Методи за защита на WordPress сайтовете

Помощен център

Методи за защита на WordPress сайтовете

Онлайн заплахите застрашават ежедневно милиони WordPress сайтове по света. WordPress е най-използваната CMS платформа в световен мащаб и по тази причина тя е и най-атакуваната от DDoS атаки, зловредни скриптове, вируси и ботове, които търсят уязвимости. За да защитите вашия блог, бизнес сайт или друг онлайн проект, който сте създали с платформата, ви даваме няколко основни насоки, които са подходящи дори за начинаещи разработчици на WordPress.

Основни стъпки за защита на WordPress сайт

Задаване коректни права на файлове и директории

Ако използвате споделен линукс хостинг, вие споделяте хардуерния ресурс на сървъра с други потребители. За да защитите файловете си срещу неоторизиран достъп от други потребители, ви препоръчваме правата на файловете да са 644, а на директориите - 755.

Проверка на логовете за достъп

Това е една от най-важните стъпки за защита на вашия сайта.

Какво представляват логовете и как да ги видим? 

Логовете са текстови файлове, съдържащи информация за всеки посетител на сайта ви, както и информация за качените, свалените и изтритите файлове посредством FTP.

Логовете за посетителите могат да бъдат открити в /home//access_logs/, а архивираните стари логове, както и FTP логовете се намират в /home//logs/.

Логовете също така могат да бъдат разгледани и през cPanel, чрез инструмента Latest visitors, както и да бъдат свалени чрез инструмента Raw access logs.

Кои заявки са безопасни и кои не са?

Това, което трябва да следим с повишено внимание, са POST заявките без референция (препращащ адрес).

Пример за две заявки, първата от които е нормална и втора, причинена от скрипт:

1) 1.2.3.4 - - [26/Aug/2016:14:23:33 +0300] "POST /wp-login.php HTTP/1.0" 302 - "https://yoursite.com/wp-login.php?redirect_to=https%3A%2F%2Fyoursite.com%2Fwp-admin%2F&reauth=1" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36" 2) 1.2.3.4 - - [26/Aug/2016:14:23:33 +0300] "POST /wp-login.php HTTP/1.0" 302 - "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"

В първата заявка забелязваме, че има препращаща страница (URL), докато във втората не. Това означва, че malware скрипт се опитва да отгатне паролата за Wordpress администрацията.

Защита от инфраструктурата на ICN.Bg

Блокиране на множество POST заявки: Когато нашата система засече множество POST заявки към определени адреси (главно достъп до администрация на CMS), системата блокира IP адресите, от който идва тази атака. По този начин намаляваме в пъти възможността сайта ви да бъде компрометиран или да бъде обект на DDoS атаки.

Защита на Wordpress администрация

Препоръчаме да ограничите възможността за редакция на файлове, темплейти и плъгини в WordPress през администрацията, като поставите следния ред в wp-config.php файла:

apacheconf define('DISALLOW*FILE*EDIT', true);

Ограничаване на xmlrpc.php файла

Този файл често бива използван за DDoS атаки. Aко спрете достъпа до този файл няма да може да ползвате XML-RPC протокол във връзка с pingback и trackback функционалност, използвана най-вече в коментари към статии.

Не прекалявайте с плъгините

Добавяйте нов плъгин само ако сайта и посетителите имат нужда от нова функционалност и няма друг начин, по който тя да бъде активирана на сайта.

Не инсталирайте плъгин за защита от DDoS тъй като той не може да предпази вашия сайт - защитата от този тип атаки е най-ефективна на мрежово ниво. Вместо да инсталирате поредния SEO плъгин отделете време да прочетете инструкциите на Google и ще откриете интересни разлики.

Важно е да обърнете внимание на плъгин съвместимостта и да не инсталирате и активирате плъгини със сходни функционалности.

Препоръчаме още

1) да правите регулярни бекъпи на вашия сайт;

2) да използвате услугите на авторитетен хостинг доставчик;

3) да осигурите нужните ресурси на вашия сайт, които да отговорят на неговите нужди -- достатъчно дисково пространство, трафик, едновременни заявки към сървъра (Apache requests)и други;

4) да актуализирате (ъпдейтвате) редовно версиите на използвания софтуер (ядро, теми, плъгини, джаджи);

5) да отделяте време и чрез тестове да придобиете практически експертни познания по ключови елементи от работата на системата.

Други методи за защита на WordPress

  • CloudFlare + Railgun - технологията представлява кеширане на статичното и динамично съдържание на сайта, като по този начин негово копие (кеш) бива запазено и на сървърите на CloudFlare и ви предпазва от това сайтът да претърпи downtime при осъществяване на много заявки към него (Например много потребители се опитват да влязат в него едновременно). CloudFlare + Railgun е услуга напълно безплатна за всички наши клиенти на споделен хостинг план.
  • Защита от DDoS атаки на мрежово ниво посредством специализираното оборудване Radware Defence Pro, което внедрихме за всички наши клиенти. To гарантира нормалната и безпроблемна работа на вашия онлайн бизнес. Radware Defense Pro помага в превенцията срещу препълване на канала за свързаност, DDoS атаки, атаки към логин страници, атаки зад CDN и SSL-базирани flood атаки.
  • Two-factor authentication - двуфакторната идентификация ActiveAuth предпазва формите ви за вход от неоторизиран достъп на външни лица. ActiveAuth.me има интеграция с WordPress и може лесно да се добави към всеки сайт на тази платформа.
  • SSL сертификат - SSL сертификатите са един лесен начин да защитите вашия сайт от "подслушване" на чувствителна информация от страна на злонамерени лица и софтуери. Те са едно добро решение за допълване на набора от защитни средства, с които да въоръжите вашия WordPress сайт. Вече всички наши потребители на споделени хостинг планове Икономичен, Бизнес и Стандартен могат да се възползват от това да инсталират  SSL сертификат Let's Encrypt напълно безплатно.