Безопасность WordPress стала грозной неувязкой, в особенности за последние два месяца. За это время на сайты, основанные на WordPress, было совершено неограниченное количество хакерских атак.

Среди их:

• атаки Blackhole Exploit Kit;
• пробы внедрения в структуру SQL;
• пробы получения доступа по логину и паролю;
• фишинговые атаки и т.д.

Новые релизы появлялись фактически каждую неделю за последние два месяца. У некоторых юзеров обновления выполнялись в самую кульминацию кризиса их сайтов: 500 Server Error. Эту делему в особенности тяжело решить, если WordPress у вас запущена в поддериктории.

Другими словами, лучше потратить чуточку времени на профилактику, чем неделю на устранение последствий.

Плагины безопасности для WordPress

Это 1-ая линия обороны – правильно примененные плагины безопасности сведут на нет фактически все усилия взломщиков, включающие даже автоматические угрозы, основанные на скриптах. Беспринципно откуда ведется атака, вы можете просто очень усложнить получение доступа к внутренностям вашего веб-сайта. Чем это сложнее, тем выше возможность того, что взломщик отступит и переключится на более легкую и доступную цель. Даже в мире взломщиков время – средства...

Существует неограниченное количество доступных плагинов безопасности для WordPress, каждый со своей методологией и вариациями по теме. Выбор в пользу 1-го вместо другого во многих случаях будет зависеть от серверного окружения – некоторые плагины просто не установятся, если не доступны нужные PHP-элементы или функции сервера. Вот список более фаворитных плагинов безопасности для WordPress:

• Better WordPress Security
• Wordfence Security
• Bullet Proof Security
• Secure WordPress.
• У каждого свои особенности, грешки и причуды. Но каждый работает.

Плагин Better WordPress Security

Этот плагин заточен под большой диапазон угроз. Он быстро эволюционировал, превратившись в грозное приложение.Атаки сначала совершались из Рф, Польши, Германии и Индии. Файерволлы также блокировали хост-адреса из Австралии, некоторых Европейских стран и с компютеров, которые нереально было идентифицировать из-за укрытого Ip-адреса.Вообще-то говоря, просто минимизировать потенциальные угрозы за несколько минут, которые стоит потратить на меры предосторожности. Подобные задачки можно решить:

• получив доступ на сайт через протокол FTP;
• деактивировав плагин Better WordPress Security способом переименования или удаления директории;
• отредактировав код BWS в файле .htaccess (или полностью его удалив).

Если WordPress у вас инсталлируется из корневой директории, BWS оставит вас в покое, но в этом случае вы должны отлично обдумывать WordPress, трудности безопасности и чувствовать себя уверенными в поиске изъянов.

Включенная по умолчанию функция «Back-up» может привести к работе вровень c другими запланированными бэкапами, например, запускаемыми программами BackupBuddy или WP DB-Manager. Это может обернуться 2-мя копиями вашего сайта.

Проверка других файлов (не в рамках установки WordPress) обернется ошибками типа «timeout» и перекроет доступ для Администратора, если у вас есть другие большие приложения или дополнительные домены. Существует функция «исключения директорий», но выбор должен производиться вручную. Блокировку нельзя убрать, поэтому будет необходимо деактивация (как обозначено выше).

Плагин Wordfence

WordFence обладает относительно обыденным интерфейсом в сравнении с BWS или Bullet Proof Security и работает по-другому. Он кажется очень устойчивым к ошибкам, а настраивать файервол очень легко. Рекомендуем сделать следующую настройку:

« Level 4: Lockdown. Protect the site against an attack in progress at the cost of inconveniencing some users».

Эта настройка нейтрализует самую утонченную спланированную автоматическую хакерскую атаку, но ценой пользовательской юзабилити сайта.

Wordfence можно настроить таким образом, чтобы предупреждения об опасностях присылались на e-mail. Они включают:

• предупреждение о критических проблемах;
• предупреждение об уведомлении;
• предупреждение о блокировке IP;
• предупреждение о блокировке пользователя;
• предупреждение о событии, когда форма «lost password» («забыли пароль?») употребляется для правомочного пользователя;
• предупреждение о входе в систему какого-либо пользователя с правами администратора;
• предупреждение о входе в систему хоть какого другого пользователя, не являющегося администратором.

Другие принципные аспекты безопасности включают:

• разрешение автоматического запланированного сканирования;
• сканирование и сопоставление основных файлов и репозиторных версий на наличие конфигураций;
• сканирование и выявление вредных файлов по имеющимся в базе сигнатурам;
• сканирование файлов на наличие бэкдоров, троянов и подозрительного кода;
• сканирование постов на наличие известных опасных URL и подозрительного контента;
• сканирование и выявление устаревших плагинов тем и версий WordPress;
• проверка надежности паролей;
• мониторинг дискового места;
• сканирование и выявление несанкционированных конфигураций опций DNS;
• сканирование других файлов (не в рамках установки WordPress).

Выбор за вами

Таким образом, мы рассмотрели более популярные плагины безопасности для WordPress. Все они имеют свои недостатки и плюсы, какой плагин выбрать – решать вам. Главное, всегда стоит держать в голове – неизменные меры предосторожности берегут массу времени и нервов.