И снова о безопасности WordPress

На этот раз — без предисловий. Как оказалось, 90% сайтов на WP с которыми я работаю (а это на секундочку, около 15и штук) кто-то постоянно брутфорсит. Подозреваю, что дело не в самих сайтах (они совершенно разные, с разными шаблонами и дополнениями, некоторые сделаны вообще не мной), а в тотальном брутфорсе ботами всего, что им под руку попадётся. Вывод прост: пароль от админской учётки должен быть не просто сложным, а очень сложным. Но этого всё равно будет недостаточно. Окончательное решение, которое как мне кажется действительно эффективно — All In One WP Security.

Плагин имеет пожалуй все известные способы борьбы со взломом сайтов на WordPress: от автоматической блокировки брутфорсеров по IP, до изменения страницы входа в админку с wp-admin на что-нить другое.
Плагин сделан очень толково, большинство функций переведены на русский и имеют понятную справку.

Основные возможности и особенности:

  • защита от копирования сайта (очень сомнительная вещь, но многим нравится: отключает правую кнопку и команды выделения/копирования текста);
  • режим обслуживания (надпись «Извините, у нас профилактика» вместо сайта, странно что разработчики WP не предусмотрели такой возможности);
  • сканирование файлов на предмет изменений (очень полезно, вирусы часто любят прописываться в ядро, и ищи их потом);
  • капча для комментариев;
  • защита от брутфорс-атак (в т.ч. переименование страницы входа)
  • фаерволл (брандмауэр);
  • чёрный список по IP или юзер-агентам;
  • встроенный WHOIS-поиск по IP или доменам;
  • автоматическая установка рекомендуемых разрешений на файлы в корне движка;
  • защита базы данных (лечше не трогать, если не знаете что делаете, в любом случае — только после резервного копирования);
  • подтверждение регистрации пользователя вами, вручную;

В плагин входят так же инструменты резервного копирования + редкая возможность «белого списка» IP и юзерагентов.

Если у вас есть решения лучше — добро пожаловать в комментарии.

UPD Консультировался с очень крупным спецом по компьютерной безопасности (один из моих сайтов серьёзно атаковали на днях, отбились мы только совместно — участвовало до 400 IP-адресов; понятное дело, для тех, кто этим занимаются профессионально, это совсем ничего, однако факт).
Советы следующие:
— тут же переименовываем страницу входа с wp-admin на любую абракадабру (сразу отваливает >~50% атакующих);
— блокируйте авторов статей по никам (в All In One WP Security это возможно), тогда будет очень трудно угадать логин для брутфорса;
— повторюсь наверное, но имя админской учётки admin — кратчайший путь вникуда;
— всё, кто пытаются логиниться по стандартному wp-admin отправляем редиректом в гугл, IP баним перманентно.

Пока всё, годного контента вам.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

19 − 16 =