Популярната система за управление на съдържанието WordPress е много разпространена. В тази статия бихме искали да ви дадем няколко съвета за защита на инсталацията на WordPress.
Поради голямото разпространение на wordpress, за съжаление, той е и популярна цел на хакерите и за съжаление има и автоматични атаки срещу инсталациите на WordPress, които отново и отново проверяват дали те съдържат известни уязвимости в сигурността.
Затова е много важно винаги да актуализирате WordPress. Ето защо за професионална употреба е разумно да се възложи на агенция да поддържа WordPress в актуално състояние и да се избере уеб хостинг, който също така използва защитна стена, за да защити системата възможно най-добре от известни атаки.
Тук сме изброили най-важните точки за това как да защитите инсталацията си на WordPress.
[tie_list type="checklist"]- Винаги поддържайте WordPress в актуално състояние
WordPress не е само софтуер за блогове, но може да бъде оборудван с широк набор от функции чрез т.нар. плъгини, т.е. разширения. Много потребители използват специални плъгини и дизайни (теми) за отделни уебсайтове. Основният проблем при атаките е липсата на актуализации на инсталациите.
Съвет: Ако е възможно, изберете уеб хост за инсталиране на WordPress с административен интерфейс, който ви помага да актуализирате WordPress и плъгините. Нашата препоръка е да се използват Plesk като софтуер за управление.
Активирайте автоматичното актуализиране на WordPress.
По този начин софтуерът се поддържа винаги актуален. Това е възможно и за много Plusins.
Препоръчително е редовно да влизате в административния интерфейс на WordPress и да проверявате текущото състояние на софтуера. WordPress показва директно дали са налични актуализации.
По-проблематични са темите, т.е. готовите дизайни, които обикновено съдържат платени плюсове. Тези теми обикновено не се инсталират автоматично, а трябва да се актуализират ръчно. За да направите това, трябва да изтеглите текущата версия на темата от производителя и да я копирате в директорията с теми. След актуализацията обикновено е необходимо да се направят само няколко настройки в администрацията на темата.
[tie_list type="checklist"]- Използвайте криптирани връзки.
Данните за влизане в WordPress са много желани и могат лесно да бъдат шпионирани в несигурна мрежа, например когато влизате в отворена Wi-Fi мрежа в ресторант или хотел.
Затова винаги трябва да използвате сертификат за начална страница. Най-добре е да изберете уеб хост, който може да създаде сертификат за вас. Това струва само няколко евро годишно за професионална защита на вашата инсталация.
Винаги се уверявайте, че имате криптиран достъп до инсталацията на WordPress чрез https://, както и сигурен достъп до електронна поща и, ако е необходимо, сигурно влизане чрез FTP ядка. След като сте използвали некриптирана връзка, препоръчваме незабавно да смените всички пароли.
[tie_list type="checklist"]- Запазване на файла wp-login.php
Съществува и начин да преименувате директорията wp-admin, но това може да доведе до проблеми с функционалността на WordPress. Лесният начин за защита срещу повечето атаки с груба сила, при които паролите просто се отгатват, е да се включи код във файла .htaccess. Това може да се комбинира добре със защита с парола.
[tie_list type="checklist"]- Защитете директорията си за администриране с парола.
Освен това трябва да защитите тази директория с парола. Вашият доставчик предлага възможност за настройка на защита на директориите за определени директории. Защитете директорията си за администриране със сложно потребителско име и парола, които са дълги поне 12 символа и съдържат специални знаци. Никога не избирайте пароли с дължина само 8 символа. Понастоящем те обикновено се считат за несигурни и обикновено могат да бъдат разбити бързо, тъй като вече са били предварително изчислени в зависимост от вида на криптирането.
След защитата с парола отворете файла .htaccess и въведете следния код по-горе:
ErrorDocument 401 "Заключено
ErrorDocument 403 "Заключено
# Разрешаване на достъпа на плъгини до admin-ajax.php въпреки защитата с парола
<Files admin-ajax.php>
Поръчка разрешаване, отказване
Позволете от всички
Удовлетворете всички
</Files>
Това гарантира, че плъгините на WordPress все още могат да извикват файловете.
[tie_list type="checklist"]- Използвайте широко достъпни плъгини и теми, доколкото е възможно
Плъгините обикновено са отговорни за уязвимостите в сигурността на вашата WordPress. Плъгините и темите са малки софтуерни пакети, които се предоставят от доставчици от трети страни. По принцип идеята е добра, но вече има много съмнителни доставчици, както и такива, които просто нямат познания и затова създават софтуер, който съдържа дупки в сигурността. За непрофесионалистите практически няма защита срещу това. Затова препоръчваме да използвате само приставки, които вече са били инсталирани много често и имат добра оценка.
Не използвайте безплатни теми, които можете да изтеглите от всеки уебсайт. Купете тема, например от Themeforest или Templatemonster, от т.нар. елитен доставчик, т.е. професионални екипи за програмиране, които са генерирали висок оборот.
Обърнете внимание и на датата на последната инсталация. Не се препоръчват доставчици, които не актуализират плъгините и темите си или вече са спрели разработката.
[tie_list type="checklist"]- Изтриване на неизползваните теми и плъгини
Когато уебсайтът ви е готов и искате да започнете работа, винаги препоръчваме да изтриете напълно неизползваните плъгини и теми. Това се отнася и за собствените теми на WordPress, които не могат да бъдат премахнати толкова лесно. Потенциалните нападатели обичат да крият файловете си в тези стандартни директории, затова е препоръчително да изтриете напълно неизползваните файлове. Можете да направите това чрез интерфейса за администриране или чрез FTP. Просто изтрийте директориите от директорията с теми, които не използвате.
[tie_list type="checklist"]Използване на защитна стена за приложения
[/tie_list]Ако е възможно, трябва да използвате защитна стена за приложения. Това е софтуер, който проверява всяка връзка и предлага много възможности за предотвратяване на потенциални атаки.
При много доставчици има безплатни опции, като например fail2ban (препоръчително), mod_security Използвайте WAF, за да блокирате известни атаки или съмнителни известни IP адреси. При споделените хостинг среди, т.е. при малките хостинг акаунти, това обикновено не е възможно, тъй като има твърде много специални функции, които не могат да бъдат зададени глобално. За професионална употреба препоръчваме да използвате управляван V-сървър, т.е. отделна среда само за вашия уебсайт.
При някои първокласни доставчици можете да използвате и външна защитна стена за уебсайта си. Системите на Barracuda, Sonicwall и Imperva са налични тук. Те филтрират трафика, преди да достигне до уеб сървъра, и по този начин блокират повечето атаки. Такова решение обаче е сравнително скъпо - 50-250 евро на месец, и е подходящо само за професионална употреба.
Заключение: създаването на уебсайт от вас е много лесно с WordPress. Автоматичните актуализации, които много уеб хостове предлагат, също са полезни в сравнение с други системи за управление на съдържанието. Ако винаги следите за актуалността на разширенията (поне веднъж седмично), нищо особено не може да ви се случи.
Това, което не струва нищо, също е безполезно. За съжаление това важи за много плъгини и теми. Имайте предвид, че много измамници заразяват темите със зловреден код и след това ги разпространяват безплатно като свои собствени теми. Щом инсталирате нещо подобно, вашият уебсайт бързо ще бъде използван за изпращане на Спам или нападения срещу други хора.
