Привет, друзья IdeaFox!
Не знаю, как вы, а я вот плохо по ночам сплю. Мучают меня вопросы безопасности блога. Сил уже нет никаких : – )
Перечитал кучу блогов на эту тему и протестировал много плагинов, которые помогают решить эту проблему. Да и в комментариях стали задавать вопросы по теме защиты сайта, что и подтолкнуло меня написать эту заметку.
Вот представьте себе, что Вы ведете блог, пишите статьи, стараетесь… И приходят злые мудаки, которые ломают ваш сайт. Думаю, что огорчений будет очень и очень много.
Ведь каждый нормальный блоггер вкладывает очень много времени и сил в развитие своего сайта. А для многих блоггинг вообще становится навязчивой идеей… Тут и до психушки рукой подать, если ТАКОЕ случится : – )
Ну, вы поняли, насколько это важно.
Перейдем к делу, наконец: )
Пару месяцев назад я уже писал заметку про то, как нужно защитить свой блог от взлома. Обязательно прочтите ее. Но с тех пор прошло довольно много времени и я принял дополнительные меры по усилению круговой обороны.
В следующих заметках я обязательно подробно остановлюсь на этом вопросе. (Про настройку ISP тоже помню и пишу)
Подписывайтесь на обновления и вы не пропустите эту заметку.
Что нужно сделать перед защитой блога?
Вообще, прежде чем заняться вопросом усиления защиты, нужно полностью проверить блог на наличие вирусов, вредоносных ссылок и прочих ночных кошмаров любого блогера : – )
Довольно глупо укреплять оборону уже взломанного блога. Так ведь?
Поэтому, нужно всесторонне проверить свое хозяйство перед укреплением блога от вторжений тех самых мудаков.
Сегодня расскажу как сам решал эту задачу максимально простым языком.
1. Просканируйте свой компьютер на вирусы
Множество заражений блогов происходит через компьютеры пользователей, которые имеют доступ к админке сайта и хостингу.
Поэтому просканируйте сначала свой компьютер. Благо, бесплатных антивирусов сейчас полно.
Не рекомендуются хранить пароли в FTP-клиентах и браузерах. Понятно, что все пароли не упомнить, но тем не менее.
Лично я отказался от Opera в пользу Google Chrome. FTP-клиентами уже давно не пользуюсь, так как не клепаю бложики в промышленных масштабах : – )
2. Проверяем сайт в панелях вебмастера:
Надеюсь, Ваш сайт уже занесен в Яндекс.Вебмастер. Если да, то идем в меню “Безопасность” и ждем заветную надпись “Вредоносный код на сайте не обнаружен”
Аналогичную операцию делаем в Инструментах для веб-мастеров от Гугл
Нужно просто зайти в пункт меню “Состояние – Вредоносные программы” и прочитать сообщение.
Естественно, Ваш сайт тоже должен быть добавлен в “Инструменты для веб мастеров”
3. Проверяем сайт на других онлайн-сервисах
Таких сервисов развелось видимо-невидимо. У меня сложилось стойкое мнение, что многие из них совершенно бестолковые и созданы исключительно для показа рекламы.
Но вот что могу порекомендовать:
Доктор Веб
Компания DR.Web cделала хороший сервис для проверки сайтов он-лайн. Лично мне он помог один раз найти заразу у друга на блоге (Был сторонний код в файле .htaccess)
Проверка очень простая. Вносим свой URL и ждем результат проверки.
antivirus-alarm.ru
Мощный сканер сайтов, который использует аж 43 антивирусные базы от ведущих антивирусных компаний мира.
Тут тоже все очень просто. Вбиваем URL своего сайта и с замиранием сердца ждем результатов сканирования.
Вот я дождался таких.
Все чисто, можно спать спокойно : – )
Все это конечно хорошо, но нужно еще и установить пару плагинов, которые совсем не помешают для WordPress-блогов.
4. Попросите хостера проверить Ваш сайт
Дело в том, что хостеры еще больше вас обеспокоены вопросами безопасности и располагают мощными средствами защиты. Причем специализированными средствами защиты.
Например, после переезда на VPS от МакХост получил довольно мощный сканер, которым пользуюсь регулярно.
5. Плагин для WP Theme Authenticity Checker (TAC)
Здесь стоить отметить, что люди никак не поймут, что к бесплатным шаблонам нужно относиться крайне осторожно. Очень высока вероятность хватануть дерьма (извините), устанавливая красивую тему с очередной файлопомойки.
Друзья, ну неужели Вам жалко порядка 20 долларов на нормальную платную тему?
Кстати, я сам особо не заморачивался и сделал шаблон в программе Artisteer. Да, у меня ужасный код шаблона, но я точно знаю, что он не содержит всякой дряни, так как делал его сам.
И, честно говоря, не спешу менять “дизайн” : – ) сайта на другой. Меня он устраивает и, тем более, кардинальная смена шаблона может привести к проседанию посещаемости. Короче, менять ничего не буду пока.
Так вот, этот простой плагин позволяет проверить шаблон на наличие сторонних ссылок.
Устанавливается он обычным способом, активируете и идете в пункт меню админки “Внешний вид – TAC”
Плагин немного задумается и показывает результат проверки.
Если видите зеленый квадратик и надпись “Theme OK”, то еще меньше поводов для того чтобы проспаться по ночам в холодном поту : – )
Если же шаблон содержит ссылку на сайт разработчика, то ее можно удалить из кода темы. Но здесь уже придется повозиться. Например, стандартная тема WP содержит ссылку на WordPress team, которую можно удалить.
Скажу сразу, что не видел, как этот плагин реагируют на зараженные темы вордпресс, так как не было такой беды. (тьфу три раза!)
Кстати, у меня есть тестовый блог, на котором всегда проверяю плагины, прежде чем их использовать на “боевом” сайте.
И вам советую не проводить эксперименты на том блоге, которым дорожите. И обязательно делайте резервные копии перед любыми изменениями на своем проекте.
6. AntiVirus для WordPress
Отличный способ для проверки шаблонов на сторонний код. Опять устанавливаем стандартным образом и активируем.
Затем идем в пункт меню “Параметы-Antivirus” и жмем на кнопку “Scan the theme templates now”
Ждем пару минут, пока идет проверка и любуемся пока прямоугольники не закрасятся в зеленый цвет
Обратите внимание, что можно включить ежедневное сканирование шаблона на предмет внедрения стороннего кода с оповещением на указанный е-майл. Удобно.
Любопытно, что одну строчку кода из шаблона от Artisteer он посчитал подозрительной. Но после проверки исходного шаблона, я понял, что это не проблема и внес эту строчку в список исключений (там есть такая возможность)
7. Плагин Exploit Scanner
И, наконец, расскажу про самый мощный способ, который уже для продвинутых пользователей. Если Вы не разбираетесь в тонкостях PHP (как я), то лучше с ним не связываться.
Это настоящая мечта параноика, так как этот плагин настолько подозрителен, что ставит все под сомнение : – ). Например, он считает опасным код роликов от YouTube, Vime, комментарии…
Но, если есть проблема, то он действительно поможет разобраться что к чему.
Когда у меня возникла проблема с первым моим бложиком (мир его праху), то простым сравнением кода с чистой установкой WP, я довольно быстро нашел вредоносный код в одном из плагинов. Пришлось повозиться, конечно и глаза покраснели, но нашел заразу.
Что делать, если нашелся сторонний код?
Лично я обратился бы к профи. Если не знаете, что делать и нет резервных копий, то лучше приготовиться платить профи.
У вас же не возникнет чудесная идея самому себе делать операцию на больном сердце кухонным ножом? : – )
В конце – концов, можно обратиться за помощью к хостинг-компании, где находится Ваш ресурс. Почему бы и нет? Они ведь тоже имеют интерес держать безопасность на нормальном уровне….
Ну а я предпочитаю заранее делать резервные копии и принимать все меры по обороне ЗАРАНЕЕ.
И, естественно, периодически мониторить состояние блога теми способами, о которых рассказал выше.
Что еще можно сделать?
У меня есть видеоурок по безопасности, который рекомендую посмотреть, и все станет понятно.
Этот урок входит в бесплатный курс «Надежный блог за один вечер» и полную версию курса можно получить на этой странице.
Вот такие у меня новости для Вас сегодня. Дальше я расскажу про очень мощный плагин, который позволяет существенно защитить ваш ВордПресс блог от взлома.
Я уже работаю с ним 2 месяца и очень им доволен. Пока разобрался с ним 3 раза сам себя забанил : – ) Короче, есть что рассказать.
Подписывайтесь на новости – не пропустите : – )