Обезопась свой блог!

Защита блога один из ключевых аспектов его успешного развития. И дело здесь не только в том, что у вас могут украсть контент, заблокировать работу блога, испортить системные файлы и так далее — ограничений в фантазии хакеров нет. У меня тоже был такой случай, когда сайт еще был на Народе — захожу, а вместо привычных страниц вижу картинку непотребного содержания. С тех пор я уделяю защите своих проектов особое внимание. Так вот, самое страшное не это — опасность в том, что если у вас сайт для бизнеса, то это может сильно ударить по кошельку, а потеря каких-либо важных данных из базы вообще поставить под удар дальнейшее ведение дела.

Обезопась свой блог!

Теперь давайте разберемся, от чего вообще надо защищать блог.

1. От спамеров.
Спам в комментария уже стал притчей во языцах. И чего только не придумывают, чтоб от него оградиться. Самым надежным способом является использование капчи.

2. От взлома путем подбора пароля.
Защита в этом случае многогранна — не использовать стандартное имя пользователя, генерировать сложный пароль, не показывать сообщение об ошибке ввода пароля, ограничить количество попыток ввода, блокировать потенциального взломщика. Это делается как при помощи плагинов, так и еще одним способом.

Создаем файл .htpasswd с содержанием:

# BEGIN Pass
htpasswd -mbc .htpasswd ИМЯ_Пользователя ПАРОЛЬ
# END Pass

где ИМЯ_Пользователя — ваш админский логин, Пароль — пароль.

Далее создаем файл .htaccess:

AuthUserFile /ПУТЬ К ФАЙЛУ .htpasswd
AuthType Basic
AuthName “Access_Control”
Require valid-user

где вместо «/ПУТЬ К ФАЙЛУ .htpasswd» нужно прописать системный путь от корня сервера к файлу .htaccess. Определить путь от корня поможет файл path.php

Кроме того, следует пользоваться самыми простыми но обычно несоблюдаемыми правилами — использовать надежный антивирус и не созранять свои пароли в памяти браузера или в файлах на компьютере. Заведите себе блокнот и записывайте все туда.

3. Защититься от XSS атак.
Для этого я покажу в одном из уроков хороший плагин.

4. От изменений файлов системы.
Для этого будем ставить плагин, отслеживающий все действия пользователей на сайте и следящий за изменениями файлов. Также без плагина сразу защитите от чтения любые файлы кроме тех, которые отвечают за внешнее оформление блога. Делается это так: в папках «wp-content» и «wp-includes» создается файл .htaccess и в нем прописывается код:

Order Allow,Deny
Deny from all
http://ВАШ_ДОМЕН.ru

Allow from all

5. От взлома через зашифрованный код в теме оформления.

6. От кражи пароля в момент передачи данных
Для этого поставим отдельный плагин, передающий логин и пароль в зашифрованном виде.

Защита блога без плагинов

Теперь давайте рассморим еще несколько основных способов защиты блога, кроме вышеперечисленных, которые нужно произвести во время или сразу же после его установки.

1. Логин администратора и префикс базы данных не должны быть стандартными. По умолчанию они выглядят как «Admin» и «wp_». Об этом знаю не только я, но и хакеры. О том, как их изменить отдельный урок.

2. Скрыть версию WordPress. Зная, какая версия системы у вас стоит, злоумышленнику легко подобрать тот или иной скрипт, который вскроет систему. Не давайте ему этих сведений. Подробнее в уроке про безопасность системы.

3. Если вы откроете файл wp-config.php, то увидите там такой код:

define('AUTH_KEY',         'впишите сюда уникальную фразу');
define('SECURE_AUTH_KEY',  'впишите сюда уникальную фразу');
define('LOGGED_IN_KEY',    'впишите сюда уникальную фразу');
define('NONCE_KEY',        'впишите сюда уникальную фразу');
define('AUTH_SALT',        'впишите сюда уникальную фразу');
define('SECURE_AUTH_SALT', 'впишите сюда уникальную фразу');
define('LOGGED_IN_SALT',   'впишите сюда уникальную фразу');
define('NONCE_SALT',       'впишите сюда уникальную фразу');

Это ключи безопасности WP, обязательно впишите в них длинный набор разнообразных символов — разный для каждого параметра. Сгенерировать их можно здесь.

4. Права для записи на папки и файлы должны быть «755» и «644», кроме тех, в которые идут постоянно запись, например в папку «uploads». Если же надо внести изменения в файлы, то рекомендую установить права «666» только на время редактирования, а потом вернуть на исходные.

5. Ограничить индексацию и доступ к основным служебным директориям и файлам системы.

Для этого во-первых, надо создать правильный robots.txt.
Во-вторых, в каждой папке, которую требуется закрыть, создать файл .htaccess и прописать в нем следующее (пример для файла в корневой папке):


order allow,deny
deny from all

ServerSignature Off

order allow,deny
deny from all

Options All –Indexes

После этого прописать код, разрешающий доступ к закрытым папкам с вашего IP.

Order Allow,Deny
Allow from 123.45.67.89

Вместо «123.45.67.89» должен быть Ваш IP адрес. Если он динамический, последнюю точку и число («.89») не ставьте.

Кроме описанных опасностей и способов защиты блога, существует множество других. По возможности обо всех них я постараюсь рассказать в последующих уроках.

А пока сегодня я покажу один отличный плагин, который оценит защиту блога WordPress, отследит происходящие изменения и проинформирует Вас о них по почте. Кроме того, плагин позволит не прибегая к phpmyadmin изменить префикс таблиц базы данных.

Называется он Website Defender.
И о подробной его установке и использовании смотрим внимательно получасовое видео.

[pwal id=»12853684″ description=»Чтобы посмотреть видеоурок, нажмите на одну из кнопок»]

[/pwal]

Защита блога WordPress: порядок установки плагина

  • Скачиваем и устанавливаем плагин Websitedefender WordPress Security
  • Регистрируемся на сайте Website Defender
  • Вписываем свой сайт и скачиваем специальных файл для привязки аккаунта к Вашему блогу
  • Загружаем этот файл в корень сайта
  • Нажимаем test и тем самым активируем плагин
  • Заходим в меню плагина в админке блога и настраиваем параметры для защиты блога.
Оцените статью