Популярность WordPress неуклонно растет, и вместе с этим увеличивается распространенность атак, вирусов и других угроз. Преступники могут создать значительные проблемы владельцам веб-сайтов и онлайн-торговцам. Эта статья даст советы по защите WordPress от вирусов.
Вредоносное ПО, предназначенное для веб-сайтов на базе WordPress, активно ищет и использует уязвимости, в основном обнаруживаемые в плагинах и темах. Затем оно внедряет проблемный или вредоносный код, который может выполнять различные задачи, в зависимости от типа вируса.
Прежде чем я углублюсь в защиту WordPress от вирусов, крайне важно понять потенциальные риски, с которыми вы можете столкнуться.
Вирусы и веб-сайты WordPress
Многие считают WordPress сам по себе высокозащищенной платформой. Поскольку разработчики по всему миру постоянно работают над его улучшением, уязвимости быстро выявляются и исправляются.
Однако, несмотря на его надежную репутацию, почему вирусы часто нацелены на WordPress? Ответ заключается в его огромной популярности как наиболее широко используемой системы управления контентом, которая поддерживает около 40% всех веб-сайтов по всему миру. Его широкое использование также делает его главной целью для атак.
Сама природа WordPress вносит значительный вклад в решение проблем безопасности. С самого начала разработчики проектировали его как модульную и удобную для пользователя платформу. Его самое большое преимущество заключается в том, что он позволяет создавать профессиональные и сложные веб-сайты, не требуя знаний HTML, CSS или PHP. Это удобство стало возможным благодаря широкому использованию плагинов, которые добавляют различные функциональные возможности.
Темы и плагины представляют собой дополнительное потенциальное слабое место для безопасности WordPress, особенно когда они исходят от менее опытных компаний или обычных пользователей. Ошибки кода и несоответствия в этих плагинах могут служить открытым приглашением к киберугрозам.
Даже самых надежных мер безопасности, включая брандмауэры, антивирусы, двухфакторную аутентификацию, серые списки и упреждающий мониторинг, может оказаться недостаточно, чтобы остановить решительного злоумышленника.
Кроме того, риск возрастает, когда за управление сайтом отвечает неопытный человек – сценарий, часто связанный с удобством WordPress для пользователя. Такие люди могут неосознанно совершать существенные ошибки, которые делают сайт WordPress уязвимым, делая даже самые безопасные услуги хостинга WordPress неэффективными для обеспечения полной защиты.
Как проверить, заражен ли мой сайт?
Прежде чем приступить к защите WordPress, важно проверить, не имел ли место несанкционированный доступ.
- Посетите свой веб-сайт и изучите различные товары, категории и предложения. Добавьте товары в корзину и перейдите к платежному модулю. Если все проходит гладко, без каких-либо необычных инцидентов, таких как всплывающие окна или внезапное перенаправление на несвязанные страницы, ваш сайт, похоже, в хорошем состоянии.
- Используйте FTP для просмотра папок и поиска файлов со случайными именами, такими как “46fr1s55p9_index.php”, “cl03haxmng_index.php“ или “q9z91fmzq6_index.php”, или любыми другими подобными стилями.
- Проверьте основные файлы, такие как index.php, wp-config.php, и wp-settings.php на наличие вредоносного кода. Чтобы сделать это эффективно, включите отображение пробелов и табуляций в вашем файловом редакторе. Посмотрите на скриншот, представленный ниже. Изначально это может показаться стандартным файлом WordPress, но обратите внимание на серые точки, указывающие на чрезмерное количество пробелов.
- Прокрутите окно вправо или включите перенос строк, чтобы выявить любой скрытый вредоносный код, как показано в примере.
- Тщательно изучайте все файлы WordPress на вашем сайте, особенно файлы PHP, поскольку вредоносный код может быть скрыт в разных частях вашего сайта.
- Проверьте обычные результаты поиска в Google, введя: site:your-domain.com. Если ваш веб-сайт заражен, Google может отображать множество нерелевантных результатов, рекламирующих казино, азартные игры, приложения и даже незаконный контент, такой как порнография или продажа оружия.
- Для повышения безопасности вашего сайта рассмотрите возможность установки программы поиска вредоносных программ, такой как WebDefender Security – Защита и АнтиСпам. Этот плагин позволяет вам искать любые скрытые вирусы на вашем сайте.
Однако каждая выявленная проблема требует индивидуального изучения и проверки, чтобы определить, является ли она вредоносным программным обеспечением. Некоторые используемые нами плагины могут содержать код, который может быть классифицирован как вредоносный, что не редкость.
Как защитить WordPress от вирусов?
Вот список упреждающих шагов, которые, несомненно, создают препятствия для киберпреступников и сводят к минимуму риск того, что ваш сайт станет жертвой вируса. Однако важно признать, что эти рекомендации могут не обеспечивать полной защиты, в зависимости от типа вируса или атакующих ботов. Антивирусы и разработчики вирусов участвуют в постоянной гонке вооружений.
Всякий раз, когда появляется новая форма атаки или вируса, создатели антивирусов стремятся оперативно нейтрализовать ее. Аналогичным образом, меры безопасности постоянно обновляются, но в конечном итоге преступники находят способы их обхода. Таким образом, достижение абсолютной невосприимчивости к вирусам остается недостижимым, но вы можете значительно снизить риск заражения.
Хостинг
Выбор правильного хостинг-провайдера является важнейшим аспектом любого веб-сайта. Многие владельцы веб-сайтов часто основывают свое решение на ценах или рекомендациях других. Однако это не так просто. Прежде всего, вы должны проверить, является ли хостинг-провайдер:
- Установлена последняя версия PHP – на данный момент 8.2,
- Выполняет регулярные резервные копии базы данных и файлов и определяет, есть ли у вас к ним легкий доступ,
- Предлагает защиту от DDoS-атак.
Помимо соображений безопасности, также важно проверить параметры сервера (процессор, оперативная память, емкость хранилища, ограничения), предоставляемые хостинговой компанией.
Выбор в пользу UltaHost, который уделяет приоритетное внимание безопасности, является мудрым выбором. Он выходит за рамки внедрения многоуровневых систем безопасности на различных уровнях инфраструктуры. UltaHost самостоятельно строит центры обработки данных по всему миру, чтобы поддерживать полный контроль над качеством предлагаемых услуг.
Такой подход гарантирует использование высококачественных компонентов не только на серверах, но и во всей инфраструктуре. Более того, дата-центры UltaHost придерживаются строгих стандартов безопасности, установленных Европейским союзом. С UltaHost вы можете быть полностью уверены в безопасности ваших данных и веб-сайтов.
SSL-сертификат
SSL-сертификат шифрует всю информацию, которой обмениваются браузер пользователя и веб-сайт. Каждая уважаемая хостинговая компания предлагает как платные, так и бесплатные SSL-сертификаты (например, Let’s Encrypt) в составе своих пакетов. Вы можете найти более подробную информацию по этой теме в этой статье:
Обновления WordPress
Регулярные обновления WP не только вводят множество новых функций и возможностей, но также включают важные исправления безопасности. Не менее важно постоянно обновлять ваши плагины. Плагины и темы особенно подвержены вирусным атакам, поэтому для минимизации рисков важно обеспечить их постоянное обновление.
Даже если вы не используете их активно и они деактивированы, они все равно могут служить отправной точкой для киберпреступников. Следовательно, жизненно важно обновить все установленные плагины на вашем сайте WordPress.
Удалите ненужные плагины и темы
Следуя тому же принципу, лучше удалить неиспользуемые плагины или темы, а не просто деактивировать их. Это рекомендуемый подход. Даже если вам иногда требуется определенный плагин, удалите его, как только закончите его использовать.
Переустановка займет всего несколько минут. Не стоит рисковать потенциальными атаками на ваш сайт только ради экономии двух минут в месяц. Аналогично, если у вас установлено несколько тем, удалите все из них, кроме той, которая используется в данный момент. Для вашего сайта необходима только активная тема, в то время как остальные могут действовать как шлюзы для киберпреступников.
Минимизация рисков, где это возможно, имеет решающее значение. Не облегчайте задачу хакерам и вредоносным ботам!
Скрытие версии WordPress и плагинов
По умолчанию WordPress показывает установленную версию в исходном коде страницы, добавляя тег в разделе HEAD:
<meta name=”generator” content=”WordPress 5.6.4″ />
Для плагинов WordPress он добавляет ?ver=X.X к URL-адресам файлов CSS и JS.
Раскрытие версий компонентов, которые мы используем на нашем сайте, облегчает задачу злоумышленникам, поскольку им становится известно об уязвимостях, характерных для каждой версии программного обеспечения.
Чтобы заблокировать отображение информации о версии, мы можем добавить следующий код в файл functions.php в нашем шаблоне:
remove_action(‘wp_head’, ‘wp_generator’);
add_filter(‘the_generator’, ‘__return_empty_string’);
функция shapeSpace_remove_version_scripts_styles ($src) {
если (strpos($src, ‘ver=’)) {
$src = remove_query_arg(‘версия’, $src);
}
верните $src;
}
добавить фильтр (‘style_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
добавить фильтр (‘script_loader_src’, ‘shapeSpace_remove_version_scripts_styles’, 9999);
Регулярная смена пароля
Хорошей практикой является смена паролей для всех администраторов сайта каждые несколько месяцев или даже чаще, особенно если ваше имя пользователя adm, admin, администратор или доменное имя.
Изменение логина администратора
Что касается предыдущего пункта, если ваше имя пользователя adm, admin, администратор или доменное имя, лучше сменить его как можно скорее. Чаще всего выбирается имя пользователя admin, и его изменение ограничит возможность атак методом перебора на ваш сайт. Использование одного из самых популярных имен пользователя облегчает киберпреступникам нацеливание на ваш сайт.
Как изменить логин в WordPress?
Способ I:
- Войдите в базу данных через phpMyAdmin.
- Найдите таблицу wp_users.
- Найдите свою учетную запись и нажмите изменить.
- В столбце user_login измените старое имя пользователя на новое.
Способ II:
- На панели WP добавьте нового пользователя с правами администратора.
- Войдите в новую учетную запись.
- Удалите старую учетную запись.
Изменение страницы входа
По умолчанию вы можете получить доступ к каждому сайту WordPress по URL, таким как:
example.com/wp-login.php,
example.com/wp-admin/
Чтобы уменьшить количество атак методом перебора, вы можете использовать плагин Ограничить попытки входа в систему, чтобы ограничить количество попыток входа в систему и заблокировать пользователя на определенное время. Однако, если вы хотите полностью обезопасить форму входа, вы можете изменить ее местоположение с помощью плагина WPS Hide Login.
Будет гораздо сложнее догадаться, что панель управления расположена по
example.com/niceteddybear .
Блокировка доступа к файлам
Используя специальные правила в файле .htaccess, вы можете обезопасить внешний доступ к определенным файлам или папкам.
В главной папке WP вы найдете файлы xmlrpc.php и wp-config.php, в которых хранятся данные для базы данных MySQL. Поэтому рекомендуется добавить дополнительный уровень безопасности для этих файлов, добавив следующее правило к файлу .htaccess, расположенному в той же папке.
<файлы wp-config.php>
заказать разрешить, запретить
запретить всем
</files>
<файлы xmlrpc.php>
заказать разрешить, запретить
запретить всем
</files>
Кроме того, в каталоге /wp-content/uploads/, если он не существует, создайте файл .htaccess и добавьте следующее правило для блокировки выполнения определенных вирусов:
<Файлы ~ “.ph(?:p[345]?|t|tml)$”>
запретить всем
</Files>
Отключение ненужных функций
WordPress предоставляет различные функциональные возможности, которые часто не используются, поэтому некоторые из них стоит отключить. Если вы используете комментарии, подумайте об отключении первых двух флажков в Настройках → Обсуждение.
Обратные запросы служат для информирования администратора сайта, когда кто-то ссылается на его сообщение. Если вы не используете встроенные комментарии WordPress, установите плагин Отключить комментарии.
Плагины безопасности
Поскольку продолжают появляться новые атаки и вирусы, нацеленные на веб-сайты на базе WordPress, многие компании внедрили дополнения, помогающие нам защищаться от них. Вот несколько примеров таких плагинов: Wordfence Security, All In One WP Security & Firewall и iThemes Security.
Эти плагины в основном направлены на обеспечение безопасности наших веб-сайтов путем обнаружения вредоносного программного обеспечения и блокирования атак методом перебора. Однако стоит отметить, что использование этих плагинов может привести к небольшому снижению скорости веб-сайта.
Резервные копии
Создание регулярных резервных копий имеет решающее значение, даже если ваш хостинг–провайдер уже обрабатывает это за вас – точно так же, как UltaHost, который автоматически выполняет ежедневные резервные копии вашего хостинга WordPress.
Быть осторожным – значит быть особо защищенным, поэтому по-прежнему рекомендуется позаботиться о своих резервных копиях, особенно до и после внесения существенных изменений на ваш сайт, даже если вы доверяете своему хостинг-провайдеру.
WordPress предлагает множество плагинов для резервного копирования, но один из них, который стоит порекомендовать, – UpdraftPlus. Этот плагин позволяет автоматически создавать резервные копии, которые можно отправлять на другой сервер.
Заключение
Защита вашего веб-сайта WordPress от вирусов имеет первостепенное значение в современном цифровом ландшафте. С ростом популярности WordPress также значительно возрос риск атак, вирусов и других угроз. Киберпреступники могут нанести существенный ущерб владельцам веб-сайтов и онлайн-бизнесу, если не будут защищены должным образом.
Следуя этим рекомендациям, вы можете значительно снизить риск того, что ваш сайт WordPress станет жертвой кибератак. Помните, что сохранение упреждающего подхода к безопасности и постоянное информирование о последних угрозах будет способствовать более надежной работе WordPress. Будьте бдительны и продолжайте уделять приоритетное внимание защите ваших ценных онлайн-ресурсов.
Вы беспокоитесь, что вам придется доплачивать за нашу платформу безопасного хостинга? Не волнуйтесь, это не только безопасный, но и дешевый хостинг WordPress! Получите поддержку 24/7 от нашей службы поддержки. Наша мощная инфраструктура ориентирована на автоматическое масштабирование, производительность и безопасность. Позвольте нам показать вам разницу! Ознакомьтесь с нашими планами хостинга WordPress!