І знову про захист сайту від зламу

Останнім часом до мене все частіше почали звертатись клієнти з підозрами на взламані сайти на wordpress’i. Якщо ви також помітили щось підозріле в роботі свого сайту, то ця стаття для вас.

Помітити, що сайт взламаний не завжди вдається. Ось у мене був випадок, коли клієнт чисто випадково помітив, що на його сайті внизу були сторонні посилання на сайти з продажу ліків. В інтернеті це називається pharma hack. Але щоб виявити, що ваш сайт заражений цим “вірусом” потрібно його відвідати, але з певними умовами:
— це має бути захід через гугл по пошуковій фразі
— з цієї ip-адреси ви ще жодного разу не заходили на свій сайт
— з цього броузера ви ще жодного разу не заходили на свій сайт (або почистити кукі).
Саме через те, що “лєві” посилання показуються лише при цих умовах, власники сайтів навіть не здогадуються, що їх сайт був зламаний.

Але якщо ви так і не виявили сторонніх посилань на сайті, то не спішіть радіти, ваш сайт може бути взламаний іншим чином і може містити руткіт, або бути учасником бот-мережі. Ці проблеми не є новими, тож в якості протидії їм розробники різних мастей зробили купу плагінів, що покривають ті чи інші аспекти по підвищенню захищеності сайту. Я ж розповім про те, які плагіни обрав сам і рекомендую іншим.

1.Почну з банального – не використовуйте в якості адміністратора логін admin (а також його похідні: adminadmin, administrator, root). Якщо у вас уже є такий логін, то створіть новий акаунт з іншим нестандартним іменем, наприклад: direktor. Для цього нового акаунта дайте права адміністратора, а акаунт admin видаліть, або ж дайте йому роль “підписник”. Ну і звісно, що потрібно обирати складні паролі – з цифрами, буквами в верхньому регістрі і достатньо довгим (мінімум 8 символів).

cracklogin
Спроби підібрати пароль ботами

2.Встановіть плагін Limit Login Attempts. По замовчуванню, він буде блокувати всіх, хто 5 разів неправильно введе логін-пароль на 20 хвилин. Якщо з цього айпі будуть нові спроби підбору паролю, то плагін заблокує доступ вже на 24 години. Це значно покращить захист вашого сайту. Бо зараз існують цілі мережі ботів, що тільки тим і займаються, що підбирають паролі до адмінки. Цілком можливо, що саме в цю секунду на ваш сайт здійснюється масована атака ботів, що підбирають пароль.

sentinells

Окрім цього, я використовую такий хитрий хід: для логіну admin, даю роль “підписник” і ставлю йому простий пароль: 123456. Боти дуже швидко підбирають пароль, входять в адмінку, але нічого більше зробити не можуть ;)

В одного мого клієнта була ситуація, що його сайт зламав бот якраз через слабкий пароль в адмінку і цей же бот модифікував файли, щоб показувати рекламу для всіх відвідувачів з мобільних телефонів. Я точно впевнений, що хакер, який володіє цим ботом, навіть не заходив на сайт, бо то на тому ж хостингу в сусідній папці був іще один сайт, який не зазнав жодних змін. Тобто, як бачите, зараз весь процес взлому сайту повністю автоматизований і не потребує людського втручання.

bwp

3. Встановіть плагін Better WP Security. Це дуже потужний плагін для продвинутих юзерів. Деякий функціонал в ньому потрібно включати з обережністю, бо він може вплинути на інші плагіни, які заглючать від цього. Під такими галочками, що включать конфліктний функціонал, є попередження, так що будьте уважні.
По суті він може замінити і плагін Limit Login Attempts, бо також має функцію блокування від підбору пароля. 

Я налаштовую його так: вмикаю 404 detection та File Change Detection та вмикаю надсилання емейлу про щоденні логи по цим пунктам. В Directory Check List вніс папку wp-content/cache, щоб зміни в ній не фіксувались. Більше я нічого не використовую з його функціоналу. І ще нюанс: листи з цього плагіну гугл вперто відправляє спам, тож майте це на увазі.

Ну і останній пункт — не забувайте робити бекапи. Якщо сайт взламають, а у вас буде свіжий бекап, то можна швидко повернути сайт до попереднього стану і заодно, порівнюючи файли з зараженого і незараженого бекапу, можна вияснити, яким чином хакер проникнув всередину. Зараз існує ряд різноманітних плагінів для вордпресу, що можуть робити бекапи і на емейли і на dropbox, і на інші онлайн-сервіси. Я ж користуюсь плагіном BackUpWordPress в якому можна окремо запланувати розклад бекапу для бази данних та окремо для файлів. А потім через фтп зливаю їх час від часу собі на копм.

На цьому все, якщо є якісь питання чи доповнення, пишіть.
Бажаю щоб ваші сайти ніколи не зламали.