Блог Александра Бобрина. SEO, блоггинг, инфобизнес и заработок в интернете
Реклама/Услуги

Как защитить блог?

Здравствуйте, уважаемые читатели моего блога!

Сегодня я вам расскажу о том, как защитить блог на WordPress. Вернее дам несколько основных советов по его защите, потому как способов таких множество и, все их перечислить, наверное, просто не возможно.

После того, как вы создали свой блог, лучше сразу подумать о его защите. Как защитить блог?Сегодня очень нередки случаи взлома сайтов, заражение их вирусами, кражи паролей и другие угрозы.

Лучшее, что может случиться в результате взлома, это полная неработоспособность до вашего вмешательства. Худшее – это потеря всех данных.

Далее я приведу несколько советов по защите вашего блога, которые если не защитят блог на 100%, то по крайней мере, усложнят работу злоумышленникам.

Защита блога на wordpress

Совет №1 Своевременно обновляйте систему WordPress и установленные плагины. Код у WordPress открытый, и в каждой версии уязвимости этой системы известны. Очень часто обновления устраняют ту или иную уязвимость.

Совет №2 Ограничте права доступа к файлам и папкам на хостинге. Для всех папок необходимо поставить - 755, а для всех файлов 644, как показано на рисунке:

Права на файлы

Если вам непонятно, что означают эти цифры, то поясню: Первая цифра – это права владельца, вторая – права группы, третья – права всех остальных.

Сами цифры означают следующее:

4 — чтение;

5 — чтение и исполнение;

6 — чтение и запись;

7 — полный доступ.

Таким образом, для наших папок будут установлены следующие права (755):

7 — полный доступ для владельца;

5 — чтение и исполнение для групп;

5 — чтение и исполнение для остальных.

Поменять эти значения можно в файловом менеджере вашего хостинга:

Права доступа

Совет №3 Если вы не часто используете соединение по ftp, то лучше его закрыть: Либо разрешить доступ только для известных вам IP адресов. На некоторых хостингах это возможно:

Запрет ftp

В любом случае включение ftp при необходимости займет у вас 30 секунд.

Совет №4 Установите плагины:

Защита блога — Anti-XSS attack. Этот плагин предотвращает атаки, основной целью которых является кража вашего логина и пароля. Кроме того XSS атаки могут помешать нормальной индексации вашего блога;

Login LockDown. Этот плагин предотвращает многократные попытки подбора логина и пароля к административной панели блога. После нескольких неудачных попыток плагин блокирует вход в административную панель на определенное время.

В настройках плагина можно установить количество неудачных попыток, после которых происходит блокирование административной панели, и время, в течении которого панель будет недоступна после блокировки.

Совет №5 Смените пароль входа в административную панель. Для этого на вашем хостинге необходимо зайти в Управление базами MySQL / phpMyAdmin и выбрать пункт «wp_users».

Затем выбираем нашу учетную запись и жмем правка. Далее в двух местах меняем наш логин. Также меняем пароль. В поле «пароль» вместо имеющихся там знаков (иероглифов) пишем свой пароль, в выпадающем меню нужно выбрать MD5!

Пароль необходимо делать как можно сложнее. Желательно что бы он состоял из букв, знаков и цифр. А также был довольно длинный. Не забудьте его записать, или сохранить.

Изменение логина и пароля

Одной из очень удобных функций браузеров является запоминание логинов и паролей. Так вот, лучше этой функцией не пользоваться!

Также не стоит сохранять пароли, например в текстовых документах. Потому, как злоумышленники будут иметь возможность украсть ваши пароли, например при помощи троянских программ. Безопасней всего хранить пароли в зашифрованном виде, для этих целей существует огромное количество бесплатных и платных программ.

Кроме того, они также имеют возможность заполнять поля автоматически. Обязательно позаботьтесь о наличии хорошего антивируса на вашем компьютере.

При неверно введенных данных, при входе в административную панель, появляется окно с ошибкой. Эту информацию можно скрыть. Для этого открываем файл function.php и добавляем к нему следующий код:

add_filter('login_errors',create_function('$a', "return null;"));

Совет №6 Удалите информацию о версии WordPress. Для этого:

1. Из файла header.php, который находится в папке с вашей темой, удаляем строку:

<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />

2. В файле version.php, расположенном в директории wp-includes, в строке:

$wp_version = '_._._<em>(номер вашей версии)</em>';

поменяйте версию вашего движка. Потому как версию WordPress можно посмотреть при помощи различных инструментов. Например, расширения SeoBar для Opera.

3. Удалите файлы Readme.txt и License.txt, расположенные в корневой директории.

Совет №7 Введите уникальные ключи в файле wp-config.php, расположенном в корневой дирректории. Для этого воспользуйтесь генератором ключей. Должно получится примерно так:

Ключи

Совет №8 Наберите в адрессной строке вашего браузера:

1. http://ваш сайт/wp-content/

2. http://ваш сайт/wp-content/plugins/ Если после этого вы увидите в браузере папки и файлы, то срочно создайте в этих директориях пустой файл index.php. После этого, при вводе вышеуказанных адресов, окно браузера должно оставаться пустым!

Совет №9 В файле function.php, в конце пропишите строку:

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

Совет №9 Установите плагин Database BackUp, с помошью него вы сможете делать регулярное резервное копирование (бэкап) вашей базы данных. В дополнении к этому делайте регулярное, резервное копировании всех файлов вашего блога себе на компьютер. Для этого лучше воспользоваться htp менеджером (FileZilla, или др.).

А еще лучше делать бэкап с помощью стандартных средств хостинга, об этом можете узнать из моей статьи «Создаем бэкап блога». Лучше не стоит надеяться на услуги вашего хостинга (обычно они сами создают у себя бэкапы для вас), перестрахуйтесь, много времени это не займет. Желательно не использовать для этих целей Total Commander, потому как он имеет большое количество уязвимостей.

Также не рекомендую пользоваться браузером Internet Explorer ранних версий, в нем очень много уязвимостей.

Конечно использование этих советов не даст 100% гарантии защиты. Однако не стоит ими пренебрегать. Так вы усложните жизнь всяким там хакерам и «редискам», и намного уменьшите вероятность взлома. На этом у меня все.

Теперь Вы знаете: Как защитить блог!

А какие действия предпринимаете вы для защиты блога?

В заключении поста предлагаю вам посмотреть видео под названием: Хакеры ТОП 10

С уважением, Александр Бобрин

Понравилась статья? Поделись с друзьями!

Комментариев - 97
  1. Мадина

    Александр, а где скачать плагин Anti-XSS attack?

    Ответить


    Андрей

    Яндекс тебе в помощи!

    Ответить


    Вячеслав

     Мадина, сейчас он уже не актуален!

    Ответить


    Екатерина

    Почему не актуален? А какой можно использовать вместо?

    Ответить


    Сергей

    он устарел на несколько лет уже по этому не актуален

    Ответить


    serg

    На оф сайте вордпресс орг зайдите, оттуда и скачаете под свою версию.

    Ответить

  2. Мадина

    А в какое место в файле functions.php вставлять эту строку?

    Ответить


    Андрей

    Перед строчкой 

    ?>

    Ответить


    Александр

    да, порой сложно понять куда именно вставлять данную строчку... порой в статье написано кратко, вставить данный код в такой-то файл... вот и приходиться ломать голову куда именно в файле...=))) спасибо за уточнение...

    Ответить


    serg

    Не говори глупостей, андрей! вы уже код обрамлённый тегом php вставляете.

    Ответить


    Денис

    таких строчек может быть куча, давай конкретней

    Ответить

  3. Мадина

    А куда вставлять в файле functions.php строку add_filter ('login_errors',create_function ('$a', «return null;»));

    В середине, в конце, в начале или без разницы?

    Ответить


    Андрей

    В конце, на перед последней строчкой вставляй код!

    Ответить


    Нонна

    Ну вставила и мой блог теперь недоступен.

    Ответить


    serg

    Куда Вы вставили-то? Может, и с кодировкой у Вас не сложилось. Вордпресс капризен на кодировку.

    Ответить


    Dzmitry Roshchyn

    Еще особенности шаблона могут сильно влиять на работоспособность сайта при установке хаков в файл functions.php, очень аккуратно надо пробовать подключать. Возможно есть альтернатива. В случае ошибок при манипуляциях на блоге, делайте откат до предварительно сохраненной версии файла.

    Ответить

  4. Ростислав

    Всё понял, буду делать, половина у меня и так уже из выше сказанного сделанно, буду доделывать ещё половину, спасибо за пост!

    Ответить

  5. Ольга

    Никогда ничего подобного не слышала о том, как защитить свой сайт и что это так важно... Столько нового у вас узнала! Спасибо! Правда не все моменты тут поняла, но как нибудь выберу время, чтобы изучить все способы защиты и проделаю эту нелёгкую процедуру над своим сайтом.

    Ответить


    Александр

    Действительно, порой нужно очень много времени, чтобы все сделать и разобраться что к чему... ведь кажется когда создаешь блог, нечего в нем нет сложного, но на самом деле... без подобных инструкций, было бы очень сложно получить качественный результат

    Ответить


    serg

    В статье довольно много нового для новичков, одни права доступа чего стоят. Но в любом случае нужно учиться.

    Ответить

  6. Айрат

    Как то раз совершенно случайно наткнулся на левые ссылки в нижней части. Пароли не тронули, всего лишь расставили ссылки. Блог был ничем не защищен

    Ответить

  7. Андрей

    Думаю пока мой блог засчищать рановато, просто неотково. Но в будущем пригодится. Добавил пост в закладки!

    Ответить


    serg

    А блоги ломают в автоматическом режиме, причём сам хакер и не знает, какие именно блоги он сломал. Главное вирус впихнуть, особенно для спам-рассылки.

    Ответить


    Денис

    довольно часто ломаются и говносайты на вордпресс. взломщику вообще по барабану что там сломано было, главное чтобы количество зомби машин увеличивалось постоянно.

    Ответить

  8. Наталья

    Интересный пост, спасибо! Впервые слышу о защите сайта! Очень благодарна за статью.

    Ответить


    serg

    Не верится, что могут быть пользователи, не слышащие о защите сайта. Тогда статья Вам в самый раз.

    Ответить

  9. Степан

    Стоит ли применять данные методы защиты, когда посещаемость блога составляет всего 20 человек в сутки? Я что-то не очень много слышал в последнее время о взломах сайтов...

    Ответить


    Сергей

    да я тоже слышал про взломы, ну я думаю если на сайте всего 20 человек не думаю что его взломаю.)

    Ответить


    serg

    Точечно такой сайт ломать вряд ли будут, а вот в автоматическом режиме запросто сломают. Если не защититься вовремя.

    Ответить


    Dzmitry Roshchyn

    Защита сайта важна, независимо от посещаемости. Один мой блог точно был взломан в автоматическом режиме, простым перебором пароля. Ресурс попал в ЧС Касперского пришлось решать вопросы по выводу из оного и восстановлении нормальной рабочей версии, без вредоносного кода.

    Ответить

  10. Евгений

    Спасибо за статью. Здесь пишут, что не слышали о том, что сайт взломали, а вот мой — efedotov.ru недавно взломали, и с него появилось много исходящих ссылок и какой-то форум. Так что буду сейчас делать все эти пункты.

    Ответить


    serg

    Это и есть цель многих хакеров, навесить кучу ссылок на вашем сайте на продвигаемые форумы или сайты.

    Ответить

  11. Руслан

    У меня сайт тоже пытались неоднократно взломать подбором паролей. Да ладно я хоть что то для защиты сделал. Статья полезная. Много нового узнал про защиту. буду применять!

    Ответить


    serg

    Поставьте рекомендованный автором плагин Login LockDown предотвращающий подбор логина и пароля в админке.

    Ответить

  12. Вячеслав

    Если честно статья думал будет про защиту контента! А нет тут другая полезная информации! А насколько уж она большая!

    Ответить


    Александр

    У Бобрина есть и про защиту контента...  =)

    Ответить


    serg

    Да любая защита важна, что контента, что сайта. Но защита сайта — первостепенная задача.

    Ответить

  13. Евгения Куварина

    Я для защиты установила плагин Better WP Security, у него множество функций. Мне теперь отчеты о попытке подбора паролей к моей админки каждый день приходят, так что о безопасности сайта стоит позаботиться в самом начале и не стоит думать, что если сайт молодой, то его никто взламывать не будет.

    Ответить


    serg

    «если сайт молодой, то его никто взламывать не будет.» — это основная ошибка начинающих. Они потому и игнорируют защиту, а в итоге блоги и ломаются.

    Ответить

  14. Александр

    Почему не добавить создателям вордпресса плагины по защите сайта в прошивку? Ведь данные функции обязательно понадобятся и пригодятся каждому блогиру... думаю, что такие плагины плагины должны быть прописаны в движке изначально! 

    Ответить


    Руслан

    Мне екажеться им не стоит этого делать, вдруг кто-то не захочет этого делать ( ставить плагины) у меня они например не стоят и ставить я их пока не собираюсь.

    Ответить


    serg

    Тот, кто не хочет, может эти плагины отключить. Аксимет тоже не все включают, стаят аналоги.

    Ответить


    Евгения Куварина

    Неплохая мысль, я бы не отказалась, чтобы такие плагины были изначально в wordpress. Но плагины обновляются довольно часто, а если их вшить в движок, то и его придется обновлять чаще. Проще все же обновить отдельный плагин

    Ответить


    Юлий

    Елена, суть в том, что wordpress пишет организация, а плагины в большинстве своём частные лица. Разработчик плагинов в любой момент может прекратить его поддержку.

    Ответить


    serg

    Кстати, да, тоже думал над этим. Вот плагин Аксимет вшит, а плагинов защиты нет.

    Ответить

  15. Дима Актив

    Вот что — что А защита — это важно , я как только задумался, что все мои труды могут быть напрасны благодаря недоброжелателям, сразу занялся этим вопросом. И парочку Ваших советов применю.

    Ответить


    serg

    Самое простое — делать бекапы и сохранять их в нескольких экземпляров. Правильно сделали, что прислушались!

    Ответить

  16. Дима Актив

    Всё я уже сделал ранее кроме вот одного , того, о чём написано во втором совете. это что получается нужно с каждым файлом играться и для него устанавливать доступ или сразу на всё поставить?

    Ответить


    serg

    Можно на всю папку права выставить. Права с папки автоматом перейдут на права файлов в ней.

    Ответить


    Юлий

    Дима Актив, мне кажется, хостер сразу для Вас, как хозяина выставляет полные права на все файлы, а для посетителей только чтение.

    Ответить

  17. Роман

    Тоже сделал все для защиты из выше перечисленного, ну кроме разве что второго пункта.

    И еще перестал пользоваться запоминанием поролей в браузере — лучше уж запомнить все самому.

    Ответить


    serg

    Пароль в браузере неуязвим только в случае применения Мастер-пароля — это пароль на пароли.

    Ответить

  18. Василий

    Хорошие советы, спасибо за то что вы эту информацию даете Бесплатно!!!!

    Ответить

  19. Роман

    Скажите, Александр, а у Вас стоят плагины — Anti-XSS attack и Login LockDown?

    Ответить


    Александр Бобрин

    Раньше были, сейчас нет.

    Ответить


    Роман

    В таком случае и я, пожалуй, уберу.

    Anti-XSS сейчас вроде уже не актуален, как пишут многие, ну а Login LockDown для нас тоже не нужен, так как Макхост сделал дополнительную защиту 🙂

    Ответить


    serg

    Login LockDown зря убрали. Лучше перестраховаться. На макхост тоже не стоит надеяться на 100%.

    Ответить


    Денис

    макхоста самого уже взламывали не раз 🙂

    Ответить


    Юлий

    Не слышал о таком и не верю. И макхост — это сервер, а не сайт.

  20. Данил

    Спасибо за ценные советы. Вот бы прочитать статью 6 месяцев назад. Из-за незнания основ безопасности сайта мой первый блог угодил в черный список Касперского. Теперь не знаю как оттуда удалиться

    Ответить


    serg

    Данил, у Вас из-за кучи левых ссылок сайт вроде в бан попал? Переустановите вордпресс, контент только скопируйте перед этим, потом вставьте. Небыстро, но что делать.

    Ответить

  21. Юрий

    Дельные советы, некоторые вижу в первый раз. Будем усиливать защиту сайта.

    Ответить


    serg

    Согласен. Я сам фишку: про ваш сайт/wp-content/plugins только здесь узнал. И не только эту.

    Ответить

  22. Дима

    перестал пользоваться запоминанием поролей в браузере — лучше уж запомнить все самому.

    Ответить


    Сергей

    Да вообще не надо было пользоваться лучше пускай 20 символов всякой лабуды будет за то не взломают

    Ответить


    serg

    Все пароли хранятся в настройках браузера, любой желающий может их подсмотреть. Что 20 символов, что 200 — всё же видно и копируется.

    Ответить

  23. Елена

    Установила плагин Login LockDown. А специально его нужно настраивать ?

    Ответить


    Юрий

    Лучше, если вы будете разбираться в таких вещах сами. Вы должны знать какая защита, как и от чего вас защищает.

    Поэтому будет лучше, если вы изучите его настройки и настроите так, как нужно вам.

    По умолчанию он тоже будет защищать, но лучше, если вы знаете, что да как.

    Ответить


    serg

    Ответили бы лучше Елене, что нужно выставлять количество попыток взлома и время, за которое попытки были.

    Ответить

  24. Юрий

    Александр, а зачем вы свою версию WordPress показываете? Наверно просто забыли ее удалить после обновления.

    Некоторые способы для защиты блога нужно обновлять после каждого обновления CMS.

    У вас хороший блог, берегите его.

    Ответить


    Александр Бобрин

    Спасибо, Юрий! Думаю что бэкап — вот лучший способ защиты!

    Ответить


    serg

    Юрий, автор же писал уже, что правильная версия убирается и заменяется фиктивной))

    Ответить

  25. Екатерина

    Спасибо за информацию, Александр! Но у меня к вам появилось несколько вопросов:

    1) Вы упоминали, что после обновления некоторые плагины перестают работать. Нужно ли постоянно принимать обновления, предлагаемые системой, для защиты блога?

    2) Какой плагин можно использовать вместо Anti-XSS attack, я прочитала в комментариях, что он уже не актуален

    3) Вы советуете удалить файлы Readme.txt и License.txt, расположенные в корневой директории. А для чего они тогда нужны? Без них не произойдет никаких сбоев?

    4) Вы написали, что нужно прописать строку с кодом в файл function.php. Я его вообще не нашла в менеджере файлов. И что в таком случае делать?

    Ответить


    Александр Бобрин

    Екатерина, 1. обновления нужны, плагины редко перестают работать, да и плагинов желательно поменьше ставить.

    2. Я никаким не пользуюсь. Сложный пароль + бэкапы.

    3. Просто информация. Они не нужны.

    4. Должен быть, ищите.

    Ответить


    Екатерина

    Спасибо большое!

    Ответить


    serg

    Файл function.php найдите через админ панель. Без него сайт не станет работать.

    Ответить


    serg

    В файлах Readme.txt и License.txt информация о разработчике, условиях распространения движка, шаблонов и плагинов к нему.

    Ответить

  26. Сергей

    я отказал от плагина Login LockDown так как макхост закрывает стандартный адрес админки…

    Ответить


    serg

    А Вы как в админку тогда заходите, через панель? Многие через форму привыкли.

    Ответить

  27. Максим

    Стоит ли применять данные методы защиты, когда посещаемость блога составляет всего 20 человек в сутки? Я что-то не очень много слышал в последнее время о взломах сайтов...

    Ответить


    Эрик

    Лучше с самого начала об этом позаботиться, мне кажется. Чтобы потом не было неприятных неожиданностей.

    Ответить


    Юлий

    Нулевой сайт никто ломать не будет. А озаботиться защитой можно в любой момент — не каждый же новичок знает об уязвимостях.

    Ответить


    serg

    Максим, Вы минимум десять раз на этом сайте скопировали чужие комменты, расположенные в начале обсуждения, а потом вставили их в конец обсуждения, как свои.

    Ответить


    Юлий

    Максим, конечно, стоит позаботиться с самого начала. Это же входит в привычку и не будет обузой потом, когда пользователей будет не 20, а 200.

    Ответить

  28. Радмир

    Лучше, если вы будете разбираться в таких вещах сами. Вы должны знать какая защита, как и от чего вас защищает.

    Поэтому будет лучше, если вы изучите его настройки и настроите так, как нужно вам.

    По умолчанию он тоже будет защищать, но лучше, если вы знаете, что да как.

    Ответить


    serg

    Вы постоянно копируете чужие коммент, Радмир, и выдаёте их за свои! Этот коммент до Вас написал выше Юрий!

    Ответить

  29. Денис

    молодец! Пару моментов сам взял на заметку!! Спасибо.

    Ответить

  30. Эрик

    Кстати, многие из советов можно применить в одном плагине — Better WP Security. Но перед этим лучше сделать резервную копию сайта

    Ответить


    Юлий

    Лучше поставить плагин Chap Secure Login plugin, он шифрует пароли, если вдруг кто-то перехватит его.

    Ответить

  31. Жук Юрий

    Да, защищать свой блог надо всем, чем только можно. Конечно, образное выражение.

    Ответить


    Александр

    Защиты лишней не бывает. Мошенники могут сильно навредить если смогут взломать админку

    Ответить

  32. Юлий

    Обновлять плагины — совет хороший, но если на сайте 30 плагинов и обновления для них раза 2 в год — это 60 обновлений. После обновления и сайт может упасть. А делать каждый раз бекап напрягает.

    Ответить


    Dzmitry Roshchyn

    Юлий 30 плагинов на блог это приличная нагрузка на сайт плюс непредвиденные ошибки и несовместимости с глюками. Оставлять нужно только самые необходимые, необходимо стараться менять на хаки по возможности, есть блоггеры специализирующиеся на таких вещах. Допустим для плагина Login LockDown есть альтернатива.

    Ответить

  33. Константин

    Спасибо за советы по установке плагинов. Я уже установил. Все работает.

    Ответить

  34. Александр

    У меня уже были случаи когда уводили пару блогов. Взламывают админку и меняют пароль. Потом пользуются в свое удовольствие и делают что хотят. Спасибо Александр, нашел несколько классных для себя способов, буду внедрять в работу.

    Ответить

  35. Александр Белый

    Использую Ваши рекомендации по защите плюс добавил некоторые свои

    Ответить

  36. Николай Вилков

    Я бы еще добавил для защиты:

    1. Сменить логин администратора на уникальный и пароль придумать хотя бы 12-14 значный, сгенерировать его при помощи спец. сервисов или самому.

    2. Выбрать хороший плагин для охраны блога, например, ithemes security, он принимает комплекс мер, защищающих ваш сайт. (только настраивать его нужно внимательно, а то меня на свой же блог не пускал пару раз, пока я не разобрался что к чему :))

    Ответить

20 эффективных способов увеличить базу подписчиков!
Оставьте комментарий:
Ваше имя *
Ваш email *
Ваш сайт:
Ваш комментарий: