Учимся защищать свой блог на WordPress.
В сегодняшней статье я хочу остановиться на вопросах безопасности сайта, сделанного на очень популярном сегодня движке wordpress и защите его от взлома. Ведь не для кого не секрет, что лучше всего учиться на чужих, а не на своих ошибках. Мне хотелось бы, что бы вы серьезно отнеслись к данной статье.
Многие владельцы сайтов и вебмастера (в том числе и я, до недавнего времени) попросту не задумываются о безопасности своего ресурса. Основная концепция такова установили движек, натянули шаблон, залили контент и все хорошо. Дальше идет работа по продвижению и раскрутке, а про безопасность никто не задумывается.
Так и происходило в моем случае. Пока со временем сайт не был взломан, и был заражен вирусом. Причем заражение произошло при помощи изменения содержимого файла .htaccess. Сайт сразу выпал из поиска, как неблагонадежный ресурс. Пришлось потратить много времени на проверку антивирусами и выявление ошибок. После устранения последствий снова пришлось ждать повторного индексирования поисковыми системами.
После такого нехорошего случая защита сайта стала для меня обязательным делом, я постоянно выделяю некоторое время защите своего ресурса от хакерских атак. Поэтому надеюсь, что «страшные» хакеры и остальные взломщики мне не страшны.
Начинаем защищать свой wordpress ресурс от взлома.
Для начала будем защищать вход в административную панель. Для этого найдем в интернете и установим на сайт три полезных плагина:
- Anti-XSS attack;
- Limit Login Attempts или Login LockDown;
- database backup.
Первый — Anti-XSS attack поможет защитить интернет сайт от XSS-атак.
Второй — Limit Login Attempts или Login LockDown предотвращает многоразовые попытки подбора пароля для входа в панель управления. После трех неудачных попыток входа на сайт, плагин автоматически блокирует атакующего на заданный заранее временный промежуток. Плагин легко настраивается, в нем самостоятельно можно задать количество попыток входа и время блокировки. Процесс установки плагинов многократно описан в интернете, поэтому я на нем не буду останавливаться.
Третий плагин позволит сохранить копию базы данных вашего сайта, и в случае взлома или «падения» сайта без проблем восстановить вашу интернет страницу. Не забывайте только периодически архивировать базу.
Далее мы поменяем настройки учетной записи администратора, а именно связку логин, пароль. Заданные настройки по умолчанию подразумевают имя для входа admin. Вот его мы и поменяем. Сама CMS не позволяет нам это сделать, поэтому мы будем его менять в настройках нашего хостинга. Заходим в phpMyAdmin, затем идем в таблицу нашей базы данных и ищем пункт wp_users.
Во вкладке «Обзор» выбираем строку «admin», и нажимаем редактирование.
Изменяем слово «admin» на любое другое имя, и подтверждаем сделаный выбор кнопкой «Ок».
После смены логина пришло время изменить пароль для входа в админку. Лучше всего подойдет буквенно-цифровой не менее 10 символов. Для этого в столбце user_pass напротив нашего логина стираем все скществующие символы, затем набиваем новый пароль. В выпадающем списке задаем значение MD5 и нажимаем кнопку «ОК».
Еще один совет: в корневом каталоге вашего блока удалите файлы readme.html и license.txt. Они не несут абсолютно никакой смысловой нагрузки при работе сайта, а хакеры прочитав их узнают версию установленной CMS и другую необходимую и полезную для взлома информацию.
Следующий совет, по-моему четвертый.
В адресной строке браузера по очереди пропишите следующие адреса:
- http://ваш блог/wp-content/
- http://ваш блог/wp-content/plugins/
Если вы попадаете в каждую директорию и видите находящееся в ней содержимое (файлы и папки), то получается, что они открыты для злоумышленников. Лучше всего обезопасить себя следующим способом: создать в каждой папке пустой файл index.php. Тогда при оикрытии этих директорий посетители увидят пустую страницу.
Защитите свой файл .htaccess. Внесем в него следующий текст: Options All –Indexes.
Совет №5
Находим файл function.php, и в конце домисываем следующий код:
<!—?php remove_action (’wp_head’, ‘wp_generator’); ?—>
После этого в файле search.php
строку:
<!—?phpecho $_SERVER [‘PHP_SELF’]; ?—>
меняем на:
<!—?phpbloginfo (’home’); ?—>
С помощью таких манипуляций мы запретим посторонним попасть на наш сервер и ходить по нему.
Обязательно проверьте используемые плагины, и удалите не активные. Своевременно устанавливайте обновления для движка и плагинов, это позволит оперативно затыкать найденные дыры в коде.
Обязательно используйте сложные пароли для входа в панель управления хостингом, FTP-соединения и базы данных. Рекомендую отключить регистрацию посетителей на сайте, если это жизненно не необходимо.
Надеюсь, что вышеперечисленные советы помогут обезопасить ваш интернет-ресурс от взломщиков.