SEOFAQ Telegram, маркетинг и SEO Канал SEOFAQT в мессенджере Telegram

Все чаты#полезные_шаблоны Сегодня один из наших сайтов для тестирования...

 135  


#полезные_шаблоны

Сегодня один из наших сайтов для тестирования различных идей взломали. Взлом был лайтовый, добавили статью и ссылку из нее. Эта проблема в который раз напомнила, что пора ужесточить все меры для безопасности сайтов, независимо тестовые они или нет.

Вот список, который я рекомендую к использованию (одобрен нашим самым Злым Программистом)

Разовые настройки:

1. Сложные пароли - Даже на этапе тестирования сайта (когда ну никто же о нем не узнает)

- Сложные пароли — это как минимум 8 символов, в которых обязательно будут цифры, большие и маленькие буквы, и, конечно же, спец символы. Пример: (*&%RI&%WK<MYGF^*Ruheqwgf16r8re&%Hvwef

2. Актуальная версия WordPress, безопасный шаблон и минимум плагинов

- можно раз в месяц проверять список плагинов, которые установлены на ваших сайтах через поиск, инфу о их взломах

- Не используйте nulled шаблоны для WordPress

- не используйте под каждое небольшое решение отдельный плагин, старайтесь использовать мультиплагины которые решают сразу несколько задач, их качественней поддерживают/обновляют и реже взламывают

3. Меняйте логин админа - затруднит взлом

- Для этого необходимо запустить phpMyAdmin, выбрать нужную базу данных и выполнить следующий SQL запрос, который изменяет логин администратора и имя пользователя администратора.

- UPDATE wp_users SET user_login = 'NewLoginAdmin', user_nicename = 'newadminname' WHERE user_login = 'Admin'

4. Запрет просмотра директорий сайта и запрет доступа к файлу htaccess

5. Запрет доступа к файлу wp-config.php

6. Защищаем каталог wp-includes

7. Запрет доступа к каталогу wp-content

8. Запрет доступа к XML-RPC (Есть в Clearfy Pro)

9. Отключите доступ к REST API вашего WordPress (Есть в Clearfy Pro)

10. Убедитесь, что ваш сайт имеет SSL-сертификат

11. Блокируем вредоносные запросы, защищаем сайт от SQL-инъекций и запрещаем выполнение произвольных команд

- Если у вас VDS стоит поставить пароль на phpMyAdmin

12. Защищаем скрипт timthumb.php

13. Дополнительная HTTP аутентификация для логина в Админку

- Закрыть возможность регистрации новых пользователей

- Отключите комментарии, если они вам не нужны

14. Скрываем версию CMS

15. Убираем комментарии из кода (к плагинам и т.д.)

16. Изменение стандартного префикса таблиц в базе данных

17. Блокируйте выполнение PHP-скриптов в тех WP каталогах, где это не требуется

18. Настройте создание резервных копий, в идеале каждый день, как минимум раз в 3-4 дня — это поможет быстро восстановить исходные файлы сайта, а если сайт удалят, у вас всегда есть актуальная копия

19. Disable Emoji

20. Delete dns-prefetch

21. Отключите редактирование тем и плагинов на уровне панели администратора WordPress

22. Нет информации о релокейте wp-config.php

23. Релокейте панели логина с /wp-login на что-то другое

24. Ханейпот (логин-панель перекидываем на другой URL, но оставляем живой пустой URL /wp-login

- Любого клиента, кто будет стучаться на /wp-login , можно банить на Х дней тем же Fail2Ban, потому что он точно бот

25. На куки нужно установить Cookie Flags and Prefixes

26. Вбить в гугл wordpress online security scanner и проверить всеми найденными сканерами. Вообще, самое эффективное решение - взять Burp Security suite, но это дорого и профессионально

Постоянные проверки:

Проводите постоянный мониторинг нагрузки на хостинг - раз в 10-20 дней

Минимум раз в 10-15 дней проверять и обновлять плагины

Выглядит сложно и дорого? Ваш сайт - ваш доход, безопасность сайта - ваша ответственность, 95% этих пунктов настраиваются 1-ин раз, и повышают безопасность сайта в 10-тки раз.

P.S. Часть из этих пунктов решается плагином Clearfy Pro

P.S.S Ссылка на полный документ с пояснениями по пунктам

Ссылки из поста:
https://docs.google.com/document/d/1IzopQKelmknxN4...

Источник новости https://t.me/seoetc/25...