Блоговедение        16 марта 2013        575         52

Как защитить блог на wordpress от взлома?

Здравствуйте уважаемые читатели!

Предлагаю в сегодняшнем посте поговорить о защите вашего блога от злоумышленников. Защита wordpress является неотъемлемой частью каждого блога и лучше о ней позаботиться с самого начала развития вашего ресурса, не откладывая в долгий ящик!

как защитить wordpress

Конечно же защитить свой блог на 100% от «нехороших ребят» никогда и никому не удастся, но усложнить злодеям задачу все-таки должен каждый веб мастер! Вообще, я не понимаю таких людей? Для чего взламывать блоги? Ладно бы они от этого, что-нибудь поимели бы? Но ведь зачастую эти засранцы ломают ресурсы ради удовольствия! А потом злорадствуют друг перед другом, какие они крутые перцы!

Сидит какой-нибудь сморчок у себя за компом и пытается взломать твой ресурс, для чего??? Потешить себя? От нечего делать? Эх, вычислить бы такого горе-хакера да надавать бы ему как следует…! Но куда нам простым смертным до их хакерского величества? Ладно, бог им судья! Как говориться, горбатого могила исправит!

В общем, товарищи — владельцы собственных ресурсов, защитить всеми имеющимися способами свой блог просто необходимо, что бы потом не пришлось горевать и рвать на себе волосы, что годы работы ушли в никуда! Сегодня мы с вами рассмотрим несколько способов защиты wordpress от взлома, которые мне известны, а вы уже для себя решите, применять их на практике  или нет! Итак, начинаем.

Защита wordpress

1. Ну, наверное, самое важное, что я могу вам посоветовать, делайте чаще резервные копии своего сайта! Лично я, взял себе за правило делать бэкап (резервную копию) базы данных каждый день, а бэкап всех системных файлов и папок ресурса, раз в месяц! Это от взлома не спасет, но, если не дай бог это случится, всегда можно будет восстановить большую часть файлов и не потерять все в одно мгновенье!

Можно поручить делать бэкапы своему хостеру, задав определенную периодичность на хостинге. Также существует множество плагинов для wordpress, которые смогут сделать это за вас. Но плюс ко всему, я вам все-таки рекомендую, для надежности, делать ручное резервное копирование. Это не займет много времени, все происходит на автомате! Но решать конечно же вам, я лишь даю вам свои рекомендации. Если вы решите воспользоваться плагинами, вот некоторые из них, которые мне известны:

— wordpress database backup — плагин, предназначенный для бэкапов базы данных;

— wp-dbmanager — плагин, аналогичен предыдущему, но его главное отличие и преимущество, в том, что он имеет возможность восстановления базы данных прямо из административной панели вашего ресурса.

Более подробно заострять внимание на этих плагинах мы не будем. О них, я как-нибудь напишу отдельные статьи. Советую вам подписаться на обновления блога и получать свежие посты прямо на e-mail. А пока идем дальше.

2. Проверяйте время от времени свой сайт на наличие обновлений, как самого движка, так и установленных на нем плагинов! В систему управления содержимым сайта (CMS) wordpress встроен автоматический поиск обновлений, так же как и в большинство плагинов. Поэтому, веб мастера часто используют на своих ресурсах плагин Disable WordPress Updates или ему подобные, запрещающий автоматический поиск обновлений, с целью избежать излишней нагрузки на ресурс. Но многие используют для этих целей простой код.

К чему все это я? А к тому, что некоторые ребята, к примеру, установили плагин и забыли про него. И не движок не плагины на блоге не обновляются долгое время! А вы думаете, для чего все это делается? Разработчики постоянно усовершенствуют движки и плагины с целью безопасности! Они постоянно ищут «дыры» и затыкают их выпуском новых версий.

Получается, как круговорот. Одни (разработчики) постоянно усовершенствуют своих детищ, вторые (хакеры) ищут новые пути взлома, дабы еще раз подтвердить свою квалификацию! Поэтому обновления просто необходимы и ими не следует пренебрегать. Я советую вам с периодичностью, хотя бы раз в два месяца отключать плагин (или убирать код), проверять наличие обновлений и обновляться, если таковые имеются!

3. Позаботьтесь о защите админки wordpress. Многие ребята, создавая блоги, оставляют в административной панели, имя пользователя по умолчанию — admin. Это не есть хорошо и способствует ухудшению защиты wordpress, тем, что злоумышленникам для взлома останется подобрать лишь один пароль!

Если вы увидели у себя эту ошибку, то я вам настоятельно рекомендую ее исправить. Делается это в панели управления хостингом, выбрав раздел базы данных/phpMyAdmin/Таблица/wp_users:

phpMyAdmin

Жмем на карандашик «Изменить»:

phpMyAdmin-2

И теперь в поле user_login и user_nicename изменяем admin на заранее придуманное имя и жмем «ОК»:

phpMyAdmin-3

Кстати, если вам необходимо будет сменить пароль для входа в административную панель на более сложный, что я вам тоже рекомендую, делается это здесь же. Удалите в поле user_pass все иероглифы и впишите свой пароль. Только перед тем, как нажать кнопку «ОК», в выпадающем меню установите «MD5», во избежание ошибок при входе в админ панель:

phpMyAdmin-4

После сохранения данных пароль автоматически будет зашифрован в новый набор иероглифов!

4. Если при создании блога вы не меняли секретные ключи в файле wp-config.php, то сделайте это! Файл wp-config.php находится в корневом каталоге вашего ресурса. Откройте его, найдите вот такие строчки:

защита wordpress от взлома-2

и измените все символы на свои без упорядоченные. Запоминать их не нужно, просто поменяйте, клацая по клавишам клавиатуры. Пере сохраните файл и залейте его обратно в корень блога.

5. Теперь нужно защитить файл wp-config.php. Делается это в файле .htaccess, который также должен присутствовать в корневой папке вашего блога. Откройте его и вставьте в самом конце вот эти строки:

<Files wp-config.php>  
order deny,allow  
deny from all  
</Files>

6. Ну, а теперь давайте защитим и сам файл .htaccess. Делается это также в самом файле .htaccess, прописав в него вот такие строчки:

<Files .htaccess>  
order deny,allow  
deny from all  
</Files>

7. Давайте еще усложним задачу «нехорошим ребятам», спрятав версию wordpress, т.к. зная версию, они будут знать, какие инструменты следует применить для взлома. Для этого вам понадобятся два файла. Первый файл находится в папке с темой вашего блога и называется header.php. Советую вам для удобства работы с файлами пользоваться клиентом filezilla.

Откройте, с помощью notepad++ файл header.php и удалите следующую строку:

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

И второй файл, который мы сейчас будем редактировать, находится в папке wp-includes/version.php. Также откройте этот файл и в самом его начале найдите вот такую строку:

$wp_version = '3.5';

и измените в ней версию wordpress, что бы она отличалась от вашей существующей! Теперь при просмотре вашей версии, «вредители» будут видеть версию отличную от нее!

И еще два файла, указывающие на версию вашего движка, readme.html и license.txt. Они находятся в корне вашего блога. Их просто нужно удалить и все!

8. Не устали? Ну, тогда идем дальше. Наберите в поле браузера после доменного имени вашего блога wp-content и wp-content/plugins. После открытия каждого из них браузер должен отображать пустую белую страницу. Если вместо этого у вас отображается содержимое папок, создайте в обеих папках пустой файл с именем index.php.

9. Откройте файл в папке с темой вашего блога functions.php и в самом конце, после закрывающегося тега ?>, вставьте вот эту строчку:

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

10. Ну и последнее, вот вам два плагина, которые часто используют для защиты wordpress, Anti-XSS attack и Login LockDown. О них я вкратце рассказывал в этой статье, можете ознакомиться. Лично я их не использую, об этом я так же писал в этой статье.

На этом все известные мне способы защиты wordpress закончились. Я думаю, вы почерпнете из данной статьи много интересного и полезного для себя. Главное, что вы теперь знаете, что защита wordpress нужна и сможете защитить свой ресурс от «медвежатников». И вот в дополнение видео по теме:

А я всем вам желаю отличного настроения и надежной защиты! Всем пока, увидимся в новых постах!

Как вам статья? А как вы защищаете свои блоги? Может быть вам известны еще, какие-либо способы защиты? Буду благодарен, если вы поделитесь ими в комментариях!

—>Подписаться на обновления блога<—

С уважением, Николай Коротков

Обсуждение: 52 комментария
  1. Александр:

    Больше половины написанного Тобой Николай не использую. Надо исправляться. Так что закатываю рукава, и работать. Спасибо за подсказки.

    [Ответить]

    Ответить
  2. Александр:

    Ну и кино у Тебя Николай. Из разряда фильмов ужасов для Блогера. Я же теперь всю ночь спать не буду. 😯

    [Ответить]

    Николай Коротков

    Да, кино не для слабонервных 🙂

    [Ответить]

    Ответить
  3. Я тоже больше половины из этого не использую. Я вообще практически не защищаю свой блог от взлома, а надо бы — мало ли… Спасибо, Николай! Обязательно воспользуюсь твоими советами.

    [Ответить]

    Ответить
  4. Я как и те, кто выше признался, тоже не делаю половины написанного. Но исправлюсь.

    [Ответить]

    Ответить
  5. Gorec:

    А я вообще ничего не делаю, из того, что было написано в статье :mrgreen:

    [Ответить]

    Александр

    А зря. Чем старше Блог, тем больше надо защищаться. Я то же не защищался до 19-го декабря. Теперь первый пост на моем Блоге — памятник. Маленький такой, но поучительный. Зайди, полюбуйся. 😥

    [Ответить]

    Gorec

    В виде Volkswagen Golf GTI 7-го :mrgreen:

    [Ответить]

    Александр

    Ты меня извини конечно, но первый пост от последнего Ты отличить можешь?

    [Ответить]

    Ответить
  6. Еще на папку functions.php хорошо бы проставить права доступа только чтение (444), чтобы всякие редиски не вносили туда без нашего ведома свой код 🙄

    [Ответить]

    Ответить
  7. При запрете доступа к файлам их название не надо брать в кавычки?

    [Ответить]

    Николай Коротков

    mishuta 2012
    Не совсем понял, про какой запрет вы говорите и про какие файлы?

    [Ответить]

    mishuta 2012

    Я имею ввиду блоки типа — здесь же вроде прописывается запрет доступа к файлу? Название файла надо в этом случае брать в кавычки или не обязательно?

    [Ответить]

    Николай Коротков

    Все равно не понимаю про что вы говорите! Укажите на пункт статьи хотя бы?

    [Ответить]

    mishuta 2012

    Пункты 5 и 6

    [Ответить]

    Николай Коротков

    mishuta 2012
    Теперь понятно. Нет не надо брать файлы в кавычки! Как есть так и пишем.

    Ответить
  8. У меня есть самописный скрипт который улучшает защиту блога и его скорость работы

    И ещё 6 пункт в вашей статье это бред, проще выстовить ему правильные права 0644 и всё 😉

    [Ответить]

    Николай Коротков

    Павел
    Рад за вас и за ваш самописный скрипт! А на счет шестого пункта, я вас ни к чему не принуждаю, каждый имеет свое мнение. Все что описано в статье это лишь рекомендации!

    [Ответить]

    Ответить
  9. Очень актуальная информация для каждого блоггера, Николай! Спасибо! Моему блогу еще только без году неделя, но бекапом обязательно нужно заняться. Изучу эту информацию более подробно. Да и Вы возможно напишите подробную статью.

    [Ответить]

    Николай Коротков

    Николай Гижицкий
    Да, есть у меня в планах написание поста на тему, как делать бекап. Как-нибудь обязательно напишу.

    [Ответить]

    Ответить
  10. Спасибо за статью! Как раз вопрос стоял о защите блога…

    [Ответить]

    Ответить
  11. Николай!
    Отличная и своевременная, для меня, статья.
    Буду разбираться, но предупреждаю — будет много вопросов!
    Но всё же защитить свой блог на 100% от «нехороших ребят» никогда и никому не удастся, так же, как невозможно искоренить издевательства «сильных» над «слабыми», я так думаю и не только я!

    [Ответить]

    Мозгунова Ирина

    Как же это ужасно, знать, что защитить блог на 100% от «нехороших ребят» никогда и никому не удастся. 😥
    Это значит, что все Ваши рекомендации по защите блога нужно срочно выполнять! 😡

    [Ответить]

    Ответить
  12. Николай!
    У меня возник первый «шкурный» вопрос.
    А какие способы защиты из девяти (с десятым всё понятно) лично Вы применяете?
    Я, думаю, если применяете Вы, то способ стоящий. И надо ли все эти 9 способов применять в комплексе, или применить выборочно?
    Заранее благодарен за ответ.

    [Ответить]

    Николай Коротков

    Александр Иванович
    Я использую все способы защиты, о которых рассказал в статье. А уже использовать их все или только часть, решает каждый для себя сам.

    [Ответить]

    Ответить
  13. Николай!
    Уже было стал готовится к установке новшеств (для моего сайта) , но возник новый вопрос.
    Мой сайт располагается на хостинге TIMEWEB (на движке WordPress , естественно). Так вот, Ваши пошаговые рекомендации и скрины – актуальны для моего хостинга?
    Заранее благодарен за ответ.

    [Ответить]

    Николай Коротков

    Александр Иванович
    Мой блог находится на хостинге Макхост.

    [Ответить]

    Creeper

    У меня знакомый тоже раньше пользовался услугами этого хостера. Всегда говорил что у них превосходная онлайн служба поддержки.

    [Ответить]

    Александр Иванович

    Creeper
    Извините, но я задаю этот вопрос многим.Я хочу поменять хостинг TIMEWEB на другой, тем более срок предоставления его услуг истекает.
    Не будете ли Вы так любезны ответить, а услугами какого хостинга пользуетесь Вы Creeper.

    [Ответить]

    Ответить
  14. Николай!
    Спасибо за ответ.
    Я думаю, что настройки на хостинге TIMEWEB немного отличаются от настроек на хостинге Макхост. Но не беда.
    Главное Вы указали список действий. А, как это сделать на TIMEWEB я разберусь.
    С уважением, А.И.

    [Ответить]

    Ответить
  15. Николай!
    У меня вопрос по поводу замены логина и пароля в базе данных. (Пункт3)
    Сколько максимум знаков должны иметь новые логин и пароль?
    Мой вопрос неспроста. У меня долго не получалась замена пока я ставил логин 14 знаков, а пароль 13 знаков. И только когда я поставил и пароль и логин с 10 знаками всё стало получаться (хостинг TimeWeb)

    [Ответить]

    Николай Коротков

    Александр Иванович
    Все очень странно… У меня логин состоит более чем из 15 символов, а в пароле их вообще больше 30! И когда я производил их замену, я ни разу не сталкивался с описанной вами проблемой.

    [Ответить]

    Александр Иванович

    Николай!
    Ну,а я столкнулся с подобной проблемой.Заранее заготовил 2 десятка паролей и логинов с количеством символов от 13 до 17 и экспериментировал целый день. И, как я уже сказал получилось с 10 символами. Возможно такая проблема только на TimeWeb? На других хостингах по-другому. 😐

    [Ответить]

    Николай Коротков

    Александр Иванович
    Возможно это зависит и от хостинга. Я пользуюсь Макхост и у меня с этим все в порядке.

    [Ответить]

    Александр Иванович

    Николай!
    Я немного поискал в инете. Так кое где проскакивает, что некоторые хостинги ограничивают до 10 символов.
    Сейчас написал в техподдержку TimeWeb и задал им по этому поводу вопрос. Жду от них ответа.

    [Ответить]

    Николай Коротков

    Александр Иванович
    Интересно будет посмотреть, что они ответят по этому поводу. Ведь от того, насколько сложнее пароль и логин, зависит безопасность блога.

    Мозгунова Ирина

    Это у Вас, Николай, в пароле более 30 знаков?
    Все пароли что-ли такие быть должны?
    А минимальная цифра какая? 😯

    [Ответить]

    Николай Коротков

    Мозгунова Ирина
    Минимального количества символов в пароли может и не быть. А вот что касается надежности, то здесь стоит подобрать как можно более надежный пароль, чтобы не смогли его взломать.

    [Ответить]

    Ответить
  16. Николай!
    Их ответ таков
    «Добрый день.
    Вы можете использовать до 15 символов, тем не менее, не рекомендуется использование .»

    Я видимо переусердствовал с спецсимволами.

    Сейчас проверил и установил 15 без спецсимволов — всё получилось!

    [Ответить]

    Николай Коротков

    Александр Иванович
    Ну и отлично. Рад что у вас все получилось!

    [Ответить]

    Ответить
  17. Статья и комментарии к ней заставили просто схватиться за голову, потому что понимаю, что срочно нужно заняться защитой блога от взлома, а рекомендаций слишком много — и они довольно сложные.
    Хотя бы со смены паролей, что ли начать?
    Голова и правда кругом. 😮

    [Ответить]

    Николай Коротков

    Мозгунова Ирина
    Ничего сложного там нет. Стоит только начать и следовать всем рекомендациям…

    [Ответить]

    Ответить
  18. Юлия:

    Николай, сразу вопросы возникают:
    пункт 4: у меня в файле config на этих строчках define написано «впишите сюда уникальную фразу». Это вот туда надо записать кучу символов (кстати, все равно сколько?)? Написать-то не проблема. Хотелось бы понять, зачем это надо делать и где эти символы потом появятся? И почему их не надо запоминать…

    вчера вышло обновление all in one SEO pack — вы его уже установили?
    как вообще надо их устанавливать — отключать плагин нужно перед установкой?

    [Ответить]

    Николай Коротков

    Юлия
    В файл config вписываются любые символы, ограничение по количеству так же нет. Это различного рода ключи, которыми вам не нужно забивать себе голову.
    Плагин all in one SEO pack пока не обновлял, займусь этим на следующей неделе и отредактирую заодно статью.
    По последнему пункту не понял? Кого «их»? Что вы имеете в виду? Если плагины, то ничего не надо отключать.

    [Ответить]

    Ответить
  19. Юлия:

    Да, я про плагины спрашивала — надо ли плагины перед обновлением дезактивировать..
    По поводу не забивать голову — не согласна. Лучше всегда понимать, что делаешь и иметь хоть какое-то представление зачем. Хотя в данном случае просто прописала эти символы и закачала файл на хостинг. 🙂

    Про файл .htaccess хотела бы добавить — коды из пунктов 5 и 6 надо прописывать после строки # END WordPress. А то я сначала до нее прописала.

    [Ответить]

    Ответить
  20. Юлия:

    Николай, забыла спросить — файл .htaccess должен быть в какой кодировке?
    У меня на хостинге лежал в кодировке ANSI — так и должно быть, не знаете?

    [Ответить]

    Николай Коротков

    Юлия
    Если придерживаться логики, то .htaccess — не является системным файлом, это обычный файл конфигурации. Поэтому, кодировка файла не повлияет на его работоспособность, но в сети встречаются мнения, что все же лучше сохранять его в той же кодировке, что и остальные файлы блога. Т.е. чаще всего его кодировку преобразуют в UTF-8 без BOM.

    [Ответить]

    Ответить
  21. Юлия:

    Николай, а можно ли через .htaccess защитить от просмотра и файл robots.txt? Не знаю, нужно ли, но видела на двух блогах моих конкурентов при попытке вызова этого файла вылезает страница 404. Вот теперь думаю, может они это через .htaccess сделали? Как думаете?

    [Ответить]

    Николай Коротков

    Юлия
    Про защиту файла robots.txt слышу впервые… И правильно вы подметили: «А нужно ли?». А у ваших конкурентов скорее всего просто нет данного файла, поэтому вас и перенаправляет на страницу ошибок 404.

    [Ответить]

    Ответить
  22. Юлия:

    Николай,
    Если добавить в functions.php строку remove_action ( ‘wp_head’, ‘wp_generator’), то пункт 7 будет не нужен. Эта строка уберет версию WP из header.
    Вот только я не туда что ли вставила — вставила эту строку и еще две:
    remove_action( ‘wp_head’, ‘rsd_link’ );
    remove_action( ‘wp_head’, ‘wlwmanifest_link’ );
    и админка перестала открываться после ввода пароля. Пришлось старый functions на место закачивать. Не пойму, почему..

    У вас вот так написано: <!—?php с двумя дефисами — они точно нужны?

    [Ответить]

    Николай Коротков

    Юлия
    А откуда вы взяли две последние строки remove_action ( 'wp_head', 'rsd_link' ); и remove_action ( 'wp_head', 'wlwmanifest_link' );? Что касается двух дефисов, то они нужны.

    [Ответить]

    Ответить
  23. Разработчики ВП не уделили должного внимания, для его защиты. 😡

    [Ответить]

    Ответить

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Поиск по блогу
Подписка на обновления

Введите Ваш e-mail:

rss

twitter

 google

Интересная информация
Хостинг от Макхост

ВОСПОЛЬЗУЙТЕСЬ ПРИ РЕГИСТРАЦИИ КУПОНОМ "blogiseo" И ПОЛУЧИТЕ 3 МЕС. БЕСПЛАТНОГО ИСПОЛЬЗОВАНИЯ ХОСТИНГА ПО ТАРИФУ МАК-10.