Защита WP от взлома и спама

Вместо вступления я сразу же задам вам несколько вопросов: вы когда-нибудь сталкивались с атаками на ваш сайт? Вы уверены, что он достаточно защищен? Уверены, что ваше детище не станет добычей мошенников?

Я давно встречала посты типа “Защита WordPress”, но постоянно пропускала их мимо. Почему? Я ленива в том, что мне не очень интересно. Более того, как и все, я думаю “со мной такого не случится”. И хорошо если бы не случалось. Но в начале августа на Блог SEO сектанта начались Ddos атаки, о чем мне постоянно напоминал хостер. Я в этой сфере вообще ничего не знала и чувствовала себя беспомощной, поэтому пришлось узнать и действовать.

Так я узнала и о некоторых незащищенных местах WP, и о том, что есть брутфорс атаки, которые взламывают сайты. Я решила защититься и от нее (чего и вам советую), не смотря на то, что атаки на мой блог носили иной характер.

Я не сторонник использования кучи плагинов, но есть те, которые действительно помогают. В этой статье я рассмотрю All In One WP Security & Firewall, который поможет сделать много шагов в сторону защиты сайта на WordPress от взлома, спама и т.п. Эта защита мне видится больше как профилактика, а не экстренная помощь (об этом еще будет в следующих статьях, так что подписывайтесь! ——>>>)

Небольшой спойлер о том, что можно сделать с помощью All In One WP Security & Firewall:

• Заменить логин admin
• Защититься от подбора пароля и логина к вашему сайту
• Вручную активировать зарегистрировавшихся пользователей
• Защитить базу данных
• Блокировать IP адреса и юзер агентов
• Поставить файерволл
• Защититься от брутфорс атак
• Уменьшить спам в комментариях
• Узнать об изменениях в системных файлах
• Защитить свой контент от копирования
• включить режим обслуживания

А теперь вперед!

Устанавливаем и активируем плагин All In One WP Security & Firewall. Теперь его нужно настроить.

Смена логина admin

По умолчанию у главного администратора в WordPress пароль admin. В таком случае, если злоумышленники будут пытаться взломать ваш сайт, половина информации у них уже есть, им останется только подобрать пароль. Смена логина значительно усложнит задачу.

Идем в меню плагина: Панель управления > Critical Feature Status и ставим On в строке Логин Администратора.

Вас перебросит на страницу, где вы спокойно сможете поменять свой логин. После этого придется зайти в админку сайта еще раз.

Защита от подбора пароля и логина

Дальше в том же меню, что вы видели выше, включаем Блокировку авторизаций. Вас перебросит в панель настроек. Кстати, сверху показан уровень безопасности. Изначально он 0/20, но настройка различных параметров поможет увеличить этот показатель до 20/20.

В принципе, тут все понятно. Остановлюсь лишь на нескольких пунктах.

• Allow Unlock Requests

Эта опция позволяет пользователям запросить разблокировку их аккаунта. Я не включала ее, потому что не хочу давать такую возможность.

• Выводить сообщения об ошибках авторизации

Я не хочу показывать сообщения о неудавшемся логине, поэтому я и не включила эту функцию.

• Instantly Lockout Invalid Usernames

Это помогает блокировать попытки логина, если указан неверный логин. То, что нужно.

Защита при регистрации

За это отвечает вкладка User Registration, и нужна она вам только в том случае, если на вашем WP сайте пользователи могут зарегистрироваться. Активация данной функции поможет вам вручную проверить каждого зарегистрировавшегося и только потом активировать его аккаунт.

Изменение префикса базы данных

На вкладке База данных доходчиво написано, зачем менять префикс. Так что вам остается лишь поставить галочку для генерации нового префикса либо просто придумать его.

На втором табе можно включить опцию автоматического бэкапа базы данных.

Блокировка IP адресов и юзер-агентов

Если вы видите в логах, что какие-то IP адреса или юзер-агенты посылают на ваш сайт слишком много запросов (особенно, если эти адреса какие-нибудь азиатские и далеки от географии вашей аудитории), их нужно заблокировать. Обычно я блокирую неугодные IP адреса через .htaccess, но можно это сделать и здесь, на вкладке “Черный список”.

Файерволл

Вот эта вкладка очень интересна. Тут я бы посоветовала вам самим внимательно исследовать ее и все табы на ней. К каждой опции есть подробные комментарии.

Здесь я решила:

• Активировать основные функции брандмауэра
• Активировать Пингбэк-защиту
• Отключить http-трассировку
• Включить 5G Файерволл

Защита от брутфорс атак

Этот пункт очень важен. Брутфорс атака осуществляется сеткой ботов и может быть достаточно сильной, чтобы положить сервер за несколько минут. Основная цель атаки – взломать сайт, который после взлома становится частью этого ботнета. Благодаря плохо защищенным сайтам сети ботнетов растут как на дрожжах.

Боты постоянно запрашивают страницу /wp-login.php, поэтому основная защита от брутфорс атак – скрыть страницу входа в админку.

Открываем вкладку Brute Force. Там первым делом меняем адрес админки на любой другой.

Cтарая страница при этом будет возвращать 404 ошибку, что тоже будет нагружать сервер при атаке ботов. Поэтому просто редиректим эту страницу через файл .htaccess на какой-нибудь сторонний мощный сервер (это нехорошо, наверное, так что я вам об этом не говорила )

Redirect 301 /wp-login.php https://google.ru/

В этом же пункте есть вторая вкладка – Cookie Based Brute Force Prevention. Это похоже на то, что описано выше, так как позволяет сгенерировать адрес страницы для входа в админку. Но в дополнение к этому в ваш браузер забросится кука, и только с ней вы сможете войти в админку. Мне кажется, это не очень удобно, так как вам может понадобиться админка сайта и на другом компьютере или в другом браузере. Так что выберите для себя что-то одно: первый тип скрытия админки (менее защищенный, более удобный) или второй (более защищенный, менее удобный).

Дальше в этом пункте вы можете дополнительно включить капчу для входа в адмнку, а также создать список IP адресов, с которых можно входить в админку. Последнее полезно, но неудобно, если у вас, как и у меня, динамический IP адрес.

Есть еще 1 пункт – Honeypot – я немного остановлюсь на нем, т.к. он на английском. Активация этой функции позволяет добавить в форму логина еще одно поле, которое скрыто от обычного человека. Но бот будет его заполнять. Соответственно, если оно заполнено – та-дам! – бота в админку не пропускают.

Защита от спама в комментариях

Владельцы блогов прекрасно знают, сколько спамных и бессмысленных комментариев ежедневно обрушивается на сайт. Пункт Spam Prevention поможет немного или много снизить это количество.

Во-первых, можно включить капчу. У меня как-то была капча, что вызвало много просьб убрать ее, теперь ее нету . Так что этот пункт не для меня, а вы уж сами решайте.

Во-вторых, есть возможность запретить комментарий, если его пытаются разместить не с вашего сайта. Иными словами, многие размещают комментарии не заходя на сайт, а просто с помощью разных сервисов. Запрещение таких комментариев – то, что нужно.

Также можно составить черный список комментаторов и заблокировать их IP. К сожалению, зачастую они динамические…

Сканирование изменений системных файлов

Как-то на Блоге SEO сектанта произошло нечто странное: при нажатии кнопки “Поделиться в FB” пользователь постил к себе на стену не ссылки на мои статьи, а ссылки на какой-то непонятный сайт. Когда я заметила это, я первым делом начала паниковать (что я делаю в любой непонятной ситуации ). После этого я залезла на сервер и посмотрела даты последних изменений всех файлов. Оказалось, файл .htaccess был изменен. В него было добавлено нечто вроде спамного кода, который и отвечал за постинг левых записей в FB, вместо моих. Я убрала этот код, и все вернулось на круги своя.

К чему это я говорю: если бы у меня было настроено сканирование последних изменений файлов, я бы узнала об изменении .htaccess раньше.

Запретить выделение и копирование текста с сайта

Эта функция находится в пункте Miscellaneous и полезна для тех, кто хочет защитить свой труд. Но есть несколько “но” (да-да, они всегда есть):

• Неудобство для пользователей, если ваши материалы содержат готовый код, который пользователи просто могут скопировать и использовать.
• Эта мера все равно не защитит вас полностью: никто не отменял копирование из исходного кода.

Режим обслуживания

Эта функция нужна редко, но метко. Например, я нуждалась в ней при редизайне Блога SEO сектанта. Но тогда мне пришлось использовать другой плагин.

Включается эта функция в пункте Режим обслуживания (неожиданно, правда?). Огромный плюс – это возможность добавить любое сообщение для пользователей, которые будут заходить на ваш сайт в период “ремонтных работ”.

А на последок

Если вы проделали все вышеперечисленные манипуляции, можете спать немного спокойнее: ваш сайт защищен лучше, чем большинство других. Также не помешает регулярно делать бэкапы и проверять нагрузку на сервер, логи на хостинге.

Высказывайте свои мысли в комментариях, подписывайтесь на обновления!