Доброго времени суток, посетители inetsovety.ru! Сегодня я хочу рассмотреть следующий вопрос: защита блога на WordPress.
Это один из важных вопросов, о решении которого нужно позаботиться сразу же после создания блога на WordPress. Я постараюсь перечислить основные способы защиты блога на WordPress.
Защищаем вход в панель администратора
- Данные для доступа в админку. Придумайте сложный пароль для доступа в админку, а также смените стандартное имя админ, на любое другое свое. Для этого создайте нового пользователя с новым именем и установите ему права доступа администратора. После этого выйдите из админки и зайдите под новыми данными. После этого удалите учетную запись админа. Сделав это Вы обезопасите блог от взлома.
- Пароли. Не храните пароли от админ панели в браузере. Если Вы используете Total Commander для FTP-доступа к сайту, то тоже не рекомендуется хранить там пароль. позаботьтесь о защите своего компьютера - установите хороший антивирус и файерволл.
- Ограничение на количество попыток входа в админку. Установите плагин Login LockDown, который автоматически настроен на ограничение неудачных попыток входа в админку. Дается 3 попытки для ввода данных, после этого доступ к странице будет заблокирован на час. Подробнее о защите админки https://inetsovety.ru/kak-zashtitit-adminku-wordpress/
- Последняя версия WordPress. Используйте последнюю версию движка WordPress, а также не забывайте обновлять плагины до последних версий. Как обновить движок WordPress написано тут.
Скрываем версию WordPress
Установите плагин, который скрывает версию WordPress при просмотре кода страницы. Этот плагин называется Replace WP-Version. Если не хотите создавать дополнительную нагрузку плагином, то тогда Вам нужно в файле header.php удалить следующую строчку кода:<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />.
Как посмотреть версию движка, который установлен на Вашем сайте. Зайдите в админку и в самом верху перейдите в пункт меню Консоль - Главная. Если Вам предлагают обновиться до новой версии, то не игнорируйте это предложение и уделите пару минут обновлению.
А как узнать какая версия WordPress у любого другого блога? Нужно открыть исходный код страницы анализируемого сайта, нажав комбинацию клавиш CTRL+U и в самом верху найти мета тэг:
<meta name="<a>generator</a>" content="<a>WordPress 3.4.2</a>" >;
Есть два способа скрыть версию движка WordPress.
- Установите плагин Replace WP-Version. Все что нужно - установить и активировать его. И он сам скроет информацию о версии вордпресс.
- Добавить в файл functions.php небольшой код:
remove_action('wp_head', 'wp_generator');
Проверяем шаблон блога на уязвимости
На безопасность Вашего блога может повлиять тема, которую Вы скачали из интернета и в которой содержится зашифрованный код. Поэтому следует проверить установленную тему на наличие скрытых кодов плагином TAC.
О том, какие скрытые угрозы вас могут ожидать в бесплатном шаблоне из интернета читайте по ссылке https://inetsovety.ru/skrytye-ugrozy-v-besplatnyh-shablonah/
В админке блога находим раздел Плагины - нажимаем Добавить новый - и в открывшемся окне вводим в строку поиска его название: TAC.
Устанавливаем плагин TAC и активируем его. Для открытия страницы плагина, найдите в разделе Внешний вид - нажмите TAC. Откроется страница на которой будут представлены результаты поиска закодированных ссылок по всем установленным темам на сайте. Вот пример темы, в которой найден зашифрованный код "base64_decode" в файле сайдбара.
Зашифровали эту ссылку для того, чтобы вы не смогли ее сразу удалить. Расчет идет на то, что вы как новичок, смиритесь с ее наличием. Предлагаю вам самостоятельно разобраться тем, как удалять подобные ссылки. Вопросу как удалить ссылки в шаблоне WordPress посвящена отдельная статья, прочтите ее.
Защита файлов сайта
- WP-Security Scan. Данный плагин подскажет, какие уязвимости есть на Вашем блоге и что нужно исправить. Подробнее о плагине WP-Security Scan я напишу в отдельной статье. К примеру, он показывает какие права сейчас стоят на папках и какие должны быть, чтобы обеспечить защиту блога на WordPress.
- Доступ к папкам. Введите в адресную строку по очереди эти адреса
http://ваш домен/wp-content/
http://ваш домен/wp-content/plugins/
По каждой из ссылок должна открыться чистая страница. Если же открывается список фалов или что-то другое, то Вам нужно поменять права доступа к папкам. - Хостинг. Какое отношение к безопасности блога имеет хостинг - скажете Вы. Да самое прямое. На форумах иногда можно встретить темы, в которых люди пишут, что их блог погиб из-за некачественного хостинга, который взломали. Выбирайте для своего сайта сразу качественный и надежный хостинг, который обезопасит Ваш блог от подобных проблем в будущем.
Делайте бэкапы
Не поленитесь и установите плагин WordPress Database Backup, который автоматически делает резервные копии базы данных и отправляет на указанный имейл. Также, если Вы решили доработать стандартный шаблон и сделали кое-какие правки в файлах темы, то потратьте в минуты и скачайте на компьютер папку с обновленным шаблоном. В случае чего, у Вас будет под рукой и архив базы данных и темы, что позволит восстановить блог за пару минут.
Скачайте последнюю версию плагина WordPress Database Backup с сайта
После успешной установки и активации, зайдите в раздел Инструменты – Резервное копирование:
На странице настроек плагина WordPress Database Backup можно указать дополнительно какие таблицы базы данных сохранять, кроме основных. Сделать резервную копию базы данных и сохранить ее на компьютер или отправить на имейл. А также задать расписание автоматического создания резервной копии базы данных и отправки ее на имейл:
На установку и настройку плагина WordPress Database Backup у Вас уйдет пару минут, но зато в будущем в случае чего это сохранит Вам кучу нервов и времени.
Надеюсь эти советы помогут Вам сделать свой блог более безопасным. Защита блога на WordPress важна, если Вы не хотите в один день потерять результаты работы и начинать все с чистого листа.
Если Вам известны другие методы защиты блога на WordPress, которых нет в списке, то пишите их в комментариях.
Привет) Очень полезные советы
Я создал пароль из 25 символов, поставил плагин ограничения количества попыток входа в админку. Остальные методы тоже хороши, но я думаю подобрать 25 символьный пароль за 3 попытки не реально.
Так же плагин для входа в админку стоит, но пароль немного по меньше))))
И еще одна интересная фишка сделана для взломщиков)))
Если блог не сильно раскручен и не имеет высокую посещаемость то и желание его украсть или что то в этом роде мало у кого появляеться
Александр, многие новички так думают и попадаются, нужно с самых первых дней позаботится о защите своего вебресурса.
Уж лучше сразу защитится, чем потом опомнится, когда в твоем блоге уже сидит какая нибудь шняга вроде ссылки на порносайт и следующий за ним БАН поисковых систем или понижение рейтинга с предупреждением в поисковике
Верные советы, я для защиты кроме всего прочего использую плагин Better WP Security, вернее теперь он называется Ithemes Security, немного сложноват в настройке, но зато закрывает многие уязвимости вордпресс
Я, конечно, ещё «чайник», но мне не понятно, если я официально зарегистрировала домен, оплатила хостинг. А блог так легко можно украсть и продать? А как же авторские права?
В этом случае авторские права наглым образом нарушаются, и Вы имеете право обратиться в суд, а также пожаловаться на вора, его хостеру и регистратору домена.
Какие авторские права? На эти права мошенники никогда не обращали никакого внимания
Конечно не обращают, но управу найти можно
Еще рекомендуют в файле .htaccess можно запретить доступ к этому самому файлу. Но это не помешало какому-то гаду внедрить в него вредоносный код мне на сайт
Каждый из этих пунктов, я проделал еще давно, как только начал создавать свой блог. За это время, не поверите, уже было не менее 20 атак. Это много или мало?
У меня по несколько раз в день, кто то пытается подобрать пароль, но такие пользователи блокируются и мне приходит об этом сообщение. Иногда их очень много, что говорит о том, что защитой блога принебрегать не стоит
Защита очень важна иначе пока вы сисе ваш блог уедет и не успеете заметить
Хорошая статья да вот толко в моей теме что то не как и не получается убрать Версию вордпресс нету в шаблоне такого метатега да мало этого ещё и на корневую папку сылка присутствует.
Неподскажите как можно решить эту проблему?
Зарание блогадарен!!!
Напишите мне по через форму обратной связи письмо со ссылкой на сайт, я посмотрю в чем дело.
По идее должно быть такое везде, возможно не там ищите
Если скрыть версию ВордПресс в коде, движок сможет обновляться? Ведь версия для программы обновления станет неизвестной.
Спасибо за советы и плагины! Очень много мошенников, которые хотят украсть хороший уникальный сайт и продать его на бирже сайтов
Юлия, речь в статье не идёт о краже/копировании целого сайта. Речь идёт о мерах против взлома сайта.
Спасибо за советы и плагины! Очень много мошенников, которые хотят украсть хороший уникальный сайт и продать его на бирже сайтов.
И при том каждый день таких мошенников становиться все больше и больше
Это точно и как воровали так и будут воровать, сущность такая))))
Что вы подразумеваете, когда говорите о воровстве целого сайта? Скопировать сайт легко