Это пятая статья, которая является продолжением курса “Как увеличить…”, в котором я описываю внутреннюю оптимизацию блога, влияющую на количество подписчиков, комментаторов, посещаемость и скорость блога. В этом посте речь пойдет о мерах защиты блога на базе движка wordpress. Материал будет разбит по принципу “от простого к сложному”, поэтому каждый сможет предпринять меры по защите своего блога.
Не секрет, что движок wordpress не отличается идеальной защитой, поэтому необходимо каждый раз предпринимать хоть какие-то меры по защите своего блога от всякого рода мошенничества. В основном о защите блога задумываются тогда, когда их блог уже взломали – это факт! Не допустите этого. В статье я также затрону вопрос по защите контента.
Методы для новичка:
1) Сразу создавайте или генерируйте сложные пароли для входа в административную панель блога, базы данных MySQL и для связи с хостингом. Почитать мою историю про важность хороших паролей можно в статье про бесплатный менеджер паролей.
2) Для мошенников достаточно важно знать вашу версию движка. Ее можно узнать из ненужных на сервере файлов readme.html и license.txt. Удалите их и никогда больше не закачивается на хостинг.
3) Для связи с хостингом лучше всего использовать протокол ssh нежели ftp, который будет шифровать передаваемые данные. Такие менеджеры не сложно найти в интернете.
4) Для защиты своей базы данных используйте плагин wordpress database backup, который может отправлять вам на е-мейл бэкап с указанной периодичностью. Очень удобный плагин. Один раз настроил и не переживаешь, что база будет потеряна. 5 минут назад как раз пришла база на почту 
.
5) Как правило, более свежие версии движка и плагинов несут в себе исправления дыр, через которые злоумышленники могут взломать wordpress. Всегда обновляйте ваши плагины и wordpress.
6) Удалите плагины, которые вы не используете – они могут содержать дыры.
7) У зарегистрированных пользователей больше возможности навредить вашему блогу, потому что административная панель блога одинакова как для администратора, так и для зарегистрированного пользователя. Если вы запретите регистрацию, то снизите вероятность взлома.
8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге. Для этого идем по пути /wp-content/plugins/ и вставляем туда пустой файл index.php. Теперь никто кроме вас не будет знать об установленных плагинах.
9) Плагин Anti-XSS attack предупредит вас и защитит от XSS-атак. Очень полезный плагин.
10) Для того, чтобы взломать административную панель в wordpress по идеи надо знать только пароль, потому что логин по умолчанию admin. Поэтому создайте нового пользователя со статусом администратора, а админа удалите, привезав все существующие записи к новому пользователю. Хорошо бы создать еще дополнительного пользователя, от которого бы писались непосредственно посты.
11) Чтобы не дать злоумышленнику возможность на подбор логина и паролей, нужно ограничить число попыток входа к административной панели. Плагины Limit Login Attempts и Login LockDown помогут в этом деле. Они примерно одинаковые по функциям. Они блокируют ввод логина и пароля на установленное время, если злоумышленник ввел неправильные данные несколько раз (указывается в настройках). Установить просто: распаковать, загрузить на сервер, активировать и настроить по вкусу.
12) Если вам и этого мало, то воспользуйтесь плагином AskApache Password Protect, который всякий раз будет спрашивать логин и пароль при открытии wp-admin. Назначайте, конечно, другие данные нежели для вхожа в админ-панель. Не всегда удобно, но достаточно защищено.
Методы для более продвинутых:
13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку:
<meta name=”generator” content=”WordPress <?php bloginfo(‘version’); ?>” />
Также пропишите в functions.php
<?php remove_action(‘wp_head’, ‘wp_generator’); ?>
14) Замените строку:
<?php echo $_SERVER ['PHP_SELF']; ?>
на
<?php bloginfo (‘home’); ?>
в своем файле темы search.php. Это не даст мошенникам рыскать по вашему серверу. Если такой строчки нет, то и ладно.
15) Запретите доступ к файлу wp-config.php извне, потому что в нем содержится очень важная информация о логинах и паролях. Пропишите следующий код в фале .htaccess:
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
Защищаем контент:
16) Очень часто воруется контент с блогов через RSS-канал. Для этого существует очень простой и эффективный плагин Add to RSS. Он добавляет текст, ссылки (все что вы настроите) в конце каждого поста, отдаваемого в RSS. Причем все это не будет отражено на самом блоге.
Вот, пожалуй, и все. Получилось 16 вариантов защиты блога. Конечно же, их не обязательно все использовать. А вы как-то защищаете свой блог? Может быть я что-то пропустил?
П.С.
После того как заработаете кучу денег в интернете, то жене (девушке) можно купить шубу из норки – ей понравится.
Нужна техника из Китая? На сайте www.svs-amur.ru компания ООО СВС-Амур предлагает самосвалы, тягачи, бульдозеры и другую тяжелую технику.
Давно хотел заняться защитой, да руки никогда не доходили. Спасибо за пост, теперь я настроен
В принципе в методах “Для продвинутых” может и новичок разобраться
А на видео не вордпресс же?
Редгар, движок MuWeb
Я пользуюсь Акисментом и все нормально, время от времени удаляю и спам и все.
Archil, здесь тема не про защиту от спама, а про защиту блога.
Прочитал статью и на лбу выделился пот
Не думаю, что в данный момент мой сайт интересен кому-либо для взлома, но плагин для ограничения количесва ввода логина и пароля я все-же поставил (но не тот, который вы советуете, а User Locker – проверен вплоть до версии движка 2.9.1).
Статья полезная. Спасибо за труд и информирование.
Василий, я думаю “жертвы” выбираются автоматически. Надо просто не дать повода для взлома. Для начала этого плагина думаю вполне достаточно, а потом уже будете модернизировать защиту
Я понимаю, что это не самый удачный пост для вопроса, но если вам не сложно – то ответьте хотя бы на почту…
Да, я девачко, и в гугле меня скоро забанят… Скажите, какой плагин вы посоветуете для возможности ответа на коммент пользователю? Идеально – если с возможностью уведомления на его почту о том, что получен ответ?
Хнык.
Спасибо заранее!
Рыся, попробуйте «Wordpress Thread Comment» или Disqus – последний отлично организовывает комментарии на блоге
Спасибо! Вроде получилось
Про вороство контента. Наткнулся как-то на блок, текст с которого нельзя было скопировать. Нельзы было просто выделить текст и нажать копировать. Я подумал, что такие страницы не будут индексирваться, но нет, страницы были в индексе.
Весьма интерессный способ борьбы с контентом. Никто не знает как сделать такое?
Сергей Терешков, от автоматического граббинга это к сожалению не спасет
В google по запросу “как запретить выделение текста на сайте” много релевантных страниц. Если действительно интересна тема, то вперед 
Спасибо, очень информативно и полезно. Можно было бы еще сделать обзор плагинов против различных атак и иньекций на блог
А не активированные плагины тоже потанциально опасные? Или дыры вылазят только после активации?
Ян, плагинами, которыми не пользуешься лучше удалять
“13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку.”
Сергей, вы это сами сделали? Если нет, то почему? Если да, то что означают эти цифры – 2.8.5?
“5) Всегда обновляйте ваши плагины и wordpress.”
Свежее обновления добавили головняка уже не одному мастеру.
Забыл добавить важный пункт – предварительно сделать бэкап всего чего только ни
“8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге.”
Большая часть плагов узнается из кода так же легко, как и версия движка
Переозвучивать старые истины конечно хорошо, но единственно верный способ защиты от взлома – платная цмс или мощные бесплатные сервисы – жж или юкоз например.
МандариновыйЗакат, спасибо! Переносил недавно старый вариант темы, а там код этот стоит
.
.
Да, я с вами согласен. Любой wordpress при желании можно взломать. Надо просто делать всегда бэкапы, но один раз подумать о защите и сделать небольшие действия тоже не помешает
Думаю об этом стоит задуматься) Пока не прочитал этот пост даже не задумывался о том, что кому-то стукнет в голову взломать мой блог)
Как раз недавно искал информацию по защите блога на WP, а потом плюнул, и написал свою “соляночку”.
Загляните, если интересно. Там есть методы, которые не описаны в этом посте.
(хотя и у меня не хватает нескольких из вашей подборки)
Спасибо большое) рад был узнать о возможных видах защиты блога). Ещё кстати можно спрятать админку плагином Stealth Login ( http://wordpress.org/extend/plugins/stealth-login/ ). При попытке попасть в админку или на страницу входа пользователей он редиректит на главную страницу (можно изменить адрес админки, напр. вместо /wp-admin сделать /adminka), т.е. её сначала ещё надо будет найти любопытным пользователям)))
http://sosnovskij.ru/wp-admin/css/login.css?ver=20090514
версия wp
сокрытие её в “…Методы для более продвинутых:”
бесполезно кто захочет узнает
Soronorus, кто захочет, то взломает по-любому. WP – открытый движок.
.
А методы были разделены не по уровню сложности взлома, а по уровню реализации
просто зачем скрывать когда это бесполезно.
не нужное действие,
а вот запрет регистрации сие верный ход. нам мой взгляд
Soronorus, я не программист и всех тонкостей не знаю. В далеком ноябре 2009 года решил собрать информацию воедино, вот этот пункт сюда и попал
а эффективен ли метод если в админку зафигачить htaccess с deny from all
и допустим когда надо будет ей воспользоваться просто комментировать строчку и потом возвращать обратно?
Mike, эффективен, но можно в случае статического ip разрешить вход только с него.
да, кстати, если закрыть админку через htaccess будет ли нужда в установке плагина Anti-XSS attack ?
Mike, тогда нет
окей, спасибо)
Я начал мудрить и теперь у меня картинки не показываются, меняю на любую другую тему – показываться. Что делать не знаю. Ставил вышеперечисленные плагины, ну не первый день за компом же…
Павел, может быть что-то где-то не то сделали. Я тестировал все эти плагины – было все ок
.
Пожалуй, самое главное – не давать посетителям возможности вставлять скрипты в комментарии
А как справится с ddos-атакой?
Перед такими манипуляциями не забудьте сделать back up copy
постараюсь пройти по всем пунктам и все исправить. Думаю, как сделал блог или сайт надо прочитать эту статью и все по пунктам сделать!
А что вообще дает регистрация пользователей, никак не могу понять? Это же не читатели потенциальные? Для чего люди регистрируются на блоге?
Сделал все как описано в статье, установил плагины, надеюсь поможет, а то уж очень много начитался про взломы.
Кристина, в wordpress есть, например, различные статусы (участник, подписчик, редактор, автор). А если регистрируется обычный подписчик, то ему легче комментировать посты. А вообще, конечно, регистрация дает сомнительные привилегии
.
Sosnovskij, Только у меня такое подозрение, из тех, кто зарегистрирован у меня на блоге, никто не комментирует…Вот я и не понимаю, зачем это надо…
А правда, на нас недавно ддос напал, нет советов как с этим бороться? на тебя самого атак не было? может быть, хостинг кто-нибудь посоветует пошире, чем spaceweb или какой-нибудь хороший и недорогой а возможно и бесплатный сервер с фильтрами?
Динара, из антидоссных хостингов знаю только dragonara.net. Дорого правда
.