Плагин защита от вирусов wordpress

Базовая защита WordPress от вирусов и взлома

CMS WordPress является хорошо защищенной системой, но в любой системе можно найти уязвимые места. Разработчики WordPress стараются сделать защиту CMS более надежной с каждым новым выпуском, но злоумышленники также не сидят сложа руки. Поэтому, для защиты своего сайта от взлома, вирусов и атак вам придется принимать некоторые меры самостоятельно.

Я могу дать несколько практических советов по защите WordPress, которые помогут вам Защитить WordPress сайт от базовых угроз, вирусов и атак.

Основные меры по защите WordPress

Защитить WordPress от базовых угроз не сложно, для этого достаточно предпринять некоторые меры. Для того, чтобы упростить поставленный задачи, я рекомендую воспользоваться плагином «Better WP Security».

После установки и активации плагина на WordPress, пройдите в админку сайта на страницу настроек «Better WP Security», и создайте резервную копию базы данных, на всякий случай.

Затем, для того чтобы позволить плагину производить изменения в файлах вашего сайта и движка, вы должны дать разрешение, нажатием на соответствующую кнопку.

На следующей станице, для того чтобы Защитить сайт от базовых атак, необходимо включить эту опцию нажатием на соответствующую кнопку.

Но то еще не все. После того как вы выполните первые требования плагина, перед вами откроется таблица, в которой будут указаны все потенциальные точки уязвимости вашего сайта. Для защиты вашего WordPress сайта необходимо исправить все недочеты в защите.

Устранение уязвимостей WordPress

Перед вами откроется примерно следующая таблица уязвимостей, в которой красным цветом подсвечены критические уязвимости, а желтым и синим подсвечены не критические уязвимости, но их также нужно устранять.

Для примера, я взял стандартный незащищенный блог на WordPress. Давайте вместе устраним все известные нам уязвимости в WordPress.

1. Проверка сложности пароля для всех пользователей

Для того чтобы обеспечить сложными паролями всех пользователей, нужно исправить первую уязвимость. Пройдите по ссылке «Нажмите, чтобы исправить» и на открывшейся странице выберите пункт как на рисунке снизу «Strong Password Role — Subscriber». Тем самым, пароли всех ваших пользователей будут проходить проверку сложности.

2. Убираем дополнительную информацию из заголовка WordPress

WordPress по умолчанию публикует в заголовке сайта много дополнительной информации, которой могут воспользоваться злоумышленники. Для удаления подобной информации поставьте галочку в соответствующем поле. Но будьте внимательны, это действие может повлечь за собой неработоспособность некоторых приложений и сервисов, которые каким либо образом обращаются к вашему блогу через протокол XML-RPC.

3. Скрываем обновления от не администраторов

Третий пункт у нас в порядке, если у вас не так, то рекомендую вам скрыть доступные обновления от не администраторов. Вашим пользователям эта информация все равно будет бесполезной, а вот злоумышленники могут ею воспользоваться.

4. Поменять логин администратора

Аккаунт администратора WordPress по умолчанию имеет логин admin, и об этом все знают. Поэтому ваш сайт взломать проще. Для того чтобы усложнить взлом сайта, рекомендую переименовать ваш администраторский аккаунт. Для этого перейдите по ссылке «Кликните здесь, чтобы переименовать администратора» и введите новое имя администратора в соответствующее поле.

5. Поменяйте ID администратора

Аккаунту администратора по умолчанию присваивается и ID=1, что также заведомо известно злоумышленникам, поэтому этот параметр нужно поменять. Плагин better wp security поменяет ID администратора за один клик.

6. Поменять префикс таблиц базы данных WordPress

По умочанию таблицы базы данных WordPress имеют префикс wp_. Рекомендуется поменять префикс на любой другой. Даже если ваша база данных уже наполнена информацией, то плагин better wp security поменяет префикс таблиц вашей базы без потери данных. Рекомендовано перед этим действием сделать резервную копию базы данных, что мы и сделали в самом начале.

7. Спланируйте создание резервных копий

Для регулярного создания резервной копии вашей базы данных, задайте некоторые условия и введите ваш e-mail, куда будут отправляться копии базы данных. Тем самым вы в любое время сможете восстановить базу данных из копии, при необходимости.

8. Запретить доступ к админке в определенное время

Этот параметр не является критическим, но, все же, если вы переживаете за безопасность вашего WordPress сайта, то пожалуй стоит запретить хаотичный доступ к админке, и разрешить доступ только в определенное время, например в то время, когда вы собираетесь работать с сайтом.

9. Заблокируйте подозрительные хосты

Если вы знаете IP адреса подозрительных хостов, с которых может быть произведена атака на ваш сайт, то занесите эти IP адреса в бан лист, и доступ к сайту с этих IP будет закрыт.

10. Защитить логин от перебора

По умолчанию плагин защищает логин от перебора и после 3-х неудачных попыток блокирует IP адрес.

11. Скрыть админку WordPress

Этот пункт не является критическим, но все же будет полезно скрыть админку WordPress. Скрытие WordPress админки происходит путем переименования директории с админ панелью. Физически админ панель будет лежать в той же папке, но по адресу http://ваш_сайт. ru/wp-admin она будет недоступна.

Скройте админ панель WordPress, для этого введите новые имена для директорий в соответствующие поля и поставьте галочку для включения данной опции.

12. Защитить файл. htaccess и скрыть каталоги от просмотра

Рекомендую вам скрыть каталоги сайта от свободного просмотра, а также защитить файл. htaccess. Также вы можете запретить выполнять различные запросы к сайту через адресную строку. Напоминаю, что данные действия могут вызвать конфликт с некоторыми плагинами и темами.

18. Запрещаем запись файлов wp-config. php и. htaccess

Некоторые пункты были по умолчанию выполнены, поэтому предлагаю вам выполнить наиболее важный 18 пункт защиты, который поможет запретить перезапись файлов wp-config. php и. htacces. Этот пункт очень важен, потому что от сохранности файлов wp-config. php и. htacces может зависеть работоспособность вашего сайта.

20. Переименовать папку с содержимым wp-content

Также вы можете переименовать папку с основным содержимым сайта wp-content. Нестандартное размещение файлов усложнит злоумышленникам доступ к ним.

21. Установка безопасного соединения с WordPress

Для работы с WordPress вы можете использовать безопасное соединение SSL, но для начала удостоверьтесь, что данный протокол поддерживается сервером, на котором размещается ваш сайт.

Вот таким образом, с помощью плагина «better wp security» вы можете Защитить WordPress от базовых угроз, вирусов и атак.

WordPress админка — как защитить сайт от взлома и вирусов

Практические советы Как защитить сайт WordPress от взлома и проверить блог на вирусы. Не могу зайти в Админку wordpress – значит, мне взломали сайт. О безопасности вордпресс или других cms нужно подумать до того, как вам взломают административную панель входа. Проверить на вирусы файлы шаблона можно при выборе тем.

Не ждите, пока взломают ваш сайт на вордпресс. Когда вам придется дважды восстанавливать Доступ к админке, то приятных ощущений не получите. Пока сайт не особо посещаем, то и на крючок к взломщикам может и не попасть. Но только авторитет интернет проекта вырастет, а посещаемость начнет расти семимильными шагами, то тут и начинаются проблемы. Так случилось и со мной. После первого взлома я благополучно восстановила доступ к Админке WordPress и успокоилась. Пронесло, так показалось… Но после повторного взлома подумалось, а что ж защиту не выставила тогда? Поэтому сегодня решила собрать всевозможные советы по защите сайтов от хакеров, а в частности вордпресс админок.

Советов по защите много, есть целые сайты, посвященные безопасности веб-ресурсов. Я соберу все лучшие рекомендации на этой странице.

Найдем слабые места в защите вордпресс блога с помощью плагинов:

AntiVirus for WordPress, скачать http://wordpress. org/extend/plugins/antivirus/

Устанавливаем и проверяем шаблон на наличие вирусов. Жмем «Scan the templates now». В результате чистые файлы будут показаны зеленым цветом, а желтым и красным подозрительные.

TAC (Theme Authenticity Checker) – проверяем темы wp на наличие вредоносного кода перед установкой. Скачать http://wordpress. org/extend/plugins/tac/

WP Security Scan, скачать http://wordpress. org/extend/plugins/wp-security-scan/

Настройка плагина. Во вкладке «Scanner» смотрим правильность прав доступа. Для папок права доступа — 755, папки cache и uploads — 777, для файлов – 644, wp-config. php — 644).

Еще этот плагин может переименовать префикс wp_ без вашего входа в базу данных. Для этого идем на вкладку «Database» и вписываем собственный префикс. Но проверить префикс лучше и в БД.

После того, как вы отсканируете и исправите все слабые места, то можете удалить сам плагин.

Если возникнет проблема с входом в админку, то удалите виновный плагин.

Совет первый – установка плагинов для защиты WordPress сайта.

Плагин WordPress Anti-XSS attack — предупреждение и защита от XSS-атак wp блога. Это означает защиту от хакерских запросов с адресной строки.

Скачать русскую версию Anti-XSS attack http://mywordpress. ru/plugins/anti-xss-attack/

Установка стандартная: залейте файл anti-xss-attack. php в папку wp-content/plugins/, затем активировать и все. Он будет работать.

На заметку по работе плагина: если в браузере пользователя отключена передача referer, то все действия пользователя вордпресс будет воспринимать как XSS-атаку.

Плагин Login LockDown (Limit Login Attempts) – заблокирует ботов, которые попытаются совершить взлом адинки вордпресс. Выглядит это так: бот пытается попасть в административную часть блога с помощью подборов пароля. Плагин можно настроить на конкретный интервал времени таких попыток с одного ip. При его превышении бот будет заблокирован. Настраивается и время блокировки, и отмена ее.

Скачать Login LockDown http://wordpress. org/extend/plugins/login-lockdown/

Устанавливаем как обычно. Залили на сервер, активировали и настроили время. Можете оставить и по умолчанию.

Stealth Login – меняет адрес страницы авторизации, которая по умолчанию имеет адрес WP-login. php. Можно придумать любой адрес типа «сайт/Любой_логин». Также он может запретить вход на сайт по адресу WP-login. php – для этого отметьте «Stealth Mode».

Удаляет информацию об ошибке входа.

Добавляет index. php в папки плагинов и тем. Не даст злоумышленнику посмотреть список установленных плагинов. Такие файлы, как index. php и index. html лучше вставить во все папки. Иначе может произойти вот что: читайте ниже.

Закрывает возможность хакеру просмотреть какие плагины установлены на блоге с помощью добавления пустого файла index. html.

При запросе http://сайт. ru/index. html можно обнаружить, что ваш блог все-таки поражен вредоносным кодом. Например, я обнаружила множество страниц не со своим контентом из несуществующей директории своего домена, типа http://сайт. ру/drivers/. Ответ сервера при этом код 200.

Удаляет WP-версии, кроме как в админ зоне.

Удаляет Really Simple Discovery. (RSD) — это формат XML и издательское соглашение, создающие сервисы, используемые блогами, а также иными web-приложениями.

Удаление Windows Live Writer — это программа (редактор), c помощью которой можно писать и публиковать свои сообщения в блог.

Удаляет ядро обновления информации для не администраторов (т. е. всем, кроме админа).

Удаляет информацию обновления плагинов для не администраторов.

Удаляет тему обновления информации для не администраторы (только WP 2.8 и выше)

Скрывает WP-версию на доске объявлений для не администраторов.

Удаляет версию на URL-адресов из скриптов и таблиц стилей только на интерфейсе.

Блокирует любые подозрительные запросы, которые могут быть вредны для вашего сайта WordPress.

Скачать плагин Secure WordPress http://wordpress. org/extend/plugins/secure-wordpress/

Скачать Secure WordPress на русском языке http://blogproblog. com/wp-content/uploads/2009/10/secure-wordpress. zip

Chap Secure Login защищает процесс авторизации путем шифрования. Это полезно в случае, когда хакерская программа отслеживает и перехватывает вашие данные.

Скачать Chap Secure Login http://wordpress. org/extend/plugins/chap-secure-login/

Еще подборка плагинов для усиления безопасности Wp блога:

Belavir (php MD5) — с его помощью сразу увидите в каких файлах произведены изменения.

WordPress File Monitor – сканирование и отслеживание измененных файлов.

Полезно использовать защиту от спама, спамер может рассылать невидимые глазу ссылки:

WP-SpamFree на русском.

Попробовала плагин Better WP Security по совету в комментариях. Да, возможностей много и его можно ставить вместо нескольких. Но нужно осторожно пробовать все предлагаемые возможности. Не пренебрегайте бекапом базы данных при работе с ним и файлов. Например, при разрешении ему писать в файлах и смене плагином папки wp-content сайт перестал работать, а вход админа был заблокирован. Вылечилось удалением таблиц плагина в MySQL и заливанием прежних корневых файлов.

Второй совет для защиты вордпресс блога.

Зачищаем код, убирая или изменяя мета гег Generator в header. php темы.

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

Вместо вордпресс можно написать свое придуманное название

<meta name=»generator» content=айлялялюлю7 ?/>

Не получилось, то в Wp-Includes/General-Template.Php комментируем содержимое функции (то, что находится внутри функции):

Function get_the_generator( $type )

Или закрываем мета тэг генератор. Для этого в файле Function. php установленной темы добавьте вверху после <?php следующую строку:

Не переусердствуйте В самозащите. Например, файлы. htaccess и search. php служат для настройки конфигурации веб-сервера и php. Хостер их тоже защищает, закрыв к ним доступ. Так что следующий совет для продвинутых программистов и необязателен для остальных:

В файле поиска search. php замените строку

Таким образом, вы наложите запрет для взломщиков рыться на вашем сервере.

Общие рекомендации по совершенствованию безопасности блога:

Сложный длинный пароль не менее 12 символов, пароль из одних цифр подбирается на раз-два;

Разные логины и пароли для хостинга, базы данных, входа на сайт, доступ по ftp, электронной почты, статистики и прочих сервисов;

Установите дополнительно пароль на папку wp-admin – такую возможность предоставляет хостер.

Белый экран в wordpress

Однажды может и такое случиться, что вместо админки будет белый лист. И вы никуда не можете попасть. В чем причина, вчера все работало, а сегодня белый лист на сайте? Ищите, гуглите для вашего случая. Но несколько нужных советов из того, что я нашла набросаю здесь.

Для отладки хорошо вывести ошибки для обозрения.

2. В файл Wp-config. php добавляем строки:

// Включить рапортирование ошибок для WP

// НЕ показывать ошибки в браузере

// Сказать WP чтобы тот создал файл

Затем логи просмотрите в /wp-content/debug. log

3. Еще способ включить показ ошибок — сделать следующую запись в. htaccess

Php_value error_reporting E_ALL

5. Быстро определить, есть ли проблема с плагинами или нет можно, переименовав на сервере папку с плагинами Wp-content/plugins

    • Не обязательно, но можно изменить данные администратора через Phpmyadmin в таблице Wp-users, здесь же мы и восстанавливаем доступ к сайту в случае взлома. Прописываем количество попыток авторизации.
    • Полезно удалять не нужные файлы сразу после установки. В них имеется служебная информация, как версия движка и т. д.. Удалите из корня сайта файлы Readme. html и license. txt. Не оставляйте возможности повторно установить блог – удалите файл Install. php.
    • Эти способы скроют лишь версию cms, т. к. используемый движок можно легко вычислить по стандартным папкам (например, наберите в поисковой строке http://сайт. ру/wp-admin или http://сайт. ру/wp-login. php), по пути к файлам, скриптам, листу стилей, картинкам – в адресах увидите «wp-content», в сервисах автоматического определения движков сайта типа http://2ip. ru/cms/ тоже легко определите cms. Если взломщик не определит версию вордпресс, то жизнь его усложнится при поиске слабых мест сайта. А для того, чтобы скрыть сам тип движка, как видите, нужно повозиться.
    • Вбейте в адресную строку http://ваш_сайт. ру /wp-content/ и http://ваш_сайт. ру /wp-content/plugins/. Чистый лист – хорошо, но если вы увидели содержимое, то срочно запретите доступ к каталогам в файле htaccess.
    • Делайте бекап блога, установив плагин WordPress Database Backup. Скачать русифицированный http://mywordpress. ru/plugins/wordpress-database-backup/
    • Запрещение регистрации пользователей на сайте тоже укрепит безопасность интернет проекта.
    • Простой и быстрый способ защиты блога от взлома – настройки пользователя, вы там как admin и есть возможность добавления ника. Воспользуйтесь этим. Сделайте себе ник и отметьте его «отображать как». Плюс и пароль сделайте сложным. Хакер в этом случае будет подбирать пару ник-пароль вместо логин-пароль.
    • Удаление с темы вордпресс ссылки на административный вход тоже усложнит жизнь хакерам.
  • А если wp блог уже взломали, то читайте инструкцию, как восстановить доступ к админке.

    На сегодняшний день миллионы людей для создания собственных сайтов используют платформу WordPress, позволяющую быстро и удобно осуществлять управление ресурсом.

    Популярность платформы и многочисленность интернет-ресурсов, созданных на ее основе, имеют и обратную сторону медали – участившиеся случаи вирусных атак на WordPress-сайты.

    Вирус в WordPress: что это, и как он попал на сайт?

    Т. к. исходный код CMS WordPress открытый, то вирусом в данном случае является попавший тем или иным путем кусок вредоносного кода.

    А заразиться вирусом веб-ресурс может одним из следующих способов:

    • Если Вы самостоятельно занимаетесь редактированием сайта, то одной из причин может стать зараженный компьютер, с которого производятся все операции; путем попадания вируса с ОС компьютера – стандартная FTP загрузка;
    • С помощью той же FTP (в редких случаях – MySQL) злоумышленники завладели логином и паролем от Вашего хостинга;
    • Вирус попал через зараженный сайт, находящийся рядом с Вашим аккаунтом;
    • Сам WordPress, опираясь на определенные HTTP-запросы, внедряет вредоносный код через «дыры» в плагинах в записи или файлы базы данных сайта.

    Как обнаружить наличие вредоносного ПО на сайте?

    Вирусы WordPress достаточно активно дают о себе знать уже на начальной стадии:

    • В статистике посещаемости ресурса наблюдается провал;
    • Происходит постоянная переадресация на незнакомые веб-сайты;
    • Потребление трафика становится чрезмерным.

    Не редкостью являются такие ситуации, когда Google и Yandex при поисковой выдаче ставят на сайт ярлык «зараженности».

    Столкнувшись с подобной ситуацией, в первую очередь стоит выявить место нахождения вируса и выяснить, как именно он попал на сайт, ведь зараженными могут быть как ядро или база данных, так и отдельные темы оформления.

    Защита WordPress от вирусов

    Чтобы предотвратить подобные ситуации, стоит уже с момента создания сайта отнестись ответственно к вопросам его безопасности. Защита WordPress базируется на определённых нехитрых действиях:

    • Следует сразу же изменить стандартное пользовательское имя admin на собственный, нестандартный вариант логина;
    • Буквенно-цифровой сложный пароль (порядка 10 символов) никогда не хранить в текстовых файлах и веб-браузере;
    • Проводить регулярное резервное копирование сайта, полученные копии хранить в нескольких местах;
    • Не использовать плагины из непроверенных источников;
    • Антивирусными программами проводить регулярные проверки веб-ресурса;
    • Своевременно обновлять темы, плагины и непосредственно ядро сайта;

    Что делать, если проблема не решена?

    Если вышеизложенные манипуляции не помогли решить проблему и Вы стали объектом вирусных атак – смело обращайтесь в компанию «Вирус Детект». Мы поможем обнаружить вредоносное ПО, «вылечим» Ваш ресурс и подробно расскажем, как избежать подобных ситуаций в дальнейшем.

    По материалам:

    Http://www. onwordpress. ru/protection-wordpress. html

    Http://www. master-live. ru/protect_wp. html

    Http://virus-detect. ru/stati/virusy-wordpress-zashchita-wordpress-ot-virusov. html