#полезные_шаблоны Сегодня один из наших сайтов для тестирования...
135
#полезные_шаблоны
Сегодня один из наших сайтов для тестирования различных идей взломали. Взлом был лайтовый, добавили статью и ссылку из нее. Эта проблема в который раз напомнила, что пора ужесточить все меры для безопасности сайтов, независимо тестовые они или нет.
Вот список, который я рекомендую к использованию (одобрен нашим самым Злым Программистом)
Разовые настройки:
1. Сложные пароли - Даже на этапе тестирования сайта (когда ну никто же о нем не узнает)
- Сложные пароли — это как минимум 8 символов, в которых обязательно будут цифры, большие и маленькие буквы, и, конечно же, спец символы. Пример: (*&%RI&%WK<MYGF^*Ruheqwgf16r8re&%Hvwef
2. Актуальная версия WordPress, безопасный шаблон и минимум плагинов
- можно раз в месяц проверять список плагинов, которые установлены на ваших сайтах через поиск, инфу о их взломах
- Не используйте nulled шаблоны для WordPress
- не используйте под каждое небольшое решение отдельный плагин, старайтесь использовать мультиплагины которые решают сразу несколько задач, их качественней поддерживают/обновляют и реже взламывают
3. Меняйте логин админа - затруднит взлом
- Для этого необходимо запустить phpMyAdmin, выбрать нужную базу данных и выполнить следующий SQL запрос, который изменяет логин администратора и имя пользователя администратора.
- UPDATE wp_users SET user_login = 'NewLoginAdmin', user_nicename = 'newadminname' WHERE user_login = 'Admin'
4. Запрет просмотра директорий сайта и запрет доступа к файлу htaccess
5. Запрет доступа к файлу wp-config.php
6. Защищаем каталог wp-includes
7. Запрет доступа к каталогу wp-content
8. Запрет доступа к XML-RPC (Есть в Clearfy Pro)
9. Отключите доступ к REST API вашего WordPress (Есть в Clearfy Pro)
10. Убедитесь, что ваш сайт имеет SSL-сертификат
11. Блокируем вредоносные запросы, защищаем сайт от SQL-инъекций и запрещаем выполнение произвольных команд
- Если у вас VDS стоит поставить пароль на phpMyAdmin
12. Защищаем скрипт timthumb.php
13. Дополнительная HTTP аутентификация для логина в Админку
- Закрыть возможность регистрации новых пользователей
- Отключите комментарии, если они вам не нужны
14. Скрываем версию CMS
15. Убираем комментарии из кода (к плагинам и т.д.)
16. Изменение стандартного префикса таблиц в базе данных
17. Блокируйте выполнение PHP-скриптов в тех WP каталогах, где это не требуется
18. Настройте создание резервных копий, в идеале каждый день, как минимум раз в 3-4 дня — это поможет быстро восстановить исходные файлы сайта, а если сайт удалят, у вас всегда есть актуальная копия
19. Disable Emoji
20. Delete dns-prefetch
21. Отключите редактирование тем и плагинов на уровне панели администратора WordPress
22. Нет информации о релокейте wp-config.php
23. Релокейте панели логина с /wp-login на что-то другое
24. Ханейпот (логин-панель перекидываем на другой URL, но оставляем живой пустой URL /wp-login
- Любого клиента, кто будет стучаться на /wp-login , можно банить на Х дней тем же Fail2Ban, потому что он точно бот
25. На куки нужно установить Cookie Flags and Prefixes
26. Вбить в гугл wordpress online security scanner и проверить всеми найденными сканерами. Вообще, самое эффективное решение - взять Burp Security suite, но это дорого и профессионально
Постоянные проверки:
Проводите постоянный мониторинг нагрузки на хостинг - раз в 10-20 дней
Минимум раз в 10-15 дней проверять и обновлять плагины
Выглядит сложно и дорого? Ваш сайт - ваш доход, безопасность сайта - ваша ответственность, 95% этих пунктов настраиваются 1-ин раз, и повышают безопасность сайта в 10-тки раз.
P.S. Часть из этих пунктов решается плагином Clearfy Pro
P.S.S Ссылка на полный документ с пояснениями по пунктам
Ссылки из поста:– https://docs.google.com/document/d/1IzopQKelmknxN4...
Источник новости https://t.me/seoetc/25...

