Собери свой сайт бесплатно
Главная » Блоггинг » Вы здесь =)

16 способов увеличить защиту блога на wordpress

Это пятая статья, которая является продолжением курса «Как увеличить…», в котором я описываю внутреннюю оптимизацию, влияющую на количество подписчиков, комментаторов, посещаемость и скорость.

В этом посте речь пойдет о мерах защиты блога на базе движка wordpress. Материал будет разбит по принципу «от простого к сложному», поэтому каждый сможет предпринять меры по защите своего блога.

Запираем защиту блога на замок

Не секрет, что движок wordpress не отличается идеальной защитой, поэтому необходимо каждый раз предпринимать хоть какие-то меры по безопасности своего детища от всякого рода мошенничества. В основном защитить свой дневник задумываются тогда, когда их блог уже взломали — это факт! Не допустите этого. В статье я также затрону вопрос по защите контента.

Методы для новичка

1) Сразу создавайте или генерируйте сложные пароли для входа в административную панель блога, базы данных MySQL и для связи с хостингом. Почитать мою историю про важность хороших паролей можно в статье про бесплатный менеджер паролей.

2) Для мошенников достаточно важно знать вашу версию движка. Ее можно узнать из ненужных на сервере файлов readme.html и license.txt. Удалите их и никогда больше не закачивается на хостинг.

3) Для связи с хостингом лучше всего использовать протокол ssh нежели ftp, который будет шифровать передаваемые данные. Такие менеджеры не сложно найти в интернете.

4) Для защиты своей базы данных используйте плагин wordpress database backup, который может отправлять вам на е-мейл бэкап с указанной периодичностью. Очень удобный плагин. Один раз настроил и не переживаешь, что база будет потеряна. 5 минут назад как раз пришла база на почту ;-).

5) Как правило, более свежие версии движка и плагинов несут в себе исправления дыр, через которые злоумышленники могут взломать wordpress. Всегда обновляйте ваши плагины и wordpress.

6) Удалите плагины, которые вы не используете — они могут содержать дыры.

7) У зарегистрированных пользователей больше возможности навредить вашему блогу, потому что административная панель одинакова как для администратора, так и для зарегистрированного пользователя. Если вы запретите регистрацию, то снизите вероятность взлома.

8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге. Для этого идем по пути /wp-content/plugins/ и вставляем туда пустой файл index.php

9) Плагин Anti-XSS attack предупредит вас и защитит от XSS-атак. Очень полезный плагин.

10) Для того, чтобы взломать административную панель в wordpress по идеи надо знать только пароль, потому что логин по умолчанию admin. Поэтому создайте нового пользователя со статусом администратора, а админа удалите, привезав все существующие записи к новому пользователю. Хорошо бы создать еще дополнительного пользователя, от которого бы писались непосредственно посты.

11) Чтобы не дать злоумышленнику возможность на подбор логина и паролей, нужно ограничить число попыток входа к административной панели. Плагины Limit Login Attempts и Login LockDown помогут в этом деле. Они примерно одинаковые по функциям. Они блокируют ввод логина и пароля на установленное время, если злоумышленник ввел неправильные данные несколько раз (указывается в настройках). Установить просто: распаковать, загрузить на сервер, активировать и настроить по вкусу.

Охраняем блог от врагов

12) Если вам и этого мало, то воспользуйтесь плагином AskApache Password Protect, который всякий раз будет спрашивать логин и пароль при открытии wp-admin. Назначайте, конечно, другие данные нежели для вхожа в админ-панель. Не всегда удобно, но достаточно защищено.

Методы для более продвинутых:

13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку:

<meta name=»generator» content=»WordPress <?php bloginfo(‘version’); ?>» />

Также пропишите в functions.php

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

14) Замените строку:

<?php echo $_SERVER [‘PHP_SELF’]; ?>

на

<?php bloginfo (‘home’); ?>

в своем файле темы search.php. Это не даст мошенникам рыскать по вашему серверу. Если такой строчки нет, то и ладно.

15) Запретите доступ к файлу wp-config.php извне, потому что в нем содержится очень важная информация о логинах и паролях. Пропишите следующий код в фале .htaccess:

# protect wpconfig.php

<files wp-config.php>
Order deny,allow
deny from all

Защищаем контент

16) Очень часто воруется контент с блогов через RSS-канал. Для этого существует очень простой и эффективный плагин Add to RSS. Он добавляет текст, ссылки (все что вы настроите) в конце каждого поста, отдаваемого в RSS. Причем все это не будет отражено на самом блоге.

Вот, пожалуй, и все. Получилось 16 вариантов защиты блога. Конечно же, их не обязательно все использовать. А вы как-то защищаете свой блог? Может быть я что-то пропустил?

1 звезда2 звезды3 звезды4 звезды5 звезд (2 голос., в среднем: 5,00 из 5)
Loading ... Loading ...

Дата: 19.11.2009
Получайте актуальные статьи по SEO, блоггингу и заработку в Интернете
прямо на ваш почтовый ящик. Уже более 3000 подписчиков!

Отзывов уже 44:

  1. 1. Андрей | 21 Ноябрь 2009

    Давно хотел заняться защитой, да руки никогда не доходили. Спасибо за пост, теперь я настроен :)
    В принципе в методах «Для продвинутых» может и новичок разобраться

  2. 2. Редгар | 21 Ноябрь 2009

    А на видео не вордпресс же?

  3. 3. Sosnovskij | sosnovskij.ru | 21 Ноябрь 2009

    Редгар, движок MuWeb ;)

  4. 4. Archil | archil.net | 9 Январь 2010

    Я пользуюсь Акисментом и все нормально, время от времени удаляю и спам и все.

  5. 5. Sosnovskij | sosnovskij.ru | 9 Январь 2010

    Archil, здесь тема не про защиту от спама, а про защиту блога.

  6. 6. Василий Ефименко | blog.rednez.com | 20 Январь 2010

    Прочитал статью и на лбу выделился пот :) Не думаю, что в данный момент мой сайт интересен кому-либо для взлома, но плагин для ограничения количесва ввода логина и пароля я все-же поставил (но не тот, который вы советуете, а User Locker — проверен вплоть до версии движка 2.9.1).
    Статья полезная. Спасибо за труд и информирование.

  7. 7. Sosnovskij | sosnovskij.ru | 20 Январь 2010

    Василий, я думаю «жертвы» выбираются автоматически. Надо просто не дать повода для взлома. Для начала этого плагина думаю вполне достаточно, а потом уже будете модернизировать защиту ;)

  8. 8. Рыся | pbICb.org.ru | 26 Февраль 2010

    Я понимаю, что это не самый удачный пост для вопроса, но если вам не сложно — то ответьте хотя бы на почту…
    Да, я девачко, и в гугле меня скоро забанят… Скажите, какой плагин вы посоветуете для возможности ответа на коммент пользователю? Идеально — если с возможностью уведомления на его почту о том, что получен ответ?
    Хнык.
    Спасибо заранее!

  9. 9. Sosnovskij | sosnovskij.ru | 26 Февраль 2010

    Рыся, попробуйте «Wordpress Thread Comment» или Disqus — последний отлично организовывает комментарии на блоге ;)

  10. 10. Рыся | pbICb.org.ru | 26 Февраль 2010

    Спасибо! Вроде получилось :-)

  11. 11. Сергей Терешков | seogorod.ru | 4 Апрель 2010

    Про вороство контента. Наткнулся как-то на блок, текст с которого нельзя было скопировать. Нельзы было просто выделить текст и нажать копировать. Я подумал, что такие страницы не будут индексирваться, но нет, страницы были в индексе.
    Весьма интерессный способ борьбы с контентом. Никто не знает как сделать такое?

  12. 12. Sosnovskij | sosnovskij.ru | 4 Апрель 2010

    Сергей Терешков, от автоматического граббинга это к сожалению не спасет :) В google по запросу «как запретить выделение текста на сайте» много релевантных страниц. Если действительно интересна тема, то вперед ;-)

  13. 13. Ян | stupid-blog.ru | 2 Май 2010

    Спасибо, очень информативно и полезно. Можно было бы еще сделать обзор плагинов против различных атак и иньекций на блог ;-) А не активированные плагины тоже потанциально опасные? Или дыры вылазят только после активации?

  14. 14. Sosnovskij | sosnovskij.ru | 3 Май 2010

    Ян, плагинами, которыми не пользуешься лучше удалять

  15. 15. МандариновыйЗакат | mzakat.livejournal.com | 2 Июль 2010

    «13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку.»
    Сергей, вы это сами сделали? Если нет, то почему? Если да, то что означают эти цифры — 2.8.5?

    «5) Всегда обновляйте ваши плагины и wordpress.»
    Забыл добавить важный пункт — предварительно сделать бэкап всего чего только ни :x Свежее обновления добавили головняка уже не одному мастеру.

    «8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге.»
    Большая часть плагов узнается из кода так же легко, как и версия движка ;-)

    Переозвучивать старые истины конечно хорошо, но единственно верный способ защиты от взлома — платная цмс или мощные бесплатные сервисы — жж или юкоз например.

  16. 16. Sosnovskij | sosnovskij.ru | 2 Июль 2010

    МандариновыйЗакат, спасибо! Переносил недавно старый вариант темы, а там код этот стоит :smile: .
    Да, я с вами согласен. Любой wordpress при желании можно взломать. Надо просто делать всегда бэкапы, но один раз подумать о защите и сделать небольшие действия тоже не помешает ;-) .

  17. 17. Роман | www.lysenko-online.ru | 14 Июль 2010

    Думаю об этом стоит задуматься) Пока не прочитал этот пост даже не задумывался о том, что кому-то стукнет в голову взломать мой блог)

  18. 18. big-bro | big-bro.info/16-shagov-ukrepleniya-bezopasnosti-wordpress | 14 Июль 2010

    Как раз недавно искал информацию по защите блога на WP, а потом плюнул, и написал свою «соляночку».
    Загляните, если интересно. Там есть методы, которые не описаны в этом посте.
    (хотя и у меня не хватает нескольких из вашей подборки)

  19. 19. Bodrosh | nachalo.net.ru | 29 Август 2010

    Спасибо большое) рад был узнать о возможных видах защиты блога). Ещё кстати можно спрятать админку плагином Stealth Login ( http://wordpress.org/extend/plugins/stealth-login/ ). При попытке попасть в админку или на страницу входа пользователей он редиректит на главную страницу (можно изменить адрес админки, напр. вместо /wp-admin сделать /adminka), т.е. её сначала ещё надо будет найти любопытным пользователям)))

  20. 20. Soronorus | 26 Сентябрь 2010

    http://sosnovskij.ru/wp-admin/css/login.css?ver=20090514
    версия wp
    сокрытие её в «…Методы для более продвинутых:»
    бесполезно кто захочет узнает

  21. 21. Sosnovskij | sosnovskij.ru | 27 Сентябрь 2010

    Soronorus, кто захочет, то взломает по-любому. WP — открытый движок. :smile:
    А методы были разделены не по уровню сложности взлома, а по уровню реализации ;-) .

  22. 22. Soronorus | 27 Сентябрь 2010

    просто зачем скрывать когда это бесполезно.
    не нужное действие,
    а вот запрет регистрации сие верный ход. нам мой взгляд

  23. 23. Sosnovskij | sosnovskij.ru | 27 Сентябрь 2010

    Soronorus, я не программист и всех тонкостей не знаю. В далеком ноябре 2009 года решил собрать информацию воедино, вот этот пункт сюда и попал :smile:

  24. 24. Mike | art8you.net | 14 Ноябрь 2010

    а эффективен ли метод если в админку зафигачить htaccess с deny from all
    и допустим когда надо будет ей воспользоваться просто комментировать строчку и потом возвращать обратно?

  25. 25. Sosnovskij | sosnovskij.ru | 14 Ноябрь 2010

    Mike, эффективен, но можно в случае статического ip разрешить вход только с него.

  26. 26. Mike | art8you.net | 18 Ноябрь 2010

    да, кстати, если закрыть админку через htaccess будет ли нужда в установке плагина Anti-XSS attack ? :smile:

  27. 27. Sosnovskij | sosnovskij.ru | 18 Ноябрь 2010

    Mike, тогда нет :smile:

  28. 28. Mike | art8you.net | 18 Ноябрь 2010

    окей, спасибо)

  29. 29. Павел | blog-doger.com | 7 Декабрь 2010

    Я начал мудрить и теперь у меня картинки не показываются, меняю на любую другую тему — показываться. Что делать не знаю. Ставил вышеперечисленные плагины, ну не первый день за компом же…

  30. 30. Sosnovskij | sosnovskij.ru | 7 Декабрь 2010

    Павел, может быть что-то где-то не то сделали. Я тестировал все эти плагины — было все ок :smile: .

  31. 31. Леонид | seobat.ru | 8 Январь 2011

    Пожалуй, самое главное — не давать посетителям возможности вставлять скрипты в комментарии

  32. 32. Леонид | seobat.ru | 10 Январь 2011

    А как справится с ddos-атакой?

  33. 33. Alex_vgf | yousee24.com | 9 Февраль 2011

    Перед такими манипуляциями не забудьте сделать back up copy :|

  34. 34. Алексей | proobschenie.ru | 7 Март 2011

    постараюсь пройти по всем пунктам и все исправить. Думаю, как сделал блог или сайт надо прочитать эту статью и все по пунктам сделать!

  35. 35. Кристина | rithelp.ru | 9 Март 2011

    А что вообще дает регистрация пользователей, никак не могу понять? Это же не читатели потенциальные? Для чего люди регистрируются на блоге?

  36. 36. Videoamator | www.videoamator.ru | 9 Март 2011

    Сделал все как описано в статье, установил плагины, надеюсь поможет, а то уж очень много начитался про взломы.

  37. 37. Sosnovskij | sosnovskij.ru | 11 Март 2011

    Кристина, в wordpress есть, например, различные статусы (участник, подписчик, редактор, автор). А если регистрируется обычный подписчик, то ему легче комментировать посты. А вообще, конечно, регистрация дает сомнительные привилегии :smile: .

  38. 38. Кристина | rithelp.ru | 11 Март 2011

    Sosnovskij, Только у меня такое подозрение, из тех, кто зарегистрирован у меня на блоге, никто не комментирует…Вот я и не понимаю, зачем это надо…

  39. 39. Динара | 26 Март 2011

    А правда, на нас недавно ддос напал, нет советов как с этим бороться? на тебя самого атак не было? может быть, хостинг кто-нибудь посоветует пошире, чем spaceweb или какой-нибудь хороший и недорогой а возможно и бесплатный сервер с фильтрами?

  40. 40. Sosnovskij | sosnovskij.ru | 26 Март 2011

    Динара, из антидоссных хостингов знаю только dragonara.net. Дорого правда :smile: .

  41. 41. Anna | weblog-seo.ru | 14 Февраль 2013

    Скажите если какой не будь плагин что бы Запретить повторной регистрации с одного IP ? Переустановила с dle на движок wordpress. И зависла на этом вопросе.

  42. 42. Sosnovskij | sosnovskij.ru | 17 Февраль 2013

    Anna, мне такой не встречался.

  43. 43. kayros | 5 Ноябрь 2013

    Интересная статья. Много полезных советов, но всё по WP. Как насчет самописных сайтов на PHP, таких, как o-kan.od.ua? Есть какие-то дельные предложения по защите?

  44. 44. Sosnovskij | sosnovskij.ru | 5 Ноябрь 2013

    kayros, как правило, о защите самописных движков нужно спрашивать у их создателей :)

Подняться наверхПодняться наверх
WordPress: 53.78MB | MySQL:29 | 2,116sec