WordPress – методи за защита на WWW страница

• Добри практики, които подобряват сигурността във WordPress

Системата за управление на съдържание (анг. CMS) WordPress е без съмнение най-популярното приложение, използвано за стартиране на WWW страници. Поради своята популярност, тя е еднакво популярна сред хакерите, които често поемат контрол над незащитени и/или неактуализирани WWW страници, базирани на тази система.

По-долу представяме добри практики, които Ви препоръчваме да използвате, за да повишите нивото на сигурност на Вашия уебсайт, базиран на WordPress системата.

Добри практики, които подобряват сигурността във WordPress

1. НАЙ-ВАЖНО! Не забравяйте за актуализациите на WordPress и актуализациите на плъгините и мотивите! Това е най-важното правило и ако не го спазите, тогава можете да пропуснете всички следващи съвети.
   Заедно с версия WordPress 3.7 разработчиците на приложението са внедрили механизъм за автоматично актуализиране. Тази функция извършва актуализации на WordPress системата без Вашата намеса в момент, когато производителят публично пусне актуализации за потребителите.
2. Смяна на префикс по подразбиране wp_ за таблици в база данни. Смяната на префикс по подразбиране на собствен префикс можете да извършите по време на инсталирате на WordPress. След инсталирането, за вече действащите, смяната на префикса е също възможна. За целта можете да използвате инструмента phpMyAdmin. След като влезете в базата данни, маркирайте всички таблици, изберете опцията ‘Смяна на префикс на таблиците’ и въведете новия префикс, който искате да настроите за WordPress таблици.
   Смяната на името на префикс на таблици също изисква актуализиране на записи в две таблици на WordPress: xltw4_options и xltw4_usermeta. Препоръчваме да използвате следните команди, за да потърсите записи със стария префикс на таблицата, които ще сменяте:
   за таблица prefix_options:

   SELECT * FROM `xltw4_options` WHERE `option_name` LIKE '%wp_%';

   за таблица prefix_usermeta:

   SELECT * FROM `xltw4_usermeta` WHERE `meta_key` LIKE '%wp_%';

   В резултат на заявката ще се покаже списък с редове, в които стария префикс на таблицата ‘wp_’ трябва да бъде заменен с нов, в нашия случай ‘xltw4_’.

   Не забравяйте! След като промените префикса на таблицата в базата данни, актуализирайте префикса във файла wp-config.php. В противен случай, страницата ще спре да се показва.
   След като настроите уникален префикс за базата данни (за предпочитане случаен низ от знаци), нашата страница ще бъде по-малко податлива на автоматизирани атаки от тип SQL Injection.
3. Промяна на ID и логин на главния администратор. До ID е добре да въведете голямо число, състоящо се от много цифри. Въпросът относно промяната логин по подразбиране „admin“ може да не е особено важен (особено ако следвате всички други наши препоръки), но, за да сте спокойни, е по-добре да не го използвате. Как да промените потребителско име/логин и парола в WordPress?
   Смяната на ID и логин на администратора може да извършите чрез phpMyAdmin (като се свържете с базата данни, в която е инсталиран WordPress). След това в таблицата xxx_users можете да промените потребителските данни (ID и логин).

   ВАЖНО! След промяна на ID на потребителя, също е необходимо да въведете тези промени (настройване на НОВО ID) в таблицата xxx_usersmeta.
4. Ограничaване на достъп до/wp-admin/ чрез .htaccess (достъп до административния панел на WordPress само за конкретни IP адреси). Можете да намерите повече информация за ограничаване на достъпа до страници тук. За да ограничите достъпа до един IP адрес, поставете следния код във файл .htaccess:

   AuthName "Example Access Control"
   AuthType Basic
   
   order deny,allow
   deny from all
   allow from 212.85.96.1

   ВАЖНО! Файлът .htaccess с такова съдържание трябва да бъде поставен в директория /wp-admin/. На мястото „212.85.96.1“ въведете Вашия постоянен IP адрес. Ако не сте сигурни дали Вашият интернет доставчик Ви е дал постоянен IP адрес, свържете се с него, за да изясните тази информация.
5. Смяна на адрес за вход за WordPress хранилище. Скриптите, атакуващи страници, изградени с WordPress, винаги се опитват да получат достъп до една и съща адресна структура (напр. /wp-content/, /wp-admin/ и т.н.). Добро решение е да промените адреса, с който се вписвате в панела на WordPress, за да затрудните опита за поемането на акаунта. Препоръчваме ви плъгин WPS Hide Login – след инсталирането, ще определите нов път за вход в хранилището на уебсайта… и това е всичко!
   
   Не забравяйте – плъгинът ще действа веднага след запазване на промените в настройките, така че следващия път, когато влезете в панела на WordPress, въведете новия адрес на хранилището.
6. Активиране на вход чрез имейл адрес. При много уебсайтове, вписването се извършва с въвеждане на имейл адрес, вместо логин. Защо да не използвате тази опция в WordPress? С помощта на плъгин WP Email Login ще активирате необходимостта от въвеждане на имейл адрес, когато влизате в хранилището на WordPress. WordPress – Прозорец за вход – Влизане в сайта чрез имейл адрес.
7. Ако не използвате редактора на файлове с мотиви и плъгини в WordPress – изключете го! Можете да деактивирате на всички администратори да въвеждат промени във файлове с мотиви и плъгини с помощта на административния панел WP. В тази ситуация, само хора с достъп до FTP сървъра ще могат да правят промени във файловете. За да направите това, достатъчно е добавете следния ред към файла wp-config.php:

   define ('DISALLOW_FILE_EDIT', igaz);

   По този начин ще намалите риска от добавяне на злонамерен код на страницата от хора, които по неоторизиран начин са получили достъп до административния панел на WordPress.

8. Деактивиране на функцията за регистрация на потребители. Ако не планирате възможността за регистрация на акаунти на Вашия уебсайт, предлагаме напълно да деактивирате възможността за регистрация в настройките на WordPress (Настройки -> Общи настройки -> Членство).
9. Настройване на двустепенно удостоверяване (2FA). Двойното удостоверяване (2FA) се основава на добавяне на втори етап в процеса на влизане в WordPress. В допълнение към нещо, което си спомняте (парола), системата ще изисква и нещо, което винаги имате със себе си (смартфон). Благодарение на това, дори, ако някой знае Вашата парола, няма да влезе в WordPress без достъп до Вашия смартфон.
   За да стартирате двустепенно удостоверяване в WordPress, се изисква да инсталирате подходящи плъгин (напр. Two Factor Authentication) и да инсталирате приложението Google Authenticator на смартфон с Android или iOS. След като влезете в WordPress и инсталирате плъгина Two Factor Authentication, ще можете да го свържете с приложението Google Authenticator, което ще генерира кодовете на телефона, необходими за влизане.
10. Допълнителни защитни плъгини. В мрежата можете да намерите допълнителни WordPress плъгини, за да подобрите нивото на сигурност на WordPress. Най-популярните безспорно са Shield, Sucuri, WordFence и iThemes Security.
    Всеки от по-горните плъгини ще позволи лесно да защитите инсталирането на WordPress, предлагайки функционалности като: промяна на префикса на таблиците в базата данни, промяна на основния идентификатор на потребителя, блокиране на атаки от тип BruteForce, блокиране на атаки от тип XSS, скриване на версията на WordPress, наблюдение на промените във файловете на сървъра и известия до администратора при установяване на промени, автоматично архивиране на уебсайта (най-често в платените версии).
    Кой плъгин трябва да инсталирате? Мненията относно ефективността на горепосочените плъгини сред потребителите на WordPress са разделени. Ще намерите същия брой гласове ЗА и ПРОТИВ инсталирането на тези плъгини. Решението за избор оставаме на Вас.
11. Правете редовно резервно копие (backup на данни). Данните за всички сървъри ionos.bg подлежат на циклично архивиране (ежедневно през нощта). Архивирането на резервни данни се извършва по точков начин, в определени часове през нощта. Поради тази причина си струва да можете да направите резервно копие по всяко време (напр. непосредствено след извършване на важни промени в уебсайта).
    За да направите това, можете да използвате популярния плъгин: Duplicator, който е усъвършенстван, но същевременно лесен за използване инструмент за създаване на резервни копия. Благодарение на това, ще можете да възстановите Вашия WordPress в кризисна ситуация, когато сайтът спре да работи.
12. Изтриване на ненужни приставки и мотиви. Изтрийте софтуера, който не използвате, тъй като такъв неизползван и остарял плъгин или мотив може да служи като цел за атаки в бъдеще.
    Препоръчваме да инсталирате плъгини и шаблони само от надеждни източници!mСигурно място за изтегляне на плъгини и мотиви за WordPress е официалното хранилище. Разширенията, които попадат там, преди да бъдат споделени, преминават през процес на проверка, в рамките на който се проверява, наред с друго, наличието за присъствие в тях на злонамерен код. Всеки ден хиляди потребители използват хранилището, което бързо улавя и съобщава за всякакви проблеми.
13. Активиране на HTTPS обслужване:// (SSL сертификат). SSL сертификатите вече са изискване за повечето WWW страници. Повишаване на нивото на сигурност на данните, съхранявани на страницата, данни, изпращани от клиенти (форми за контакти, кошници в онлайн магазини) и накрая – по-голяма надеждност на уебсайта, както за посетители, така и за търсачки (например Google).
    Поръчайте SSL сертификат още днес. Погрижете се за сигурността на Вашата WWW страница, електронна поща и потребителски данни. Регистрирайте SSL в ionos.bg и контролирайте всички услуги от един Клиентски панел. Кликнете и вижте офертата, за да поръчате SSL сертификат.
    Дори авторите на WordPress официално съобщават за необходимостта от инсталиране на SSL сертификати на уебсайтове, базирани на WordPress (виж: През 2017 г. WordPress само със SSL сертификат).

    Ако на Вашия сървър вече е инсталиран SSL сертификат, активирайте неговото обслужване в WordPress. Тази операция се свежда до въвеждане на правилен адрес (https:// вместо http://) в настройките на приложението (Настройки -> Общи)

    RewriteEngine be
    RewriteCond% {HTTPS}! = Be [NC]
    RewriteRule ^ (. *) $ Https: //% {HTTP_HOST}% {REQUEST_URI} [R = 301, L]

14. Използвайте дълги и сигурни пароли за достъп (включително за администраторския панел на WordPress и за FTP сървъра), както и актуален антивирусен софтуер, напр. Kaspersky.
    Никакви защити няма да бъдат ефективни, ако използвате лесна за разбиване парола!

Обобщение – не забравяйте да проверявате Вашата WWW страница! Повечето злонамерени скриптове, атакуващи страници, базирани на WordPress, не са предназначени да унищожат превзетия уебсайт. По правило, те добавят кодове към страниците, които предизвикват изпращане на спам или пренасочват посетителите към други URL адреси (може също да зареждат злонамерени страници в скрита iframe рамка). Потребителите на WWW страниците може да не са напълно наясно, че злонамерени скриптове са добавени към тяхната WWW страница.