Привет всем! В этом уроке Вы узнает, как защитить блог от взлома. Я не буду писать о вреде вирусов, о которых Вы знаете лучше меня. Я дам только несколько советов, которые помогут Вам защитить свой блог. После прочтения этого урока, обязательно почитайте урок 119.Читал и я и не раз, что блоги подвергались взлому, а недавно и мой блог взломали. С какой целью они это делают, можно только догадываться. Также узнал, что сайт на WordPress еще легче взломать, чем на других движках.
После того, как прочтете этот урок, обязательно узучите урок 199. Вы узнаете, как с помощью плагина Google Authenticator можно защитить надежно свой блог от взлома. Такую защиту применяют некоторые платежные системы, например, Webmoney.
Как защитить блог от взлома?
1. Для соединения с сайтом через FTP, не храните пароль в учетной записи FTP-соединении. Это важный момент, и отнестись к нему нужно серьезно. Читайте, как скрыть, или подменить версию WordPress
2. Меняйте регулярно логин и пароль на блоге (не каждый день, но меняйте). Регулярное изменение логина и пароля на блоге, значительно увеличит защиту от взлома. В панели администратора, изменить логин нельзя, но ка это сделать, Вы узнаете чуть ниже.
Зайдите в свой профиль в панели администратора на Вашем блоге и смените пароль. Вводите пароль с буквами большого и маленького регистра, а так же введите символы и цифры, например: %ey$jh*&^.;iIU(5$657JDFJj. Такой пароль будет гораздо тяжелее взломать. Но свой логин сменить нельзя. Логин мы изменим через сПанель (контрольную панель) на хостинге.
Логин можно сменить в базе данных Вашего блога. Перед тем, как делать изменения в базе данных, сделайте ее резервную копию! Как сделать резервную копию базы данных, можно прочитать в уроке 12. Зайдите в сПанель на Вашем хостинге и найдите там пункт PhpMyAdmin.
Вы перейдете в панель управления базами данных. Щелкните по базе данных. У меня она называется dvpress_war00 (26).
Потом нужно щелкнуть с левой сторорны внузу wp-users:
Здесь Вы увидите свой логин и пароль.
- Ваш пароль для входа в панель администратора на блоге
- Это Ваш логии
- Щелкните по карандашу, чтобы изменить Ваш логин. Возможно для редактирования логина будет вместо карандаша, кнопка «изменить» или что-то вроде этого. Посмотрите внимательно.
После щелчка по «карандашу«, Вы увидите таблицу, где можете изменить логин и пароль для входа на блог.
После того, как смените логин, нажмите ОК.
Теперь, надо ввести свой новый логин и новый пароль. Если Вы забудете свой логин и пароль, то смело можете заходить в PhpMyAdmin и посмотреть Ваши данные для входа на блог.
Неплохо было бы сменить пароль на самом хостинге для входа в сПанель. Что толку, если логин и пароль на блог тяжело подобрать а в Вашу сПанель легко?
Для этого войдите в сПанель на Вашем хостинге и щелкните по пункту «Сменить пароль».
В появившемся окошке введите старый пароль, а потом новый два раза.
У Вас это может выглядеть немного иначе, но смысл такой же.
Введие пароль, чтобы он был сложный. Желательно ввести буквы верхнего и нижнего регистра, символы (если можно) и цифры.
Вводить нужно длинный пароль, т. е. сложный, символов 20-25.
Рассмотрим еще несколько способов защиты блога от взлома.
- Создайте пустой файл index.php. Скопируйте на Ваш блог в следующие папки /plugins/, /wp-includes/, /wp-content/.
Это нужно для того, чтобы злоумышленники не смогли узнать дополнительгную информацию о сайте. Если у Вас не будет в этих папках файл index.php, то можно будет узнать, каке файлы там находятся, если набрать http://ваш_сайт.ру/plugins и т. д.
Правда это не совсем так. Сервер, на котором расположен мой блог не дает возможности просмотреть вложенные файлы в папке. Если Ваш сервер позволяет просматривать вложенные файлы, тогда добавьте пустой файл inbdex.php в эти три папки, о которых я писал выше.
Для проверки, все ли Вы правильно сделали, перейдите по адресу: Ваш_сайт.ру/plugins и остальные две папки тоже проверьте. Должна открыться пустая страница index.php. Вы должны увидеть пустой экран на мониторе.
2. После установки WordPress на хостинг нужно в обязательном порядке ввести уникальные ключи в файле wp-config.php. Об этом написано в уроке 4.
Защита блога с помощью файла .htaccess
1. Сделайте резервную копию файла .htaccess. Можно его заархивировать и оставить архив в корне блога. Добавьте в файл следующие коды:
|
1 2 3 4 5 |
#Защищаем .htaccess файл <files .htaccess=""> order allow,deny deny from all </files> |
При запросе этого файла будет выдаваться ошибка 403 (доступ запрещен). Таким образом мы запретили доступ к файлу .htacces.
2. Еще одна защита блога. Этот код защитит сайт от scripts enjection и нежелательных модификаций _REQUEST и/или GLOBALS:
|
1 2 3 4 5 6 7 8 9 10 11 12 |
#Включаем отслеживание сим-ссылок Options +FollowSymLinks #Запускаем url_rewriting RewriteEngine On #Блокируем все ссылки, содержащие <script> RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR] #Блокируем все скрипты, которые пытаются изменить переменные PHP Globals: RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR] #Блокируем все скрипты, которые пытаются изменить переменную _REQUEST: RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2}) #Перенаправляем все подобные на страницу с ошибкой 403 — запрещено RewriteRule ^(.*)$ index.php [F,L] |
3. Заблокируем нежелательных User Agents. Вставив этот код, мы заблокируем User Agent, которые быть опасными для блога или перегружать сервер запросами.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 |
#Блокируем плохих ботов и роботов SetEnvIfNoCase user-Agent ^FrontPage [NC,OR] SetEnvIfNoCase user-Agent ^Java.* [NC,OR] SetEnvIfNoCase user-Agent ^Microsoft.URL [NC,OR] SetEnvIfNoCase user-Agent ^MSFrontPage [NC,OR] SetEnvIfNoCase user-Agent ^Offline.Explorer [NC,OR] SetEnvIfNoCase user-Agent ^[Ww]eb[Bb]andit [NC,OR] SetEnvIfNoCase user-Agent ^Zeus [NC] <limit get="" post="" head=""> Order Allow,Deny Allow from all Deny from env=bad_bot </limit> |
4. Важно! Создайте в папке wp-admin файл .htaccess, если его нет. Вставьте в него следующий код:
|
1 2 3 |
Order Deny,Allow Deny from all Allow from XXX.XXX.XXX.XXX |
Где вместо xxx.xxx.xxx.xxx надо вписать свой IP. Узнать свой IP, Вы можете по этой ссылке: http://internet.yandex.ru/. Теперь доступ к панели администратора будет иметь один человек — Вы. Если у Вас динамический IP, то этот вариант не подойдет, или надо в настройках подключения к интернету установить статический IP.
Теперь, если захотят подобрать пароль к Вашему блогу, будет появляться ошибка 403 при попытке взлома.
В админку нельзя будет войти даже в том случае, если подберут пароль и логин. Повторю, что войти можно будет только с одного IP!
Защита блога от взлома с помощью плагинов
1. Плагин Login LockDown, или Simple Login LockDown ограничивает число попыток для входа в панель администратора Вашего блога. У меня установлен второй. Этот плагин почему-то пользуется большей популярностью.
В настройка плагина можно настроить количество попыток для входа, а так же время между попытками.
2. Плагин WordPress File Monitor информирует об изменениях в файлах Вашго блога. Сообщения об изменениях буду приходить на Вашу почту и выводиться в админпанели.
Не обязательно, чтобы плагин был активирован постоянно. Его достаточно активировать только для проверки, а потом можно отключить.
3. Плагин WP Security Scan сканирует блог и показывает слабые, т. е. уязвимые места на Вашем блоге.
4. Плагиг Hide Login. После установки этого плагина, можно задать новый адрес для входа в панель администратора. По умолчанию адрес .
Существуют еще разные методы защиты от взлома, но они у меня не работают, поэтому о них я и не написал. Скорее всего эти методы и у Вас не будут работать.
Например, можно скрыть от других версию WordPress. Я пробовал эту фишку, но она не работает должным образом.
Все способы защиты, которые я описал в этом уроке можно применить на практике, но какие из них более полезны — решать Вам.
Плагины реально нагружают запросами сервис, что может привести к перегрузке блога. Из-за этого временами может быть блог недоступен, что и происходило недавно с моим блогом.
Это я к тому, что не следует увлекаться плагиинами. Мне пришлось обратиться в службу поддержки, чтобы мой блог оптимизировали.
Мне реально помогли и результатом я вполне доволен. Так, что думайте, нужны Вам дополнительные плагины для безопасности блога, или нет.
Посмотреть использование ресурсов Вашего блога можно в сПанели на Вашем хостинге.
Если Вы знаете еще способы защиты от взлома, напишите в комментариях.
Роман, а почему вы установили всего 5 плагинов для защиты, а не 10? Можно блог хорошо защитить и без плагинов, если на то пошло. Советую почитать статью «Как защитить блог в два простых шага«. Я только что заходил на ваш блог , там действительно есть чему «поучиться»
Плохо, когда едва понимающий о чем речь человек, начинает учить.
Почему не поступить проще — не умеешь, заплати деньги умеющему, он и сделает и научит.
Нет денег — сделай сам, но не лезь в дебри. ВП для этого подходит великолепно. Десяток плагов, правильно установленных, все сделают за вас и нагрузка будет едва ли намного больше, чем без них.
У меня 5 плагов безопасности и три из них включаются лишь на пять минут в сутки/неделю. Все прекрасно работает. Вероятность взлома есть, тут никуда, но зато все ставится быстро и легко. А работает вообще песня…
пс: переболел и я этими хуками/сниппетами, настройкой конфигов и изменением файлов… и не на одном движке. Поверьте — это для людей увлеченных и образованных по данной тематике, а остальным… так, побаловаться. Оно конечно работать будет…но не все и не всегда и …
пс: правильно заполненные файлы рobots.txt и .htacces, да пяток сниппетов, поставленных через плагин — это все, куда стоит лезть. Ну и в css можно через плаг влезть, слегка чёнить поправить.
вот обновил блог,вроде без ошибок,сейчас к описанной здесь защите приступлю,а то влезли недавно,похоже через тотал,теперь только через файлзиллу захожу!!
Нельзя оставлять пароль в FTP клиенте для большей безопасности. Надо пароль вводить вручную.
Может чего делаете не так с файлом function.php, поэтому блог перестает работать
Не могу понять, что с моим блогом — любые попытки внести изменения в файл function.php приводят к прекращению доступа к админке, а вместо вместо блога появляются три строчки знаков вопросов. Также в админке пропало уведомление о новых версиях вордпресса. Это как-то можно исправить или придется все переустанавливать?
Юрий, Вы прямо к атомной войне готовы! 🙂 Ну, вообще, молодец, толковые методы, правда не уверен, что хоть один из них мне помог бы, у меня несколько блогов, один из них уже популярный тревел-блог. Вот его уже несколько раз не то, чтобы взламывали, но закидывали в основной каталог в одну из папок 1000 html страниц про всякую всячину. Засек, увидев кривые запросы явно не по теме моего блога. А, кстати про защиту… Надо упомянуть про файл robots.txt и .htaccess — при их грамотной настройке у хакеров меньше шансов. 🙂 И кстати, приглашаю Вас к себе в новый паблик — , где собираюсь постить, не только себя и свои мысли, но и толковые и интересные статьи коллег! Пошел постить эту статью! 😉
Да, про файл robots.txt и .htacces я не писал. Мне кажется, что и теми методами, что я описал мало кто будет пользоваться. Вот когда блог взломают, тогда будут пользоваться всеми методами. Спасибо за подсказку. Я потом обязательно допишу. А к атомной войне и вправду надо быть готовым всегда:). Спасибо за приглашение в паблик. Обязательно зайду!
Абсолютно с Вам согласен, Анна. Самому пришлось недавно отключить чуть ли не половину плагинов.
Проблема. И защититься хочется, и плагинов не хочется ставить много. Нужно искать золотую середину
Юрий! Вы как всегда вовремя. Только вчера подумала, что нужно сменить свой логин на блоге. Сама не смогла, помогли на хостинге администраторы. Теперь тоже буду знать. В следующий раз попробую поменять сама.Спасибо