Как защищать сайты на WordPress? — пару советов из практики

Так сложилось, что уже больше 5-ти лет делаю сайты на WordPress и все больше убеждаюсь в правильном выборе CMS. Нет конечно, это как и любой другой продукт сделанный человеком, не идеальное программное обеспечение. CMS содержит огромное количество багов, некоторые из которых, тянутся из релиза в релиз, упорно игнорируясь разработчиками. Так же в архитектуре полно не нужного функционала, который в свою очередь влияет на производительность сервера. Ну и самое главное, за счет огромного количества стороннего кода в виде плагинов и шаблонов, WordPress можно присвоить статус дыра года по безопасности. Но скажу вам как человек больше 10 лет проработавший в ИТ, дыры есть везде, просто не все системы так популярны, что бы появлялось много желающих их сломать.

Так как защитить WordPress?

Самое первое правило, это не превращать сайт в помойку различных плагинов для добавления функционала. Так же не стоит увлекаться темами, с большими возможностями, они обычно имеют гораздо больше проблем, чем стандартные темы или темы с более узким функционалом.

Есть сайт по агрегации БСУ https://01beton.kz/ который сейчас немного переделываю. На нем установлено 5 плагинов и все они активно обновляются, кроме одного «Яндекс.Метрика (счётчик)» значит его нужно обязательно заменить, на тот который имеет похожий функционал, но недавно обновлялся.

Как вы уже поняли, второй важный пункт это обновления. Они ставятся автоматически, без лишних телодвижений и заморочек. Что бы они не вредили сайту, нужно просто не лесть в код руками и не трогать файлы темы без создания дочерней темы. Очень часто есть специализированные сборки WordPress, например для управления Дорвеями. Такие сборки желательно обходить стороной, ну или учитывать риск потери сайта. Чем больше лишнего и устаревшего на сайте, тем больше риск стать чей то игрушкой, для рассады вирусов.

Превентивные меры безопасности

Ну из простых, это сложные пароли с наличием спец символов ну и бэкапы, которые нужно делать желательно в два независимых удаленных места. Хотя заразу можно и принести в бэкап, да и вообще очень часто злоумышленники очень долго прячут присутствие зловреда на зараженном сайте. Например для SEO продвижения нужны ссылки, и очень часто вкусные ссылки расположены на сайтах конкурентов, которые и за хорошие деньги ей не поделятся. Тут в дело вступают исполнители из Дарк.нет, где можно заказать взлом сайта в районе 100 — 500 долларов, а это иногда дешевле чем покупать ссылку у владельца хорошего тематического сайта.

Так же важно, не иметь ни каких удаленных доступов к MySQL базе данных, а SSH доступ к серверу, можно блокировать через панель для IP адресов не входящих например в пул вашего провайдера или страны. Ну а если у вас статический IP адрес на машине с которой вы ходите в сеть, то можно добавить в белый лист только его.

Что с плагинами для безопасности wordpress?

Честно вам скажу, ни разу ими не пользовался, ни когда уже ловил вирусы ни для того, что бы их останавливать. На самом деле если у тебя дырявый код, то эксплойт может сесть как родной и не один антивирус его не заметит. Такие эксплойты просто вставляют в ваш сайт URL адрес, на целевой сайт, тем самым воруя вашу ссылочную массу. Поэтому чекайте исходящие ссылки в: SearchConsole и Яндекс Вебмастер.