Платформа для привлечения клиентов из интернета

16 способов увеличить защиту блога на wordpress

Это пятая статья, которая является продолжением курса "Как увеличить...", в котором я описываю внутреннюю оптимизацию, влияющую на количество подписчиков, комментаторов, посещаемость и скорость.

В этом посте речь пойдет о мерах защиты блога на базе движка wordpress. Материал будет разбит по принципу "от простого к сложному", поэтому каждый сможет предпринять меры, чтобы защитить свой дневник.

Запираем защиту блога на замок

Не секрет, что движок wordpress не отличается идеальной защитой, поэтому необходимо каждый раз предпринимать хоть какие-то меры по безопасности своего детища от всякого рода мошенничества. В основном защитить свой дневник задумываются тогда, когда их блог уже взломали - это факт! Не допустите этого. В статье я также затрону вопрос по защите контента.

Методы для новичка

1) Сразу создавайте или генерируйте сложные пароли для входа в административную панель блога, базы данных MySQL и для связи с хостингом. Почитать мою историю про важность хороших паролей можно в статье про бесплатный менеджер.

2) Для мошенников достаточно важно знать вашу версию движка. Ее можно узнать из ненужных на сервере файлов readme.html и license.txt. Удалите их и никогда больше не закачивается на хостинг.

3) Для связи с хостингом лучше всего использовать протокол ssh нежели ftp, который будет шифровать передаваемые данные. Такие менеджеры не сложно найти в интернете.

4) Для защиты своей базы данных используйте плагин wordpress database backup, который может отправлять вам на е-мейл бэкап с указанной периодичностью. Очень удобный плагин. Один раз настроил и не переживаешь, что база будет потеряна. 5 минут назад как раз пришла база на почту ;-).

5) Как правило, более свежие версии движка и плагинов несут в себе исправления дыр, через которые злоумышленники могут взломать wordpress. Всегда обновляйте ваши плагины и CMS.

6) Удалите плагины, которые вы не используете - они могут содержать дыры.

7) У зарегистрированных пользователей больше возможности навредить вашему блогу, потому что административная панель одинакова как для администратора, так и для зарегистрированного пользователя. Если вы запретите регистрацию, то снизите вероятность взлома.

8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге. Для этого идем по пути /wp-content/plugins/ и вставляем туда пустой файл index.php

9) Плагин Anti-XSS attack предупредит вас и защитит от XSS-атак. Очень полезный плагин.

10) Для того, чтобы взломать административную панель в wordpress по идеи надо знать только пароль, потому что логин по умолчанию admin. Поэтому создайте нового пользователя со статусом администратора, а админа удалите, привезав все существующие записи к новому пользователю. Хорошо бы создать еще дополнительного пользователя, от которого бы писались непосредственно посты.

11) Чтобы не дать злоумышленнику возможность на подбор логина и паролей, нужно ограничить число попыток входа к административной панели. Плагины Limit Login Attempts и Login LockDown помогут в этом деле. Они примерно одинаковые по функциям. Они блокируют ввод логина и пароля на установленное время, если злоумышленник ввел неправильные данные несколько раз (указывается в настройках). Установить просто: распаковать, загрузить на сервер, активировать и настроить по вкусу.

Охраняем блог от врагов

12) Если вам и этого мало, то воспользуйтесь плагином AskApache Password Protect, который всякий раз будет спрашивать логин и пароль при открытии wp-admin. Назначайте, конечно, другие данные нежели для вхожа в админ-панель. Не всегда удобно, но достаточно защищено.

Методы для более продвинутых:

13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку:

<meta name=»generator» content=»WordPress <?php bloginfo(‘version’); ?>» />

Также пропишите в functions.php

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

14) Замените строку:

<?php echo $_SERVER [‘PHP_SELF’]; ?>

на

<?php bloginfo (‘home’); ?>

в своем файле темы search.php. Это не даст мошенникам рыскать по вашему серверу. Если такой строчки нет, то и ладно.

15) Запретите доступ к файлу wp-config.php извне, потому что в нем содержится очень важная информация о логинах и паролях. Пропишите следующий код в фале .htaccess:

# protect wpconfig.php

<files wp-config.php>
Order deny,allow
deny from all

Защищаем контент

16) Очень часто воруется контент с блогов через RSS-канал. Для этого существует очень простой и эффективный плагин Add to RSS. Он добавляет текст, ссылки (все что вы настроите) в конце каждого поста, отдаваемого в RSS. Причем все это не будет отражено на самом блоге.

Вот, пожалуй, и все. Получилось 16 вариантов защиты блога. Конечно же, их не обязательно все использовать. А вы как-то защищаете свой дневник? Может быть я что-то пропустил?

Рейтинг
1 звезда2 звезды3 звезды4 звезды5 звезд (2 голос., в среднем: 5,00 из 5)
Загрузка...
Отзывов уже 44:
Написать комментарий
  1. 1. Андрей

    Давно хотел заняться защитой, да руки никогда не доходили. Спасибо за пост, теперь я настроен :)
    В принципе в методах «Для продвинутых» может и новичок разобраться

  2. 2. Редгар

    А на видео не вордпресс же?

  3. 3. Sosnovskij sosnovskij.ru

    Редгар, движок MuWeb ;)

  4. 4. Archil archil.net

    Я пользуюсь Акисментом и все нормально, время от времени удаляю и спам и все.

  5. 5. Sosnovskij sosnovskij.ru

    Archil, здесь тема не про защиту от спама, а про защиту блога.

  6. 6. Василий Ефименко blog.rednez.com

    Прочитал статью и на лбу выделился пот :) Не думаю, что в данный момент мой сайт интересен кому-либо для взлома, но плагин для ограничения количесва ввода логина и пароля я все-же поставил (но не тот, который вы советуете, а User Locker — проверен вплоть до версии движка 2.9.1).
    Статья полезная. Спасибо за труд и информирование.

  7. 7. Sosnovskij sosnovskij.ru

    Василий, я думаю «жертвы» выбираются автоматически. Надо просто не дать повода для взлома. Для начала этого плагина думаю вполне достаточно, а потом уже будете модернизировать защиту ;)

  8. 8. Рыся pbICb.org.ru

    Я понимаю, что это не самый удачный пост для вопроса, но если вам не сложно — то ответьте хотя бы на почту…
    Да, я девачко, и в гугле меня скоро забанят… Скажите, какой плагин вы посоветуете для возможности ответа на коммент пользователю? Идеально — если с возможностью уведомления на его почту о том, что получен ответ?
    Хнык.
    Спасибо заранее!

  9. 9. Sosnovskij sosnovskij.ru

    Рыся, попробуйте «Wordpress Thread Comment» или Disqus — последний отлично организовывает комментарии на блоге ;)

  10. 10. Рыся pbICb.org.ru

    Спасибо! Вроде получилось :-)

  11. 11. Сергей Терешков seogorod.ru

    Про вороство контента. Наткнулся как-то на блок, текст с которого нельзя было скопировать. Нельзы было просто выделить текст и нажать копировать. Я подумал, что такие страницы не будут индексирваться, но нет, страницы были в индексе.
    Весьма интерессный способ борьбы с контентом. Никто не знает как сделать такое?

  12. 12. Sosnovskij sosnovskij.ru

    Сергей Терешков, от автоматического граббинга это к сожалению не спасет :) В google по запросу «как запретить выделение текста на сайте» много релевантных страниц. Если действительно интересна тема, то вперед ;-)

  13. 13. Ян stupid-blog.ru

    Спасибо, очень информативно и полезно. Можно было бы еще сделать обзор плагинов против различных атак и иньекций на блог ;-) А не активированные плагины тоже потанциально опасные? Или дыры вылазят только после активации?

  14. 14. Sosnovskij sosnovskij.ru

    Ян, плагинами, которыми не пользуешься лучше удалять

  15. 15. МандариновыйЗакат mzakat.livejournal.com

    «13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку.»
    Сергей, вы это сами сделали? Если нет, то почему? Если да, то что означают эти цифры — 2.8.5?

    «5) Всегда обновляйте ваши плагины и wordpress.»
    Забыл добавить важный пункт — предварительно сделать бэкап всего чего только ни :x Свежее обновления добавили головняка уже не одному мастеру.

    «8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге.»
    Большая часть плагов узнается из кода так же легко, как и версия движка ;-)

    Переозвучивать старые истины конечно хорошо, но единственно верный способ защиты от взлома — платная цмс или мощные бесплатные сервисы — жж или юкоз например.

  16. 16. Sosnovskij sosnovskij.ru

    МандариновыйЗакат, спасибо! Переносил недавно старый вариант темы, а там код этот стоит :smile: .
    Да, я с вами согласен. Любой wordpress при желании можно взломать. Надо просто делать всегда бэкапы, но один раз подумать о защите и сделать небольшие действия тоже не помешает ;-) .

  17. 17. Роман www.lysenko-online.ru

    Думаю об этом стоит задуматься) Пока не прочитал этот пост даже не задумывался о том, что кому-то стукнет в голову взломать мой блог)

  18. 18. big-bro big-bro.info/16-shagov-ukrepleniya-bezopasnosti-wordpress

    Как раз недавно искал информацию по защите блога на WP, а потом плюнул, и написал свою «соляночку».
    Загляните, если интересно. Там есть методы, которые не описаны в этом посте.
    (хотя и у меня не хватает нескольких из вашей подборки)

  19. 19. Bodrosh nachalo.net.ru

    Спасибо большое) рад был узнать о возможных видах защиты блога). Ещё кстати можно спрятать админку плагином Stealth Login ( wordpress.org/extend/plugins/stealth-login/ ). При попытке попасть в админку или на страницу входа пользователей он редиректит на главную страницу (можно изменить адрес админки, напр. вместо /wp-admin сделать /adminka), т.е. её сначала ещё надо будет найти любопытным пользователям)))

  20. 20. Soronorus

    sosnovskij.ru/wp-admin/css/login.css?ver=20090514
    версия wp
    сокрытие её в «…Методы для более продвинутых:»
    бесполезно кто захочет узнает

  21. 21. Sosnovskij sosnovskij.ru

    Soronorus, кто захочет, то взломает по-любому. WP — открытый движок. :smile:
    А методы были разделены не по уровню сложности взлома, а по уровню реализации ;-) .

  22. 22. Soronorus

    просто зачем скрывать когда это бесполезно.
    не нужное действие,
    а вот запрет регистрации сие верный ход. нам мой взгляд

  23. 23. Sosnovskij sosnovskij.ru

    Soronorus, я не программист и всех тонкостей не знаю. В далеком ноябре 2009 года решил собрать информацию воедино, вот этот пункт сюда и попал :smile:

  24. 24. Mike art8you.net

    а эффективен ли метод если в админку зафигачить htaccess с deny from all
    и допустим когда надо будет ей воспользоваться просто комментировать строчку и потом возвращать обратно?

  25. 25. Sosnovskij sosnovskij.ru

    Mike, эффективен, но можно в случае статического ip разрешить вход только с него.

  26. 26. Mike art8you.net

    да, кстати, если закрыть админку через htaccess будет ли нужда в установке плагина Anti-XSS attack ? :smile:

  27. 27. Sosnovskij sosnovskij.ru

    Mike, тогда нет :smile:

  28. 28. Mike art8you.net

    окей, спасибо)

  29. 29. Павел blog-doger.com

    Я начал мудрить и теперь у меня картинки не показываются, меняю на любую другую тему — показываться. Что делать не знаю. Ставил вышеперечисленные плагины, ну не первый день за компом же…

  30. 30. Sosnovskij sosnovskij.ru

    Павел, может быть что-то где-то не то сделали. Я тестировал все эти плагины — было все ок :smile: .

  31. 31. Леонид seobat.ru

    Пожалуй, самое главное — не давать посетителям возможности вставлять скрипты в комментарии

  32. 32. Леонид seobat.ru

    А как справится с ddos-атакой?

  33. 33. Alex_vgf yousee24.com

    Перед такими манипуляциями не забудьте сделать back up copy :|

  34. 34. Алексей proobschenie.ru

    постараюсь пройти по всем пунктам и все исправить. Думаю, как сделал блог или сайт надо прочитать эту статью и все по пунктам сделать!

  35. 35. Кристина rithelp.ru

    А что вообще дает регистрация пользователей, никак не могу понять? Это же не читатели потенциальные? Для чего люди регистрируются на блоге?

  36. 36. Videoamator www.videoamator.ru

    Сделал все как описано в статье, установил плагины, надеюсь поможет, а то уж очень много начитался про взломы.

  37. 37. Sosnovskij sosnovskij.ru

    Кристина, в wordpress есть, например, различные статусы (участник, подписчик, редактор, автор). А если регистрируется обычный подписчик, то ему легче комментировать посты. А вообще, конечно, регистрация дает сомнительные привилегии :smile: .

  38. 38. Кристина rithelp.ru

    Sosnovskij, Только у меня такое подозрение, из тех, кто зарегистрирован у меня на блоге, никто не комментирует…Вот я и не понимаю, зачем это надо…

  39. 39. Динара

    А правда, на нас недавно ддос напал, нет советов как с этим бороться? на тебя самого атак не было? может быть, хостинг кто-нибудь посоветует пошире, чем spaceweb или какой-нибудь хороший и недорогой а возможно и бесплатный сервер с фильтрами?

  40. 40. Sosnovskij sosnovskij.ru

    Динара, из антидоссных хостингов знаю только dragonara.net. Дорого правда :smile: .

  41. 41. Anna weblog-seo.ru

    Скажите если какой не будь плагин что бы Запретить повторной регистрации с одного IP ? Переустановила с dle на движок wordpress. И зависла на этом вопросе.

  42. 42. Sosnovskij sosnovskij.ru

    Anna, мне такой не встречался.

  43. 43. kayros

    Интересная статья. Много полезных советов, но всё по WP. Как насчет самописных сайтов на PHP, таких, как o-kan.od.ua? Есть какие-то дельные предложения по защите?

  44. 44. Sosnovskij sosnovskij.ru

    kayros, как правило, о защите самописных движков нужно спрашивать у их создателей :)

Добавить комментарий

* Нажимая на кнопку "Добавить комментарий" я соглашаюсь с Политикой конфиденциальности.

css.php