Привет тебе, дорогой читатель in4wp.ru. Сегодня будет достаточно интересный пост. В этой статье ты узнаешь как защитить свой блог о всяких вирусов или даже от ddos атак — примени эти правила — и твоему блогу не будет страшен никто!
Как ты уже знаешь — это не первый мой проект. Раньше у меня был монетаблог. И вот с ним-то у меня и были проблемы в плане защиты.
В один прекрасный момент у меня была просадка в посещаемости с 1000 до 200 — представь себе! И здесь не идет речь о защите контента от воровства — нет, здесь речь идет конкретно и взломе блога.
От сюда можно следовать вывод – не заходи на подозрительные сайты! В принципе, как показала практика, большинство пользователей так и делают, т.к. когда мой блог был в статусе “подозрительных” – посещаемость падала в ПЯТЬ ряз, а точнее до 200 человек в день.
Я не к тому, что нужно забыть и забить на все сайты, у которых встречаются такие пометки. Я лишь про то, что нужно помнить о том, что они могут стать такими же жертвами какой стал я в тот раз.
Кстати о пометках. Вот ты можешь спросить “про какие пометки я говорю”. Вот тебе скриншот, того что было с моим блогом и того что я имею сейчас ввиду.
Таким образом сайты были не доступы менее суток, что в принципе неплохо, учитывая проблему такого рода. Согласись? Напиши об этом в комментариях.
Но это мы с тобой обсуждаем лишь момент о том какие могут быть последствия взлома блога, т.е. как ты можешь понять что твой блог взломали.
А сейчас давай поговорим о том, что нужно сделать чтобы этого не происходило, или как защитить свой блог на wordpress от взлома.
Очень надеюсь, что все мои советы будут восприняты правильно и помогут большинству читателей. Я буду очень благодарен любым комментариям, поэтому не нужно скупиться на комментарии – пиши что думаешь.
12 советов о том как защитить блог от взлома!
Я сразу хочу сказать, что до взлома моего блога я не следовал ни одному совету, приведенному ниже. Очень вероятно, что это и стало причиной взлома. По повторяй моих ошибок!!!
Совет №1: При установке WordPress генерируй максимально сложные пароли к базе данных!
Простые пароли подбираются на раз-два обычным брутфорсером. Что это — я чуть позже распишу. Чем пароль сложнее – тем надежнее. Тем более, если учесть, что этот пароль тебе нужен будет лишь однажды, а потом его можно забыть.
Совет №2: При установке WordPress — изменяй префиксы таблиц в своей базе данных.
Стандартный префикс — wp_. Измени его! Ради блога твоего!
Когда устанавливаешь новый блог, движок предлагает тебе стандартное значение «wp_». Помни, чем более сложным будет значение этого префикса, тем менее вероятен взлом баз данных блога.
Не бойся придумывать сильно заумные значения. Они тебе не понадобятся, тем более если ты не программист, а вот усложнить жизнь взломщику – как два пальца.
Совет №3: Используй надежный пароль для входа в админку.
Самая распространенная ошибка (и я такое тоже встречал), что блоггеры устанавливают стандартную связку логина и пароля, а точнее: admin\admin. Естественно этот пароль подберет обычный любопытный школьник.
И что тогда ты будешь делать?
Кстати, на счет паролей – не стоит их хранить в FileZilla или Total коммандере. Потому что есть вирусы, которые специально “выдирают” эти сохраненные пароли. (Если ты не в курсе что это и как с этим работать – напишите мне, я напишу статью об этом).
Совет №4: Запрети регистрацию у себя на блоге.
Совет №5: Постоянно обновляйся.
Причем и сам WordPress и плагины, которые используешь до последней версии. Это нужно и очень важно!
Новые версии специально и выходят для того, чтобы устранить обнаруженные уязвимости в коде и кроме этого, разработчики, обычно еще больше оптимизируют код, чтобы плагин или движок работали быстрее.
Ты ведь хочешь чтобы блог был быстрее, и чтобы не пришлось заморачиваться над тем как ускорить блог, правда?
Совет №6: Удали все плагины которые НЕ используешь.
А также не стоит делать склад шаблонов. Некоторые шаблоны также могут содержать уязвимости. Но основной пункт здесь – это плагины.
Совет №7: Проверь права к файлам и папкам.
Как это выглядит у меня в контрольной панели хостинга – вы можете видеть на скриншоте. Осмелюсь напомнить, в большинстве случаев права CHMOD на все папки твоего WP должны быть 755, на файлы 644.
Так что потрудись проследить за тем, чтобы твои CHMOD права были примерно такие же.
Чем это может грозить? Тем что кто угодно сможет загрузить любые файлы к тебе на блог и выполнить этот файл. Например вирус, или вредоносный скрипт. Это ведь так просто будет, правда?
Совет №8: Установи специальные плагины для защиты своего блога от хакеров.
[help]WordPress-Firewall — плагин контролирует малейшие изменения в Ваших php файлах, не дает возможности установки плагинов, деактивирует плагины если они не соответствуют безопасности.
Внимание — контроль плагина распространяется даже для админа, поэтому при необходимости изменения файлов или установки новых плагинов деактивируйте в начале WordPress-Firewall.
Login LockDown или есть еще Limit Login Attempts – очень нужные плагины на мой взгляд, т.к. позволяют ограничить количество неудачных попыток ввода пароля к админке. Что значительно снизит вероятность взлома, да и снизит желание взломщика.
WP Security Scan – Это хороший плагин, который следит за инсталляцией вашего WordPress и дает советы. Этот плагин проверит следующие вещи: Пароли; Права доступа на файлы; Защищенность баз данных; Защиту администратора WordPress.[/help]
Совет №9: Убери выскакивающую ошибку.
А когда высвечивается ошибка, которую ты видишь на скриншоте – злоумышленнику достаточно подобрать сначала логин, потому что он видит, правльный логин или нет.
А когда он увидит сообщение типа “Пароль не правильный” – это значит что логин он подобрал правильно и осталось дело за малым.
Поэтому лучше это сообщение скрыть, чтобы никто не знал, что именно было набрано не верно.
Чтобы это сделать – нужно в файле functions.php вписать вот эту строчку:
add_filter('login_errors',create_function('$a', "return null;"));
Попробуй и напиши, что у тебя получилось.
Совет №10: Защити свой файл WP-CONFIG.PHP
Ты уже знаешь, что такое файл wp-config.php. Наверняка знаешь, если у тебя есть собственный блог. Это файл конфигурации, который содержит доступы к базе данных блога.
Чтобы его защитить – попробуй прописать вот такие строчки в файл .htaccess (если его нет – создай).:
# to protect wp-config.php
order allow,deny
deny from all
Но это еще не все, на всякий случай, пару советов про конфигурацию wordpress:
-
- Ключи безопасности: В новых версиях WordPress есть 4 ключа, которые должны установлены правильно. Эти ключи являются обязательными для обеспечения безопасности твоего блога. Их ты можешь сгенерировать автоматически с помощью этого генератора от самого wordpress. Каждое обновление этой страницы – даст тебе новые ключи.
- Ты также можешь “поиграть” с настройками этого файла, полный список значений, которые ты можешь изменять, ты сможешь найти в кодексе wordpress. Конечно, желательно знание английского языка. Они (настройки) не критичны, поэтому в этой статье я их не привожу, а лишь даю ссылку на них.
Совет №11: Удали стандартную учетную запись администратора.
Во время установки движка – тебе по-умолчанию предлагается создать пользователя с именем ‘admin’ , в большинстве случаев все так и оставляют. Но лучше сменить это имя на какое-нибудь другое. А если уж ты действительно создали эту учетную запись, значит будем от неё избавляться.
Но зачем? – Спросит кто-то. Вспомни совет №8 – убирание подсказки при входе в админку. Имя пользователя – admin – это самое распространенное имя, которое есть почти в каждом блоге.
Давай усложним злоумышленникам жизнь по максимуму! Убери эту учетную запись и он будет в замешательстве!
При удалении пользователя, тебя система спросит вот то что показано на скриншоте.
А точнее “кто сейчас будет автором всех статей, которые написал удаленный пользователь?”. Ставишь себя, как ты там называться будешь и все.
Ты полноправный автор всех статей на блоге. Причем в настройках, в админке, ты сможешь изменить отображаемое имя по своему усмотрению. т.е. логин может быть один, а имя может отображаться какое пожелаете. Очень удобно.
Совет №12: Защищаемся от XSS-инъекций и злых URL-запросов.
Для начала о том, что такое XSS инъекция. Это когда злоумышленник пытается взломать ваш сайт с помощью дополнительных параметров в урл-адресе. Например вот как-то так
http://*****.ru/free?p='>
Ну, я думаю принцип понятен. Так вот, чтобы твой блог не сломали таким макаром, желательно закрыть эту возможность. Вопрос в том как это сделать.
Нужно обратиться к нашему, уже любимому, файлу .htaccess и прописать в него следующее:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Вот, как только обнаруживается XSS атака – сразу же выдается ошибка 403.
Кроме этого, можно даже самостоятельно написать плагин, которые поможет тебе отбивать подобные атаки и защитить твой блог от взлома.
Ну, тут вообще все просто. Тебе нужно зайти в папку с плагинами, а точнее в /wp-content/plugins/ и создать там новый файл, с абсолютно любым названием.
Главное чтобы он был с расширением PHP. Например, superplugin.php.
Открываем его и пишем туда следующий код:
Сохраняем, перезаписываем. И все, остается только зайти через админку в блог и активировать этот плагин. Что он будет делать? Он будет защищать твой блог от взлома!
А именно, проверять запрашиваемый URL на предмет злых запросов и если найдет что-то подозрительное – сразу выдаст ошибку 404 или ошибку 414 (слишком длинный запрос).
Ну вот в принципе и все основные методы защиты wordpress Блога от хакерских атак и взломов. Мне лишь остается напомнить тебе что нужно обновляться почаще, а также рекомендую менять пароли почаще. Кто-то меняет раз в квартал, кто-то раз в месяц — как хотите.
ВАЖНО! Чтобы окончательно и НАВСЕГДА защитить свой блог — я рекомендую пользоваться сервисом VirusDie, которым уже пользуюсь сам. Этот зверь успешно рубит любую нечисть, которая пытается залезть на мой блог.
Ну и конечно же в заключение хотелось бы посоветовать – если ты самостоятельно не можешь или не хочешь вникнуть в суть этого вопроса – обращайся ко мне. Буду рад помочь.
Не забудь подписаться на [urlspan]обновления[/urlspan] и полайкать соц кнопки.
Всегда с тобой, Денис Тумилович.
Интересненько. На одном из своих блогов был один случай, когда взломали админу и конец всем моим трудам. К счастью, хостинг помог решить проблему. А все было из-за стандартного имени пользователя «admin», эх :) за статью благодарю!
Самое первое- что надо сделать, это конечно сменить стандартное имя admin, минимум половина возможных попыток взлома будет сразу же этим устранена. А так статья очень полезная убедился в этом уже не раз, так что внедрять лучше все по пунктам, проверено на практике…
Это они молодцы, что так быстро восстановили хост :)
Это уж точно. Хостинг делает свою работу на ура
Денис, привет! Просто отличная статья! Я понял, что мой блог абсолютно не защищенный! Особенно при вводе логина и пароля…
Стоит дописать, что логин нужно не только изменить, но и скрыть на авторской странице и в исходном коде. Ну ты знаешь, я писал раньше об этом. Еще я порекомендовал бы плагин iThemes Security. В нем очень много полезного в том числе защита админки, смены префикса и страницы входа в админку и так далее.
А как быть с нагрузкой на сайт? Сейчас изучал очередной курс А,Борисова по тотальной защите своего сайта, который кстати Денис рекомендует, и услышал, что этот плагин серьезно нагружает дополнительными запросами и его ставить не рекомендуется…
После префикса я окончательно потеряла связность мыслей… ))))))))))))))))) Где его менять? И что там было про доступы к папкам? Можно для … дамы в шляпе?
Меня тоже ломали не раз, и все сайты сразу. Решил переехать на другой хостинг на виртуальный сервер, дырявый хостинг я исправить не могу.
Классная статья. Пока читал, кое-что и у себя сделал. Надо будет ещё раз к ней вернуться, чтобы внедрить все 12 советов.
Статья действительно полезная, но для новичков не все советы могут быть понятны в плане выполнения, как это сделать. Были бы инструкции поподробнее, можно было бы воспользоваться всеми советами.
ммм, возможно, Алексей, ты прав. Хорошее замечания. Но давай сделаем так. Ты попробуй выполнить по этому списку. Если что-то не получится — скажи что и в каком месте — дополню подробнее. Давай вместе эту статью улучшим.
Вау! Почему эту статью я нашел так поздно? Спасибо, Денис! Вот об этом и надо знать сразу же начинающим пользователям, потому что ты только настроишь свой сайт или блог, только думаешь, что теперь все дело в полезном контенте и раз — ты взломан, все коту под хвост, думаешь и печалишься, что же делать дальше, где найти такого человека, который бы помог восстановить данные… Прекрасно помню свое состояние, когда у меня взломали блог… Врагу не пожелаешь…
Защиту себе сейчас поставил конечно же, но проверю все еще раз по пунктам.
Все написано понятным языком, но я все же боюсь, что-то не так сделать. Да и остались кое-какие-вопросы. Но я обратил внимание на последний абзац)) Поэтому, скорее всего, с некоторыми вопросами буду обращаться лично.
А пока такой вопрос: префикс таблиц – можно поставить любое значение, например, Pt_25H%fL? В общем, случайный набор символов. Получается, что чем сложнее этот префикс, тем лучше?
Здравствуйте, Денис! Какая полезная статья и сколько нужно сделать, чтобы защитить свой блог! Но об этом начинаешь думать, когда беда пришла и к тебе — твой сайт взломали. Это катастрофа просто, выбит из седла, образно говоря. Спасибо за понятное и качественное изложение и прошу помощи, Денис! Спасибо.
Денис, добрый вечер! Очень жду от вас ответа. Помогите, пожалуйста восстановить сайт — его взломали. Писала сегодня вам. Спасибо.