Блог Сергея Хожакова

Мой опыт по созданию и раскрутке сайта на WordPress

Wordpress

Взлом сайта на wordpress

Здравствуйте, уважаемые читатели блога. В сегодняшней статье хотелось бы обсудить такую важную тему как защита блога или сайта. Взлом сайта на wordpress довольно частое явление, так как данный движок является наиболее популярным среди сайтов и злоумышленники очень хорошо знают как его взломать. И думаю, вам будет полезно узнать, какие действия нужно предпринять, чтобы своевременно защитить свой блог или сайт на движке wordpress.

взлом сайта на wordpress

Взлом сайта на wordpress или как защитить свой блог

Иногда бывает полезно знать, что можно сделать с сайтом, чтобы оградить свой ресурс от нападок злоумышленников.

По данным статистики, которая ведется с 2010 года:

  • 60% тех, чей сайт взломали не знают даже, что произошло,
  • 25% взломов сайтов происходит через уязвимость в плагине или теме,
  • 6,5% происходит от того, что пароль взламывают,
  • 3% случаев происходит за счет уязвимости старой версии WordPress, который не обновляется,
  • 1,5% случаев бывает из-за взломанных хостинг-провайдеров,
  • 0,6% сайтов все еще имеют старые загрузочные файлы,
  • 0,4% составляют другие причины, такие как компьютер с которого заходят в админку сайта не имеет антивируса, человек отвечает на фишинговые письма, из-за устаревшего программного обеспечения сервера и т.д.

взлом сайта на wordpress
Статистика причин взлома сайтов

pro100game_вебинар

Не имеют представления что произошло

Случай, когда пользователь не представляет, что произошло, является наиболее распространенным — 61% зачастую бывает не до конца понятен. Бывает даже трудно выяснить причину, по которой сайт взломали. В этом случае вебмастеру следует обратиться к специалистам, которые специально занимаются восстановлением сайтов или блогов после взлома.

И если ваш сайт взломали, я рекомендовал бы вам не тратить время на выяснение обстоятельств, а использовать его для защиты сайта.

Уязвимость в плагине или теме

Сегодня без плагинов или тем для WordPress не обходится ни один сайт на этом движке. Каждый владелец сайта использует их в своей работе. Количество плагинов растет день ото дня, каждый разработчик может быть автором плагина или темы для вордпресс, если обладает соответствующими навыками.

Обновляйтесь

Перво наперво, что следует сделать, это обновить плагин или тему, если имеются доступные обновления. Это важно, так как разработчики постоянно дорабатывают плагины еще и для того, чтобы добавить защиту от новых уязвимостей.

взлом сайта на wordpress

Доверяйте разработчику

Я бы не советовал устанавливать на сайте плагин, который не обновлялся более 2 лет, а также не имел службу поддержки, либо имел мало скачиваний, т.е. когда автор еще не известен.

Пользуйтесь проверенными источниками

Для скачивания бесплатных плагинов следует пользоваться официальными источниками WordPress.

Если плагин платный — не следует скачивать с сайтов-варезников его взломанную версию. Так как в нем могут содержаться плагины, в код которых вставлен какой-либо вирус или что-то еще, что в итоге повлияет на взлом сайта на wordpress.

Пользы от такого бесплатного продукта будет немного, а заплатить за восстановление сайта возможно придется .

Загрузка

Вы можете установить плагин используя админ-панель вашего блога на WordPress, причем плагин необязательно распаковывать из архива, а просто использовать расширение .zip. Но, такой файл может содержать в себе любой посторонний код, который при установке начнет собирать информацию или взломает ваш сайт.

Так что при скачивании плагинов пользуйтесь всегда официальным репозиторием, а для премиум плагинов используйте безопасное соединение FTP.

Взлом пароля

Взлом пароля происходит во многом из-за того, что используется слабый пароль такой например, как дата вашего рождения или qwerty.

Имя пользователя

Не пользуйтесь распространенным именем пользователя таким как admin или administator, а также не используйте для входа ваше распространенное имя или никнейм.

Спрячьте панель входа в админку блога

Перемещение адреса входа в админ-панель блога дает возможность не дать всевозможным роботам пытаться войти в нее. К примеру вам нужно сделать так чтобы вход в админ-панель происходил не как обычно http://site.ru/wp-admin, а по другому пути.

Двойная аутентификация

Наилучшие результаты показала двойная аутентификация, т.е. необходимость два раза вводить пароль и логин для входа. Это происходит потому что злоумышленнику или роботу приходится проходить повторную аутентификацию, что делает практически невозможным взломать сайт.

Брешь в wordpress

Иногда, случается, что движок WordPress подвергается взлому. При этом сильным преимуществом является то, что мы слышим об этом, когда проблему уже устранена, что делает движок наиболее защищенной CMS для нас.

Поэтому следует стараться постоянно обновлять WordPress, как только новое обновление стало доступно. Иначе вы можете подвергнуться огромному риску, так как брешь уже была объявлена и теперь каждый знает о ней, что делает возможность злоумышленникам воспользоваться этим и взломать сайт, который остался не обновленным.

Вина хостинг-провайдера

Случается и такое, когда взлом сайта происходит не по вашей вине, а по вине хостинг-провайдера. В этом случае напрашивается очевидное действие — сменить хостинг. Вам нужно выбрать хорошего хостинг-провайдера, который зарекомендовал себя как качественный и безопасный, к таким я отношу например хостинг FastVPS.

Старые файлы WordPress

Вы уже в курсе, что начиная с версии 2.0 WordPress удаляет часть файлов при установке? Если сайт при установке автоматически устанавливался, то замечательно. А если при установке использовался перенос файлов через FTP, то при копировании файлов они не удалялись, т.е. старые файлы с предыдущей версии оставались на хостинге.

Проблема в том, что эти файлы могут содержать в себе дыры в безопасности, вот почему важно удалять их.

Неправильно выставлено право доступа к файлам

Файлы и папки имеют право доступа к ним такие как, чтение, редактирование, одно из двух или оба. Я имею в виду команду chmod, использующуюся при изменении разрешения файлов.

Если файл имеет доступ 0777, то это может быть небезопасно, так как позволяет другим людям открывать их не только как для чтения, но и как для редактирования. Корректно было бы установить разрешение 0644 для файлов и 0755 для папок.

Украденные пароли

Вам нужно использовать сложные пароли для доступа в админку. Если на сайте имеется возможность регистрации другим участникам, то вам нужно удостовериться, что они также используют сложные пароли.

Советы

Ниже я привел краткий список советов для обеспечения безопасности, которые очевидны, но могут быть просто не учтены вами:

  • На компьютере должен быть установлен антивирус,
  • Не используйте неизвестные провайдеры особенно на станциях или в ресторанах,
  • Не давайте никому свой логин,
  • Не отвечайте на письма, запрашивающие вашу личную информацию,
  • Используйте безопасное FTP или SSH соединение,
  • Выходите из админ-панели каждый раз, когда заканчиваете работу.

А у вас уже происходил взлом сайта на wordpress? Надеюсь, что нет. А чтобы еще более обезопасить сайт, предлагаю Вам воспользоваться классным руководством Тотальная Защита WordPress блога, с помощью которого я сумел за неделю узнать все подводные камни, которые подстерегают владельца блога и полностью обезопасить свой блог!

Подпишитесь на обновления блога

Комментарии (1)

  1. Александр  |  Опубликовано

    Мои сайты постоянно кто то хочет взломать, но благодаря плагинам, и кое какому изменению в коде файлов, их шансы сводятся к нулю. 🙂

    Ответить

Оставьте свой первый комментарий на блоге и получите в подарок плагин помогающий улучшить поведенческие факторы блога плюс подробную видеоинструкцию к нему

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам: