Сосновский.ру – о Ёлках и не толькоВыжать максимум из посетителя и оставить его на сайте |
Это пятая статья, которая является продолжением курса “Как увеличить…”, в котором я описываю внутреннюю оптимизацию блога, влияющую на количество подписчиков, комментаторов, посещаемость и скорость блога. В этом посте речь пойдет о мерах защиты блога на базе движка wordpress. Материал будет разбит по принципу “от простого к сложному”, поэтому каждый сможет предпринять меры по защите своего блога.

Не секрет, что движок wordpress не отличается идеальной защитой, поэтому необходимо каждый раз предпринимать хоть какие-то меры по защите своего блога от всякого рода мошенничества. В основном о защите блога задумываются тогда, когда их блог уже взломали – это факт! Не допустите этого. В статье я также затрону вопрос по защите контента.
1) Сразу создавайте или генерируйте сложные пароли для входа в административную панель блога, базы данных MySQL и для связи с хостингом. Почитать мою историю про важность хороших паролей можно в статье про бесплатный менеджер паролей.
2) Для мошенников достаточно важно знать вашу версию движка. Ее можно узнать из ненужных на сервере файлов readme.html и license.txt. Удалите их и никогда больше не закачивается на хостинг.
3) Для связи с хостингом лучше всего использовать протокол ssh нежели ftp, который будет шифровать передаваемые данные. Такие менеджеры не сложно найти в интернете.
4) Для защиты своей базы данных используйте плагин wordpress database backup, который может отправлять вам на е-мейл бэкап с указанной периодичностью. Очень удобный плагин. Один раз настроил и не переживаешь, что база будет потеряна. 5 минут назад как раз пришла база на почту
.
5) Как правило, более свежие версии движка и плагинов несут в себе исправления дыр, через которые злоумышленники могут взломать wordpress. Всегда обновляйте ваши плагины и wordpress.
6) Удалите плагины, которые вы не используете – они могут содержать дыры.
7) У зарегистрированных пользователей больше возможности навредить вашему блогу, потому что административная панель блога одинакова как для администратора, так и для зарегистрированного пользователя. Если вы запретите регистрацию, то снизите вероятность взлома.
8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге. Для этого идем по пути /wp-content/plugins/ и вставляем туда пустой файл index.php. Теперь никто кроме вас не будет знать об установленных плагинах.
9) Плагин Anti-XSS attack предупредит вас и защитит от XSS-атак. Очень полезный плагин.
10) Для того, чтобы взломать административную панель в wordpress по идеи надо знать только пароль, потому что логин по умолчанию admin. Поэтому создайте нового пользователя со статусом администратора, а админа удалите, привезав все существующие записи к новому пользователю. Хорошо бы создать еще дополнительного пользователя, от которого бы писались непосредственно посты.
11) Чтобы не дать злоумышленнику возможность на подбор логина и паролей, нужно ограничить число попыток входа к административной панели. Плагины Limit Login Attempts и Login LockDown помогут в этом деле. Они примерно одинаковые по функциям. Они блокируют ввод логина и пароля на установленное время, если злоумышленник ввел неправильные данные несколько раз (указывается в настройках). Установить просто: распаковать, загрузить на сервер, активировать и настроить по вкусу.

12) Если вам и этого мало, то воспользуйтесь плагином AskApache Password Protect, который всякий раз будет спрашивать логин и пароль при открытии wp-admin. Назначайте, конечно, другие данные нежели для вхожа в админ-панель. Не всегда удобно, но достаточно защищено.
13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку:
<meta name=”generator” content=”WordPress <?php bloginfo(’version’); ?>” />
Также пропишите в functions.php
<?php remove_action(’wp_head’, ‘wp_generator’); ?>
14) Замените строку:
<?php echo $_SERVER ['PHP_SELF']; ?>
на
<?php bloginfo (’home’); ?>
в своем файле темы search.php. Это не даст мошенникам рыскать по вашему серверу. Если такой строчки нет, то и ладно.
15) Запретите доступ к файлу wp-config.php извне, потому что в нем содержится очень важная информация о логинах и паролях. Пропишите следующий код в фале .htaccess:
# protect wpconfig.php
<files wp-config.php>
Order deny,allow
deny from all
16) Очень часто воруется контент с блогов через RSS-канал. Для этого существует очень простой и эффективный плагин Add to RSS. Он добавляет текст, ссылки (все что вы настроите) в конце каждого поста, отдаваемого в RSS. Причем все это не будет отражено на самом блоге.
Вот, пожалуй, и все. Получилось 16 вариантов защиты блога. Конечно же, их не обязательно все использовать. А вы как-то защищаете свой блог? Может быть я что-то пропустил?
П.С.
После того как заработаете кучу денег в интернете, то жене (девушке) можно купить шубу из норки – ей понравится.
Нужна техника из Китая? На сайте www.svs-amur.ru компания ООО СВС-Амур предлагает самосвалы, тягачи, бульдозеры и другую тяжелую технику.

А на видео не вордпресс же?

Редгар, движок MuWeb

Я пользуюсь Акисментом и все нормально, время от времени удаляю и спам и все.

Archil, здесь тема не про защиту от спама, а про защиту блога.

Прочитал статью и на лбу выделился пот
Не думаю, что в данный момент мой сайт интересен кому-либо для взлома, но плагин для ограничения количесва ввода логина и пароля я все-же поставил (но не тот, который вы советуете, а User Locker – проверен вплоть до версии движка 2.9.1).
Статья полезная. Спасибо за труд и информирование.

Василий, я думаю “жертвы” выбираются автоматически. Надо просто не дать повода для взлома. Для начала этого плагина думаю вполне достаточно, а потом уже будете модернизировать защиту

Я понимаю, что это не самый удачный пост для вопроса, но если вам не сложно – то ответьте хотя бы на почту…
Да, я девачко, и в гугле меня скоро забанят… Скажите, какой плагин вы посоветуете для возможности ответа на коммент пользователю? Идеально – если с возможностью уведомления на его почту о том, что получен ответ?
Хнык.
Спасибо заранее!

Рыся, попробуйте «Wordpress Thread Comment» или Disqus – последний отлично организовывает комментарии на блоге

Спасибо! Вроде получилось

Про вороство контента. Наткнулся как-то на блок, текст с которого нельзя было скопировать. Нельзы было просто выделить текст и нажать копировать. Я подумал, что такие страницы не будут индексирваться, но нет, страницы были в индексе.
Весьма интерессный способ борьбы с контентом. Никто не знает как сделать такое?

Сергей Терешков, от автоматического граббинга это к сожалению не спасет
В google по запросу “как запретить выделение текста на сайте” много релевантных страниц. Если действительно интересна тема, то вперед

Спасибо, очень информативно и полезно. Можно было бы еще сделать обзор плагинов против различных атак и иньекций на блог
А не активированные плагины тоже потанциально опасные? Или дыры вылазят только после активации?

Ян, плагинами, которыми не пользуешься лучше удалять

“13) Выше я уже писал, что надо скрывать версию своего движка, поэтому в файле header.php вашей темы надо удалить строку.”
Сергей, вы это сами сделали? Если нет, то почему? Если да, то что означают эти цифры – 2.8.5?
“5) Всегда обновляйте ваши плагины и wordpress.”
Забыл добавить важный пункт – предварительно сделать бэкап всего чего только ни
Свежее обновления добавили головняка уже не одному мастеру.
“8 ) Как уже понятно из вышеперечисленного злоумышленник не должен знать плагины, которые установлены на блоге.”
Большая часть плагов узнается из кода так же легко, как и версия движка
Переозвучивать старые истины конечно хорошо, но единственно верный способ защиты от взлома – платная цмс или мощные бесплатные сервисы – жж или юкоз например.

МандариновыйЗакат, спасибо! Переносил недавно старый вариант темы, а там код этот стоит
.
Да, я с вами согласен. Любой wordpress при желании можно взломать. Надо просто делать всегда бэкапы, но один раз подумать о защите и сделать небольшие действия тоже не помешает
.

Думаю об этом стоит задуматься) Пока не прочитал этот пост даже не задумывался о том, что кому-то стукнет в голову взломать мой блог)

Как раз недавно искал информацию по защите блога на WP, а потом плюнул, и написал свою “соляночку”.
Загляните, если интересно. Там есть методы, которые не описаны в этом посте.
(хотя и у меня не хватает нескольких из вашей подборки)

Спасибо большое) рад был узнать о возможных видах защиты блога). Ещё кстати можно спрятать админку плагином Stealth Login ( http://wordpress.org/extend/plugins/stealth-login/ ). При попытке попасть в админку или на страницу входа пользователей он редиректит на главную страницу (можно изменить адрес админки, напр. вместо /wp-admin сделать /adminka), т.е. её сначала ещё надо будет найти любопытным пользователям)))
- Rookee, Seopult или Webeffector? - Часть 2.
- Яндекс-каталог и ТИЦ.
- Яндекс-каталог и продвижение.
- Увеличьте свой доход в Google Adsense, используя только 2 вещи
- 8 секретов успешной работы с Google Adsense
- Автоматически вставляем Google Adsense в середину постов
- Эффективное использование блоков ссылок
- Увеличиваем прибыль от Google Adsense: ценообразование.
- Поиск оптимального расположения, размера и цвета блоков Google Adsense.
- Эффективные методы продвижения блога
- Неэффективные методы продвижения блога


- Цель до 1.01.2010 - 200 подписчиков и 100 посетителей в день
- Цель до 1.06.2010 - 1000 подписчиков и 300 посетителей в день
- От Нью-Йорка до Теннессии, путешествуя с китайцами
- Настоящая американская вечеринка в доме у озера
- Чрезвычайное происшествие в Нью-Йорке на Брайтон Бич
- Китайские рестораны в Америке или нескончаемая еда за 300 рублей.
- Эффективное распложение ключевого слова в заголовке страницы
- Увеличение количества читателей с помощью контекстной рекламы
- seopult, rookee или webeffector – кто лучше продвигает?
- вверх по рейтингу блогов от яндекса с помощью блогуна
- Продвижение статьями - есть ли эффект?
- Эксперимент по поднятию ТИЦ статьями.
- Бесплатное продвижение сайтов через блоги livejournal.com (ЖЖ)
- Влияют ли теги keywords и description на ранжирование в поисковых системах?
Давно хотел заняться защитой, да руки никогда не доходили. Спасибо за пост, теперь я настроен
В принципе в методах “Для продвинутых” может и новичок разобраться