14 советов, как обезопасить сайт на wordpress

Защита текста от копирования без плагина

Реализацию подобных функций плагина WP-CopyProtect можно сделать и без плагина. Хотя, я настоятельно рекомендую делать такие настройки именно с плагином, так как это позволяет быстро отключать их при надобности и управлять с данными параметрами более мобильно. Не придется каждый раз лезть в редактирование фалов шаблона и перекачивать их по новой на хостинг.

Итак, первым и самым простым способом является добавления атрибута «oncopy» внутри файла шаблона в открывающем теге body. Вот полностью атрибут в конструкции тега body:

<body oncopy="return false;">

То есть, вам нужно взять сам атрибут с необходим значением и прописать его внутри открывающего тега тела статьи.

Работа данного атрибута вполне приемлема. Текст будет пригоден для выделения и контекстное меню работает. Вот только при попытке копирование выделенного текста он не будет попадать в буфер. Это, пожалуй, самый простой и самый легкий вариант, который не будет сильно раздражать посетителей.

Точно также можно блокировать контекстное меню при клике на ПКМ. Только нужно добавить другой атрибут, а именно «oncontextmenu». На практике это выглядит так:

<body oncontextmenu="return false;">

Еще одним способом защиты контента от копирования будет отключение от подсветки выделения текста на странице сайта. Достигается это с помощью специальных свойств в файле стилей. Стоит добавить следующее содержимое.

html {
-webkit-touch-callout: none;
-webkit-user-select: none;
-khtml-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
user-select: none;
}

Имеется еще более жесткий метод, как защитить текст от копирования, но он сильно не понравится вашим посетителям, если имеется необходимость что-то скопировать, например те же рецепты или всякие коды.

Способ позволяет убрать выделение текста и убрать из контекстного меню пункты «вырезать» и «скопировать».

Имеется 2 части кода, которые стоит разместить в файлах шаблона. Код работает на Javascript. Поэтому, если у пользователя отключен javascript в браузере, для него фишка не сработает.

Первую часть мы размещаем в области head сайта между открывающим и закрывающим тегами <head></head>. Хотя, можно разместить и перед закрывающим тегом body в файле footer.php, если он там будет работать. Честно скажу, я не проверял. Но приоритет именно второму варианту, так как это загружает скрипт в последнюю очередь и скорость загрузки сайта становится быстрее.

<script type="text/javascript">
function disableSelection(target){
if (typeof target.onselectstart!="undefined")
target.onselectstart=function(){return false}
else if (typeof target.style.MozUserSelect!="undefined")
target.style.MozUserSelect="none"
else
target.onmousedown=function(){return false}
target.style.cursor = "default"
}
</script>

Вторую часть кода мы копируем уже точно в файл подвала footer.php перед следующим php кодом.

<?php wp_footer(); ?>

Именно данный код выводит подвал и перед ним копируем 2ю часть кода.

<script type="text/javascript">
disableSelection(document.body)
</script>

Теперь скопировать текст в ручном режиме смогут только те, у кого отключен javascript в браузере или те, кто додумаются его отключить.

Раздел 1: Защита сайта WordPress с помощью защиты страницы входа и предотвращения брутфорс атак

Всем известен стандартный URL страницы входа в WordPress. Отсюда можно получить доступ к бэкэнду веб-сайта, и именно по этой причине его пытаются взломать чаще всего. Просто добавьте /wp-login.php или /wp-admin / в конце доменного имени, и вы уже знаете адрес админки сайта.

Мы рекомендуем изменить адрес страницы входа в админпенель WordPress, и способ аутентификации. Это то, что стоит сделать при первоначальной настройке сайта.

Рассмотрим несколько советов по защите страницы входа в систему WordPress:

1. Блокирование массовых запросов авторизации и бан ботов

Функция блокировки неудачных попыток входа в систему может решить проблему непрерывных попыток брутфорса — взлома сайта методом подбора пароля. Всякий раз, когда происходит попытка взлома с повторяющимися неправильными паролями, сайт блокируется для ip-адреса взломщика, и вы получаете уведомление о несанкционированном действии.

Плагин iThemes Security является одним из лучших плагинов, которые помогут вам настроить параметры безопасности на вашем сайте. В том числе в настройках плагина можно указать определенное количество неудачных попыток входа в систему до того, как плагин заблокирует IP-адрес злоумышленника.

2. Использование двухфакторной аутентификации

Еще одна хорошая мера безопасности — подключение 2-факторного модуля проверки подлинности (2FA) на страницу входа в административную панель сайта. В этом случае для того, чтобы войти, вам нужно использовать два типа данных. Владелец веб-сайта может выбрать, какие это будут компоненты. Это может быть обычный пароль, за которым следует секретный вопрос, секретный код, набор символов или более популярное приложение Google Authenticator, которое отправляет секретный код на ваш телефон. Таким образом, только человек с вашим телефоном (вы) может войти на ваш сайт.

Плагин Google Authenticator поможет вам настроить двухфакторную аутентификацию на WordPress всего за несколько кликов.

4. Измените URL-адрес страницы авторизации на сайте WordPress

Изменение URL-адреса входа — один из самых простых способов защитить сайт от взлома подбором пароля. По умолчанию доступ к странице входа в WordPress можно легко получить через ил добавив  к основному URL-адресу сайта.

Когда хакеры знают прямой URL-адрес вашей страницы входа в систему, они будут пытаться выполнить перебор логина и пароля с целью попасть в админку. Чаще всего это делается с помощью GWDb (Guess Work Database, т.е. базы данных предполагаемых имен пользователей и паролей, например, имя пользователя и пароль:  … с миллионами таких комбинаций).

На этом этапе мы уже ограничили попытки входа пользователя в систему и заменили имена пользователей на электронную почту. Теперь мы можем заменить URL-адрес страницы входа и избавиться от 99% атак методом подбора пароля.

Этот небольшой трюк ограничивает доступ неавторизованных пользователей к странице входа. Это может сделать только кто-то, кому вы сообщили адрес страницы входа. Опять же, плагин iThemes Security может помочь вам изменить URL-адреса входа. Вот так:

  • Смените адрес  на уникальное имя, например
  • Смените адрес  на другой, например
  • Смените адрес на другой, например

5. Используйте сложные пароли

Придумайте сложные пароли и регулярно меняйте их. Усложните их, добавив буквы и цифры в верхнем и нижнем регистре и специальные символы. Некоторые используют в качестве пароля длинные фразы, поскольку их сложно угадать, но легче запомнить, чем набор случайных чисел и букв.

LastPass — один из самых простых способов управлять вашими  паролями. Он не только генерирует безопасные пароли, но также сохраняет их в расширении для браузера, что избавит вас от необходимости запоминать их.

6. Автоматический выход из аккаунта для неактивных пользователей

Залогиненные пользователи, оставляющие ваш сайт открытым, могут представлять серьезную угрозу безопасности. Любой посторонний может этим воспользоваться и нанести вред вашему сайту, зайдя в административную панель. Этого можно избежать, настроив автоматический выход из аккаунта после некоторого периода бездействия пользователя.

Эту функцию можно настроить с помощью плагина BulletProof. Этот плагин позволяет настроить индивидуальное время для аккаунтов пользователей, после чего они будут автоматически выходить из системы.

Шаг 8 – Делайте резервное копирование данных настолько часто, насколько это возможно

Даже самые большие сайты взламываются каждый день, несмотря на тот факт, что их владельцы тратят тысячи на улучшение безопасности WordPress.

Если вы следуете передовой практике в этом вопросе и применили советы из этой статьи, вам все равно необходимо регулярно делать резервное копирование вашего сайта.

Существует несколько путей для создания бэкапа. К примеру, вы можете вручную скачать файлы сайта и экспортировать базу данных, или воспользоваться инструментами, предлагаемыми вашей хостинговой компанией. Еще один путь, использовать WordPress плагины. Самые популярные из них:

  • VaultPress
  • BackUpWordPress
  • BackupGuard

Вы даже можете автоматизировать процесс создания и хранения бэкапов WordPress бэкапы в Dropbox.

Я сделала это!

Самым главным моим достижением в этом году стало то, что я, наконец, смогла оторваться от основного места работы и пуститься в свободный полет. Стабильный заработок на сайтах позволил мне это сделать. Мои два блога стали мне приносить большую прибыль, чем заработок в частной фирме, поэтому смысла работать на «чужого дядю» не стало. Несмотря на то, что в стране кризис и пенсию я еще не получаю, в июле месяце я взяла расчет и позволила себе небольшой двух недельный отдых ничегонеделания.

Это пьянящее чувство свободы! Трудно передать словами, как это здорово жить и работать в своем удобном для тебя режиме, не зависеть от чьих-то распоряжений и указов, самостоятельно планировать свое время! Но самое главное даже не это, а то, что теперь у меня появилось больше свободного времени, чтобы заниматься своими проектами. Это позволило мне вести их более динамично

А это очень важно,  уделять внимание регулярному наполнению сайтов интересным и полезным для моих читателей контентом

Конечно путь к этому был не простым, создавать проекты с нуля, не имея никакого в этом опыта не так просто, но у меня было огромное желание:

  • уйти от чьей бы то ни было зависимости,
  • найти такую работу, которая бы мне позволяла ее делать в удобное для меня время,
  • чтобы я могла работать в любом месте где бы я не находилась,
  • но самое главное, чтобы она мне НРАВИЛАСЬ!

И я нашла ее, это ведение своих блогов в интернете, которые мне дают огромный простор творчеству, позволяют мне делиться с читателями своим опытом и знаниями, общаться и соприкасаться со многими людьми, со схожими интересами.

О том, как я искала свой путь в жизни и нашла его, вы можете почитать в моем интервью, которое я давала Владимиру Марнику, когда блогу было почти 1,5 года, здесь.

Интернет дает нам сегодня огромные возможности, не только искать и находить в нем информацию, общаться с людьми, живущими на другом конце света, но и создавать и вести проекты, в любой точке планеты, там где есть доступ к интернету. Эта позволяет быть мобильной, дает возможность для путешествий, реализовать многие желания, вплоть до выбора места жительства в любой стране мира. Все это мне может позволить нынешняя работа, если и дальше развивать свои проекты и делать их более успешными.

Как и зачем взламывают сайты

Для того, чтобы взломать сайт, злоумышленник должен знать логин и пароль для доступа на том или ином уровне. Взлом может происходить разными способами:

  • Автоматический подбор пары логина и пароля. Это происходит с помощью специальных скриптов, которые за секунду могут проверить тысячи сочетаний пар логинов и паролей.
  • Перехват паролей из почты, мессенджеров и прочего.
  • Чтение паролей из тех мест, где они записаны. Пароли разного уровня записанных в определённых файлах или базе данных. Их можно прочитать и легко расшифровать.
  • Взлом путём внедрения кода (например, плагином или темой), который перехватывает доступ.
  • Взлом через незащищённое программное обеспечение хостинга.

Самая частая причина для взлома — это внедрение на него рекламного кода, которые может содержать какие-либо ссылки. При этом продвижение сайта значительно ухудшается, а впечатление посетителей портится.

Есть множество способов для WordPress, которые позволяют реализовать описанные выше методы взлома. А также, если учесть, что новички сайтостроения, которые не сразу могут распознать взлом и заражение, используют именно WordPress, становится понятно, почему именно эта CMS стала такой благоприятной для хакерства.

Итак, давайте же перейдём к самому главному – как защитить свой сайт на WordPress от взлома.

Файервол

Firewall это один из главных функциональных модулей плагина WordFence. Есть два режима Basic и Extended. Последний позволяет блокировать некоторые атаки даже до старта WordPress, но требует более глубокого понимания серверных настроек.

В бесплатной (community) версии правила блокировки обновляются спустя 30 дней после того как они были добавлены в про.

iThemes Security

Файервола в этом плагине нет. А рекомендует iThemes пользоваться сервисом Sucuri Website Firewall (платно).

Shield Security

В настройках этого плагина вы не запутаетесь, вкладка Firewall находится на видном месте. В целом, рекомендуется включить все опции.

All in One WP Security

Страница блокировок выглядит объемной благодаря тому, что функционал разбит по вкладкам. Место занимает справка и значки уровня защиты (хотя зачем нужны последние). Опций немного, их можно включить все по необходимости.

Сложно судить по файерволу, но на мой взгляд, определенно выигрывает здесь WordFence за счет живого обновления правил.

Шаг 7 – Перенос сайта на более безопасный хостинг

Возможно, этот совет может показаться странным, но статистика показывает, что более 40% сайтов на WordPress были взломаны из-за дыр в безопасности хостинг аккаунта. Эта статистика должна подтолкнуть вас перенести WordPress на более безопасный хостинг. Немного ключевых фактов которые необходимо держать в уме при выборе нового хостинга:

  • Если это виртуальный хостинг, удостоверьтесь, что ваша учетная запись изолирована от других пользователей, и нет риска заражения от других сайтов на сервере.
  • На хостинге присутствует функция автоматического бэкапа (резервного копирования).
  • Сервер имеет сторонний фаервол и инструмент для сканирования.

Что делать если сайт взломали

Если злоумышленники добрались до вашего сайта, то вам придётся нелегко, главное в этом случае не паниковать. Злоумышленники часто оставляют за собой след (или открытую дверь) в виде посторонних плагинов, изменённого кода в ядре и т.д. Ниже приведены несколько советов по устранению следов злоумышленника:

  • Изменить все пароли доступа к хостинг-площадке, включая пароль к базе данных
  • Установить WordPress с нуля, скачав самую свежую версию
  • Изменить все секретные ключи в wp-config.php
  • Экспортировать всю старую базу данных и тщательно её почистить
  • Изменить в экспорте все пароли для всех пользователей
  • Импортировать содержимое в новый установленный WordPress
  • Просмотреть директорию загрузок на лишние файлы
  • Импортировать директорию загрузок
  • Тщательно просмотреть каждый плагин и установить самые свежие версии из директории WordPress.org
  • Тщательно просмотреть используемую тему и установить самую свежую версию

Средства подобные Google Webmaster Tools и Exploit Scanner так же помогут найти и устранить признаки взлома вашего сайта. После восстановления работоспособности, следует попытаться понять, как именно злоумышленник пробрался на ваш сайт. С этим вам чаще всего поможет хороший хостинг-провайдер, предоставив журнал доступа.

Безопасность и защита Вордпресс

Закапываются в дебри настроек и полагают, что все отлично. Но о том, как закрыть сайт на wordpress от ddos атак и обеспечить свое спокойствие в будущем – не задумывается практически никто.

А ведь это первейшая задача для спокойного продвижения блога, без нервотрепки. По статистике, 20% всех блогов и сайтов рунета были взломаны.

Вы знаете, что сейчас, в эту минуту и секунду именно ваш блог подвергается очередной попытке взлома? Не будьте такими наивными, не надейтесь на то, что ваш блог еще не раскручен, посещаемость низкая, блог мало кто знает.

Попытки взлома сайта на wordpress идут с завидной регулярностью, с частотой в несколько раз в сутки.  У роботов нет выходных или праздничных дней.

Они на то и роботы, чтобы делать свою «черную» работу все 24 часа в сутки: взламывать, заражать вирусами и рассылать спам.

Защита от взлома и хакеров

Как ни странно прозвучит, но взламывают сайты только ради денег. Это своего рода заработок на распространении бесплатной рекламы, хищении и продаже конфиденциальных данных или баз данных и прочее. Раньше взламывались сайты только из чисто спортивного интереса, сейчас это поставлено на коммерческую основу.

WordPress – самый распространенный движок для создания блогов и самый популярный для взлома. Основная цель – крупные раскрученные сайты и блоги с хорошей посещаемостью и рейтингом.

Но даже молодые, иногда только вышедшие из «песочницы» блоги используются в качестве дополнительных пунктов «черной» работы роботов.

Важно предохранить свой любимый блог от любых посягательств, кражи данных или, что еще хуже, краже блога в целом

  • Неприятно лишаться своего драгоценного детища в один миг. Случайно НЕ обнаружить свой блог вообще, прочитать  НЕ свои статьи, увидеть «чужака» в кодах и плагинах и многое другое, совершенно неприятно.
  • Придется потратить уйму времени и нервов, чтобы восстановить блог и его репутацию. Но в большинстве случаев громадная работа по продвижению будет попросту «слита в унитаз».

Зачем нужна защита вордпресс блога

Конечно, многие не знали о том, что нужна защита блога от взлома и разного рода атак. Но незнание не освобождает.… Это же известно всем.

Новички или не знают, или пренебрегают защитой в надежде на то, что блог молодой. Ошибочно все это. Терять свою работу всегда тяжело.

Более опытные блогеры  надеются на работу  различных защитных плагинов и кодов. Такие действия могут принести результат с точностью до «наоборот». Плагины могут «закрыть» блог или сайт даже от поисковиков.

Те же, кто понял всю опасность, начинают поиск различных информации и курсов на просторах интернета. Согласитесь, искать что-то в интернете полезное равносильно поиску жемчуга.

Не в каждой раковине можно найти жемчужинку. Так и здесь, информации много, а отразить нападение на вордпресс от взлома – сложно понять сразу.

Видео курс тотальная зашита блога

Но даже сложное можно рассказать простым языком, доступно. Или найти специалиста по защите блогов. Или приобрести  самый лучший в рунете курс «Тотальная защита wordpress блога», результат совместной работы А.Борисова – известного блогера, и Ю.Колесова – специалиста  по комплексной защите.

ПОСМОТРИТЕ ПОДРОБНЕЕ

Расширенная программа курса позволит не только отразить нападение на высшем уровне технически, но и подскажет, как  сделать профилактику взломов. Даст ответ на то, что же делать, если блог уже взломали?

Стоит , пошагово установить защиту от взлома, спама и других неприятностей и быть спокойным по поводу своего драгоценного блога.

После применения всех указаний и рекомендаций вы можете быть совершенно спокойны. Блогу не страшны никакие роботы с их «черной» работой.

Пишите Ваши комментарии, буду рад услышать ваши отзывы и решения!

С Уважением Александр Гаврин.

Почему у меня появилась необходимость установить защиту на сайты

Осторожно плагин!

Когда блог успешно развивается, у вебмастера рано или поздно встает вопрос о защите сайта от взлома и вирусов. Наше обучение 5 лет назад в школе стартаповцев коснулось и этого вопроса. Еще тогда я  установила на свой сайт все рекомендованные нашими учителями по защите сайта плагины. Но это не спасло меня от одной ситуации, которая случилась в первые годы ведения блога.
Как-то я решила  установить один плагин для WordPressа, который назывался «Одна кнопка». Этот плагин, разработанный Антохиным, служит для удобства работы вебмастера на сайте, он дает возможность размещать посты во все социальные закладки. Почитала где-то информацию, что это очень удобная вещь для блога, поэтому, не долго думая, скачала плагин и активировала его. Настроек при этом никаких не требовалось, кнопка сразу же появляется на сайте и начинает свою работу. Тогда я и предположить не могла какие пагубные последствия этот плагин «Одна кнопка» мне принесет.

Мысль о том, что чья-то рука смогла проникнуть в админку моего сайта и вписать в него вредоносный код, привела меня в ужас.
В первую очередь я написала в Яндекс, попросив их разъяснить, в связи с чем на моем сайте появилась такая метка. Но поскольку от службы поддержки Яндекса можно ждать ответа достаточно долго, то я решила обратиться с специалисту по безопасности, чтобы он проверил мой блог на предмет возможного заражения сайта вирусами.

Сразу хочу заметить, что подобные услуги стоят недешево. Найти и затем убрать вредоносный скрипт или код мне предложили за 6000 рублей. Так же было предложено для дальнейшей уверенности в безопасности сайта его обслуживание за 1000 рублей в месяц на защищенном хостинге. Да, друзья, вот такие нехилые расценки, а было это в 2013 году, сейчас наверно  эти услуги еще больше стоят.

Но время играло против меня, от моего сайта все пользователи из поиска бежали как от прокаженного. В тот период посещали его только те люди, у которых блог был в закладках, кто переходил на него по ссылкам с других ресурсов и т.д. Посещаемость у меня просела более чем в два раза!

Ответ от службы поддержки Яндекса в этот раз на удивление пришел быстро, до того, как я успела оплатить услуги специалисту по безопасности. Из него я узнала, что причиной распространения вредоносного вируса на моем сайте является, что бы вы думали? Не вредоносный код, прописанный взломавшим сайт злоумышленником, как я предполагала, а плагин, который я недавно поставила! Они мне так ответили:

Прочитав письмо я скорее убрала этот злосчастный плагин, сообщила об этом в Яндекс и, спустя неделю, красная метка была убрана с моего блога. Оказывается, друзья, вместе с этим плагином загружаются редиректы на партнерские сайты типа aliexpress и т.д.
Вот так, набивая шишки на голове, набираешься опыта, по нелегкой для меня технической стороне ведения блога.

Заключение

Чем лучшую защиту предлагает сервис или плагин, тем дороже он стоит. Самую лучшую защиту и самый лучший сервис предлагает Sucuri: комплексная защита сайта, обработка всех входящих запросов на сервере Сукури, сеть CDN и гарантия бесплатного лечения сайта в случае, если сайт взломают. 

  • Подробное описание бесплатного плагина Sucuri Security
  • Мощная защита сайта с файрволом на уровне сервера на основе бесплатной версии Sucuri Security

Cloudflare больше специализируется на ускорении сайта, но предлагает хороший уровень защиты, который можно усилить каким-нибудь плагином.

Как подключить Cloudflare к WordPress. Подробная инструкция

Wordfence предлагает хорошую защиту, но из минусов — годовая подписка и файрвол на уровне сайта, который будет нагружать сервер.

У плагина Security Ninja есть 2 сканера c расписанием сканирования, оповещение на емейл, подключение к динамической базе вредоносных IP и много других пассивных настроек.

К этим настройкам можно добавить несколько настроек вручную и усилить плагин до уровня хороших платных плагинов.

  • Подробное описание Security Ninja Pro
  • Дополнительные настройки для Security Ninja Pro

All in One WordPress Security — хороший бесплатный плагин, но в нем нет сканера сайта, нет расписания и оповещений на емейл. Все это находится в платной версии.

У всех плагинов есть свои плюсы и минусы. Как вариант, несколько плагинов можно объединить, но некоторые из них могут работать вместе, а некоторые — нет.

Приглашаю вас на курс, в котором вы настроите безопасность Вордпресс с помощью нескольких плагинов и нескольких ручных настроек, которые дополняют друг друга и используют файрволы всех трёх типов: Безопасность Вордпресс за 2 вечера.

  1. Минимальная безопасность Вордпресс
  2. Подробное руководство по безопасности Вордпресс
  3. Бэкап сайта. Подробное описание

Надеюсь, статья была полезна. Оставляйте комментарии.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector