google подать запрос на проверку сайта.
Я б рекомендовал еще установить несколько плагинов, отвечающих за защиту WP от многократных попыток подбора пароля, для защищенного соединения с админкой и для слежения за изменениями в файлах блога. Если есть регистрация пользователей полезно еще отслеживать также их действия на своих аккаунтах
Евгений, а можно ли проверить блог, на предмет заражения вирусами?
Спасибо за информацию. Она сейчас как никогда актуальна для меня. А сделать бэк-ап сайта — на это много времени уходит?
Читаю на сайтах о смене логина и пароля. Способов предлагают несколько и все труднопонимаемые.Какой способ Вы применяете?