Обезопась свой блог!

Защита блога один из ключевых аспектов его успешного развития. И дело здесь не только в том, что у вас могут украсть контент, заблокировать работу блога, испортить системные файлы и так далее — ограничений в фантазии хакеров нет. У меня тоже был такой случай, когда сайт еще был на Народе — захожу, а вместо привычных страниц вижу картинку непотребного содержания. С тех пор я уделяю защите своих проектов особое внимание. Так вот, самое страшное не это — опасность в том, что если у вас сайт для бизнеса, то это может сильно ударить по кошельку, а потеря каких-либо важных данных из базы вообще поставить под удар дальнейшее ведение дела.

защита блога wordpress

Теперь давайте разберемся, от чего вообще надо защищать блог.

1. От спамеров.
Спам в комментария уже стал притчей во языцах. И чего только не придумывают, чтоб от него оградиться. Самым надежным способом является использование капчи.

2. От взлома путем подбора пароля.
Защита в этом случае многогранна — не использовать стандартное имя пользователя, генерировать сложный пароль, не показывать сообщение об ошибке ввода пароля, ограничить количество попыток ввода, блокировать потенциального взломщика. Это делается как при помощи плагинов, так и еще одним способом.

Создаем файл .htpasswd с содержанием:

# BEGIN Pass
htpasswd -mbc .htpasswd ИМЯ_Пользователя ПАРОЛЬ
# END Pass

где ИМЯ_Пользователя — ваш админский логин, Пароль — пароль.

Далее создаем файл .htaccess:

AuthUserFile /ПУТЬ К ФАЙЛУ .htpasswd
AuthType Basic
AuthName “Access_Control”
Require valid-user

где вместо «/ПУТЬ К ФАЙЛУ .htpasswd» нужно прописать системный путь от корня сервера к файлу .htaccess. Определить путь от корня поможет файл path.php

Кроме того, следует пользоваться самыми простыми но обычно несоблюдаемыми правилами — использовать надежный антивирус и не созранять свои пароли в памяти браузера или в файлах на компьютере. Заведите себе блокнот и записывайте все туда.

3. Защититься от XSS атак.
Для этого я покажу в одном из уроков хороший плагин.

4. От изменений файлов системы.
Для этого будем ставить плагин, отслеживающий все действия пользователей на сайте и следящий за изменениями файлов. Также без плагина сразу защитите от чтения любые файлы кроме тех, которые отвечают за внешнее оформление блога. Делается это так: в папках «wp-content» и «wp-includes» создается файл .htaccess и в нем прописывается код:





Order Allow,Deny
Deny from all
http://ВАШ_ДОМЕН.ru
<Files ~ ".(css|jpe?g|png|gif|js|swf)$">
Allow from all
</Files>

5. От взлома через зашифрованный код в теме оформления.

6. От кражи пароля в момент передачи данных
Для этого поставим отдельный плагин, передающий логин и пароль в зашифрованном виде.

Защита блога без плагинов

Теперь давайте рассморим еще несколько основных способов защиты блога, кроме вышеперечисленных, которые нужно произвести во время или сразу же после его установки.

1. Логин администратора и префикс базы данных не должны быть стандартными. По умолчанию они выглядят как «Admin» и «wp_». Об этом знаю не только я, но и хакеры. О том, как их изменить отдельный урок.

2. Скрыть версию WordPress. Зная, какая версия системы у вас стоит, злоумышленнику легко подобрать тот или иной скрипт, который вскроет систему. Не давайте ему этих сведений. Подробнее в уроке про безопасность системы.

3. Если вы откроете файл wp-config.php, то увидите там такой код:

define('AUTH_KEY',         'впишите сюда уникальную фразу');
define('SECURE_AUTH_KEY',  'впишите сюда уникальную фразу');
define('LOGGED_IN_KEY',    'впишите сюда уникальную фразу');
define('NONCE_KEY',        'впишите сюда уникальную фразу');
define('AUTH_SALT',        'впишите сюда уникальную фразу');
define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
define('LOGGED_IN_SALT',   'впишите сюда уникальную фразу');
define('NONCE_SALT',       'впишите сюда уникальную фразу');

Это ключи безопасности WP, обязательно впишите в них длинный набор разнообразных символов — разный для каждого параметра. Сгенерировать их можно здесь.

4. Права для записи на папки и файлы должны быть «755» и «644», кроме тех, в которые идут постоянно запись, например в папку «uploads». Если же надо внести изменения в файлы, то рекомендую установить права «666» только на время редактирования, а потом вернуть на исходные.

5. Ограничить индексацию и доступ к основным служебным директориям и файлам системы.

Для этого во-первых, надо создать правильный robots.txt.
Во-вторых, в каждой папке, которую требуется закрыть, создать файл .htaccess и прописать в нем следующее (пример для файла в корневой папке):

<files .htaccess>
order allow,deny
deny from all
</files>
ServerSignature Off
<FilesMatch ^wp-config.php$>
order allow,deny
deny from all
</FilesMatch>
Options All –Indexes

После этого прописать код, разрешающий доступ к закрытым папкам с вашего IP.

<Files wp-login.php>
Order Allow,Deny
Allow from 123.45.67.89
</Files>

Вместо «123.45.67.89» должен быть Ваш IP адрес. Если он динамический, последнюю точку и число («.89») не ставьте.

Кроме описанных опасностей и способов защиты блога, существует множество других. По возможности обо всех них я постараюсь рассказать в последующих уроках.

А пока сегодня я покажу один отличный плагин, который оценит защиту блога WordPress, отследит происходящие изменения и проинформирует Вас о них по почте. Кроме того, плагин позволит не прибегая к phpmyadmin изменить префикс таблиц базы данных.

Называется он Website Defender.
И о подробной его установке и использовании смотрим внимательно получасовое видео.

Защита блога WordPress: порядок установки плагина

  • Скачиваем и устанавливаем плагин Websitedefender WordPress Security
  • Регистрируемся на сайте Website Defender
  • Вписываем свой сайт и скачиваем специальных файл для привязки аккаунта к Вашему блогу
  • Загружаем этот файл в корень сайта
  • Нажимаем test и тем самым активируем плагин
  • Заходим в меню плагина в админке блога и настраиваем параметры для защиты блога.

Поделись этой статьей с друзьями!

Это будет интересно прочитать:

  • Интересная и полезная статья, тем более с видео уроком! У меня так же блог на WordPress, поэтому очень будет полезен Ваш ресурс, особенно для меня как начинающего в этом направлении!

    • Спасибо! Желаю успешного развития вашего проекта вместе с нашими уроками!

  • Здравствуйте Александр!
    Ваша замечательная статья и видео-урок очень помогли. К сожалению о защите пришлось задуматься уже после того как взломали мой сайт.(((
    У меня возникла такая проблема, установила плагин Websitedefender WordPress Security и теперь не могу вносить изменения в редакторе. Приходят письма на почту, расценивается как попытка взлома. Пробовала деактивировать плагин, но любые манипуляции с кодом безрезультатны. В чем может быть дело? Возможно права где-то нужно прописать? Надеюсь на вашу помощь! Заранее благодарю за ответ.

    • Возможно, конфликтует с каким-то другим плагином. Возможно что-то в его настройках не то. Вы его деактивировать в итоге смогли? Есть резервная копия Базы Данных без него?

      • Плагин в статусе деактивирован, но изменения все-равно не могу вносить в редакторе, сразу письмо приходит на почту о попытке взлома. После попытки обновить файл перебрасывает просто на главную страницу сайта.Резервная копия есть. А как вы думаете, если удалить плагин из корневой папки, это может помочь???

        • Да, можете просто по ftp удалить, он автоматически деактивируется. А можно еще на сайте плагина свой сайт убрать из аккаунта

Добавить комментарий