Комплексная защита вашего блога на WordPress от взлома

В данной статье мы затронем такую очень важную тему, как защита вашего блога на WordPress от взлома.  На самом деле движок сам по себе защищен не плохо и даже если поискать где-то в интернете по запросу взлома WordPress, то особо ничего полезного там не найдешь. Особенно, если стоит последняя версия, то большинство дыр, которые возможно там и когда-то были, то они уже давно закрыты. Однако, все же защита нашего блога не на таком высоком уровне, как хотелось бы и в моей статье мы этот уровень будем в месте повышать. И так поехали! 

Контроль за пользователями

защита блога на WordPress от взломаПервое, что нужно сделать — это осуществить контроль за пользователями.  Я вам настоятельно рекомендую убрать виджет меню мета. Само меню не только дает возможность любому зарегистрироваться на вашем блоге, но и содержит внутренние и внешние ссылки. Внутренние ссылки безвредны, а вот внешние обычно создают переход на сайты движка WordPress. Такие ссылки понижают ваш ранг, так как ваш блог будет ссылаться на другой сайт. Вообщем с меню мета лучше навсегда распрощаться, да и место на блоге оно лишнее занимает.

Теперь переходим в административную панель в раздел «Все пользователи». Посмотрите всех пользователей, которые зарегистрировались на блоге. Рекомендую всех чужих пользователей удалить. Только оставьте тех, которые у вас работают в качестве фрилансера или дополнительного помощника. Лишние нам не нужны — это только может ослабить защиту нашего блога. Также проверьте, чтобы на блоге был один администратор — это вы. В меню «Параметры» >> «Общие» убедитесь, что в строке «Членство» отсутствовала галочка, а в роли нового пользователя стояла надпись подписчик, а не администратор.

Закрываем доступ к просмотру папок

Второе, что нужно сделать — это попробовать набрать после названия вашего блога в адресной строке браузера, название какой-нибудь папки. Например, ваш домен .ru/wp-content или ваш домен .ru/wp-content/plugins.  Если после такого набора у вас показывается пустота либо название «Доступ запрещен», то все нормально. Если же у вас здесь появляется список каталогов (папок и файлов), то это не очень хорошо для нашей защиты и желательно этого избегать. Как это исправить? Просто на своем хостинге в этих же папках создайте новый пустой файл с названием index.php. Сохраните данный файл.

Также с этой функцией хорошо справляется плагин Secure WordPress, про который написано в последнем пункте этой статьи.

Скрываем версию WordPress от злоумышленников

Третье, что нужно сделать — это скрыть нашу версию WordPress от посторонних глаз. На разных версиях этого движка, есть свои слабые стороны, поэтому мы должны с вами лишний раз перестраховаться. Если хакеры будут знать нашу версию движка, то они обязательно будут искать различные недоработки в данной версии. Сейчас зайдите в файловый менеджер своего хостинга и выбираете корневую папку вашего блога (public_html).

Там находите и удаляете файл readme.html и файл license.txt. Оба файла не связаны с функциональностью CMS, на них просто располагается лицензия, версия движка, параметры установки и работы WordPress, и полная информация о нем. Нам эта информация не понадобится, а вот злоумышленникам она как раз может пригодиться. Так что не раздумываясь, удаляем эти два файла. Также периодически удаляйте эти файлы после обновления движка блога.

Теперь заходите в админ. панель и в меню «Внешний вид» >> «Редактор», затем выбираете файл header.php. Сделайте резервную копию этого файла, так как мы в дальнейшем будем изменять его. В этом файле тоже может быть указана версия WordPress. За счет разных шаблонов, указываться данная версия может по разному, а в некоторых шаблонах ее может и не быть. В самом редакторе нажмите следующую комбинацию клавиш : Ctrl + L + E +F  В правом верхнем углу появится форма поиска. Наберите в ней слово version и потом посмотрите, где это слово будет отмечено у вас другим цветом.  Лично у меня был такой код, какой изображен на первой рамке с номером 1. Если у вас точно также, то выделите синюю область как на рисунке, удалите ее и обновите файл.

скрываем версию wordpress

У некоторых может быть изображен такой код, как в поле 2. Я к сожалению точно с таким кодом не сталкивался и на своем опыте точно сказать не смогу, но в одном уроке я узнал, что его полностью надо удалять. Перед удалением сделайте резервную копию файла. После, удалите в редакторе этот код и обновите. Теперь перейдите на сайт. Если сайт работает, то все правильно, а если выдается ошибка, то в браузере возвращайтесь на ту страницу, которая была у вас перед удалением кода и обновите еще раз файл. Если вы не решаетесь удалить код, то с этой проблемой хорошо справляется плагин Secure WordPress, про который написано в последнем пункте этой статьи.

Закрываем возможность перебора пароля

Четвертое, что нужно нам сделать — это закрыть возможность перебора пароля для входа в нашу панель администратора. Закрывать мы будем с помощью плагина Login LockDown. Он у нас будет производить блокировку IP-адресов, с которых происходил взлом. Если кто-то допустим начнет с помощью специальных скриптов или программ, перебирать ваш пароль в админ-панель вашего блога, то данный плагин в дальнейшем не допустит этого. Поэтому этот плагин просто необходим. Установка плагина WordPress производится традиционным способом. После его активации, заходим в меню «Параметры», затем ищем и нажимаем на пункт «Login LockDown». После этого, мы увидим настройки этого плагина, о которых тоже нужно знать.

Настройка плагина Login LockDownНастройки следующие:

1) Max Login Retries — максимальное количество ввода логина. У нас по умолчанию стоит 3 — это значит, что дается только три попытки при наборе. При неправильном вводе после третьего раза, ввод пароля блокируется на определенное время. В этом пункте вы также можете поставить свое какое-то максимальное число. Я рекомендую оставлять 3.

2) Retry Time Period Restriction (minutes) — время в минутах для повторной попытки пароля. Если за определенное количество минут, несколько раз ошиблись с вводом пароля, то админка блокируется. Оставляйте на 5 минут.

3) Lockout Length (minutes) — период блокировки. Тут указывается тот период времени, на который блокируется наша панель после ввода неправильных паролей. По умолчанию у нас стоит 60 минут, но я рекомендую поставить и побольше.

4) Lockout Invalid Usernames? — будет ли учитываться неверный ввод пользователя (логина)? Ставим галочку на Yes.

5) Mask Login Errors? — маскировать ли ошибку ввода неправильных данных? Ставим галочку на Yes и в дальнейшем взломщику будет трудно догадаться, что его действия под контролем.

6) Currently Locked Out — под этой надписью будет изображен список заблокированных IP-адресов. Если вы в дальнейшем хотите разблокировать какой-нибудь IP-адрес, то просто поставьте возле него галочку и нажмите на кнопку «Release Selected». Данный пункт будет полезен, если с вами будут работать дополнительные авторы или фрилансеры.

После всех настроек, нажимаем на «Update Settings».

Теперь попробуйте полностью выйти и потом опять попытаться зайти в панель администрирования. При вводе данных вы увидите предупреждение на английском, что данная форма контролируется плагином Login LockDown (форма (1) на рисунке с низу). Чтобы за ранее не предупреждать злоумышленников о нашей защите, в дальнейшем нам предстоит удалить эту запись. Как же это сделать?

Защита блога от перебора паролей

Сейчас нам нужно зайти в админ. панель в раздел плагины. Там мы ищем наш плагин Login LockDown и после деактивируем его. Это делается для того, чтобы в редакторе изменить один файл самого плагина. Запомните: при изменении каких-либо файлов в самом плагине, нужно сначала отключить плагин, но не удалять. Также нужно сделать резервную копию того файла, с которым собираетесь работать. После того, как вы завершили редактирование с плагиновыми файлами, то обратно включаете плагин в работу.

И так, после диакцивации нашего плагина, переходим в раздел «Плагины» >> «Редактор». В окошке (2) с названием «Выберите плагин для изменения», выбираем Login LockDown. Ниже потом появится список из четырех файлов этого плагина. Выбираем самый верхний под цифрой (3) под названием «login-lockdown/loginlockdown.php». Убедитесь еще раз, что он у вас не активен (как у меня на нижнем рисунке). Потом создаете на компьютере в блокноте новый файл login-lockdown/loginlockdown.php — эта будет ваша резервная копия на случай, если вы нечаянно удалите не ту строчку. Теперь в редакторе админ. панели выделяем все содержимое этого файла, копируем и вставляем в тот резервный файл, который мы создали на компьютере. После этого сохраняем его.

защита вашего блога от перебора паролей

Теперь посмотрите очень внимательно на мой рисунок. Там синим цветом точно выделен код (4), который нужно удалить. Рекомендую навести курсор на фотографию и открыть ее в новой вкладке. Там в увеличенном масштабе хорошо будет виден код. Найдите у себя в файле такой код. Выделите его в точности как у меня и потом удалите. Код стоит между ковычками, которые не нужно удалять. После удаления данного кусочка кода, нажмите на кнопку «Обновите файл».

Теперь полностью выйдите из своего блога или попытайтесь зайти в админ. панель, но уже с другого браузера, чтобы в дальнейшем WordPress автоматически не распознал вас как admin. Когда вы попробуете зайти в панель управления, то в стандартной форме заполнения логина и пароля, вы не увидите ту предупреждающую надпись от плагина Login LockDown, которая была раньше. Теперь злоумышленник не будет подозревать о нашей защите.

 Усложняем логин и пароль

Пятое, что мы должны сделать — это достаточно хорошо усложнить наш пароль и логин, чтобы повысить защиту блога от взлома. Некоторые блоггеры не уделяют этому моменту должного внимания. Они специально придумывают для себя легко-запоминающие пароли, не подозревая на то, что это для них может очень плохо кончиться. Большинство также любит составлять свои пароли из слов или чисел, связанных с днем рождения, инициалами, кличками и так далее. Этого делать ни в коем случае нельзя.

Давайте сначала придумаем и запишем наш логин и пароль. Возьмите листок бумаги и ручку. Ваш логин и пароль должны состоять из английских буков. Также сюда должно входить несколько чисел. Свой логин составляйте из 30 — 35 символов. Пароль рекомендую составлять из 40 — 45 символов. Эти ваши данные должны быть уникальными, то есть не берите пароли и логины, которые вы применяете на других сайтах или почтовых ящиках. Далее придуманную комбинацию чисел и букв, запишите на листок бумаги.

Теперь ваши данные нужно внедрить в CMS. К сожалению на самом движке WordPress, логин для входа в админ. панель нельзя изменить. Вы наверное заметили, что в поле «Имя пользователя» стоит слово admin, которое ни как нельзя изменить. Для взломщика — это очень хорошо, так как в форме входа, ему предстоит заполнить только одно окошко для пароля. Для нас — это минус один балл к своей защите. Как же нам изменить логин, чтобы не было простого и доступного слова admin?

Для этого обязательно прочтите мою статью о том, как надежно скрыть логин WordPress. Там я даю советы не только о том, как изменить логин admin на более сложный, но и помогу скрыть это имя пользователя от злоумышленников. Еще рекомендую вам усложнить свой логин и пароль на вашем хостинге, чтобы хакерам было и туда невозможно проникнуть.

Подбираем место для хранения паролей и логинов

Теперь нам нужно определиться с местом для хранения своих паролей и логинов. Не рекомендую их хранить у себя на компьютере, он подвержен атакам различных вирусов, которые могут повредить данные на вашем компьютере. Также есть опытные хакеры, которые могут получить доступ к вашему компьютеру. Не рекомендую хранить пароли на таких почтовых ящиках, как яндекс, рамблер и тем более маил ру. У них очень слабая защита.

Я вообще не рекомендую хранить пароли на электронных ящиках, так как в последнее время их активно взламывают для получения доступа к электронным кошелькам, сайтам, хостингу и так далее. Однако, если же вы все же будете хранить свои пароли на электронной почте, то обязательно выбирайте почту gmail от гугл. Эта самая надежная и самая функциональная почта из всех, что я знаю. На ней очень высокий уровень защиты, который практически невозможно взломать. Если выбирать почту, то только эту.

Есть и еще более надежный и простой способ хранения ваших паролей — это большая тетрадь с ручкой. Всегда записывайте все пароли в отдельную общую тетрадь. Данный способ хорош тем, что ваши данные хранятся вне зоне доступа сети и они уже не будут подвержены взлому или какому-либо вирусу. Если вы эту тетрадь будете хранить в надежном месте, по дальше от детей и домашних животных, то вы с уверенностью можете себе сказать, что ваши данные надежно защищены.

Дополняем защиту блога с помощью плагина Secure WordPress

Плагин Secure WordPress — это плагин, который может полностью скрывать или удалять версию WordPress, также защита WordPress от вредоносных URL-запросов, скрывать каталоги файлов от всеобщего обозрения, скрывать ссылку RSD, скрывать ссылку Windows Live Writen со страниц блога, скрывает сообщения об обновлениях плагинов, самого движка и его шаблонов.

Защита с плагином Secure WordPress

Сама установка плагина производится традиционным способом. В поле поиска плагина введите Secure WordPress и потом установите и активируете его. Теперь переходим в меню «Параметры» и во вкладку «Безопасный WP». Там будут показаны все настройки этого плагина. Вы просто поставьте галочки на всех пунктах, кроме последней (А). В последнем пункте предлагается получать новости по RSS, поэтому здесь отмечать его не обязательно. Потом сохраняйте настройки.

Теперь этот плагин произвел все изменения и настройки, которые помогут нам увеличить защиту нашего блога. В следствии этого плагин нам теперь больше не нужен и его можно удалить. Если вы установили на свой блог новый шаблон, то опять установите, активируйте, закрепите настройки и потом опять удалите этот плагин.

И так , если вы последовали всем моим советам, то защита вашего блога от взлома, уже не будет на том низком уровне. Я в этой статье познакомил вас только с теми мерами защиты, которые не дадут взять наш блог под чужой контроль, то есть получить доступ к административной панели управления. Однако не стоит забывать, что есть и другие угрозы и атаки, которым может подвергаться  наш блог. Например, это может быть различные вредоносные коды и внешние ссылки, всеми известный спам, вирусы и так далее. В дальнейшем мы будем бороться и с этими проблемами, чтобы поднять планку нашей защиты еще на более высокий уровень.

Рекомендую почитать похожие записи:

Zavitushka-dlya-sayta

 
rss-1Следить за новыми статьями на этом блоге!

 Нажимая на кнопку, вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.

Комментарии 16

  • Просто огромное спасибо за статью! Мне очень тяжело разбираться с установками вордпресса без четких инструкций. Мету убрала, контроль за пользователями сделала, сейчас закрываю просмотр папок. А если после бэкапов мы убираем readme.html и файл license.txt, то ранее сохраненный бэкап тоже недействительный?

    • Ранее сохраненный бэкап будет всегда действителен, так как он обычно содержит все заметки, комментарии и весь контент. Файлы readme.html и license.txt в бэкап не входят. Рекомендую вам после написании каждой статьи делать новый бекап, чтобы на случай чего, ваша статья не была утеряна. А вот старые бэкапы можете потихоньку удалять. И не забудьте после каждого обновления самого движка WordPress, удалять эти два файла readme.html и файл license.txt, так как по мере его обновления, они будут появляться.

  • Очень понятно даже новичкам. А какая версия движка считается последней?

    • Маргарита, вы можете посмотреть версию и у себя в панели управления в разделе «консоль» >> «обновления». Если там вам не будет предложено обновление, то значит у вас стоит последняя версия. Там так и будет написано «У вас свежая версия WordPress». Если будет предложено обновиться, то обновляйтесь. Только всегда перед любым обновлением, делайте бэкап. Это я вам для маленькой справочки!!!

  • Статья просто супер! Все ясно и понятно, четко сказано, что нужно делать. Целый труд на тему, как защитить блог! Получил от чтения огромное удовольствие. Начал делать все по статье, потом к ней вернусь, поместил ее в закладки. Спасибо!

    • Вы верно подметили Александр, что это целый труд. Очень много времени и сил у меня ушло на правильное преподнесение материала своим читателям.

  • С появлением версии 3.5 скрывать версию движка надо как-то по-другому.
    Потому как ее выдает ссылка на какой-то админский профиль, вот так это выглядит у меня:

    ver=3.5 — указывает на версию движка

  • Не удалось вставить код в предыдущем комментарии

    link rel='stylesheet' id='admin-bar-css' href='http://www.olunka.ru/wp-includes/css/admin-bar.min.css?ver=3.5' type='text/css' media='all'

    • Установите плагин Secure WordPress! Он везде удалит версию CMS, только в самой админ панели оставит для самого автора блога.

  • дополню:
    в последних версиях WP много мусора в т.ч. указание версии wordpress`a через мета тэг
    добавляются через функцию wp_head ()

  • а конкретнее комментим строку add_action( ‘wp_head’, ‘wp_generator’ );

    в файле /wp-includes/default-filters.php

    • У меня такое чувство, что разработчики WordPress в последнее время наводят только красоту и удобство самой CMS. О защите они что-то не думают сильно. Вот почему-то они логин пользователя никак не скрывают. В его можно без труда найти. Может в новых версиях они что-то придумают. А так, защита конечно, пока не сильно радует. Есть много незалатанных дыр в безопасности сайта на этой CMS.

  • Есть неплохие плагины комплексной защиты, которые от большинства атак защищают

    • Вот в этом комментарии я их перечислял:
      alpha-byte.ru/wordpresso/plaginyi/automatic-plugin-updates#comment-3395
      Очень хорошие плагины защиты сайта на вордпресс.

  • Доброе утро!

    Для хранения паролей можно использовать программу 1Password.

    • Я уже этим программам не доверяю. Если нужно какое-нибудь надежное и удобное хранилище паролей, то попробуйте сервис lastpass.com. Многие его хвалят. Все пароли там хранятся в зашифрованном виде и на отдельных серверах.

А что вы думаете по этому поводу?

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Нажимая на кнопку «Отправить», вы соглашаетесь с нашей политикой конфиденциальности и пользовательским соглашением.