4. 16,600,000
Атак за 7 дней, из них 2,036,508 с одного IP
направленных против 30+ тыс. сайтов.
Статистика Wordfence https://goo.gl/ktyQBa
Meet Ivan from St. Petersburg, Russia
5. Зачем я тут?
Развеять пару популярных
заблуждений о безопасности
- Сайты на WP всегда ломают
- Про мой сайт никто не знает
- У меня нечего красть на сайте
- Безопасность не моя
проблема
(пусть хостер/разработчик
думает о защите моего сайта)
Рассказать, как сделать сайт на
WP более защищённым!
24. - Делать бекап
- Добавить сайт в гугл-
консоль
- Обновлять ядро
- Обновлять плагины
- Удалить неактивные
плагины
- Обновлять шаблоны
- Использовать
актуальные версии php
- Поставить правильные
права на папки/файлы
- Не использовать логин
admin
- Не использовать
префикс таблиц wp_
ЧЕКЛИСТ
- Использовать сложный
пароль
- Защита от подбора
пароля
- Настроить ограничение
доступа в админку
- Использовать плагин
защиты
- По возможности
использовать https, sftp
- Следить за
безопасностью своего
локального компьютера
- Делать бекап бекапа )))
- Хостинг с допзащитой
25. ТРИ КИТА
Обновление
Одна из наибольших «дыр» в
безопасности WP – это
устаревшее ПО (ядро,
плагины, темы/шаблоны)
Обновляйтесь хотя бы до
минорных версий ядра!
Пароли
Все знают, что нужно
использовать
«сложные» пароли. Это
усложняет их подбор.
Бекап
Резервное копирование –
мать …..
26. ИСОПЛЬЗУЮ
- Надо пройтись по
списку активных
плагинов и половину
отключить
- Из оставшейся
половины активных
выбрать те, которыми
пользуетесь, остальные
отключить
- Из тех, что выжили,
оставить активными
только те, без которых
Ваш сайт не будет
работать
ПЛАГИНЫ
НЕ ИСПОЛЬЗУЮ
Все неиспользуемые
плагины, неактивные
плагины, необходимо
удалить с сервера/сайта.
П.С. Обновление – тоже
мать..!
28. Пароль и страница входа
Проблема - brute force, решения:
✖ Смена адреса страниц входа, регистрации,
восстановления пароля
✖ Сложный пароль
✖ Ограничение по IP
✖ Авторизация по email
29. Пароль и страница входа
Рекомендуется:
✖ Не использовать логин admin (не давать роль админа
всем)
✖ Плагин https://wordpress.org/plugins/better-wp-security/
✖ Плагин https://wordpress.org/plugins/rename-wp-login/
✖ Плагин https://wordpress.org/plugins/wp-email-login/
✖ Скрыть имена пользователей в адресах страниц
https://wordpress.org/plugins/edit-author-slug/
✖ В качестве пароля может быть использована любая
фраза, даже с пробелами. Напр., «Ласкаво просимо
до WordPress!»
31. Каждый раз, когда вы правите файлы
ядра, умирает один котенок…
Обновляйтесь до «минорных» версий, старайтесь
обновляться до «мажорных»
П.С. Бекап..…
40. Админка
# Block access to wp-admin.
order deny,allow
allow from x.x.x.x
deny from all
# Allow access to wp-admin/admin-ajax.php
<Files admin-ajax.php>
Order allow,deny
Allow from all
Satisfy any
</Files>
И дальше…
44. Давай, до свидания…
Плагины защиты
Ithemes Security
Wordfence
П.С. В первом есть
классная опция,
блокировать всех, кто
авторизуется под admin
Полезное
Статьи по теме
https://wordpress.c
o.ua/defence
Ещё примеры
кода
https://codex.word
press.org/Brute_For
ce_Attacks