От време на време четем в новините как сайтът на някоя голяма компания или корпорация, дори и правителство е бил хакнат. Случва се сравнително често, но въпреки това сме спокойни, защото смятаме, че никой не би опитал подобен пробив в нашето малко сайтче.
Нищо подобно!
Всеки ден се извършват успешни атаки към всякакви сайтове, включително и малки. Разбира се, за тях няма как да чуем по новините. Малките сайтове са най-уязвими, тъй като обикновено липсва достатъчно защита и екип от специалисти в тази област.
Wordpressсайтовете са известни със своята слаба защита от атаки, но това не означава, че не бихме могли да направим нищо. Всъщност, има няколко стъпки, след чието предприемане можем да спим спокойно и да сме сигурни, че сайтът ни е добре защитен.
Именно тях ще ви покажем в тази статия наръчник.
Съдържание
- Подложени ли сме на риск?
- Защо се атакуват сайтовете?
- Какво да правите, ако сайтът ви бъде хакнат?
- Върнете сайта си отново онлайн
- Идентифицирайте неговите слабости
- Инсталирайте Sucuri
- Сканирайте за Malware
- Проверете Core File Integrity
- Проверете Audit Log за променени файлове
- Как да разберете IP адреса си?
- Проверете за подозрителни акаунти
- Поправете сайта си
- Възстановете паролите
- Запълнете дупките
- WP Config
- Подсилете сайта си
- Направете си back-up план
- Направете сайта си статичен
- Простички стъпки за защита
- Защитете компютъра си
- Сложете му парола
- Използвайте HTTPS
- Използвайте трудни за разгадаване данни за достъп
- Променете потребителското име на админа
- Променете URL адреса за достъп до админ панела
- Влизайте в мрежата през сигурни връзки
- Външно управляванWordpressхостинг
- Теми и джаджи само от авторитетни източници
- Как да избирате приставки и теми?
- Поддържайте сайта си актуализиран
- Използвайте плъгини за защита
- Изключете Pingbacks и Trackbacks
- Редовно сканирайте сайта си
- Други приложения на сървъра
- Разрешения за файлове
- По-сложни стъпки за защита
- Защита на сървъра
Бихте могли да проверите за всякакви недостатъци в защитата на сайта ви чрез инструмента Gravity Scan. Той проверява за кажи-речи всички възможно проблеми от тази гледна точка и ви дава ясна представа за степента, в който вашият сайт е защитен. Много е вероятно да ви се покаже огромен списък с проблеми. Не бива да ги подценявате и пренебрегвате! Заемете се с тяхната поправка възможно най-бързо.
Ясно е защо се хакват сайтове на банки, правителства и корпорации. Но на кого му е притрябвало да атакува точно вашия малък сайт? Ето няколко добри причини:
- Откуп
- Разпространяване на malware
- Изграждане на бот мрежа
- Имейл спам
- Фишинг
- Паразитна SEO и паразитен линкбилдинг
Както виждате, хакерите могат да се възползват по много начини от вашия сайт. Биха могли да ви изнудват за откуп, да тестват създадени от тях вируси и дори да ги разпространяват в други сайтове и компютри чрез вас. Дори и да не ви навредят по толкова брутален начин, все пак могат да ви използват за спам и black-hat SEO цели. И всичко това са само част от потенциалните причини да бъдете хакнати.
Какво да правите, ако сайтът ви бъде хакнат?
Ами трябва да го възстановите. Звучи много лесно и наистина е – стига да си правите редовни бекъпи. Ако не сте – тогава нещата стават доста сложни.
Затова най-добре ползвайте плъгин като My WP Backup Pro, с която лесно можете да правите архиви на сайта си през определен период от време.
Върнете сайта си отново онлайн
В повечето случаи първата стъпка е да се свържете с хостинг компанията, за да вдигне отново сайта. При хакерските атаки често се разпространяват вируси, което води до автоматично спиране на заразените страници. Когато се случи така, трябва да помолите хостинг компанията да възстанови вашия сървър. Без него не можете да направите нищо.
Идентифицирайте неговите слабости
Преди да го възстановите, първо трябва да разберете какви са слабостите в сайта ви, които са позволили хакерската атака. В противен случай нищо чудно след минути отново да падне. За целта можете да ползвате Gravity scan, който споменахме по-горе, или друг инструмент – плъгинът Sucuri.
Този плъгин предоставя многобройни възможности, включително и действия след хакерска атака. Можете дори да го инсталирате след нея и да си помогнете да премахнете заразата.
Необходимо е да свалите и добавите приставката към сайта си през WordPress панела.
След като го активирате, трябва да генерирате API Ключ чрез натискане на бутона.
Изберете имейл адрес и натиснете върху “Proceed”.
С това приключвате инсталацията.
Следва сканиране за Malware – скриптове, които атакуват компютрите на вашите посетители. Ако сте заразени, сайтът ви ще се срине в Гугъл, а потребителите ще бъдат предупредени да не влизат в него, така че трябва незабавно да се справите с проблема. Ето как се действа със Sucuri.
- Кликнете върху “Malware Scan”.
- Кликнете върху “Scan Website”.
Това ще накара инструментът да сканира всички страници и файлове в сайта ви, при това по такъв начин, по който трудно би могъл да бъде спрян от хакер, дори и да има достъп до управлението. Ако нямате никакви вируси, ще видите пълно със зелени светлини съобщение.
Ако е налице Malware, програмата ще ви покаже списък със заразените места и препоръки за почистването им. Плъгинът предлага и премахване на заразата срещу заплащане, което е повече от разумен ход от ваша страна в такъв случай.
Тези файлове са сърцето на цялата WordPress платформа и със сигурност не искате точно те да бъдат заразени. Със Sucuri веднага можете да разберете дали е налице такъв проблем.
В случай че файловете са инфектирани, ще трябва да ги преинсталирате от техния източник, следвайки инструкциите, които ще се покажат на екрана.
Проверете Audit Log за променени файлове
Хакерите могат да ви навредят не само чрез вируси или инфектирани файлове, но и чрез промяна на добавките и темите, инсталирани на сайта ви. Важно е да проверите дали не се е появила някаква неизвършена от вас промяна в кода и, ако откриете такава, задължително да я отмените.
По-лесно се получава, когато знаете горе-долу кога е извършена атаката. В противен случай нещата доста се усложняват, но все пак има достатъчно варианти за реакция.
Audit Logs се показват в Sucuriточно под информацията за Core File Integrity.
Как да разберете IP адреса си?
Внимателно разгледайте този списък и идентифицирайте действия, които не помните да сте извършвали. Важно е да проверите и за непознати IP адреси. Всички действия, извършвани през вашия IP адрес, най-вероятно не носят заплаха. За да разберете IP адреса си, просто изпишете в Гугъл „What is my IP address?”
Този адрес по принцип не е постоянен, а се променя през определен период от време, освен ако не сте с фиксирано IP, което е малко вероятно.
Проверете за подозрителни акаунти
При хакерска атака съществува сериозна възможност някой да е придобил достъп до администрацията на сайта ви. Можете да направите проверка за подозрителни влизания и акаунти чрез таба Last Logins в Sucuri.
Щом стане ясно, че сайтът ви е бил успешно атакуван, ще се наложи да го възстановите от последния създаден архив. Ако нямате такъв или не е достатъчно скорошен, ще трябва ръчно да се справите с хакерската атака. Процесът по принцип не е много труден, но отнема време и със сигурност ще се научите да си правихте редовно архиви след това.
Премахнете подозрителните потребители
Това включва всички потребителски профили, които не помните да сте създавали и ви се струват подозрителни. Трият се директно от WordPress панела, в секция “Users”. Заедно с профилите можете да изтриете и цялото съдържание, създадено от тях.
Възстановете повредените файлове
Върнете се в главната страница на Sucuri и изберете всички променени Core файлове, които са засегнати от атаката. След това отидете на падащото меню “Actions” и изберете “Restore Source”. Сложете тикче и на отметката „I understand that this operation cannot be reverted“ и натиснете “Proceed”. След секунди инструментът ще е заменил засегнатите core файлове с официалните им версии.
Премахнете подозрителните достъпи до базата с данни
Wordpress съдържанието се пази в база данни, а на същото място е отишло и евентуално създаденото от хакерите съдържание. Почистването на базата с данни не е особено лесно и е малко пипкаво. Сървърът с данните може да се управлява чрез текстови инструмент, който е доста сложен за ползване, затова хостинг доставчиците предоставят алтернатива като :PHPMyAdmin”, например – по-визуален инструмент за управление на базата с данни. Обикновено на главната страница в хостинг панела има директен линк към този инструмент.
Необходимо е да влезете там и да достигнете до списъка с бази данни. Тази, свързана с WordPress, обикновено носи същото име. Преди да започнете е добре да архивирате сегашното състояние на базата, в случай че объркате нещо. Изберете “Export”, а отнастройкитепосочете gzippedкомпресия.
След това трябва да посочим, че желаем при използване на архива настоящата база данни да бъде изтрита и да бъде заменена с тази от архива. Прави се чрез отметка „Add drop table” под “Object creation options”. С останалите настройки няма нужда да се занимавате и директно натискате „Go”.
Ще бъде създаден текстови файл с цялата база данни, който трябва да запазите на сигурно място в компютъра си.
Проверете за злонамерени данни
В никакъв случай не пропускайте горната стъпка, защото опасността от повреда в базата данни след човешка намеса е огромна!
Sucuri по време на сканирането за вируси проверява за популярни текстови комбинации, които се получават в базата данни при хакерска атака и вирусна инфекция. Направете си в един текстови файл списък с подозрителните фрази, които е открила програмата. Добавете и спам думите и URL адреси, които са излезли като резултат от сканирането. Накрая добавете следните фрази:
base64_decode
eval
preg_replace
gzinflate
str_replace
Това са PHP функции, които често се използват от хакерите, но понякога са и част от легитимния код на някои плъгини. По принцип е доста трудно да се определи дали определена фраза в кода е легитимна или е писана от хакер, затова е необходимо да тестваме дали сайтът работи правилно след всяко изтриване, което правим, и задължително да архивираме преди следващата стъпка, ако видим, че всичко е наред.
След като сме събрали списък с фрази за търсене, е време да започнем и самото търсене.
Първо отидете на “Search” таб-а.
Копирайте първия израз в полето.
Изберете всички таблици от базата с данни.
Започнете търсенето. Ако фразата не бъде срещната никъде, ще се покажат 0 намерени резултата. В противен случай ще видите къде е открито съвпадение.
Кликнете върху “browse” и ще видите повредените елементи в табличка.
Сега трябва да проверите дали целият запис е за изтриване или не можете да си позволите да го загубите и трябва да го коригирате. Кликнете върху “edit link” и прочетете съдържанието на кода. Ако прецените, че е напълно безполезно, можете да го изтриете. В случай че не сте сигурни, задължително архивирайте преди това.
Със сигурност всички тези стъпки звучат изключително сложно и действително не бива сами да се наемате с тях, ако не се чувствате уверени в уменията си. Най-добре е, ако се стигне дотук, да се обърнете за помощ към специалист.
Със Sucuri можете да промените потребителските пароли през панела “Post Hack”. Това ще доведе до промяна на паролата за всеки потребител и изпращане на имейл до всеки от тях, както и прекратяване на всички настоящи сесии. Не го правете по този начин, ако не можете да получавате имейли от WordPress! В такъв случай по-добре да използвате вградената в платформата настройка за генериране на пароли.
Хакерите често си оставят „вратички“ в сайта, за да могат да влязат в него, когато си поискат. Правят го чрез различни скрити скриптове. Понякога ги слагат не в WordPress директорията, а на съвсем друго място, така че е необходимо да сканирате цялата мрежа от файлове. Повечето хостинг доставчици предоставят инструмент, с който бързо можете да свършите тази работа. В противен случай ще бъде необходимо да се обърнете към специалист, който да направи ръчна проверка.
След като сте почистили всички файлове и данни в сайта си, ще трябва да запълните всички останали дупки в защитата, за да се защитите от нови бъдещи атаки.
Посетете Gravity Scan и сканирайте сайта си. Ще получите доста подробен списък с всички пролуки в неговата защита, които задължително трябва да поправите. Една от първите стъпки пред вас би била актуализацията на WordPress, както и на всяка използвана добавка.
След като сте актуализирали WordPress, ще трябва да промените настройките си за сигурност във файла wp-config.php. Необходима е промяна на следните неща:
- Защитни ключове
- Така наречените “salts”
- Паролата за базата данни
Екипът на WordPress максимално е улеснил първите две стъпки. Просто отворете този линк https://api.wordpress.org/secret-key/1.1/salt/ и копирайте кода. Линкът генерира автоматично при всяко отваряне уникален код, така че можете директно да го поставите във файла.
По-сложно стоят нещата с паролата за базата данни.
При инсталацията на MYSQL са били създадени няколко потребителя. Изберете този, който фигурира в wp-config.php файла.
Кликнете върху “edit privileges” и след това върху „Change Password”. В полето за нова парола напишете трудна комбинация от букви, цифри и символи, копирайте я и кликнете “Go”.
Това ще промени паролата, но сайтът ще крашне, защото WordPress вече няма да има достъп до базата с данни. За да поправите тази грешка, променете паролата и в wpconfig.phpфайла.
Редактирайте следния ред:
define(‘DB_PASSWORD’, ‘СТАРА ПАРОЛА’);
на
define(‘DB_PASSWORD’, ‘НОВА ПАРОЛА’);
След като запазите, сайтът отново ще се върне на мястото си.
Sucuri предлага множество варианти, с които можете да подсилите сайта си, за да не пострадате отново от хакерска атака.Ще ги откриете в таба “Hardenin” в инструмента.
Съветваме ви да последвате всеки съвет за максимална сигурност. Повечето от тях стават автоматично с помощта на някой плъгин, така че няма да ви бъде никак трудно.
Всичко, което описахме досега, изглежда като доста кофти преживяване, нали така? И наистина е. Ако сте мазохисти, със сигурност ще ви хареса цялото това мъчение, но в противен случай много по-удачно би било да правите редовни архиви и при хакерска атака да възстановите сайта си за по-малко от две минути.
Можете да използвате услугите на хостинг компанията си, за да правите редовни архиви. Някои от тези услуги са платени, но както виждате, напълно си струва парите. Направете си и график, така че през определен период от време да сваляте цялата база данни от сайта си във вашия компютър и да я пазите там или във външна памет.
И така, по един или друг начин сте успели да се върнете онлайн. Нека видим сега как можете да подобрите защитата в сайта си.
Повечето от проблемите в сигурността на WordPress са свързани с факта, че това е динамична платформа, работеща върху купчина от сървъри. PHP скриптовете са способни на много неща – достъп до база данни, преглед и промяна на данните, преглед и промяна на системата от файлове, както и други (вероятно злонамерени) процеси.
Един от крайните варианти за защита е превръщането на WordPress сайта в група от статични файлове, съхранявани на обикновен уеб сървър. Такова съдържание не може да бъде хакнато.
Разбира се, процесът по трансформацията на сайта по такъв начин би отнел изключително много време и усилия, ако го извършваме изцяло ръчно, но можем до голяма степен да го автоматизираме. Бихте могли, например, да използвате програмката httrack, за да изтеглите цялото съдържание на сайта си и да го превърнете в отделни HTML, CSS, JavaScript или други файлове. Добра работа може да свърши и плъгинът Simply Static.
След като изтеглите файловете си, можете да ги качите на подходящ уеб сървър и да пренасочите DNS сървърите на домейна си към nameserver-ите на новия хост.
Основният недостатък на превръщането на сайта в статични страници е загубата на всички динамични възможности, които предлага WordPress, като елементарно пускане на нови публикации, коментиране, лесни онлайн продажби и така нататък. На практика, при статичния сайт при всяка промяна ще трябва да създавате нов или да редактирате ръчно стар HTML файл. Това изглежда безумно в днешно време, но за щастие има и по-добро решение.
Можете да продължите да държите WordPress инсталацията на таен IP адрес, като така ще можете да използвате функционалността на платформата. Ще трябва, обаче, след всяка промяна да изтегляте статичните файлове на сайта си. Това не би ви отнело твърде много време, защото може да се автоматизира.
Подобна трансформация на сайта може да ви изглежда сякаш правите огромна крачка назад, но по този начин си осигурявате идеална защита и продължавате да се възползвате от предимствата на WordPress. Освен това, зареждането на страниците става много по-бързо, а всички знаем какво означава това – по-добро потребителско преживяване, по-високо класиране в Гугъл и повече конверсии.
Тази алтернатива не би била подходяща за вас, само ако разчитате прекалено много на динамично съдържание, в това число различните приставки в WordPress. Ако функционалността на сайта ви се крепи на тях, не бива да го местите на статично място.
Драстичната трансформация на сайта в статични файлове не би могла да се приложи от всеки. Все пак, има множество малки и простички неща, които можете да направите, за да защитите динамичния си WordPressсайт. Може да изглеждат елементарни, но въпреки това си остават изключително ефикасни.
Хакерите атакуват тези, които са лесни мишени. Целта ви е да се превърнете в трудна мишена, така че да не се занимават с вас. Важно е да градите сигурността на сайта си малко по малко и постоянно да я надграждате, а не да се задоволявате с една или няколко неособено ефективни мерки.
Започнете със защитата от собствения си дом.
По всяка вероятност компютърът ви съдържа голямо количество ценна и важна за вас информация и хакването му би ви донесло много повече неприятности от атака към сайта ви.
Може да ви звучи невероятно, но е напълно възможно при покупката на чисто нов компютър от популярен хипермаркет за техника да не сте в пълна безопасност и в него вече да има вируси. Въпреки че такива случаи са по-скоро изключения, хубаво е да не се доверяваме напълно на новия си готов за ползване лаптоп.
Изобщо, вирусите, с които може да бъде заразен компютърът ви са най-разнообразни и се разпространяват по всевъзможни начини. Дори и най-простичките от тях, които само записват всички комбинации, които правите на клавиатурата, и ги изпращат на някого, могат да ви донесат сериозни проблеми, защото в тази информация ще се съдържат пароли, номера на банкови карти и други подобни неща.
Не е чак толкова трудно да пазите компютъра си. На първо място, инсталирайте си качествена антивирусна програма и използвайте защитната стена. Не влизайте в сайтове, където има предупредения за вируси и хакерски атаки и, изобщо, внимавайте какви места посещавате в мрежата. Никога не изтегляйте и не пускайте подозрителни файлове.
На всеки може да му бъде откраднат лаптопа, а ситуацията ще стане още по-неприятна, ако не сте си сложили парола. Вероятно като повечето хора сте дали разрешение на браузъра да помни всички пароли, с които влизате в различни сайтове и социални мрежи. Всичко това ще бъде в ръцете на някого друг и той спокойно ще може да осъществява достъп до всички ваши профили, ако се добере до лаптопа ви.
Разбира се, паролата не гарантира 100% сигурност и всеки с по-развити хакерски умения може да влезе в хард диска ви, заобикаляйки паролата. Повечето крадци, обаче, не са чак толкова образовани и затова няма никакъв смисъл да ги улеснявате допълнително.
Още по-добра защита предоставя криптирането на целия хард диск и информацията в него. Така ще загубите единствено лаптопа си, но не и всички ценни данни в него и ще сте сигурни, че никой няма да осъществи нерегламентиран достъп до ваш профил в мрежата, да управлява сайта ви вместо вас или да изпразни банковата ви сметка.
HTPPS протоколът крие важна информация – като данните ви за достъп до админ панела на сайта ви, например. Без този протокол тази информация пътува в мрежата като свободен текст, а прихващането на този трафик е изключително лесно.
Вече не е никак скъпо да си купите SSL сертификат, нито пък е трудно да мигрирате към HTTPS, така че нямате никакви оправдания.
Използвайте трудни за разгадаване данни за достъп
Силно се надяваме да не сте сред хората, използващи „123456“ или други такива налудничави комбинации за парола. Данните ви за достъп трябва да бъдат невъзможни за разгадаване, така че името на първото ви куче също не е опция. Не е добра идея и да измислите добра парола и да си я запишете на компютъра или телефона.
Тогава остава въпросът как да запомним толкова сложна парола. Един практичен вариант е да използвате за парола дума, която е лесна за запаметяване, и на избрани места да вмъкнете цифри и символи. Можете и да позволите на браузъра да запомни паролите ви, но само ако никой друг не ползва вашите устройства и криптирате хард диска си. Добра алтернатива е и инструментът LastPass, който генерира и помни пароли вместо вас. Вие трябва да запаметите само паролата за достъп до тази програма, нищо друго.
Променете потребителското име на админа
При инсталацията на WordPress администраторското име по подразбиране е “admin”. Ако го оставите така, за хакера остава само да разбие паролата ви, която, ако не е сложна, няма да му отнеме много време.
Затова по-добре се опитайте да го затрудните и с трудно потребителско име. Просто създайте нов потребител, прехвърлете му администраторските права и изтрийте този, който е по подразбиране.
Променете URL адреса за достъп до админ панела
Всички нови WordPress сайтове имат автоматично създадена папка, до която се достига чрез URL адреса на сайта ви и „/wp-admin”. Хубаво е да промените пътя до тези администраторски файлове, защото всеки хакер би опитал да ги атакува. Измислете някаква уникална комбинация, запаметете URL адреса в браузъра си и не го казвайте на никого. Това е още един слой на защита, който в никакъв случай не е непробиваем, но допълнително затруднява хакерските атаки.
Влизайте в мрежата през сигурни връзки
Страхотно е, когато намерим безплатен Wi-fi сигнал, но точно тези мрежи са най-несигурните. Всеки може да пусне интернет от някакъв рутер и да записва цялата информация, която тече в тази мрежа. Дори и администраторът на Wi-fi мрежата да не е толкова злонамерен, повечето хакери лесно могат да пробият защитата на такива публични безжични връзки. Ето защо трябва много да внимавате какво споделяте, когато хващате безплатен Wi-fiсигнал, къде влизате и от какви устройства.
Външно управляван WordPress хостинг
Не е никак лесна задача да се справим с всички необходими неща, за да защитим добре сайта си. Ето защо понякога е по-добре да прехвърлим тази работа на някого друг. Такава възможност представлява външно управляваният WordPress хостинг. Предлага се от доста компании, има известна цена, която напълно си струва да платите, ако сайтът ви е достатъчно ценен и ви носи добри приходи.
Разбира се, това не означава, че можете да сте небрежни и да споделяте паролите си с всички. Хубаво е и да имате поне базови познания за WordPress защита, за да сте сигурни, че наистина получавате това, за което плащате. Когато прехвърлите тази тежест на някого друг, ще можете да се съсредоточите върху истинските си цели – маркетинг, съдържание и приходи.
Не казваме, че е лошо сами да вършим всичко. Ако смогваме и го правим добре, дори е чудесно – стига да не оплескаме нещата накрая.
Теми и джаджи само от авторитетни източници
Wordpress обществото се слави със своята динамика и продуктивност. В интернет можете да намерите огромно разнообразие от приставки и теми за WordPress сайтове, с които на практика можете да направите каквото си поискате. Важно е обаче да сте добре запознати с източниците, от които теглите тези допълнителни приспособления.
Можете спокойно да се доверите на най-известните места за сваляне на джаджи и теми като специализираните магазини, но торент тракери и сайтове за обмен на файлове не са никак надеждни. Рискът там е много голям и трябва добре да си помислите дали си струва да го поемете.
Разбира се, няма гаранция, че в официалната WordPress директория не се намират повредени или инфектирани с вирус теми и плъгини, но вероятността е изключително малка, тъй като там кодът на всяка програма се преглежда и освен всичко друго можете да се ориентирате по потребителските ревюта. Ако нещо е сваляно много пъти и има добри оценки, значи можете да му се доверите.
Как да избирате приставки и теми?
Трудно можете да прецените дали определена тема или приставка е опасна за сайта ви. Можете да сте сто процента сигурни, ако:
- Станете професионален WordPressи PHP разработчик
- Се научите на хакерство
- Направите пълен одит на темата или приставката от всички гледни точки.
Вероятно повечето от вас не биха се справили с тези неща, нали? Ето и някои по-приложими съвети, с които можете да разпознаете рисковите елементи:
- Редки актуализации
- Множество негативни потребителски ревюта
- Липса на адекватна поддръжка
- Негативна история с хакерски атаки
Последното изглежда очевидно, но е важно да намерите такава информация. Можете да започнете с търсене в wpvulndb. Това е голяма база данни, съдържаща информация за множество проблеми, свързани с хакерски атаки на теми и плъгини за WordPress. Ако там не откриете нищо. Бихте могли да потърсите и в Гугъл с фраза от рода на „име-на-темата exploit”.
Най-големите рискове, свързани със сигурността в WordPress, се крият именно в проблемните теми и приставки, затова бъдете изключително внимателни.
Поддържайте сайта си актуализиран
Актуализациите в WordPress са изключително редовни и е много важно да не ги пропускате. Възможно е след актуализацията на някоя приставка тя вече да не работи, тъй като не разполагате с достатъчно ресурси или си пречи с друга приставка или джаджа на сайта. Това, което в никакъв случай не трябва да правите, е отмяна на актуализацията и връщане на старата версия. Само една незащитена приставка може да провали целия сайт. По-добре е да деактивирате проблемния плъгин и да потърсите заместител или да изчакате докато разрешат ситуацията. Можете да ускорите процеса, като се свържете с разработчика.
Понякога след голяма актуализация може да спре целият сайт и да нямате представа коя е проблемната приставка. В такъв случай можете да последвате следните стъпки:
- Изключете всички приставки.
- Активирайте една по една жизненоважните от тях.
- След това отново една по една активирайте и по-незначителните.
- Накрая изтрийте приставките, които изобщо не ви трябват.
Зареждайте отново сайта след всяко включване на приставка, докато не блокира. Така ще разберете кой е виновникът.
След това е необходимо да откриете причината за проблема. Оставете включена само повредената приставка и изключете всички други. Ако сайтът отново не работи, ще трябва да инсталирате по-добра операционна система, да се свържете с хостинг компанията си, за да поискате повече ресурси, или да потърсите помощ от разработчика на приставката.
Ако сайтът работи добре само с проблемната приставка, но крашва при включване и на останалите, значи проблемът е свързан с някакъв конфликт между всички инструменти. Отново можете да повторите процедурата по включване на другите приставки една по една, за да видите къде се чупи връзката.
Тези приставки са страхотни – значително подобряват цялостната защита на уебсайта. Sucuri и WordFence са два блестящи примера. И двата разполагат със защитна стена, която блокира злонамерени атаки и инфектиран с вируси трафик. С помощта на тези програми получавате и по-добър поглед върху действията в сайта и можете да разберете дали е имало нерегламентиран достъп до администраторския панел.
И двата инструмента имат безплатна и платена версия, като платената, разбира се, предоставя много повече функции. Пробвайте ги, вижте как работят и си изберете една от програмките, тъй като не могат да бъдат включени едновременно.
С един от тези инструменти ще подобрите сериозно защитата в сайта си, но все пак това не е напълно достатъчно.
Изключете Pingbacks и Trackbacks
Първо, един въпрос. Използвате ли изобщо Pingbacks и Trackbacks? Вероятно не, както и повечето хора. Идеята им е, когато напишете нещо, свързано със съдържанието на някого друг, той да получава сигнал в сайта си и да се генерира коментар във вашия блог с линк към другия. Това така и не набра особена популярност най-вече заради прекалената му експлоатация от black-hat SEO специалисти.
Общо взето, тези опции само ви създават допълнителна работа по контролиране на коментари и линкове в сайта ви и пречат на неговата качествена защита. Ето защо е по-добре просто да ги изключите.
Вече споменахме Gravity Scan, с чиято помощ можете да идентифицирате проблеми и заплахи на всички нива в сайта си. Използвайте инструмента и редовно сканирайте страниците си, за да се справите с проблемите навреме.
Sucuriсъщо върши добра работа в тази насока, а освен тези инструменти можете да намерите и много други сканиращи програми.
Malware скенерите търсят вируси или други сигнали за хакерска атака.
Virus Total пък е друг чудесен инструмент. Той ползва обща информация от цели 54 различни скенера. Трябва само да посетите Virustotal, да кликнете на URL таба и да въведете адреса на сайта си. След минутка ще получите изключително подробна информация.
Всички тези скенери обаче не биха могли да засекат DOS атаки, които са способни да сринат сайта. За да идентифицирате подобни заплахи, е необходимо да използвате специален мониторинг. За целта можете да се обърнете към инструмента Pingdom. Цената му започва от 12 долара, като има и 14-дневен безплатен тестов период. Той проверява непрекъснато сайта ви от 10 различни места по света и може да ви уведоми със SMS или имейл на секундата, ако се получи срив.
Ако отдавна ползвате хостинг акаунта си, много е вероятно там да има останали различни приложения, които вече вие или потребителите ви не ползвате. Всеки такъв изоставен код на сървъра представлява добра възможност за хакерите, затова по-добре да се отървете от всичко ненужно.
Linux разрешенията са много мощен инструмент за предпазване на данните и кода в сървъра. С тяхна помощ контролирате кои потребители или процеси могат да достигнат до определени файлове и директории и какво могат да правят с тях.
Тази система може да работи с много потребители, като един от тях е най-висшият. Той може да влиза навсякъде и да прави всичко. Когато определен потребител създаде някакъв процес, процесът придобива същите права като тези на потребителя.
Необходимо е да настроите този инструмент правилно, за да ограничите максимално заплахата от хакерска атака. Ето какви разрешения е препоръчително да зададете.
Директориите трябва да бъдат зададени на 755 – неограничен достъп от потребителя, другите групи и публичните потребители могат само да влизат и да разглеждат директорията.
Всички файлове в WordPressтрябва да бъдат настроени с 644 разрешение. То дава възможност на собственика да отваря и редактира файловете, а групите и публичните потребители могат само да ги отварят.
Файлът wp-config.php пък трябва да бъде настроен с разрешение 600 – собственикът може да го отваря и редактира, никой друг не може да има достъп до него.
Не беше чак толкова трудно, нали? Сайтът ви вече изглежда доста добре защитен. Със сигурност всички тези стъпки ще помогнат да подобрите значително защитата си в WordPress, но има още върху какво да поработите.
Затова ще ви покажем още няколко неща, които са с една идея по-напреднали. Накрая ще ви разкрием и един начин за защита от атака извън WordPress – такава към сървъра, при която няма абсолютно никакво значение върху коя CMS платформа е изграден сайтът.
Използване на .htaccess за по-добра защита
Досега свършихме добра работа по защитата, свързана с хостинга, и е време да обърнем внимание и на слабостите в WordPress конфигурацията. Можете да използвате .htaccess файловете, за да скриете важен код от хакерите – включително и wp-config файла, който е пълен с важна и тайна информация.
Поставете следните редове в .htaccess файла в главната WordPress директория:
<Files wp-config.php>
order allow,deny
deny from all
</Files>
За да предотвратите инфектирането на malware в компютрите на потребителите ви, поставете тези редове в .htaccess файла в директорията на качените файлове (вътре в wp-content):
orderdeny,allow
deny from all
<files ~ „.(xml|css|jpe?g|png|gif|js)$“>
allow from all
</Files>
Този код забранява всякакво съдържание освен XML, CSS, jpeg, png, gif и javascript. Ако все пак ви се струва твърде либерално, можете да махнете javascript от изключенията.
Можете да наложите и абсолютна забрана на PHP в папката с качени файлове чрез кода:
<Files *.php>
deny from all
</Files>
Поставете го в нов .htaccess файл в същата директория.
Ако сте забелязали скорошна атака от конкретен IP адрес, можете да я блокирате с .htaccess:
orderallow,deny
deny from 123.123.9.9
allow from all
Заменете 123.123.9.9 с адреса, който искате да блокирате.
Добре е и във всеки .htaccess файл във всяка директория да добавите и следния код:
Options All -Indexes
Това ще подсили вградената защита в WordPress срещу разпространяване на съдържанието в директориите.
Ако връзката на домашния ви компютър е фиксирана, можете да забраните достъп до админ панела от всяко друго устройство чрез кода:
order deny,allow
allow from 192.168.1.1
deny from all
Заменете 192.168.1.1 с вашия IP адрес. Уверете се, че наистина е фиксиран, иначе ще заключите и себе си. Можете да добавяте още редове “allow from”, ако имате няколко фиксирани IP адреса.
Това е приспособление, което позволява да се публикува съдържание през API, а това е полезно, ако използвате външни приложения, за да пускате публикации. Ако не ви е нужна, можете да изключите тази опция с помощта на тази приставка.
Добавяне на двуфакторно удостоверяване
Поставянето на парола, дори и сложна за разгадаване, не е достатъчна зашита на администраторските ви акаунти. Винаги може да бъде открадната или заобиколена по някакъв начин. Двуфакторното удостоверяване добавя още един силен слой към цялостната защита на уебсайта ви.
Ако използвате Google Authenticator, ще получавате съобщение на телефона, което трябва да потвърдите, за да влезете в профила си. Така, за да влезе някой друг, трябва да знае паролата ви и да се е добрал до вашия телефон. Clockwork SMS работи по подобен начин, но не ви трябва приложение на смартфона, а директно получавате SMS. Добра работа вършат и Two-Factor Authentication и WordFence Security.
Свършихме доста работа с всички тези стъпки, а да се защити добре WordPress сайт, не е никак лесно. Ако ги приложите, със сигурност ще успеете до голяма степен да се предпазите от хакерски атаки, но въпреки това все още има шанс за пробиви. Той се крие в слабости не на WordPress платформата, а на самия сървър, който ползвате.
Защитата на сървъра вече си е висш пилотаж и изисква много развити умения и знания. Стъпките са далеч по-сложни от всичко, което изброихме, но въпреки това ви съветваме сериозно да намерите начин да се погрижите и за сигурността на сървъра си. Дори и да не можете сами, отделете ресурси за външна помощ, защото само по този начин бихте могли да постигнете възможно най-качествена и сигурна защита.
Подсигуряването на WordPress е като смяната на дървена врата на къща със здрава блиндирана такава. Вероятно ще спрете крадците, но не и ако сте забравили да затворите прозорците.