Безопасность и защита. Вордпресс защита


Безопасность и защита WordPress, как повысить уровень защиты сайта

Защита WordPress сайта одна из первоначальных задач любого вебмастера, это не предрассудки, а реалии сегодняшнего дня. В сети интернет множество мошенников и злоумышленников готовых «забрать ваш сайт под свое крыло» и использовать его в своих, корыстных целях. Не нужно давать им такой возможности, стоит как можно серьезнее осложнить хакерам задачу и обезопасить свой сайт на WordPress.

Скорее всего, для вас не секрет что WordPress это одна из самых популярных, бесплатных CMS в мире, она так же является одной из самых взламываемых систем управления контентом. В статье цена популярности WordPress рассказано, как самыми элементарными подходами можно улучшить защиту сайта.

Кратко о главном, или как защита WordPress сайта может избавить вас от ненужной нервотрепки

Пароли. Где, как и что нужно делать

Начнем с малого, а именно с паролей:

Это что касается паролей к админке, не нужно забывать что еще существуют пароли к:

Пароли ко всем важным потенциальным источникам информации должны быть сложными, в случае взлома все должны быть изменены, тем более если вы точно не знаете как именно вредители сумели взломать ваш сайт.

Движок, плагины, темы. Как могут повлиять на защиту сайта, что нужно делать

Тут можно не тянуть «кота за хвоста» и сказать что очень важно обновлять WordPress, плагины и тему оформления.

Перед тем ка что либо обновлять сделайте бекап всего WordPress, я сам часто ленюсь это делать, и каждый раз думаю: «Блин это последнее обновление без бекапа».

Приведу вам простой пример, вы начали обновление, часть файлов скачалась, пропал на минуту интернет, возникла ошибка, сайт лежит, что вы будете делать без резервной копии? Пример примитивный, но даст понять что к чему.

WordPress обновляется довольно часто, все версии, которые идут после второй цифры 4.6.1 к примеру, это обновления именно безопасности, исправление багов и недочетов. Стоит сразу же обновляться, не ждать отзывов, максимум день-два, если не вышла следующая версия, значить все рабочее и стоит внимания.

Плагины обновляются по схожему принципу, вышло обновление, обновитесь, иначе пинайте на себя.

С темами все немного сложнее, если темы сложные, с массой эффектов и махинаций с кодом, и разработчики говорят что обновление усилит защиту WordPress в целом, тогда смело обновляйте. В случае изменения в дизайне, думайте сами.

Не подводим итоги, а лишь идем дальше вопрос о защите WordPress не снят

Все что вы найдете о безопасности, и что легко внедрить, делайте. Пускай это какаято мелочь она лишней не будет. Одно только «но» не перегибайте с плагинами, не ставьте 10 однотипных, они могут «конфликтовать», «ругаться» меж собой.

Хочу предложить вам свои, базовые советы по безопасности WordPress. Это не панацея, но реально может помочь в будущем.

Защита WordPress только в ваших руках, все что вы сделаете для безопасности будет тихо лежать на сервере и говорить вам «Спасибо».

yrokiwp.ru

Защита блога на wordpress

Привет друзья, сегодня я хочу поделиться своим опытом по теме — защита блога. Последнее время хакерские атаки происходят практически ежедневно. Поэтому, нужно уметь защитить свой блог от инородных вторжений. И не надо ждать пока он вырастет, защита блога — вещь очень серьезная, как в популярной поговорке: промедление — смерти подобно!

Защита блога на wordpress

У меня есть совсем новые сайты, на которых только куплен домен и установлен worpdress. И вот по одному такому сайту, сегодня я получил невеселое письмо от хостинга. Где сообщалось  следующее:

Здравствуйте!

На вашем аккаунте обнаружены файлы, содержащие вредоносный код.Используя данное вредоносное программное обеспечение, злоумышленники производят атаки сторонних серверов, рассылку спама и другие вредоносные действия. Файлы, содержащие вредоносный код, были доступны по ссылкам:

Мы заблокировали доступ к этим файлам и возможность отправки писем с сервера для вашего аккаунта.Наиболее вероятно, что присутствие файлов является результатом взлома вашего аккаунта, поэтому с вашей стороны требуется провести аудит безопасности для предупреждения повторения проблемы. О принятых мерах вам необходимо сообщить нам в рамках данного обращения для дальнейшего снятия наложенных санкций. Вам следует понимать, что удаление указанных файлов не является решением проблемы. Вам нужно найти уязвимость, с помощью которой они были внедрены, и устранить ее. Повторение ситуации будет означать блокировку всех сайтов на аккаунте.

Обратную связь по проблеме вы можете получить в рамках данного обращения.Если в течение недели мы не получим от вас обратной связи по данной проблеме, и нами будут зафиксированы новые факты размещения вредоносного кода на вашем аккаунте мы будем вынуждены полностью заблокировать доступ к зараженным сайтам.

Вот так радуют с утра! 🙂 Ладно новый, пустой проект, но на том же аккаунте находится и любимый мной — блог на wordpress своими руками. И как говориться: век живи — век учись! Не стоит недооценивать противника, и даже если проект у вас заморожен, его все равно стоит защитить.

Хорошо, что хостинг реагирует, а ведь может и не узнать! И когда в дальнейшем вы захотите развивать новый проект, а он окажется под всякими фильтрами почтовых служб, или еще хуже — поисковых систем.

Чтобы этого не произошло, предлагаю наравне с первыми шагами настройки блога произвести ряд шагов, чтобы защита блога была на высоте.

Защита блога

Как защитить блог на wordpress?

Расскажу вам, какие шаги предпринимаю я, уже повидавший виды различных хакерских атак на мои сайты, и даже, без помощи третьих лиц, их отразивший. Как всегда — лучше потратить чуток времени и поставить защиту, чем потом, ломать голову и потратить кучу времени, а возможно и денег, чтобы избавить себя от напасти!

Итак, защита блога на wordpress — мои рекомендации:

1) Замена логина admin для входа в панель управления на любимый и привычный вам логин. Дело архи-важное, учитывая, что ежесекундно в сети интернет шныряют тысячи программ ботов, которые обращаются к любому блогу по адресу: блог/wp-admin. Если вы посмотрите свои лог-файлы, то наверняка найдете там, что не только вы заходите в течение суток по этому адресу!

Зачем эти шпионские программы заходят по данному адресу — все просто, чтобы подобрать ваш пароль, ведь логин уже известен. И поверьте, пароль со временем тоже подбирают, даже сложный. Чтобы не дать возможность этим вредителям прорвать защиту блога — нужно совершить всего одну несложную операцию.

Нужно зайти в базу данных my-sql, обычно на любом приличном хостинге есть кнопка — Управление базами данных MySQL, где можно войти в phpMyАdmin и получить доступ непосредственно к правке своей базы данных.

Нас интересует таблица wp-user -> вкладка Обзор и редактируем первую запись, нажимая на иконку карандаша, там в нескольких строках вместо admin пишем на английском любой удобный вам логин и сохраняем.

Защита блога на вордпресс

Всё, теперь можно идти по знакомому нам адресу в панель администратора своего блога и вводить новый логин и старый пароль. Одной напастью стало меньше!

2) Как узнать нет ли подозрительных кодов и ненужных ссылок в вашей теме wordpress? Еще один важный момент! Темы для wordpress теперь уже множатся миллионами, большая часть представлена бесплатно. И вот, как раз бесплатные темы wordpress, чаще всего могут представлять угрозу вашему блогу. Хотя, встречались мне и платные темы с большими косяками.

Выявить косяки темы поможет плагин Theme Authenticity Checker (TAC). Как им пользоваться — устанавливаем, активируем. Заходим в админ-панели -> Внешний вид -> TAC и видим картинку:

Защита блога

Зеленый квадратик с надписью Theme Ok! — самый лучший вариант сканирования. Хорош этот плагин тем, что он сканирует все темы, даже не активизированные, но закаченные на ваш сайт. Если выдает ошибки, то указывает какие и где искать. А у меня на блоге стоит родная тема от wordpress, с ней точно всё хорошо! 🙂 После использования плагин можно отключить.

3) Если вы немного параноик, тогда изменения логина admin может показаться мало, в добавок к нему можно установить плагин Login LockDown. Он помогает блокировать любую попытку входа в панель администратора блога после указанных нескольких попыток, на определенное в настройках время.

Т.е. любой бот, даже если узнает ваш логин, будет блокирован, так как для подбора пароля ему нужно явно больше трех попыток! На скрине ниже настройки Login LockDown, которые использую я.

настройки плагина Login LockDown

Есть еще куча других плагинов, которые обещают, что защита блога после их использования возрастет, но многие из них очень ресурсоемкие, и оказывают нагрузку на сервер. Вдобавок, эти плагины очень сильно гадят в базе данных, записывая туда кучу информации своих наблюдений за безопасностью. Даже после деактивации и деинсталяции таких плагинов — базу данных приходится долго чистить вручную.

4) А что если вирус всё-таки закрался. Сегодня порылся в сети и нашел приличный антивирус, который сканирует все файлы темы на наличие вредоносного кода. Это плагин — WP Antivirus Site Protection (by SiteGuarding.com). 

Устанавливаю его, активирую, в настройках нажимаю confirm registration, после получаю поздравления с регистрацией моей копии и нажимаю на старт сканирования.

антивирус для блога на вордпресс

По завершению сканирования, умный антивирус сообщает сколько файлов темы он проверил, есть ли зараженные, и даже присылает мне на почту ссылку на файл отчета, сохраненный на сайте антивируса.

Также, антивирус показывает файлы, которые плохо защищены, тут нужно подумать индивидуально. Если это плагин, можно его не использовать, если сам wordpress или тема, то можно защитить его дополнительно закрыв доступ к файлу через robots.txt, поставив там

Disallow: /путь до файла

Хвала создателю, на моих сайтах пока чисто, поэтому, ничего не могу сказать, про лечение этим антивирусом. Но судя по звездам и лайкам, не только мне этот плагин внушает доверие.

Еще не устали? 🙂 У меня, на сегодня осталась пара полезных фишек для защиты блога, установка которых не требует плагинов.

5) В корневом каталоге вашего блога есть файл .htaccess, который лично я активно использую для настройки блога. Надо будет написать отдельную статью по этому поводу. В частности, использование настроек в этом файле мне помогают избежать активизацию множества ненужных плагинов, например редирект, плагины кэширования и многое другое.

Для защиты в файле .htaccess есть у меня пару хороших настроек:

Совсем недавно, на мой трэвел-блог, как и на сотни популярных блогов по всему миру обрушилась хакерская атака, о ней Хабр писал — Более 162.000 сайтов на WordPress использовались для масштабной DDOS-атаки ( http://habrahabr.ru/post/215543/ ).

Атака оказалась настолько сильная, что мой блог на отдельном сервере лежал почти целые сутки, пока я не нашел простого лекарства — вообще отключить всё входящие обращения к файлу пингатора xmlrpc.php. Этот файл обладает очень большой уязвимостью и очень мизерной надобностью, специалисты wordpress уже много лет не могут  предоставить достойную защиту данной функции.

Поэтому, действуем сами. Просто установим редирект при любом обращении из сети к файлу xmlrpc.php с кодом 403 (доступ к странице запрещен).

Для этого нужно в файле .htaccess в самом конце добавить следующий код:

# защита xmlrpc.php <IfModule mod_alias.c> RedirectMatch 403 /(.*)/xmlrpc\.php$ </IfModule>

Ну, и более стандартную команду для защиты блога, а точнее файла wp-config.php, где хранятся сведения для доступа к базе данных блога, также прописываем в конец файла .htaccess

# защита wpconfig.php <files wp-config.php> order allow,deny deny from all </files>

Вот такими вышеперечисленными действиями можно очень неплохо защитить свой блог. Конечно, эти действия вряд ли спасут от всех напастей, но от атак ботов, и даже хакерских атак — смогут помочь. Защита блога это очень важная тема, по ней можно написать много, думаю, я к этой теме обязательно вернусь!

И пару слов о себе — мы по прежнему на берегу Черного моря в Туапсе у мамы и бабушки, отдыхаем и работаем. За окном уже глубокая ночь, гремят раскаты грома и сильный дождь, но это совсем не мешает работать! 🙂

Испытываю новый объектив на улитке… 🙂

Улитка на заборе

TimeWeb - мощный хостинг для вашего сайта

howmakeit.ru

Топ 5 плагинов wordpress для защиты сайта ! — ТОП

Всем привет ! вас ждёт очередная супер подборка плагинов, в этот раз для защиты сайта. Очень важно, чтобы ваш сайт был защищён по всем фронтам, от спама в комментариях, от взлома и брут форс атак на странице входа и регистрации. Заранее позаботьтесь о защите своего сайта, чтобы потом не было поздно. Защищать свой сайт нужно в первую очередь от вирусных автоматических программ или как их ещё называют — Боты, роботы. Такие вирусные программы автоматически посылают запросы к файлу wp-login.php, пытаясь выявить слабых пользователей или рассылают спам-комментарии. Причём делается это не к одному сайту, а сразу же к нескольким 100-1000 сайтов за раз, ведь файлы у всех wordpress сайтов идентичные. Но, я вам расскажу о плагинах, которые защитят ваш сайт на 100% и закроют дорогу на ваш сайт роботам и вирусам, навсегда ! Если вы готовы, тогда — Поехали ! 

 

 

Brute Force Login Protection

 

Защита сайта от брут форс атак, то есть от автоматических запросов к файлу wp-login.php. Плагин добавляет на страницу входа лимит попыток для входа, то есть, если лимит по попыткам войти будет превышен, то ip-адрес пользователя будет заблокирован на время, которое вы укажите в настройках. Так же в настройках можно задать лимит попыток, число попыток для входа. На странице входа будет отображаться оставшееся количество попыток для входа, поэтому нормальные пользователи не будут блокироваться. В админ-панели wordpress, на странице плагина, можно будет вручную блокировать или разблокировать ip-адреса пользователей. Подробнее о плагине.

 

07-01-2016 20-39-03_mini

 

 

 

WP Content Copy Protection

 

Плагин для защиты контента от копирования. После установки плагина, на вашем сайте не возможно будет копировать текст, не возможно будет выделять текст, не возможно будет открывать свойства страницы и т.д. Если вы сильно беспокоитесь за уникальность своего текста, то данный плагин поможет вам защитится от копирования. Подробнее о плагине.

 

07-01-2016 20-55-03_mini

 

 

 

 LDW reCAPTCHA

 

Защита сайта от спама в комментариях, с помощью функции — Я не робот. Перед тем как пользователь отправит комментарий на ваш сайт, ему нужно будет поставить галочку в специальном виджете — Я не робот. Когда в виджете появится зелёная галочка, пользователь сможет отправить комментарий на ваш сайт. 100% защита от спама ! Подробнее о плагине. 

 

07-01-2016 21-05-38_mini

 

 

 

WPS Hide Login

 

Это очень простой и эффективный плагин, вы сможете изменить адрес страницы входа в админ-панель wordpress. То есть вместо wp-login.php, можно сделать к примеру wp-bobin.php и теперь при каждом запросе к стандартному адресу входа, будет открываться страница с 404 ошибкой. Получается ваш сайт будет в абсолютной безопасности, так как никому кроме вас не будет известен адрес входа на ваш сайт. Подробнее о плагине.

 

07-01-2016 21-17-48_mini

 

 

 

WP Captcha

 

Простой и в то же время эффективный плагин для защиты сайта. Плагин добавляет математическую каптчу в комментарии, на страницу входа и регистрации. Каптча выглядит так: 8+3= и вам нужно решить задачу, что бы отправить комментарий или войти на сайт. Плагин нравится тем, что он очень простой, легко настраивается, ничего лишнего, очень лёгкий. После установки данного плагина, спам в комментариях исчез навсегда ! И страница входа так же защищена. Подробнее о плагине. 

 

07-01-2016 21-22-40_mini

 

 

На этом у меня всё, очень много интересных плагинов, жду ваших комментариев, до новых встреч !

 

info-effect.ru

info-effect.ru


Смотрите также

Prostoy-Site | Все права защищены © 2018 | Карта сайта