защита и безопасность wordpress

Приветствую вас дорогие друзья. В этой статье я продолжу тему по защите и безопасности WordPress от попыток взлома его злоумышленниками, хакерами и всеми теми, у кого умерла совесть. Но для начала давайте с вами разберемся, как же хакеры взламывают сайты, блоги не особо тратя на это время. Всему бедой разнообразные вирусы, которые воруют с компьютера информацию в частности с браузеров.

В браузере хранится вся история, какие вы сайты посещали, какие вы вводили логины и пароли для авторизаций на них и т.д. Если в вашем браузере сохранятся пароли от вашей админки, то можете попрощаться со своим блогом, так как его больше ничего не защищает от нелегального проникновения. Также помимо вирусов, которых полным-полно есть еще и специальные программы шпионы.

Они записывают все ваши действия на компьютере начиная от того на какие вы клавиши нажимали на клавиатуре заканчивая скриншотами (картинками) и видеозаписями. Вы, конечно, можете не поверить в это, ведь любую программу надо сначала установить и запустить, чтобы она заработала. Но по правде если вы устанавливали, когда-то какую-нибудь игру или программу, например мр3 плеер, то в тоже время, когда вы ее устанавливали, устанавливалась и эта программа.

защита wordpress

Ведь в наше время за все надо платить за те же фильмы, игры и т.д, но их взламывают и выкладывают в интернет, чтобы в один прекрасный день, что-нибудь вкусненькое украсть с вашего компьютера. Поэтому по возможности скачивайте все, что вам нужно только с сайтов разработчиков, а не с варезных сайтов. Помимо всего этого хакеры могут найти дыру в вашем блоге очень легко зная ее версию.

Если вы долгое время не обновляли движок, то хакеру даже извилины напрягать не придется, так как он просто пойдет в Google и наберет в нем что-то подобное: как взломать WordPress версия 2.9.2, слабые места WordPress 3.2.1, брешь в защите и безопасности WordPress, и Google в этом ему отлично поможет. Это кстати относится и к плагинам, их тоже нужно своевременно обновлять! Ну и напоследок хакеры могут просто провести DOS атаку на ваш хостинг.

Тут уж все зависит, от того насколько хорошую и надежную компанию вы выбрали. Это можно легко понять по цене, которую вы оплачиваете каждый месяц за свой сайт. Что ж с основными способами обхода защиты и безопасности WordPress мы разобрались, осталось только их предотвратить, следуя простым правилам, которые я расписал для вас ниже.

 

Базовые советы по защите и безопасности WordPress.

1) Поменяйте свой логин Admin на что-нибудь другое. Любой хакер знает, что при установке движка WordPress  у него по умолчанию всегда стоит логин Admin. Ему, по сути, осталось только подобрать пароль, чтобы взломать ваш блог, так что менять его нужно обязательно! Чтобы изменить логин зайдите в вашу базу данных phpMyAdmin, нажмите на название вашей базы и из выпадающего списка нажмите на wp_users. Тут нажмите на карандаш и замените везде, где написано Admin на что хотите. Потом нажмите ОК. Кстати не рекомендую вам делать логин, который бы напоминал ваше имя или вообще был им.

защита и безопасность wordpress

2) Поменяйте свой пароль на очень сложный состоящий из чисел, символов, букв, в разном регистре с спец знаками и пробелами из 15-25 символов. Для этого можно использовать этот сайт. Как сгенерируйте, сохраните его у себя на компьютере, чтобы не забыть, потом зайдите в админку блога. Как зайдете в левом меню нажмите «пользователи» «ваш профиль» и внизу вставьте в двух местах ваш пароль и нажмите «обновить профиль».

3) Вы наверно уже заметили, что когда вы отвечает на комментарии, у вас вместо вашего имени отображается логин от админки. Это очень плохо, быстро заходим снова  в «пользователи» «ваш профиль» и в двух местах «Ник» и «Имя» вписываем ваше реальное имя. Потом во вкладке «отображать как» выбираем ваше имя.

защита wordpress4) Иногда при публикации статьи после нее идет строка, кто ее опубликовал вместе с логином. Это, как и в предыдущем пункте тоже очень плохо. Чтобы ее удалить с сайта сначала выделите ее, кликните правой мышкой и выберите «посмотреть код элемента». Тут вы увидите код, который отображает эту надпись, запомните ее. Теперь идем во «внешний вид» «редактор» и удаляем этот код с файла под название одна запись (single.php). Это строчка так же может быть и в шаблоне страницы (page.php) и в основном шаблоне (index.php).

5) Если вы ведете свой сайт не один или позволяете своим посетителям, что-то писать в ваш блог, то позаботьтесь об их привилегиях, то есть правах. Это даст вам возможность контролировать то, что пользователи могут и чего не могут делать на вашем сайте, блоге.

6) Измените стандартный вход в адмику WordPress http://ваш сайт /wp-login.php или http://ваш сайт/wp-admin. Для этого попросите вашего хостинг-провайдера поменять его или воспользуйтесь плагином Lockdown WP Admin, который умеет это делать.

7) Установите себе плагин Antivirus. Он проверяет все файлы вашей темы на наличие вредоносного кода, который может быть потайным ходом для хакеров.

8) Никогда не храните ваши пароли и логины в программе FTP!  Дано когда я был новичком, я поставил в настройках, чтобы он запоминал данные для подключения к сайту, чтобы мне не приходилось их вводить каждый раз. Через какое-то время мой сайт подловил вирус и я убил целых 4 дня, чтобы более чем из 400 файлов удалить вредоносный код. Так что при каждом заходе вводите данные вручную!

9) При заходе в адмику блога браузер иногда спрашивает, сохранять ли пароль, чтобы в будущем его не вводить больше. Всегда нажимайте, нет! Этот метод помешает злоумышленникам обойти защиту и безопасность WordPress, которую мы настроили.

10) Установите себе на компьютер два антивирусника Dr.Web и любой другой на ваш вкус. Dr.Web хорош тем, что он очень хорошо находит вирусы именно с интернета. Кстати  он платный, но можно им пользоваться и бесплатно, в таком случае им разрешено пользоваться как сканером. То есть время от времени вам нужно будет проверять свой компьютер на наличие вирусов, сам он этого делать не будет. Кстати поэтому я и написал, что лучше сразу два антивирусника поставить.

безопасность wordpress

Дополнительные  методы по защите и  безопасности блога на WordPress.

1) Установите себе плагин Login LockDown или Limit Login Attempts, о которых я писал в своей первой части по защите и безопасности WordPressЭти плагины ограничивают количество попыток взломать ваш сайт. Помимо всего этого они могут значительно сократить запросы к вашему сайту, блогу со стороны хакеров, тем самым не дав ему упасть (отключиться от сети).

2) Ограничьте права доступа к файлам и папкам на вашем блоге. Для этого выставьте права для всех папок 755 и для всех файлов 644. Это действие не даст чужим дядям лазить по папкам вашего сайта. Если что права настраиваются в программе FTP, просто нажмите на папку, кликните правой мышкой и выберите «права доступа к файлу».

3) Если хотите вы можете скрыть сообщение об ошибке при неправильном вводе данных в админке. Для этого зайдите во «внешний вид» «редактор» и откройте файл функции темы (function.php) и добавляем к нему следующий код: [php]add_filter ('login_errors',create_function ('$a', «return null;»));[/php]

4Установите себе плагин WordPress file Monitor он мониторит ваш блог, и следит за изменениями, которые были произведены в файлах блога.

5) В корне вашего блога (папка httpdocs или public_html , www, domains) удалите файлы readme.html и license.txt.  В них прописана версия движка и много чего остального. Не бойтесь их удалять это всего лишь документаций никак не связанные с работой WordPress.

6) Установите себе плагин Database BackUp, который делает резервные копирование (бэкап) вашей базы данных. Если даже ваш блог взломают вы сможете потом все восстановить из старой копии. Также время от времени делайте резервные копии файлов вашего сайта. Об этой услуге вы можете попросить вашего хостера.

7) Зайдите во «внешний вид» «редактор» и в файле заголовок (header.php) удалите следующий код <meta name="”generator”" content="”WordPress" />” /&gt; он показывает версию движка WordPress.

8)  Почаще обновляйте ваш блог WordPress до последней версии, а также плагины. Последняя версия WordPress всегда содержат исправленные ошибки в системе безопасности.

9)  Если вас часто атакуют, обратитесь к своему хостеру, думаю, равнодушными они к вам не останутся.

Но вот, по сути, и все, конечно можно было еще и в файле htaccess поковыряться, но лучше этого не делать. Что же теперь можете спать спокойно, так как защита и безопасность WordPress выполнена на все 100%. Если даже кто-то и захочет взломать ваш блог, то он, скорее всего, передумает, когда увидит, что мы ему там подготовили ^_^

Похожие публикаций:

Самые лучшие книги по HTML, JavaScript, CSS, PHP, MySQL, для начинающего веб-мастера.
Как создать новую тему обсуждения на форуме?
Как за 5 минут сделать копию своего сайта и базы данных MySQL?

Поделиться с друзьями и коллегами.

Система Orphus
  1. serg:

    Хорошая статья. По поводу WP очень грамотно разжевано, единственное не ясно зачем убивать 4 дня для проверки 400 файлов, если определенный софт например varvara делает это за несколько минут.

    • Макс:

      Это было давно, и я тогда еще не был таким технарем.

Прокомментировать

Сергей Журавлев – автор блога firstprize.ru, вольный SEO специалист, вебмастер, Web-разработчик на WordPress и человек-оркестр с опытом в некоторых других областях. Личное кредо — хочешь сделать что-нибудь хорошо, сделай это сам. В моменты особого вдохновения создаю видеоклипы и ковыряюсь в кодах. Основные профессиональные инструменты —Dreamweaver, Adobe Photoshop, Site-аuditor. Спасибо за внимание, заходите снова!