Защита WordPress от взломов.

Защита Wordpress от взломов.Добрый день, дорогие читатели. Вот мы и создали свой собственный блог. Нас переполняет радость и чувство собственного достоинства. Но расслабляться еще не стоит. И хотя движок блога сам по себе уже достаточно хорошо защищен, защита WordPress от взломов является достаточно необходимой задачей, которую нужно выполнить на самом начальном этапе, что бы потом (если ваш блог не дай бог взломают) не кусать локти и не думать, почему я этого не сделал раньше. Поэтому о защите блога от взломов нужно подумать на самом начале становления и развития блога. Иначе потом может быть поздно. Ведь о взломе хозяин блога может долгое время даже не догадываться.

Взломанный блог может использоваться хакером в различных целях. Будь то рассылка спама, установка рекламных ссылок, банеров или другие цели. Но поверьте, ничем хорошим для вашего блога это не закончится. В лудшем случае на ваш блог будут наложены фильтры, соответственно он понизится в поисковой выдаче. Ну а в худшем, он может быть занесен в базу вредононосных сайтов.Защита Wordpress от взломов.Я думаю многим знакома похожая картинка. Так вот что бы ваш блог не оказался в такой ситуации, мы и будем стараться его хоть немного защитить. Хотя пока блог молодой, и мало кто о нем знает, вряд ли кто то будет его взламывать. Но со временем, я надеюсь вы будете его развивать, наращивать ТИЦ и PR, раскручивать и улучшать поведенческие факторы. И вот тогда то ваш блог может подвергнуться атакам и попыткам блога. Так зачем же ждать, когда «петух клюнет», если можно немного обезопасить себя еще на начальном этапе.

Защита WordPress от внешних атак

1. Изменяем стандартный логин admin на свой.

Первое что намнужно сделать — это изменить стандартный логин, который нам предлагается системой, на свой. Придумайте какой нибудь свой логин. Чем уникальнее, тем лучше. Изменить логин админа можно либо на стадии установки движка, либо если вы этого не сделали, зайдя в панель управления базы данных PHPMyAdmin.

Для этого логинимся на хостинге. На главной стнанице кабинета находим Защита Wordpress от взломов. Жмем. Далее переходим по сылочке «Базы данных mySQL». Находим свою базу данных и доступы к ней. Защита Wordpress от взломов.Ищем похожую ссылочку и переходим по ней. При этом запоминаем номер сервера базы данных, он написан после «mysql», в данном случае «90». У вас может быть другой. Защита Wordpress от взломов.Вводим логин и пароль с предыдущей страницы и входим в панель управления базой данных. Если в списке будет несколько записей, выбираем имя с нашей базой данных. Защита Wordpress от взломов.Затем в списке выбираем wp_users. Далее жмем «Изменить» и зменяем «user_login» на свой. User_nicname можете тоже изменить, но его в случае чего, можно изменить из админки. После внесенных изменений, не забываем нажать кнопочку «Ок», что бы сохранить изменения.

Что бы скрыть логин администратора от посторонних глаз, придумайте разные имена для полей «user_login» и «user_nicname». А в админке в настройках профиля пользователя измените «отображать как» на придуманный никнэйм.

Защита Wordpress от взломов.
Некоторые темы отображают логин пользователя, который опубликовал запись. А вданном случае на этом месте будет отображен nicname. Вот такой, маленький секрет.

2. Измените пароль входа в админку на более сложный.

В данном пункте стоило бы отметить, что в репозитории плагинов существуют дополнения, которые ограничивают количество попыток ввода плагина допустим до трех-пяти раз. После чего на некоторое время блокируют доступ к админке, а после определенного количества неправильных вводов, могут заблокировать доступ на совсем. Примеры таких плагинов Limit Login Attempts или Login LockDown.

Устанавливать их на свой блог или нет — это ваше личное дело, но чем больше плагинов вы установили на свой блог, тем медленнее будет его работа. В дальнейших публикациях мы более конкретно рассмотрим данный вопрос.

А пока давайте придумаем сложный пароль для защиты нашей админки от попыток взлома. Пароль должен состоять из букв, цифр, знаков препинания и спецсимволов. Оптимальная длина пароля 15-20 символов. Изменить пароль вы можете в настройках профиля. Для этого в админке переходите «Пользователи»-«Ваш профиль»

Защита Wordpress от взломов.

Ищем раздел «Управление учётной записью». В новых версиях WordPress появилась кнопочка генерации пароля автоматически. Т.е. нажав на кнопочку «Создать пароль», вы сможете получить надежный пароль, который для вас сгенерирует система. Можете оставить его таким, можете придумать свой. Это уже на ваше усмотрение.

Защита Wordpress от взломов.

Главное запишите его где нибудь, потому что запомнить эту ересь очень тяжело :). И записывать желательно не в текстовый файлик на компьютере, а в блокнотик, который будет лежать возле монитора. Либо воспользоваться какой нибудь программой для хранения паролей. После изменений не забудьте нажать кнопочку «Обновить профиль». На этом данный пункт можно считать выполненным. Идем дальше.

3. Удаляем файлы WordPress, которые для работы блога не нужны.

Защита Wordpress от взломов.Подключившись к хостингу с помощью FTP, в корне сайта вы можете увидеть файлы license.txt и readme.html. Смело удаляем их. Для работы блога они совершенно не нужны, а вот злоумышленникам могут очень даже пригодиться в их нехорошем деле. Если вы установили мулитиязычную версию движка, то у вас могут присутствовать созвучные файлы по типу licenza.html, licencia.txt,  liesmich.html, redme-ya.html. Так же смело удаляем их без зазрения совести. Да и вообще, любые текстовые файлы в корневой директории движка для его работы и не нужны. Если есть еще какие файлы, загляните в них.

Чтобы немного усложнить жизнь нашим недоброжелателям, необходимо удалить информацию об версии движка, который у вас установлен. Для этого в админке переходим по ссылочкам «Внешний вид» — «Редактор»Защита Wordpress от взломов.

В правом меню выбираем header.phpЗащита Wordpress от взломов.

С помощью поиска нужно найти строчку (вызвать поиск можно нажав комбинацию Ctrl+F) :

Либо подобную ей. И удалить ее. Не зачем злоумышленникам знать, какая версия движка у вас установлена.
Если данной строки в коде нет это хорошо. Но это еще не все. Данный код может и не находиться в файле header.

Чтобы убедиться в отсутствии данных о версии движка. Нужно на любом, пустом, месте открытой страницы блога нажать правой кнопкой мыши и выбрать «Исходный код страницы» (для браузера Firefox)Защита Wordpress от взломов.

И выполнить аналогичный поиск по коду данной страницы. Если данный код присутствует, то вам немного не повезло, и данные мета поля генерируются скорее всего в файле function.php. Работу с данным файлом мы рассмотрим в одной из следующих статей. Если же упоминаний нет, можете спать спокойно Защита Wordpress от взломов.

4. Регулярно делаем резервные копии.

Одним из важных факторов сохранности сайта является наличие резервных копий как самого сайта, так и базы данных. Если вы регистрировали хостинг по ссылкам в предыдущих статьях, то вам в принципе бояться нечего, т.к. у данного хостера существует периодическое автоматическое резервное копирование и случись что, вы смодете всегда получить доступ к автоматическим резервным копиям.

Автоматические резервные копии должен делать каждый, более — менее вменяемый хостер. Но стопроцентно надеяться на хостера не стоит. И нужно лично позаботится о сохранности данных. Т.к. на написание статей для блога вы потратите скорее всего не один день своей жизни. И будет очень обидно, если все в один миг пропадет.

Резервное копирование можно делать как вручную, так и использовать сторонние плагины. Одним из неплохих и довольно популярных является UpdraftPlus — Backup/Restore. Его установку и настройку мы рассмотрим в одной из следующих статей. Он хорош тем, что позволяет выгружать резервные копии либо на сторонний FTP, либо на облачное хранилище, либо даже может отправить вам на e-mail. В общем это уже как настроите. К тому же базовые функции абсолютно бесплатны.

5. Закрываем обзор дирректорий WordPress.

Проверяем доступ к дирректориям:
1. http://ваш_блог/wp-content/
2. http://ваш_блог/wp-content/plugins/

Если перед вами пустая страница, то ничего предпринимать не нужно и можете пропустить данный пункт. Если же вы видите внутреннее содержимое дирректории то делаем следующее. Нужно в файл .htaccess добавить строку

Сделать это можно несколькими способами
1. Подключиться к сайту по FTP и изменить файл.
2. Установить плагин Yoast SEO — он нам пригодится для SEO оптимизации сайта и в нем есть встроенный редактор для файлов .htaccess

Настройку данного плагина мы рассмотрим в одной из следующих статей, пока нам нужет только редактор. Для установки плагина переходим по ссылке «Плагины» — «Установить новый»

Защита Wordpress от взломов.

В поле «Поиск плагинов» вбиваем Yoast SEO далее установить и активирова.

В левом меню у вас должна появиться ссылочка SEO. Переходим по ссылочке «SEO — Инструменты»

Защита Wordpress от взломов.

И выбираем «Редактор файлов». Перед нами заветный файлик .htaccess. Вносим изменения и нажимаем «Сохранить изменения». Проверяем еще раз доступ к дирректориям. Вы должны увидеть пустой лист.

6. Меняем стандартную страницу входа в админку.

Защита Wordpress от взломов.Одним из способов защиты WordPress, да и любого другого движка, является изменение стандартного пути к админке. Т.е. по умолчанию ссылка на админку выглядит следующим образом http://ваш_сайт/wp-admin И пройдя по этому пути, злоумышленник сможет попытаться взломать ваш сайт. А если админки по этому пути он не увидит, то мы хоть немного, но усложним ему жизнь

Давайте изменим ее на другой, какой вы захотите. Есть несколько способов это сделать. Самый легкий из них — установить какой нибудь плагин. Допустим Protected wp-login. Но если вы читали мои предыдущие публикации, то знаете, что я не сторонник всевозможных плагинов и в своей практике стараюсь максимально от них избавляться. Нет, есть конечно случаи, когда плагин — лучший выход, но не в этом случае. Ведь проделать то, что мы хотим можно и не используя сторонних плагинов.

И так. Вручную изменить путь к админке можно тоже несколькими способами. В одном из них нам поможет уже известный нам файлик .htaccess. Открываем его, как открывали выше для изменения доступа к дирректориям и дописываем туда следующие строки:

admin_url – замените название, на какое захотите. По этому адресу будет доступна ваша админка.

Например: SuperNight.ru/admin_url

secret_key – вместо данной строки придумайте сложный ключ и запишите его.

Например: 2t34sdf79862rgstdf7634yrgksf5876

mysite.com – замените на домен вашего сайта.

Делаем все внимательно и по пунктам. Сделать можно все в обычном блокноте, а затем вставить код в файл. Будьте предельно внимательны, иначе в админку вы больше не попадете. Нужно будет править данный код через FTP.

  1. Заменяем admin_url на желаемый.
  2. Придумываем и заменяем secret_key.
  3. Заменяем mysite.com

Вот и все. Можете пробовать зайти в админку по новому пути.

7. Делаем редирект на главную.

После проделанных нами действий мы получим:

  • Ошибка not_found если набрать в адресной строке mysite.com/wp-admin
  • Ошибка доступа если набрать mysite.com/wp-login.php
  • Доступ к админке сайта получим  по красивой, ссылке которую вы придумали mysite.com/my_admin_url
  • Доступ к адресу админ панели по придуманному вами ключу  mysite.com/wp-login.php?my_secret_key. Например, для внесения изменений страницы и придуманного пароля mysite.com/admin-login.php?2t34sdf79862rgstdf7634yrgksf5876

Давайте все попытки перехода по стандартным адресам админпанели перенаправим на главную страницу сайта. Для этого в меню админки выбираем «Внешний вид»-«Редактор» и открываем файл function.php

Защита Wordpress от взломов.

И между тегами <?php и ?> вставляем следующий код (лучше в самый конец файла):

Закрывающего тега ?> в файле может и не быть. Имейте это ввиду. Тогда строки вставляем в самый низ файла.

Не забывам нажать кнопочку «Обновить файл». Все, можно проверять редирект. Только сначала выйдите из учетной записи Защита Wordpress от взломов.

И на последок несколько советов.

  • Просмотрите все плагины, которые у вас установлены, и если вы ими не пользуетесь, удалите;
  • Как только выходит новая версия WordPress, сразу же обновляйте движок;
  • Для доступа к базе данных и панели управления хостингом, создавайте сложные пароли;

В принципе, всё!  Для начала мы немного защитили свой WordPress сайт от взломов. Может не на все сто, но жизнь взломщикам мы немного осложнили.

До встречи в новых публикациях!

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *