Що ви відчуваєте, коли раптом вам приходити листа про те, що ваш сайт зламали і тепер вимагають якусь суму грошей, щоб повернути все на свої місця? Набагато гірше, якщо ви про це не знаєте, а відкривши сайт ранком, бачите, що якась сирійська кібер-армія замість головної сторінки вивісила свої політичні гасла чи дивні банери на вашому сайті.
Щоб уникнути подібних неприємностей та додаткових витрат, раджу вам прочитати цю статтю. У пості буде кілька груп порад для користувачів з різним рівнем підготовки та різними навичками для адміністрування власних сайтів на движку Wordpress.
Дивіться також:
Загальні вразливості
Для середньостатистичного користувача WordPress є ряд загальних уразливостей, які насправді не пов'язані з роботою самого двигуна WordPress.
Проблеми можуть бути:
- у вашій локальній мережі або у вашому комп'ютері
- у роботі вашого хостинг-провайдера
Робота особистого ПК чи локальної мережі: у цьому випадку потрібно очистити локальний ноутбук, ПК або мережу від помилок, вірусів та інших проблем. Встановлюйте регулярно свіжі антивіруси, видаляйте шкідливе програмне забезпечення і правильно налаштуйте ваш роутер. Якщо ви не зовсім впевнені в тому, що вам вистачить навичок для боротьби з вірусами та шкідливим програмним забезпеченням у вашій локальній мережі, не поскупитеся на хороший мережевий брандмауер.
Робота хостинг-провайдера: перевірте, чи правильно працює ваш провайдер хостингових послуг. Злом може стосуватися не тільки вашого, але й багатьох інших сайтів, розміщених на серверах вашого провайдера. Якщо так сталося, робота всіх сайтів може бути порушена. Можливо, варто видалити якийсь плагін або вимкнути певні параметри на сервері. У крайньому випадку оперативно змініть хостинг-провайдера.
У крайньому (і неприємному) випадку вам доведеться встановлювати заново сайт. Ось для чого треба регулярно робити резервні копії та зберігати файли бази даних сайту та ключових його налаштувань. У разі неприємностей сайт із резервної копії можна буде розгорнути на новому хостингу.
Уразливості у безпеці WordPress
є безліч способів атакувати WordPress, але наступні 4 пункти є найбільш типовими способами для злому сайтів:
- Слабкі пароль та логін
- Уразливості у темах оформлення та плагінах
- Застаріле ядро та версія WordPress
- Робота хакера виключно за WordPress-сайтами
Слабкі пароль та логін: ви напевно помітили, що вбудований механізм захисту сайтів підказує вам, коли вибраний вами логін та пароль недостатньо сильні, щоб захистити ваш сайт. В ідеалі ваш пароль повинен містити цифри, літери та різний регістр для літер, щоб максимально захистити ваш веб-ресурс від злому. Якщо ви не можете запам'ятати занадто складний пароль, краще запишіть його будь-де. Запам'ятайте просту істину: чим коротший і простіший пароль, тим швидше він зламується простим перебором.
Вразливості тем та плагінів: навіть у популярних платних плагінів бувають вразливі Саме тому просто почитайте відгуки про плагіни, які збираєтеся використовувати, перш ніж будь-що встановлювати. Уникайте плагінів та тих, які не розміщені в офіційній бібліотеці WordPress.org. Орієнтуйтесь на рейтинги та відгуки інших користувачів, щоб не встановити собі шкідливе або фальшиве програмне забезпечення.
Застаріла версія WordPress: якщо регулярно та вчасно не оновлювати сайти, то можна зіткнутися з численними проблемами. З виходом нового релізу WordPress найкраще негайно оновити всі свої сайти з однієї простої причини: з виходом нової версії публікується список знайдених та виправлених помилок у попередніх версіях, що стає зброєю в руках хакерів для злому старих версій WordPress.
Умілі WordPress-хакери: пам'ятайте, що такі хакери завжди можуть знайти вразливість, а тому регулярно все оновлюйте та дотримуйтесь рекомендацій, які прочитайте нижче.
Що робити, якщо сайт таки зламали
У випадку, якщо сайт зламаний, зробіть таке:
- Залишайтеся спокійні: злом уже стався, тож треба тепер взяти себе в руки та знайти шлях для вирішення проблеми.
- Для початку перевірте локальний ПК або ноутбук на предмет вірусів або шкідливих даних, оновіть всі програми та антивірусну базу.
- Увійдіть до свого облікового запису на хостингу і перевірте, що там відбувається. Якщо вас зламали, напевно в панелі адміністратора на хостингу буде повідомлення про спробу несанкціонованого доступу до вашого облікового запису.
- Змініть усі паролі для FTP/SFTP/MySQL та для всіх користувачів, які мають доступ до вашого сайту.
- Відтворюйте сайт із резервної копії. Для резервного копіювання та відновлення можна використовувати BackWPup.
- Закрийте будь-які вразливості, які можуть стати в нагоді хакерам, і захистіть файл WP-config.php.
- Оновіть все.
- Подумайте про те, що варто перейти на преміум-хостинг класом вище або скористайтесь Sucuri або ManageWP, якщо все одно використовуватимете shared-хостинг і далі.
- У майбутньому дотримуйтесь усіх рекомендацій цієї статті.
Кращі поради щодо безпеки WordPress
На майбутнє постарайтеся уникати можливих атак хакерів і спроб злому. Це не так вже й складно, просто не забувайте такі правила:
- Регулярно оновлюйте ядро движка, всі теми та плагіни на сайті.
- Постійно робіть резервні копії всього на сайті - від ядра до плагінів, тим і всього контенту. Є маса плагінів для цих цілей: VaultPress, BackupBuddy, BackWPup, BlogVault.
- Ніколи не користуйтесь паролем та логіном, які встановлюються на сайті за умовчанням.
- Вибирайте пароль, який важко підібрати або вгадати, використовуйте літери та цифри, різні символи. Випадковий розкид символів захистить вас краще ніж пароль, який легко підібрати.
- Захист файл wp-config.php.
- Приховайте своє ім'я користувача.
- Сховайте на сайті поточну версію WordPress.
- Обмежте кількість спроб авторизації користувача.
- Вимкніть редагування файлів з панелі керування, додавши рядок у файлі wp-config.php: define('DISALLOW_FILE_EDIT', true);
- Встановіть Монітор файлів WordPress для отримання повідомлень від вашого сайту щоразу, коли відбувається редагування файлів на вашому сайті.
- Завжди використовуйте SFTP для з'єднання через FTP-клієнт.
- Використовуйте платні плагіни для захисту сайту.
- Також не забудьте про самостійні підручні засоби захисту, для знайомства з якими прочитайте цей посібник з WordPress.
І ще пару порад
Наймані професіоналів для роботи з налаштування та оформлення вашого сайту. Не довіряйте випадковим розробникам. Не використовуйте сумнівний хостинг чи безкоштовні рішення, про які нічого не знаєте. Найміть людину, яка відповідатиме за безпеку вашого сайту.
Платні сервіси значною мірою знижують ризик того, що сайт буде зламаний, домен — викрадений, а вашому проекту буде завдано шкоди.
Коментарі до запису: 8
Доброго дня! Користуюсь під час створення сайту Вашими статтями, у Вас все класно та зрозуміло описано. Нещодавно з'явилася проблема — почали з'являтися в статтях чужі посилання, видаляючи їх із статті через адмінку, після оновлення запису, посилання з'являються знову. У коді теж нічого не можу знайти. Облазив інтернет-така проблема є, але конкретного рішення не знайшов. Може Ви змогли б допомогти мені, сайт . Дякую.
Спробуйте спочатку змінити паролі до адмінки і фтп сайту. Можливо, ви поставили якийсь рекламний плагін, який додає посилання у тексті постів.
ось звернулася до Олега мені допоміг з листуванням мого чоловіка в соц мережі, спасибі вам
ось його пошта: mail_crack@rocketmail.com
Днями у метриці значно збільшилася відвідуваність на покинутому сайті, адресу сторінки вів взагалі на інший домен. Там я виявив сайт "двійник", що робити?
А може просто змінити довбаний вордпрес?! Спробуйте бітрікс зламати! то то же! Це не реклама, просто запарили атаки постійні неадеквати всяких.
Знавці! Шановні, допоможіть мені, як мені бути?! Замовила сайт через рекламу в інстаграмі, дівчина сама вписувала за 150 $ сайт для ворожок і т.п. Наприкінці їжі відібрала в неї вхід до адмінки, потім витіснила її з адмінки. Стали активно приходити після цього з 3-айпі адрес атак на поле коментарі. Було що вона розробниця, фахівцем витісняла мою сторінку під помилкою форібден403. Думала відчепиться. Пише на мій ватсап з лівого номера, типу дізнатися моє настроєніше робоче, типу я в повному ходу, і сьогодні вирішила вона дати мені підніжку. Сторінка моя не працює типу моя сторінка переведена кудись кудись. домен то в мене кз. Типу стоїть ярлик з хостер.
Як я можу відновити свою сторінку? Так як мій хост папка знаходиться у минулої розробниці, яка я не розумію чого від мене хоче. Допоможіть мені відновити сторінку, сайт мій зламали добіркою паролем, вічною атакою на коментарі, результат, я на сайт зайшла, а сторінка зроблено. Це окрім неї ніхто, тому що хост папка була в неї.
Пліз допоможіть мені відновити сайт, хоч порадою.
Сподіваюся на відновлення свого сайту.
На який спочатку було оформлено хостинг?
Теж був зламаний сайт (може і зараз ще зламаний), проте доступ до адмінки був. Проблема виглядала як переадресація відвідувача під час потрапляння на будь-яку сторінку мого сайту. В адмінці виявив плагін Attachment Pages Redirect, який начебто не встановлював. Вилучив. Переадресація припинилася. Сайт на https.