НЕ ПРОПУСТИТЬ ИНТЕРЕСНОЕ

Свежие обсуждения

Sorry. No data so far.

Защита административной панели WordPress

Чем выше популярность той или иной системы, тем больший интерес она вызывает у злоумышленников. Например, еще недавно одним из неоспоримых достоинств и преимуществ операционной системы Linux считалось отсутствие вирусов для этой платформы. Но как только устройства с ОС Google Android, созданной на основе Linux, завоевали широкую популярность и начали массово использоваться, ситуация сразу изменилась не в лучшую сторону.

Не является исключением из этого правила и популярнейшая CMS WordPress.

Ботнет атака на сайты WordPress

На днях крупная американская хостинговая компания Hostgator сообщила на своем сайте о мощной глобальной распределенной атаке на сайты, работающие на CMS WordPress. Отмечается, что эта атака является хорошо организованной и очень быстро распространяется. На момент публикации было зафиксировано более 90 тысяч IP адресов, участвующих в атаке.

Симптомы характерны для атак DDoS – очень медленный отклик сайта или даже полная его недоступность на протяжении некоторого времени. Зараженные компьютеры, входящие в ботнет, пытаются подобрать пароль к административной панели движка WordPress.

В первую очередь подбирается пароль к административной учетной записи с логином «admin» , которая стандартно создается в момент установки CMS, и его вариациям. Далее осуществляется сканирование сайта с целью обнаружения уязвимостей, присущих устаревшим версиям WordPress и его плагинов. Ориентировочно, главной целью хакеров является создание мощного ботнета из Интернет-серверов для организации новых DDoS атак.

Для того, чтобы не стать жертвой атаки, компания Hostgator настоятельно рекомендует владельцам сайтов на WordPress незамедлительно задать сильный пароль от административной панели и защитить файл wp_login.php.

Событие это, естественно, уже вызвало заметный резонанс, и администраторы WordPress предложили ряд других решений этой проблемы. Надо сказать, что вопросы безопасности административной панели и CMS в целом, обсуждаются постоянно.

Способы повышения защищенности административной панели WordPress

Вариантов усиления защиты в разное время предложено достаточно много. Не думаю, что имеет смысл перечислять их все. Попробуем выбрать и реализовать наиболее простые, бесконфликтные и эффективные.

1. Обновление версий CMS WordPress и установленных плагинов

Это скорее даже не рекомендация, а обычная практика. Обновление версий движка WordPress и используемых плагинов нужно выполнять незамедлительно по мере их появления. Обновления позволяют сразу же закрывать известные к этому моменту уязвимости.

Неожиданным препятствием для обновления движка WordPress может стать устаревший плагин, который откажется работать с новой версией. Поэтому, перед обновлением CMS имеет смысл убедиться в том, что работоспособность сайта в результате обновления платформы не окажется нарушенной. Это можно сделать на локальной версии сервера, например, в Denwer под Windows или XAMPP в Linux.

2. Смена дефолтного логина «admin» администратора WordPress и использование строгих паролей

Для выбора хороших паролей компания Hostgator предлагает следовать рекомендациям, представленным на странице поддержки WordPress. Эти требования достаточно типичны для строгого пароля: не менее восьми символов, большие и маленькие буквы, в том числе, «специальные» символы (^% $ # @ & *), не использовать единичные «осмысленные» слова и др.

Особого внимания заслуживает предупреждение о том, что помимо хорошего пароля к административной панели, нельзя забывать о необходимости строгого пароля к учетной записи электронной почты.

Смена пароля пользователя не представляет сложности, а вот изменить логин администратора непосредственно из административной панели нельзя. Существует несколько вариантов, как это сделать:

  • создать нового администратора и удалить старого;
  • воспользоваться плагином «Admin renamer extended»;
  • поменять логин непосредственно в базе данных сайта.

В свою очередь, последнее можно выполнить либо через запрос к базе данных, либо с помощью веб-интерфейса phpMyAdmin для администрирования баз данных MySQL.

3. Ограничить число попыток авторизации

Ограничить число попыток авторизации можно с помощью различных плагинов. Очень хорошие отзывы имеет плагин Limit Login Attempts. Я тоже установил его на свой блог. Результаты однозначно положительные.

4. Разрешить доступ к директории /wp-admin на уровне вэб-сервера только для заданных IP адресов

С помощью файла .htaccess можно на уровне сервера разрешить доступ к файлам в директории /wp-admin только с конкретных IP адресов. Для этого нужно создать файл .htaccess следующего содержания:

order deny,allow

# разрешаем доступ со следующих IP адресов

allow from xxx.xxx.xxx.xxx

allow from yyy.yyy.yyy.yyy

# со всех остальных IP адресов доступ запрещаем

deny from All

и скопировать его в директорию /wp-admin.

Такой, достаточно кардинальный, способ будет неприменим для тех, у кого IP адрес, с которого осуществляется доступ к административной панели, постоянно меняется. Очевидно, что более приемлемым в этом случае будет вариант, предлагаемый компанией Hostgator. Он так же работает на уровне сервера, и заключается в установке парольной защиты на доступ к файлу wp-login.php.

Заключение

Применение описанных выше способов позволит на порядок улучшить защищенность сайта. Они, естественно, не являются исчерпывающими. Наверняка Вы сможете предложить что-то еще более действенное и интересное.

Главное, о чем еще надо помнить постоянно, так это то, что безопасность сайта не исчерпывается защитой только его серверной части. Необходимо просматривать всю цепочку возможных неприятностей. Например, где и как у вас хранятся пароли.

А еще есть FTP. В частности, популярный FTP-клиент FileZilla хранит все пароли от сайтов в открытом видеПалец вниз. Злоумышленникам об этом отлично известно.

Так что расслабляться не стоит, впрочем, унывать тоже. Наше дело правое, победа будет за нами.

Написать комментарий

Subscribe without commenting