Защита сайта на базе cms Wordpress от взломов и XSS атак

В последнее время все чаще фиксируются массовые попытки взломов сайтов, работающих на популярных cms, таких как wordpress, joomla, dle и т.д. По этой причине, мы подготовили для Вас статью, в которой описаны эффективные методы защиты Вашего сайта от различных взломов и атак.

Предлагаем Вашему вниманию набор плагинов и решений для защиты сайта, на примере cms WordPress. Вне зависимости от версии, сайты на базе WordPress страдают в основном от спама и попыток «брута», направленного на панель управления (админку) или wp-login.php.

Как известно, атаки бывают разные и не от всех можно спастись, внеся изменения, доработки, правки в CMS. Мы подготовили оптимальные варианты, которые вы всегда можете применить самостоятельно, для обеспечения безопасности своего сайта. Данные методы не требуют особых знаний, Вы легко сможете их применить самостоятельно.

1. Защищаемся от спама в комментариях.

Как только ваш сайт становится известен поисковым системам, через некоторое время он попадает в базы «спамеров». От спама в комментариях хорошо помогает плагин Antispam Bee. После установки этого плагина, автоматический спам упадет практически до нуля, плагин разве что не помогает от ручного спаминга, но здесь вам не поможет даже самая хорошая «капча» (CAPTCHA). Но тем не менее, использование капчи эффективно предотвращают автоматические регистрации различных ботов и настоятельно рекомендуем ее использования, в качестве дополнительной защиты.

2. Атака XSS.

Одна из самых неприятных атак, XSS-атака направлена на внедрения в сайт вредоносного кода. В этом направлении хорошо зарекомендовал себя плагин Anti-XSS attack.

3. Защита панели управления (админки). 

В этой части атаки направлены в основном на подбор пароля (брут) к панели управления сайтом. Защитить себя можно несколькими способами: 
  • Better WP Security - Данный плагин покажет вам критические уязвимости на вашем сайта.
  • Stealth Login - Данный плагин помимо основного пароля просит вести ещё код авторизации для входа в панель управления.
Так же для повышения безопасности рекомендуем переименовать файл wp-login.php и закрыть доступ к нему через .htaccess.
Имя файла wp-login.php меняется в несколько шагов:
  • Переименуйте файл wp-login.php на набор из букв и цифр (например: ab12e78.php)
  • Откройте файл ab12e78.php и замените в нем все слова wp-login.php на ab12e78.php.
  • Откройте файл wp-includes/general-template.php и в нем также замените wp-login.php на ab12e78.php.
После данной настройки, адрес входа в админку сайта изменится с http://имя_сайта /wp-login.php на http://имя_сайта/ab12e78.php.
Затем советуем удалить виджет “Мета”, так как в нем при наведении курсора мышки на строку “Войти” виден url страницы для ввода логина и пароля.

Для защиты доступа к файлу ab12e78.php, в корневую директорию сайта необходимо добавить файл .htaccess, со следующим кодом:

<files ab12e78.php>
order deny,allow
deny from all
allow from 111.222.333.444
</files>

Вместо IP 111.222.333.444 укажите IP адрес Вашего компьютера, после этого доступ к админ панели сайта будет открыт только с Вашего IP.

И последнее и самое главное - регулярно обновляйте cms WordPress и все установленные плагины и модули, т.к. с каждым обновлением разработчики WordPress закрывают уязвимости, которые злоумышленники постоянно используют для взломов сайтов.

После выполнения всех перечисленных действий, Вы сократите шанс взлома Вашего сайта к минимуму, что положительно скажется на продвижении сайта, а так же избавит Вас от жалоб за СПАМ рассылку и распространение вирусов.

Добавить комментарий

Вы можете написать личное мнение, задать вопрос или оставить пожелание.
Мы обязательно прислушаемся к Вашим пожеланиям и ответим на Ваши вопросы.

Комментариев 1

Никита Арсентьев
Никита Арсентьев 23 июля 2019 19:45
Ни один плагин не покажет все критические уязвимости. Найти большинство дыр можно только проведя полноценный пентест. С нашим проектом работали пентестеры из Том Хантер - в итоге помимо общеизвестных и часто встречающихся уязвимостей были найдены и такие, о которых мы не подозревали….