Захист сайту на Wordpress

захист

На жаль, проблеми вебмайстра не закінчуються поганою SEO оптимізацією та потраплянням під фільтри пошукових систем. Як не крути, а завжди будуть недоброзичливці, які захочуть нажитися на вашому ресурсі або зламати його. Це можуть зробити як розумні хакери, так і прості користувачі, якщо ви не встежили за якоюсь діркою в системі. Тому важливо подбати про безпеку майданчика та захистити його від зломів. З вами знову Максим Матвєєв, а сьогодні ми поговоримо про захист сайту.

Надалі я більше дбав про безпеку в мережі. Хоча за свою кар'єру я зустрівся з багатьма проблемами і неодноразово був під атаками зловмисників, поки мені вдалося уникнути проблем.

Небезпека в мережі

Існує безліч небезпек проти яких спрямований захист сайту на WordPress. Далеко не всі хочуть саме зламати ваш ресурс, а не, скажімо, скопіювати з нього весь контент.

Всі напрямки виділити важко, проте серед основних:

Перший і найчастіший напрямок — злом. Воно спрямоване отримання доступу до адмінці чи базі даних. Методів для цього буває маса, включаючи банальний підбір паролів, використання вразливостей двигуна, дірки в самому сайті та багато іншого.

Атаки найчастіше йдуть із метою «покласти» сервер, через що сайт перестане працювати. Найчастіше використовується звичайний метод DDOS, який створює таку кількість запитів, що сервер просто не встигає їх обробляти і перевантажується.

Копіювання контенту - найбільш нешкідливий, але все ж таки неприємний варіант. Якщо ваш контент скопіюють, його унікальність впаде. Хоча пошукові системи намагаються відстежувати першоджерело, для молодих майданчиків це може бути фатально.

Віруси – проблема, яку створює сам Вебмайстер. Найчастіше ними заражаються у процесі завантаження плагінів, шаблонів та движків із сумнівних джерел. Нерідко вони виникають під час копіювання js-блоків.

Це основні проблеми, які виникають по дорозі вебмайстра. Проте як із ними боротися? І тому є різні методи.

Як захистити сайт від злому та вірусів?

Від кожної небезпеки є свій метод захисту, який дозволяє запобігти діям зловмисника. І найпоширенішою небезпекою є злом. До цього можна зарахувати і віруси, які найчастіше використовуються для тієї ж мети, створюючи вразливість у системі.

Насправді більшість двигунів вже мають досить непоганий захист. Завдання вебмайстра лише в тому, щоб дати їй працювати і не створювати зайву вразливість. Тому можна не турбуватися про безпеку, просто дотримуючись обережності.

Серед основних правил, яким варто слідувати:

Найчастіше злом здійснюється банальним підбором паролів. Тому важливо використовувати унікальний набір букв, цифр та символів, які раніше не використовувалися. Зберігати ж таку комбінацію варто не в текстовому блокноті, краще використовувати для цього спеціальні менеджери або, куди краще, свою пам'ять.

  • Доступ до панелі адміністратора;

Доступ до адмінки має бути лише у адміністратора. Не можна давати його знайомим чи друзям, навіть якщо ви довіряєте їм. Зловмисники можуть отримати доступ через їхні комп'ютери. Але якщо ви навіть дали свій пароль, ну, наприклад, майстру для будь-яких цілей — підредагувати сайт, то після раби його терміново зміните.

  • Використання лише перевірених движків та шаблонів;

Дотримання цих правил дозволитьсуттєво знизити ризик злому. Варто пам'ятати, що хакер отримує доступ за допомогою "дір" у сайті - вразливостей. Чим менше, тим важче стає його завдання. Тому не нехтуйте оновленням двигуна та перевіркою елементів перед їх додаванням.

До речі про підбирання паролів. Найпростіший і найнадійніший варіант у цьому випадку – бан по IP на 5-15 хвилин після кількох спроб введення пароля. Хоча це можна обійти, але такий елементарний метод відразу відсіє безліч недоброзичливців. Для WordPress для цього є різні плагіни на кшталт Limit Login Attempts, але він уже 2 роки не оновлювався, але є й інші, наприклад, я користуюся - Wordfence.

З цим плагіном потрібно працювати дуже обережно, якщо не знаєте його налаштувань, зверніться до професіоналів, а то потім можуть бути проблеми, навіть з пошуковими системами. Так, мало не забув, плагін працює, як безкоштовно, так і платно з додаванням багатьох функцій, ну там блокатор по країнах і т.д.

Захист від атак та копіювання контенту

Атаки – популярна проблема вебмайстрів. Хоча вони трапляються не так часто, навіть найбільші ресурси можуть постраждати від цієї неприємності. Найчастіше це роблять із метою шантажу, вимагаючи гроші за припинення атаки, проте іноді такий метод використовують і прості заздрісники.

Як же захиститись від цього? В основному це завдання лягає на ваш хостинг. Багато великих хостерів пропонують захист від DDOS, здатний витримати масовані атаки на майданчик. Однак є сторонні сервіси, які дозволяють знизити навантаження на ресурс. Якщо захищатися самотужки, то для цього є безліч порад.

Я відзначу лише деякі:

  • При навантаженні відключати навантажені частини майданчика.
  • Блокувати IP по регіону.
  • Оптимізувати ресурсозбереження частини майданчика.

Однак поки що проект молодий, ризик атак мінімальний. Тому варто звернути увагу на іншу проблему — копіювання контенту.

Захиститися від цього можна кількома методами:

Це є проблемою лише в той момент, коли на індексацію ваших статей потрібно багато часу. Згодом вони індексуватимуться набагато швидше, тому недоброзичливці просто не встигнуть їх скопіювати, адже пошукові системи вже знатимуть першоджерело.

Ці методи дозволять уникнути атак та копіювання контенту. Якоюсь мірою це дві сторони однієї монети: молодий сайт може не перейматися атаками, а старий — про злодійство статей. Тому варто приділяти увагу цим питанням у міру потреби.

Захист сайту

Перевагою двигуна WordPress є досить стійкий захист від різних небезпек. Але навіть тут варто добре попрацювати, щоб ускладнити завдання недоброзичливцям. Для цього є безліч захисних елементів, один з яких я згадував трохи раніше (плагін Limit Login Attempts, захист від підбору паролів). Але варто провести й низку інших процедур, що дозволяють уникнути злому.

Для початку потрібно змінити логін та пароль до адмінки. Це легко зробити через базу даних, взявши таблицю користувачів і знайшовши там Admin. Натиснувши редагування, можна легко змінити дані. Однак не забудьте їх потім, адже зайти під попередніми даними не вийде.

Також рекомендується встановити плагін для бекапа бази даних. Для цього є кілька варіантів, серед яких WordPress Database Backup. Це дозволить автоматично зберігати базу та відправляти її на пошту, не переймаючись тим, що її можуть очистити зловмисники.

Також варто додати в директорії /wp-content/ та /wp-content/plugins/ по порожньому файлу index.php. Це не дозволить іншим користувачам переглядати файли та папки в них. Крім того, рекомендується видалити всі згадки про версію вашого движка в коді та файлах. В іншому ж варто покластися на стандартний захист. Але пам'ятайте, що зламати можна будь-який сайт, питання лише у часі та ресурсах. Тому не варто нехтувати бекапами та регулярно міняти пароль в адмінку.

Якщо хочете нормально захистити свій ідеал від зловмисників, то раджу придбати чудовий курс на цю тему — «Тотальний захист WordPress блогу»

А що ви порадите для захисту власного майданчика? Чи використовуєте для цього плагіни? Розкажіть про свій досвід.

З вами був Максим Матвєєв. Пам'ятайте, що безпека ніколи не буває зайвою. А також підписуйтесь на мій блог для вшанування нових статей.