Окна и двери
296 0

Вордпресс защита от вирусов. Лучшие WordPress-плагины для защиты от вирусов

Привет, друзья. Сегодня мы поговорим о безопасности нашего бизнеса в Интернете. В жизни случается всякое и наши ресурсы не застрахованы от различных неприятностей и неожиданностей. Информация нематериальна, поэтому легко может быть испорчена или уничтожена. Есть риски связанные с оборудованием, на котором размещаются сайты, где-то мы сами можем «накосячить», также никто не застрахован от злых умыслов посторонних.

За время ведения своего блога я сталкивался и с первым и со вторым и с третьим. И хакеры ломали мои сайты и сам, бывало, делал что-то не так. Но, к счастью, все обошлось благодаря заранее организованной защите.

В своем блоге я использую несколько плагинов, которые помогают снизить риски. О них я вам сейчас расскажу. Про первый я уже рассказывал, а 2 других освещаю впервые.

Плагины защиты для WordPress

Конечно, защита wordpress может быть организована и другими способами и плагинами, но я пользуюсь этими. Про установку плагинов я рассказывать не буду, так как уже (найдите в статье необходимый видео урок) буду показывать лишь то, как осуществить их настройку.

1. Плагин WordPress Database Backup

Этот плагин позволяет сохранять резервные копии базы данных вашего сайта как в автоматическом, так и в ручном режиме. Их можно скачивать напрямую на компьютер или отправлять себе по электронной почте. Для того, чтобы вы лучше понимали. Этот плагин полностью сохраняет информационную часть сайта – тексты, их оформление, данные о пользователях и других компонентах сайта, но он не сохраняет сами файлы. Картинки и темы оформления вам стоит сохранять самостоятельно.

Этот плагин не обязательно скачивать к себе на компьютер, он есть в базе плагинов для wordpress, поэтому легко устанавливается через администраторскую панель, через поиск плагинов.

Видео урок по настройке WordPress Database Backup

Если вам не удобно смотреть видео, я продублирую настройку текстом и скриншотами.

Как установить WordPress Database Backup

Для начала войдите в админке вашего блога в раздел установка плагинов и выберите раздел поиск плагинов. В окне поиска введите «wp db backup».

В списке плагинов он должен появиться на первом месте, если не так, то пролистайте чуть ниже. Вод название плагина будет кнопка установить. С ее помощью устанавливаете плагин. После установки нажимаете на ссылку активировать.

После этого приступаем к его настройкам. Для этого в панели управления блогом нужно найти вкладку инструменты и в ней ссылку Резервное копирование. Нажимайте на нее.

Какие таблицы сохранять?

В начале настройки нам предлагается выбрать те таблицы базы данных, которые будут копироваться. Среди них есть те, которые сохраняются всегда и те, которые мы можем сохранять дополнительно. Если даже вы оставите все по умолчанию – будет нормально. Если понимаете, что значат и какие функции выполняют те или иные таблицы – проставьте нужные галочки.

Сохранение копии «здесь и сейчас»

Следующий пункт «Настройки резервного копирования» отвечает за резервное копирование «здесь и сейчас». Это тот самый ручной режим, когда мы можем прямо в данный момент сделать резервную копию базы данных. По большому счету, все, что мы может тут настроить – это место для сохранения резервной копии. Первый пункт сохраняет файл на сервере хостинг провайдера. Второй пункт скачивает его на компьютер. Третий вариант позволяет отправить на электронную почту.

Кнопка «создать архив», начинает сохранение.

Если вам нужно сделать срочное копирование, например, перед большими изменениями сайта, то используйте эту функцию.

Резервное копирование по расписанию

Резервное копирование базы данных плагином WordPress Database Backup по расписанию – это как раз то, за что я его люблю. В жизни постоянно крутишься в делах и из-за суеты можешь забыть что-то сделать, или просто не хватит времени. А с помощью этой функции сайт сам все делает с заданной периодичностью.

Можно настроить копирование на разные интервалы времени от одного часа до двух раз в месяц. Все зависит от того, как часто вы добавляете новые посты на сайт. Пишете часто – делайте резервную копию чаще, а если у вас выходит одна статья в неделю, то и раз в неделю достаточно.

Кроме того, для автоматического копирования есть отдельный список сохраняемых таблиц. Одним словом, указываете периодичность, выбираете нужные таблицы, указываете свой почтовый ящик, куда будут приходить копии, и жмете «запомнить расписание».

На этом настройка этого плагина закончена. Переходим к следующему.

2. Плагин для защиты админки Login LockDown

Перед тем как рассказать о настройке плагина, хочу дать одну рекомендацию, относящуюся к этой же теме. Не используйте стандартный логин администратора, который дает wordpress, так как он легко угадывается. Если у вас будет логин отличающийся от стандартного, получить доступ к админке будет намного сложнее.

Установка и настройка плагина Login LockDown

Как и в случае с прошлым плагином, Login LockDown находится в базе вордпресс, поэтому он устанавливается также через поиск плагинов. Находим, устанавливаем, активируем.

После этого через закладку параметры заходим в Login LockDown

Там есть несколько полей, в которых по умолчанию проставлены значения всех параметров.

В принципе, можно ничего не менять. Если захотите настроить плагин под себя, то поля означают следующее:

Max Login Retries – максимальное количество попыток ввода логина/пароля до блокировки. Если указано 3 и вы 3 раза ввели неверный пароль – админка блокируется.

Retry Time Period Restriction (minutes) – время, на которое блокируется админка при неверном вводе пароля.

Lockout Length (minutes) – время, на которое блокируется админка при максимально допустимом количестве неверных вводов логина. Обратите внимание, здесь отслеживается неверный ввод логина. То есть тот кто вводит данные не знает логин.

Lockout Invalid Usernames? – включать или не включать усиленную блокировку из предыдущего пункта.

Mask Login Errors? – скрывать или нет сообщение о том, что неверно введен логин.

Устанавливаете нужные вам значения и жмете кнопку подтверждения – Update Setting.

3. Плагин для wordpress – AntiVirus

Название этого плагина говорит само за себя. Он ищет вирусы и разные шпионские добавки в коде шаблона вашего сайта. Он не имеет такого навороченного функционала, как антивирусные программы для персональных компьютеров. Работает AntiVirus очень просто – сканирует файлы и, если находит подозрительные коды, сообщает о них владельцу через электронную почту и в админ панели.

Автоматически защитить файлы wordpress он не может, вы уже сами должны проверить все что он заподозрил и либо оставить, либо удалить.

Установка и настройка AntiVirus

Уже по традиции мы через админку входим в поиск плагинов. Он есть в базе wordpress, поэтому устанавливается быстро и легко.

Настроек он никаких не требует. И начинает работать сразу после активации. Единственное, что вы можете сделать руками – это сиюминутно просканировать свой сайт. Для этого после активации, необходимо в администраторской панели открыть закладку AntiVirus. Там будет кнопка «Scan the Theme Templates now» – она запускает мгновенную проверку.

Также, на этой странице можно указать почтовый ящик, на который плагин будет отправлять сообщения. Если этого не сделать, все письма будут отправляться на адрес администратора сайта.

В результатах сканирования подсвечиваются все подозрительные коды. Но не нужно сразу бросаться их удалять. Подозрительные не значит вредоносные. Каждый элемент стоит проверить. Если вы разбираетесь в php, для вас не составит труда разобраться с проблемой.

Но если вы не специалист в программировании (я тоже не специалист) – не отчаивайтесь. Вы можете просто сравнить те файлы, которые AntiVirus отметил как подозрительные с исходными файлами вашего шаблона – они должны быть либо на вашем компьютере, либо на официальном сайте создателя темы. Если эти участки кода есть в оригинале, значит все в порядке.

Каждый проверенный элемент вам нужно подтвердить, нажав кнопку «There is no virus» – больше плагин не будет воспринимать этот элемент как подозрительный.

Как и все дополнительные плагины для wordpress, AntiVirus нагружает сервер и снижает скорость работы сайта, поэтому я рекомендую не держать его в активном состоянии постоянно, периодически включайте его для проверки.

Резюме

Защита wordpress на самом деле не является таким уж трудным занятием. Конечно, на 100% от всех случаев жизни не застраховаться никак – постоянно хакеры находят новые лазейки, а ты натыкаешься на новые решения проблем, но небольшие меры предосторожности и несколько полезных плагинов позволят вам спать спокойно, не переживая за работу вашего сайта.

Безопасностью вашего блога нужно заниматься с самого начала, не откладывая это на расплывчатое «раскручусь и займусь». Тем более что сейчас перед вами подробная инструкция о том, как защитить сайт на wordpress от взлома, вирусов и других неприятностей.

Я раньше задумывалась о безопасности, но не так серьезно. А после этой статьи на сайте А.Борисова подошла к делу серьезно. Нашла в интернете все проблемные места системы и методы их устранения. Получилась довольно большая статья из 14 пунктов!

Как защитить сайт на wordpress

1. Сменить стандартный логин. Первым делом хакеры пробивают такие популярные логины как admin, user, moderator, administrator. Если вы используете один из них, значит вы сделали за злоумышленников половину работы. Особенно часто используется admin – короткий, легко запоминается, сразу видно что важная шишка, поэтому владельцы сайтов не изменяют его на что-то более сложное.

Существует много вариантов, как сменить этот логин, но самый простой:

  • Зайти в админку, зайти в раздел Пользователи – нажать Добавить.
  • Придумать новому пользователю сложный логин (можно просто набор букв-цифр), и выбрать Роль – Администратор.
  • Выйти из текущего пользователя (справа наверху выбрать Выйти).
  • Зайти под новым пользователем, которого вы только что создали.
  • Поработать с этого аккаунта: создать новые статьи, отредактировать старые, добавить/удалить плагины. В общем проверить, действительно ли он обладает всеми полномочиями Администратора.
  • Удалить пользователя с ником admin.

2. Ставим сложный пароль – это именно тот случай, когда использовать свой стандартный пароль в виде qwerty нельзя. Нужно придумать уникальный пароль, очень сложный, из 20-символов с разным регистром, цифрами и разными символами. Если боитесь забыть, запишите в бумажный блокнот. Но не храните его на компьютере. Как придумать сложный пароль можно прочитать в этой статье.

Сложный пароль должен быть не только в админку wordpress, но и для других сервисов, связанных с сайтом: почта, хостинг и т.п.

3. Скрываем логин – как бы вы не пытались придумать супер сложный логин, существует лазейка, позволяющая увидеть его и скопировать. Для этого введите в адресную строку http://Ваш_домен.ru?author=1, подставив ваш домен. Если ссылка не превращается в /author/admin, где admin ваш новый логин, значит все в порядке.

Но если все же там отображается ваш логин, нужно срочно его скрыть с помощью специальной команды в файле functions.php:

/* Подмена логина в комментариях */function del_login_css($css) {foreach($css as $key => $class) {if(strstr($class, «comment-author-впишите_действующий_логин»)) {$css[$key] = ‘comment-author-впишите_вымышленный_логин’; } }return $css; }add_filter(‘comment_class’, ‘del_login_css’);

Теперь настраиваем переодресацию на главную страницу, для этого нужно открыть файл.htaccess в корневой папке (с помощью filezilla), и здесь после строчки

RewriteRule. /index.php [L]

Добавить данный текст:

RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru

4. Своевременно обновляем WordPress. Время от времени появляются новые версии, уведомления висят прямо в панели управления. Сделайте резервную копию сайта, обновите и проверьте работоспособность. Чем новее, тем сложнее взломать систему – появляются новые уровни защиты, и старые методики взлома не работают.

5. Скрываем версию WordPress от чужих глаз. По умолчанию данная информация отображается в коде страниц, а злоумышленникам не стоит ее сообщать. Зная вашу версию, ему будет легче распознать бреши и взломать систему.

Так что откройте functions.php для редактирования, а затем добавьте строчку:

remove_action(‘wp_head’, ‘wp_generator’);

Эта простая функция запрещает выводить данные о системе.

6. Удаляем license.txt и readme.html из корневой папки. Сами по себе они не нужны, но с их помощью можно легко прочитать информацию о вашей системе и узнать версию WordPress. Они автоматически появляются снова, если вы обновите wordpress. Так что чистите файлы каждый раз, когда установите обновления.

7. Скрываем папки wp-includes, wp-content и wp-content/plugins/. Для начала проверьте, видно ли содержимое этих папок посторонним. Просто подставьте в ссылки ваш домен и откройте в браузере ссылки:

  • http://Ваш_домен/wp-includes
  • http://Ваш_домен/wp-content
  • http://Ваш_домен/ wp-content/plugins

Если при переходе на эти страницы вы видите папки и файлы, значит нужно скрыть информацию. Делается это очень и очень просто – создайте пустой файл с названием index.php и поместите в эти директории. Теперь при переходе будет открываться этот файл, т.е. пустая страничка без какой-либо информации.

8. Не ставьте бесплатные темы – это уже из личного опыта информация, хотя об этом пишут все и каждый. Но я решила обойти систему, и поставила на другой свой сайт бесплатную тему из интернета – очень уж она мне понравилась. И сначала все было хорошо.

Примерно через полгода я стала проверять исходящие ссылки с сайта, и обнаружила 3 непонятные ссылки. Найти их на самих страницах я не смогла – очень уж хитро их спрятали. После изучения вопроса нашла информацию, что это очень распространенная проблема, когда в бесплатные шаблоны встраивают код для удаленного размещения ссылок. Пришлось потратить целый вечер, но проблему исправила и теперь все в порядке. Но сколько вреда могло это нанести!

9. Установите нужные плагины для защиты , но обязательно устанавливайте с официального сайта ru.wordpress.org или из панели управления.

  • Limit Login Attempts – для ограничения попыток авторизироваться. Если 3 раза неправильно ввести логин и пароль, доступ будет заблокирован на N минут/часов. Вы сами устанавливаете число попыток и время блокировки.
  • Wordfence Security – плагин для проверки сайта на вирусы и вредоносные изменения в кодах. Для запуска достаточно установить и нажать Scan. Но после проверки желательно отключить, чтобы не создавать дополнительную нагрузку на сайт. Проверяйте блог на вирусы хотя бы раз в месяц.
  • WordPress Database Backup – автоматически высылает на почту резервную копию базы данных вашего сайта. Регулярность можно установить самостоятельно – раз в день или еженедельно.
  • Rename wp-login.php – изменяет адрес входа в панель управления со стандартного http://Ваш_домен/wp-admin.
  • Anti-XSS attack – защищает блог от XSS-атак.

10. Проверьте компьютер на вирусы – иногда вирусы приходят прямо из вашего компьютера. Так что поставьте хорошую антивирусную программу и своевременно обновляйте ее.

11. Систематически делайте резервные копии – или с помощью плагина WordPress Database Backup, или вручную. У некоторых хостеров это происходит автоматически, так что вы в любой момент можете восстановить сайт при проблемах.

12. Работайте с проверенным хостером , ведь во многом безопасность сайта зависит от качества хостинга. Я месяц назад перебралась на Макхост, и разница с предыдущим ощутима (переезд описала в этой статье). Рекомендовать настоятельно не буду, так как я с ними совсем недолго, хотя подруга с ними год и нарадоваться не может. В общем не берите тарифы за 100 рублей ради экономии, потом можно дорого поплатиться.

13. Разные почтовые ящики для сайта и хостинга . Из вордпресса весьма просто вытащить почтовый ящик, потом его можно взломать и получить доступ к данным. А если хостинг привязан к нему, будет не сложно сменить пароль и забрать сайт себе. Так что заведите отдельный ящик для хостинга, чтобы никто его не знал и не видел.

14. Подключите выделенный IP адрес , чтобы не соседствовать с порно-сайтами, сайтами под фильтром или с вирусами. Так что если у вас есть возможность – получите отдельный IP, чтобы не волноваться из-за этого. Кстати, в сфере блоггеров ходят неподтвержденные слухи, что выделенный IP улучшает позиции в поисковой выдаче.

Теперь вы знаете самые простые способы как защитить сайт на wordpress, и от банальных угроз будете избавлены. Но помимо этого существует еще много других опасностей, от которых так просто не спастить. Как раз для таких серьезных ситуаций Юрий Колесов создал курс «

Wordfence Security выполняет глубокую и тщательную проверку сайта на предмет уязвимостей как в самом ядре Wordpress, так и в темах и плагинах.

Он использует сервисы WHOIS для мониторинга соединений и способен блокировать целые сети благодарявстроенному брендмауэру . При выявлении новых атак (даже если им подвергся другой сайт с установленным WordFence) происходит автоматическое обновление набора правил брендмауэра для наиболее эффективного противостояния угрозам.

Wordfence Security бесплатен и имеет открытый код, однако предлагаемая подписка позволит еще больше защитить ваш сайт благодаря обновлению брендмауэра, malware-сигнатур и списка «черных» IP-адресов в режиме реального времени

Стоимость премиум-подписки: до $99 в год (имеются значительные скидки при приобретении нескольких ключей или на более длительный срок)

AntiVirus

AntiVirus работает так же, как обычный антивирус - выполняет ежедневное сканирование всего сайта (в том числе тем, и баз данных), отправляя отчет на заданный e-mail. Сканирование и очистка следов выполняются также при удалении плагинов.

При обнаружении подозрительных или опасных действий уведомления об этом направляются на тот же электронный адрес и отображаются в админпанели.

Quttera Web Malware Scanner

Оченьмощный сканер , который выполняет поиск таких уязвимостей, как вредоносные скрипты, трояны, бэкдоры, черви, программы-шпионы, эксплойты, вредоносные iframes, редиректы, обфускацию и другие нежелательные или опасные изменения кода. Кроме того, плагин проверяет не попал ли ваш сайт в черные списки.

Стоимость: бесплатно, однако расширенные возможности, такие как устранение обнаруженных уязвимостей и очистка от вредоносных файлов предоставляется на платной основе (от $119 в год)

Anti-Malware

Anti-Malware сканирует и обезвреживает известные на данный момент уязвимости, включая backdoor-скрипты. Автоматически обновляет антивирусные базы, что позволяет обнаруживать самые свежие вирусы и эксплойты. Встроенный файерволл блокирует внедрение в слайдеры и некоторые другие плагины вируса SoakSoak и других эксплойтов.

WP Antivirus Site Protection

WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы, включая темы, плагины и загружаемые файлы в папке uploads. Найденные зловреды и вирусы будут немедленно удалены или перемещены в карантин.

Exploit Scanner

Exploit Scanner не удаляет подозрительный код - он оставляет это «грязное» дело администратору. Но зато он хорошо выполняет не менее важную и более трудоемкую операцию по егопоиску . И будьте уверены он его найдет, будь он в базе данных или в обычных файлах.

Centrora Security

Плагин Centrora Security выполнен по принципу «швейцарского ножа» - это комплексный инструмент для всесторонней защиты сайта от всех типов угроз. Он имеетвстроенный firewall , модуль резервного копирования и ряд сканеров, выполняющих проверку прав доступа, поиск зловредного кода, спама, SQL-инъекций и прочих уязвимостей.

Меня взломали. Знаете как страницу во ВКонтакте. Но они не клянчили денег, а насоздавали множество “левых” страниц с ссылками на разные сайты. Тогда я задумался над защитой своего блога. И я нашел идеальное решение.

Первое что я сделал это обратился в техподдержку с просьбой восстановить мой сайт за день до взлома и уже через десять минут у меня был мой нормальный блог. Потом я установил множество плагинов для защиты ВордПресса от взлома. Но блог стал жутко тормозить. Страницы грузились по пять десять секунд. Это очень долго.

Я начал искать плагины которые не так сильно нагружают систему. Читал отзывы по этим плагинами и все чаще стал натыкаться на All In One WP Security. По описанию он мне очень понравился и я решил поставить его себе на блог. И он защищает меня до сих пор, так как ничего лучше я не встречал.

Что умеет All In One WP Security (защита wordpress всё в одном):

  • Делает резервные копии базы данных, файла конфигурации wp-config. и файла.htaccess
  • Смена адреса страницы авторизации
  • Скрывает информацию о версии WordPress
  • Защита админки – блокировка при неправильной авторизации
  • Защита от роботов
  • И ещё много чего полезного

Я смело могу сказать, что плагин безопасности All In One WP Security – это лучшая защита wordpress сайта.

Настройка All In One WP Security

Зайдя в отдел Настройки, первым делом нужно сделать резервные копии:

  • база данных;
  • файл wp-config;
  • файл htaccess

Делается это на первой странице настройки плагина All In One WP Security.

Сделайте бэкап (резервную копию) перед началом работы

Пройдусь только по самым важным пунктам.

пункты настройки плагина all in one wp security

Панель управления

Тут нас встречает счетчик “Измеритель безопасности”. Он показывает уровень защиты сайта. Ваш сайт должен быть как минимум в зеленой зоне. Не надо гнаться за максимальной планкой – лишние настройки могут нарушить функционал сайта. Добейтесь золотой середины.

Счетчик защиты сайта на wordpress

Когда вы будете изменять настройки защиты плагина, то увидете в каждом пункте зелёный щит с цифрами – это и есть те цифры которые прибавляются к общему счету безопасности.

цифра прибавляется к общему счету безопасности

Настройки

Вкладка WP Version Info

Чекаем галочку Удаление метаданных WP Generator.

Удаление метаданных WP Generator

Делается это для того, чтобы в коде не отображалась установленная у вас версия движка WordPress. Злоумышленники знают в какой версии есть уязвимости, и зная установленную у вас версию ВордПресса смогут быстрее взломать ваш сайт.

Администраторы

Пользовательское имя WP

Если у вас логин для входа в админку admin, то обязательно меняем его. Admin это самый популярный логин. Многие ЦМСки предлагают его по умолчанию, а людям просто лень его менять. Злоумышленники используют различные программы для взлома сайтов. Эти программы подбирают логины и пароли пока не найдут подходящую комбинацию. Поэтому не используйте логин admin.

Отображаемое имя

Если ваш ник совпадает с логином, то обязательно меняем логин или ник.

Пароль

Если ввести тут свой пароль, то плагин покажет за какое время можно взломать ваш сайт. Рекомендации по усилению надёжности пароля:

  • Пароль должен состоять из букв и цифр
  • Используйте строчные и прописанные буквы
  • Не используйте короткие пароли (минимум 6 символов)
  • Желательно наличие в пароле спецсимволов (% # _ * @ $ и подробных)
Сложность пароля

Авторизация

вкладка Блокировка авторизаций

Обязательно включаем. Если в течении 5 минут кто-то неправильно введёт пароль 3 раза, то IP заблокируется на 60 минут. Можно поставить и больше, но лучше этого не делать. Может случится так, что вы сами неправильно введёте пароль и будете потом ждать месяцы или даже годы:) Отмечаем галочку “Сразу заблокировать неверные пользовательские имена”. Допустим ваш логин hozyainsayta, и если кто-то введёт другой логин (например login), то его IP адрес автоматически заблокируется.

опции блокировки авторизации

Автоматическое разлогинивание пользователей

Ставим галочку. Если вы зайдёте в админку сайта с другого компьютера и забудете выйти из админки, то через указанный промежуток времени система сама вас разлогинит. Я ставлю 1440 минут (это 24 часа).

Опции автоматического разлогинивания пользователей

Регистрация пользователей

Подтверждение вручную

Чекаем “Активировать ручное одобрение новых регистраций”

Ручное одобрение новых регистраций

CAPTCHA при регистрации

Тоже ставим галочку. Это отсекает попытки зарегистрироваться боту-роботу, так как роботы не справляются с капчей.

Registration Honeypot (бочка мёда)

Отмечаем. И не оставляем роботам не единого шанса. Эта настройка создает дополнительное невидимое поле (типа Введите сюда текст). Это поле видят только роботы. Так как они автоматически заполняют все поля, то и в это поле что-то напишут. Система автоматически блокирует те попытки регистрации у которых будет заполнено это поле.

Защита базы данных

Префикс таблиц БД

Если ваш сайт существует уже достаточно давно и на нем много информации, то изменять префикс базы данных следует с максимальной осторожностью

обязательно сделайте резервную копию БД

Если вы только что создали свой сайт, то можете смело менять префикс.

Префикс таблиц Базы данных

Резервное копирование базы данных

Включаем автоматическое создание бэкапов. Выбираем частоту создание резервных копий. И количество файлов с этими резервными копиями, которые будут храниться. Потом они начнут перезаписывается. Если вы хотите, чтобы эти файлы дополнительно посылались на вашу электронную почту, то отмечаем соответствующую галочку. У меня для этих целей в почтовом ящике заведена отдельная папка, туда пересылаются все бекапы (моих и клиентских сайтов).

Настройки резервного копирования Базы данных

Защита файловой системы

Тут меняем права доступа к файлам, чтобы все было зелёным.

Редактирование файлов php

Ставим в том случае, если вы не редактируете файлы через админку. Вообще вносить какие либо изменения в файлы нужно через программы ftp-менеджеры (типо файлзилла). Так в случае какого либо “косяка” всегда можно отменить предыдущее действие.

Запрещаем доступ. Этим действием мы сможем скрыть важную для хакеров информацию.

Черный список

Если у вас уже есть IP адреса которым вы хотите запретить доступ к сайту, то включайте эту опцию.

Блокировка пользователей по IP

Файрволл

Базовые правила файрволла.

Файрволл и брандмауэр это программный комплекс представляющий собой фильтр несанкционированного трафика.

Эти правила вносятся в файл.htaccess, поэтому сначала делаем его резервную копию.

Теперь можно проставить нужные галочки:

Активировать основные функции брандмауэра Защита от уязвимости XMLRPC и Pingback WordPress Блокировать доступ к debug.log

Дополнительные правила файрволла

На этой вкладке отмечаем следующие галочки:

  • Отключить возможность просмотра директорий
  • Отключить HTTP-трассировку
  • Запретить комментарии через прокси
  • Запретить вредоносные строки в запросах (Может нарушить функциональность других плагинов)
  • Активировать дополнительную фильтрацию символов (Тоже действуем с осторожностью, надо смотреть как влияет на работоспособность сайта)
      У каждого пункта есть кнопка “+ Подробнее” там вы можете почитать подробно про каждую опцию.

6G Blacklist Firewall Rules

Отмечаем оба пункта. Это проверенный список правил который дает плагин для безопасности wordpress сайта.

Настройки файрволла (брандмауэра)

Интернет-боты

Могут появиться проблемы с индексацией сайта. Я данную опцию не включаю.

Предотвратить хотлинки

Ставим галочку. Что-бы изображения с вашего сайта не показывались на других сайтах по прямой ссылке. Эта функция снижает нагрузку с сервера.

Детектирование 404

Ошибка 404 (такой страницы нет) появляется при ошибочном вводе адреса страницы. Хакеры перебором пытаются найти страницы с уязвимостями и поэтому вводят много несуществующих урлов в короткий промежуток времени. Такие попытки взлома будут заноситься в таблицу на этой странице и чекнув галочку – вы сможете блокировать их IP адреса на указанное время.

Настройки отслеживания ошибок 404

Защита от брутфорс-атак

По умолчанию у всех сайтов на Вордпрессе одинаковый адрес страницы авторизации. И поэтому злоумышленники точно знают где начать взламывать сайт. Эта опция позволяет изменить адрес этой страницы. Это очень хорошая защита wordpress сайта. Обязательно меняем адрес. Я эту галочку не отметил, потому-что мой автоматически изменил мне эту страницу во время установки системы.

Защита от брутфорс-атак с помощью куки

Я не стал включать эту настройку, так как есть вероятность блокировки самого себя при входе с разных устройств.

CAPTCHA на логин

Если на вашем сайте много пользователей или у вас интернет-магазин, то можете включать Капчу при авторизации во всех пунктах.

Защита капчей при авторизации

Белый список для логина

Заходите в админку только с домашнего компа и вы единственный пользователь своего сайта? Тогда впишите свой АйПи адрес и всем остальным доступ к странице авторизации будет закрыт.

Прежде, чем разбираться, как очистить сайт WordPress, необходимо понять, а с чем, собственно, мы будем иметь дело. В широком смысле понятие “вирус” обозначает вредоносное программное обеспечение, способное нанести тот или иной ущерб владельцу веб-ресурса. Таким образом, в эту категорию можно отнести практически любой код, встроенный злоумышленниками в скрипты движка. Это могут быть скрытые ссылки, приводящие к пессимизации в поисковой выдаче, бэкдоры обеспечивающие хакеру админский доступ, или сложные конструкции, превращающие площадку в узел зомби-сети, и даже майнер биткойнов. О том, как выявлять и устранять вирусы разнообразного калибра, а также защищаться от них, мы и поговорим.

Многие советы, упоминавшиеся в предыдущих статьях, способны уберечь сайт от инфицирования. Например, «заразу» можно встретить в пиратских шаблонах и плагинах, полный отказ от подобного рода компонентов — важный шаг с точки зрения безопасности. Однако существует и ряд более специфических нюансов.

1. Установите надежный антивирус

Вредоносная программа может быть внедрена не только извне — источником заражения вполне способен оказаться компьютер, с которого осуществляется администрирование проекта. Современные трояны могут не только похитить пароль от FTP, но и самостоятельно загрузить исполняемый код, или модифицировать файлы CMS, а значит, от защищенности вашей рабочей машины напрямую зависит сохранность веб-ресурса.

IT-рынок предлагает множество антивирусов. Тем не менее, наиболее разумный выбор — продукты крупных компаний:● Среди отечественных лидирующие позиции занимают предложения лаборатории Касперского и Dr. Web.● В числе зарубежных коммерческих решений можно выделить линейку Norton от корпорации Symantek и популярный ESET NOD;● Если же говорить о бесплатных вариантах, то здесь безоговорочно лидируют Avast и Comodo.

2. Сканируйте сайт с помощью онлайн-сервисов

При обнаружении подозрительной активности (ошибки движка, тормоза, появление всплывающих окон и сторонних баннеров), самое простое, что можно придумать — прогнать ресурс через онлайн-сканер, способный определить факт заражения. Бесспорным лидером здесь является VirusTotal, расположенный по адресу virustotal.com. Чтобы им воспользоваться, достаточно перейти на вкладку “URL-адрес”, вбить интересующую ссылку и нажать на кнопку “Проверить!”

Через некоторое время система выдаст отчет следующего содержания:

Следует уточнить: VirusTotal — не независимый проект, а своеобразный агрегатор антивирусных сканеров. В связи с этим появляется возможность проверить WordPress на вирусы одновременно в 67 системах. Несомненным преимуществом является подробный отчет, в котором приводятся данные по всем поддерживаемым сервисам. Ведь антивирусы очень любят бить ложную тревогу, так что даже если показатель выявления отличается от идеального (например, 3/64), это еще не значит, что ресурс заражен. Ориентируйтесь, прежде всего, на крупных игроков (Kaspersky, McAfee, Symantec NOD32 и другие), небольшие конторы часто определяют те или иные участки кода, как опасные — не стоит принимать это всерьез!

3. Используйте Яндекс.Вебмастер

Вы наверняка обращали внимание, что некоторые ссылки в поисковой выдаче снабжаются предупреждающим сообщением: “Сайт может угрожать вашему компьютеру или мобильному устройству”. Дело в том, что поисковик имеет собственные алгоритмы обнаружения вредоносного кода, оповещая пользователей о потенциальном риске. Чтобы быть в курсе происходящего и получать уведомления первым, достаточно зарегистрироваться в сервисе Вебмастер. Посмотреть всю необходимую информацию можно на вкладке “Безопасность”:

В случае обнаружения угрозы, здесь будут выводиться сведения о зараженных страницах. К сожалению, избирательная проверка WordPress на вирусы невозможна — Яндекс осуществляет сканирование самостоятельно, к тому же, в выборку попадают отнюдь не все загруженные веб-документы, а лишь их часть, определяемая случайным образом.

4. Сверяйтесь с отчетами Google

Самая популярная поисковая система в мире предлагает еще более простой способ мониторинга — достаточно перейти по ссылке google.com/transparencyreport/safebrowsing/diagnostic/?hl=ru, и вбить адрес интересующего сайта в соответствующее поле. Вы получите исчерпывающие данные по ресурсу, и увидите, имеются ли у Гугла какие-либо претензии с точки зрения обнаружения вредоносных скриптов:

Как почистить сайт Водпресс от вирусных ссылок?

От общих рекомендаций перейдем к частным. Начнем же с распространенных вариантов вредоносного кода — внедрения посторонних URL и редиректов на целевой веб-ресурс. К сожалению, черное СЕО все еще популярно, а значит и хакеры не сидят без дела, благо эта задача — одна из самых простых. Давайте разбираться по порядку.

1. Редирект на сторонние ресурсы

Представьте ситуацию: вы заходите на собственный сайт, однако вас тут же перекидывает на очередной каталог “досуга”, или лэндинг, предлагающий заработать на Форекс. Почти наверняка это означает, что веб-ресурс был взломан, а в.htaccess появилось несколько новых строчек. Лечение элементарно: открываете файл, находите директивы, содержащие адрес, на который идет перенаправление, а затем удаляете их. Так, для условного malwaresite.com нужные конструкции могут быть таковы:

< IfModule mod_alias. c> Redirect 301 https: //сайт/ http://malwaresite.com/
< IfModule mod_rewrite. c> RewriteEngine On RewriteBase / RewriteCond % { HTTP_HOST} ! ^tekseo\. su [ NC] RewriteRule ^(.* ) http: //malwaresite.com/$1

RewriteEngine On RewriteBase / RewriteCond %{HTTP_HOST}! ^tekseo\.su RewriteRule ^(.*) http://malwaresite.com/$1

Более изощренный вариант — постоянный редирект, написанный на PHP. Если вы проверили, но не нашли ничего подозрительного, скорее всего загвоздка кроется в файле index.php. Перенаправление здесь осуществляется путем отправки посетителю нужных заголовков:

include("redirect.php"); exit();

Запомните — в оригинальном index.php таких фрагментов не встречается, так что можете смело удалять их все. Также найдите и ликвидируйте подключаемый файл (в нашем примере это будет redirect.php, расположенный в корневой папке).

Более хитрый ход — редирект для мобильных гаджетов. Заходя на свой ресурс с персонального компьютера, вы никогда не выявите факт заражения, однако пользователи смартфонов и планшетов будут неприятно удивлены, попав на другую страничку. Такое перенаправление можно реализовать:

1.. htaccess Наиболее простой способ, который без труда вычисляется. Устройство определяется по предъявляемому User Agent. Выглядеть может так:

< IfModule mod_rewrite. c> RewriteEngine on RewriteBase / RewriteCond % { HTTP_USER_AGENT} ^.* (ipod| iphone| android) .* [ NC] RewriteRule ^(.* ) $ http: //malwaresite.com/

RewriteEngine on RewriteBase / RewriteCond %{HTTP_USER_AGENT} ^.*(ipod|iphone|android).* RewriteRule ^(.*)$ http://malwaresite.com/

2. PHP Похожим образом редирект реализуется и на PHP. Конструкцию, указанную ниже, можно найти в индексном файле. Опять же не забываем о вездесущих include:

"/(android|bb\d+|meego).+mobile|ip(hone|od)|blackberry|zte\-/i" , substr ($uagent , 0 , 4 ) ) ) header ("location: http://malwaresite.com/" ) ; ?>

3. JavaScript Здесь идет проверка разрешения экрана, если ширина составляет 480 пикселей, или менее, посетителя перебрасывают на вредоносный сайт. Если на вашем проекте используется аналогичный метод, обязательно проверьте этот блок на предмет изменения адреса.

< script type= "text/javascript" > if (screen. width <= 480 ) { window. location = "http://malwaresite.com" ; }

2. Проверка исходящих ссылок

Впрочем, редирект — это слишком грубый и явный способ. Куда чаще можно встретить внедрение URL, скрытых средствами CSS и другими методами. С тем, чего не видишь, бороться практически бесполезно. Однако, воспользовавшись замечательной утилитой Xenu Link Sleuth, вы сможете оценить ссылочный профиль WordPress. Последняя версия программы вышла в 2010 году, тем не менее она актуальна и по сей день, и даже замечательно работает под Windows 10.

Установив и запустив Xenu, щелкните по File — Check URL. Вы увидите окно:

Здесь достаточно ввести домен проекта, и нажать OK. Также имеется возможность добавить фильтры по маске:● Consider URLs beginning with this as ‘internal’ — считать адреса, содержащие заданный фрагмент, внутренними;● Do not check any URLs beginning with this — позволяет исключить из проверки определенные ссылки (например, если вы хотите увидеть только исходящие линки, сюда стоит вписать домен сайта).

По завершении процедуры, утилита предложит проверить Вордпресс на наличие так называемых файлов-сирот — веб-документов, на которые нет ни одного URL.

Если ответить утвердительно, появится окно ввода данных для FTP авторизации:

Эта функция может оказаться полезной в том случае, если сайт старый, и перетерпел за время своего существования немало изменений: с помощью нее можно очистить директории от “мусора”. Впрочем, нас больше интересуют результаты сканирования:

Таким образом, если на WordPress имеются вирусы, являющиеся причиной появления скрытых урлов, Xenu поможет выявить факт их наличия. Вопрос лишь в том, как действовать дальше.

3. Найти и уничтожить

Представим, что Xenu отыскал активные ссылки на условный malwaresite.com. Как их найти и удалить? Иногда задача оказывается предельно простой. Непрофессионалы действуют грубо, ограничиваясь лишь тем, чтобы скрыть URL от посторонних глаз, однако сам адрес может быть прописан в коде явно. Возможны следующие варианты:1. Размещение урла в футере вместо копирайта;2. Использование описанных выше файлов-сирот (например, html-документ загружается в директорию с изображениями — поисковые системы тоже могут его проиндексировать);3. Манипуляции c каскадными таблицами стилей:● text-indent: -9999999999px/position: absolute; left: -9999999999px — смещают ссылку за пределы дисплея;● display:none/visibility:hidden — делают текст невидимым;● font-size: 1px; — однопиксельные URL, которые невозможно разглядеть.

Чтобы найти и удалить вирус с сайта WordPress, достаточно просканировать весь движок на предмет наличия строчки, содержащей “malware.com”. В Windows это можно сделать с помощью бесплатного файлового менеджера Unreal Commander:

1. Выгрузите все файлы проекта в локальную папку на вашем компьютере, используя FileZilla, как описано в предыдущем материале;2. Запустите Unreal Commander и щелкните по иконке в виде подзорной трубы, чтобы перейти в интерфейс поиска;

3. Выберите нужную папку, поставьте галочку в поле “С текстом”, введите “malwaresite.com”, укажите все кодировки и нажмите “Начать поиск”.

Результатом станет список файлов, в которых найдена фраза. Теперь осталось их отредактировать, удалив строчки кода, отвечающие за вывод ссылки.

Использование PHP-антивирусов для Вордпресс

Случаи, описанные выше — лишь вершина айсберга. Профессиональный хакер может найти нестандартный подход даже к такой простой задаче, как размещение скрытого бэклинка. Как правило, вы ничего не сможете отыскать самостоятельно, без помощи соответствующего программного обеспечения. К счастью, подобные решения существуют, многие из них, к тому же, бесплатны. Давайте разберем наиболее эффективные.

1. Ai-Bolit

Наверное, самый популярный антивирусный продукт от компании Revisium. Доступен в двух вариантах: для работы непосредственно на хостинге, и локальной машине под управлением Windows (совместима с 10, не требует установки). К сожалению, *nix-версия не имеет веб-интерфейса и пригодна только для VDS или Dedicated-сервера, поэтому мы разберем, как работать с инструментом на ПК.

1. Скачайте утилиту по ссылке revisium.com/kb/scan_site_windows.html и распакуйте в любое удобное место на компьютере. Обратите внимание: в пути к директории не должно быть русских букв, поэтому проще всего разместить ее в корне диска;2. Внутри архива вы увидите следующее: папку с самим антивирусом “aibolit”, “site” (сюда необходимо скопировать проверяемые веб-документы, все они будут просканированы, независимо от уровня вложенности), а также три bat-файла:● start — для быстрой проверки;● start_paranoic — глубокое сканирование с выявлением любых подозрительных фрагментов кода;● scan_and_quarantine — скрипт поместит все опасные файлы в архив.3. Для начала работы выполните двойной щелчок по любому из представленных bat-файлов в зависимости от того, какой результат хотите получить. Начнется сканирование, по результатам которого будет сформирован отчет AI-BOLIT-REPORT.html (может быть просмотрен в любом браузере). В режиме карантина он будет находиться в архиве с подозрительным скриптами

Разумеется, никакого malware на самом деле нет и в помине. И, как видно на скриншоте, о вероятности ошибок предупреждают и сами разработчики.

2. Manul

Помимо мониторинга, Яндекс предлагает всем желающим воспользоваться бесплатным антивирусом собственной разработки. Утилита Manul, написанная на PHP, может быть запущена практически на любом веб-сервере и совместима с большинством популярных CMS. Кроме того, скрипт умеет не только обнаруживать, но и удалять опасный код. Ниже приведена пошаговая инструкция по выявлению и лечению вирусов.

1. Скачайте программу на https://download.cdn.yandex.net/manul/manul.zip;2. Распакуйте архив в корневую директорию вашей площадки;3. Перейдите по ссылке имя_сайта/manul/index..php);4. Придумайте пароль. Скрипт предъявляет серьезные требования к безопасности: кодовая фраза должна быть длиной не менее 8 символов, содержать заглавные буквы, цифры и специальные знаки.5. Теперь можно начинать сканирование, щелкнув по одноименной кнопке. Также скрипт можно настроить, задав интервал запросов. Чем больше это значение (в секундах), тем больше уйдет времени на проверку. Коэффициент можно выставить в ноль, однако на маломощных хостингах это способно привести к значительному увеличению времени отклика, вплоть до недоступности ресурса.6. После этого запустится проверка — не закрывайте вкладку до ее окончания!7. По завершении сканирования появится окно с кнопкой загрузки отчета. Нажмите на нее, чтобы скачать scan_log.xml.zip.

8. В другой вкладке браузера откройте анализатор, расположенный на https://antimalware.github.io/manul/. Щелкните по кнопке “Загрузить файл” и отправьте полученный архив на проверку.

9. На этом этапе мы приступаем непосредственно к удалению вирусов с сайта WordPress. Перед вами откроется окно, в котором можно выбрать операции над опасными файлами (в зависимости от степени угрозы, они помечены красным, желтым, или зеленым флагом). Кнопка “Карантин” позволяет заархивировать подозрительные файлы, а “Удалить” — избавиться от них навсегда.

10. Совершив желаемые действия, прокрутите страницу вниз и скопируйте код, появившийся в поле “Предписание”

11. Теперь вернитесь на вкладку Manul, перейдите в раздел “Лечение”, вставьте полученный код в появившееся поле и нажмите “Исполнить”.

Https:="" lazy="" lazy-hidden="">

13. По завершении всех процедур на экране появится окно с журналом. Также можно скачать файлы, помещенные в карантин, если таковые имеются в наличии

3. Санти

Cравнительно молодой проект, предназначенный для обнаружения и ликвидации вирусов на сайте WordPress. В настоящее время продукт находится в стадии бета-тестирования и является бесплатным, единственная платная услуга — СМС-оповещение владельца об обнаруженных угрозах. Помимо собственно модуля мониторинга, скрипт предлагает потребителям множество инструментов для устранения последствий деятельности злоумышленников. Но о них — позже, сперва разберемся с установкой.

1. Скачайте дистрибутив с официального сайта santivi.com. Содержимое архива распакуйте в предварительно созданную на хостинге папку в корневой директории, например: /var/www/сайт/public_html/santi_av

Выше приводится простое название, однако лучше всего использовать случайную последовательность строчных латинских букв и цифр.

2. Перейдите на страницу антивируса. В нашем примере адрес будет выглядеть так: https://сайт/public_html/santi_av

4. При первом запуске необходимо настроить скрипт, проверив установленные автоматически параметры, и внеся коррективы, если таковые требуются. Также обязательно поменяйте данные для авторизации:

5. Пройдите регистрацию на сайте продукта, затем заполните раздел “Личная информация”, введя полученный SANTI ID, адрес E-mail и мобильный телефон (опционально — нужен для SMS-рассылки). Впоследствии включить предпочитаемые способы оповещения можно на вкладке “Информирование”.

6. На вкладке “Файлы и БД” следует указать информацию для подключения к MySQL, а также выбрать способ резервного копирования файлов веб-ресурса. Поддерживаются следующие варианты:

● создание локальной копии;● Использование FTP-сервера;● Ягдекс.Диск;● Google.Drive;● Dropbox.

7. После окончания указанных выше манипуляций, щелкните по кнопке “Готово”. Если все прошло удачно, на экране появится следующее:

Поменять настройки можно в одноименном разделе программы.

“Санти” обладает интуитивно-понятным интерфейсом и содержит все необходимое для эффективного удаления вирусов с сайта WordPress. Инструменты распределены по тематическим секциям. Рассмотрим каждую из них:

1. Главная.

Здесь собраны самые необходимые сведения о состоянии защиты. Из раздела уведомлений можно отдавать команды о действиях с обнаруженными угрозами.

2. Автопилот

Позволяет настраивать действия, осуществляемые скриптом в автоматическом режиме. В их числе:● Мониторинг файлов — сканирует целостность веб-документов, за исключением динамических (логи доступа, ошибок и т.д.). Проверяет дату изменения, хэш-сумму, появление новых директорий и файлов.● Мониторинг базы данных — фиксирует подозрительную активность в MySQL.● Бэкапинг — полностью архивирует сайт через определенные промежутки времени, сохраняя копию на сервере, либо в облачном хранилище. Настроить параметры можно через соответствующий инструмент в разделе “Утилиты” (имеется возможность селективного выбора директорий и файлов). На выходе вы получите архив в специфическом формате.sabu — обрабатывать его может только сам “Санти”, а также фирменная программа для ПК на базе Windows.● Проверка сайта глазами поисковых систем — использует сведения Яндекс и Google об обнаруженных на ресурсе угрозах.● Проверка сайта глазами десктопных антивирусов — сканирование на основе сигнатур, предоставляемых крупнейшими компаниями-разработчиками решений в области кибербезопасности для ПК.

3. Утилиты.

Здесь представлен набор вспомогательных инструментов, призванных помочь в обслуживании сайта и обеспечении его безопасности. Рассмотрим самые интересные:● Date-поиск. Пригодится в том случае, если примерно известен период заражения. С помощью фильтров можно задать временной диапазон, а также перечислить расширения файлов и указать, каким образом их обрабатывать (исключить из поиска или проверять).● Конфигуратор.ftpaccess. Испольуется для настройки FTP-серверов на основе ProFTPD и Pure-FTP.● Удаление вредоносных вставок. Будет полезен, если сайт WordPress пострадал от вируса, и вам точно известен его код. Вы можете указать начало и конец опасного фрагмента, перечислить через запятую типы файлов, которые необходимо обработать/исключить и выбрать действие “ищем”, либо “ищем и лечим”. В последнем случае заданная последовательность будет автоматически удалена при обнаружении.● Редактор файлов. Поддерживается работа в нескольких кодировках, нумерация строк, элементарная подсветка синтаксиса.

Специализированные автивирусы для Вордпресс

Помимо перечисленных, существуют и более узконаправленные решения, выполненные в виде плагинов для CMS. Разберем наиболее эффективные.

1. AntiVirus

Как проверять шаблоны WordPress на наличие вирусов? Ответ кроется в небольшом модуле с предельно незамысловатым названием и весьма аскетичным интерфейсом. Окно настроек предлагает нам запустить проверку вручную (Manual malware scan), либо включить автоматический мониторинг проекта (Check the theme templates for malware). Вторая галочка позволяет подключить базы данных Google Safe Browsing. Также имеется возможность ввести адрес электронной почты — в этом случае отчеты будут отправляться на ваш E-mail.

Если же нажать кнопку “Scan the theme templates now”, все установленные в системе шаблоны будут немедленно просканированы. Появится страничка:

Подозрительные фрагменты утилита подсвечивает красной рамкой. Разумеется, возможны и ложные срабатывания — в данном случает AntiVirus выделил блок кода, отвечающий за запрет вывода сообщений об ошибочной авторизации. В подобных случаях достаточно нажать на кнопку “There is no virus”.

2. TAC

Еще один узконаправленный модуль — Theme Authenticity Checker. После установки он появится в разделе “Внешний вид” админки. Здесь вообще не надо ничего настраивать и запускать — плагин проводит полностью автоматическое сканирование и выдает заключение без каки-либо подробностей:

3. Quttera

Более продвинутый модуль, осуществляющий сканирование всего движка. Доступно два вида проверки: внешний — с помощью онлайн-сервиса:

и внутренний — с использованием скрипта самого плагина. Для их запуска достаточно нажать на кнопку “Scan Now”.

Результатом проверки станет следующий отчет:

Как вы можете видеть, антивирус разделяет все найденные файлы разделены на потенциально опасные, подозрительные и вредоносные. Такая классификация во многом условна — как и аналоги, Quttera склонна поднимать ложную тревогу. Лучше всего поставить плагин на заведомо чистый сайт и запустить первичный мониторинг, по результатам которого добавить все “забракованные” файлы в белый список. Для этого достаточно перейти на вкладку “Detected Threats” и нажать “WhiteList File” под каждым предупреждением.

4. Sucuri Security

Этот плагин — наиболее продвинутый из специализированных. К недостаткам можно отнести обязательную регистрацию на официальном ресурсе разработчиков и получение API-ключа, в противном случае функционал будет ограничен. Соответствующее предупреждение появится сразу после активации.

Нажав на кнопку, вы увидите следующее окно:

Доменное имя и почта администратора определяются автоматически, однако последнюю можно изменить. Галочку в чекбокс DNS Lookups следует ставить только если вы используете CloudProxy.

Прежде, чем разбираться, как защитить WordPress от вирусов, необходимо правильно настроить расширение в разделе Settings. Здесь вы увидите сразу несколько вкладок. В General можно установить основные параметры:● Plugin API Key — позволяет ввести ключ API;● Data Storage Path — указывает путь к директории, в которой Sucuri Security хранит логи, список проверенных файлов и прочую служебную информацию (по умолчанию — /uploads/sucuri;● Reverse Proxy and IP Address и IP Adress Discoverer — активируйте, если подключены внешние прокси-сервисы, или файерволл;● Failed Login Password Collector — включает отслеживание неудачных попыток авторизации на сайте;● User Comment Monitor — проверка содержимого комментариев, добавляемых пользователями. Помогает защититься как от спама, так и от вредоносных вставок;● XML HTTP Request Monitor — фильтрует запросы Ajax, может негативно сказаться на времени отклика сайта;● Audit Log Statistics — отображение статистики событий, здесь можно задать количество анализируемых записей (по умолчанию — 500);● Date & Time — позволяет изменить время и дату, если они определены неверно;● Reset Options — сброс настроек по умолчанию (полезно, если вы стали испытывать проблемы с производительностью сайта, или работой скриптов после установки плагина, но не можете понять, в чем дело).

Вкладка “Scanner” позволяет:● Запускать принудительную проверку кнопкой “Fast Scan”;● Выбрать один из трех алгоритмов (SPL — наиболее быстрый, Global — самый медленный и тщательный, либо OpenDir — золотая середина);● Задать частоту проверки (по умолчанию — 2 раза в день);● Включить и управлять сканером файловой системы (FS Scanner);● Настроить анализатор отчетов, а также очистить логи.

На вкладке “Alerts” можно указать электронный адрес для отправки уведомлений, а также задать шаблон сообщений, выбрав из предложенных, либо введя свой собственный в поле “Custom”.

Также здесь можно задать частоту отправки писем и параметры для определения брутфорс-атак.

Ниже имеется возможность тонкой настройки оповещений. Помимо галочек, проставленных по умолчанию, стоит активировать все чекбоксы, связанные с действиями пользователей — это поможет успешно отлавливать спаммеров и брутфоресов.

Также стоит включить все пункты, связанные со статусом плагинов (помечены штепселем) и шаблонов (обозначены кисточкой). Это не будет нагружать систему, однако поможет выявить действия злоумышленника, получившего доступ к проекту и внесшему изменения в его конфигуацию.

Раздел “Ignore Scanning” позволяет указать директории, которые не нуждаются в проверке (необходимо задать абсолютный путь к папке). Сюда стоит внести места расположения видео- и аудио файлов: их проверка бессмысленна, при этом будет отъедать уйму ресурсов сервера, что негативно скажется на производительности.

“Ignore Alerts” позволяет исключить из оповещений изменения контента определенного типа (post-types).

Вкладка “Trust IP” позволяет задать диапазоны IP-адресов, действия с которых не будут регистрироваться системой. Удобно, если работа с проектом осуществляется группой людей из одной подсети.

“Hearbeat” помогает настроить одноименный API, используемый для двусторонней связи сервер-браузер. В основном он используется в рабочих группах, и если вы являетесь единоличным владельцем сайта, его лучше вовсе отключить. Это позволит убрать дополнительную уязвимость, а также повысит производительность движка.

После внесения всех правок, можно запускать сканирование в разделе Malware Scan соответствующей кнопкой:

Помимо собственно сканера, Sucury Securyti имеет в своем составе ряд полезных инструментов, позволяющих защитить WordPress от вирусов еще до того, как сайт будет взломан. Все они собраны в разделе Hardening. Перечислю возможности:● Verify WordPress version — следит за актуальностью ядра движка и позволяет запустить принудительное обновление;● Website Firewall protection — подключение CloudProxy (должен быть предварительно настроен WAF на соответствующей вкладке);● Remove WordPress version — удаляет отображение версии CMS;● Block PHP files — блокирует доступ к служебным файлам через.htaccess (для Apache), либо предлагает рекомендации по настройке Nginx;● Verify PHP version — проверяет актуальность версии установленного интерпретатора;● Security key — даст знать, если вы забыли обновить ключи безопасности в wp-config.php;● Information leakage (readme.html) — удаляет файл Readme, содержащий информацию, потенциально полезную для хакера;● Default admin account — проверяет, не используется ли логин admin для учетной записи суперадминистратора;● Plugin & Theme editor — блокирует встроенный редактор шаблонов в один клик;● Database table prefix — напоминает о необходимости замены префикса таблиц MySQL на уникальный, вместо дефолтного wp_.

Раздел Post-Hack пригодится после того, как вы очистили сайт WordPress от вирусов. Здесь представлены три инструмента:● Security keys — позволяет создать новый комплект ключей безопасности и заменить скомпрометированные;● Reset User’s Password — поможет осуществить массовый сброс паролей зарегистрированных пользователей по вашему выбору;● Reset Plugins — откатывает все установленные плагины к заведомо безопасным версиям, за исключением премиальных дополнений.

Подытожим

Прочитав статью, вы убедились, что борьба с вредоносным ПО вовсе не является чем-то из ряда вон. Благодаря наличию специализированных решений, такие операции, как проверка шаблона WordPress на вирусы, мониторинг ядра CMS и чистка сайта в случае заражения может выполнить даже непрофессионал. Но как и в медицине, в сфере IT ключ к успеху — не лечение, а профилактика. Помните — хакеры представляют угрозу не только для вас и вашего детища, но и для посетителей веб-ресурса. Зачастую именно они оказываются под ударом, посещая зараженные странички. Это чревато утратой самого главного — доверия со стороны пользователей, что неизбежно выльется в потерю постоянных читателей, и даже клиентов. Поэтому очень важно озаботиться вопросами безопасности как можно раньше, сведя к минимуму вероятность взлома.

Добавить комментарий