Статья написана, после того как мне надоело вытаскивать сайты из архива, после очередного взлома! ))
Решил плотнее заняться защитой сайтов на WordPress. Ниже описана защита…. для «новичков» (среднего уровня: знание файловой WP системы обязательно!)
Более сложную защиту или закажите или с опытом придет осознание! )
- Как узнать что сайт взломали?
- Как узнать уязвимости своего сайта?
- В данной статье перечислены совместимые плагины!
- ДЕЛАЙТЕ АРХИВ, до внесения изменений на сайте и настроек плагинов защиты!
- Можно ли взломать сайт на WordPRess — да!
- Во-первых, если вы выбрали недорогой хостинг, именно в нем найдется «дырка»,
- Во-вторых, конечно сайты пишут люди и взламывают их тоже люди,
- Защищаем сайт на WordPress и соответственно узнаем его уязвимости:
- Не используем null темы и плагины, но кто это слушает
- Стараемся использовать минимальное количество плагинов.
- Удаляем лишние темы, работаем на дочерней теме.
- Надежные логины и пароли.
- Изменить префикс для базы с «wp_» на , к примеру «c3XI34_».
- Видео как установить WordPress
- При установке придумайте сложный логин для админа, пароль и смените префикс базы.
- Я пользуюсь следующими стадиями защиты:
- Меняю точку входа в админку: https://САЙТ/wp-login.php на https://САЙТ/HrenVam, к примеру.
- Disable xml rpc api — плагин ограничения доступа к ядру WordPRess.
- Wordfence Security— антивирус, файрвол и сканер вредоносных программ и двухфакторная аутентификация.
- iQ Block Country— блокирование IP по странам, большинство сайтов Россия+.
- Limit login attempts reloaded — плагин ограничения входа и IP защита
- Установить капчу на вход, формы обратной связи и на сайт в целом.
- Не помешает:
- Постоянно обновлять сайт — темы, плагины, ядро.
- Настроить верно robots.txt для WopdPress, скачать пример
- Настроить ОСТОРОЖНО! Пример файла .htaccess — скачать нулевой (стартовый) файл .htaccess
- Удалить файл …/wp-admin/install.php
- Скрыть версию WordPress
- Отключить выполнение кода для каталога Uploads
- Немедленно заблокировать некорректные имена пользователей
- Проверить права доступа на хостинга к основным файлам и папкам!
- Для сайта блогера отключаем регистрацию и комменты без авторизации.
- All in one wp security — cмена входа, ограничение числа ввода логина и пароля, блокировки по IP.
- Как видите, сайт защитить это ТА еще работа! Пишите если сайт взломали….
- Оплачу взлом сайта: https://holter-cardian.ru = 1000руб.
- Другие статьи по защите сайтов на WP
Как узнать что сайт взломали?
В начале, проверьте отображение сайта, если привычный вид, то все ок. Проёдитесь по разным страницам, купите товар через корзину и.т.п.
Проверьте количество и ссылки индексируемых страниц в Вебмастере https://webmaster.yandex.ru/
Индексирование — Мониторинг важных страницах — URL — появление ссылок типа /?page-18321-267 или похожих проверяйте куда они ведут ( кликните опо ней) , может оказаться к вашему домену прикрепили ДРУГОЙ магазин! Такое тоже встречал!
Проверьте основные файлы, такие как index.php, wp-config.php, и wp-settings.php и даже robot.txt .htaccess на наличие вредоносного кода или скриптов. Чаще всего заражаются файлы …include…
Увидеть их не сложно, что то типа:
Идеально уставите программу сравнения файлов на ПК и периодически сканировать папки «НУЛЕВОГО сайта», того что сразу после установки на хостинг и его последней копией, то что делать копии сайта нужно напоминаю снова! Программа сравнения файлов покажет вам изменения…. и вы уже решите вернуть старый фал или исправить код руками.
Как узнать уязвимости своего сайта?
После обновления сайта ( не забудьте сделать копию ДО обновления) проверьте все , что стоит у вас на сайте в поиске по запросу: Уязвимость «название плагина/темы»
Уверен узнаете много интересного!
Сегодня стал просматривать сайт после сообщения Яндекса: На сайте счётчик Яндекс Метрики не установлен или установлен некорректно.
В ЛК вебмастера увидел абракадабру в обходе счетчиков: https://САЙТ/db.php/sitemap-anika.xml — пошел смотреть, что в восстановленной копии сайта осталось от взлома! Нашел много чего, в частности файл в корневой папке readme.789fdb3659fb6a76648277a48390e2a6.html с атрибутами на выполнение!
В данной статье перечислены совместимые плагины!
ДЕЛАЙТЕ АРХИВ, до внесения изменений на сайте и настроек плагинов защиты!
Можно ли взломать сайт на WordPRess — да!
Почаще делайте копии сайта(ов)!
Почему вирусы часто нацелены на WordPress? Ответ заключается в его огромной популярности как наиболее широко используемой системы управления контентом, которая поддерживает более 50% всех веб-сайтов по всему миру.
Впрочем, как и любой другой сайт, за редким исключением, конечно! Попробуйте взломать: test.tw1.ru получилось? Не войти, а именно взломать!
Во-первых, если вы выбрали недорогой хостинг, именно в нем найдется «дырка»,
в первую очередь на роли в доступе к папкам.
Из тех, что я использую считаю, надежным BEGET.RU ( партнерский код: 1124373 beget.com/p1124373)
Для клиентов советую REG.RU, а тестирую сайты и делаю статические на TIMEWEB.RU ( партнерский код 44598 https://timeweb.com/ru/?i=44598) Так как на одной учетке можно разместить 10-15 сайтов по приемлемой цене при хороших параметрах. На последнем архивы правда платные, приходится следить за backup самому.
НО если сайт статический или даже лендинг… лучше использовать TIMEWEB.RU или REG.RU ( тут хостинги с низким ресурсом на 1-3 сайта.)
Во-вторых, конечно сайты пишут люди и взламывают их тоже люди,
понятно что привлекая всю вычислительную мощь ботов к своим знаниям!
Защищаем сайт на WordPress и соответственно узнаем его уязвимости:
Не используем null темы и плагины, но кто это слушает 
Стараемся использовать минимальное количество плагинов.
Иногда желаемый функционал достигается только двумя десятками плагинов
Удаляем лишние темы, работаем на дочерней теме.
Дочерние темы сохранят ваши изменения в коде, при обновлении основной.
Надежные логины и пароли.
Придумываем и создаем надежные логины и пароли.
Например, логин «HrenVamaneAdmin» лучше «admin», а пароль «AKeC544UnwEXuSfrsQEckycVEsG1» лучше чем «qwerty123», да?
При установке WordPress через средства хостинга Вы получите логин администратора «admin», по умолчанию
Его сразу нужно сменить! В базе строка: wp_users — нужно нажать на карандаш слева. Имя выбирайте типа: «HrenVamaneAdmin»
А пароли записывайте ( изменив один символ, например 5-й, на случай потери файла с паролем ). Он должен быть не менее 10 символов с цифрами и спецсимволами типа «#».
Изменить префикс для базы с «wp_» на , к примеру «c3XI34_».
При установке средствами хостинга это сделать не получится, потому всегда ставлю WordPress через команду …/wp-admin/install.php из папки сайта.
Залезать в базу и там править для новичка не безопасно, потому советую поставить WordPress на хостинг через его инсталлятор http://example.com/wp-admin/install.php WP подробнее: https://codex.wordpress.org/Установка_WordPress
Видео как установить WordPress
https://dzen.ru/video/watch/6773dc158cc97041af727664
Пример установки на локальной сервер — к себе на ПК. Могу скинуть ссылку на скачивание OSPanel, что в видео.
На разных хостингах есть не большие отличия. Но пошаговый принцип тот же!
При установке придумайте сложный логин для админа, пароль и смените префикс базы.
Я пользуюсь следующими стадиями защиты:
(Вначале своей практики написания сайтов на WordPress, ею пользовался)
Меняю точку входа в админку: https://САЙТ/wp-login.php на https://САЙТ/HrenVam, к примеру.
С этим хорошо справляется плагин: WPS Hide Login, не забудьте записать новую точку входа!!!
Disable xml rpc api — плагин ограничения доступа к ядру WordPRess.
Скачать файл с настройками для импорта настроек: disk.yandex.ru/d/d4N21VZSS0JTNA, проверьте потом все ли вас устраивает в них.
Wordfence Security — антивирус, файрвол и сканер вредоносных программ и двухфакторная аутентификация.
На вкладке «Админ панель» — «Wordfence» — «Инструменты» — «Трафик в реальном времени» хорошо отслеживать кто и по каким точкам к вам «стучится» на сайт.
В бесплатной версии ( не на всех хостингах работает) защищает и сканирует ваш сайт с опозданием на 30 дней от обновления базы уязвимостей.
Устанавливайте двухфакторную аутентификацию после всех других настроек! Кстати только двухфакторная аутентификация е спасает от взломов, у меня взламывали с ней сайтов 5. Скорее всего из-за того что редко ( больше года) обновлял плагины и использовал null плагины.
iQ Block Country — блокирование IP по странам, большинство сайтов Россия+.
файл GeoLite2-Country.mmdb ( скачать версию файла по ссылке под нем на 08-01-2025), требуемый плагином можно найти после уставки Wordfence Security в папке: ../public_html/wp-content/wflogs
Limit login attempts reloaded — плагин ограничения входа и IP защита
На free версии 1000 запросов на сайте для блокировки по IP. Не ставьте число неверных вводов логина и пароля менее 3!
Установить капчу на вход, формы обратной связи и на сайт в целом.
https://www.google.com/recaptcha/admin/create?hl=ru
Не помешает:
Постоянно обновлять сайт — темы, плагины, ядро.
Предварительно делайте КОПИЮ сайта! Не всегда новая версия сделана без ошибок!
Настроить верно robots.txt для WopdPress, скачать пример
https://disk.yandex.ru/d/8xXH2PlItTwWaA
Настроить ОСТОРОЖНО! Пример файла .htaccess — скачать нулевой (стартовый) файл .htaccess
Вот его содержимое:
Не все нужно копировать к себе на сайт, часть команд прописывают плагины !!!! https://disk.yandex.ru/d/nmcmyVCj9elOng
Удалить файл …/wp-admin/install.php
Ниже настройки можно слелать в плагине Wordfence Security во вкладке «все параметры»
Скрыть версию WordPress
Отключить выполнение кода для каталога Uploads
Немедленно заблокировать некорректные имена пользователей
Проверить права доступа на хостинга к основным файлам и папкам!
Для сайта блогера отключаем регистрацию и комменты без авторизации.
Позднее стал использовать мультиплагины ( firewall ), которые заменяют несколько плагинов из списка выше.
All in one wp security — cмена входа, ограничение числа ввода логина и пароля, блокировки по IP.
НО FREE ВЕРСИЯ НЕ СКАНИРУЕТ САЙТ НА ВЗЛОМЫ.
Так что каждый вправе выбрать плагины сам для защиты своего сайта. Я привел лишь свой опыт и совместимые плагины — можно поставить их все сразу…. Не повторяйте только настройки одного в другом!
«Знающие люди» часть их функций внедряют в сам код сайта, что делает его быстрее и более безопасно…. кто как меняет коды, кто догадается!?
Но выше описаны, основные уязвимости и чем их устранить!
Как видите, сайт защитить это ТА еще работа! Пишите если сайт взломали….
Только сделайте сразу копию, того что осталось и попробуйте восстановить из архивных копия хостинга…. если включена автоматическая архивация.
Оплачу взлом сайта: https://holter-cardian.ru = 1000руб.
На главной должна быть запись «взломано + НИК ваш». Или добавьте страницу/статью и пришлите ссылку.
Другие статьи по защите сайтов на WP
https://ultahost.com/blog/ru/12-sovetov-po-zaschite-wordpress-ot-virusov/
https://clickfraud.ru/rukovodstvo-po-vzlomu-i-predotvrashheniyu-vzloma-sajta-wordpress-2023/