Защитить wordpress от взлома первейшая задача.
Как защитить wordpress от взлома!
Уверен на верняка, что многие начинающие об этом даже не задумываются. Установил блог, напичкал его плагинами и все, пишем статьи, раскручиваем и не беспокоимся.
Возможное место для вашей рекламе! Приветствуется серьезный рекламодатель! Пишите на e-mail договоримся...Я тоже так думал, пока однажды один мой сайт с хорошей посещаемостью не взломали мошенники и не заменили логин и пароль для входа в админку.
Теперь сразу после создания сайта или блога я в первую очередь задумываюсь как Защитить wordpress от хакеров и прочих.
Поверьте, как только ваш ресурс станет популярен, его тут же захотят взломать много различных не хороших хакеров.
И так, вот несколько советов по защите вашего блога wordpress от взлома.
Установите 2 важных плагина для защиты входа в админку wordpress.
а) Anti-XSS attack
б) Login LockDown или Limit Login Attempts
Плагин Anti-XSS attack будет защищать ваш блог от XSS-атак. Плагин Login LockDown или Limit Login Attempts. Это плагины, которые предотвращают многократные попытки входа в админку.
Если злоумышленник начнет набирать различные логины и пароли в вашей админки, для того чтобы проникнуть в нее и у него не получиться это с 3-х раз, то система автоматически запретит ему вход на определенное время.
Количество попыток и время блокировки вы устанавливаете сами в настройках плагинов, они почти одинаковые по функциям. Качаете их, закидываете в папку wp-content/plugins, активируете, настраиваете по вашему вкусу и готово!
Поменяйте логин и пароль для входа в админку.
По умолчанию в настройках блога стоит логин admin. Но его можно изменить. Через саму админку это сделать не возможно, поэтому идем в панель управления хостингом и заходим в phpMyAdmin:
После заходим в таблицу нашей базы и выбираем пункт wp_users.На вкладке «Обзор» выбираем admin и жмем «правка»: Теперь в двух местах нам нужно изменить значение admin на какое-либо другое и нажать «ОК»
Так же необходимо изменить пароль. Советую изменить пароль на очень длинный, где-то 20-25 символов, включая цифры и буквы.
Меняется пароль так же в этой таблице в поле user_pass. Удалите все те иероглифы, которые там есть и напишите свой новый пароль, только в выпадающем списке нужно выбрать MD5 и нажать «OK».
В корне вашего блога удалите файлы readme.html и license.txt.
Они вам не нужны, они нужны мошенникам, для того чтобы узнать версию вашего движка wordpress и еще много чего полезного для взлома.
Так же в файле header.php темы вашего блога удалите строку
| <meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” /> |
Эта строка так же показывает версию wordpress.
Установите плагин wordpress database backup. Он нужен для защиты вашей базы данных. В настройках плагина вы можете поставить функцию ежедневной отправки бекапа базы данных на свой почтовый ящик. Установили и можете не беспокоиться за свою базу.
Наберите в вашем браузере адреса:
1. https://ваш блог/wp-content/
2. https://ваш блог/wp-content/plugins/
Если после вызова данных директорий вашего блога вы можете наблюдать через браузер находящиеся в них файлы и папки, то это ОЧЕНЬ и ОЧЕНЬ плохо.
Немедленно создайте в каждой из этих директорий пустой файл index.php. Теперь после ввода этих адресов в адресную строку браузера, вам должна открыться чистая пустая страница.
Ко всему прочему как дополнение можете прописать в файле .htaccess дополнительную строчку:
Options All -Indexes
В файле function.php в конце кода пропишите строку:
| <!—?php remove_action (’wp_head’, ‘wp_generator’); ?—> |
А так же в файле search.php замените строку
| <!—?php echo $_SERVER [‘PHP_SELF’]; ?—> |
на
| <!—?php bloginfo (’home’); ?—> |
Это запретит различным хакерам и мошенникам лазить по вашему серверу. Если у вас такого файла в папке с темой нет, то значит ни чего менять не нужно.
Защитить wordpress, в принципе все!
Это наверное самые основные способы защиты блога wordpress.
Как дополнение еще советую вам проверить весь список ваших используемых плагинов, если какие-то просто так установлены и вы ими не пользуетесь, то удалите их.
Так же следите за обновлениями блога wordpress и плагинов, установленных на вашем блоге. Обновитесь по чаще, так как старые версии могут содержать дыры.
По возможности соединяйтесь и закачивайте файлы на сервер через панель управления хостингом, а не через FTP, это более безопасно.
Да кстати, советую так же сделать сложные логин и пароль для входа в панель управления хостингом. Если злоумышленники проникнут туда, то вся ваша защита wordpress пошла на смарку. Так же запретите регистрацию пользователей на блоге, это намного обезопасит ваш блог.
Теперь и вы знаете как защитить wordpress от взлома! КОНЕЧНО ПО САМОМУ МИНИМУМУ!
Удачи Друзья!
5 простых мер предосторожности, которые помогут вам защитить свой коммерческий блог от хакерских атак.
1: Удаление логина «Admin»
Хакеры ищут блоги, владельцы которых оставили логин администратора WordPress по умолчанию, поскольку это половина нужной им для взлома информации. Используя логин «Admin», вы экономите хакерам кучу времени – им остается только узнать ваш пароль. После этого они получат доступ к вашему блогу и смогут делать в нем все, что захотят.
Поэтому первый шаг к безопасности блога – создание себе нового профиля и удаление стандартного логина. После этого взломать ваш коммерческий блог будет сложнее.
Чтобы создать новый профиль, откройте админ-панель WordPress, войдите в раздел «Пользователи» и нажмите «Добавить нового».
Создайте нового пользователя и дайте ему роль администратора.
Заполните формы и убедитесь, что у вас есть права администратора, чтобы вносить необходимые изменения в свой блог. После создания пользователя разлогиньтесь из админ-панели WordPress и залогиньтесь, введя данные нового пользователя.
Снова зайдите в раздел «Пользователи» и удалите профиль администратора по умолчанию. На этом этапе WordPress предложит вам перенести все посты администратора на ваш новый профиль; выберите эту опцию — так вы не потеряете контент и данные.
2: Пользуйтесь надежным паролем
Сколько бы ни твердили людям об опасностях, связанных с использованием простых паролей, многие продолжают ими пользоваться, так как их легко запомнить. К сожалению, их также легко подобрать.
Очень важно использовать надежный и безопасный пароль. Он должен состоять минимум из восьми знаков и включать заглавные и строчные буквы, а также цифры и специальные символы.
Чтобы сменить пароль к WordPress на более надежный, зайдите в раздел «Пользователи» и выберите «Ваш профиль», затем заполните поля создания нового пароля – они находятся внизу страницы.
Так должен сделать каждый член вашей команды, поскольку каждый логин представляет собой потенциальную лазейку для хакеров.
3: Обновитесь до последней версии WordPress
Программы, темы и плагины WordPress регулярно обновляются, чтобы избежать уязвимости сайтов. При выходе новой версии WordPress вверху админ-панели появляется соответствующее сообщение.
Увидев желтое уведомление вверху админ-панели WordPress, обновитесь до последней версии.
Процесс обновления очень прост и происходит в один клик, так что вам не придется закрывать браузер или совершать какие-то манипуляции через FTP.
4: Бэкап базы данных блога
Резервное копирование базы данных — важная часть безопасности блога.
С WordPress для резервного копирования существуют простые платные и бесплатные решения. Новичкам проще всего использовать WP-DB-Backup — один из самых популярных плагинов для бэкапа данных WordPress.
Чтобы установить WP-DB-Backup, зайдите в раздел «Плагины» и выберите «Добавить новый». В строке поиска введите WP-DB-Backup. После этого нажмите «Установить» и «OK».
Найти и установить плагин для резервного копирования блога легко. Во вкладке «Плагины» нажмите «Добавить новый» и найдите WP-DB-Backup или другой плагин для бэкапа.
Активируйте плагин со страницы «Плагины».
После активации плагина в разделе «Инструменты» появится новый пункт Backup, с помощью которого ивы сможете сразу произвести резервное копирование вашей базы данных или настроить регулярное сохранение. Файлы резервного копирования можно загружать на жесткий диск или посылать на сервер по email.
Плагин WP-DB-Backup позволяет сохранять данные на сервер, загружать их или отправлять по почте.
Так вы сможете быть спокойны, что в случае чего ваши данные не потеряются.
5: Ограниченное число попыток входа
Плагин Limit Login Attempts особенно полезен для защиты от хакерских атак — он блокирует страницу входа в систему после определенного числа неудачных попыток залогиниться. Вы как администратор решаете, сколько попыток входа в систему можно произвести, прежде чем плагин активирует блокировку.
Чтобы установить этот плагин, зайдите в раздел «Плагины» и выберите «Добавить новый», как вы делали с плагином «WP-DB-Backup».
На этот раз в поиске введите «Limit Login Attempts», затем нажмите «Установить» и «OK». Активируйте плагин со страницы «Плагины». После этого в разделе «Параметры» у вас появится новый пункт: «Limit Login Attempts».
Чтобы установить допустимое число неудачных попыток входа, нажмите «Limit Login Attempts», заполните поля и сохраните изменения, нажав кнопку «Change Options».
Внимательно проверяйте каждый загружаемый вами плагин, так как с их помощью злоумышленники тоже могут получить доступ к вашему блогу.
Поэтому следует устанавливать только плагины из надежных источников и проверять обзоры каждого нового плагина на WordPress.org.
Заботьтесь о безопасности своего блога.
Сам берегись и бог тебя бережет. Но как то так.
Да нет , знания бережет !
Спасибо, очень полезная статья, взял на заметку
Стоит плагин login attempts, и что? в итоге только я соберусь писать статью, как он бах! и все, закрывает мне доступ. Через несколько часов я опять не могу зайти к себе в панель, доступ опять закрыт, уже на больше часов. Снес его нафиг, зашел, а что делать? Ни зайти к себе, не поправить, на комменты не ответить, вообще ничего, сидишь и ждешь, когда время подойдет. неее, надо другие способы искать какие-то. а вот переименовать wp-login.php — это тема. На dle так делал. вот только опять зайти не могу, буду искать почему. Статья хорошая, но кажется здесь не все описано..
Посмотри в настройках плагина. Там можно увеличить число ошибок(входов)
Спасибо за совет про бонусы, мне он очень понравился. Вопрос, как много людей читают книги чтобы их в качестве бонусов использовать?
ed-lifehack.ru
Читают, уж мне поверьте, если идет речь о заработке итт