WordPress защита Вашего блога от взлома
Опубликовано: 21.12.2014
Добрый день уважаемые читатели блога sgolder.com. В этой статье WordPress защита блога предлагаю разобраться в основных способах, которые просто необходимо выполнить еще в самом начале ведения или даже создания блога, чтоб предупредить взлом сайта. Несмотря на то, что CMS WordPress есть изначально защищенной системой, которую с каждым обновлением дополняют разработчики однако злоумышленники не стоят на месте и находят все тонкие места в защите.
[google_content]
Итак, далее Я дам несколько практических совет, которые являются просто необходимым минимумом для каждого вебмастера. Также каждому автору блога следует понимать, что пока на Вашем блоге десяток посетителей и он не приносит никакой прибыли интерес к нему нулевой. Но как только блог обрастет посещаемостью и начнет приносить прибыль сразу найдутся «умельцы», которые захотят напортачить и взломать сайт.
WordPress защита блога основные способы
Первое. С чего следует начинать это защитить доступ в аккаунт Вашего хостинга. Здесь не стоит пренебрегать защитой так, как все о чем будет написано ниже, будет бесполезно. Придумываем сложный пароль, также если у Вас профессиональный хостинг настраиваем двухэтапную авторизацию при помощи SMS или Google Authenticator. Также можно ограничить доступ по FTP указав только свой IP адресс.
Второе. Нам необходимо обеспечить защиту админ панели блога от многократного подбора пароля. Для этого устанавливаем плагин Login LockDown. В настройках этого плагина устанавливаем количество неудачных попыток при подборе паролей и время ожидание для последующего ввода. Тоесть злодей, который захочет подобрать пароль в Вашей админке упрется на количество попыток вводы. Например: 3 неудачные попытки и WordPress защита блокирует доступ на 30 минут для повторного ввода. Количество попыток и время Вы устанавливаете самостоятельно в настройках плагина.
Третье. После, того как мы защитили блог от подбора паролей перейдем к логину. По умолчанию WordPress, в качестве логина администратора проставляет стандартно admin, который нам следует заменить на свой уникальный логин. Для этого переходим на свой хостинг в phpMyAdmin раздел wp_users, где прописываем новый логин:
Здесь мы можем изменить как логин доступа в админ панель, так и пароль, который изображен в виде кодировки. Для этого жмем изменить или дважды кликаем на те поля, которые будем изменять. Вводим данные и подтверждаем. Не забываем, что регистр букв (большие, маленькие) здесь учитывается.
Четвертое. Удаляем бесполезные для нас но важные для злодея файлы readme.html и license.txt, в которых указана версия Вордпресс и дополнительная информация, которой может воспользоваться опытный взломщик. Также в в файле header.php находим и удаляем строчку, которая сообщает версию WordPress:
<meta name="generator" content="WordPress 3.9.1" />
Пятое. Обеспечиваем дополнительную защиту Вашего сервера. Для этого в конце файла function.php прописываем следующий код:
1 | <!--?php remove_action (’wp_head’, ‘wp_generator’); ?--> |
Шестое. Можно установить плагин Protected wp-login, который изменит стандартный путь в админ панель на тот, который Вы укажете в настройках.
К примеру https://sgolder.com/wp-login.php/wp-login.php?sk=123
Также изменить адрес входа в админ панель можно без использования плагина. Для этого необходимо вносить следующие изменения:
- переименовываем файл wp-login.php на другое (например, 12345.php)
- далее копируем название переименованного файла, открываем его и заменяем все wp-login.php на новое название файла 12345.php
- открываем файл wp-includes/general-template.php и также выполняем замену всех wp-login.php на новое название.
После этих настроек вход в админ панель будет осуществляться по адресу sgolder.com/12345.php
Это основные способы защиты, которые помогут обеспечить дополнительную защиту вашему блогу от различных хакерских штучек. Также не забываем, что пароль входа в админ панель должен быть достаточно сложным и содержать в себе символы, цифры и буквы разных регистров одновременно. На этом буду завершать сегодняшний пост и надеюсь WordPress защита Вашего сайта, станет надежней благодаря моим рекомендациям.
Рекомендуем к прочтению
Я плагинами защищаю свой блог. Уже пару раз хотели взломать, но у них ничего не получилось. В статье тоже советы хорошие, может плагины удалю и буду пользоваться Вашими советами.
[Ответить]
Profi Отвечает:
Январь 23rd, 2016 в 01:12
Priwet.
Спасибо за информацию.Раньше не задумывался о зашите,но за этот месяц уже 3 ий раз взломали мой сайт.
Хакер@ из Сирии.
Спасибо большое за полезную статью.
[Ответить]
Про секретный ключ — это молодец!! Себе сохраню.
[Ответить]
Александр Белый Отвечает:
Декабрь 22nd, 2014 в 20:54
Да задумка отличная.
[Ответить]
Интересные рекомендации, но на сколько мне известно, почти все моменты указанные вами в статье осуществляет один плагинiThemes Security! Он у меня установлен и до сих пор…тфу тфу тфу
[Ответить]
Александр Белый Отвечает:
Декабрь 22nd, 2014 в 20:53
Этот плагин не тестировал. Да и в статье все существующие способы не охватить.
[Ответить]
Ильдар Тимербаев Отвечает:
Январь 1st, 2015 в 17:29
Я тоже себе установил этот плагин. Там столько разных настроек! Почти час настраивал все. Теперь, надеюсь, блог лучше защищен
[Ответить]
Александр Белый Отвечает:
Январь 1st, 2015 в 17:36
Как дополнительная защита не помешает.
[Ответить]
Здравствуйте, Александр. А вы случайно не генератор идей, а то я провожу конкурс: кто предложит интересный марафон, эстафету, тот же самый конкурс.
[Ответить]
Ильдар Тимербаев Отвечает:
Январь 8th, 2015 в 09:33
Юрий, я у себя в блоге новый конкурс организовал.
[Ответить]
Надо будут — в любом случае ломанут((((
[Ответить]
Александр Белый Отвечает:
Декабрь 24th, 2014 в 10:24
Дополнительная защита никогда не будет лишней.
[Ответить]
Здравствуйте, Александр! Очень интересная статья. Нашла вас совершенно случайно и очень понравился ваш блог! Общим решением с супругом мы решили наградить Ваш блог и Вас наградой Liebster-blog-award и заслуженным признанием Лучшего молодого блога!
[Ответить]
У тебя в сайдбаре виджет с адсенс плавает — бан хочешь чтоли? Это полное нарушение!
[Ответить]
Александр Белый Отвечает:
Декабрь 25th, 2014 в 21:53
Благодарю не знал. Уберу.
[Ответить]
Привет, Александр! Хорошие советы, как защитить блог, только взломать могут любой сайт, к сожалению, если сделать на него заказ профессионалов.
Но, лишняя защита от простых злоумышленников не помешает. У меня, когда сайту был месяц, произошёл взлом через уязвимость в устаревшей версии плагина. Так что надо обязательно делать обновление движка и плагинов.
[Ответить]
Если будут подбирать пароль с разных IP адресов, то это всё сильно нагрузит блог, хостинг будет ругаться. Самый вариант — это плагин Theme My Login, который позволяет сделать любую страницу входа в админку, которую будете знать только вы, плюс там такая же защита от подбора с блокировкой, плюс функция Disable wp-login.php. Но я для надежности у файла wp-login.php выставил такие права, что его даже прочитать нельзя
теперь постоянно наслаждаюсь отчетом о попытке доступа к этом файлу в cPanel даже у тех сайтов, у которых я не активировал функцию регистрации пользователей, что говорит о том, что это роботы «простреливают» базу сайтов на WP.
[Ответить]
Александр Белый Отвечает:
Январь 15th, 2015 в 21:33
Спасибо за информацию подумаю над этим.
[Ответить]
Странно почему разработчики вордпресс не у делили должного внимания безопасности своего продукта…
[Ответить]
Автору спасибо.
[Ответить]
Интересная статья, спасибо.
[Ответить]
Здравствуйте, как именно заменять файл wp-login.php?
С помощью notepad++?
Нужно заменять слово «wp-login.php» в каждом файле в котором он присутствует?
[Ответить]
Александр Белый Отвечает:
Март 12th, 2015 в 09:37
В файлах wp-login.php и wp-includes/general-template.php и также выполняем замену всех wp-login.php на новое название
[Ответить]
Александр здравствуйте! Мой сайт уже несколько дней подряд пытаются взломать. У меня стоит плагин Login Lock, он после 3 неправильных ввода данных блокирует айпи на время. Я уже пробовал в файле htaccess прописывать код в котором запретил доступ к сайту этому данному айпи адресу, но в админ панель он продолжает заходить. Что можете порекомендовать?
[Ответить]
Александр Белый Отвечает:
Апрель 22nd, 2015 в 09:40
Вход по IP можно запретить, через хостинг провайдера. Если они предоставляют данную услугу или измените путь ввода пароля, как описано в статье.
[Ответить]
Изменить с помощью плагина? У меня и так ссылка изменена, я раньше был на макхосте, там они всем предлагают изменять ссылку. Ладно посмотрю на хостинге есть ли такая услуга, а потом подумаю на счёт плагина.
[Ответить]
Что менять то?
user_login
user_nicename
display_name
[Ответить]
Александр Белый Отвечает:
Май 18th, 2015 в 19:56
login
[Ответить]
Как понять «виджет с адсенс плавает»?
[Ответить]
Александр Белый Отвечает:
Июнь 19th, 2015 в 20:00
Перемещается по экрану за пролистыванием страницы, то есть не зафиксирован
[Ответить]
Александр, спасибо за ответ. Вообще, мне Ваша статья принесла пользу. Спасибо!
[Ответить]
Александр Белый Отвечает:
Июнь 19th, 2015 в 21:20
Пожалуйста. Рад, что помог.
[Ответить]
Александр, в четвёртом способе что то не видно кода.
[Ответить]
Александр Белый Отвечает:
Июнь 20th, 2015 в 12:06
Устранил, благодарю
[Ответить]
Александр, а файлы readme.html и license.txt где должны быть? В корневой папке с сайтом или в папке с темой?
И кстати, что то я не смог написать вам ответ, выдают ошибку. Пришлось ещё один комментарий писать.
[Ответить]
Александр Белый Отвечает:
Июнь 20th, 2015 в 23:06
В корневой папке
[Ответить]
Хорошо. Спасибо!
[Ответить]
Александр, спасибо за статью! Помогла при наличии взлома, а так же для повышения уровня защиты.
[Ответить]