Всім доброго часу доби!
Прийшов час розповісти про те, як захистити блог на WordPress.
Зараз вечір, за вікном темно, сиро і неприємно, під покровом ночі можуть відбуватися всякі нечисті справи. Приблизно така послідовність думок в моїй голові сподвигла мене перервати своє розслаблене проведення часу і написати дану статтю як раз таки на тему протидії нечистим справах у сфері злому блогів, атак на блоги, розсилки спаму, крадіжки інформації та іншого.
По мірі того, як ви просувається все далі і далі на шляху ведення свого блогу, розвиваєтеся в цій сфері і ваш ресурс набуває все більш чіткі обриси, прямо пропорційно збільшується ризик злому вашого творіння, адже воно може представляти вже певну цінність. Уявіть на мить, в один прекрасний момент, ви як завжди намагаєтеся увійти на ваш блог, але раптом розумієте, що зробити це не виходить, і справа тут абсолютно не в тому, що у вас виникли проблеми з доступом до інтернету, і не з профілактичними роботами вашого хостинг-провайдера, а справа в тому, що якийсь нехороший чоловік, з якихось незрозумілих вам мотивів, взяв і зламав ваше творіння. Я таке уявити боюся, не те що пережити. Звичайно, з певною часткою ймовірності щось зробити і виправити вийде, але навіщо ця марна трата часу і нервів.
Щоб спати спокійно і не переживати за збереження вашого ресурсу необхідно провести певний комплекс заходів щодо посилення ступеня захищеності блогу. Зрозуміло зробити блог абсолютно невразливим не вдасться, враховуючи рівень розвитку технологій в сучасному світі, при бажанні зламати можна що завгодно. Інша справа, що після проведення комплексу заходів щодо захисту блогу, зламати його буде в рази складніше, потрібно, так би мовити, інший рівень кваліфікації хакера.
Думаю, на даний момент досить лірики, можна переходити до справи, до технічної сторони питання, тобто до реалізації поставленої мети — захистити блозі.
Як захистити WordPress?
Захищати блог будемо з використанням плагіна WordPress під назвою Better WP Security (в даний час плагін носить назву iThemes Security). У мене він вже встановлено:
Після установки і активації плагіна у вас в меню адмін-панелі з’явиться пункт Безпека:
Клацаємо по ньому, в результаті чого з’являється вікно, в якому пропонується створити резервну копію бази даних:
Тиснемо на відповідну кнопку, попередньо переконавшись, що вказаний вірний email, на який буде вислано база. Перевіряємо — у мене все вийшло, копія бази даних успішно прийшла на мою поштову скриньку.
Йдемо далі, у вікні знаходимо кнопку Захистити мій сайт від базових атак:
Натискаємо її, тим самим ми переходимо до основних дій по захисту блогу. З’явиться наступне вікно:
Логічним виглядає питання, чому текст різнокольоровий? Все просто, кожен колір несе певний сенс, а саме:
- зелений — повна захист;
- жовтий — частковий захист, для повного захисту необхідно виконати певні дії;
- синій — захист не повною мірою через несумісність з темою або яким-небудь плагіном;
- червоний — захист відсутній.
Таким чином можна оцінити, за якими пунктами блог вимагає проведення додаткових заходів по його захисту. У моєму випадку, як видно з малюнка вище, концентрація зелених пунктів невелика, отже потрібно буде чимало попрацювати над приведенням у порядок захисту мого блогу.
Не будемо втрачати ні хвилини, адже блог судячи з усього перебуває під загрозою. Приступаємо до налаштування плагіна Better WP Security. Наша мета — максимально знизити кількість червоних пунктів і збільшити кількість зелених.
Підемо по порядку. Заходимо у вкладку Користувач:
За замовчуванням WordPress створює користувача з ім’ям admin, і всі це прекрасно знають. Так що якщо ви не зміните ім’я користувача на інше, то потенційний зломщик може скористатися цим для спрощення свого життя, тобто ім’я користувача йому вгадувати вже не потрібно, залишається тільки підібрати пароль. Так от, щоб ускладнити життя подібного роду шкідників потрібно щоб у вас не було користувача з ім’ям admin. Вводимо нове ім’я адміністратора. Також на даній вкладці потрібно змінити ідентифікатор ID адміністратора (за замовчуванням йому присвоєно значення 1), для цього тиснемо на відповідну кнопку. В результаті картина буде наступна:
З цим розібралися. Йдемо далі, і на черзі вкладка Away:
Сенс тут досить простий — вам надається можливість визначити часові інтервали, у які доступ до адмін-панелі буде дозволений. В інший час увійти туди буде неможливо. Дану функцію використовуйте на свій розсуд, головне на попастися на свою же прийом.
Переходимо на вкладку Ban. Що тут представляє інтерес? Ось цей пункт:
відповідає за включення «чорного списку», тобто певного списку бот-мереж, з якого часто здійснюються атаки на інтернет-ресурси. Тут потрібно бути обережним, так як його активація може викликати проблеми з індексацією вашого блогу Яндексом, основний пошуковий робот якого може знаходиться в цьому чорному списку.
Нижче розташовані поля для внесення IP адрес і клієнтських додатків, з яких йдуть атаки на ваш блог, в чорний список:
На черзі вкладка Dir:
Тут передбачена одна функція, а саме ви можете змінити ім’я директорії wp-content, в якій зберігатиметься вміст вашого блогу (встановлені теми, плагіни, завантажені файли і т. д.). Я тут нічого міняти не буду, так як у мене в блозі вже все налагоджено і перейменування даної директорії спричинить необхідність переробляти все наново. Якби я знав про даному плагіні раніше, то встановив би його в першу чергу і зміг би скористатися цією функцією. Нічого не поробиш, все приходить з досвідом.
У наступній вкладці Backup:
можна задати параметри резервного копіювання бази даних. Тут все зрозуміло, докладніше розповідати не буду.
Переходимо на вкладку Prefix:
Для всіх таблиць бази даних за замовчуванням призначений префікс wp_, що значно полегшує процес написання скриптів для отримання доступу до вашої бази даних. Так от, змінивши префікс, ви створите додаткові труднощі для злому бази даних, що, відповідно, підвищить захищеність вашого блогу. Для зміни префікса на даній вкладці досить клацнути по кнопці Зміна префікса таблиці бази даних. Після цього буде створений новий префікс, його ви зможете побачити тут:
Більше на цій сторінці нічого цікавого немає, можна йти далі.
На вкладці Hide ви можете змінити URL для доступу до вашої WordPress:
Тут можна прописати будь-які комбінації латинських символів, головне запам’ятати, адже саме з ним ви і надалі будете авторизовуватись. Даний захід додатково убезпечить ваш блог від злому.
Йдемо далі, на черзі вкладка Detect. Якщо помічаєте, що дуже часто йдуть запити на неіснуючі сторінки вашого блогу (тобто запити, які отримують помилку 404), то найімовірніше це вказує на здійснення атаки на нього. Для припинення цих атак потрібно провести певні налаштування на вкладці Detect, у результаті повинно вийти наступне:
Якщо не хочете особливо вникати, то можете просто взяти мої значення. Адреса електронної пошти вкажіть свій (швидше за все він буде прописаний автоматично).
Тепер докладніше:
Check Period означає скільки часу (в хвилинах) буде в пам’яті зафіксований факт повернення помилки 404 на певний IP адресу.
Поріг помилки — це кількість повернень помилки 404 за Check Period на певний IP адресу, у міру досягнення якого даний IP буде заблокований на Період блокування.
Blacklist Repeat Offender — це функція помістить IP адресу у чорний список по мірі досягнення кількості блокувань, зазначеного в полі Blacklist Threshold.
У полі 404 White List внесіть IP адреси, для яких ці правила діяти не будуть (наприклад, свій).
Вкладка Detect досить довга, тому скріншот я розбив на дві частини, ось друга частина:
Після внесення даних змін вам на електронну пошту, вказану в полі Адреса електронної пошти будуть надсилатися повідомлення про внесені у файли блогу зміни.
У полі File/Directory Check List вкажіть папки і типи файлів, зміни в яких будуть не будуть фіксуватися (в залежності від значення поля Include/Exclude List). Я виключив з переліку папку кеша. Не забувайте зберегти зміни.
Далі йдемо на вкладку Login. У мене дана вкладка виглядає наступним чином:
Тепер поясню детальніше. Всі дії подібні тим, що ми робили на вкладці Detect. Суть така: ми надали 5 спроб (поля Max Login Attempts Per Host і Max Login Attempts Per User) протягом 10 хвилин (поле Login Time Period (minutes)) для авторизації на вашому блозі, якщо всі вони невдалі (невірні облікові дані), то користувач блокується на 20 хвилин (поле Lockout Time Period (minutes)). Якщо подібне повторюється сумарно 5 раз (поле Blacklist Threshold), користувач виявляється в чорному списку. Можете просто повторити мої налаштування, ну або придумайте свої, на ваш розсуд.
Йдемо далі, на черзі вкладка SSL:
SSL представляє з себе протокол, що забезпечує безпеку зв’язку. Тут є одна тонкість, для використання даної функції цей протокол повинен підтримуватися вашим сервером. Якщо ваш сервер відповідає даним вимогам, то можете вибрати використання даного протоколу для шифрування передачі даних щодо всього блогу або його частини (поле Enforce Front end SSL). У даній вкладці я нічого міняти не буду.
На вкладці Tweaks міститься ряд налаштувань, які можуть істотно поліпшити безпеку вашої системи. Жовтим кольором виділені пункти, зміна яких несе ризик порушення правильного функціонування системи, тому, якщо ви все-таки вирішили тут щось поміняти, то перевірте потім працездатність системи. Тут рекомендувати нічого не буду, так як все індивідуально, і те, що допомогло мені, у вас може викликати негативний ефект.
Остання вкладка — Log. Тут акумулюється статистика вторгнень у вашу систему і деяка інша інформація. Періодично перевіряйте її.
Ми розглянули всі вкладки плагіна Better WP Security. На початку статті я наводив скріншот вкладки Dashboard, на якій відобразити стан захисту моєї системи за різними параметрами. Після внесення всіх змін вийшла наступна картина:
Як видно з малюнка, червоних пунктів у мене не залишилося, а кількість зелених пунктів збільшилася. На підставі цього можна зробити висновок, що тепер моя система захищена і явних проблем в плані безпеки немає.
Таким чином, провівши комплекс заходів з використанням плагіна Better WP Security, ми захистили WordPress.
Рекомендую вам використовувати описаний у даній статті метод захисту блогу на WordPress від дій зловмисників та інших загроз, що зустрічаються часто-густо на просторах інтернету.
На цьому все, не забувайте підписуватися на оновлення мого блогу, щоб не пропустити появу у ній нових статей!
P. S. На просторах інтернету, натрапив на книгу Михайла Човбана про захист WordPress під назвою «Захищений WordPress на 100%». Відгуки просто супер! Обов’язково куплю собі і вам раджу! Захистіть свій блог сьогодні, щоб спати спокійно!
