Как защитить WordPress блог от взлома

Привет всем посетителям блога www.advdk.com!

Прочитав эту статью Вы узнаете, как защитить WordPress от взлома. Будут рассказаны способы защиты WordPress блога. Данный движок является самым популярным в интернете, поэтому на сегодняшний день существует много взломщиков и специальных роботов-программ, которые взламывают блоги, но мы им в этом помешаем и не дадим вскрыть наш блог.

С защитой Worsdpress лучше не откладывать не на день, так как будет очень жалко если Ваше детище сломают, напустят всяких вирусов, поставят ссылки на чужие ресурсы (Вы даже об этом знать не будите), удалят часть контента и т.д. Поэтому рекомендую сделать защиту WordPress прямо после чтения этой статьи или все делать, повторяя за мной.

Многие webmastera, о защите WordPress блога даже не думают. Установили движок, напихали его различными плагинами и на этом все заканчивается, начинают писать статьи в блог и раскручивать его.

Не думайте, что я особенный! У меня был блог, который посещали достаточно много людей, не смотря на его возраст – 500 уникальных посетителей за сутки. Короче говоря, его взломали, потому что я, как и многие webmastera не задумался о том, что надо защитить блог.

Мой WordPress блог был взломан, на нем сменили логин и пароль. Это мне повезло – мошенники оказались не так уж умны, логин и пароль я восстановил и сразу принялся искать информацию в интернете – «как защитить WordPress от взлома» и нашел. Теперь этими бесценными знаниями я хочу поделиться с Вами в данной статье. Поверьте, мне на слово – как только Ваш web-ресурс станет популярным, появятся люди, то есть хакеры, мошенники, которые захотят его взломать.

Пользуясь, случаем объявляю начало конкурса на блоге, конкурс два в одном, подробнее читайте здесь.

СЕМЬ СОВЕТОВ ПО ЗАЩИТЕ WORDPRESS БЛОГА ОТ ВЗЛОМА

Перед защитой блога сделайте бэкап базы данных, если что-то пойдет не так, Вы всегда сможет восстановить поврежденные файлы. О том, как сделать бэкап базы данных я писал в статье «настройка блога WordPress«. Сделайте обязательно копию Вашего блога, если что-то пойдет не так, сможете всегда взять копированный файл и вернуть все на свои места.

Защита WordPress, первый совет – установите на блог два важных плагина, которые защитят вход в админ панель WordPress.

  1. Anti-XSS attack
  2. Limit Login Attempts или Login LockDown

Плагин Anti-XSS attack защитит Ваш ресурс от атак. Limit Login Attempts или Login LockDown – плагины предотвратят многочисленные попытки входа в амин панель блога, это необходимо, когда взломщик подбирает логин и пароль для входа. Данные плагины позволяют ошибиться в воде пароля только 3 раза, если допущено больше ошибок, то система плагина закроет на время доступ этому IP.

Это у меня так, а Вы можете в настройках этого плагина поменять эти значения, то есть выставить любое время блокировки и ограничить попытки ввода, а админ панель. Устанавливаются эти плагины как обычно «Как установить плагины на блог».

Как защитить WordPress от взлома, совет номер два – смените свой логин и пароль для входа в админ панель Вашего блога, так как по умолчанию ставиться логин админ, вот его мы и изменим для начала. Через админку этого сделать нельзя, поэтому мы воспользуемся хостингом где установлен наш WordPress блог в phpMyAdmin:

Как защитить WordPress блог

Теперь зайдем в таблицу базы данных нашего блога и выбирайте там пункт wp_users. Выбирайте admin во вкладке «обзор» и жмите «правка»:

Как защитить WordPress

Здесь нам необходимо изменить значение admin в двух местах на любое другое.
Здесь мы можем поменять пароль, пароль нужен длинный – 20-30 символов, пароль должен состоять и цифр, и латинских букв – больших и маленьких.

Сменить пароль просто – в поле user_pass сотрите все иероглифы и вставьте туда свой пароль. Логин и пароль рекомендую записать и скинуть на флэш карту!

Защита WordPress, совет под номером 3 – зайдите в корень Вашего блога и удалите там файлы license.txt и readme.html они вам не пригодятся. С помощью этих двух файлов хакеры могут взломать WordPress блог без труда. Зайдя в эти файлы, хакер узнает версию Вашего движка и т.д.

Как защитить блог

В папке блога найдите файл header.php. Там надо удалить строку :

<meta name="”generator”" content="”WordPress" />” /&gt;

Эта строчка покажет злоумышленнику версию WordPress, поэтому удаляйте ее не задумываясь.

Защита WordPress, совет под номером 4 – поставьте себе на блог плагин wordpress database backup, этот плагин будет защищать Вашу базу данных. Плагин можно настроить так, что он будет отправлять Вам на электронную почту, Вашу базу данных. После установки плагина можете больше не переживать о базе данных Вашего блога!

Как защитить WordPress от взлома, совет под номером 5 – надо проверить, открываются ли такие адреса в браузерах:

http:// www.vashsait.com /wp-content/plugins/

После набора данных адресов могут отобразиться каталоги и папки Вашего блога, если так и есть, то это очень плохо! Сами понимаете почему!? Откройте снова корень блога и создайте с начало в папке — wp-content пустой файл index.php и в папке plugins тоже. После этого выше упомянутые адреса будут открываться в браузерах, но там ничего не будет видно.

Плюс к этому советую прописать в файле .htaccess вот такую строчку:

Options All –Indexes

Что такое файл .htaccess и как создать правильный файл .htaccess.

Следующий шаг защиты блога на движке WordPress

Шестой совет – нужно удалить строки <meta name=»generator» content=»WordPress 3.х» />, откройте файл function.php, он находится в папке с Вашей темой. После открытия файла, пролистайте его почти в самый низ и вставьте туда строчки:

// Удаление строки <meta name="generator" content="WordPress 3.х" />
remove_action('wp_head', 'wp_generator');

Очередной способ защитить WordPress блог

В файле search.php надо поменять строки:

<!--?php echo $_SERVER ['PHP_SELF']; ?-->

На строку:

<!--?php bloginfo (’home’); ?-->

Данная функция ставит запрет на лазанье по Вашему серверу, но если у Вас такого файла в папке с темой нет, то ничего не меняйте.

Как защитить блог от врагов

Защита WordPress, совет под номером 7 — проверьте свою админку, зайдите во вкладку плагины и удалите те, которые Вы не используете. Регулярно обновляйте WordPress и плагины, потому, что старые версии могут иметь уязвимости, другими словами ДЫРЫ в которые могут проникнуть злоумышленники.

Зайдите на вкладку параметры/общие, там на против строки «любой может зарегистрироваться» снимите флажок! И не забудьте в аккаунте Вашего хостинга поставить сложный логин и пароль!

Ну вот и все! Защита WordPress готова! Конечно если полазить в интернете, то можно найти еще способы обезопасить свой блог, но они будут не нужны, так как я вам рассказал о самых главных, важных, нужных и проверенных способах.

На этом пост закончен. Подписывайтесь на [urlspan]обновления блога[/urlspan]. До новых встреч!

С уважением, Алексей Кобзарев



Интересный и полезный контент

53 thoughts on “Как защитить WordPress блог от взлома

  1. Артём

    Очень интересно и полезно. НО: пожалуйста, корректируйте свои статьи перед отправкой на сайт, хотя бы набирайте их в Word с проверкой орфографии и стилистики! Удобочитаемость таким образом может изрядно повыситься, так как автор сайта должен подавать читателям хороший пример и им не следует при чтении отвлекаться на забавные ошибки.
    Это относится ко всем статьям данного ресурса!!!

    1. Алексей Кобзарев Автор записи

      Где Вы конкретно нашли ошибки? Просьба — в дальнейшем такие вот письма пишите мне в личку, адреса Вы найдете на странице контакты, комментарии на блоге только для статей!

  2. Александр Иванович

    Очень интересно и полезно. НО:если интересно и полезно, то на выискивание грамматических ошибок времени не остаётся.
    Вывод:
    1.Не интересно по той причине, что комментирующий всё это знает.

    2.Не интересно по той причине, что комментирующий совершенно не разбирается в теме и все силы направляет на поиск ошибок в тексте.

  3. Михаил

    Тема злободневная! Каждый автор вкладывает душу в создание своего детища -сайта (блога) и обидно, когда его уродуют, напичкивают ссылками и вирусами. Недавно попал в такую ситуацию, хотя все, о чем пишет автор,было выполнено. Стараешься отдать хороший материал и, кажется, делаешь добро, а в награду получаешь кучу проблем. Совет всем: как только заметили малейшие отклонения в работе сайта,сразу проверяйте на наличие вирусов. Это можно сделать бесплатно http://antivirus-alarm.ru/ ( прошу прощения за ссылку, с нее я ничего не имею, а для многих может быть полезна.
    Всем удачи и спасибо автору

    1. Александр Иванович

      Михаил!
      Спасибо за дельный совет и за ссылку.
      Для меня она действительно полезна полезна.

  4. ZeroXor

    Эвона как оказывается можно пароль-то через phpMyAdmin поменять. А ничего, что это не пароль в чистом виде, а его md5-хэш, причем, соленый? Практически уверен, что после замены пароля, описанного в посте, в админку Вы уже не войдете.

    И еще самое главное правило по защите — обязательно и регулярно делайте бэкапы. Лучше даже в cron’е настроить, чтобы, например, раз в сутки делался бэкап. Любую защиту можно обойти, но когда под рукой есть точка восстановления, пусть и суточной давности, уже как-то спокойнее спится.

    1. Александр Иванович

      ZeroXor
      Не понятная фраза
      {что после замены пароля, описанного в посте, в админку Вы уже не войдете.}
      Это, как злоумышленники уже не войдут или все,включая и хозяина блога?

  5. Ирина

    А я проще сменила логин админа — в админке в разделе Пользователи -создать нового пользователя — регистрирую себя с другим е-майлом и логином с правами администратора. Затем выхожу, захожу под новым логином, удаляю пользователя admin, перед этим меня спрашивают — связать все записи пользователя admin с новым логином -разумеется, ставим да. Вот и все.

    1. Александр Иванович

      Ирина!
      А мне смена логина «админ» — в админке в разделе Пользователи -создать нового пользователя не понравился и я его поменял в базе данных.

      1. Александр

        Ирина совершенно права! Многие создатели сайтов на wordpress сами усложняют себе жизнь, забывая о возможностях движка и простоте действий. Ирина сделала то же самое что и вы, Александр, только гораздо проще.

  6. Андрей Бас

    Здравствуй Алексей!
    Плагин Anti-XSS attack ставить не рекомендую, так как сильно (морально) устарел, не обновляется более 2-х лет.
    Ему есть отличная замена!
    От SQL инъекций и от кражи контактных данных комментаторов что можете посоветовать?

    1. Алексей Кобзарев Автор записи

      Честно говоря не знаю. Воспользуйтесь поиском в google.

  7. Владимир

    Шестой совет – откройте файл function.php, он находится в папке с Вашей темой. После открытия файла, пролистайте его в самый низ и напишите строку:

    После этого не могу зайти к себе на сайт.Что делать?

  8. Владимир

    Все дело в том, что я не просто не мог зайти на сайт.Сайта просто не стало т.е.выподала ошибка-мол ресурс не существует.Пришлось через хостинг востанавливать сайт.Предупредите своих читателей, что может такое произойти,если воспользоваться Вашим советом №6

  9. vit

    Насчет обновлений движка — спорный момент. Лично я ничего не обновляю — это гемор в чистом виде! С каждой новой версией растет объем занимаемой памяти на хостинге, сайт ест больше ресурсов и становится все медленнее. Есть сайтик на версии 2.5.х и прекрасно работает, остальные на версии 2.9.х и проблем нет!
    В остальном защита почти как написано, с некоторыми изменениями.

    1. Алексей Кобзарев Автор записи

      Зря не обновляете. Ничего сложного в этом нет! с каждой новой версией движок становиться лучше, нельзя только устанавливать пробные версии. Лучше дождаться готовую версию и установить ее, тем самым обезопасить блог. Рекомендую делать обновления вовремя, то есть обновляйтесь сразу когда выходит новая версия.

  10. Сергей

    У меня сейчас защита по Вашему рецепту, еще с лета. Тогда меня взломали, наставили несколько тысяч ссылок в спам-комментариях. Думаю, это одна из причин того, что я угодил под АГС. Потом еще долго спамом бомбили, пока капчу не поставил.

    1. Алексей Кобзарев Автор записи

      Не совсем понял, взломали после того как воспользовались моим рецептом?

        1. Сергей

          Сайт мой делал фрилансер, я тогда мало соображал (в феврале). В июне поехал в отпуск, доступа к сети не было. На сайте были больше 10 тысяч спам-комментариев из-за бугра со ссылками на всякую гадость.

        2. Алексей Кобзарев Автор записи

          Да уж, Вам не позавидуешь.

  11. Вера

    Вопрос к Алексею. А не проще ли несколько разных плагинов заменить одним — Better WP Security? Он и ограничивает вход, и меняет адрес админки, и предотвращает попытки перезаписи файлов и ещё много чего делает.

    1. Алексей Кобзарев Автор записи

      Дело в том, что я не пробовал этот плагин на себе, а на блоге пишу только проверенные способы лично мной. Вы уверены, что этот плагин не повредит блогу?

      1. Вера

        Мне особо сравнивать не с чем, у меня пока опыта нет. Плагин описывали люди, претендующие на авторитетность, я просто им поверила и поставила. Теперь он мне регулярно присылает бекапы по расписанию и даже информирует, какие боты меня посещали. География впечатлительная.

  12. Вера

    Да Вы экстрасенс, однако. Я сейчас читала несколько страничек на Вашем сайте и подумала, а не набраться ли мне нахальства и не попросить ли автора убрать гирлянды? Слишком уж они неприятно и раздражающе мельтешат. Но подумала, что не имею права вмешиваться. Это личное дело автора. Мало ли кому что не нравится. Всем угодить невозможно. Меня и смайлики раздражают, так что ж теперь, ещё и их убирать?

    1. Алексей Кобзарев Автор записи

      Когда ставил гирлянды думал, что они наоборот понравятся посетителям, но тут вчера один человек написал в комментариях «Раздражают Ваши гирлянды», потом еще несколько человек подтвердили и я решил их убрать. Скажите, смайлики раздражают, именно эти или вообще?

      1. Вера

        Вы меня провоцируете. Я тут уже столько написала, что спамером себя чувствую. Не нравятся именно эти, маленькие, кривляющиеся — такие противные. Я всех друзей предупредила, чтобы они мне смайлики в сообщениях не ставили. Но в Одноклассниках иногда бывают большие, симпатичные и довольно прикольные. Те больше нравятся.
        Но убирать не следует, я на них просто внимания не обращаю и не использую

        1. Алексей Кобзарев Автор записи

          А мне нравятся Ваши комментарии, тем более больше шансов на победу. Возможно скоро один человек прочитает мое вчерашние сообщение и тоже подключиться, он постоянно выигрывал этот конкурс.

        2. Вера

          Вот и славненько, пусть выигрывает, тем более, что у него опыт есть. Я ещё никогда нигде не выигрывала, но совершенно случайно заработала аж 4 доллара. Мне прислали длиннющее продающее письмо с предложением купить инфу, точнее, тренинг по копирайтингу, и обещали заплатить 2 доллара за каждую найденную в письме орфографическую ошибку. Я нашла две, за них действительно заплатили, а вот за синтаксические ошибки платить отказались. Но я не в обиде, ведь речь шла только об орфографии. Правда, я ещё обнаружила 80 слов, в которых вместо буквы ё была е написана. Это тоже не засчиталось. Ну и ладно… Это был мой первый «большой» заработок в сети, практически халявный, ну, пришлось полтора десятка листов формата А4 прочесть, чтобы выудить оттуда ошибки. Любит у нас народ писать неприлично длинные продающие письма.

        3. Алексей Кобзарев Автор записи

          У Вас отличные комментарии, если будете продолжать в том же духе, то победа за Вами. Первые деньги в сети всегда приятны.

  13. Вера

    Хорошо, я подумаю над вашим предложением. Я каждый день даю себе слово меньше висеть в сети, но как начинаю серфинг по интересным сайтам, так зависаю на несколько часов. Вчера мне очень толково объяснили (в статье на очередном блоге, разумеется), как пользоваться программой Web Developer. У меня всё «глаза не доходили» с ней разобраться, она ведь англоязычная, слишком много разных букв, поэтому лень. Сейчас стало чуть понятнее, надо практиковаться. Вообще, столько всего умного и интересного в Интернете — просто поразительно.

    1. Алексей Кобзарев Автор записи

      Согласен, сейчас ерунды стали писать меньше.

  14. Сергей

    Спасибо Алексей за ценную информацию. Я как раз занимаюсь настройкой сайта и мне ваши советы очень пригодятся. Сайт очень интересный. Так держать.

  15. ирина

    Добрый вечер!Выполняю пункт 3, но никак не могу найти «В файле блога — header.php надо удалить строку :
    ” />
    Подскажите пожалуйста путь, может не там ищу. ❓

    1. Алексей Кобзарев Автор записи

      Файл header.php должен быть обязательно, так как он отвечает за верх блога. Зайдите в корень своего блога, там где находятся все файлы, папки и внимательно идите по такому пути:

      wp-content/themes/название Вашего шаблона/

      Найдите там файл header.php. Все должно получиться. Удачи! 🙂

  16. ирина

    у меня вот такая строчка только <meta name="generator" content="WordPress » /> Извините за тупость всю ее удалить?

    1. Алексей Кобзарев Автор записи

      Не нужно извиняться, задавайте все вопросы, которые Вас интересуют! Удаляйте полностью, но помните: у Вас должна быть копия шаблона, чтобы если, что все вернуть назад на свои места. Потому что у всех шаблоны разные и блог может повести себя по разному.

  17. Владимир

    Есть еще очень хороший способ защитить свой сайт и не только на WordPress, но этот способ подойдет только для владельцев статических IP. Достаточно создать файл .htaccess в тех папках, содержимое которых нужно скрыть, и добавить в этот файл:

    Order deny,allow
    Deny from all
    Allow from XXX.XXX.XXX.XXX

    где XXX.XXX.XXX.XXX — это Ваш статический IP

  18. Надежда Давыдова

    Я тоже испробовала все способы, но атаки не прекращались, пока не запретила доступ к админке всем ip, кроме моего. Теперь тишина и спокойствие!

  19. Виктор

    Отличные смайлики в комментариях) у Вас есть статья на эту тему? 😈

    1. Алексей Кобзарев Автор записи

      Статьи нет, но если хотите могу скинуть смайлы в виде ссылки, с которой скачаете их себе?

  20. Света

    Мне нравится защищать админку с помощью htaccess + .htpasswd. Кстати этот способ подходит и для других CMS, что очень удобно. Об этом способе я узнала из одного блога. Теперь только им и пользуюсь.

  21. Админ

    Советую защиту админки Вордпресс с сайта FrolovTechnology, но она платная, около 500руб. Зато надежная! Успехов!

    1. Алексей Кобзарев Автор записи

      Админ, благодарю за рекомендацию! Думаю, многим моим читателям будет полезна эта информация.

  22. Олег

    Уважаемый, тема действительно интересная и важная. Спасибо за работу!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *