Здравствуйте, друзья! Многие блоггеры даже не подозревают, что их «детище», творение, может быть уничтожено безвозвратно. Особенно это часто происходит при наборе неплохой посещаемости. В этой статье вы узнаете как максимально эффективно защитить свой, сайт на ВордПресс.
В данной статье рассмотрим основные советы по защите, применяя их, вы увеличите безопасность вашего Интернет-ресурса в разы. Так что же включает в себя защита сайта на wordpress?
Необходимо выполнить следующее:
1). Установите плагин Login LockDown. Этот плагин предотвращает попытки взлома блога путём перебора паролей. В Login LockDown есть специальные настройки, например, можно установить лимит на неправильный ввод пароля. Т.е. если злоумышленник введёт пароль неправильно, например, 3 раза, то плагин заблокирует IP на определённое время, которое вы также установите.
2). Измените стандартный логин Admin для входа в админку. После установки блога на движке WordPress, у вас для входа в админку будет стоять стандартный логин admin. Его можно изменить двумя способами:
- Создать нового пользователя с правами администратора, старого с логином admin удалить;
- Воспользоваться панелью phpMyAdmin хостинга, на котором расположен ваш ресурс.
Чтобы сменить пароль в phpMyAdmin, нужно (пояснения к phpMyAdmin хостинга Timeweb) :
1. В панели phpMyAdmin выбрать вкладку wp_users, поставить галочки в чек-боксах перед user_login и user_pass и нажать на кнопку «Обзор«.
2. В принципе user_pass можно и не выбирать, это для наглядности примера. Ваш пароль и пароли других пользователей зашифрованы в MD5, поэтому отображаются некорректно.
После нажатия на кнопку «Обзор«, ищите логин admin и нажимаете «Изменить«
3. Далее изменяете логин admin на новый и, если у вас пароль не сложный, можете сразу его изменить: напротив user_pass выбирайте MD5 и замените шифр типа $P$BMHPz4RSlCUCSTUCiL0gliIMlHth2P/ на новый пароль. После сохранения он будет зашифрован и примерно также выглядеть. Кстати, если вам не хочется, чтобы отображался никнейм в виде admin (мне больше нравится видеть своё имя и фамилию), то можете изменить его в строке user_nicename. Всё, после этого нажмите кнопку «Ок«.
3). Своевременно обновляйте блог. Недавно прочитал статью про уязвимость на ВордПресс с помощью которой злоумышленник мог завладеть правами админа с понятным исходом. Достаточно было ввести специальный код в поле комментариев! И всё, блог захвачен! WordPress третьей версии подвержен этому багу. Только обновив до четвёртой, вы спасёте свой блог, хотя четвёртая версия вышла не так давно 
.
4). Удалите файлы Readme.txt и License.txt. При помощи данных файлов хакер может узнать версию движка, как следствие, взлом блога.
5). Удалите информацию о версии WordPress. Необходимо удалить в файле header.php строку:
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
6). Запретите хакерам заходить на ваш сервер.
Для этого в конце кода в файле function.php добавьте строку:
<!—?php remove_action (’wp_head’, ‘wp_generator’); ?—>
Также в файле search.php необходимо заменить строку:
<!—?php echo $_SERVER [‘PHP_SELF’]; ?—>
на
<!—?php bloginfo (’home’); ?—>
Это не даст злоумышленникам находится на вашем сервере.
Также для запрета просмотра каталогов сайта в файле .htaccess пропишите строку:
Options All -Indexes
7). Проверьте, видны ли папки и файлы в директориях wp-content и wp-content/plugins/. Для этого в окно Вашего браузера введите два адреса:
- http://адрес Вашего блога/wp-content/
- http://адрес Вашего блога/plugins/
8). Уберите блок, высвечивающийся после неправильного ввода логина или пароля. Его нужно обязательно убрать! Он подсказывает злоумышленникам правильность вводимых данных.
Конкретно написано, что неправильно ввёл пароль. Улавливаете?
Чтобы этих подсказок не всплывало, добавьте следующий код в файл functions.php:
add_filter(‘login_errors’,create_function(‘$a’, «return null;»));
А теперь мы видим следующее:
9). Делайте резервное копирование базы данных. Это один из самых важных пунктов. Для этого вам поможет плагин wordpress database backup, можно поставить даже на ежедневную отправку базы данных на свой почтовый ящик.
На этом я остановлюсь, этого достаточно для основной защиты блога от взлома. Может кто-нибудь ещё знает хорошие способы защиты блога от взлома? Пишите, обсудим.
Новость №1
Для старта «Интеллектуально марафона» осталось набрать двух участников. Так, что успейте войти в первую десятку, так как именно первые 10 участников получат приз без напряга!
Новость №2
В магазине Инфопродуктов добавилось ещё 3 комплекта. Я не так давно решил прикупить несколько реселлерских комплектов по очень дешёвой цене 900р, предлагалось 90 комплектов. Оплатил заказ, ссылку выслали, зашёл на страницу для скачивания, а ссылки не работают!!! Вот так, ни одна из ссылок для скачивания не работала. Написал претензию на возврат денег в систему Глопарт, деньги вернули в течение 5 суток.
Так, что, друзья, если вам предлагают купить кучу комплектов по плёвой цене — это не значит, что они там есть. Покупайте лучше у тех, кого знаете, либо свяжитесь с автором. А то получится такая же не очень приятная ситуация, как у меня.
А вы уже подписались на рассылку новостей с блога?
Р.S.
Кто-нибудь работает на сайтах из прошлой статьи? Я на Воркзилле 4000р заработал за эту неделю без особого «напряга», только на заданиях типа «Оставить отзыв», «Помощь по сайту», «Перевести аудио в текст». Я думаю такие задания может выполнить каждый.
Рекомендую прочесть следующие полезные статьи:
1. Как начать вести свой блог?
С уважением, Александр Сергиенко
Интересные способы защиты, про некоторые даже и не знал.
Да, тема защиты блога от взлома всегда будет актуальной. Лично я установил один крутой заморский плагин. Правда весит немало, зато теперь спокоен. Все эти настройки в нем сделаны
Интересно, а что это за плагин, заморский
?
Последние 4 дня при входе на свой блог,я вижу присутствие чужих банеров,я их удаляю,они появляются снова,при переходе на другую страничку.
Александр,может вы знаете способ их изолировать?
У Вас скорее всего на блоге вирус. Проверьте через специализированные сервисы в Интернете так это или нет.
Как всегда написано все просто и со вкусом. А на счет покупок курсов, то что дальше с ними будешь делать? У тебя база есть подписчиков?
Пока небольшая база. Насчёт курсов — буду добавлять со временем.
Для меня статья очень актуальная. Столкнулась с однажды со взломом блога, оказалась настолько беспомощной, что даже техподдержка хостинга сжалилась и сама почистила файлы.
Я настолько неопытна и безграмотна …
В самом начале дважды захватывали мой блог .
Самую необходимую помощь мне всегда оказывают ребята с lucky-host .
Плагины я могу установить , иногда даже настроить их .
Но вот в нутро вордпресса я не рискую залазить : английского не знаю , кое-как барахтаюсь в нём . Вместо полезного добавления боюсь навредить .
Подобные статьи читаю как сказку , откладываю закладки на память — вдруг поумнею , и они мне пригодятся .
Я ничего не зарабатываю . Стараюсь донести до моих читателей позитив и хорошее настроение .
С уважением инвалид II группы Татьяна
Если у Вас есть какие-нибудь вопросы — обращайтесь, с радостью помогу!
Отличная статья и сайт у Вас очень хороший, по крайней мере выделяется среди остальных, Я бы на Вашем месте форму с поиском разместил бы немного выше непосредственно в самом меню
Спасибо.
Здравствуйте, по поводу воркзиллы хотел спросить, без подтверждения атестата вебманей можно будет выполнять задания? Мой аттестат, нужно не ниже начального?
Я кстати документы в вебмани отправлял у меня разве не начальный должен быть?
Там нужен начальный аттестат, а чтобы его получить, нужно пополнить кошелёк Вебмани через контакт или вестерн юнион, либо при личной встречи с персонализатором.
у меня формальный
Здравствуйте. Читаю сейчас все статьи, посвященные защите сайта. Причина — появление в Рунете полной копии моего сайта.. Зловред изменил только контактные данные, цвет темы WP и убрал кое-что. Очевидно, что и к базе данных был получен доступ…
Как это было сделано, я не понимаю. Пароли и в WP и у хостера сложные.
Взгляните сами. Вот мой сайт: 24-finans.ru. А вот сайт-двойник: gbc-invest.ru.
Любой сайт можно скопировать, а может просто нашли шаблон как у Вас и скопировали текст и всё. Во всяком случае не переживайте, копия Вашего сайта не в индексе ни одно из поисковых систем.
Спасибо за ответ.
Я не сильно и переживаю. У меня есть способы влияния на этого человека. Но там не просто скопирован шаблон и текст. Скопированы все плагины, все их настройки, применены все шорткоды и т.д.
Но есть и положительный момент в произошедшем. Все руки не доходили серьезно заняться безопасностью сайта. А так — пришлось! ))
Да, на этапе создания блога или сайта, очень важно позаботится о его безопасности, так как все труды могут пойти насмарку
Спасибо вам огромное!)) очень полезная статья!я новичок в сайтостроении и данная информация для меня бесценна,как и многие другие статьи на вашем сайте! спасибо,что доступно,четко и грамотно все излагаете!))
У меня вопроc о запрете в Options All -Indexes разве это не повредит на индексацию катологов блога для поисковых машин?