Поиск по Сайту

Подпишитесь на обновления

Подпишитесь на еженедельные обновления!

Статистика


Яндекс.Метрика

Советуем почитать

Мар 18

Безопасность на вес золота. Как её усилить на WordPress?

Здравствуйте! Сегодня я в очередной раз пишу о безопасности на WordPress. Эта статья участвует в конкурсе «Золотой пост», объявленного Владимиром Карпеевым, автором проекта «Вовкин блог». Надеюсь она вам будет очень полезна. Предыдущие статьи о безопасности можете почитать здесь и здесь.

1.Добавьте секретные коды в файл wp-config.php

При помощи этих кодов проверяется правильность доступа. Хочу заранее предупредить, что при их изменении удаляются файлы cookie, поэтому вам снова придется залогиниться. Где же их взять? Просто перейдите на сайт wordpress.org, скопируйте сгенерированные ключи и вставьте их в свой файл wp-config.php, который находится в корне сайта.

2.Отключите сообщение об ошибке авторизации

При не правильном вводе данных, во время авторизации WordPress по умолчанию выводит сообщение об ошибке.

А это некий бонус для взломщиков, если это можно так назвать. Чтобы убрать вывод ошибки, надо в functions.php прописать следующие строки: [crayon-5a33bbf82d3e1942703721/]

3.Удалите файлы readme.html и license.txt.

Зачем это нужно, спросите вы? В license.txt дается вся информация о том, что такое WordPress, защита прав собственности, открытый исходный код и так далее. В файле readme.html указывается версия вашего WordPress и его установка. Злоумышленники ни в коем случае не должны знать информацию о вашем WordPress. Эти 2 файла находятся в корне вашего сайта. Чтобы их удалить, просто воспользуйтесь любым ftp клиентом. Также, чтобы взломщики не узнали версию вашего WordPress нужно удалить специальную строку кода в файле header.php. Для этого перейдите в "Консоль" --> "Внешний вид" --> "Редактор" --> "header.php" и найдите строчку: [crayon-5a33bbf82d3ec848130344/]

4.Плагин, который защитит ваш блог от вредоносных запросов в URI.

Если вы не знаете, что такое URI, то посмотрите в нашем словаре. Хакеры часто используют вредоносные запросы, чтоб найти и атаковать слабые места блога. WordPress конечно же имеет хорошую защиту, но не плохо бы было ему помочь. Для этого скачайте этот плагин. Затем активируйте его. Если вы не знаете, как это делается, то прочитайте вот эту статью.

5.Используйте FTP клиент FileZilla.

Данная программа считается более надежной в плане защиты пароля при доступе к вашему хостингу. Скачать её вы можете здесь.

6.Закройте доступ к файлу wp-config.php и .htaccess

Для начала откройте сам файл .htaccess, он находится в корне сайта. Если у вас его нет, то создайте его и загрузите на сервер. Затем, в файле .htacces пропишите следующее: [crayon-5a33bbf82d3f3064452789/] Так мы запретили доступ к файлу wp-config.php. Теперь давайте сделаем тоже самое для .htacces:

[crayon-5a33bbf82d3f7456299484/]

7.Включите поддержку SSL при работе с админкой

SSL – это криптографический протокол. При использовании его, все передаваемые данные между браузером и сервером шифруются. Для того, что бы активировать SSL шифрование, нужно в файл wp-config.php добавить следующую строчку: [crayon-5a33bbf82d3fd453998829/] Все, шифрование успешно настроено.

8.Защищаем картинки от скачки на чужих сайтах

Итак, возможно вы знаете, что некоторые люди берут картинки прямо с наших с вами серверов, скромно забывая при этом про слово «трафик». А представьте, что будет, если ссылки на наши картинки попадут на какой-нибудь очень популярный ресурс, с посещаемостью до 500 тысяч хотя бы. Да наш сервер просто ляжет. Давайте защитимся от таких злодеев, их еще называют личеры. Нам снова понадобится .htacces. Пропишите в нем следующее: [crayon-5a33bbf82d402508995246/] Замените ?mysite\.ru/ на адрес вашего сайта Замените /images/nohotlink.jpg на название вашей картинки с лозунгом «личер идёт на… прогулку»

9.Блокируем доступ посторонних лиц к админке

Возможно вы удивитесь, но снова заходим в наш файл .htaccess(он вам наверное надоел уже :D). Для того, чтобы блокировать доступ к странице входа /wp-login.php нежелательным лицам, прописываем следующие строки: [crayon-5a33bbf82d407152318005/] XXX.XXX.XXX.XX – наш ip-адрес. Узнать свой IP можете здесь. Внимание!, если у вас статический ip-адрес, то все гуд, берете код который находится выше. Статический ip - это тот, который не изменяется. Динамический, как вы уже могли догадаться, изменяется. Как узнать, статический у вас ip или динамический? Да очень просто. Для этого сначала зайдите на сайт 2ip.ru, затем выключите ваш модем, затем снова включите и повторно зайдите на сайт. Если ваш ip изменился, значит он динамический. В таком случае убираем последние символы до точки. Как провалилась тройственная агрессия? Подробнее об этом читайте тут!

10.Изменяем адрес страницы авторизации

По умолчанию страница входа в админку блога находится по адресу: вашблог.ru/wp-login, об этом знает каждый. В том числе и злоумышленники. Чтобы изменить адрес страницы авторизации, воспользуйтесь плагином Hide Login

11.Не забывайте устанавливать обновления

Это очень важно, ведь с каждой новой версией разработчики исправляют все дыры и слабые места, которые были в прошлых сборках и на которых не безопасно оставаться. На этом все, дорогие друзья. Не пренебрегайте советами по усилению безопасности, потому что когда вы одумаетесь, может быть уже поздно. Надеюсь это моя не последняя статья про безопасность, так как все что знал уже рассказал. До встречи! С Уважением, Александр Сидоренко. Спонсор поста — сервис SeoPult для полной автоматизации продвижения и рекламы   сайтов.

Подпишитесь на еженедельный дайджест про WordPress и не только!


12 коммент.

  1. Граффити:

    Хорошая статья. Надеюсь она попадет в десятку лучших! Удачи

    Оценить комментарий: Thumb up 0 Thumb down 0

  2. sergei:

    Статья отличная и займет достойное место.Будем учиться защищать свой компьютер.

    Оценить комментарий: Thumb up 0 Thumb down 0

  3. михаил:

    Хорошая статья. От себя добавлю – один из лучших способов усложнить взлом блога – это смена имени пользователя с admin на что то более замысловатое.

    Оценить комментарий: Thumb up 0 Thumb down 0

    • Александр Сидоренко:

      Михаил, спасибо за добавление. Но об этом я уже писал в одной из предыдущих статей, ссылки на них в начале поста.. =) а здесь я решил подобрать те методы, о которых еще Показать продолжение

      Оценить комментарий: Thumb up 0 Thumb down 0

  4. Геннадий:

    Спасибо!

    Оценить комментарий: Thumb up 0 Thumb down 0

  5. Ильшат:

    А еще – бэкапы! Хотя бы раз в месяц полный бэкап всех файлов, а раз в неделю – базы данных.

    Оценить комментарий: Thumb up 0 Thumb down 0

  6. Delpix:

    А что дают секретные коды? я смогу только с одного айпи в админку заходить?

    Оценить комментарий: Thumb up 0 Thumb down 0

    • Александр Сидоренко:

      Говоря простым языком, к Вашему паролю добавляются случайные элементы, тем самым злоумышленнику становится сложнее узнать Ваш пароль. =)

      Оценить комментарий: Thumb up 0 Thumb down 0

  7. Простой:

    Хорошие советы. Которыми можно пользоваться.

    Оценить комментарий: Thumb up 0 Thumb down 0

  8. Игорь:

    Спасибо за полезную статью!

    Оценить комментарий: Thumb up 0 Thumb down 0

Пожалуйста, зарегистрируйтесь для комментирования.