Защита сайта на WordPress. Или как не дать себя взломать

http://blogstarter.ru

http://blogstarter.ru Основы защиты блога на WordPress

Как можно взломать блог, для чего нужно защищать свой блог, какие есть способы для этого, все это рассмотрим в сегодняшней статье.

Всем привет, друзья! Да, представьте себе, блог на нашей любимой платформе можно взломать. Или если быть точным, злоумышленник может спокойно получить доступ к странице входа в админку, которая находится по адресу http://адрес блога/wp-admin и попытаться подобрать логин и пароль.

Дело в том, что  у всех блогов на WordPress, есть один маленький нюанс — это одинаковый и общедоступный адрес админ панели. Это значит что увидеть его и получить доступ может любой человек в том числе и какой-нибудь супостат.

blogstarter.ru /защита WordPress

Максим Ефимов «Фашист»

Конечно же, не использовать такую возможность злоумышленнику было бы просто грешно. Результат, друзья сами понимаете, может быть довольно неприятным.

Действия человека, у которого есть полный доступ к вашему блогу, могут быть весьма разнообразными, но в любом случае чего-то, хорошего и полезного для вашего ресурса они нести не будут.

Помимо защиты админ панели, я так же расскажу о базовых основах безопасности при ведении своего блога.

О том, Кому нужен взлом WordPress сайтов? расскажу в одной из следующих своих статей, так что рекомендую подписаться, дабы не проглядеть эту интересную информацию.

Сразу отвечу на вопрос по поводу — почему нельзя сделать авторизацию по типу банковского интернет клиент-банка, где доступ к вводу логина и пароля клиента такой же свободный, а авторизация проходит с помощью мобильного телефона. Насколько все просто и эффективно, скажете вы, почему бы не сделать такую же фишку в WordPress и не мучатся.

Так вот, такая фишка есть, точнее не совсем такая, но принцип примерно похожий.

Плагин называется iThemes Security и о нем поговорим немного позже. Это какой-то не плагин а целый секьюрити-комбайн. Тема отдельной статьи, ибо возможностей у него море. Количество скачиваний более 3,9 млн. говорит само за себя.

blogstarter.ru /защита WordPress

Немного отвлекся. Вернемся к нашим «баранам», т.е. основам безопасности в WordPress. Проще говоря, я расскажу о элементарных действиях, которые должен знать и делать любой вебмастер, для защиты своего драгоценного блога. Ну, поехали…

Основы защиты сайта на WordPress

blogstarter.ru /защита WordPress

Изменить стандартный логин

Итак, друзья, первое что необходимо сделать – это изменить логин, если он у вас стандартный типа admin, administrator и т.д. Если, вдруг, вы не сделали это при установке WordPress, то сделать это нужно обязательно сейчас. Для этого придется создать нового пользователя с правами администратора, зайти под этим пользователем, связать с ним весь существующий контент и удалить старого.

Изменить отображаемое имя

Если, не изменить отображаемое имя, то при публикации статьи или комментария, в поле автор, будет указан ваш логин администратора. Понятное дело, что если злодею будет известен логин, то ему останется подобрать только пароль т.е. работы по взлому админки у него поубавится ровно в половину. Кстати функционал некоторых шаблонов позволяет убрать отображение автора из статьи вообще. А если немножко разбираться в HTML и PHP можно и самому подправить код в этом направлении.

Использовать сложные пароли

Пароль ни в коем случае не должен быть простым. Типа vova, admin, privet и т.д. Пароль должен содержать не менее 6-ти символов. Пароль должен содержать цифры, заглавные и прописные буквы и символы. По сути это должна быть мешанина из всего того, что я перечислил. Например: ghy?45y) N. Только запишите где-нибудь свой пароль, дабы не забыть и никому не показывайте. Это хорошо когда память хорошая, а если нет….!

Обязательное обновление WordPress

WordPress постоянно совершенствуется. Разработчики постоянно выпускают обновления для улучшения функционала и обеспечения безопасности. Дело в том, что в процессе работы выявляются дыры в системе безопасности, кстати не без участия тех же хакеров, которые потом закрываются с помощью обновления системы. Так что, не побрезгуйте.

Изменение адреса входа в админ панель

Как по мне так это самый простой, удобный и эффективный способ защитить свою админ панель, от взлома. Суть метода заключается в замене имени файла wp-login.php, который находится в корневой директории вашего сайта на хостинге, на какое-нибудь другое. Ну, например, на rupor123. Т.е. файл будет называться rupor123.php. Для осуществления этой операции необходимо зайти по FTP на свой хостинг скачать файл wp-login.php себе на компьютер и переименовать его. Далее открываем этот файл, например, с помощью Wordpad и жмем кнопку «Замена». Далее, в поле «Что» пишем wp-login.php, в поле «Чем» rupor123.php. Далее жмем “Заменить все» и программка меняет во всем файле одно название на другое. Все готово! Заливаем новый файл обратно по FTP на хостинг, а старый удаляем. Но, предварительно, старый файл сохраните его где-нибудь, на всякий случай, вдруг он потом пригодится.

В результате наших манипуляций, любой кто попытается получить доступ к странице ввода логина и пароля по адресу http://адрес блога/wp-admin — увидит:

ОШИБКА 404.

Попасть же в админку можно лишь по адресу http://адрес блога/rupor123.php. Если нехороший человек этого нового названия файла не знает, соответственно доступ к админке он не получит. Что, собственно и требовалось доказать.

Использование антивируса

Необходимость использования антивируса в системе, я думаю сомнений ни у кого не вызывает. Поэтому не буду многословным. Просто скачайте себе нормальный антивирь, обновляйте базы и будет вам счастье. Использование антивируса, можно воспринимать как один из элементов, комплексной защиты блога на WordPress.   

Не сохраняйте пароли в браузере

Функция хранения паролей в браузере, реализована по большому счету, для удобства ввода паролей, на форумах и сайтах, не слишком значимых для пользователя. Использовать эту возможность, в качестве хранилища паролей к важным ресурсам, не рекомендуется. К таким важным ресурсам можно отнести: платежные системы, хостинги, интернет-банкинг.

Бесплатные шаблоны могут содержать вирусы

Таки да, друзья, халява в интернете может быть с душком. В идеале необходимо брать бесплатные шаблоны с официальных ресурсов, либо покупать у известных фирм. Ну еще можно заказать индивидуальный шаблон, но, это опять же за деньги. Я не утверждаю, что все абсолютно бесплатные шаблоны содержат вирусы, нет! Но некоторые могут. Поэтому будьте внимательны.

Удаление файлов readme.html и license.txt

В обязательном порядке необходимо удалить вышеуказанные файлы из корневой директории блога на хостинге. Зачем? Объясняю. Если набрать в адресной строке браузера http://адрес блога/readme.html, мы увидим страницу, в которой помимо всего прочего, указана версия нашего WordPress. А знать эту информацию чужим людям совсем не обязательно. По той же причине удалению подлежит и файл license.txt.

Обращаю внимание, что после обновления движка, эти файлы надо удалять снова!

Использование плагинов

blogstarter.ru /защита WordPress

Существует масса разнообразных плагинов, которые облегчают задачу вебмастера для обеспечения безопасности. Например, тот же Rublon, довольно активно обсуждается, или вот Protected wp-login либо Lockdown WP Admin. Но следует помнить, что использование большого количества плагинов может замедлить работу сайта. А скорость загрузки, как известно, – это один из факторов ранжирования в Google.

Ставим ограничение на количество неверных входов

Вот еще, полезный способ для обеспечения безопасности. Реализуется с помощью плагинов. Суть метода заключается в определенном разрешенном количестве попыток неверной авторизации. После исчерпания разрешенных попыток входа, пользователь блокируется с последующем уведомлением администратора. Вот некоторые из плагинов, которые отвечают за это.

Limit Login Attempts

BruteProtect

Lockdown WP Admin

WP Fail2Ban

Admin Renamed Extended

Wordfence Security

All in one WP Security

Rename wp-login

Brute Force Login Protection

Сейчас на функционале каждого из этих плагинов я останавливаться не буду, подробный обзор будет в следующих статьях.

Вот и все что я могу сказать….

Фильм Форест Гамп.

Вот такая вот получилась, как мне кажется, обобщенная информация относительно безопасности. Я постарался, более или менее, все изложить сжато, но тем не менее, я считаю этого будет достаточно для начала. Все-таки, каждый раздел, это тема практически целой статьи. Над чем и буду дальше трудиться.

Итак, друзья, за сим разрешите откланяться, надеюсь статья оказалась полезной и у вас хотя бы в отдалении, появилось понимание основ защиты блога на WordPress.

Подписаться на обновление блога

Введите свой e-mail адрес:

 

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *