Оставить отзыв

Личный кабинет



Забыли пароль?
Регистрация в системе

Консультант сайта

Любые вопросы по работе хостинга
вы можете задать консультанту.

Новости

Служба поддержки

Телефон: 

Россия                    +7 (800) 200-25-53
Москва                   +7 (499) 403-12-64
Санкт-Петербург   +7 (812) 424-79-61
Нижний Новгород  +7 (831) 261-38-43
Техническая поддержка
Финансовая служба

Защита сайта на базе cms Wordpress от взломов и XSS атак

В последнее время все чаще фиксируются массовые попытки взломов сайтов, работающих на популярных cms, таких как wordpress, joomla, dle и т.д. По этой причине, мы подготовили для Вас статью, в которой описаны эффективные методы защиты Вашего сайта от различных взломов и атак.

Предлагаем Вашему вниманию набор плагинов и решений для защиты сайта, на примере cms WordPress. Вне зависимости от версии, сайты на базе WordPress страдают в основном от спама и попыток «брута», направленного на панель управления (админку) или wp-login.php.

Как известно, атаки бывают разные и не от всех можно спастись, внеся изменения, доработки, правки в CMS. Мы подготовили оптимальные варианты, которые вы всегда можете применить самостоятельно, для обеспечения безопасности своего сайта. Данные методы не требуют особых знаний, Вы легко сможете их применить самостоятельно.

1. Защищаемся от спама в комментариях.

Как только ваш сайт становится известен поисковым системам, через некоторое время он попадает в базы «спамеров». От спама в комментариях хорошо помогает плагин Antispam Bee. После установки этого плагина, автоматический спам упадет практически до нуля, плагин разве что не помогает от ручного спаминга, но здесь вам не поможет даже самая хорошая «капча» (CAPTCHA). Но тем не менее, использование капчи эффективно предотвращают автоматические регистрации различных ботов и настоятельно рекомендуем ее использования, в качестве дополнительной защиты.

2. Атака XSS.

Одна из самых неприятных атак, XSS-атака направлена на внедрения в сайт вредоносного кода. В этом направлении хорошо зарекомендовал себя плагин Anti-XSS attack.

3. Защита панели управления (админки). 

В этой части атаки направлены в основном на подбор пароля (брут) к панели управления сайтом. Защитить себя можно несколькими способами: 

  • Better WP Security - Данный плагин покажет вам критические уязвимости на вашем сайта.
  • Stealth Login - Данный плагин помимо основного пароля просит вести ещё код авторизации для входа в панель управления.

Так же для повышения безопасности рекомендуем переименовать файл wp-login.php и закрыть доступ к нему через .htaccess.

Имя файла wp-login.php меняется в несколько шагов:

  • Переименуйте файл wp-login.php на набор из букв и цифр (например: ab12e78.php)
  • Откройте файл ab12e78.php и замените в нем все слова wp-login.php на ab12e78.php.
  • Откройте файл wp-includes/general-template.php и в нем также замените wp-login.php на ab12e78.php.

После данной настройки, адрес входа в админку сайта изменится с http://имя_сайта /wp-login.php на http://имя_сайта/ab12e78.php.

Затем советуем удалить виджет “Мета”, так как в нем при наведении курсора мышки на строку “Войти” виден url страницы для ввода логина и пароля.

Для защиты доступа к файлу ab12e78.php, в корневую директорию сайта необходимо добавить файл .htaccess, со следующим кодом:

<files ab12e78.php>

order deny,allow

deny from all

allow from 111.222.333.444

</files>

Вместо IP 111.222.333.444 укажите IP адрес Вашего компьютера, после этого доступ к админ панели сайта будет открыт только с Вашего IP.

И последнее и самое главное - регулярно обновляйте cms WordPress и все установленные плагины и модули, т.к. с каждым обновлением разработчики WordPress закрывают уязвимости, которые злоумышленники постоянно используют для взломов сайтов.

После выполнения всех перечисленных действий, Вы сократите шанс взлома Вашего сайта к минимуму, что положительно скажется на продвижении сайта, а так же избавит Вас от жалоб за СПАМ рассылку и распространение вирусов.