Security Blog
Security Blog
Posted By Gregory

Превратите свой WordPress в Форт-Нокс

Как превратить WordPress в защищенную крепость, подобную Форт-Ноксу

English version: Turn your WordPress into Fort Knox


В этой статье предполагается, что мы хотим получить защищенный сайт на WordPress. Не обязательно выполнять все следующие шаги слово в слово и пункт за пунктом в точности, как описано. Но я рекомендую это, если вы хотите создать свой собственный Форт-Нокс.

Некоторые из следующих шагов могут быть причиной некоторых проблем несовместимости с некоторыми странными плагинами, которые пытаются изменять файлы непосредственно в папках WordPress. Я рекомендую игнорировать любые плагины такого рода, потому что их использование может привести к множеству проблем и проблем безопасности немедленно или в будущем, когда хакеры изучат дыры в плагинах или теме, которые установлены на вашем сайте. Я создал эту статью в надежде, что она будет полезна, но без каких-либо гарантий.

Примечание: эта статья не применима, если вы используете общий хостинг. Вам необходимо иметь, как минимум, сайт, размещенный на VPS.

Требования: root-доступ к серверу Linux, на котором размещен ваш сайт. Если у вас нет доступа к оболочке с привилегиями root, вы не сможете сделать ничего полезного для создания действительно защищенного сайта. Не существует способа или плагина, который может защитить WordPress и файлы в его каталогах на уровне PRO. Все плагины безопасности имеют тот же уровень привилегий (разрешений), что и хакеры и боты. Исключений нет. Если какой-либо плагин безопасности внес какие-либо изменения в файлы вашего сайта для их защиты, любой хакер или вредоносный код может ОТМЕНИТЬ эти изменения или снять защиту.

Вот несколько важных моментов моего подхода

  • Все файлы кода (код PHP) и все файлы .htaccess должны быть защищены от записи. Исключений нет

  • Нам нужно изменить все значения по умолчанию (папка, куки, путь входа, любые другие ориентиры) на другие значения.

  • Мы не должны использовать плагины или темы, которые работают с файлами PHP или .htaccess в папках WordPress и пытаться их изменить.

Шаг первый. Установка WordPress

Не используйте префикс wp_ по умолчанию для таблиц базы данных. Вместо этого используйте пару-тройку символов алфавита. Некоторые атаки и злоумышленники, специфичные для WordPress, предполагают, что префикс таблицы — wp_ . Изменение префикса помогает нам блокировать некоторые атаки с использованием SQL-инъекций.

Шаг второй. Усиление защиты сайта на уровне WordPress

  1. Переместите папку загрузок на один уровень вверх из папки /wp-content/ в корень папки установки WordPress.

  2. Переименуйте папку uploads в media (или как-то так, как вам нравится).

  3. Переименуйте папку wp-content в content (или как-то так, как вам больше нравится).

  4. Переименуйте папку плагинов в mod (или как-то так, как вам нравится).

  5. Добавьте следующие строки в начало файла wp-config.php , не забудьте изменить media , content , mod на фактические значения, которые вы выбрали ранее . 
     define('AUTOMATIC_UPDATER_DISABLED', true ); // да, это можно сделать вручную
    
define('DISALLOW_FILE_EDIT', true ); // мы никогда никому не позволяем трогать ваши файлы
    
define('DISALLOW_FILE_MODS', true ); // да, это можно сделать вручную
    
define('FS_METHOD', 'direct'); // конечно, без FTP
    
определить('WP_HTTP_BLOCK_EXTERNAL', правда );
    
define('UPLOADS', ' media ' ); // мы переименовали uploads и переместили его на уровень выше
    
define('WP_CONTENT_DIR', '/path/to/wordpress/dir/ content '); // без имени хоста, без завершающего слеша
    
define('WP_CONTENT_URL', 'http://example.com/ контент ');
    
define('WP_PLUGIN_DIR', '/path/to/wordpress/dir/ content / mod '); // без имени хоста, без завершающего слеша
    
define('WP_PLUGIN_URL', 'http://example.com/ контент / мод ');
    
ini_set('display_errors',0); // отключаем отображение ошибок PHP на фронтенде

Шаг третий. Измените имя cookie-файла по умолчанию.

Добавьте эти строки в начало файла wp-config.php

 define('USER_COOKIE', 'my_user_cookie' ); // измените его на что-то другое

define('PASS_COOKIE', 'my_pass_cookie' ); // измените его на что-то другое

define('AUTH_COOKIE', 'my_auth_cookie' ); // измените его на что-то другое

define('SECURE_AUTH_COOKIE', 'my_sec_cookie' ); // измените его на что-то другое

define('LOGGED_IN_COOKIE', 'my_logged_cookie' ); // измените его на что-то другое

define('TEST_COOKIE', 'my_test_cookie' ); // измените его на что-то другое

Шаг четвертый. Установите плагин безопасности сразу после установки WordPress.

Защитите свою страницу входа с помощью WP Cerber Security . Даже с этими мерами защиты, описанными выше, хакеры будут пытаться использовать атаки методом подбора (попытки входа), чтобы взломать дверь на вашем сайте WordPress. Скройте и закройте эту дверь с помощью WP Cerber.

Шаг пятый. Усиление защиты сайта на уровне сервера.

На этом шаге я предполагаю, что вы используете сервер с Apache в качестве http-сервера. Нам нужно изменить владельца всех файлов WordPress, включая плагины и темы. По умолчанию этот пользователь — apache . Нам нужно изменить его на другого пользователя, которого вы создали для этой цели ранее. Допустим, этот пользователь — cerber .

  1. Поместите файл .htaccess в папку media (вашу новую папку uploads) со следующей директивой в нем. Это предотвращает выполнение веб-сайтом загруженного вредоносного PHP-кода. 
     php_flag движок выключен

    Примечание: Чтобы эта директива работала, файл конфигурации Apache должен содержать директиву AllowOverride Options для папки загрузок или любой ее родительской папки.

  2. Для всего каталога сайта (/path/to/wordpress/dir) измените владельца и разрешения для всех файлов. Для этого выполните следующие команды в оболочке. 
     найти /путь/к/wordpress/dir -exec chown cerber:root {} +
    
найти /путь/к/wordpress/dir -type d -exec chmod 755 {} +
    
найти /путь/к/wordpress/dir -type f -exec chmod 644 {} +

  3. Для каталога uploads (/path/to/wordpress/dir/ media ) нам нужно установить специальные разрешения. Давайте сделаем это с помощью команд exec в оболочке 
     найти /путь/к/wordpress/dir/ media -exec chown cerber:apache {} +
    
найти /путь/к/wordpress/dir/ media -type d -exec chmod 775 {} +
    
найти /путь/к/wordpress/dir/ media -type f -exec chmod 664 {} +

  4. Настройте структуру постоянных ссылок в настройках WordPress, а затем измените права доступа к файлу .htaccess , чтобы защитить его от записи. 
     chown cerber:root /path/to/wordpress/dir/.htaccess
    
chmod 644 /путь/к/wordpress/dir/.htaccess

  5. Переместите файл wp-config.php в каталог, расположенный выше каталога установки WordPress.

Шаг шестой. Усиление защиты сайта на уровне сервера NGINX

Читайте здесь: Усиление защиты WordPress с помощью WP Cerber и NGINX

Шаг седьмой. Усиление защиты сайта с помощью Fail2Ban

Читайте здесь: Как защитить WordPress с помощью Fail2Ban

I'm a team lead in Cerber Tech. I'm a software & database architect, WordPress - PHP - SQL - JavaScript developer. I started coding in 1993 on IBM System/370 (yeah, that was amazing days) and today software engineering at Cerber Tech is how I make my living. I've taught to have high standards for myself as well as using them in developing software solutions.

View Comments
There are currently no comments.