Оптимізація кібербезпеки CMS WordPress

Файли конфігурації – це системні та службові файли, які контролюють (регулюють) роботу веб-сайтів і веб-серверів.

Отже, необхідно оптимізувати наступні файли конфігурації:

✔️ htaccess – це файл конфігурації веб-сервера Apache (а також для LiteSpeed, для NGINX необхідно правити файл vhost.conf). Він містить директиви, що керують роботою і налаштуваннями веб-сервера. З його допомогою можна також провести наступні заходи:

• Впровадити HTTP-заголовки безпеки: HSTS, CSP, X-FRAME, X-CONTENT, EXPECT та інші. Детальніше на сторінці OWASP Secure Headers Project;
• Впровадити фільтрацію вхідних HTTP-запитів (захист від XSS-атак, фаззінгу, ін’єкцій і т.д.);
• Обмежити доступ до службових, системних, конфіденційних файлів і папок, запобігти неавторизованому доступу до директорій (httpasswd), унеможливити втручання в зміст файлів;
• Налаштувати 301-редиректи та фільтрацію небежаних, динамічних, вразливих URL-адрес;

Таким чином, захист відбуватиметься не тільки на рівні CloudFlare та CMS, а й на рівні веб-сервера.

✔️ wp-config.php –  файл конфігурації CMS WordPress. Містить ряд важливих та корисних перемінних, які дозволяють відрегулювати WordPress. Рекомендуємо надійно захистити цей файл від сторонніх “очей”, перемістивши його за межі кореневої папки WordPress – на 1 рівень в гору, в межі папки public_html. Отже, з допомогою wp-config.php можна налаштувати такі функції:

• Заборонити редагування файлів, тем і плагінів сайту через панель керування WordPress – define(‘DISALLOW_FILE_EDIT’, true);. Доступ до файлової системи має здійснюватися лише через окремі безпечні з’єднання по протоколам SFTP/SSH;
• Відключити публічний доступ до логів та відображення помилок на сайті (відладку). Часто файли звітів про помилки (log-файли) зберігаються у відкритому доступі (наприклад, /wp-content/debug.log), що дозволяє хакеру дізнатися про усі можливі несправності. Не завжди корисним є і публічне відображення помилок – це дозволяє навмисно спровокувати помилку та отримати чутливу інформацію, наприклад взнати шляхи розташування файлів або таблиці бази даних, котрі ці помилки викликають; 
• Відключити вбудований планувальник завдань WordPress – define(‘WP_DEBUG’, false);. Відомо, що він дуже навантажує слабкі сервери, але окрім того можна стати ціллю масованих DDOS-атак. Найкращим рішенням є включення вбудованого серверного планувальника – crontab;
• Відрегулювати автозбереження публікацій та автостворення ревізій, відключити функцію “Кошик”;
• Змінити розташування по-замовчуванню для кореневої директорії WordPress, контенту (/wp-content), тем (/themes), плагінів (/plugins) та завантажень (/uploads);
• Встановити примусове SSL-з’єднання для адміністративної частини – define( ‘FORCE_SSL_ADMIN’, true ); ;
• Вимкнути функціонал мультисайт, якщо він не використовується;
• Відключити можливість встановлювати та редагувати плагіни для користувачів CMS – define(‘DISALLOW_FILE_MODS’,true); ;
• Оновити ключі безпеки – WordPress Secret Keys;
• Дозволити системі скачувати плагіни та оновлюватись лише через захищене авторизоване з’єднання – SSH2/SFTP;
• Встановити допустимий об’єм оперативної пам’яті сервера під використання WordPress – define( ‘WP_MAX_MEMORY_LIMIT’, ‘256M’ ); ;

Рекомендуємо також уважно вивчити рекомендації по налаштуванню wp-config.php в Codex WordPress ->>

✔️ robots.txt – важливий службовий файл, який регулює індексування сторінок веб-сайту. Він дозволяє прописати правила (директиви) пошукових систем: Google, Bing, Baidu, Yandex та інших. В robots.txt з допомогою директиви Disallow можна приховати від пошукових систем ряд сторінок і URL-адрес, які на вашу думку не повинні з’являтися у пошуковій видачі. Також файл robots.txt може здійснювати контроль частоти сканування сайту (директива Crawl-Delay) та блокувати доступ шкідливим ботам (Bad Bots).

Проте, не варто робити файл robots надто інформативним, вказувати забагато інформації у ньому, зокрема шляхи до конфіденційних файлів та папок, адже цим можуть скористатися хакери, які аналізують robots на наявність вразливих URL-адрес та пробують їх експлуатувати. Сторінки з приватним змістом варто закривати від індексації на рівні сервера (код відповіді 404/403), або з допомогою вбудованого у код сторінки HTML-тегу meta robots.

✔️ /etc/ssh/sshd_config – файл конфігурації SSH-сервісу, який застосовується для безпечного з’єднання з сервером, доступу до його файлової системи та проведення операцій: читання, редагування, переміщення і т.д. SSH-протокол є одним з найпопулярніших каналів передачі даних між серверами, а тому часто стає жертвою Bruteforce-переборів і атак. Відповідно, він повинен бути максимально захищеним. Файл конфігурації sshd_config є потужним засобом для налаштування безпеки SSH, він дозволяє наступне:

• Змінити номер порта SSH – замість стандартного 22-го поставити будь-яке пятизначне число (XXXXX), тим самим “відрізавши” себе від автоматичних атак грубої сили саме на порт 22 і зупинивши навантаження на сервер;
• Заборонити авторизацію на сервері через обліковий запис суперадміністратора – root (PermitRootLogin prohibit-password). Це теж унеможливить ряд автоматичних атак, які намагаються перебрати усі можливі парольні комбінації до користувача root;
• Заборонити доступ з так-званим “пустим” паролем (PermitEmptyPasswords no);
• Заборонити вхід на сервер через пароль – натомість дозволити лише за наявністю SSH-ключа доступу. Це взагалі унеможливить атаки з підбором пари “логін/пароль”;
• Дозволити вхід на сервер тільки для обмеженого списку IP-адрес;
• Обмежити кількість спроб невдалого з’єднання (Limit Login Password Attempts).

☝ Це не увесь список системних файлів, які треба захистити, а лиш ті, які часто зламують. Пропонуємо ознайомитись з чек-лістом захисту CMS WordPress >>