Учимся защищать свой блог на WordPress.

В сегодняшней статье я хочу остановиться на вопросах безопасности сайта, сделанного на очень популярном сегодня движке wordpress  и защите его от взлома. Ведь не для кого не секрет, что лучше всего учиться на чужих, а не на своих ошибках. Мне хотелось бы, что бы  вы серьезно отнеслись к данной статье.

Многие владельцы сайтов и вебмастера (в том числе и я, до недавнего времени) попросту не задумываются о безопасности своего ресурса. Основная концепция такова установили движек, натянули шаблон, залили контент и все хорошо. Дальше идет работа по продвижению и раскрутке, а про безопасность никто не задумывается.

Так и происходило в моем случае. Пока со временем сайт не был взломан, и был заражен вирусом. Причем заражение произошло при помощи изменения содержимого   файла .htaccess. Сайт сразу выпал из поиска, как неблагонадежный ресурс. Пришлось потратить много времени на проверку антивирусами и выявление ошибок. После устранения последствий снова пришлось ждать повторного индексирования поисковыми системами.

После такого нехорошего случая защита сайта стала для меня обязательным делом, я постоянно выделяю некоторое время защите своего ресурса от хакерских атак. Поэтому надеюсь, что «страшные» хакеры и остальные взломщики мне не страшны.

Начинаем защищать свой wordpress ресурс от взлома.

Для начала будем защищать вход в административную панель. Для этого найдем в интернете и установим на сайт три полезных плагина:

  • Anti-XSS attack;
  • Limit Login Attempts или Login LockDown;
  • database backup.

Первый —  Anti-XSS attack поможет защитить интернет сайт от XSS-атак.

Второй —  Limit Login Attempts или Login LockDown предотвращает многоразовые попытки подбора пароля для входа в панель управления. После трех неудачных попыток входа на сайт, плагин автоматически блокирует атакующего на заданный заранее временный промежуток. Плагин легко настраивается, в нем самостоятельно можно задать количество попыток входа и время блокировки. Процесс установки плагинов многократно описан в интернете, поэтому я на нем не буду останавливаться.

Третий плагин позволит сохранить копию базы данных вашего сайта, и в случае взлома или «падения» сайта без проблем восстановить вашу интернет страницу. Не забывайте только периодически архивировать базу.

Далее мы поменяем настройки учетной записи администратора, а именно связку логин, пароль. Заданные настройки по умолчанию подразумевают имя для входа admin. Вот его мы и поменяем. Сама CMS  не позволяет нам это сделать, поэтому мы будем его менять в настройках нашего хостинга. Заходим в phpMyAdmin, затем идем в таблицу нашей базы данных и ищем пункт wp_users.

Во вкладке «Обзор» выбираем строку «admin», и нажимаем редактирование.

phpadm

Изменяем слово «admin» на любое другое имя, и подтверждаем сделаный выбор кнопкой «Ок».

После смены логина пришло время изменить пароль для входа в админку. Лучше всего подойдет буквенно-цифровой не менее 10 символов. Для этого в столбце user_pass  напротив нашего логина стираем все скществующие символы, затем набиваем новый пароль. В выпадающем списке задаем значение MD5 и нажимаем кнопку «ОК».

Еще один совет: в корневом каталоге вашего блока удалите файлы readme.html и license.txt. Они не несут абсолютно никакой смысловой нагрузки при работе сайта, а хакеры прочитав их узнают версию установленной CMS и другую необходимую и полезную для взлома информацию.

Следующий совет, по-моему четвертый.

В адресной строке браузера по очереди пропишите следующие адреса:

  • http://ваш блог/wp-content/
  • http://ваш блог/wp-content/plugins/

Если вы попадаете в каждую директорию и видите находящееся в ней содержимое (файлы и папки), то получается, что они открыты для злоумышленников. Лучше всего обезопасить себя следующим способом: создать в каждой папке пустой файл index.php. Тогда при оикрытии этих директорий посетители увидят пустую страницу.

Защитите свой файл .htaccess. Внесем в него следующий текст: Options All –Indexes.

Совет №5

Находим файл  function.php, и в конце домисываем следующий код:

<!—?php remove_action (’wp_head’, ‘wp_generator’); ?—>

После этого в файле search.php

строку:

<!—?phpecho $_SERVER [‘PHP_SELF’]; ?—>

меняем на:

<!—?phpbloginfo (’home’); ?—>

С помощью таких манипуляций мы запретим посторонним попасть на наш сервер и ходить по нему.

Обязательно проверьте используемые плагины, и удалите не активные. Своевременно устанавливайте обновления для движка и плагинов, это позволит оперативно затыкать найденные дыры в коде.

Обязательно используйте сложные пароли для входа в панель управления хостингом, FTP-соединения и базы данных. Рекомендую отключить регистрацию посетителей на сайте, если это жизненно не необходимо.

Надеюсь, что вышеперечисленные советы помогут обезопасить ваш интернет-ресурс от взломщиков.