9 + 1 būdai kaip apsaugoti savo WordPress svetainę.

Kodėl mano svetainė siunčia spamą!? Mano svetainė platina virusus! Ką daryti?! Aš nieko nekeičiau ir tikrai pats nesiunčiau. Ponios ir ponai, sveiki atvykę į WordPress (WP) svetainių bendruomenę!

Ne, tai tikrai ne akmuo į WP daržą, tai kaina, kurią mokame už tai, kad naudojamės pačia populiariausia, nemokama, atvirojo kodo, turinio valdymo sistema pasaulyje. Tačiau, kai tavo svetainės programinį kodą žino visas pasaulis, naivu tikėtis, kad visada viskas bus gerai, nors kartais taip tikrai būna!

Kas atsitinka kai WP svetainė yra nulaužiama?

Svetainė pradedama naudoti kenkėjiškiems tikslams. Dažniausiai iš jų pradedamas siųsti spamas, vykdomos DDOS, Brute force atakos į įvairius tinklalapius, sukuriami papildomi puslapiai skirti apgaulės būdu rinkti slaptažodžius, pardavinėti netikrus UGG batus ar kitokias prekes. Yra buvę atvejų, kai pradedami trinti svetainės failai, pavyzdžiui “uploads” katalogas, pridedama spaminių nuorodų į svetainės turinį.

Kas blogiausia gali nutikti jei mano WordPress svetainė bus nulaužta?

Ko gero pats baisiausias variantas būtų patekti į nesaugių svetainių sąrašą, kurį sudaro “ponas Google”. O tai reiškia pašalinimą iš Google paieškos rezultatų, svetainės blokavimą naršyklėje (dažniausiai vietoje svetainės užsikrauna didelis raudonas langas su užrašu “Ši svetainė nesaugi, nerekomenduojame čia lankytis”).

Kitos pasėkmės ne ką geresnės, neveikianti svetainė, ribojamas el. pašto veikimas, nes siunčiate spamą, patekimas į juoduosius sąrašus. Nekalbant jau apie emocinės būklės pokyčius…

Kaip apsisaugoti?

Naudokitės žemiau esančiais patarimais ir atliksite pačius pagrindinius veiksmus, kurie būtini saugumui užtriktinti.

1. Visuomet atnaujinkite savo WP svetainę į naujausią versiją.
2. Atnaujinkite WP priedus (plugins) į naujausią versiją.
3. Atnaujinkite Dizaino temas (Themes) į naujausią versiją.
4. Nenaudokite nelegalių, nulaužtų temų ir priedų. Rimtai! Nejuokauju!
5. Nereikalingas temas ir priedus pašalinkite.
6. Naudokite saugius slaptažodžius, pasistenkite, kad slaptažodis būtų bent jau iš 5 simbolių, jį sudarytų didžiosios, mažosios raidės ir skaičius (katino vardas, arba telefono numeris nėra geras slaptažodis).
7. Saugūs slaptažodžiai VISUR! Prisijungimui prie wp-admin puslapio, FTP, duomenų bazės, el. pašto.
8. Jūsų kompiuteris irgi turi būti saugus, virusai jame nepageidaujami, todėl rekomenduoju naudoti antivirusinę programą.
9. Reguliariai pasidarykite atsarginę savo svetainės bei duomenų bazės kopiją.

Mano WordPress svetainę nulaužė! Ką daryti?

WP nulaužimai yra šlykštūs, dažnai jie prikuria visokių failiukų skirtingose vietose, kurie daro visus tuos negerus dalykus, o Jums juos reikės atrasti, tam prireiks mažiausiai 1-2 valandų. Failukai dažnai vadinasi start79.php ar panašiai, o jų turinį sudaro base64_encode, $_GET[‘xjeh23’] ir kitokie nelabai standartiniai kodo elementai. Blogiausia, kad ištrynęs vieną failą ir netyčia praleidęs kitą, gali būti tikras, kad kenkėjiška veikla atsinaujins. Būkite labai atidūs, kartais užkrečiami ir sisteminiai failai (vadinami “core” failai), tad jei juos ištrinsite svetainė tiesiog nebeveiks, prieš pradėdami “valymo” operaciją, būtinai pasidarykite atsarginę kopiją.

Kas nors padarykite tai už mane!

Štai čia ir atsiranda +1 būdas. Jeigu jau atsitiko bėda ir Jūsų WP svetainę nulaužė – kreipkitės į mus. Būdami vieni didžiausių hostingo paslaugų teikėjų Lietuvoje su WordPress svetainių saugumu susiduriame kiekvieną dieną, todėl pradėjome teikti “WP išvalymo” paslaugą. Sukaupėme daug patirties, pasiekėme gerų rezultatų, ir sukūrėme savo įrankį, kuris padeda kokybiškai “išvalyti” svetainę. Rezultatą vertiname taip – jei po “išvalymo” kenkėjiška veikla svetainėje neatsinaujino per 3 dienas, reiškia svetainė išvalyta. Įprastai, jei “virusas” vis dar yra, jis savo veiklą atnaujina per kelias minutes arba po dienos.