Будівельний портал - Будинок. Водонагрівачі. Димарі. Монтаж опалення. Обігрівачі. Устаткування

Антивірус для вордпрес з лікуванням російською. Найкращі WordPress-плагіни для захисту від вірусів

CMS WordPress є добре захищеною системою, але у будь-якій системі можна знайти вразливі місця. Розробники WordPress намагаються зробити захист CMS надійнішим з кожним новим випуском, але зловмисники також не сидять склавши руки. Тому, для захисту свого сайту від злому, вірусів та атак вам доведеться вживати деяких заходів самостійно.

Я можу дати кілька практичних порад щодо захисту WordPress, які допоможуть вам захистити WordPress сайт від базових загроз, вірусів та атак.

Основні заходи щодо захисту WordPress

Захистити WordPress від базових загроз не складно, для цього достатньо вжити деяких заходів. Для того, щоб спростити поставлене завдання, я рекомендую скористатися плагіном "Better WP Security".

Після встановлення та активації плагіна на WordPress, пройдіть в адмінку сайту на сторінку налаштувань "Better WP Security", та створіть резервну копію бази даних, про всяк випадок.

Потім, для того щоб дозволити плагіну робити зміни у файлах вашого сайту та движка, ви повинні дати дозвіл натисканням на відповідну кнопку.


На наступній станиці, щоб захистити сайт від базових атак, необхідно увімкнути цю опцію натисканням на відповідну кнопку.


Але це ще не все. Після того, як ви виконаєте перші вимоги плагіна, перед вами відкриється таблиця, в якій будуть вказані всі потенційні точки вразливості вашого сайту. Для захисту WordPress сайту необхідно виправити всі недоліки в захисті.

Усунення вразливостей WordPress

Перед вами відкриється приблизно наступна таблиця вразливостей, у якій червоним кольором підсвічені критичні вразливості, а жовтим і синім підсвічені не критичні вразливості, але їх також потрібно усувати.

Наприклад, я взяв стандартний незахищений блог на WordPress. Давайте разом усунемо всі відомі нам уразливості у WordPress.


1. Перевірка складності пароля всім користувачів

Щоб забезпечити складними паролями всіх користувачів, потрібно виправити першу вразливість. Пройдіть за посиланням "Натисніть, щоб виправити" і на сторінці виберіть пункт як на малюнку знизу "Strong Password Role - Subscriber". Тим самим паролі всіх ваших користувачів проходитимуть перевірку складності.


2. Забираємо додаткову інформацію із заголовка WordPress

WordPress за замовчуванням публікує у заголовку сайту багато додаткової інформації, якою можуть скористатися зловмисники. Щоб видалити подібну інформацію, поставте галочку у відповідному полі. Але будьте уважні, ця дія може спричинити непрацездатність деяких додатків та сервісів, які будь-яким чином звертаються до вашого блогу через протокол XML-RPC.


3. Приховуємо оновлення від не адміністраторів

Третій пункт у нас гаразд, якщо у вас не так, то рекомендую вам приховати доступні оновлення від неадміністраторів. Вашим користувачам ця інформація все одно буде марною, а ось зловмисники можуть нею скористатися.

4. Змінити логін адміністратора

Обліковий запис адміністратора WordPress за замовчуванням має логін admin, і про це всі знають. Тому ваш сайт зламати простіше. Щоб ускладнити злом сайту, рекомендую перейменувати ваш адміністраторський обліковий запис. Для цього перейдіть за посиланням "Клікніть тут, щоб перейменувати адміністратора" та введіть нове ім'я адміністратора у відповідне поле.


5. Змініть ID адміністратора

Акаунту адміністратора за умовчанням присвоюється і ID=1, що також свідомо відомо зловмисникам, тому цей параметр потрібно змінити. Плагін better wp security змінить ID адміністратора за один клік.

6. Змінити префікс таблиць бази даних WordPress

За змочуванням таблиці бази даних WordPress мають префікс wp_. Рекомендується змінити префікс на будь-який інший. Навіть якщо ваша база даних вже заповнена інформацією, то плагін better wp security змінить префікс таблиць вашої бази без втрати даних. Рекомендовано перед цією дією зробити резервну копію бази даних, що ми зробили на самому початку.


7. Сплануйте створення резервних копій

Для регулярного створення резервної копії вашої бази даних, задайте деякі умови та введіть ваш e-mail, куди будуть надсилатися копії бази даних. Тим самим ви в будь-який час зможете відновити базу даних із копії, за потреби.


8. Заборонити доступ до адмінки у певний час

Цей параметр не є критичним, але, все ж таки, якщо ви переживаєте за безпеку вашого WordPress сайту, то мабуть варто заборонити хаотичний доступ до адмінки, і дозволити доступ тільки в певний час, наприклад у той час, коли ви збираєтеся працювати з сайтом.

9. Заблокуйте підозрілі хости

Якщо ви знаєте IP адреси підозрілих хостів, з яких може бути здійснена атака на ваш сайт, то занесіть ці IP адреси в бан лист, і доступ до сайту з цих IP буде закритий.

10. Захистити логін від перебору

За умовчанням плагін захищає логін від перебору і після трьох невдалих спроб блокує IP адресу.

11. Приховати адмінку WordPress

Цей пункт не є критичним, але все ж таки буде корисно приховати адмінку WordPress. Приховування WordPress адмінки відбувається шляхом перейменування директорії з адмін-панеллю. Фізично адмін панель лежатиме в тій же папці, але за адресою http://ваш_сайт.ru/wp-admin вона буде недоступна.


Приховайте адмін панель WordPress, для цього введіть нові імена для директорій у відповідні поля та поставте галочку для увімкнення даної опції.


12. Захистити файл.htaccess та приховати каталоги від перегляду

Рекомендую вам приховати каталоги сайту від вільного перегляду та захистити файл.htaccess. Також ви можете заборонити виконувати різні запити на сайт через адресний рядок. Нагадую, що дані дії можуть викликати конфлікт із деякими плагінами та темами.


18. Забороняємо запис файлів wp-config.php та.htaccess

Деякі пункти були за промовчанням виконані, тому пропоную вам виконати найважливіший 18 пункт захисту, який допоможе заборонити перезапис файлів wp-config.php та.htacces. Цей пункт дуже важливий, тому що від збереження файлів wp-config.php та .htacces може залежати працездатність вашого сайту.


20. Перейменувати папку з вмістом wp-content

Також можна перейменувати папку з основним вмістом сайту wp-content. Нестандартне розміщення файлів ускладнить зловмисникам доступ до них.

Безпекою вашого блогу потрібно займатися із самого початку, не відкладаючи це на розпливчасте «розкручусь і займуся». Тим більше, що зараз перед вами докладна інструкція про те, як захистити сайт на wordpress від злому, вірусів та інших неприємностей.

Я раніше думала про безпеку, але не так серйозно. А після цієї статті на сайті Борисова підійшла до справи серйозно. Знайшла в інтернеті всі проблемні місця системи та методи їх усунення. Вийшла досить велика стаття із 14 пунктів!

Як захистити сайт на wordpress

1. Змінити стандартний логін.Насамперед хакери пробивають такі популярні логіни як admin, user, moderator, administrator. Якщо ви використовуєте один із них, значить ви зробили за зловмисників половину роботи. Особливо часто використовується admin - короткий, легко запам'ятовується, відразу видно, що важлива шишка, тому власники сайтів не змінюють його на щось складніше.

Існує багато варіантів, як змінити цей логін, але найпростіший:

  • Зайти до адмінки, зайти до розділу Користувачі – натиснути Додати.
  • Придумати новому користувачеві складний логін (можна просто набір букв-цифр) і вибрати Роль – Адміністратор.
  • Вийти з поточного користувача (справа зверху вибрати Вийти).
  • Зайти під новим користувачем, якого ви щойно створили.
  • Попрацювати з цього облікового запису: створити нові статті, відредагувати старі, додати/видалити плагіни. Загалом перевірити, чи справді він має всі повноваження Адміністратора.
  • Видалити користувача з ніком admin.

2. Ставимо складний пароль- Це саме той випадок, коли використовувати свій стандартний пароль у вигляді qwerty не можна. Потрібно вигадати унікальний пароль, дуже складний, з 20-символів з різним регістром, цифрами і різними символами. Якщо боїтеся забути, запишіть у паперовий блокнот. Але не зберігайте його на комп'ютері. Як вигадати складний пароль можна прочитати в цій статті.

Складний пароль має бути не тільки в адмінку wordpress, але й для інших сервісів, пов'язаних із сайтом: пошта, хостинг тощо.

3. Приховуємо логін- Як би ви не намагалися вигадати супер складний логін, існує лазівка, що дозволяє побачити його і скопіювати. Для цього введіть адресний рядок http://Ваш_домен.ru?author=1, підставивши ваш домен. Якщо посилання не перетворюється на /author/admin, де admin ваш новий логін, значить все гаразд.

Але якщо все ж таки там відображається ваш логін, потрібно терміново його приховати за допомогою спеціальної команди у файлі functions.php:

/* Підміна логіну в коментарях */
function del_login_css($css) (foreach($css as $key => $class) (
if(strstr($class, «comment-author-впишіть_діючий_логін»)) (
$css[$key] = 'comment-author-впишіть_вигаданий_логін'; )
return $css; )
add_filter('comment_class', 'del_login_css');

Тепер налаштовуємо переадресацію на головну сторінку, для цього потрібно відкрити файл.htaccess у кореневій папці (за допомогою filezilla), і тут після рядка

RewriteRule. /index.php [L]

Додати даний текст:

RedirectMatch Permanent ^/author/реальний_логін$ http://Ваш_домен.ru

4. Вчасно оновлюємо WordPress.Іноді з'являються нові версії, сповіщення висять прямо на панелі керування. Зробіть резервну копію сайту, оновіть та перевірте працездатність. Чим новіший, тим складніше зламати систему – з'являються нові рівні захисту, і старі методики злому не працюють.

5. Приховуємо версію WordPress від чужих очей.За промовчанням ця інформація відображається в коді сторінок, а зловмисникам не варто її повідомляти. Знаючи вашу версію, йому буде легше розпізнати проломи та зламати систему.

Так що відкрийте functions.php для редагування, а потім додайте рядок:

remove_action('wp_head', 'wp_generator');

Ця проста функціязабороняє виводити дані про систему.

6. Видаляємо license.txt та readme.htmlз кореневої папки. Самі по собі вони не потрібні, але за допомогою їх можна легко прочитати інформацію про вашу систему і дізнатися версію WordPress. Вони автоматично з'являються знову, якщо ви оновите wordpress. Отже, чистіть файли щоразу, коли встановите оновлення.

7. Приховуємо папки wp-includes, wp-content та wp-content/plugins/.Спочатку перевірте, чи видно вміст цих папок стороннім. Просто підставте в посилання ваш домен і відкрийте в браузері посилання:

  • http://Ваш_домен/wp-includes
  • http://Ваш_домен/wp-content
  • http://Ваш_домен/ wp-content/plugins

Якщо при переході на ці сторінки ви бачите папки та файли, потрібно приховати інформацію. Робиться це дуже просто - створіть порожній файл з назвою index.php і помістіть в ці директорії. Тепер під час переходу відкриватиметься цей файл, тобто. порожня сторінка без будь-якої інформації.

8. Не ставте безкоштовні теми- це вже з особистого досвідуінформація, хоча про це пишуть усі і кожен. Але я вирішила обійти систему, і поставила на інший свій сайт безкоштовну тему з інтернету - дуже вона мені сподобалася. І спершу все було добре.

Приблизно через півроку я почала перевіряти вихідні посилання із сайту, і виявила 3 ​​незрозумілі посилання. Знайти їх на самих сторінках я не змогла - дуже хитро їх сховали. Після вивчення питання знайшла інформацію, що це дуже поширена проблема, коли безкоштовні шаблони вбудовують код для віддаленого розміщення посилань. Довелося витратити цілий вечір, але проблему виправила і тепер усе гаразд. Але скільки шкоди це могло завдати!

9. Встановіть потрібні плагіни для захистуале обов'язково встановлюйте з офіційного сайту ru.wordpress.org або з панелі управління.

  • Limit Login Attempts – обмеження спроб авторизуватися. Якщо 3 рази неправильно ввести логін та пароль, доступ буде заблоковано на N хвилин/годин. Ви самі встановлюєте кількість спроб та час блокування.
  • Wordfence Security – плагін для перевірки сайту на віруси та шкідливі зміни у кодах. Для запуску достатньо встановити та натиснути Scan. Але після перевірки бажано вимкнути, щоб не створювати додаткове навантаження на сайт. Перевіряйте блог на віруси хоча б раз на місяць.
  • WordPress Database Backup – автоматично надсилає на пошту резервну копію бази даних вашого сайту. Регулярність можна встановити самостійно – щодня чи щотижня.
  • Rename wp-login.php – змінює адресу входу до панелі керування зі стандартного http://Ваш_домен/wp-admin.
  • Anti-XSS attack – захищає блог від XSS-атак.

10. Перевірте комп'ютер на віруси- Іноді віруси приходять прямо з вашого комп'ютера. Тож поставте хорошу антивірусну програму та своєчасно оновлюйте її.

11. Систематично робіть резервні копії- або за допомогою плагіна WordPress Database Backup або вручну. У деяких хостерів це відбувається автоматично, тому ви в будь-який момент можете відновити сайт при проблемах.

12. Працюйте з перевіреним хостеромадже багато в чому безпека сайту залежить від якості хостингу. Я місяць тому перебралася на Макхост і різниця з попереднім відчутна (переїзд описала в цій статті). Рекомендувати наполегливо не буду, тому що я з ними зовсім недовго, хоча подруга з ними рік і натішитися не може. Загалом не беріть тарифи за 100 рублів для економії, потім можна дорого поплатитися.

13. Різні поштові скриньки для сайту та хостингу. З вордпреса дуже просто витягнути поштову скриньку, потім його можна зламати та отримати доступ до даних. А якщо хостинг прив'язаний до нього, буде не складно змінити пароль та забрати сайт собі. Так що заведіть окрему скриньку для хостингу, щоб ніхто її не знав і не бачив.

14. Підключіть виділену IP адресущоб не сусідити з порно-сайтами, сайтами під фільтром або вірусами. Отже, якщо у вас є можливість – отримайте окремий IP, щоб не хвилюватися через це. До речі, у сфері блогерів ходять непідтверджені чутки, що виділений IP покращує позиції у пошуковій видачі.

Тепер ви знаєте самі прості способияк захистити сайт на wordpress, і від банальних загроз будете позбавлені. Але, крім цього, існує ще багато інших небезпек, від яких так просто не врятувати. Саме для таких серйозних ситуацій Юрій Колесов створив курс «

Якщо ваш сайт зламали – не панікуйте.

У цій статті ви дізнаєтесь 2 способи вилікувати сайт від шкідливого коду, і спаму вручну, і 1 спосіб за допомогою плагіна.

У першому способі ви експортуєте базу даних та кілька файлів. Після цього ви перевстановите Вордпрес, Імпортуєте базу даних назад та імпортуєте кілька налаштувань зі збережених файлів.

У другому способі ви видалите частину файлів і спробуєте знайти впроваджений код за допомогою команд SSH терміналі.

У третьому способі ви встановите плагін.

Переконайтеся, що сайт зламаний

Якщо ви думаєте, що сайт зламаний, переконайтеся, що це дійсно так. Іноді сайт може поводитись дивно або ви можете думати, що сайт зламали.

Ваш сайт зламаний, якщо:

  • Ви бачите спам, що з'являється на вашому сайті в хедері або футері, який рекламує казино, гаманці, нелегальні сервіси і так далі. Таке оголошення може бути непомітним для відвідувачів, але помітним для пошукових системнаприклад, темний текст на темному тлі.
  • Ви робите запит site:ваш-сайт.ru в Яндексі або Гуглі, і бачите на сторінках сайту контент, який ви не додавали.
  • Ваші відвідувачі кажуть вам, що їх перенаправляють на інші сайти. Ці редиректи можуть бути налаштовані так, що вони не працюють з адміністратором сайту, але працюють для звичайних користувачів і помітні пошуковим системам.
  • Ви отримали повідомлення від хостинг провайдера про те, що ваш сайт робить щось шкідливе або спам. Наприклад, що ваш сайт розсилає спам, або в інтернет-спамі є посилання на ваш сайт. Хакери розсилають спам, у тому числі із заражених сайтів, та використовують заражені сайти для перенаправлення користувачів на свої сайти. Вони так роблять, бо хочуть уникнути спам-фільтрів, щоб їхні сайти не потрапили під санкції пошукових систем. Коли заражений сайт потрапляє до спам-фільтрів, хакери залишають його і користуються іншими.

Зробіть бекап

Після того, як ви переконалися, що сайт зламаний, зробіть бекап всього сайту за допомогою плагіна, бекап програми на хостингу або FTP.

Деякі хостинг-провайдери можуть видалити сайт, якщо ви скажете їм, що сайт зламаний, або якщо хостинг-провайдер сам визначить це. Власники хостингу можуть видалити веб-сайт, щоб не заразилися інші веб-сайти.

Також зробіть бекап бази даних. Якщо щось піде не так, ви завжди можете повернутися до зламаної версії сайту і почати все спочатку.


Зайдіть у Scan Settings, Зареєструйтесь у правому вікні Updates & Registrationsта натисніть Run Complete Scan.

Сервіси, на яких ви можете перевірити сайт на наявність шкідливого ПЗ

  • Unmask Parasites – досить простий сервіс для перевірки сайту. Перший крок, щоб визначити, чи сайт був зламаний.
  • Sucuri Site Check – гарний сервіс для пошуку заражень на сайті. Крім сканера показує, чи внесено сайт до списків шкідливих сайтів. Наразі 9 списків.
  • Norton Safe Web - сканер сайту від Norton.
  • Quttera – сканує веб-сайт на наявність шкідливого ПЗ.
  • 2ip - перевіряє на віруси та включення до чорних списків Яндекса та Гугла.
  • VirusTotal – найкрутіший сервіс для сканування сайтів, використовує понад 50 різних сканерів – Касперського, Dr.Web, ESET, Yandex Safebrowsing та інших. Можна просканувати сайт, адресу IP або файл.
  • Web Inspector – ще один хороший сервіс, що перевіряє сайт на наявність черв'яків, троянів, бекдорів, вірусів, фішингу, шкідливого та підозрілого ПЗ і так далі. Протягом декількох хвилин генерує досить детальний звіт.
  • Malware Removal - сканує сайт на наявність шкідливого програмного забезпечення, вірусів, впроваджених скриптів і так далі.
  • Scan My Server - сканує сайт на шкідливий софт, SQL впровадження, XSS і так далі. Для використання потрібна безкоштовна реєстрація. Досить детальні звіти надходять на е-мейл раз на тиждень.

Що робити із зараженими файлами

Залежно від того, що ви знайшли, ви можете видалити файл повністю або тільки частину, яку додав хакер.

  • Якщо ви знайшли файл бекдора, в якому знаходиться лише шкідливий скрипт, видаліть весь файл.
  • Ви знайшли шкідливий код у файлі Вордпрес, теми або плагіна - видаліть весь файл і замініть на оригінальний з офіційної сторінки.
  • Ви знайшли шкідливий код у файлі, який ви або хтось створив вручну – видаліть шкідливий код та збережіть файл.
  • Можливо, у вас є незаражена версія сайту, ви можете відновити сайт зі старої версії. Після відновлення оновіть Вордпрес, плагіни та тему, змініть пароль та встановіть плагін безпеки.

Відвідувачі сайту отримують попередження від файрволів та антивірусів. Що робити?

Аналогічно зі списком заражених сайтів Google потрібно видалити сайт зі списків всіх антивірусів: Касперського, ESET32, Avira і так далі. Зайдіть на сайт кожного виробника та знайдіть інструкції щодо видалення свого сайту зі списку небезпечних сайтів. Зазвичай це називається whitelisting. Наберіть у пошуковій системі webliste, avira site removal, mcafee false positive, це допоможе вам знайти потрібну сторінку на цих сайтах, щоб виключити свій сайт зі списку сайтів, що містять шкідливе ПЗ.

Як дізнатися, що мій сайт знаходиться у списку небезпечних сайтів, які містять зловмисне програмне забезпечення?

https://transparencyreport.google.com/safe-browsing/search?url=ваш-сайт.ru

Там же ви можете перевірити субдомен вашого сайту, якщо вони є. На цій сторінці ви знайдете детальну інформацію про ваш сайт, чи знаходиться він у списках malware або phishing сайтів, і що робити, якщо міститься.

Що робити, щоб сайт не заразився знову?

  • Регулярно оновлюйте версію Вордпрес, тем і плагінів у міру виходу нових версій. .
  • Використовуйте складні логіни та паролі. Рекомендація для пароля: пароль повинен бути не менше 12 символів, містити великі та малі літери, цифри та символи.
  • Вибирайте теми та плагіни від перевірених авторів.
  • Використовуйте надійний хостинг. .
  • Встановіть плагін безпеки. .
  • Налаштуйте автоматичний бекап всіх файлів та бази даних. .
  • Видаліть усі старі версії сайту із сервера.
  • Читайте .

Система управління контентом WordPress, через свою величезну популярність, також приваблює до себе і недоброзичливців. Крім того, "движок" поширюється безкоштовно, тому ще більше схильний до ризику порушення безпеки. Сам WordPress є досить безпечним програмним продуктом. "Дірки" починають відкриватися, коли користувач встановлює плагіни та теми.

Небезпека плагінів і тем

На жаль, не завжди можна бути впевненими у безпеці та безневинності тим чи плагінів. Їхні платні версії мають цілком конкретних розробників, які дорожать своєю репутацією. У результаті їх продукти більше високої якостіі можливість отримати разом з ними будь-який шкідливий код досить низька. Але, як підказує наш життєвий досвід, із будь-якого правила є винятки. Деякі додають цілком нешкідливий код для забезпечення зворотного зв'язку, а інші роблять це для інших цілей. Навіть у самому "движку" іноді виявляють уразливості, які дозволяють зловмиснику впровадити свій код у її ядро.

Плагіни для захисту від вірусів

На щастя, для WordPress існує і ціла низка корисних рішень, здатних повністю просканувати Ваш ресурс на предмет уразливостей і шкідливого коду і в разі виявлення вказати конкретне місце їх "проживання" або повністю знешкодити. Розглянемо кілька досить якісних та надійних плагінів для захисту Вашого WordPress-сайту.

Sucuri Security

Безкоштовний плагін Sucuri Security є лідируючим інструментом у галузі безпеки, завдяки чому використовується величезною кількістю користувачів WordPress. Рішення забезпечує сайтам кілька видів та рівнів захисту, серед яких можна виділити такі:

  • сканування всіх файлів на наявність шкідливого коду;
  • стеження за цілісністю файлів;
  • протоколювання всіх операцій, пов'язаних із безпекою;
  • виявлення та повідомлення про ризик попадання сайту до чорних списків ESET, Norton, AVGта ін.;
  • автоматичне виконання певних дій у разі виявлення злому.

Wordfence Security

Wordfence Security - рішення, що виконує глибоку перевірку веб-ресурсу на предмет вразливостей та шкідливого коду не тільки у файлах тем і плагінів, але і в самому ядрі "движка".

Плагін використовує WHOIS-Сервіси для моніторингу з'єднань. Завдяки вбудованому фаєрволу він здатний блокувати цілі мережі. Як тільки буде виявлено мережеву атаку, миттєво відбувається автоматичне оновлення набору правил брандмауера для найбільш ефективного протистояння загрозам.

AntiVirus

Плагін AntiVirus займається тим, що щодня сканує всі файли сайту (включаючи теми, базу даних) та відправляє email-Звіт на задану адресу. Крім того, AntiVirusпроводить сканування та очищення слідів також при видаленні плагінів.

Quttera Web Malware Scanner

До списку сканування та виявлення потужного сканера Quttera Web Malware Scanner входять такі вразливості:

  • шкідливі скрипти;
  • троянські черв'яки;
  • програми-шпигуни;
  • бекдори;
  • експлойти;
  • редиректи;
  • шкідливі iframes;
  • обфускація та ін.

Крім цього списку, плагін перевіряє на наявність сайту в чорних списках.

Anti-Malware Security and Brute-Force Firewall

Доповнення Anti-Malware Security and Brute-Force Firewal l покликане сканувати та знешкоджувати відомі на сьогодні вразливості, включаючи скрипти backdoor. Антивірусні бази плагіна автоматично оновлюються, що дозволяє виявляти найсвіжіші віруси та експлойти. Плагін має вбудований фаєрвол, що блокує мережеві загрози.

Особливістю плагіна є надання додаткового захисту для сайту (захист від brute-force-, DDoS-Атак, а також перевірка цілісності ядра WordPress). Для цього необхідно просто зареєструватися на сайті gotmls.net.

WP Antivirus Site Protection

Антивірус WP Antivirus Site Protection сканує всі важливі, з точки зору безпеки, файли сайту, включаючи теми, плагіни та файли, що завантажуються в папці uploads. Знайдений шкідливий код та віруси будуть негайно видалені або переміщені до карантину.

Exploit Scanner

Плагін Exploit Scanner займається виключно виявленням підозрілого коду (файли сайту та база даних). Як тільки що-небудь буде виявлено, адміністратор сайту відразу буде повідомлено про це.

Centrora WordPress Security

Комплексне рішення Centrora WordPress Security є багатогранним інструментом захисту веб-ресурсу від усіх типів загроз. Воно включає наступні функції:

  • пошук шкідливого коду, спаму, SQL-ін'єкцій;
  • наявність брандмауера;
  • наявність сканера перевірки прав доступу;
  • виконання резервного копіювання.

Натисніть, будь ласка, на одну з кнопок, щоб дізнатися чи сподобалася стаття.

Мені подобається Не подобається

WordPress – одна з найпопулярніших платформ для інформаційних ресурсів та блогів. Тому безпека сайту WordPress хвилює тих, хто, зумівши розкрутити свій інтернет-проект, навчилися на ньому заробляти.

Захист сайту від зловмисників важливий ще й тому, що WordPress більш ніж будь-яка інша платформа піддається ризику зараження. Безліч функціональних плагінів, доступних програм та дизайнерських тем – слабкі місця, які роблять цю CMS вразливою.

Згідно з аналізом експертів у сфері веб-безпеки, тільки в основі двигуна Вордпрес на 2015 рік було понад 240 явних уразливостей. Сторонні плагіни та теми оформлення виявилися на 54% зараженими шеллами, бекдорами та спамними посиланнями – злом сайту на WordPress за такого стану справ для хакерів проблем не становить.

Ефективний захист сайту WordPress – з чого почати?

З появою найменших підозр на те, що зламали сайт Вордпрес, потрібно перевірити його якимсь антивірусником. Як перестрахування часто використовують спеціалізовані офіційні WP-плагіни, наприклад, AntiVirus, Wordfence Security або Exploit Scanner. Це найпростіше програмне забезпечення, однак, нерідко сприймає підозрілі фрагменти та нормальні, робочі елементи коду. Тому результати перевірки краще переглядати вручну, порівнюючи чистий шаблон пофайлово з раніше встановленим.

Для успішного захисту сайту WordPress від вірусів та ddos ​​атак достатньо дотримуватись кількох простих правил.

  • Завантажувати теми та розширення з надійних джерел, пов'язаних з офіційними ресурсами Вордпрес.
  • Періодично оновлювати встановлені на сайти версії плагінів та тем оформлення.
  • Своєчасно видаляти плагіни та дизайн-теми, що не використовуються, не чекаючи їх можливого зараження.

Як видалити вірус із сайту WordPress?

Усі профілактичні заходи марні у разі, якщо зараження вже сталося. Після виявлення шкідливого коду в двигуні рекомендується зробити наступні кроки:

1) Здійснити кардинальну зміну паролів там, де це можливо. Бажано придумати нові паролі для хостингу, адмінки, FTP та в частині файлової системи, що відповідає за базу даних і навіть на тій пошті, куди надходить інформаційні повідомлення про всі дії на сайті.

2) Активна перевірка сайту на віруси WordPress починається з пошуків шкідливого коду шаблонів. Для цього через меню « Зовнішній вигляд» –> «Редактор» слід вбити у рядку пошуку частину шкідливого коду. Шукати потрібно в кожному шаблоні, починаючи із заголовка та не пропускаючи коментарі. Усі підозрілі ділянки коду слід акуратно (так, щоб не пошкодити виконавчі програми шаблону) видалити.

3) Для пошуку шкідливого скрипту у вмісті файлової частини сайту знадобиться завантажити на стаціонарний ПК файли (це легко здійснюється за допомогою програми FileZilla). Потім, використовуючи TotalCommander (ще одну корисну програму), потрібно просканувати завантажене, отримавши список заражених файлів.

5) Аналогічно бажано перевірити всі сайти Вордпрес на віруси, які розташовуються на цьому ж хостингу. Після чищення необхідно перевірити вихідний код сторінок із сайту, переконавшись у тому, що всі зараження усунуті.

Як перемогти на сайті WordPress спам

У боротьбі зі спамом веб-майстра використовують відповідні плагіни. У топі програмного забезпечення, що чистить вордпрес-сайти від сміття, виділяється плагін Akismet. Його перевага перед аналогічними розширеннями в тому, що для захисту від спаму він використовує недавно вже всім набридлі капчі, а перевіряє коментарі, що залишаються користувачами по звірці з власною (і досить великою) базою спамних посилань.

Для активації Akismet доведеться зареєструватися на офіційному сайті плагіна і завантажити API-ключ ( докладну інструкціюможна знайти в Інтернеті).

Virusdie – гарний захист WordPress від зломів та вразливостей

Самостійний, ручний захист сайту WordPress – це справа досить клопітна та часвитратна. Тому веб-майстри зі стажем зазначають, що у справі безпеки інтернет-ресурсів від зламів ефективно допомагає антивірусний продукт команди розробників Virusdie.

Virusdie - не просто сканер, що виявляє наявні на сайті вразливості.

6 найкращих плагінів для безпеки

Це повноцінний, універсальний інструментпо боротьбі із шкідливим кодом на будь-якому сайті.

Перевага Virusdie полягає у простоті та зручності використання. Для початку активної роботи достатньо зареєструватись на офіційній сторінціантивірусного продукту, додати сайт до системи та завантажити файл синхронізації у кореневу папку свого ресурсу.

Virusdie не просто шукає заражені файли, а й виліковує їх в автоматичному режимі. Лікування проводиться без «поломок» внутрішнього функціоналу, що важливо для веб-майстрів, які вклали чимало сил та часу на опрацювання, просування сайту.

Вірусом називається шкідливий код, покликаний порушити роботу сайту або потаємно передати зовнішньому джерелу будь-які конфіденційні дані.

Чому з'являються віруси WordPress?

Завдяки зручному та швидкому процесу створення робочого сайту безкоштовна платформа WordPress вже завоювала велику популярність не лише серед блогерів, але також і веб-розробників. Величезна кількість безкоштовних плагінів і тим дозволяє побудувати не тільки простий сайт новин, але також інтернет-магазин або онлайн-кінотеатр. Але безліч сайтів на основі цієї CMS мають певні вразливості в системі безпеки. Найбільш схильні якраз таки плагіни і теми.

Як знайти вірус на сайті?

Наявність шкідливого коду рано чи пізно дасть себе знати: некоректна статистика відвідуваності, переадресація на сторонні ресурси, наявність сторонніх рекламних посилань або іншого контенту, повідомлення пошукових систем про наявність шкідливого коду, «гальма» в роботі сайту та ін.

Як видалити вірус?

По-перше, потрібно визначити, де ховається вірус. Найчастіші місця для впровадження шкідливого коду – це плагіни, теми. Також можуть бути змінені файли WordPress.

Відразу слід зазначити, що перед будь-якими діями слід виконувати повну резервну копію сайту.

1. Оновіть WordPress, теми та плагіни до останніх версій.

2. Видаліть теми та плагіни, які не використовуються.

3. Перевірте наявність сторонніх файлів каталогу сайту (порівняння можна завантажити з офіційного сайту WordPress копію движка).

4. Відстежте дати змінених файлів. Наприклад, основні каталоги WordPress - це wp-includes, wp-admin. Вони повинні мати ту саму дату створення. Якщо в них виявився один або кілька файлів з пізнішою датою створення, слід порівняти їх вміст із завантаженою копією движка і з'ясувати, що собою представляють зайві фрагменти коду.

3 найкращих плагіна для захисту WordPress

Перевірте наявність стороннього коду за допомогою плагіна Exploit Scanner. Після встановлення та активації в адмін-панелі слід перейти Інструменти -> Exploit Scanner, натиснути кнопку Run the Scan.

Після закінчення сканування плагін видасть результати. Слід уважно вивчити інформацію. Зазначимо, що плагін нічого сам не виправляє та не видаляє. Цей процес потрібно буде провести вручну.

6. Перегляньте сторінки та пости. Якщо десь Ви побачили якусь підозрілу інформацію, можна просто її видалити, відкривши на редагування.

7. Перевірте тему за допомогою плагіна Theme Authenticity Checker (TAC). Після встановлення та активації плагіна в адмін-панелі слід перейти Зовнішній вигляд -> TAC. У вікні Ви побачите список присутніх на сайті тем з наявністю/відсутністю проблем.

8. Перевірка файлу .htaccessу кореневому каталозі сайту. Досліджуючи цей файл, потрібно звертати увагу на сторонні посилання. Прикладом посилання на невідомий сайт може бути наступний код:

RewriteCond %(HTTP_REFERER) .*yandex.* RewriteRule ^(.*)$ http://невідомийсайт.com/

Як убезпечити свій сайт від вірусів?

1. Ніколи не використовуйте встановлені за промовчанням імена адміністратора типу admin, administrator.
2. Встановіть капчу (наприклад Google Captcha (reCAPTCHA) by BestWebSoft), яка захистить від підбору паролів до форм на сайті.
3. Паролі користувачів сайту повинні мати щонайменше 8 символів.
4. Регулярно створюйте резервні копії сайту, тож це дозволить швидко відновити сайт у разі падіння.
5. Встановлюйте плагіни лише з офіційного WordPress-репозитарію.
6. Завжди оновлюйте до останніх версій сам двигун, плагіни та теми.
7. Закривайте реєстрацію/коментування для користувачів на сайті, якщо вони не потрібні.
8. Видаліть файл readme.htmlіз кореневого сайту, в якому зберігається версія Вашого движка.
9. Зареєструйте Ваш сайт на панелі адміністратора пошукових систем, щоб завжди бути в курсі стану безпеки сайту.
10. Перевіряйте права для каталогів та файлів сайту. Для всіх каталогів вони мають бути 755 (тільки wp-contentмає права 777 ), для файлів - 644 .

Задай їх експертам у нашому телеграм каналі WordPress спільнота

Привіт, друзі. Стаття переважно стосується блогів на движку WordPress. Сьогодні хотілося б торкнутися не маловажної теми, як для вашого комп'ютера, так і для сайту. А саме. Чи потрібно встановлювати антивірус на веб-сайт?

9 плагінів WordPress для виявлення шкідливого коду на сайті

Багато власників сайтів просто не звертають увагу на те, що їхні проекти, це збірка файлів, які розміщені на сервері, і зазнають вірусних атак.

У свою чергу, сервер є, по суті, дуже більшим комп'ютером, який практично ні чим не відрізняється від вашого домашнього ПК. Схожа операційна система, файлова структура, і з цього, там також встановлюються деякі версії антивірусів, захисту від хакерів і т.д. Але не можуть вони захистити все від усіх.

Більшість власників комп'ютерів захищають свої машини від вірусів, встановлюючи різні антивіруси, тому що ніхто не хоче, щоб у їх ПК заводилися нахабні, шкідливі пожирачі файлів. Але що стосується сайтів та блогів? Та сама ситуація.

Давайте подивимося навколо і зрозуміємо, що якщо на вашому сайті або блозі, де те, в якомусь файлі, або ще десь, закрадеться вірус і почне гальмувати ваш сайт, у кращому випадку, а в гіршому, почне видаляти файли які йому до душі . За такого розкладу, ні кому, ні якої справи до цього не буде, крім вас самих. І якщо ви дбайливий господар свого сайту, то захистіть свій сайт від вірусів, встановивши на нього antivirus, у нашому випадку, антивірус для сайту Wordpress.

Як встановити антивірус для сайту wordpress

Отже, якщо ви ще не захистили свій сайт від вірусів, давайте зробимо це разом. Наш антивірус, який потрібно встановити, так і називається «antivirus». Заходьте в «панель управління сайтом», у бічній панелі вибираєте «плагіни», «додати новий», далі, в рядок «пошук плагіна» вводите або вставляєте заздалегідь скопійовану назву плагіна, «antivirus», встановлюєте його та активуєте.

Налаштування плагіна

Для налаштування цього плагіна нам знадобиться зайти в розділ «Параметри», і перше, що треба буде зробити, так це, просканувати тему вашого сайту. Для цього натискаєте кнопку «ручне сканування» і антивірус сканує ваш сайт.

Якщо після сканування виявляються віруси, потрібно це перевірити. Натисніть Ctrl+f, і пошукайте слово hidden - прихований текст.

Якщо його немає, на кожній вкладці потрібно натиснути «це не вірус» і просканувати ще раз, після вдалого сканування, необхідно поставити галочку для щоденного сканування, ввести адресу електронної пошти, на яку надходитимуть звіти з появою вірусів, і натиснути «зберегти зміни».

Якщо слово «hidden» присутнє, тоді потрібно звертатися до фрілансерів, оскільки самостійно ви навряд чи що зробите.

PS: Вдалою вам друзі установки.

"Хочеш швидко стартувати в Інтернеті?"

Дивись як це робити

Навіщо хакери заражають сайти вірусами?

Антивірус для сайту wordpress!

Тут варіантів кілька, це може бути чорне SEO(вірус додає в код сайту посилання на інші сайти), або це прихований редирект, який перенаправляє частину Ваших відвідувачів на інші сайти, або, використовуючи вразливості браузерів, вірус заражає комп'ютери користувачів для злодійства інформації з жорсткого диска. Також вірусну атаку можуть замовити конкуренти для витіснення Вашого бізнесу з мережі інтернет.

Чищення wordpress сайту від вірусів– процес, що вимагає спеціальних знань у галузі php, html, javascript та розуміння пристрою вордпрес. Я вже неодноразово стикався із зараженням вірусами та злом сайтів, і завжди мені вдавалося вирішити проблему.

Найчастіше, однієї чистки від вірусів то, можливо мало т.к. вразливість, через яку віруси потрапили на сайт, не закрита, і вони знову можуть повернутися. Якщо Ваш сайт постраждав від вірусної атаки, рекомендую замовити аудит безпеки сайту, за підсумком якого можна буде зробити доопрацювання, що закривають уразливості.

На сайті наших партнерів Monitorus PRO, можна безкоштовно перевірити сайт на віруси. Цей сервіс перевіряє наявність сайту в чорному списку яндекса, гугла, Роскомнагляду, спамерських та антивірусних баз. Також він виявить наявність мобільного і пошукового редиректа.

Поділитися з друзями:
Подібні публікації