Host-UA
USD
Биллинг
Введите e-mail и пароль для входа в биллинг - систему:
Поддержка 24/7
+38 (044) 333 42 02
Новости компании
 
 
 

Как защитить сайт на WordPress



30.10.2014
Как защитить открытый исходный код WordPress от несанкционированного доступа?
В кругу программистов и администраторов сайтов молниеносно распространилась новость о том, что 2 августа ознаменовалось хакерскими атаками ботов на сотни сайтов, функционирующих на программном компоненте WordPress и Joomla. Массированный штурм был осуществлён неизвестными лицами путём программного подбора админ-паролей (технология брутфорса с полным перебором возможных решений). Не удивительно, что защитная система серверов оказалась не готова к таким нагрузкам. Мастера техподдержки неустанно работают для блокировки и отфильтровывания координированных сетевых атак.

Защита сайта - личное дело каждого
Никто кроме Вас не станет беспокоиться о надёжности и защищенности Вашего ресурса. Сайты на движке CMS можно обезопасить с помощью более сложного (устойчивого к подбору) админ-пароля.

Несколько советов от разработчиков Wordpress
Чтобы защитить открытый исходный код от полного перебора паролей (бот Brute Force) нужно придерживаться указанных правил:

1. Избегайте использования имени "admin" в качестве администратора. По наличии неизменного аккаунта Wordpress гораздо безопаснее будет создать новый с другим обозначением. Для сохранения данных нужно перенести все опубликованные веб-единицы на новую учётную запись, аккаунт "admin" рекомендуется удалить. Для редактирования готовой записи можно воспользоваться специальным плагином, - Admin Renamed Extended - что позволит Вам безболезненно откорректировать идентификационное имя.

2. Избегайте простых форм доступа - пароль для входа не должен содержать название компании, ресурса, отдельных слов. Объект подтверждения входа должен состоять из логически несвязных цифр и букв достаточной длины. Пользователь может воспользоваться генератором паролей. Сложный набор знаков убережёт Вас сайт от взлома, стороннего доступа к панели администрирования и установки третьим лицом вредоносных скриптов.

3. Список плагинов для ограничения повторов ввода пароля и блокировки сторонних лиц:

- Admin Renamed Extended;
- All in one WP Security;
- Enforce Strong Password;
- Limit Login Attempts;
- Lockdown WP Admin;
- Wordfence Security;
- WP Fail2Ban;
- 3WP Activity Monitor.

4. Если сайт функционирует на одной учётной записи - допуск к панели администрирования можно настроить только для Вашего статического IP-узла (постоянное рабочее место). В строке редактирования создается область под названием ".htaccess", в неё включается:

# Block access to wp-admin.
order deny,allow
allow from x.x.x.x
deny from all

"x.x.x.x" – обозначает сетевой код узла. Размещение ".htaccess" - каталог "wp-admin/". Серверные ресурсы, работающих на сходных с Unix операционках, нуждаются в прописывании идентичного по своим функциям к вышеуказанному блока:

Добавление второго узла осуществляется путём внесения аналогичного блока в программный код создаваемого IP-адреса. Использование AJAX в качестве пользовательского интерфейса требует внесения в ".htaccess" нижеуказанного блока:

# Allow acces to wp-admin/admin-ajax.php
"<Files admin-ajax.php>"
Order allow,deny
Allow from all
Satisfy any

Заключительным этапом выступает сохранение изменений и их загрузка в папку "wp-admin". При ограниченном доступе к администрированию, применении Nginx и AJAX, в "wp-admin" вносится:

location /wp-admin/admin-ajax.php {
allow all;
}

Ознакомиться с вспомогательными условиями предупреждения бот-атаки на ресурсы Wordpress можно на сайте. Безопасность допуска и учётной записи позволит Вам уберечь личные данные от несанкционированного использования.