Как обезопасить ваш сайт? — базовая профилактика.
Перед тем как делать все что написано в файле — сделать бекап базы данных и файлов. — вся ответственность за вами, гарантий здесь результата никто не даст, каждый сайт уникален.
Если вас ещё не взломали:
Основное: Пройти по всему сайту и переписать права на файлы.
- Поставить всем файлам рекурсивно на хостинге где сайт права: 644
- Поставить всем папкам рекурсивно на хостинге где сайт права: 700 \ 750 (на таймвеб базово ставить 700, на других условия могут быть другие — все связано с настройкой сервера и прав юзеров аккаунта. Стандарт рекомендует вордпресс 755.)
- Вернуться в базовую директорию сайта, где лежит .htaccess — прописать ему права: 600 \ 640.
- Файл wp-config.php — поставить права на файл: 444 (важное упоминание — такие права ставить, когда вы закончили все настройки плагинов или важные изменения кода с тестированием плагинов. Например вы настраиваете плагин кеширования который требует доступ к редактированию файлов конфига. Тогда у него не получится ничего сделать по причине запрета. Если есть запрет — ставьте временно 640 на файл и потом снова убирайте до 444.)
- Файл wp-config-sample — удалить.
Как это сделать?
Чтобы это сделать можно использовать программу filezilla — соединиться по фтп к вашему хостингу где лежит сайт и провести перебивку атрибутов прав на файлы.
https://filezilla-project.org/ — ссылка на проект с файлзиллой.
Пошаговый план:
Качаете файлзиллу
Выглядит она следующим образом
Находясь в программе нажмите здесь в Site Manager
Введите значения данных для входа в ваш хостинг:
Хост — это айпи адрес или ссылка которую видно в вашем аккаунте под строчкой — Host \ Server.
Порт не всегда необходим, только если у вас сервер VPS.
User — введите имя пользователя, чаще всего это ваш аккаунт на том же примере таймвеб.
Password — пароль точно также.
После того как ввели все данные вы увидите следующее — соединение к хостингу.
Это понятие Root — рут — директория. Другими словами — папка вашего сайта где лежит файл index.php.
Выбрали все
Нажали правый клик права на файлы
Сделали указание согласно выше описанию для папок или файлов. Рекурсивно. Нажали ОК — и ждем примерно 1 час. Столько займет переписать файлзилле все права на сайте для файлов и папок. Через хостинг если ваша панель поддерживает cpanel — там все удобней и быстрее — в 2 минуты уложиться можно.
Затем, чтобы обезопаситься от взломов старых версий плагинов или темы купленной где-либо:
- Сделать обновление всех плагинов.
Зачем: обновления делаются по причине как раз одной из взломов и улучшения кода. Старые версии популярных плагинов ломают быстрее чем новые. Потому что за ними следят и тестируют.
Важное упоминание: При обновлении плагинов — внутри слетают права на файлы. Необходимо снова проделать действия указанные выше в файлзилле по всей директории плагина который обновлялся. При записи повторной — то есть обновления происходит перепись прав на файл \ добавление новых файлов с некорректными правами — что в итоге может повлиять на взлом в дальнейшем.
- Сделать обновление темы.
Зачем: если тема популярная — ее часто взламывают и выгружают в публичный доступ. Что далее делается Nulled — так называемый обход темы лицензии. И если вы установили где то купленную тему на сомнительном источнике — ожидайте взломов 100%. Темы скачивать и обновлять только на официальном источнике.
- Удалить неиспользуемые плагины \ расширения \ темы.
Зачем: Бывает что просто не удаляют базовые установки от вордпресс плагинов или темы. Если вы их не используете удалите от греха подальше. Чтобы если вдруг пойдет цепочка взломов тех тем стандартных так как они популярные, может зацепить ваш сайт.
Если вы решили заняться лечением уже действующего сайта:
- Сначала так или иначе делаете все что выше описано.
- Скачиваете чистую последнюю коробку вордпресс с официального сайта.
https://ru.wordpress.org/ — от туда скачиваете и распаковываете его.
После необходимо запаковать только папки и файлы все кроме wp-content.
Распаковали архив скачанный с сайта вордпресс — запаковали все что:
Wp-admin
Wp-include
Root файлы кроме конфига старого. (перед тем как делать обновление последней версии сделайте переименование старого файла конфиг — wp-config.php на wp-config-old.php — чтобы потом смогли скопировать данные для соединения в базу данных после перетирания и очистки сайта от вирусных штук, которые могли также попасть в такие системные файлы).
- Удаляете на сайте действующем папки и файлы все кроме папки — wp-content
- Загружаете запакованный архив с пункта 2 описания.
- Распаковываете его.
- Открываете старый файл конфига — wp-config-old.php, копируете оттуда 4 значения в новый конфиг wp-config.php.
Примерно это выглядит так:
/** Имя базы данных для WordPress */
define(‘DB_NAME’, ‘имя базы данных’);
/** Имя пользователя MySQL */
define(‘DB_USER’, ‘пользователь базы данных’);
/** Пароль к базе данных MySQL */
define(‘DB_PASSWORD’, ‘пароль базы данных’);
/** Имя сервера MySQL */
define(‘DB_HOST’, ‘хостинг базы данных — обычно это localhost’);
- После запуска сайта — могут выйти ошибки. Этому может быть причина — версия php — нужно сначала обновить до 7.3 самая стабильная — так как последняя версия вордпресс работает с ней качественно. Либо могут вызывать конфликты не совместимости с новой версией вордпресс и старыми плагинами — тогда нужно скачивать отдельно каждый плагин и делать его обновление.
- Теперь ваш сайт оживет — с вероятностью в 80 — 90 %. Если и дальше происходит редирект или наличие вирусов — нужно копать глубже — значит находится где то вирусы в плагинах или папке темы — которые находятся в wp-content.
Дополнительная рекомендация поставить сервис Cloudflare — он обеспечит безопасность и является бесплатным. Также это увеличит скорость выдачи сайта.