Онлайн заплахите застрашават ежедневно милиони WordPress сайтове по света. WordPress е най-използваната CMS платформа в световен мащаб и по тази причина тя е и най-атакуваната от DDoS атаки, зловредни софтуери, вируси и ботове, които търся уязвимости. За да защитите вашия блог, бизнес сайт или друг онлайн проект, който сте създали с платформата, ви даваме няколко основни насоки, които са подходящи дори за начинаещи разработчици на WordPress.

Основни стъпки за защита на WordPress:

• Задаване на права на файлове и директории : Ако използвате споделен линукс хостинг, то споделяте хардуерния ресурс на сървъра с други потребители. За да защитите файловете си от неоторизиран достъп от други потребители, ви препоръчваме правата на файловете да са 644, а на директориите - 755.
• Проследяване на логове. Това е една от най-важните стъпки за защита на сайта ви.
  
  • Какво представляват логовете и как да ги видим? Логовете са текстови файлове, съдържащи информация за всеки посетител на сайта ви, както и информация за качените, свалените и изтритите файлове посредством FTP. Логовете за посетителите могат да бъдат открити в /home/<вашето потребителско име>/access_logs/, а архивираните стари логове, както и FTP логовете се намират в /home/<вашето потребителско име>/logs/. Логовете също така могат да бъдат разгледани и през cPanel, чрез инструмента "Latest visitors", както и да бъдат свалени чрез инструмента "Raw access logs".
  • Кои заявки са безопасни и кои не? Това, което трябва да следим с повишено внимание, са POST заявките без референция (препращащ адрес).
    Пример за две заявки, една от която е нормална и друга причинена от бот:
    1) 1.2.3.4 - - [26/Aug/2016:14:23:33 +0300] "POST /wp-login.php HTTP/1.0" 302 - "https://yoursite.com/wp-login.php?redirect_to=https%3A%2F%2Fyoursite.com%2Fwp-admin%2F&reauth=1" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
    2) 1.2.3.4 - - [26/Aug/2016:14:23:33 +0300] "POST /wp-login.php HTTP/1.0" 302 - "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2743.116 Safari/537.36"
    В първата заявка забелязваме, че има препращаща страница, докато във втората не. Това означва, че бот се опитва да пробие паролата за Wordpress администрацията ни.
• Защита осигурена от ICN.Bg– Блокиране на множество POST заявки: Когато нашата система засече множество POST заявки към определени адреси (Wordpress администрация или други адреси, използвани за компрометиране), то ние блокираме IP адреса, от който идва тази атака. По този начин намаляваме в пъти вероятността сайта ви да бъде компрометиран или използван за DDoS атаки.
• Премахване на възможността за редакция на файлове (темплейти/плъгини) от Wordpress:

поставяйки следния ред в wp-config.php файла си:

define('DISALLOW_FILE_EDIT', true);



С него забранявате редактирането на файловете на темплейти и плъгини чрез Wordpress администрацията. 

По този начин, дори ако паролата ви е слаба и сайтът ви бъде хакнат, то атакуващият не може да качи шел, чрез който да добие максимален достъп до хостинг акаунта ви.

• Спиране на xmlrpc.php. Този файл често бива използван за DDoS атаки, чрез използването на стандартна Wordpress функционалност. Повечето сайтове изградени на Wordpress не използват този файл, поради което специалистите препоръчват забраната/изключването му. Имайте предвид обаче, че мобилното приложение на Wordpress, както и някой плъгини използват xmlrpc.php и това може да доведе до некоректна работа на сайта ви.
• Възможно по-малко и по-нови плъгини – Плъгините често се превръщат в уязвимост и стават предпоставка за хакерска атака към вашия сайт.
• Плъгини за защита - плъгините за защита са един от най-важните елементи на всеки Wordpress сайт. Най-популярните плъгини за целта са: Wordfence, Akismet, Sukuri, iThemes и Jetpack, като трябва да имате предвид, че не можете да ги добавите и инсталирате всички наведнъж. Много важно е да обърнете внимание на плъгин съвместимостта и да не инсталирате и активирате плъгини, които имат сходни функционалности, които се препокриват.

Освен технологичните начини да се защитите от евентуална хакерска атака, можете да се възпозвате и от друг вид защити, които също ще подпомогнат за запазването на сигурността на вашия сайт. Имайте предвид, че както не можете да защитите дома си от всички възможни опасности, които съществуват, така и не можете да се подсигурите на 100% от всички възможни проблеми, които могат да се случат в бъдеще с ващия WordPress. Въпреки това можете да направите всичко възможно, за да минимизирате всяка възможност за опасност и да направите WordPress начинанието ви много по-защитено.

Препоръчваме ви:

1) да правите регулярни бекъпи на вашия сайт;

2) да не сваляте и да не качвате на сайта си съмнителни файлове;

3) да използвате услугите на авторитетен хостинг доставчик;

4) да осигурите нужните ресурси на вашия сайт, които да отговорят на неговите нужди – достатъчно дисково пространство, трафик, едновременни заявки към сървъра (Apache requests)и други;

5) да ъпдейтвате своите версии;

6) да отделяте време за това да се самообучавате на системата и да се опитвате да разберете в детайлност нейнити специфики.

Други методи за защита на WordPress:

•  CloudFlare + Railgun - технологията представлява кеширане на статичното и динамично съдържание на сайта, като по този начин негово копие (кеш) бива запазено и на сървърите на CloudFlare и ви предпазва от това сайтът да претърпи downtime при осъществяване на много заявки към него (Например много потребители се опитват да влязат в него едновременно). CloudFlare + Railgun е услуга напълно безплатна за всички наши клиенти на Споделен хостинг план.
• Защита от DDoS атаки на мрежово ниво посредством специализираното оборудване Radware Defence Pro, което внедрихме за всички наши клиенти. To гарантира нормалната и безпроблемна работа на вашия онлайн бизнес. Radware Defense Pro помага в превенцията срещу препълване на канала за свързаност, DDoS атаки, атаки към логин страници, атаки зад CDN и SSL-базирани flood атаки.
• Two-factor authentication - двуфакторната идентификация, като ActiveAuth, предпазва формите ви за вход от неоторизиран достъп на външни лица. ActiveAuth.me има интеграция с WordPress и може лесно да се добави към всеки сайт на тази платформа.
• SSL сертификат - SSL сертификатите са един лесен начин да защитите вашия сайт от "подслушване" на чувствителна информация от страна на злонамерени лица и софтуери. Те са едно добро решение за допълване на набора от защитни средства, с които да въоръжите вашия WordPress сайт. Вече всички наши потребители на споделени хостинг планове Икономичен, Бизнес и Стандартен могат да се възползват от това да инсталират  SSL сертификат Let's Encrypt напълно безплатно.

Прочетете още:

Съвместимост на плъгини в Wordpress

Възстановяване на бекъп на WordPress сайт

Как да реагирате при пробив в сигурността на вашия WordPress сайт?

Допълнителна защита на WordPress с www.activeauth.me