Как взламывают WordPress и что с этим делать?

Взломанный сайт – явление совсем не новое и довольно частое. В силу своей популярности, WordPress также “под прицелом” недобросовестных людей (хакеров), способных не только получить данные из Вашего сайта, но и нарушить его работу в целом.

Зачем взламывать сайт?

Владельцы небольших сайтов довольно часто уверены в том, что их ресурсом не заинтересуется какой-либо хакер. Но если говорить о хакерстве, то тут дело не столько в популярности сайта, сколько в в самой возможности его взломать. Это означает, что даже мелкий сайт является желанной целью для любого хакера.

Интересно, что большинство атак на сайты автоматизировано. Это доказывает тот факт, что хакерам не важны размер и популярность Вашего веб-ресурса.

Зачем взламывать сайт?

Зачем же хакеры для этого тратят столько усилий и времени? Представьте ситуацию, когда имеется интернет-магазин, в котором хранится информация о кредитных картах покупателей. Безусловно, мотивы заполучить такие данные предельно ясны. Но что взять из простого блога, который не содержит ничего подобного? Ответ на этот вопрос довольно прост – для злоумышленника любой сайт может принести выгоду.

Рассмотрим способы использования взломанных веб-ресурсов.

Атаки Drive-by-downloads. Ваш сайт может быть использован для инфицирования компьютеров Ваших посетителей вредоносным ПО, собирающим и отправляющим злоумышленникам нужную им информацию.

Редиректы. Часто хакерами осуществляются перенаправления посетителей с взломанного сайта на другие.

Ресурсы компьютера. Системные ресурсы сервера Вашего хостинга также могут быть использованы для получения выгоды (рассылка спама, осуществление мощных атак, майнинг криптовалюты).

Как взламывают WordPress-сайты?

Для WordPress-сайтов наиболее частыми причинами взлома являются:

  • уязвимость хостинга;
  • небезопасность тем;
  • уязвимость плагинов;
  • слабый пароль.

Как видите, даже плохая система безопасности Вашего хостинга может стать причиной взлома сайта. Особенно это актуально для shared-хостингов, на которых на одном сервере размещаются несколько сайтов. Проведя атаку на один из них, Ваш сайт тоже может попасть “под раздачу”.

Как обезопасить свой сайт?

Безопасность любого сайта зависит от предпринятых к нему мер безопасности. И WordPress не является исключением. Рассмотрим наиболее важные шаги, необходимые для обеспечения максимальной безопасности всего веб-ресурса.

Качественный хостинг

Как было сказано раньше, качество хостинга играет наиболее важную роль в безопасности. Помимо основных услуг, компания-хостер также должна обеспечивать регулярное сканирование всех файлов сайта на наличие вредоносного программного обеспечения и делать регулярные резервные копии. Кроме того, стоит обратить внимание на хостинги, которые специально оптимизированы на работу с CMS WordPress.

Регулярные резервные копии

Даже самый надежный хостинг не гарантирует Вам на 100%, что Ваш сайт не будет взломан. Такая вероятность существует всегда. Поэтому наличие полной его резервной копии поможет восстановить его работу в случае хакерской атаки или заражения вирусом. Из бесплатных решений резервного копирования наиболее популярны WordPress-плагины Duplicator или BackUpWordPress. Более детально работу с последним решением мы рассматривали в одной из наших прошлых статей.

Усиление данных авторизации

Слабые логин и пароль также могут стать причиной взлома сайта, особенно это актуально во время хакерской атаки, когда используется скрипт, который методом с помощью перебора определяет логин и пароль. Для этого важно регулярно предпринимать следующие шаги:

  • регулярно изменять пароль (особенно администратора);
  • по возможности не использовать логин admin;
  • создать надежный пароль и хранить его в надежном месте;
  • лимировать попытки авторизации (например, плагины Login LockDown или Login Security Solution);
  • задействовать 2-этапную аутентификацию, позволяющую осуществить вход в систему после введения кода подтверждения (например, плагины Duo Two-Factor Authentication, OpenID);
  • изменить адрес входа в админ-панель (об этом мы детально писали в одной из прошлых статей).

Изменение ключей безопасности

Что такое ключи безопасности, для чего они нужны и как их установить было детально описано в следующей статье.

Изменение префикса таблиц базы данных

Процесс изменения префикса таблиц также рассматривать не будем, так как он был описан в одном из наших предыдущих материалов.

Регулярное обновление “движка”

Понятно, что мы обновляем WordPress не только для того, чтобы получить новые функции, но и для того, чтоб избавиться от уязвимостей, которые присутствуют в устаревших версиях. Данный код, вставленный в файл wp-config.php, поможет Вам включить автоматическое обновление WordPress в случае выхода крупных релизов.
 
define( 'WP_AUTO_UPDATE_CORE', true );

Скрытие версии WordPress

Для усиления безопасности следует скрыть версию WordPress. Это также было детально описано.

Правильное использование тем и плагинов

Бесспорно, отказываться от использования тех и других не имеет смысла, так как именно темы и плагины обеспечивают основной функционал сайта на WordPress. Единственное, что нужно, – это научится правильно их использовать. Для этого необходимо придерживаться ряда правил:

  • удалить неиспользуемые плагины и темы;
  • регулярно обновлять темы и плагины;
  • использовать темы и плагины исключительно с проверенных источников.

Надлежащие права файлов и папок

Если эти права выставлены неправильно, то третьи лица могут получить доступ к файлам. Вот, как они должны выглядеть в идеале:

  • 755 или 750 для всех папок;
  • 644 или 640 для файлов;
  • 600 для wp-config.php.

Отключение редактора плагинов и тем

WordPress-редактор позволяет пользователям вносить изменения в файлы прямо в админ-панели, но это не только удобство, но и вред. Так что этот редактор лучше отключить и работать с файлами с помощью FTP-соединения. Для этого необходимо добавить следующий код в файл wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Отключение PHP-отчетов

Если в плагине или теме произошла ошибка, то всплывет сообщение, которое содержит информацию о Ваших директориях и системных файлах, которой могут воспользоваться хакеры. Чтоб их отключить, нужно этот код в файл wp-config.php:

error_reporting(0); @ini_set('display_errors', 0);

В качестве заключения

Любой из перечисленных выше методов по отдельности не способен гарантировать Вам полную безопасность Вашего WordPress-сайта. Но комплексный подход обеспечит максимальную его защиту, гарантируя стабильность функционирования веб-ресурса в целом.

Курс WordPress-разработчик
Если Вам понравилась статья — поделитесь с друзьями
Михаил Петров
Привет! Меня зовут Михаил Петров. Я копирайтер и занимаюсь этим с 2013 года. Скрупулезность и ответственность - моя фишка! Не могу делать как попало и добиваюсь, чтоб заказчик сказал минимум “неплохо”. За все время своей работы пришлось написать и отредактировать немало разной “текстовухи”, включая SEO-тексты, отзывы и прочую чушь. На сегодняшний день специализируюсь на написании информационных статей и руководств технического направления. Вижу смысл и светлое будущее в текстах для людей, а не для машин.
Задать вопрос