Фев 16, 2016 - 0 Comments - Создание сайтов -

Усиление мер безопасности в WordPress, Часть 1

Это настоящий кошмар: зайти на свой сайт и увидеть, что его взломали. Если вы работаете над своим персональным блогом, то это может стать просто немного неприятным происшествием. Если вы ведете сайт клиента, то готовьтесь к тяжелому и напряженному дню. Если же такое происходит с вашим интернет магазином — здравствуй, приступ паники! В любом случае, ничего хорошего от такой ситуации ожидать не стоит. Поэтому, вам нужно придумать план, который помог бы избежать негативных последствий от атак хакеров.

Смотрите также:

  • Угрозы безопасности WordPress, на которые стоит обратить внимание
  • Как защитить свой WordPress сайт при помощи Sucuri
  • Новый плагин для защиты WordPress — iThemes Security
  • Журналы аудита — недостающий компонент в вашей стратегии безопасности WordPress
  • Повышаем безопасность сайта вместе с плагином Better WP Security

И мы с радостью вам в этом поможем. Это первая часть мини-серии, в которой мы расскажем о том, как сделать свой WordPress проект максимально защищенным.

Пару слов про безопасность в WordPress

Как вы думаете, WordPress является безопасной платформой? Будет абсолютно нормально, если вы ответите «Нет», многие люди именно так и считают. Но это очень далеко от истины… по крайней мере, на сегодняшний день.

Что общего между Microsoft Windows, Android, Google Chrome и WordPress? Все это примеры очень популярного программного обеспечения. Люди постоянно находят пробелы в их безопасности. Но даже с учетом того, что им все время приходится исправлять ошибки и уязвимости, делает ли наличие пробелов безопасности эти инструменты ненадежными?

Нет, это не так. Частые обновления не обязательно означают то, что часть кода плохо написана или программа не защищена от внешних угроз безопасности. Игра в кошки-мышки между разработчиками и хакерами будет продолжаться всегда, и хакеры всегда будут находить способ взломать программное обеспечение. Если оно является таким масштабным, как WordPress, шансы на попадание под атаку хакеров вырастают.

В данном вопросе очень важно уметь быстро реагировать и в некоторых случаях даже опережать некоторые события. Здесь WordPress выгодно выделяется. Вам придется подождать несколько дней, пока разработчики в Google Chrome смогут залатать их дыру в безопасности или даже несколько недель в случае с Microsoft.

Огромное сообщество разработчиков WordPress сможет исправить проблему в день ее появления и обнаружения. Помимо этого, есть целая команда, которая работает над безопасностью ядра WordPress, так что мы в хороших руках. Если рассматривать темы и плагины, то там можно легче найти ошибки и недостатки, но может понадобиться больше времени на их решение.

В любом случае, ничто не является стопроцентно безопасным. Мы живем в то время, когда ученые собираются взломать код в наших мозгах! Ничто не является непроницаемым, и WordPress не исключение. Но невозможность обеспечить стопроцентную безопасность не означает, что мы не должны стремиться к 99,999%.

Увеличение безопасности в WordPress

Исходя из личного опыта и некоторых исследований, мы составили список мер безопасности, которые необходимо принять. Без лишних слов, давайте приступим.

Файл .htaccess

Давайте начнем с простого. Если ваш сайт WordPress размещается на веб-сервере Apache, и в Настройках → Постоянные ссылки вы включили Название записи, WordPress создаст файл с именем .htaccess для хранения основных инструкций для постоянных ссылок WordPress. Если вы не меняли настройки постоянных ссылок, файл .htaccess не будет создан ядром, но следующие советы по-прежнему можно применить, просто для этого нужно создать файл самостоятельно.

Совет: Если вы собираетесь создать файл .htaccess самостоятельно, и у вас возникли проблемы с созданием файла без имени, но с расширением .htaccess, просто загрузите пустой файл с любым именем (например, Untitled.txt) и измените название и расширение в вашем FTP клиенте.

Среди всех трюков и подсказок, выполнить данный пункт и защитить свой .htaccess проще всего. Все, что вам нужно сделать, это добавить следующие строки в файл:

# protect .htaccess
<Files .htaccess>
   order allow,deny
   deny from all
</Files>

Это поможет защитить файл .htaccess от тех, кто хочет получить доступ к нему.

Далее, давайте отключим показ содержимого папок:

# disable directory browsing
Options All -Indexes

Теперь посторонние не смогут увидеть содержимое ваших папок. Например, myblog.com/wp-content/uploads/. Как правило, любой был бы в состоянии увидеть загруженные файлы или перемещаться по вложенным папкам в директории /uploads/, но с этой маленькой уловкой, они увидят ответ от сервера: 403 Forbidden.

Тут стоить отметить «черный список» от Perishable Press: The 5G Blacklist. Этот черный список защищает ваш сайт от многих видов вредоносных действий: начиная от вредных строк запроса и заканчивая плохими пользовательскими агентами.

С данным пунктом мы закончили. Давайте перейдем к манипуляциям с wp-config.php.

Файл wp-config.php

С точки зрения безопасности файл wp-config.php, скорее всего, самый важный файл во всей вашей установке WordPress. И есть много действий над ним, которые помогут вам укрепить ваш сайт.

Давайте начнем с интересного: вы знаете, что можете разместить свой файл wp-config.php на уровень выше в корневом каталоге WordPress? Если это вас не запутает, переместите его прямо сейчас. Зачастую мы устанавливаем WordPress в директориях public_html, и файл wp-config.php внутри root.

Не уверены, что это очень сильно повысит уровень защищенности сайта, но со стороны кажется, что файл теперь находится в большей безопасности. На Stack Exchange был хороший спор на эту тему.

Давайте вернемся обратно в root к файлу .htaccess и добавим следующие строки, чтобы запретить доступ к файлу wp-config.php:

# protect wpconfig.php
<files wp-config.php>
    order allow,deny
    deny from all
</files>

Вот еще одна интересная идея: как насчет удаления разрешения на редактирование темы и файлов плагина? Для этого вам понадобится добавить следующую строку в файл wp-config.php:

define( 'DISALLOW_FILE_EDIT', true );

Если вы хотите отключить возможность установки или удаления плагинов вообще, под предыдущую строку добавьте следующее:

define( 'DISALLOW_FILE_MODS', true );

Еще два совета для улучшения WordPress: измените префикс базы данных, а также добавьте ключи безопасности (или salt-ключи) в файл wp-config.php.

С первым все вообще легко: проверьте, установили ли вы префикс базы данных, как значение по умолчанию, найдя следующую строку:

$table_prefix  = 'wp_';

Если там задано значение wp_, просто измените его на любое другое. Вам не нужно его запоминать, так что вы можете ввести любую рандомную комбинацию букв и цифр. Нам нравится комбинации типа wp_fd884vg_ — они и безопасные, и читаемые.

Изменить ключи безопасности также очень легко. Убедитесь, что ключи пустые, найдя следующие строки:

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'put your unique phrase here');
define('SECURE_AUTH_KEY',  'put your unique phrase here');
define('LOGGED_IN_KEY',    'put your unique phrase here');
define('NONCE_KEY',        'put your unique phrase here');
define('AUTH_SALT',        'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT',   'put your unique phrase here');
define('NONCE_SALT',       'put your unique phrase here');

Если в них всех написано: ‘put your unique phrase here‘, значит, они еще не установлены. В этом случае, перейдите по этой ссылке https://api.wordpress.org/secret-key/1.1/salt/ и скопируйте сгенерированные на той странице ключи.

Совет: Если вы хотите узнать о salt-ключах, есть большая статья о преимуществах этой меры безопасности.

Ну вот и все! Сегодня мы успешно усвоили полезную информацию и закончили с трюками в wp-config.php.

Заключение

Надеемся, что вам понравились наши советы по .htaccess и wp-config.php. Во второй части этой мини-серии мы поделимся другими важными советами и представим некоторые интересные WordPress плагины. Оставляйте свои отзывы и впечатления в комментариях, увидимся в следующей части!

Источник: code.tutsplus.com


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *