В последние дни по нашим серверам хостинга прокатилось волна Brute Force атак, цель которых — подбор пароля администратора сайта использующего CMS WordPress.
Данная атака получила широкое освещение в СМИ, так как является одной из самых мощных за последнее время. По оценкам различных специалистов, число атакующих (ботов) превысило 90000 IP.
Мы хотели бы дать некоторые рекомендации по тому, как обезопасить свой WordPress-сайт от этих и других, подобных атак.
Рекомендация №1
Следите за тем, что у вас используется самая новая версия WordPress, а также плагины с последними обновлениями. Не забывайте своевременно обновлять их. Несвоевременно обновленный плагин или ядро сайта WordPress может стать причиной взлома — когда атакующие находят в какой либо версии WordPress уязвимость, лавинообразно взламывается множество сайтов использующих версию с уязвимостью.
Рекомендация №2
Скрывайте версию WordPress. Для этого, открываем functions.php, лежащий в папке с активной темой нашего блога (wp-content/themes/название-вашей-темы/) и добавляем туда этот код:
remove_action(‘wp_head’, ‘wp_generator’);
Рекомендация №3
Смените логин администратора с admin на любое другое имя. Вы можете создать администратора с новыми именем, авторизоваться под ним и удалить администратора с логином admin.
Рекомендация №4
Не используйте в базе данных сайта WordPress стандартный префикс wp_.
Рекомендация №5
Ограничьте доступ в раздел администратора по IP. Для этого, в папке /wp-admin/ создайте файл .htaccess и пропишите в нем IP с которого вы работаете с разделом администратора. Для примера, мы откроем доступ к админке сайта только для IP: 127.12.12.12. Узнать свой IP можно открыв сайт: http://myip.ru
В файле .htaccess пропишите:
AuthUserFile /dev/null
AuthGroupFile /dev/null
AuthName “Access Control”
AuthType Basic
order deny,allow
deny from all
allow from 127.12.12.12
Рекомендация №6
Установите дополнительную авторизацию на страницу авторизации wp-login.php. Для этого, в корневой директории где расположен сайт, создайте файл .htpasswd. Далее перейдите на сайт http://www.htaccesstools.com/htpasswd-generator/ , сгенерируйте содержание для .htpasswd и внесите его в новосозданный файл на сервере.
После этого, отредактируйте существующий в папке /public_html/ файл .htaccess.
Добавив такие строки:
AuthName “Access Denied”
AuthType Basic
AuthUserFile /home/Ваш_логин_к_cPanel/public_html/.htpasswd
require valid-user
Рекомендация №7
Попробуйте использовать плагины для защиты WordPress (можно найти и установить через админку WordPress): Limit Login Attempts, Lockdown WP Admin, Protected wp-login, Wordfence Security, All In One WP Security & Firewall.
Внимание! Не стоит использовать все предложенные плагины одновременно, посмотрите какой вам наиболее подходит, почитайте о них отзывы и советы на сайте разработчиков, и только после этого, используйте.
Приятной работы!
