Безопасность веб сайта
Они не останавливаются, они работают 365 дней в году, 24 часа в сутки. Каждый день мы видим в новостях, что чей-то сайт или база данных были взломаны. Это пугает и заставляет задуматься о безопасности наших сайтов. Чтобы не ходить далеко, вспомните недавнюю ситуацию с одним из гигантов хостинга GoDaddy. В результате атаки было недоступно более 50 миллионов сайтов. Возможно, среди них был и Ваш?
Так как мы, в качестве движка блога, используем WordPress — предлагаю Вам ознакомиться с несколькими простыми шагами, которые помогут сделать блог более защищенным.
Используйте надежные пароли
Это первый шаг в обеспечении безопасности Вашего блога. Создавайте надежные пароли, благо WordPress позволяет использовать не только буквы и цифры, а и множество «кракозябр» — @, #, ! , $, %, & и т. д. Оправдания типа: «Я использую тот же пароль на все моих сайтах, чтобы не забыть их» или «пароль по умолчанию является достаточно хорошим, и кто будет пытаться меня взломать? Мой блог не является очень известным… » — неприемлемы! Этот шаг не следует откладывать на завтра! Если вы используете пароль менее 10 символов — Вы делаете большую ошибку. Чего вы ждете?
Всегда следите за обновлениями
Обновления WordPress — это не только улучшение функциональности, исправление недостатков. Главная причина появления обновлений — устранить пробелы в системе безопасности.
Будет ли WordPress (или другая CMS-платформа) всегда на один шаг впереди хакеров? Конечно же — нет. В отличие от хакеров, они всегда будут на шаг отставать и мы должны принять это — это мир, в котором мы живем. Но это совсем не значит, что мы должны ничего не делать и облегчать жизнь своим недоброжелателям.
Некоторые боятся обновлений WordPress, поскольку встает вопрос совместимости настроек и работоспособности плагинов и тем.
Мой ответ на это прост: всегда делайте резервную копию перед обновлением WordPress. В этом случае Вы всегда сможете можете быстро перенастроить тему (если тема потеряла настройки), плагин. В конце концов — всегда можно «откатить» версию назад.
Но не только установки WordPress могут создать нарушение безопасности. Еще одним уязвимым местом являются плагины и темы. Поэтому, как и сам движок WordPress, всегда держите плагины и темы в актуальном состоянии.
Защита доступа администратора
При инсталляции движка «с нуля» рекомендуется изменить имя пользователя admin на собственный. Но стоит обратите внимание, что имя пользователя не является ключевым фактором с точки зрения мер безопасности.
Хакеры могут найти Ваше имя пользователя легко, просто нужно посмотреть какую-нибудь из ваших статей или ссылку на автора публикации.
Пример: Site.ru/author/ваш_логин/
Таким образом, имя пользователя не имеет значения, хотя и является частью комбинации логин+пароль. Главное — пароль, как это указано в пункте 1.
Если Вы, все же, решили не показывать свой логин посторонним — в одной из следующих статей я расскажу как это сделать.
Остерегайтесь атак несанкционированного доступа
По данным статистики, опубликованной сайтом Copyblogger, который является одним из самых читаемых блогов в мире, сайт получает более 275 попыток несанкционированного доступа каждый час!
Конечно, никто из нас не получит такого количества атак, но мы должны уберечь свой сайт хотя бы от некоторых из них.
Во-первых, убедитесь, что Вы выполнили действия из пунктов 1, 2 и 3.
Во-вторых, есть плагины, которые Вы можете установить на свой WordPress, и, которые помогут вам сделать работу злопыхателей тяжелее.
Плагин Limit Login Attempts идеально подходит для этого, потому что он блокирует IP-адреса, которые пытаются получить доступ более установленного вами количества раз.
Мониторинг вашего сайта на наличие вредоносных программ
Крайне важно использовать систему, которая постоянно контролирует ваш сайт на наличие malware (вредоносных программ).
Хотя это и случается довольно редко, но вы должны предусмотреть такую возможность.
Если ваш сайт является персональным, и Вы хотите сэкономить пару баксов — можете воспользоваться услугой бесплатного сканирования Norton – Safe Web.
Если у Вас корпоративный сайт с некоторым бюджетом на безопасность — можете воспользоваться профессиональными услугами Sucuri. net.
Кроме обеспечения безопасности, эти меры помогут Вам избежать занесение Вашего сайта в «черные списки» распространителя malware.
Регулярно очищайте сервер
Знаете ли вы, что установки Вашего WordPress могут быть бомбой замедленного действия, которая может взорваться в любой момент?
Если у вас установлены, но не используются (деактивированы) темы или плагины, особенно если они не обновляются или имеют старые версии — с этого момента Вы можете начинать отсчет времени до следующей «дыры» в безопасности.
Возникает вопрос — что я должен удалить?
Ответ прост. Вы должны удалить неактивные темы, плагины и виджеты, которые Вы не собираетесь обновлять и использовать в обозримом будущем. Кстати, комментарии, помеченные как спам, в обязательном порядке!
Контроль конфиденциальной информации
При выполнении очистки вашего сервера (шаг 6), Вы должны быть уверены в том, что не оставили ценных, с точки зрения конфиденциальности, фрагментов информации о вашем WordPress.
Например, в любом пакете с установкой WordPress имеется файл readme. html, который, по умолчанию, размещается в корневой директории Вашего сайта. Ознакомившись с этим файлом, злоумышленники могут узнать много интересного для себя.
Если вы не знаете о чем я говорю, проведите небольшой эксперимент с Вашим сервером:
Введите URL: Ваш_домен.com/readme.html
Решением этой проблемы является, как Вы уже догадались, удаление этого файла.
Еще одна большая ошибка, которую Вы можете допустить — хранение непосредственно на сервере резервной копии файлов базы данных SQL. Вы представляете, что может произойти, если недоброжелатели получат в свое распоряжение ВСЮ Вашу базу данных ? ! !
Зачем оставлять такие файлы на хостинге, который, к тому же, Вам не принадлежит?
Будьте внимательны
Будьте внимательны и следите за последними обновлениями WordPress, новостями о безопасности и тем, что происходит в Сети. Подпишитесь на рассылку от WordPress (это можно сделать прямо из панели управления).
И напоследок… Вам совсем необязательно знать и понимать сложности DDoS атак и других пакостей. Просто следуйте актуальным рекомендациям.
Эта статья не претендует на полноту информации о защите блога.
Если смогли взломать сайты ФБР и GoDaddy, среди многих других, то что будет стоить взломать наши с Вами? Это жестокая правда. Но, все же, описанные шаги помогут предотвратить нападение и препятствовать работе взломщиков.