CMS WordPress является хорошо защищенной системой, но в любой системе можно найти уязвимые места. Разработчики WordPress стараются сделать защиту CMS более надежной с каждым новым выпуском, но злоумышленники также не сидят сложа руки. Поэтому, для защиты своего сайта от взлома, вирусов и атак вам придется принимать некоторые меры самостоятельно.

Я могу дать несколько практических советов по защите WordPress, которые помогут вам защитить WordPress сайт от базовых угроз, вирусов и атак .

Основные меры по защите WordPress

Защитить WordPress от базовых угроз не сложно, для этого достаточно предпринять некоторые меры. Для того, чтобы упростить поставленный задачи, я рекомендую воспользоваться плагином "Better WP Security".

После установки и активации плагина на WordPress, пройдите в админку сайта на страницу настроек "Better WP Security", и создайте резервную копию базы данных, на всякий случай.

Затем, для того чтобы позволить плагину производить изменения в файлах вашего сайта и движка, вы должны дать разрешение, нажатием на соответствующую кнопку.

На следующей станице, для того чтобы защитить сайт от базовых атак , необходимо включить эту опцию нажатием на соответствующую кнопку.

Но то еще не все. После того как вы выполните первые требования плагина, перед вами откроется таблица, в которой будут указаны все потенциальные точки уязвимости вашего сайта. Для защиты вашего WordPress сайта необходимо исправить все недочеты в защите.

Устранение уязвимостей WordPress

Перед вами откроется примерно следующая таблица уязвимостей, в которой красным цветом подсвечены критические уязвимости, а желтым и синим подсвечены не критические уязвимости, но их также нужно устранять.

Для примера, я взял стандартный незащищенный блог на WordPress. Давайте вместе устраним все известные нам уязвимости в WordPress.

1. Проверка сложности пароля для всех пользователей

Для того чтобы обеспечить сложными паролями всех пользователей, нужно исправить первую уязвимость. Пройдите по ссылке "Нажмите, чтобы исправить" и на открывшейся странице выберите пункт как на рисунке снизу "Strong Password Role - Subscriber". Тем самым, пароли всех ваших пользователей будут проходить проверку сложности.

2. Убираем дополнительную информацию из заголовка WordPress

WordPress по умолчанию публикует в заголовке сайта много дополнительной информации, которой могут воспользоваться злоумышленники. Для удаления подобной информации поставьте галочку в соответствующем поле. Но будьте внимательны, это действие может повлечь за собой неработоспособность некоторых приложений и сервисов, которые каким либо образом обращаются к вашему блогу через протокол XML-RPC.

3. Скрываем обновления от не администраторов

Третий пункт у нас в порядке, если у вас не так, то рекомендую вам скрыть доступные обновления от не администраторов. Вашим пользователям эта информация все равно будет бесполезной, а вот злоумышленники могут ею воспользоваться.

4. Поменять логин администратора

Аккаунт администратора WordPress по умолчанию имеет логин admin, и об этом все знают. Поэтому ваш сайт взломать проще. Для того чтобы усложнить взлом сайта, рекомендую переименовать ваш администраторский аккаунт. Для этого перейдите по ссылке "Кликните здесь, чтобы переименовать администратора" и введите новое имя администратора в соответствующее поле.

5. Поменяйте ID администратора

Аккаунту администратора по умолчанию присваивается и ID=1, что также заведомо известно злоумышленникам, поэтому этот параметр нужно поменять. Плагин better wp security поменяет ID администратора за один клик.

6. Поменять префикс таблиц базы данных WordPress

По умочанию таблицы базы данных WordPress имеют префикс wp_. Рекомендуется поменять префикс на любой другой. Даже если ваша база данных уже наполнена информацией, то плагин better wp security поменяет префикс таблиц вашей базы без потери данных. Рекомендовано перед этим действием сделать резервную копию базы данных, что мы и сделали в самом начале.

7. Спланируйте создание резервных копий

Для регулярного создания резервной копии вашей базы данных, задайте некоторые условия и введите ваш e-mail, куда будут отправляться копии базы данных. Тем самым вы в любое время сможете восстановить базу данных из копии, при необходимости.

8. Запретить доступ к админке в определенное время

Этот параметр не является критическим, но, все же, если вы переживаете за безопасность вашего WordPress сайта, то пожалуй стоит запретить хаотичный доступ к админке, и разрешить доступ только в определенное время, например в то время, когда вы собираетесь работать с сайтом.

9. Заблокируйте подозрительные хосты

Если вы знаете IP адреса подозрительных хостов, с которых может быть произведена атака на ваш сайт, то занесите эти IP адреса в бан лист, и доступ к сайту с этих IP будет закрыт.

10. Защитить логин от перебора

По умолчанию плагин защищает логин от перебора и после 3-х неудачных попыток блокирует IP адрес.

11. Скрыть админку WordPress

Этот пункт не является критическим, но все же будет полезно скрыть админку WordPress. Скрытие WordPress админки происходит путем переименования директории с админ панелью. Физически админ панель будет лежать в той же папке, но по адресу http://ваш_сайт.ru/wp-admin она будет недоступна.

Скройте админ панель WordPress, для этого введите новые имена для директорий в соответствующие поля и поставьте галочку для включения данной опции.

12. Защитить файл.htaccess и скрыть каталоги от просмотра

Рекомендую вам скрыть каталоги сайта от свободного просмотра, а также защитить файл.htaccess. Также вы можете запретить выполнять различные запросы к сайту через адресную строку. Напоминаю, что данные действия могут вызвать конфликт с некоторыми плагинами и темами.

18. Запрещаем запись файлов wp-config.php и.htaccess

Некоторые пункты были по умолчанию выполнены, поэтому предлагаю вам выполнить наиболее важный 18 пункт защиты, который поможет запретить перезапись файлов wp-config.php и.htacces. Этот пункт очень важен, потому что от сохранности файлов wp-config.php и.htacces может зависеть работоспособность вашего сайта.

20. Переименовать папку с содержимым wp-content

Также вы можете переименовать папку с основным содержимым сайта wp-content. Нестандартное размещение файлов усложнит злоумышленникам доступ к ним.

Система управления контентом WordPress, в силу своей громадной популярности, также привлекает к себе и недоброжелателей. Кроме того, “движок” распространяется бесплатно, поэтому еще больше подвержен риску нарушения безопасности. Сам WordPress является довольно безопасным программным продуктом. “Дыры” начинают открываться, когда пользователь устанавливает плагины и темы.

Небезопасность плагинов и тем

К сожалению, не всегда можно быть уверенными в безопасности и безобидности тем или плагинов. Их платные версии имеют вполне конкретных разработчиков, которые дорожат своей репутацией. В итоге их продукты более высокого качества, и вероятность получить вместе с ними какой-либо зловредный код довольно низка. Но, как подсказывает наш жизненный опыт, из любого правила есть исключения. Некоторые добавляют вполне безобидный код для обеспечения обратной связи, а другие делают это совсем для других целей. Даже в самом “движке” иногда выявляют уязвимости, которые позволяют злоумышленнику внедрить свой код в ее ядро.

Плагины для защиты от вирусов

К счастью, для WordPress существует и целый ряд полезных решений, способных полностью просканировать Ваш ресурс на предмет всякого рода уязвимостей и зловредного кода и в случае обнаружения указать конкретное место их “обитания” или полностью обезвредить. Рассмотрим несколько довольно качественных и надежных плагинов для защиты Вашего WordPress-сайта.

Sucuri Security

Бесплатный плагин Sucuri Security является лидирующим инструментом в области безопасности, благодаря чему используется огромным количеством WordPress-пользователей. Решение обеспечивает сайтам несколько видов и уровней защиты, среди которых можно выделить следующие:

• сканирование всех файлов на наличие вредоносного кода;
• слежение за целостностью файлов;
• протоколирование всех операций, связанных с безопасностью;
• выявление и уведомление о риске попадания сайта в черные списки ESET , Norton , AVG и др.;
• автоматическое выполнение определенных действий в случае обнаружения взлома.

Wordfence Security

Wordfence Security – решение, выполняющее глубокую проверку веб-ресурса на предмет уязвимостей и вредоносного кода не только в файлах тем и плагинов, но и в самом ядре “движка”.

Плагин использует WHOIS -сервисы для мониторинга соединений. Благодаря встроенному фаерволу, он способен блокировать целые сети. Как только будет обнаружена сетевая атака, мгновенно происходит автоматическое обновление набора правил брандмауэра для наиболее эффективного противостояния угрозам.

AntiVirus

Плагин AntiVirus занимается тем, что ежедневно сканирует все файлы сайта (включая темы, базу данных) и отправляет email -отчет на заданный адрес. Кроме того, AntiVirus проводит сканирование и очистку следов также при удалении плагинов.

Quttera Web Malware Scanner

В список сканирования и обнаружения мощного сканера Quttera Web Malware Scanner входят следующие уязвимости:

• вредоносные скрипты;
• троянские черви;
• программы-шпионы;
• бэкдоры;
• эксплойты;
• редиректы;
• вредоносные iframes ;
• обфускация и др.

Помимо этого списка, плагин проверяет на предмет наличия сайта в черных списках.

Anti-Malware Security and Brute-Force Firewall

Дополнение Anti-Malware Security and Brute-Force Firewal l призвано сканировать и обезвреживать известные на сегодняшний день уязвимости, включая скрипты backdoor . Антивирусные базы плагина автоматически обновляются, что позволяет обнаруживать самые свежие вирусы и эксплойты. Плагин имеет встроенный файерволл, блокирующий сетевые угрозы.

Особенностью плагина является предоставление дополнительной защиты для сайта (защита от brute-force- , DDoS -атак, а также проверка целостности ядра WordPress). Для этого необходимо просто зарегистрироваться на сайте gotmls.net .

WP Antivirus Site Protection

Антивирус WP Antivirus Site Protection сканирует все важные, с точки зрения безопасности, файлы сайта, включая темы, плагины и загружаемые файлы в папке uploads . Найденный вредоносный код и вирусы будут немедленно удалены или перемещены в карантин.

Exploit Scanner

Плагин Exploit Scanner занимается исключительно выявлением подозрительного кода (файлы сайта и база данных). Как только что-либо будет обнаружено, администратор сайта сразу будет уведомлен об этом.

Centrora WordPress Security

Комплексное решение Centrora WordPress Security является многогранным инструментом защиты веб-ресурса от всех типов угроз. Оно включает в себя следующие функции:

• поиск зловредного кода, спама, SQL -инъекций;
• присутствие брандмауэра;
• наличие сканера проверки прав доступа;
• выполнение резервного копирования.

Нажмите, пожалуйста, на одну из кнопок, чтобы узнать понравилась статья или нет.

Мне нравится Не нравится

WordPress – одна из самых популярных систем управления контентом, использующаяся в самых различных целях: от ведения блогов до электронной коммерции. Существует широкий выбор плагинов и тем для WordPress . Случается, что какие-то из этих расширений попадают в руки вебмастеров после того, как некий злоумышленник потрудился над ними.

Ради своей выгоды он мог оставить в них рекламные ссылки или код, с помощью которого он будет управлять вашим сайтом. Многие пользователи WordPress не имеют большого опыта в веб-программировании и не знают, как действовать в такой ситуации.

Для них я сделал обзор девяти наиболее эффективных инструментов для обнаружения вредоносных изменений в коде работающего сайта или устанавливаемых дополнений.

1. Theme Authenticity Checker (TAC)

Theme Authenticity Checker (инспектор аутентичности тем, TAC) – WordPress -плагин, который сканирует каждую установленную тему на наличие подозрительных элементов вроде невидимых ссылок или кода, зашифрованного с помощью Base64 .

Обнаружив такие элементы, TAC сообщает о них администратору WordPress , позволяя ему самостоятельно проанализировать и при необходимости исправить исходные файлы тем:

2. Exploit Scanner

Exploit Scanner сканирует весь исходный код вашего сайта и содержимое базы данных WordPress на наличие сомнительных включений. Так же, как и TAC , этот плагин не предотвращает атаки и не борется с их последствиями в автоматическом режиме.

Он только показывает обнаруженные симптомы заражения администратору сайта. Если вы хотите удалить вредоносный код, придётся это сделать вручную:

3. Sucuri Security

Sucuri – хорошо известное решение в области безопасности WordPress . Плагин Sucuri Security осуществляет мониторинг файлов, загружаемых на WordPress -сайт, ведёт собственный список известных угроз, а также позволяет удалённо просканировать сайт при помощи бесплатного сканера Sucuri SiteCheck Scanner . За абонентскую плату можно дополнительно укрепить защиту сайта, установив мощный сетевой экран Sucuri Website Firewall :

4. Anti-Malware

Anti-Malware – плагин для WordPress, который способен находить и удалять троянские скрипты, бэкдоры и прочий вредоносный код.

Параметры сканирования и удаления могут настраиваться. Этот плагин можно использовать после бесплатной регистрации на gotmls .

Плагин регулярно обращается к сайту производителя, передавая ему статистику обнаружения зловредов и получая обновления. Поэтому если вы не хотите устанавливать на свой сайт плагины, отслеживающие его работу, то вам стоит избегать использования Anti-Malware :

5. WP Antivirus Site Protection

WP Antivirus Site Protection – это плагин, сканирующий все загружаемые на сайт файлы, в том числе WordPress -темы.

Плагин имеет собственную базу сигнатур, автоматически обновляемую через Сеть. Он умеет удалять угрозы в автоматическом режиме, оповещать администратора сайта по электронной почте и много другое.

Плагин устанавливается и функционирует бесплатно, но имеет несколько платных дополнений , на которые стоит обратить внимание:

6. AntiVirus для WordPress

AntiVirus для WordPress – простой в использовании плагин, который способен осуществлять регулярное сканирование вашего сайта и отправлять оповещение о проблемах безопасности по электронной почте. Плагин имеет настраиваемый «белый список » и другие функции:

7. Quterra Web Malware Scanner

Сканер от Quterra проверяет сайт на наличие уязвимостей, внедрений стороннего кода, вирусов, бэкдоров и т.д. Сканер обладает такими интересными возможностями, как эвристическое сканирование, обнаружение внешних ссылок.

Базовые функции сканера бесплатны, в то время как некоторый дополнительный сервис обойдётся вам в $60 за год:

8. Wordfence

Если вы ищете комплексное решение проблем безопасности вашего сайта, обратите внимание на Wordfence .

Этот плагин обеспечивает постоянную защиту WordPress от известных типов атак, двухфакторную аутентификацию, поддержку «чёрного списка » IP-адресов компьютеров и сетей, используемых взломщиками и спамерами, сканирование сайта на наличие известных бэкдоров.

Этот плагин бесплатен в своей базовой версии, но имеет и премиум-функционал, за который производитель запрашивает скромную абонентскую плату.

Забавно иногда выпадают события в жизни. Мне попался классный курс на Udemy по современным способам защиты и взломов сайтов. Повышая свой уровень квалификации, я проворонил заражение вирусами своего блога. Скорее всего, пользователи WordPress так или иначе сталкивались с симптомами, которые я дальше опишу. Если нет – то вы везунчики. Я сам очень долгое время ничего не цеплял на сайты, думая о том, как все же умудряются заражать свои веб-ресурсы. Еще в 2014 году меня удивляли сообщения на форумах о том, что их сайт с отличной посещалкой просто заразили и увели.

И вот, сегодня утром на почту от моего хостера прилетело письмо, которое меня и озадачило. Да, я был приятно удивлен, что ihc мониторит сайты на наличие малвари, но сообщение, которое гласило о том, что один файл был измен ночью без моего ведома и это подозрение на вирусную активность, вызвало сумбурные эмоции. Фактически, это было подтверждением моих подозрений.

Некоторое время назад я обнаружил, что в метрике есть переходы на сайты, которые у меня просто никак не могут быть прописаны в постах. Когда я попытался найти эти ссылки тупо через поисковик блога, меня редиректило на Apache с сообщением об ошибке. Уже тогда заподозрив неладное, я полез в файл search. php активной темы, в котором увидел обфусцированный код. Тогда это меня поставило в ступор, но в силу нехватки времени не стал копаться дальше. Как оказалось зря. Ведь это и был один из признаков заражения.

Пример закодированной малвари

Я глупо понадеялся на средства обнаружения вредоносного кода от различных сервисов, которыми пещрит интернет. Все они «радостно» сообщали мне о том, что сайт чист как утренняя роса.

Представьте себе парадоксальную ситуацию – есть неработающая функция поиска, есть обфусцированный код на php, чтобы незадачливый веб-мастер не увидел «подарок», а антивирусные сервисы просто молчат.

Но вернемся к нашим баранам, точнее, к сайтам. На всех этих сайтах у меня авторизация двухуровневая. Может, это и спасло от увода сайта хакером. Через два дня после того, как была заражена search.php на мою почту прилетело извещение от ihc.ru о том, что некоторые файлы были изменены и если я ничего не делал, то рекомендуется проверить антивирусом, который предоставляет сам хостинг. Что же, вот и подвернулась возможность потестить этот антивирус, жаль только что в качестве испытуемого попал мой любимый сайт 🙁

Результат проверки, мягко говоря, весьма озадачил меня. Антивирус лопатил сайт минут сорок и потом прислал свой «вердикт». 42 файла были заражены…

Вот тут было в пору хвататься за голову, думая о том, как вообще подобное могло произойти. Само собой, что имел место эксплойт. Но об этом потом.

Нужно было лечить сайт, но для этого его нужно было основательно исследовать. Да, можно было сделать гораздо проще – слить дамп базы, перенести картинки из wp- content и все это перезалить на свежеустановленный движок Вордпресса. Но «легче» – не значит «лучше». Фактически, не зная, что было изменено, можно было ожидать, что дыра появится и на перезалитом сайте. И тут впору было стать новоиспеченным Шерлоком Холмсом, дабы провести полный аудит сайта.

Поиск малвари похож на работу сыщика

Честно скажу, что подобного азарта и интереса я давно не испытывал. Да, мне во многом помог антивирус с хостинга, указав, в каких файлах он нашел изменения. Но и даже он не все смог обнаружить полностью, так как код чередовался обфускацией и банальным hex-кодированием посредством вредоносного js. Нужно было много ручками делать, используя все сторонние инструменты всего лишь в качестве помощников.

Итак, запускаем редактор кода и смотрим на зараженные файлы. На самом деле, в коде они «палятся» достаточно быстро в силу своей зашифрованности. Тем не менее, это далеко не везде. Бывало, что нужно было строчка за строчкой разбирать код php файла и разбираться, что с ним не так. Сразу скажу, что это было с файлами темы. В этом случае очень пригодятся оригинальные файлы темы для сравнения, если точно не уверен, для чего нужна та или иная функция (а ведь правильно написанный вирус должен наследить как можно меньше).

Но давайте все рассмотрим по порядку. Скриншот обфусцированного вирусом кода я уже выложил в начале статьи. При помощи ресурса https://malwaredecoder.com/ можно декодировать его в удобоваримый вид и изучить. В моем случае, некоторые файлы содержали инъекцию. Все это стираем к чертовой матери.

Тем не менее, иногда может попадаться короткий код с инклудом. Как правило, так заражаются index. php и wp- config. php . К сожалению, скриншот такого кода я не стал делать, так как на тот момент не планировал писать статью. По этому коду видно было, что это закодированный через js код вызова определенного файла. Для декодирования 16ричного кода воспользуемся сервисом http://ddecode.com/hexdecoder/ , с помощью которого и определим, что вызывается файл по адресу wp-includes/Text/Diff/.703f1cf4.ico (я опустил полный путь, важна сама суть). Как думаете, стоит ли вызов простого файла иконки кодировать, хоть и относительно простым кодированием? Думаю, ответ очевиден и открываем через блокнот эту «иконку». Естественно, что снова это оказался полностью закодированный файл php. Удаляем его.

Расчистив очевидные файлы, можно переходить на уже не такие очевидные – к файлам тем WordPress. Вот тут обфускация не используется, нужно рыть код. На самом деле, если не знать, что изначально задумывал разработчик, то эта задача весьма творческая, хотя и достаточно быстро решаема. Если не меняли код темы, проще заменить зараженные файлы (антивирус их точно опознал) и идем дальше. Либо можете покопаться как я и найти, что очень часто такого рода вирусы приписывают в файл function. php абсолютно левую функцию, в которой наверняка будет код обращения к sql. В моем случае он выглядит так (форматирование оставил без изменения):

$sq1="SELECT DISTINCT ID, post_title, post_content, post_password, comment_ID, comment_post_ID, comment_author, comment_date_gmt, comment_approved, comment_type, SUBSTRING(comment_content,1,$src_length) AS com_excerpt FROM $wpdb->comments LEFT OUTER JOIN $wpdb->posts ON ($wpdb->comments.comment_post_ID=$wpdb->posts.ID) WHERE comment_approved=\"1\" AND comment_type=\"\" A ND post_author=\"li".$sepr."vethe".$comment_types."mes".$sepr."@".$c_is_approved."gm".$comment_auth."ail".$sepr.".".$sepr."co"."m\" AND post_password=\"\" AND comment_date_gmt >= CURRENT_TIMESTAMP() ORDER BY comment_date_gmt DESC LIMIT $src_count";

Куда эта выборка идет мы уже вычистили. Поэтому спокойно смотрим, в какой функции находится этот код и удаляем всю эту функцию – ее приписала малварь. Но, повторюсь, гораздо проще и лучше перезаписать весь файл из готовой темы, если боитесь что-либо сломать.

Ну и финальный штрих – проверяем число пользователей сайта . Все свои сайты я всегда вел сам. Соответственно, никаких иных пользователей быть не может и не должно. Однако учитывая заражение, легко догадаться, что сайт попытаются умыкнуть и создать своего пользователя с админскими правами. В моем случае это оказался wp.service.controller.2wXoZ . Удаляем его.

Работы проведено много, но есть ли выхлоп? Проверим снова антивирусом, который сообщает о том, что вирусов больше не обнаружено. Все, сайт вылечен.

Итоги

Как видите, вылечить сайт достаточно просто, хотя и время затратно. После лечения нужно предупредить подобные ситуации в дальнейшем. Тут нужно сделать всего несколько шагов:

1. Обновите сам WordPress до последней версии. Возможно, что воспользовались эксплойтом для устаревшего движка.
2. Прошерстите все плагины. Удалите все ненужные (которые поставили на «будущее» и не используете) и проверьте актуальность уже работающих. Тем не менее, даже выкачав плагин из репозитория WordPress, это не дает вам гарантии того, что этот плагин будет чист. Участились случаи, когда выкупают тот или иной плагин, делают из него малварь и при обновлении на вашем сайте вы столкнетесь с такими же «радостями» как и я. В моем случае, меня заразили как раз так.
3. Всегда проверяйте тему. Если публичные – обновляйте. Конечно, лучше, если ее купить на том же templatemonster, хотя и это не дает 100% защиту.
4. Не пренебрегайте инструментами типа Wordfence . Хотя бесплатная версия плагина весьма и весьма ограничена, но вы хотя бы будете знать, что на вашем сайте подозрительно стало.
5. Раз в месяц не ленитесь прогонять сайт через wpscan, чтобы увидеть какие на нем появились уязвимости.
6. Обратите внимание на корень сайта. Там может появиться файл index. html. bak. bak . Это тоже говорит о том, что у вас зараженный сайт (сразу можете править index.php, он 100% заражен)
7. Не доверяйте публичным антивирусам сайтов. Толку от них мало.

Я попытался на своем примере показать то, как можно вылечить сайт на WordPress. Антивирус на ihc.ru представляет собой просто сканер малвари. Но и он хорошо упростил работу. Тем не менее, даже если у вашего хостинга нет подобной услуги, можно по приведенному выше алгоритму определить и предупредить заражение.

Привет, друзья. Сегодня мы поговорим о безопасности нашего бизнеса в Интернете. В жизни случается всякое и наши ресурсы не застрахованы от различных неприятностей и неожиданностей. Информация нематериальна, поэтому легко может быть испорчена или уничтожена. Есть риски связанные с оборудованием, на котором размещаются сайты, где-то мы сами можем «накосячить», также никто не застрахован от злых умыслов посторонних.

За время ведения своего блога я сталкивался и с первым и со вторым и с третьим. И хакеры ломали мои сайты и сам, бывало, делал что-то не так. Но, к счастью, все обошлось благодаря заранее организованной защите.

В своем блоге я использую несколько плагинов, которые помогают снизить риски. О них я вам сейчас расскажу. Про первый я уже рассказывал , а 2 других освещаю впервые.

Плагины защиты для WordPress

Конечно, защита wordpress может быть организована и другими способами и плагинами, но я пользуюсь этими. Про установку плагинов я рассказывать не буду, так как уже (найдите в статье необходимый видео урок) буду показывать лишь то, как осуществить их настройку.

1. Плагин WordPress Database Backup

Этот плагин позволяет сохранять резервные копии базы данных вашего сайта как в автоматическом, так и в ручном режиме. Их можно скачивать напрямую на компьютер или отправлять себе по электронной почте. Для того, чтобы вы лучше понимали. Этот плагин полностью сохраняет информационную часть сайта – тексты, их оформление, данные о пользователях и других компонентах сайта, но он не сохраняет сами файлы. Картинки и темы оформления вам стоит сохранять самостоятельно.

Этот плагин не обязательно скачивать к себе на компьютер, он есть в базе плагинов для wordpress, поэтому легко устанавливается через администраторскую панель, через поиск плагинов.

Видео урок по настройке WordPress Database Backup

Если вам не удобно смотреть видео, я продублирую настройку текстом и скриншотами.

Как установить WordPress Database Backup

Для начала войдите в админке вашего блога в раздел установка плагинов и выберите раздел поиск плагинов. В окне поиска введите «wp db backup».

В списке плагинов он должен появиться на первом месте, если не так, то пролистайте чуть ниже. Вод название плагина будет кнопка установить. С ее помощью устанавливаете плагин. После установки нажимаете на ссылку активировать.

После этого приступаем к его настройкам. Для этого в панели управления блогом нужно найти вкладку инструменты и в ней ссылку Резервное копирование. Нажимайте на нее.

Какие таблицы сохранять?

В начале настройки нам предлагается выбрать те таблицы базы данных, которые будут копироваться. Среди них есть те, которые сохраняются всегда и те, которые мы можем сохранять дополнительно. Если даже вы оставите все по умолчанию – будет нормально. Если понимаете, что значат и какие функции выполняют те или иные таблицы – проставьте нужные галочки.

Сохранение копии «здесь и сейчас»

Следующий пункт «Настройки резервного копирования» отвечает за резервное копирование «здесь и сейчас». Это тот самый ручной режим, когда мы можем прямо в данный момент сделать резервную копию базы данных. По большому счету, все, что мы может тут настроить – это место для сохранения резервной копии. Первый пункт сохраняет файл на сервере хостинг провайдера. Второй пункт скачивает его на компьютер. Третий вариант позволяет отправить на электронную почту.

Кнопка «создать архив», начинает сохранение.

Если вам нужно сделать срочное копирование, например, перед большими изменениями сайта, то используйте эту функцию.

Резервное копирование по расписанию

Резервное копирование базы данных плагином WordPress Database Backup по расписанию – это как раз то, за что я его люблю. В жизни постоянно крутишься в делах и из-за суеты можешь забыть что-то сделать, или просто не хватит времени. А с помощью этой функции сайт сам все делает с заданной периодичностью.

Можно настроить копирование на разные интервалы времени от одного часа до двух раз в месяц. Все зависит от того, как часто вы добавляете новые посты на сайт. Пишете часто – делайте резервную копию чаще, а если у вас выходит одна статья в неделю, то и раз в неделю достаточно.

Кроме того, для автоматического копирования есть отдельный список сохраняемых таблиц. Одним словом, указываете периодичность, выбираете нужные таблицы, указываете свой почтовый ящик, куда будут приходить копии, и жмете «запомнить расписание».

На этом настройка этого плагина закончена. Переходим к следующему.

2. Плагин для защиты админки Login LockDown

Перед тем как рассказать о настройке плагина, хочу дать одну рекомендацию, относящуюся к этой же теме. Не используйте стандартный логин администратора, который дает wordpress, так как он легко угадывается. Если у вас будет логин отличающийся от стандартного, получить доступ к админке будет намного сложнее.

Установка и настройка плагина Login LockDown

Как и в случае с прошлым плагином, Login LockDown находится в базе вордпресс, поэтому он устанавливается также через поиск плагинов. Находим, устанавливаем, активируем.

После этого через закладку параметры заходим в Login LockDown

Там есть несколько полей, в которых по умолчанию проставлены значения всех параметров.

В принципе, можно ничего не менять. Если захотите настроить плагин под себя, то поля означают следующее:

Max Login Retries – максимальное количество попыток ввода логина/пароля до блокировки. Если указано 3 и вы 3 раза ввели неверный пароль – админка блокируется.

Retry Time Period Restriction (minutes) – время, на которое блокируется админка при неверном вводе пароля.

Lockout Length (minutes) – время, на которое блокируется админка при максимально допустимом количестве неверных вводов логина. Обратите внимание, здесь отслеживается неверный ввод логина. То есть тот кто вводит данные не знает логин.

Lockout Invalid Usernames? – включать или не включать усиленную блокировку из предыдущего пункта.

Mask Login Errors? – скрывать или нет сообщение о том, что неверно введен логин.

Устанавливаете нужные вам значения и жмете кнопку подтверждения – Update Setting.

3. Плагин для wordpress – AntiVirus

Название этого плагина говорит само за себя. Он ищет вирусы и разные шпионские добавки в коде шаблона вашего сайта. Он не имеет такого навороченного функционала, как антивирусные программы для персональных компьютеров. Работает AntiVirus очень просто – сканирует файлы и, если находит подозрительные коды, сообщает о них владельцу через электронную почту и в админ панели.

Автоматически защитить файлы wordpress он не может, вы уже сами должны проверить все что он заподозрил и либо оставить, либо удалить.

Установка и настройка AntiVirus

Уже по традиции мы через админку входим в поиск плагинов. Он есть в базе wordpress, поэтому устанавливается быстро и легко.

Настроек он никаких не требует. И начинает работать сразу после активации. Единственное, что вы можете сделать руками – это сиюминутно просканировать свой сайт. Для этого после активации, необходимо в администраторской панели открыть закладку AntiVirus. Там будет кнопка «Scan the Theme Templates now» – она запускает мгновенную проверку.

Также, на этой странице можно указать почтовый ящик, на который плагин будет отправлять сообщения. Если этого не сделать, все письма будут отправляться на адрес администратора сайта.

В результатах сканирования подсвечиваются все подозрительные коды. Но не нужно сразу бросаться их удалять. Подозрительные не значит вредоносные. Каждый элемент стоит проверить. Если вы разбираетесь в php, для вас не составит труда разобраться с проблемой.

Но если вы не специалист в программировании (я тоже не специалист) – не отчаивайтесь. Вы можете просто сравнить те файлы, которые AntiVirus отметил как подозрительные с исходными файлами вашего шаблона – они должны быть либо на вашем компьютере, либо на официальном сайте создателя темы. Если эти участки кода есть в оригинале, значит все в порядке.

Каждый проверенный элемент вам нужно подтвердить, нажав кнопку «There is no virus» – больше плагин не будет воспринимать этот элемент как подозрительный.

Как и все дополнительные плагины для wordpress, AntiVirus нагружает сервер и снижает скорость работы сайта, поэтому я рекомендую не держать его в активном состоянии постоянно, периодически включайте его для проверки.

Резюме

Защита wordpress на самом деле не является таким уж трудным занятием. Конечно, на 100% от всех случаев жизни не застраховаться никак – постоянно хакеры находят новые лазейки, а ты натыкаешься на новые решения проблем, но небольшие меры предосторожности и несколько полезных плагинов позволят вам спать спокойно, не переживая за работу вашего сайта.