В уроке 83, я уже писал, о защите блога, но этого оказалось недостаточно. Не так давно мой блог взломали с помощью подбора пароля. Если Вы примените способ защиты, который я описываю в этом уроке, то Ваш блог уже точно не взломают.
Но есть еще более надежный способ, который я описал в уроке 199. В этом уроке описано, как сделать вход на сайт по двойной аутентификации, с помощью приложения «Google Authenticator» и плагина «Google Authenticator For WordPress»
Существуют готовые хакерские программы, которые можно подключить к определенному ресурсу и ждать, когда программа подберет пароль. Если ничего не предпринять, то пароль будет взломан. Точно так подобрали пароль к моему блогу. Читайте еще на эту тему, как скрыть, или подменить версию WordPress
Можно этого всего избежать, если регулярно менять пароль на блоге, но об этом можно забывать. Если Вы примените способы, которые я опишу в этом уроке, то на Ваш блог невозможно будет войти даже в случае подбора пароля. Здесь я опишу и третий способ, но применять его или не – решать Вам. Я применяю все три способа на своем блоге. Итак, перейдем к практическим действиям.
Первый шаг защиты от взлома: изменяем ссылку ко входу в админку…
Первый и простой шаг защиты блога от взлома. Найдите на хостинге файл wp-login.php и переименуйте его в любое другое название, например 4gw28hr56m8e.php. Теперь этот файл надо отредактировать.
Откройте новый переименованный файл 4gw28hr56m8e.php (старый wp-login.php ), найдете в нем все записи wp-login.php и переименуйте на 4gw28hr56m8e.php. Если не ошибаюсь, записей всего 13.
Теперь в файле wp-includes/general-template.php также замените все записи wp-login.php на 4gw28hr56m8e.php. Для редактирования файлов, пользуйтесь редактором Notepad++
Теперь надо ограничить доступ к файлу wp-login.php. Добавьте в файл .htaccess, который находится в корневом каталоге, следующий код:
1 2 3 4 |
<Files wp-login.php> Order Deny,Allow Deny from all </Files> |
Возможно Вы подумайте: зачем вписывать в первую строку кода файл wp-login.php, если его по сути уже нет? При множестве запросов выдает 404 ошибку (404 страницу), что вызывает большую нагрузку на сервер. Чтобы избежать этой проблемы, надо добавить код выше в файл .htaccess. Теперь вместо 404 ошибку при запросах к панели администратора будет выдаваться 403 ошибка, что не вызывает никакой нагрузки на сервер.
Шаг второй: доступ к сайту по доверенному IP
Теперь мы сделаем некоторые настройки, и к Вашему сайту будет доступ возможен только по доверенному IP адресу. В папке wp-admin на хостинге, создайте файл .htaccess и добавьте в него следующий код:
1 2 3 |
Order Deny,Allow Deny from all Allow from ххх.ххх.ххх.ххх |
Вместо ххх.ххх.ххх.ххх в последней строчке кода, надо вписать номер Вашего IP. Узнать свой IP, Вы можете по этой ссылке http://internet.yandex.ru/. Теперь к Вашему блогу доступ будет закрыт для всех, кроме Вас. Даже, если человек будет знать пароль, он все равно не войдет.
Если у Вас динамический IP, то желательно его сменить на статический, чтобы постоянно не дописывать новый адрес в файл .htaccess. Обратитесь к своему провайдеру, он подскажет, как сделать статический ай пи. У меня адрес постоянно меняется, поэтому приходится часто редактировать файл .htaccess. Если Вы хотите кому-то еще разрешить доступ к своему блогу, то надо дописать еще одну строчку с номер IP. Allow from ххх.ххх.ххх.ххх.
Шаг тритий, плагин Login Security Solution.
Шаг третий для защиты блога от взлома необязательный, но желательно применить и его. Как я писал выше, надо менять иногда пароль от блога, для большей безопасности. Но менять пароль часто бывает лень или можно забывать это делать. Поэтому я советую установить плагин Login Security Solution, который значительно повысит безопасность Вашего блога. Я не буду описывать, как его настраивать, а только опишу его возможности.
1. Даже, если Вы авторизованы и находитесь на блоге, то при попытке Войти в панель администратора другим человеком, будет все равно запрашиваться пароль для входа.
2. На Вашу почту придет предупреждение, если кто-то будет подбирать пароль к блогу. Можно задать, через какое количество неудачных попыток будет отправляться предупреждение.
3. Можно задать, какой минимальной длины должен быть пароль. Если Вы захотите сменить пароль, и создадите новый пароль менее 20 символов, то получите предупреждение, что пароль должен содержать более 20 символов. Число символов задается в параметрах пароля.
4. Если на Вашем сайте много зарегистрированных пользователей, то Вы можете одним щелчком мыши выслать им предупреждение об обязательной смене своего пароля.
5. Обычно мы забываем выйти из авторизации своего блога. Но это можете за нас сделать плагин Login Security Solution. Можно задать в параметрах, через какое время произойдет автоматический выход. Эта функция полезная, но не очень удобная. Если Вы пишите статьи прямо в блоге, то может произойти автоматический выход, тогда можно потерять не сохраненный текст. В этом случае можно задать большее время для выхода из авторизации или на время отключать эту функцию в параметрах, а потом включать.
6. Возможность задать, через какое количество дней будет появляться запрос о смене пароля. В этом случае, Вам придется, хотите Вы того или нет, сменить пароль на блоге.
При попытке взлома, на Ваш почтовый ящик придет предупреждение такого вида:
Your website, , is undergoing a brute force attack.
There have been at least 10 failed attempts to log in during the past 120 minutes that used one or more of the following components:
Component Count Value from Current Attempt
———————— —— ———————————
Network IP 10 175.126.62
Username 10 Yuriy
Password MD5 1 1986646b0e6997527870546031384f30 The Login Security Solution plugin (0.42.0) for WordPress is repelling the attack by making their login failures take a very long time. This attacker will also be denied access in the event they stumble upon valid credentials.
Further notifications about this attacker will only be sent if the attack stops for at least 120 minutes and then resumes.
Это я показал живой пример, когда хотели взломать мой блог. Такое сообщение мне пришло на почту. Здесь показано: номер IP злоумышленника; какой он пытался вводить логин для попытки взлома, а также пароль.
Плагин имеет и другие настройки, о которых я здесь не упомянул. Устанавливать его или нет — дело Ваше. На этом все. До встречи в следующих уроках.
P.S. Если Вы думаете, что защита на блоге не обязательна, тогда почитайте реальную историю: http://networkjob.ru/moshennichestvo-v-seti/bespechnost-podruga-bedy.html
____________________
К уроку 120. Как создать одностраничник (страницу захвата)
Здравствуйте, Зинаида! Я у себя не переименовывал, но переименовать конечно можно
Здравствуйте Юрий! Очень полезная информация на вашем блоге. Мне она очень помогла. Но возник один вопрос: после переименования файла wp-login.php нужно ли переименовывать wp-login.php в robots txt? Спасибо.
Каждая отдельная веб-страница имеет свой вес, даже, если она только что создана. Со временем ее вес увеличивается, но тут играет роль перелинковка, ведущие на нее ссылки с других ресуросов и оптимизациия.
Есть такая характеристика, как «Вес сайта». Бьюсь над сиим вопросом. Сколько данный зверь весит? Обилие плагинов — минус к строчкам в Яндексе (старшие ребята во дворе рассказали)
Код вставляйте вначале файла. А файл .htaccess не имеет расширения
Order Deny,Allow
Deny from all
подскажите данный код вставлять куда — в начало или в конце файла? И еще вопрос файл .htaccess я создаю на компьютере, а разрешение какое php? Спасибо
Согласен, что один ip подойдет не всегда, но после того, как мой блог взломали, я этим методом не перестаю пользоваться, хотя у меня ip динамический. А чем блог больше раскрученный, тем больше желающих его взломать. Да и в принципе, что мешает поменять ip в другом месте? Не вижу особых проблем.
Насчет защиты wp-admin разрешением одного айпишника категорически несогласен. Что если он динамический, что если вдруг придется заходить с другого места? Не надо так. Я смотрю в сторону Better WP Security, в нем много полезных возможностей, в том числе и как у описанного плагина (лучше погуглить, тему длинной статьи в комменте не изложишь). Спасает меня от разного рода брутов, хотя блог молодой.
Да, теперь к вашему блогу доступ будет практически невозможно получить.
Спасибо, действительно очень полезная статья!
У меня раньше тоже стоял другой плагин, но с тем плагином блог взломали. Если бы стоял плагин описанный в этом уроке, то вряд ли бы им получилось так просто взломать блог.
Спасибо за полезную информацию. Особенно про плагин. У меня пока стоит другой. Подумаю об его замене на описанный Вами.