Це справжній кошмар: зайти на свій сайт та побачити, що його зламали. Якщо ви працюєте над своїм персональним блогом, то це може стати просто трохи неприємною подією. Якщо ви ведете сайт клієнта, то готуйтеся до важкого та напруженого дня. Якщо ж таке відбувається з вашим інтернет магазином - привіт паніки! У будь-якому випадку нічого хорошого від такої ситуації очікувати не варто. Тому вам потрібно придумати план, який допоміг би уникнути негативних наслідків від хакерських атак.
Дивіться також:
І ми з радістю вам допоможемо. Це перша частина міні-серії, де ми розповімо про те, як зробити свій WordPress проект максимально захищеним.
Пару слів про безпеку в WordPress
Як ви вважаєте, WordPress є безпечною платформою? Буде абсолютно нормально, якщо ви відповісте "Ні", багато людей саме так і рахують. Але це дуже далеко від істини... принаймні на сьогоднішній день.
Що спільного між Microsoft Windows, Android, Google Chrome та WordPress? Це приклади дуже популярного програмного забезпечення. Люди постійно знаходять прогалини у їхній безпеці. Але навіть з урахуванням того, що їм постійно доводиться виправляти помилки та вразливості, чи робить пробіли безпеки ці інструменти ненадійними?
Ні це не так. Часті оновлення не обов'язково означають те, що частина коду погано написана або програма не захищена від зовнішніх загроз безпеці. Гра в кішки-мишки між розробниками та хакерами продовжуватиметься завжди, і хакери завжди будуть знаходити спосіб зламати програмне забезпечення. Якщо воно є таким масштабним як WordPress, шанси на потрапляння під атаку хакерів виростають.
У цьому питанні дуже важливо вміти швидко реагувати і в деяких випадках навіть випереджати деякі події. Тут WordPress вигідно вирізняється. Вам доведеться почекати кілька днів, поки розробники в Google Chrome зможуть залатати їхню дірку в безпеці або навіть кілька тижнів у випадку з Microsoft.
Величезне співтовариство розробників WordPress зможе виправити проблему в день її появи та виявлення. Крім цього, є ціла команда, яка працює над безпекою ядра WordPress, тому ми в хороших руках. Якщо розглядати теми та плагіни, то там можна легше знайти помилки та недоліки, але може знадобитися більше часу на їх вирішення.
У будь-якому випадку, ніщо не є повністю безпечним. Ми живемо у той час, коли вчені збираються зламати код у наших мізках! Ніщо не є непроникним, і WordPress не є винятком. Але неможливість забезпечити стовідсоткову безпеку не означає, що ми не повинні прагнути 99,999%.
Збільшення безпеки в WordPress
Виходячи з особистого досвіду та деяких досліджень, ми склали список заходів безпеки, які необхідно вжити. Без зайвих слів, давайте почнемо.
Файл .htaccess
Почнемо з простого. Якщо ваш сайт WordPress розміщується на веб-сервері Apache, і в Налаштуваннях → Постійні посилання ви увімкнули Назва записуWordPress створить файл з ім'ям .htaccess для зберігання основних інструкцій для постійних посилань WordPress. Якщо ви не змінювали налаштування постійних посилань, файл .htaccess не буде створений ядром, але такі поради, як і раніше, можна застосувати, просто для цього потрібно створити файл самостійно.
Порада: Якщо ви збираєтеся створити файл .htaccess самостійно, і у вас виникли проблеми зі створенням файлу без імені, але з розширенням .htaccess, просто завантажте порожній файл з будь-яким ім'ям (наприклад, Untitled.txt) і змініть назву та розширення у вашому FTP клієнті .
Серед усіх трюків та підказок, виконати цей пункт та захистити свій .htaccess найпростіше. Все, що вам потрібно зробити, це додати наступні рядки до файлу:
# protect .htaccess <Files .htaccess> order allow,deny deny from all </Files>
Це допоможе захистити файл .htaccess від тих, хто бажає отримати доступ до нього.
Далі, відключимо показ вмісту папок:
# disable directory browsing Options All -Indexes
Тепер сторонні не зможуть побачити вміст ваших папок. Наприклад, myblog.com/wp-content/uploads/. Як правило, будь-хто міг би побачити завантажені файли або переміщатися по вкладених папках у директорії /Завантажено/, але з цим маленьким прийомом, вони побачать відповідь від сервера: Заборонене 403.
Тут варто відзначити "чорний список" від Perishable Press: The 5G Blacklist. Цей чорний список захищає ваш сайт від багатьох видів шкідливих дій: починаючи від шкідливих рядків запиту і закінчуючи поганими користувачами агентами.
З цим пунктом ми закінчили. Давайте перейдемо до маніпуляцій із wp-config.php.
Файл wp-config.php
З точки зору безпеки файл wp-config.php, швидше за все, найважливіший файл у всій вашій установці WordPress. І є багато дій над ним, які допоможуть вам зміцнити ваш сайт.
Почнемо з цікавого: ви знаєте, що можете розмістити свій файл WP-config.php на рівень вищий у кореневому каталозі Wordpress? Якщо це вас не заплутає, перемістіть його зараз. Найчастіше ми встановлюємо WordPress у директоріях public_htmlі файл wp-config.php всередині root.
Не впевнені, що це дуже підвищить рівень захищеності сайту, але з боку здається, що файл тепер знаходиться в більшій безпеці. На Stack Exchange був хороша суперечка на цю тему.
Давайте повернемося назад у root до файлу..htaccess і додамо наступні рядки, щоб заборонити доступ до файлу WP-config.php:
# protect wpconfig.php
<files wp-config.php>
order allow,deny
deny from all
</files>Ось ще одна цікава ідея: як щодо видалення дозволу на редагування теми та файлів плагіна? Для цього вам знадобиться додати наступний рядок у файл wp-config.php:
define( 'DISALLOW_FILE_EDIT', true );
Якщо ви хочете відключити можливість встановлення або видалення плагінів взагалі, під попередній рядок додайте наступне:
define( 'DISALLOW_FILE_MODS', true );
Ще дві поради для покращення WordPress: змініть префікс бази даних, а також додайте ключі безпеки (або salt-ключі) у файл wp-config.php.
З першим все взагалі легко: перевірте, чи ви встановили префікс бази даних, як значення за замовчуванням, знайшовши наступний рядок:
$table_prefix = 'wp_';
Якщо там встановлено значення wp_просто змініть його на будь-яке інше. Вам не потрібно його запам'ятовувати, тому ви можете ввести будь-яку рандомну комбінацію букв і цифр. Нам подобається комбінації типу wp_fd884vg_ - Вони і безпечні, і читані.
Змінити ключі безпеки також дуже легко. Переконайтеся, що ключі порожні, знайшовши наступні рядки:
/**#@+
* Authentication Unique Keys and Salts.
*
* Change these to different unique phrases!
* You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
* You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
*
* @since 2.6.0
*/
define('AUTH_KEY', 'put your unique phrase here');
define('SECURE_AUTH_KEY', 'put your unique phrase here');
define('LOGGED_IN_KEY', 'put your unique phrase here');
define('NONCE_KEY', 'put your unique phrase here');
define('AUTH_SALT', 'put your unique phrase here');
define('SECURE_AUTH_SALT', 'put your unique phrase here');
define('LOGGED_IN_SALT', 'put your unique phrase here');
define('NONCE_SALT', 'put your unique phrase here');Якщо в них написано всіх: 'put your unique phrase here', отже, вони ще встановлено. У цьому випадку, перейдіть за цим посиланням https://api.wordpress.org/secret-key/1.1/salt/ та скопіюйте згенеровані на тій сторінці ключі.
Порада: Якщо ви хочете дізнатися про salt-ключах, є велика стаття про переваги цього заходу безпеки.
Ну от і все! Сьогодні ми успішно засвоїли корисну інформацію та закінчили з трюками у wp-config.php.
Висновок
Сподіваємося, що вам сподобалися наші поради щодо .htaccess та wp-config.php. У другій частині цієї міні-серії ми поділимося іншими важливими порадами та представимо деякі цікаві WordPress плагіни. Залишайте свої відгуки та враження в коментарях, побачимося в наступній частині!
Джерело: code.tutsplus.com
Коментарі до запису: 7
Тема потрібна. Поради – корисні. Чекаємо з продовження, сподіваюся в огляді плагінів майне iThemes Security і акценти, на які варто звернути увагу при його налаштуванні.
salt-ключі автоматично генеруються при установці, чи не?
Дивлячись, яким чином відбувалася установка. Якщо вручну розгорнути дистрибутив по ФТП, то за замовчуванням у файлі wp-config буде порожньо.
Ще одна непотрібна стаття. Просто використовуйте плагін iThemes Security і грамотно його налаштовуйте - він робить абсолютно все, що написано в статті і докупи інших налаштувань - наприклад зміна id адміну, приховування версії wordpress, зміна url адмінки, зміна префікса бд, бан юзерів, чорні списки, антибрутфорс і т.д.
До речі, професійну версію iThemes Security Pro можна скачати безкоштовно з wpnull.org
Рикламаааа, плагіни плагіни, їх потрібно використовувати тільки при гострій необхідності, як на мене, і все, що можна написати вручну, краще зробити так. Не зовсім точно передав свою думку, але основний сенс має бути зрозумілим!
Тим більше ПРО версію качати з лівого сайту може бути собі дорожчим ... хіба ні ?
ПРО плагіни, як і й інші, поширюються за ліцензією GPL — тобто. вільно розповсюджуються.
Щодо вірусів тощо. всередині самого плагіна - тут питання довіри до ресурсу і, у будь-якому випадку, можна самостійно перевірити будь-який файл на наявність у ньому шеллів чи інших вірусів.
Що стосується безпеки - краще довіритися професіоналам і встановити плагін, який розробляється роками і перевірений часом, чим самому колупати сайт, тим більше плагін тільки вносить необхідні зміни в htaccess і налаштування WP і ніяким чином не вантажить сайт)
Добридень! Будь ласка, підкажіть, в яку частину файлу .htaccess вставити код для його захисту?