Как защитить wordpress от взлома. Как защитить wordpress
Как защитить wordpress от взлома
Как защитить wordpress от взлома (смотри видео)
Какими способами можно защитить свой сайт на движке wordpress от взлома?Многие начинающие блогеры мне задают вопрос: «Как защитить wordpress от взлома». Эта статья будет полезна тем людям, которые создают свои сайты на популярном движке для создания сайтов, который называется wordpress.
Я уверен в том, что многие начинающие блогеры и веб-мастера, которые работают преимущественно с движком wordpress, не уделяют времени его защите. Чаще всего это происходит так: веб-мастер наполнил свой сайт некоторыми плагинами, настроил шаблон, и начал писать статьи, и раскручивать его, не думая о защите сайта.
Любой сайт, возможно, взломать и сайт на движке wordpress не исключение. Поверьте, что как только ваш сайт начнет успешно развиваться, пользоваться доверием у поисковых систем ваш сайт привлечет внимание хакеров.
С какой целью хакерам взламывать мою учетную запись в wordpress?
У хакеров есть множество причин, почему они хотят взломать ваш сайт. К примеру, взломав ваш сайт, хакеры напичкают на вашем сайте ссылки на сторонние ресурсы сомнительного содержания. В итоге ваш сайт может сильно пострадать в виде санкций от поисковых систем (потеря трафика, исключение страниц из индекса) из-за того, что на страницах вашего сайта стоят ссылки на "плохие" сайты.
Как защитить wordpress от взлома различных хакеров?
Рассмотрим некоторые советы, которые смогут защитить ваш сайт на движке wordpress от взлома.
Установите плагины для защиты wordpress
Существуют плагины для движка wordpress. Эти плагины будут защитить блог от взломщиков. Рассмотрим некоторые из них.
Anti-XSS attack
Этот плагин вам нужен обязательно. Anti-XSS attack - это плагин создандля того, чтобы обеспечивать защиту вашего сайта на wordpress. Плагин служит для того, чтобы предотвращать XSS-атаки на ваш сайт.
Limit Login Attempts
Этот плагин также не менее важен. С помощью этого плагина элементарно можно ограничить количество попыток ввести пароль к админ-панели. То есть, взломщик не сможет подобрать пароль к вашему сайту.
Измените логин и пароль на более сложные варианты
По умолчанию логин в учетной записи носит название "admin". Это не безопасно для вашей учетной записи, так как злоумышленнику легче будет подобрать пароль с помощью автоматической программы. Также нельзя устанавливать слишком легкие пароли, к примеру, "12345".
Если у вас на сайте по умолчанию логин стоит "admin", то лучше замените его. Для этого необходимо зайти в панель управления хостингом, которая называется "phpMyAdmin". После того, как вы это сделаете, заходите в базу и найдите там пункт под названием "wp_users". Выберите его и нажмите "правка" и замените старый логин на более сложный вариант.
Надеюсь, что после прочтение этой статьи вы поймете, как защитить wordpress от взлома.
prokachaimlm.com
Akismet. Как защитить wordpress от спама
Когда ваш сайт только добавлен на хостинг и не успел нигде засветиться(добавление в ПС, размещение ссылок), то процент вероятности спама у него нулевой. Но как только вы решили его показать пользователям сети, то сразу же столкнетесь с такой проблемой, как спам. Меня этот вопрос не интересовал около 3 месяцев, т.е. с даты покупки домена. Но на днях мой сайт стали жестко спамить, так что пришлось предпринять меры.
Что такое спам?
Данный пункт хотелось бы посвятить новичкам. Если объяснять простыми словами, то в качестве спама подразумевается атака роботов на ваш сайт, которые размещают комментарии со ссылками на другие ресурсы. Отсюда назревает один вопрос, — а оно вам надо? Конечно нет. Обойти это можно простой модерацией комментариев, т.е. перед попаданием комментария на сайт, он должен пройти проверку у автора. Сделать это можно через панель управления в WordPress. А если быть точным, то вам нужно пройти в меню «Настройки-Обсуждение-Перед появлением комментария», и поставить галочку напротив «Комментарий должен быть одобрен вручную». Но ручная проверка удобна тогда, когда отзывы пишут люди, а не боты. Поэтому нужны другие варианты.
Как избавиться от спама
Сделать это можно несколькими способами, я пока успел рассмотреть два. Первый – это установка проверочного кода, или подтверждение каптчи. Второй – установка плагина, если у вас в качестве CMS установлен Wordpess. На первом я не буду останавливаться, так как сам не люблю вводить эти долбанные каптчи. Их скорее придумали, чтобы отпугнуть людей, хотя для популярных и многопосещаемых ресурсов, — это наверное самый оптимальный вариант. Но у меня пока не 10-тысячный блог, поэтому ограничимся удобным плагином, о котором ниже.
Плагин Akismet
Установил я WordPress, подредактировал под себя дизайн, и смело начал им пользоваться. На плагины не обращал внимание, так как стараюсь их использовать по минимуму (никогда не знаешь, какую пользу они могут принести, или вред), поэтому и не обратил внимание на то, что у меня в разделе «Плагины» уже был установлен один из них. Активировать его не стал, и забыл про него. Буквально вчера-позавчера, решил поискать ответ на вопрос, как избавиться от спама, и нашел простое решение с Akismet. А оказывается, оно у меня и было установлено с самого начала. Так что мне осталось его только активировать. Для активации нужно получить api, зарегистрировавшись на официальном сайте и выбрав подходящий план. В общем, все предельно ясно указано в подсказках.
Выбор плана бесплатный
Не пугайтесь, можно и не платить за использование Akismet. В выборе плана необходимо кликнуть на Personal, и не забудьте перетащить ползунок до 0$. Но если у вас есть лишние пару баксов, либо же вы хотите оценить труд разработчиков, то можете внести свой взнос, а то «рожица» расстроена, что мы ничего не платим. Далее заполняем контактные данные в форме, и получаем наш ключ, который необходимо вставить на WordPress в настройках плагина.
Помогает ли?
Спамить меня начали хорошенько. В течении 10 минут появлялись около 3-5 комментариев. После установки данного плагина, уже прошло 2 дня, пока ни одного еще подобного комента не прошло. Так что, пока советую устанавливать этот плагин.
- 5
- 4
- 3
- 2
- 1
myfreelanceblog.net
Как защитить блог на WordPress?
Всем доброго времени суток!
Пришло время рассказать о том, как защитить блог на WordPress.
Ищешь заработок в Интернете? Записывайся на бесплатный онлайн курс «СПЕЦИАЛИСТ ПО ИНТЕРНЕТ-РЕКЛАМЕ» и получи удаленную профессию рекламщика в Яндекс Директ за 10 дней!Сейчас вечер, за окном темно, сыро и неприятно, под покровом ночи могут происходить всякие нечистые дела. Примерно такая последовательность мыслей в моей голове сподвигла меня прервать свое расслабленное времяпрепровождение и написать данную статью как раз таки на тему противодействия нечистым делам в сфере взлома блогов, атак на блоги, рассылки спама, воровства информации и прочего.
По мере того, как вы продвигаетесь все дальше и дальше на пути ведения своего блога, развиваетесь в этой сфере и ваш ресурс приобретает все более внятные очертания, прямо пропорционально увеличивается риск взлома вашего творения, ведь оно может представлять уже определенную ценность. Представьте на миг, в один прекрасный момент, вы как обычно пытаетесь войти на ваш блог, но вдруг понимаете, что сделать это не получается, и дело тут абсолютно не в том, что у вас возникли проблемы с доступом к интернету, и не с профилактическими работами вашего хостинг-провайдера, а дело в том, что какой-то нехороший человек, из каких-то непонятных вам побуждений, взял и взломал ваше творение. Я такое представить-то боюсь, не то что пережить. Конечно, с определенной долей вероятности что-то предпринять и исправить получится, но зачем эта пустая трата времени и нервов.
Чтобы спать спокойно и не переживать за сохранность вашего ресурса необходимо провести определенный комплекс мероприятий по усилению степени защищенности блога. Разумеется сделать блог абсолютно неуязвимым не удастся, учитывая уровень развития технологий в современном мире, при желании взломать можно что угодно. Другое дело, что после проведения комплекса мероприятий по защите блога, взломать его будет в разы сложнее, потребуется, так сказать, другой уровень квалификации хакера.
Думаю, на данный момент лирики достаточно, можно переходить к делу, к технической стороне вопроса, то есть к реализации поставленной цели — защитить блог.
Как защитить WordPress?
Защищать блог будем с использованием плагина WordPress под названием Better WP Security (в настоящее время плагин носит название iThemes Security). У меня он уже установлен:
После установки и активации плагина у вас в меню админ-панели появится пункт Безопасность:
Щелкаем по нему, в результате чего появляется окно, в котором предлагается создать резервную копию базы данных:
Жмем на соответствующую кнопку, предварительно убедившись, что указан верный email, на который будет выслана база. Проверяем — у меня все получилось, копия базы данных успешно пришла на мой почтовый ящик.
Идем дальше, в появившемся окне находим кнопку Защитить мой сайт от базовых атак:
Нажимаем ее, тем самым мы переходим к основным действиям по защите блога. Появится следующее окно:
Логичным выглядит вопрос, почему текст разноцветный? Все просто, каждый цвет несет определенный смысл, а именно:
- зеленый — полная защита;
- желтый — частичная защита, для полной защиты необходимо проделать определенные действия;
- синий — защита не в полной мере по причине несовместимости с темой или каким-либо плагином;
- красный — защита отсутствует.
Таким образом можно оценить, по каким пунктам блог требует проведения дополнительных мероприятий по его защите. В моем случае, как видно из рисунка выше, концентрация зеленых пунктов невелика, следовательно нужно будет немало потрудиться над приведением в порядок защиты моего блога.
Не будем терять ни минуты, ведь блог судя по всему находится под угрозой. Приступаем к настройке плагина Better WP Security. Наша цель — максимально снизить количество красных пунктов и увеличить количество зеленых.
Пойдем по порядку. Заходим во вкладку Пользователь:
По умолчанию WordPress создает пользователя с именем admin, и все прекрасно это знают. Так что если вы не поменяете имя пользователя на другое, то потенциальный взломщик может воспользоваться этим для упрощения своей жизни, то есть имя пользователя ему угадывать уже не нужно, остается только подобрать пароль. Так вот, чтобы усложнить жизнь подобного рода вредителям нужно чтобы у вас не было пользователя с именем admin. Вводим новое имя администратора. Также на данной вкладке нужно изменить идентификатор ID администратора (по умолчанию ему присвоено значение 1), для этого жмем на соответствующую кнопку. В результате картина будет следующая:
С этим разобрались. Идем далее, и на очереди вкладка Away:
Смысл здесь довольно прост — вам предоставляется возможность определить временные интервалы, в которые доступ к админ-панели будет разрешен. Во все остальное время войти туда будет невозможно. Данную функцию используйте по своему усмотрению, главное на попасться на свою же уловку.
Переходим на вкладку Ban. Что здесь представляет интерес? Вот этот пункт:
отвечает за включение «черного списка по умолчанию», то есть определенного списка бот-сетей, с которого часто осуществляются атаки на интернет-ресурсы. Здесь нужно быть осторожным, так как его активация может вызвать проблемы с индексацией вашего блога Яндексом, основной поисковый робот которого может находится в данном черном списке.
Ниже расположены поля для внесения IP адресов и клиентских приложений, с которых идут атаки на ваш блог, в черный список:
На очереди вкладка Dir:
Здесь предусмотрена одна функция, а именно вы можете изменить имя директории wp-content, в которой храниться содержимое вашего блога (установленные темы, плагины, загруженные файлы и т.д.). Я здесь ничего менять не буду, так как у меня в блоге уже все настроено и переименование данной директории повлечет необходимость переделывать все заново. Если бы я знал о данном плагине раньше, то установил бы его в первую очередь и смог бы воспользоваться данной функцией. Ничего не поделаешь, все приходит с опытом.
В следующей вкладке Backup:
можно задать параметры резервного копирования базы данных. Тут все понятно, подробнее рассказывать не буду.
Переходим на вкладку Prefix:
Для всех таблиц вашей базы данных по умолчанию назначен префикс wp_, что значительно облегчает процесс написания скриптов для получения доступа к вашей базе данных. Так вот, сменив префикс, вы создадите дополнительные трудности для взлома базы данных, что соответственно повысит защищенность вашего блога. Для смены префикса на данной вкладке достаточно щелкнуть по кнопке Изменение префикса таблицы базы данных. После этого будет сгенерирован новый префикс, его вы сможете увидеть здесь же:
Больше на этой странице ничего интересного нет, можно идти дальше.
На вкладке Hide вы можете изменить URL для доступа к вашей WordPress:
Здесь можно прописать любые комбинации латинских символов, главное запомнить, ведь именно по ним вы в дальнейшем и будете авторизовываться. Данное мероприятие дополнительно обезопасит ваш блог от взлома.
Идем далее, на очереди вкладка Detect. Если замечаете, что очень часто идут запросы на несуществующие страницы вашего блога (то есть запросы, получающие ошибку 404), то вероятнее всего это указывает на осуществление атаки на него. Для пресечения данных атак нужно провести определенные настройки на вкладке Detect, в итоге получиться должно следующее:
Если не хотите особо вникать, то можете просто взять мои значения. Адрес электронной почты укажите свой (скорее всего он будет прописан автоматически).
Теперь подробнее:
Check Period означает сколько времени (в минутах) будет в памяти зафиксирован факт возврата ошибки 404 на определенный IP адрес.
Порог ошибки — это количество возвратов ошибки 404 за Check Period на определенный IP адрес, по мере достижения которого данный IP будет заблокирован на Период блокировки.
Blacklist Repeat Offender — это функция поместит IP адрес в черный список по мере достижения количества блокировок, указанного в поле Blacklist Threshold.
В поле 404 White List внесите IP адреса, для которых данные правила действовать не будут (к примеру, свой).
Вкладка Detect довольно длинная, поэтому скриншот я разбил на две части, вот вторая часть:
После внесения данных изменений вам на электронную почту, указанную в поле Адрес электронной почты, будут высылаться уведомления о внесенных в файлы блога изменениях.
В поле File/Directory Check List укажите папки и типы файлов, изменения в которых будут/не будут фиксироваться (в зависимости от значения поля Include/Exclude List). Я исключил из перечня папку кэша. Не забывайте сохранить изменения.
Далее идем на вкладку Login. У меня данная вкладка выглядит следующим образом:
Теперь поясню подробнее. Все действия подобны тем, что мы делали на вкладке Detect. Суть такова: мы предоставили 5 попыток (поля Max Login Attempts Per Host и Max Login Attempts Per User) в течение 10 минут (поле Login Time Period (minutes)) для авторизации на вашем блоге, если все они неудачны (неверные учетные данные), то пользователь блокируется на 20 минут (поле Lockout Time Period (minutes)). Если подобное повторяется суммарно 5 раз (поле Blacklist Threshold), то пользователь оказывается в черном списке. Можете просто повторить мои настройки, ну или придумайте свои, на ваше усмотрение.
Идем далее, на очереди вкладка SSL:
SSL представляет из себя протокол, обеспечивающий безопасность связи. Тут есть одна тонкость, для использования данной функции этот протокол должен поддерживаться вашим сервером. Если ваш сервер удовлетворяет данным требованиям, то можете выбрать использование данного протокола для шифрования передачи данных в отношении всего блога или его части (поле Enforce Front end SSL). В данной вкладке я ничего менять не буду.
На вкладке Tweaks содержится ряд настроек, которые могут существенно улучшить безопасность вашей системы. Желтым цветом подсвечены пункты, изменение которых несет риск нарушения правильного функционирования системы, поэтому, если вы все-таки решили здесь что-то поменять, то проверьте потом работоспособность системы. Тут рекомендовать ничего не буду, так как все индивидуально, и то, что помогло мне, у вас может вызвать негативный эффект.
Последняя вкладка — Log. Здесь аккумулируется статистика вторжений в вашу систему и некоторая другая информация. Периодически отслеживайте ее.
Мы рассмотрели все вкладки плагина Better WP Security. В начале статьи я приводил скриншот вкладки Dashboard, на которой отображалось состояние защиты моей системы по различным параметрами. После внесения всех изменений получилась следующая картина:
Как видно из рисунка, красных пунктов у меня не осталось, а количество зеленых пунктов увеличилось. На основании этого можно сделать вывод, что теперь моя система защищена и явных проблем в плане безопасности нет.
Таким образом, проведя комплекс мероприятий с использованием плагина Better WP Security, мы защитили WordPress.
Рекомендую и вам использовать описанный в данной статье метод защиты блога на WordPress от действий злоумышленников и прочих угроз, встречающихся сплошь и рядом на просторах интернета.
На этом все, не забывайте подписываться на обновления моего блога, чтобы не пропустить появление в нем новых статей!
P.S. На просторах интернета наткнулся на книгу Михаила Човбана о защите WordPress под названием «Защищенный WordPress на 100%». Отзывы просто супер! Обязательно куплю себе и вам советую! Защитите свой блог сегодня, чтобы спать спокойно!
До скорых встреч. С уважением, Владимир Денисов!
expromtom.ru