WordPress – одна з найпопулярніших систем керування вмістом для веб-сайтів. Легка у встановленні, опануванні та обслуговуванні. Це дозволяє навіть людині без досвіду швидко запустити свій сайт в інтернеті. Але ця популярність має й іншу “сторону медалі”. За статистикою, кожен третій сайт, зроблений на WordPress, піддається кібер-атакам, й більшість з них досягають цілі. По замовчуванню, CMS WordPress майже не захищена та потребує додаткових заходів безпеки. Тож якщо ви просто “встановили і забули” – рано чи пізно ваш сайт почне “жити своїм життям”. У цій статті ми поділимося рекомендаціями по оптимізації кібербезпеки сайтів на базі CMS WordPress.
Захист DNS-зони, мережевих TCP/UDP портів та IP-адреси – це нульова точка кіберзахисту будь-якого електронного ресурсу. Якщо IP-адреса вашого сайту публічно розкрита, DNS-інформація містить чутливі дані (наприклад зв’язок з іншими серверами, сервісами, субдоменами), а TCP/UDP порти сервера вразливі, то усі інші заходи просто не матимуть сенсу. Знаючи ці подробиці, хакер запросто зможе ідентифікувати і локалізувати вашу інфраструктуру, використавши IP-адресу як “живу мішень”, а мережеві порти як “відкриті двері”, направивши будь-яку атаку в ціль, наприклад DOS/DDOS, BruteForce, SPAM, HTTP/ICMPP-флуд та інші. В результаті це зможе спричинити втручання у роботу електронно-обчислювальної системи й викликати відмову в обслуговуванні (падіння сервера). Ваш сайт просто перестане функціонувати, а усі його дані та резервні копії, які зберігалися на сервері, можуть бути пошкодженими або навіть знищеними. Тому перше з чого необхідно починати – це забезпечення надійного кіберзахисту таких базових мережевих вузлів як DNS, TCP/UDP та IP.
Зробити це можна завдяки онлайн-сервісу ⚡ CloudFlare – справжня панацея у світі кібербезпеки електронних ресурсів! Сервіс надасть вам DNS-обслуговування (паркінг), IP-адреси v4/v6 та потужні сервери, якими “прикриє” вашу власну мережеву інфраструктуру. Глобальний міжмережевий екран CloudFlare фіксуватиме та відбиватиме будь-які аномалії та підозрілі HTTP-запити, спроби DDOS-атак. Фактично ви отримаєте безкоштовну “інтернет-броню”!
Повний набір функцій сервісу Cloudflare включає:
Як бачимо, це “щедрий кошик” переваг, яким просто не можна не скористатись!
Наступним кроком буде – забезпечити надійний захист ядра та файлової системи CMS WordPress. Це можна зробити з допомогою плагінів безпеки, які здійснюватимуть функції мережевих екранів на рівні CMS.
Ось три безкоштовних, перевірених нами, плагіни безпеки WordPress, які доповнюють один одного:
Файли конфігурації – це системні та службові файли, які контролюють (регулюють) роботу веб-сайтів і веб-серверів.
Отже, необхідно оптимізувати наступні файли конфігурації:
✔️ htaccess – це файл конфігурації веб-сервера Apache (а також для LiteSpeed, для NGINX необхідно правити файл vhost.conf). Він містить директиви, що керують роботою і налаштуваннями веб-сервера. З його допомогою можна також провести наступні заходи:
Таким чином, захист відбуватиметься не тільки на рівні CloudFlare та CMS, а й на рівні веб-сервера.
✔️ wp-config.php – файл конфігурації CMS WordPress. Містить ряд важливих та корисних перемінних, які дозволяють відрегулювати WordPress. Рекомендуємо надійно захистити цей файл від сторонніх “очей”, перемістивши його за межі кореневої папки WordPress – на 1 рівень в гору, в межі папки public_html. Отже, з допомогою wp-config.php можна налаштувати такі функції:
Рекомендуємо також уважно вивчити рекомендації по налаштуванню wp-config.php в Codex WordPress ->>
✔️ robots.txt – важливий службовий файл, який регулює індексування сторінок веб-сайту. Він дозволяє прописати правила (директиви) пошукових систем: Google, Bing, Baidu, Yandex та інших. В robots.txt з допомогою директиви Disallow можна приховати від пошукових систем ряд сторінок і URL-адрес, які на вашу думку не повинні з’являтися у пошуковій видачі. Також файл robots.txt може здійснювати контроль частоти сканування сайту (директива Crawl-Delay) та блокувати доступ шкідливим ботам (Bad Bots).
Проте, не варто робити файл robots надто інформативним, вказувати забагато інформації у ньому, зокрема шляхи до конфіденційних файлів та папок, адже цим можуть скористатися хакери, які аналізують robots на наявність вразливих URL-адрес та пробують їх експлуатувати. Сторінки з приватним змістом варто закривати від індексації на рівні сервера (код відповіді 404/403), або з допомогою вбудованого у код сторінки HTML-тегу meta robots.
✔️ /etc/ssh/sshd_config – файл конфігурації SSH-сервісу, який застосовується для безпечного з’єднання з сервером, доступу до його файлової системи та проведення операцій: читання, редагування, переміщення і т.д. SSH-протокол є одним з найпопулярніших каналів передачі даних між серверами, а тому часто стає жертвою Bruteforce-переборів і атак. Відповідно, він повинен бути максимально захищеним. Файл конфігурації sshd_config є потужним засобом для налаштування безпеки SSH, він дозволяє наступне:
☝ Це не увесь список системних файлів, які треба захистити, а лиш ті, які часто зламують. Пропонуємо ознайомитись з чек-лістом захисту CMS WordPress >>
Тепер залишилося встановити базові сервіси та утиліти безпеки, які будуть захищати доступ до сайту на рівні веб-сервера.
Можемо виділити наступні рішення:
Отже, ми розглянули майже усі ефективні інструменти та засоби захисту сайтів на базі WordPress. Сподіваємося, матеріал був для вас цікавим та корисним. Почувайтесь в безпеці! А кому потрібна професійна допомога – ми до ваших послуг! Звертайтеся на електронну адресу: security@kr-labs.com.ua
Підписуйтесь на новини та отримуйте нові публікації на свою електронну пошту!
Заповніть, будь ласка, форму й наш спеціаліст зв’яжеться з Вами та надасть безкоштовну консультацію!
Вкажіть, будь ласка, контактний номер телефону. Наш менеджер миттєво зв’яжеться з Вами!