12 советов, как защитить WordPress от вирусов

12 советов, как защитить WordPress от вирусов

С развитием самой системы WordPress появляются атаки, вирусы и другие опасности, которые могут доставить массу неприятностей владельцам сайтов и интернет-магазинов. Что такое вирусы и как от них защититься?

Вредоносные программы, атакующие сайты на базе WordPress, ищут и используют любые уязвимости, прежде всего, в плагинах и шаблонах. Затем они "внедряют" специальный вредоносный код, который будет выполнять различные задачи в зависимости от типа вируса.

Однако прежде чем перейти к защите WordPress, необходимо понять, с чем мы можем иметь дело.

Вирусы на сайтах с движком WordPress

WordPress сам по себе является очень безопасной платформой. Над его разработкой трудятся программисты со всего мира, поэтому они могут очень быстро обнаружить возможную уязвимость в системе и немедленно ее устранить.

Если WordPress безопасен, то почему он является наиболее часто атакуемой вирусами платформой? WordPress – самая популярная система управления контентом, которую используют около 40% веб-сайтов по всему миру, поэтому она наиболее уязвима для всех типов атак. Слабым местом WordPress являются плагины и шаблоны, написанные как профессиональными компаниями, так и обычными пользователями.

Как проверить, заражен ли сайт вирусом

1. Необходимо зайти на свой сайт, просмотреть его, например, товары, категории, предложения, корзину и т.д. Если не происходит ничего странного, то есть не всплывают окна или не идет перенаправление на совершенно другую страницу. Иными словами, нужно убедиться, что с сайтом все в порядке.

2. С помощью FTP нужно найти в папках файлы с неизвестными и подозрительными именами. Например, такими:
46fr1s55p9_index.php
li5qszcoh4_index.php

3. Следует проверить основные файлы index.php, wp-config.php, wp-settings.php на наличие вредоносного кода. Для этого в редакторе файлов желательно включить отображение пробелов и табуляции.

4. Можно также проверить результаты поиска в Google для вашего сайта.

5. Не лишним будет установить программу поиска вредоносных программ, например, WebDefender Security – Protection & AntiSpam. С помощью этого плагина можно проверить, не скрываются ли на сайте вирусы. К сожалению, каждую найденную проблему необходимо индивидуально проверить и убедиться, является ли она вредоносной, поскольку часто бывает, что используемые плагины могут содержать код, который программа посчитает вредоносным.

Как защитить сайт на WordPress

Ниже приведен список профилактических мер, которые, безусловно, защитят и уменьшат вероятность заражения сайта вирусом. В зависимости от вида вируса или атакующих роботов, этих рекомендаций может быть недостаточно.

1. Хостинг

Одним из самых важных элементов любого веб-сайта является правильный выбор хостинга. Большинство владельцев сайтов, выбирая подходящий сервер руководствуются ценой или рекомендацией другого человека. Однако выбор не так прост.

Прежде всего, необходимо проверить, работает ли хостинг, а именно:

  • установлена ли последняя версия PHP – в настоящее время 8.0;
  • делаются ли копии баз данных и файлов, и есть ли свободный доступ к ним;
  • есть ли у него защита от DDoS-атак.

Помимо проверки безопасности, стоит также проверить параметры (процессор, оперативная память, мощность, ограничения), которые предлагает сервер.

2. SSL-сертификат

SSL-сертификат шифрует любую информацию, передаваемую между браузером пользователя и веб-сайтом. Каждая профессиональная хостинговая компания предлагает бесплатные и платные SSL-сертификаты.

3. Обновления WordPress

Постоянно выходящие обновления WP не только включают ряд новых функций и возможностей, но и содержат важные исправления, связанные с безопасностью системы. Дополнения также должны быть обновлены. Именно плагины и шаблоны наиболее уязвимы для вирусных атак, поэтому их следует всегда обновлять, чтобы снизить риск.

4. Удаление ненужных плагинов и шаблонов

Если какие-то определенные плагины никогда не используются или используются очень редко, лучше удалить их! Это также касается и шаблонов – удалите их, если они не нужны.
Следует снижать риск везде, где это возможно, тем самым усложняя жизнь хакерам и роботам!

5. Скрытие версий WordPress и плагинов

WordPress по умолчанию отображает версию на исходной страницы, добавляя тег в разделе HEAD:

name="generator" content="WordPress 5.6.4"

В случае с плагинами WordPress добавляет? Ver = XX к URL-адресу файлов CSS и JS.

Отображение версий можно заблокировать, добавив соответствующий код в файл functions.php нашего шаблона.

6. Изменение паролей

Необходимо менять пароли для всех администраторов сайта раз в несколько месяцев.

7. Изменение логина администратора

Самый распространенный логин – admin, поэтому если ваш логин - admin, administrator или имя домена, то следует поменять его как можно скорее. Изменив этот параметр, уменьшается вероятность взлома сайта.

Как изменить логин в WordPress

Первый метод:

  • войдите в базу данных через phpMyAdmin;
  • найдите таблицу wp_users;
  • найдите свою учетную запись, нажмите редактировать
  • в столбце user_login измените старый логин на новый.

Второй метод:

  • в панели WP добавьте нового пользователя, но обязательно с правами администратора;
  • войдите в новую учетную запись;
  • удалите старую учетную запись.

8. Изменение страницы входа в систему
По умолчанию можно войти на любой сайт WordPress, используя URL:
example.com/wp-login.php
example.com/wp-admin/

Поэтому для снижения атак с помощью плагина Limit Login Attempts есть возможность ограничить количество входов в систему и заблокировать пользователя на определенный период времени.

Однако если необходимо полностью обезопасить форму входа, можно изменить ее расположение с помощью плагина WPS Hide Login.

9. Блокирование доступа к файлам

Используя соответствующие правила в файле .htaccess, можно защитить внешний доступ к определенным файлам или папкам.

Корневая папка WP содержит файл xmlrpc.php и файл wp-config.php, которые хранят данные для базы данных MySQL, поэтому хорошей идеей будет дополнительно защитить эти файлы, добавив следующее правило в файл .htaccess, который находится в той же папке:
<files wp-config.php>
order allow,deny
deny from all
</files>
<files xmlrpc.php>
order allow,deny
deny from all
</files>

Кроме того, в каталоге /wp-content/uploads/, если его нет, нужно создать файл .htaccess и добавить следующее правило, которое будет блокировать выполнение некоторых вирусов:
<Files ~ "\.ph(?:p[345]?|t|tml)$">
deny from all
</Files>

10. Отключение ненужных функций

WordPress предлагает множество различных функций, которые обычно редко используются, поэтому некоторые из них стоит отключить.

Если мы используем комментарии на сайте, стоит отключить первые два флажка в разделе "Настройки → Обсуждение".

Если вы не используете встроенные комментарии WordPress, стоит установить плагин Disable Comments.

11. Плагины безопасности

По мере того как растет число атак и вирусов на сайты, основанные на системе WordPress, многие компании выпустили дополнения, помогающие защититься от них.

Примерами плагинов являются: Wordfence Security, All In One WP Security & Firewall или iThemes Security.

Данные плагины в основном обеспечивают безопасность сайта, позволяют обнаружить вредоносное ПО или блокируют атаки. Единственным недостатком этих плагинов является возможное снижение скорости сайта.

12. Резервные копии

Регулярное резервное копирование обязательно, даже если хостинг-провайдер делает это самостоятельно. Иногда может возникнуть ситуация, что с его восстановлением возникла проблема или по каким-то причинам оно даже не было выполнено. Вот почему их все же лучше делать самому. Существует множество плагинов WordPress, создающих копии, но один из них стоит порекомендовать – UpdraftPlus, благодаря которому копии создаются автоматически и могут быть отправлены на другой сервер.