Как защитить сайт на Вордпресс, Джумла и тд? Обидно, если его испортят, не так ли? Еще хуже, если заразят вирусами... Постараюсь изложить основные моменты, которые помогут вам удержать ваш сайт под контролем и избежать взлома. Сразу оговорюсь, что среди приемов изложу часть не подходящую к движку Вордпресс и потому объективно доказывающую, что самописный сайт может на голову превосходить его по безопасности.
Основа основ
Внимание! Если ваш сайт заражен, это может быть от того, что взломан сервер хостера. Мне пришлось такое "ощутить" на своей шкуре. Симптомы такие. Ваш сайт заражен. С чистой ОС вы удаляете ВСЕ файлы на хостинге, меняете пароли, заливаете сайт по новому, но он опять заражен. НЮАНС! Заражены и другие сайты на том же IP, что и ваш. Это узнать просто - заходим на 2ip.ru, вбиваем свой сайт, узнаем его IP и проверяем антивирусным блоком на этом же сайте все другие сайты на IP адресе своего сайта. Если и они заражены, то нужно срочно переехать на другой хостинг. Две базы данных на халяву очень даже хорошо. Когда понравится, можно и остаться у них.
Регулярно делаем экспорт базы данных и сохраняем этот .xml файлик на Яндекс диск, Гугл диск и еще куда угодно. Периодически делайте полный бекап всего, что есть на вашем сайте. Не забудьте выгрузить это куда-то в облако.
Защита паролей
Начнем с того, что ваши пароли должны быть известны только вам. Запишите их на бумагу. В блокнот. А именно:
-
логин и пароль для входа в учетную запись регистратора доменного имени, если хакеры получат над ней контроль, то ваш домен просто перенаправят на левый сайт;
-
то же для хостинг провайдера - пропажа этого пароля это катастрофа;
-
то же для всех ваших учетных записей в админке сайта, если это Вордпресс, Друпал, Джумла и т. д.
А кто их крадет то???
Если у вас троян-кейлоггер на компе, то их могут выкрасть, со всеми вытекающими последствиями. Позаботьтесь о том, чтобы система, в которой вы набираете эти пароли чистая. Вводите пароль с помощью виртуальной клавиатуры. Но не поможет если есть троян делающий принт скрины на каждый клик мыши когда курсор завис над этой самой клавиатурой. Как крайний вариант, можно эти пароли вводить в виртуальной машине с помощью мыши на виртуальной клавиатуре. Может и прокатит. Но лучше выделите для сайта чистую машину без этих дурацких кряков и кейгенов.
Старайтесь не ставить галочку «Запомнить меня» на чужих компах, когда заходите в админку своего сайта. А то есть риск пропажи куки, с помощью которых ваш сайт запоминает вас. Про них я дописал внизу, в разделе про wp-config-sample.php файл.
Трудно открыть дверь, когда не знаешь где она
Защита от брутфорса. Пароль могут и подобрать. Силовой подбор паролей невероятно труден если (список не полон):
-
неизвестен логин администратора — никогда не используйте логин admin. Меняйте на что угодно другое, например hdyUy6Ne-4 - как вам логин? Главное сами не потеряйте! Публикуйте от имени ограниченной учетной записи. Тогда взломав ее не смогут взломать сайт;
-
невозможен подбор, если вы положили в корень папки wp-admin файл .htaccess в котором написано разрешение войти с одного ip адреса (вашего, стационарного) и запрет на вход с остальных. Образец такого файла order deny,allow deny from all allow from 192.152.37.125 Сервер не допустит туда никого с другого ip. Разумеется, нужно иметь этот стационарный адрес;
-
неизвестна папка, где находится админка — в Вордпрессе это всегда wp-admin, а в самописном сайте может быть любая абракадабра. Вот и преимущество таких сайтов;
-
неизвестен index файл, например вместо index.php в корне админ папки лежит inervrs.php – в этом случае придется начинать с «брутфорса» начальной страницы, а потом уже переходить к взлому административной учетной записи;
-
закрывайте директории мызыкой, файлами, картинками файлом .htaccess со строкой Options -Indexes. Если там не будет index файла, то любопытные не смогут "шнырять" по вашим подпапкам, изучая что и где у вас лежит. Доступ в папку будет просто блокирован.
Разумеется, список таких самодельных решений гораздо больше. Но даже использовав этот минимум вы уже резко осложните жизнь вредителям.
Файл wp-config-sample.php — ПЯТЬ важных действий!
Владельцу Вордпресс. ОБЯЗАТЕЛЬНО! Помните файл wp-config-sample.php, который надо переименовать до wp-config.php? Так вот, в нем измените не только имя базы данных, имя пользователя, пароль и локалхост, озязательно измените строку для куки! Для этого перейдите по адресу https://api.wordpress.org/secret-key/1.1/salt/ и введите увиденное в окне браузера вместо строк
define('AUTH_KEY', 'впишите сюда уникальную фразу'); define('SECURE_AUTH_KEY', 'впишите сюда уникальную фразу'); define('LOGGED_IN_KEY', 'впишите сюда уникальную фразу'); Всего там 8 строк. Вот ТАКОЙ файл wp-config.php уже можно выгружать на сервер.
Плагины тоже могут выручить (иногда)...
Используйте дополнение Login lockdown. Если кто и начнет «страдать ерундой», подбирая ваш пароль, то это будет непросто — с одного IP дается 5 (как выберете) попыток, после чего горячей голове придется ждать еще час или больше. При таком раскладе брутфорс будет занимать безумно много времени.
