Как улучшить безопасность вашего блога WordPress
Опубликовано: 2022-02-26WordPress — самая популярная система управления контентом (CMS) в Интернете, и поэтому, как и Microsoft Windows, она также является самой популярной целью атак. Программное обеспечение с открытым исходным кодом размещено на Github, и хакеры всегда ищут ошибки и уязвимости, которые можно использовать для получения доступа к другим сайтам WordPress.
Наименьшее, что вы можете сделать для обеспечения безопасности установки WordPress, — это убедиться, что на ней всегда установлена последняя версия программного обеспечения WordPress.org, а также обновлены различные темы и плагины. Вот еще несколько вещей, которые вы можете сделать, чтобы улучшить безопасность своих блогов WordPress:
№1. Войдите под своей учетной записью WordPress
Когда вы устанавливаете блог WordPress, первый пользователь по умолчанию называется «admin». Вы должны создать другого пользователя для управления своим блогом WordPress и либо удалить пользователя «admin», либо изменить роль с «administrator» на «subscriber».
Вы можете либо создать совершенно случайное (трудно угадать) имя пользователя, либо лучшей альтернативой будет включение единого входа с помощью Jetpack и использование вашей учетной записи WordPress.com для входа в собственный блог WordPress.
№ 2. Не рекламируйте свою версию WordPress миру
Сайты WordPress всегда публикуют номер версии, что облегчает людям определение того, используете ли вы устаревшую неисправленную версию WordPress.
Удалить версию WordPress со страницы легко, но вам нужно внести еще одно изменение. Удалите файл readme.html из каталога установки WordPress, так как он также рекламирует вашу версию WordPress всему миру.
№3. Не позволяйте другим «писать» в ваш каталог WordPress
Войдите в оболочку WordPress Linux и выполните следующую команду, чтобы получить список всех «открытых» каталогов, в которые любой другой пользователь может записывать файлы.
найти . -тип d -perm -o=w
Вы также можете выполнить следующие две команды в своей оболочке, чтобы установить правильные разрешения для всех ваших файлов и папок WordPress (ссылка).
найдите /ваш/wordpress/папку/ -type d -exec chmod 755 {} \; найдите /ваш/wordpress/папку/ -type f -exec chmod 644 {} \;
Для каталогов 755 (rwxr-xr-x) означает, что только владелец имеет право на запись, а остальные имеют права на чтение и выполнение. Для файлов 644 (rw-r—r—) означает, что владельцы файлов имеют права на чтение и запись, а другие могут только читать файлы.
№ 4. Переименуйте префикс таблиц WordPress.
Если вы установили WordPress с параметрами по умолчанию, ваши таблицы WordPress будут иметь такие имена, как wp posts или wp_users. Таким образом, рекомендуется изменить префикс таблиц (wp ) на какое-то случайное значение. Плагин Change DB Prefix позволяет одним щелчком мыши переименовать префикс таблицы в любую другую строку.
№ 5. Запретить пользователям просматривать ваши каталоги WordPress
Это важно. Откройте файл .htaccess в корневом каталоге WordPress и добавьте следующую строку вверху.
Параметры - Индексы
Это не позволит внешнему миру увидеть список файлов, доступных в ваших каталогах, если файлы index.html или index.php по умолчанию отсутствуют в этих каталогах.
№ 6. Обновите ключи безопасности WordPress
Перейдите сюда, чтобы сгенерировать шесть ключей безопасности для своего блога WordPress. Откройте файл wp-config.php в каталоге WordPress и перезапишите ключи по умолчанию новыми.
Эти случайные соли делают ваши сохраненные пароли WordPress более безопасными, а другое преимущество заключается в том, что если кто-то войдет в WordPress без вашего ведома, он немедленно выйдет из системы, поскольку его файлы cookie теперь станут недействительными.
№ 7. Ведите журнал ошибок WordPress PHP и базы данных
Журналы ошибок иногда могут дать подсказки о том, какие недопустимые запросы к базе данных и запросы файлов попадают в вашу установку WordPress. Я предпочитаю Монитор журнала ошибок, поскольку он периодически отправляет журналы ошибок по электронной почте, а также отображает их в виде виджета на панели инструментов WordPress.
Чтобы включить ведение журнала ошибок в WordPress, добавьте следующий код в файл wp-config.php и не забудьте заменить /path/to/error.log фактическим путем к файлу журнала. Файл error.log следует поместить в папку, недоступную из браузера (ссылка).
определить('WP_DEBUG', правда); если (WP_DEBUG) { определить ('WP_DEBUG_DISPLAY', ложь); @ini_set('log_errors', 'Вкл'); @ini_set('display_errors', 'Выкл.'); @ini_set('error_log', '/path/to/error.log'); }
№ 9. Защита паролем панели администратора
Всегда полезно защитить паролем папку wp-admin вашего WordPress, поскольку ни один из файлов в этой области не предназначен для людей, которые посещают ваш общедоступный веб-сайт WordPress. После защиты даже авторизованным пользователям придется вводить два пароля, чтобы войти в свою панель администратора WordPress.
10. Отслеживайте активность входа на ваш сервер WordPress
Вы можете использовать команду «last -i» в Linux, чтобы получить список всех пользователей, которые вошли на ваш сервер WordPress, вместе с их IP-адресами. Если вы нашли неизвестный IP-адрес в этом списке, определенно пора сменить пароль.
Кроме того, следующая команда покажет активность пользователя при входе в систему в течение более длительного периода времени, сгруппированную по IP-адресам (замените USERNAME на имя пользователя вашей оболочки).
последний -if /var/log/wtmp.1 | grepИМЯ ПОЛЬЗОВАТЕЛЯ | awk '{напечатать $3}' | сортировать | уникальный -c
Следите за своим WordPress с помощью плагинов
Репозиторий WordPress.org содержит довольно много хороших плагинов, связанных с безопасностью, которые будут постоянно отслеживать ваш сайт WordPress на предмет вторжений и других подозрительных действий. Вот основные, которые я бы порекомендовал.
- Сканер эксплойтов — он быстро просканирует все ваши файлы WordPress и сообщения в блогах и выведет список тех, которые могут содержать вредоносный код. Спам-ссылки могут быть скрыты в ваших сообщениях в блоге WordPress с помощью CSS или IFRAMES, и плагин также обнаружит их.
- WordFence Security — это чрезвычайно мощный плагин для обеспечения безопасности, который должен быть у вас. Он сравнит ваши основные файлы WordPress с исходными файлами в репозитории, поэтому любые изменения будут мгновенно обнаружены. Кроме того, плагин блокирует пользователей после «n» неудачных попыток входа в систему.
- WP Notifier — если вы не слишком часто входите в панель администратора WordPress, этот плагин для вас. Он будет отправлять вам оповещения по электронной почте всякий раз, когда доступны новые обновления для установленных тем, плагинов и ядра WordPress.
- VIP Scanner — «официальный» плагин безопасности сканирует ваши темы WordPress на наличие проблем. Он также обнаружит любой рекламный код, который мог быть внедрен в ваши шаблоны WordPress.
- Sucuri Security — отслеживает ваш WordPress на предмет любых изменений в основных файлах, отправляет уведомления по электронной почте при обновлении любого файла или сообщения, а также ведет журнал действий пользователя при входе в систему, включая неудачные попытки входа.
Совет: Вы также можете использовать следующую команду Linux, чтобы получить список всех файлов, которые были изменены за последние 3 дня. Измените mtime на mmin, чтобы просмотреть файлы, измененные «n» минут назад.
найти . -тип f -mtime -3 | grep -v «/Maildir/» | grep -v «/журналы/»
Защитите свою страницу входа в WordPress
Ваша страница входа в WordPress доступна для всего мира, но если вы хотите запретить неавторизованным пользователям входить в WordPress, у вас есть три варианта.
- Защита паролем с помощью .htaccess. Это включает в себя защиту папки wp-admin вашего WordPress с помощью имени пользователя и пароля в дополнение к вашим обычным учетным данным WordPress.
- Google Authenticator — этот отличный плагин добавляет двухэтапную аутентификацию в ваш блог WordPress, аналогичную вашей учетной записи Google. Вам нужно будет ввести пароль, а также зависящий от времени код, сгенерированный на вашем мобильном телефоне.
- Вход без пароля — используйте плагин Clef для входа на свой веб-сайт WordPress, отсканировав QR-код, и вы сможете удаленно завершить сеанс с помощью своего мобильного телефона.
Также см.: Обязательные плагины WordPress.