Как защитить блог от взлома?
Добрый всем день, уважаемые читатели! Начну я сегодня «С места в карьер».
Многие начинающие блоггеры и вебмастера, особенно у которых создание и ведение интернет ресурса является первым опытом, совершенно не задумываются о том, как защитить блог от взлома. Как это обычно и бывает, все мы, по началу быстренько состряпаем блог, чуть побольше поработаем над его дизайном, ткнем туда несколько популярных плагинов, напишем интересные статьи и ждет наплыва посетителей. Так делает большинство начинающих блоггеров, и никто из них не задумывается о том, что в один “прекрасный” момент он не сможет зайти на свой любимый ресурс, которому он посвятил свое время и отдал силы. Конечно, такие ситуации происходят не только с начинающими вебмастерами, но и с опытными, когда их блог становится популярен. В связи с этим, я хочу поговорить сегодня с вами о том, как защитить блог от взлома?
Я сейчас постараюсь, по пунктам, наиболее доступно все рассказать.
Как защитить wordpress от взлома?
Постараюсь разложить все по пунктам, чтобы было максимально понятно, как защитить блог от взлома.
Пункт №1. Для того. Чтобы обеспечить защиту wordpress блога от взлома, необходимо установить несколько плагинов.
Anti-XSS attack, это плагин, который будет защищать блог от взлома и XSS атак,то есть от таких нехороших вещей, как взлом вашего логина и пароля. После его установки, при попытке входа в административную панель, перед вами будет выскакивать вот такая строка:
Так же эти атаки, могут пагубно повлиять на дальнейшее существование ресурса.
Login LockDown, это плагин, который не даст злоумышленникам многократно пробовать подбирать пароль к вашему ресурсу, то есть установит определенное количество попыток (количество попыток можно регулировать в настройках плагина). Кроме того, можно установить время, которое следует выждать, чтобы после, например, 3-х неудачных попыток отводилось до следующего шанса ( например, после того, как вы ввели неправильно пароль или логин, вам дается право заново попробовать зайти, только через 3-4-5 часов)
Эти плагины явно не будут лишними в вашей обойме и осуществят надежную защиту блога.
Пункт №2. Замените логин для попадания в административную панель wordpress. Напомню, что по умолчанию у вас стоит логин – Admin
Его нужно поменять. Для этого вам нужно пройти в административную панель управления вашим хостингом и открыть небезызвестный вам PHPmyAdmin. Помните?
Открываете свою базу данных(если у вас их несколько) и выбираем там пункт меню “wp-users”, далее в строчке “Обзор” жмем в появившемся окне на инструмент карандаш, то есть “Правка”.
Далее в строке “user_login” меняем стандартное имя администратора – “admin”, например на "Vasya”, изменения необходимо прописать в двух местах. Так же можно изменить пароль для входа в административную панель. Делается это в том же окне, в котором мы меняли имя пользователя, только выбираем столбец “user_pass” и изменяем пароль на любой, который душе угоден. Выбирайте MD5, который будет отображаться в выпадающем окне.
Да, и ни в коем случае не разрешайте вашему браузеру запоминать пароль, то вы можете стать жертвой вируса шпиона!
Пункт №3. Если вы хотите защитить WordPress блог от взлома по максимуму, не забывайте своевременно обновлять WordPress движок до свежей версии. (о том, как это сделать,подробнее расскажу в следующих постах, не пропустите) Так как в старых версия появляются дыры, которые делают ваш ресурс уязвимым.
Пункт №4. Позаботьтесь об удалении 2-х файлов с именами Readme.txt и License.txt, которые расположены в основной папке сайта. Посмотрите получше и вы их обнаружите. Удаляем мы их затем, чтобы хакеры, которые будут вас атаковать, не смогли узнать версию вашего ресурса.
Пункт №5. Конечно, информация о том, какая версия wordpress установлена находится не только в этих файлах.
1. Теперь открываем файл header.php. Это можно сделать через сам wordpress, прейдя в редактор. В этом файле нужно удалить строку:
” />
2. Защиту блога от взлома, нужно организовать по максимуму, поэтому откройте файл Version.php, который можно найти в папке «wp-includes». Открыв его, необходимо внести изменения в строчку, которая указывает на версию движка WordPress:
$wp_version = '_._._(номер вашей версии)';
Пункт №6. В файле function.php, расположенному по тому же адресу, пропишите в самом конце строчку:
В файле search.php необходимо заменить строчку:
На
Это защитит от хакеров, которые не смогут лазить по вашему серверу. Это должно обеспечит защиту wordpress блога.
Пункт №7. Открывайте ваш браузер и вводите поочередно в адресную строку — вот эти адреса:
1. http://ваш блог/wp-content/
2. http://ваш блог/wp-content/plugins/
Если после ввода этих двух адресов, в окне браузера будут наблюдаться папки и файлы, то это не есть хорошо.
Поэтому ситуацию вам нужно будет срочно исправлять. Пройдите в эти директории на вашем хостинге через администраторскую панель и создайте в каждой по пустому файлу с именем index.php. после того. Как сделаете это, проверьте что изменилось, пройдя по этим же адресам, окно в браузере должно стать пустым!
Пункт №8.
Для защиты блога от взлома, вам понадобится внести изменения в файл .htaccess, о том как его найти, открыть и исправить я писал в этой статье.
Вставить в него нужно строчку Options All –Indexes
Окончательный результат файла будет выглядеть следующим образом:
# Begin 301
RewriteEngine On
RewriteCond %{HTTP_HOST} !^site\.ru [NC]
RewriteRule ^(.*)$ http://site.ru/$1 [L,R=301]
# BEGIN WordPress
Options All –Indexes
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
# END WordPress
Пункт №9. Обратите внимание на то, что при попытке входа в административную панель сайта, при неправильном вводе логина и пароля, высвечивается вот такая строка:
Чтобы ее убрать от посторонних глаз, необходимо в файле function.php прописать следующую строку:
add_filter ('login_errors',create_function ('$a', «return null;»));
Пункт №10. Используйте только свежие версии браузеров. Старые версии имеют большое количество недостатков, которые активно используют хакеры.
Пункт №11. Делайте на регулярной основе резервное кодирование баз данных и всех файлов, которые составляют ваш ресурс. Первое осуществляется при помощи специальных плагинов, о которых я писал в статье «Как сделать бэкап базы данных», а второе осуществляется копированием файлов сайта с хостинга на персональный компьютер. Осуществить это возможно при помощи программы FileZilla. Это отличный FTP клиент. Он поможет вам не только скопировать файлы, но и станет отличным помощником для установки 301 регедита.
А на этом у меня все! Советую воспользоваться приведенными выше рекомендациями, чтобы не стать жертвой мошенников и вымогателей. А если вам понравилась статья, то советую, что бы не пропустить выход более интересных постов!
С уважением, Дороднов Иван!
(8 голос, средний: 5,00 из 5)
Loading ...
В этой же рубрике:
- Составление семантического ядра
- Как установить Wordpress блог?
- Установка локального сервера
- Что такое блог?
- 5 лучших идей для блога
Понравилась статья? Получайте свежие уроки прямо на email или подпишитесь на RSS ленту блога!
Хороший пост, Иван! Есть моменты которые,почерпнул для себя;-)