CMS WordPress залишається однією із найпопулярніших систем управління сайтом у світі. Розробка сайту будь-якого типу – від особистого блогу до інтернет-магазину, просте та зрозуміле управління сайтом, легкість у адмініструванні, велика кількість навчальних матеріалів з будь-якого питання, можливість легко змінювати вигляд сторінок та функціональні можливості ресурсу за допомогою плагінів (серед яких безліч безкоштовних) – все це робить цю систему управління контентом незамінною у світі веб-розробки.
Та перед тим, як створити сайт на Вордпрес, варто подбати про безпеку майбутнього ресурсу та захист даних, адже з кожним днем зловмисники опановують нові методи злому сайту – виникають нові віруси, СПАМ-атаки, шкідливі скрипти, програми підбору паролів, яким під силу не лише викрасти дані, а й повністю унеможливити роботу сайту.
Тож якщо ви є власником сайту на популярній CMS або ж плануєте його розробку, вам варто ознайомитись із наступними порадами для захисту сайту на WordPress.
Зміст
1. Безпека хостингу
При виборі хостингу, на якому зберігатимуться дані вашого ресурсу, звертайте увагу не лише на виділену пам’ять та вартість тарифу обслуговування, а й на наступні параметри:
- підтримка останніх версій PHP та MySQL;
- регулярні та часті автоматичні бекапи сайту;
- сканування на наявність вірусів та загроз;
- оновлення версій програмного забезпечення.
2. CMS WordPress
Не забувайте оновлювати версію Вордпрес при виході оновлення, та попередньо зробіть бекап сайту – часто виникають проблеми із сумісністю нової версії системи із застарілими темами та плагінами. Оновлення до останньої версії дозволяє обійти безліч загроз для ресурсу, які могли зашкодити сайту за старішої версії.
3. Прихована версія Вордпрес
З певних причин не завжди вдається вчасно оновити версію CMS, тому варто приховати відображення діючої версії із коду файлів та сторінок – така інформація може спростити роботу для зловмисників. Приховати інформацію можна додавши наступний код у файл functions.php:
REMOVE_ACTION(‘WP_HEAD’, ‘WP_GENERATOR’);
Також варто видалити файли, які можуть містити інформацію про WordPress – readme.html та license.txt.
Надійний вхід
Як свідчить статистика, 8-10% зламів сайту на Вордпрес відбулись через слабкий вхід у систему. Для захисту особистого кабінету варто вжити наступних мір.
4. Нестандартний логін
Найпопулярніший логін – admin, саме його за замовчуванням пропонує система. При спробі злому боти одразу “викриють” стандартний логін, тому їм залишиться лише підібрати пароль.
Для того щоб змінити стандартний логін на більш надійний, виконайте наступні дії:
- Додайте у адмін-панелі нового користувача – його ім’я і буде новим надійним логіном. Надайте йому усі права на сайт із роллю “Адміністратор”.
- Після створення нового користувача увійдіть у кабінет під новим обліковим записом та видаліть користувача admin.
Ці дії краще виконати ще перед створенням будь-якого контенту на сайті – записи, які раніше опубліковані від імені admin, залишаться під його авторством. Щоб це виправити, потрібно здійснити запит до баз даних:
UPDATE WP_POSTS SET POST_AUTHOR = ‘ВАШ НОВИЙ ЛОГІН’ WHERE POST_AUTHOR = ‘ADMIN’;
5. Унікальний пароль
Паролі наступного типу не є надійними, підібрати їх зовсім нескладно:
- 12345;
- pass;
- пароль;
- 111111;
- 123456789;
- abc123;
- qwerty;
- дата вашого народження.
Не лініться одразу створити надійний пароль, без відмовок “згодом зміню”. При цьому, його генерацію краще довірити спеціальному інструменту, який створить складну комбінацію букв, символів, цифр, наприклад Ctr05H46mvr. Запам’ятати такий пароль, звичайно складно, тому для його збереження варто скористатись надійним розширенням браузера для збереження паролів, наприклад, LastPass для Google Chrome.
6. Обмеження спроб входу у CMS
Як правило, при спробі підбору паролів здійснюється велика кількість спроб входу. Для блокування можливості входу при таких діях на кілька годин можна скористатись спеціальними плагінами, наприклад, Login Lockdown. При цьому, у вас буде можливість самостійно визначити після скількох спроб блокувати вхід.
7. Подвійна аутентифікація
Для надійного входу на сайт можна також скористатись плагіном для подвійної аутентифікації Google Authenticator. Він працює таким чином, що при вході вам додатково потрібно буде ввести код, який надійде на ваш смартфон.
8. Зміна адреси входу
Стандартно здійснити вхід у систему управління можна за адресою, яка має вигляд:
HTTP://DOMEN.COM/WP-ADMINHTTP://DOMEN.COM/WP-LOGIN.PHP
HTTP://DOMEN.COM/WP-LOGIN.PHP
Для більшої безпеки URL входу можна змінити. Для цього необхідно здійснити заміну у файлі wp-login.php усіх варіантів із wp-login.php на нову адресу.
9. Захист файлу wp-config.php
Даний файл містить багато важливої інформації про вебсайт, тому його захист є дуже важливим. Для заборони доступу до нього у файл .htaccess потрібно додати:
<FILES WP-CONFIG.PHP>
ORDER ALLOW,
DENY DENY FROM ALL
</FILES >
10. Захист сайту на WordPress від спаму у коментарях
Якщо на ресурсі є безліч інформаційних матеріалів із можливістю залишати коментарі, варто захистити сайт від спам-ботів, які розміщують у коментарях посилання на сторонні ресурси. Для цього можна скористатись плагінами Вордпрес, наприклад, Akismet.
11. Використання надійних плагінів та тем
Встановлюйте лише надійні та перевірені теми та плагіни, які часто оновлюються. Для перевірки можна скористатись плагінами Theme Check та Plugin Detective plugin відповідно. Якщо інформація про плагін відсутня або її мало, краще його не встановлювати. Також не забувайте видаляти непотрібні плагіни та ті, які не оновлюються протягом тривалого періоду.
12. SSL сертифікат
Використовуйте сертифікат SSL для шифрування даних між браузером та сервером, особливо це необхідно для сайтів із використанням платіжних систем. Окрім того, сьогодні наявність сертифікату безпеки є одним із вагомих факторів для просування сайтів у Google.