Как Вы думаете, сколько раз сегодня пытались взломать Ваш блог?

Как защитить wordpress?

Привет, друзья!

Как Вы уже поняли, я всерьез занялся открытием интернет-магазина для супруги. Читаю уже три дня всякое инфо на эту тему. Чуть с ума не сошел изучая сайты по бухучету и форумы по налогам. Иногда мне кажется, что бухгалтера — это инопланетная раса, которая в принципе не может изъясняться обычным языком. : – )

Впрочем, они мой блог тоже, наверно с трудом понимают и ровно на тех же основаниях считают инопланетянином уже меня : – )

Ну да ладно. Пока читал про интернет-магазины, то понял, что сайты активно ломают, и особенно интернет-магазины.

Блоги тоже портят, негодники. Естественно, сразу же озадачился повышением защиты своего блога. Поизучал плагины, методы защиты, статьи других блоггеров.

Для начала установил плагин под названием Limit Login Attempts и лег спать. Утром полез посмотреть на статистику (думая, что кому, мол, мой бложик нужен?) и мгновенно проснулся от увиденного кошмара. А увидел я вот это:

 

Блокирование IP-адресов

Понятно? Только за одну ночь злоумышленники пытались подобрать пароль к админке c 13 (символично!) IP-адресов  и 26 раз их этот плагин блокировал. Я слегка офигел и бросился читать статьи на эту тему. Прочитал и перепробовал всё, что нашел.

Друзья, я отбросил сложные способы защиты в сторону и отобрал простейшие приемы для Вас, которые существенно повышают защиту Вашего ВордПресс от взлома. Они не гарантируют полной безопасности. Увы, этого никто не может обещать.

Как защитить WordPress от взлома? 12 способов повысить безопасность блога:

Важно: Перед такими настройками безопасности обязательно сделайте резервную копию сайта. Я рассказывал об этом здесь. 

Мой курс по безопасности WordPress
boxzashitasini

Уважаемые блогеры!

Обратите внимание на мой курс по безопасности WordPress, который так и называется:

"Защита блога на движке WordPress за два часа"

В этом небольшом курсе я систематизировал наиболее простые, но надежные методы защиты блога на WP от вирусов и хакеров.

Он будет полезен как начинающим, так и продвинутым блогерам.

Я сам пользуюсь этими методами на всех своих проектах.

Посмотрите вот это небольшое обзорное видео о курсе:

Для того, чтобы более подробно познакомиться с этим курсом, достаточно пройти регистрацию на моем закрытом сайте для блогеров:

Защищайте свои блоги!

1. Обязательно поставьте плагин Limit Login Attempts.

Я его тестировал, сам набирал неверные пароли и он меня, хозяина блога, методично блокировал : – )

Этот плагин после установки почти не требует настройки.

Можете выставить настройки как на скриншоте ниже.

 Limit Login Attempts

Только обязательно поставьте галочку напротив “Отправлять имейл админу после …”

Будете получать такие вот бодрящие послания на почту : – )  Утром прямо вскакиваю когда читаю такие письма на коммуникаторе.

image

Что интересно, эти IP- адреса повторяются на других моих ресурсах. Поэтому, я их решил заблокировать навсегда на моем хостинге и сделать мир немного лучше.

2. Блокируем подозрительные IP-адреса

Мой хостинг на CPANEL и блокировка производится следующим образом:

CPANEL раздел безопасности

Идем в панель управления хостингом CPANEL и щелкаем на надписи “Диспетчер запрещенных IP-адресов”

Забиваем в поле IP-адрес негодяя, который ломился на сайт и жмем на кнопку “Добавить”.

Запрет доступа по IP адресу

Внимание: Сами себя только не заблокируйте ! : – ) Но, если вдруг это произошло, то перезагрузите ADSL-модем и ваш IP должен поменяться.

Если Ваш IP статический, то попробуйте поменять настройки через USB-модем или просто с другого компьютера. От соседа, например. Он будет впечатлен – я гарантирую это :- )

 

Диспетчер запрещенных IP адресов

3. Меняем пароли на сложные. Короче, чем длиннее пароль, тем лучше!

Друзья, забудьте наконец про пароли типа 123123 или день своего рождения. Они Вас рано или поздно могут подвести.

Нужны пароли длиной не менее 10 символов наподобие BLtFAj#R!#RheNJ (это всего лишь пример, конечно)

Короче, чем длиннее пароль, тем лучше (ого, почти пословица получилась.)

Делаем такие сложные и РАЗНЫЕ пароли и к хостингу и к админке сайта, к FTP, почте. Ну, Вы понимаете.

Придумайте систему, которая позволит запомнить это буквенное безумие. Например, это может быть строка из песенки, напечатанная русскими буквами при английской раскладке клавиатуры.

4. Избавляемся от admina

Я на 99% уверен, что когда Вы заходите в админку WordPress, в качестве логина набираете Admin, а затем уже пароль.

Так вот, однозначно, нужно делать другой логин. Теперь уже злоумышленнику придется подбирать и логин и пароль, что резко усложняет задачу перебора.

Читал, что советуют другие блоггеры по-этому поводу. Советуют сделать еще одного пользователя с правами администратора и логином, отличным от слова “admin”, затем удалить прежнего админа. Как то это запутано все получается.

Мне это показалось слишком долгим и сделал гораздо проще. Вот так:

а) Идем в PHPmyAdmin

PHPMYADMIN

б) Открываю базу своего сайта, нахожу таблицу wp_users, а в ней запись админа сайта и жму на кнопку “Изменить”

 

PHPMYADMIN - изменение записи

Вот, что видим:

PHPMYADMIN - изменение логина

Здесь нужно только поменять в поле user_login слово admin на другое. Например, vasya28. Все, что угодно, но не admin!

Затем нажать на кнопку “ОК”

Все, мы сделали блог немного надежней.

5. Меняем префиксы базы данных.

Я поменял, но эта операция нетривиальна и не буду здесь описывать ее – полно других статей. Только обязательно сделайте резервную копию сайта перед такими действиями!

6. Не храните пароли в FTP-клиентах.

Например, если Вы работаете в FileZilla, или другом FTP-клиенте, то не рекомендуются сохранять там пароли. Очень часто утечка паролей происходит именно оттуда при общем заражении компьютера.

7. Обновляйте WordPress и плагины.

Ну, это ведь просто. Обновление происходит прямо из админки сайта. Не забываем обновлять и плагины.

Обновление Вордпресс

8. Удалите лишние плагины.

Вот не пойму, когда на блоге установлено по 40, а то и 50 плагинов. ЗАЧЕМ?! Ведь они тормозят работу сайта и не все регулярно обновляются. Оставьте только самое необходимое. Это все равно, что ставить лишние окна в крепости.

9. Удалите файлы  readme.html и license.txt

Эти файлы содержат данные о версии WordPress и другое полезное для злодея инфо. Уверен, что Вы их даже не открывали ни разу. Удаляйте – они лежат в корне сайта.

10. Никогда не используйте шаблоны из подозрительных источников.

В лучшем случае они содержат левые ссылки, а в худшем – заражены. Я серьезно – большинство проблем идет с шаблоном скачанным неизвестно откуда.

11. Самый главный совет – регулярно делайте резервные копии сайта!

Если произошло заражение сайта, то гораздо лучше сделать откат назад, чем возиться в недрах движка и не быть уверенным, что все дыры залатал.

12. Поставьте нормальный антивирус на свой рабочий компьютер. Бесплатные антивирусы, конечно, экономят ваши деньги, но по опыту могу сказать, что наилучшую защиту дает Касперский. Напомню, что можно получить легальную копию антивируса Касперского на шесть месяцев.

Выводы:

Выводы неутешительные. Все эти способы не гарантируют полной защиты. Они усложнят жизнь всяким IT-хулиганам, но профи все равно пролезут через все кордоны. Неуютно как-то от этой мысли становится, да?

Но тем не менее я провел все процедуры, описанные Выше + еще несколько приемов, о которых промолчал. (Не буду совсем уж раскрывать карты :)

Вернулся к этой статье почти через полтора года и добавил видео, в котором рассказываю про плагин, который одним махом закрывает все вопросы, связанные с безопасностью. В этом видео рассказываю о замечательном плагине Better WP Security.

Этот урок входит в бесплатный курс «Надежный блог за один вечер» и полную версию курса можно получить на этой странице.

Если лень смотреть видео, то внимательно прочитайте инструкцию ниже.

Советую прочитать:

  1. Открываю интернет-магазин Шаг 1. Планирование
  2. Как так получилось, что за три месяца здесь появилось более 500 комментариев?
  3. Как бесплатно попасть в каталог Mail.Ru? Экономим 12 000 рублей!
  4. Как я делаю резервные копии сайта?
  5. Как добился посещаемости 157 человек в сутки за три месяца?
  6. Как быстро отправить свой сайт на 101 страницу поиска?

Только для блогеров и вебмастеров:

Проверьте Вашу почту и подтвердите подписку на новости

Проверьте правильность заполнения еще раз!

Нажимая на кнопку "Подписаться", Вы даете согласие на рассылку, обработку своих персональных данных и соглашаетесь с политикой конфиденциальности.

75 комментариев к “Как Вы думаете, сколько раз сегодня пытались взломать Ваш блог?

  1. Неплохо. Решил поставить плагин, поменять логин в базе. Теперь в бане на 20 минут :D

  2. Дмитрий, я волнуюсь! Буду сегодня внимательно читать твою статью! Вдруг и ко мне придут!

    • Нина, лучше заранее побеспокоиться — у тебя блог набирает обороты по посещаемости.

      • Я поставила сегодня плагин АНТИКОПИИ. но меня целый день мучает один спамщик и в его коммен. мои фото…

          • В комментариях этого спамщика вставлены мои фотографии. Вот такие странные комментарии

        • Нина, вам нужно включить обязательную предварительную проверку комментариев. На счёт фотографий здесь только можно констатировать — что попало в Интернет то уже общее, хотя авторские права конечно остаются за вами.

          • Константин, я так рада, что вы принимаете участие в моей трудной «чайниковской» судьбе! Так я может быть потихоньку выйду в люди… Хотя не очень верится.
            Проверка на спам у меня есть. Вчера их было около сотни.
            А статьи у меня начали воровать с самого начала.
            Вот читать некому! А воровать — есть!

          • Ого, у Нины PR=2. Неплохо так. Вот что значит уникальный контент животворящий :-)

        • Нина, так вы же отправляйте комментарии в спам, а не просто удаляйте их. Ну и было бы неплохо поставить Akismet. Статей о нём валом.

          • Константин, я из тех чайников, что слышали об Акисмете:) Но всегда СПАСИБО

          • У Нины смотрю на блоге новые плагины стали появляться, счетчики — прогресс налицо, как говорится :-)

  3. Дмитрий, проще защитить доступ к не общедоступным файлам через .htaccess (я к слову об этом писал у себя). Плагины плохи тем, что они производятся скриптом, который жрёт ресурсы ого-го-го, а .htaccess это серверное решение. Уверяю вас, вы так очень сильно сэкономите и обеспечите должную защиту своему блогу, плюс через некоторое время заметить ощутимый спад нагрузки на сервер. Остальные рекомендации считаю чем-то вроде крайностей, но вам виднее. Удачи!

    • Кстати, обязательно гляньте на свои .htaccess — сейчас там меняют настройки и перенаправляют мобильный трафик на всякие нехорошие сайты. То есть, когда работаете с обычного компа, то проблем нет. Но стоит зайти на сайт с мобильника (например, через operamini), то можно получить неприятный сюрприз.
      Короче, обратите внимание на .htaccess и есть ли там подозрительные записи.

      Конечно, такие тонкости не входят в рамки этой статьи, но тем не менее…

  4. Да, не все так просто… Меня один раз взломали. С тех пор бэкаплюсь, как можно чаще, и за безопасностью слежу. Мне особенно нравится wp-sentinel, он и попытки входа ограничивает и контент комментов контролирует. Единственное, время от времени меня банит:)

  5. 20 минут изоляции, 12 часов до сброса количества попыток… несерьезно, товарищи! У нас везде стоит максимальное число, которое помещается в соответствующем окошке (9999, например) :)

    Создать нового админа через админку вордпресса очень просто, там же есть и подсказка, какие символы помимо цифр и букв можно использовать в логине. Еще надо не забыть установить отображаемое имя, чтобы новый сложный логин не показывался читателям блога.

    • По поводу отображаемого имени: если посмотреть код страницы, то можно увидеть имя пользователя. т.е это эффективно только в отношении совершенно неискушенных злодеев.

      • Илья, где вы раньше были? )) Тогда надо создавать еще одного пользователя, который будет отвечать на комментарии, иначе какой смысл избавляться от пользователя admin!

          • Ваша правда. Это наиболее безопасный вариант: развести управляющего и комментирующего

      • Не совсем так, Илья ) У меня по ссылке написано admin, но user_login совсем другой :- ) А вот user_nicename — уже admin (тобишь логин у меня нестандартный)

        • я так понимаю — под первым имеется в виду имя пользователя для входа в админку, под вторым — имя комментатора?

          я так понял (из того, что дает кодировка), что admin — то имя, которое используется

    • Жанна, спасибо! Вот что значит стандартное мЫшление :-) Сейчас настрою так, что будет блокировать до второго пришествия Христа.

  6. Нет, я поняла, что у меня что-то хорошо, но не поняла, что именно… Пошла искать, что значит РС…

  7. Советы хорошие. Спасибо, Дмитрий.
    Но вот природа человеческая — неискоренима:я ведь многое из того, что Вы написали — уже как полгода знаю.
    Однако, предпринял ли я что-нибудь в направлении обеспечения и улучшения безопасности блога?
    Ответ тривиален: НЕТ.
    Все — потом, потом, завтра, другой работы — невпроворот…
    А ведь этого самого завтра, оказывается, может и не наступить.
    А некоторые блоггеры еще умудряются,например сохранять пароль от доступа в админку прямо — в браузере. Допустим, специальный плагин «Блокнот» позволяет это делать непосредственно — в «Гугл Хроме». Просто — нет слов…Беспечность поражает…

  8. значит, вы не видели внезапно вылезшую в админке надпись «dont sleep, admin», и ручками не поднимали сайт… опыт запоминающийся, но малоприятный…

  9. Да мурашки по коже. Кстати пароли возможно роботы подбирают,сколько человеку нужно проиграть позиций и это только к одному сайту. Я настроила анти спам на вход в админку. Может Вам и этот совет пригодится.

  10. Надежда, день добрый!
    Да, безусловно — это делают программы : — ) Никакого здоровья не хватит перебирать все варианты.

  11. Как говорится: «умный-умный, но дурааак…». Сегодня обнаружил. что при заходе с мобильного устройства происходит редирект на какую-то помойку. В итоге через 2 часа копания в движке нашел какую-то хрень в htaccess. Вот теперь вопрос: как она туда попала? Через ФТП? или еще как-то? есть мнения?

  12. Подскажите,что делать ,если вредоносное ПО обнаружено на хосте,а клиентская служба не помогает.(Случилось не со мной) ,

    • Если нет опыта восстановления в таких ситуациях, то лучше обратиться к спецам.
      Однозначно нужен опыт в таких ситуациях, так как слишком много факторов.

  13. Я начала задумываться о безопасности своего сайта. Для начала сейчас установила Касперского на месяц бесплатно, пробный вариант. Дальше мне предлагается перейти на коммерческий вариант. Месяц пройдет, тогда и буду думать :). Эту твою статью положила в закладки.

  14. Поставил плагин. Да уж. 50 попыток неверного ввода пароля только за одну ночь насчитал =). Никогда бы не подумал, что мой сайт с никчемной посещаемостью 250-350 в сутки кому-то так нужен.

    Поставил в настройках все по-жесткому: интервалы по несколько тысяч минут и часов =) и количество попыток равное 1. Спустя двое суток желающих войти в админку резко поубавилось =). Теперь около 15-20 попыток в сутки всего лишь.

    • Я сам был поражен, когда увидел количество попыток авторизации.
      Но все-таки аккуратнее — сами себя не забаньте)

    • Необязательно лезть в хостинг , можно поменять прямо в админке Вордпресс.

      • Где? Я не нашла. Логин нельзя поменять через админку
        Поменяла как в посте вы написали в этом посте. Просто копнуть нужно было поглубже

  15. Дмитрий, здравствуй, подскажи, пожалуйста, какие действия нужно предпринимать, если в журнале Better WP Security я обнаружила в графе Referrer какие-то левые сайты, а на этих сайтах свои статьи. Мне нужно их адреса как-то заблокировать? Спасибо!

    • Рашида, добрый день)
      Скорее всего, видела такие ссылки в журнале better wp security в разделе
      404 errors
      Дело в том, что есть такой метод взлома, через открытие несуществующих страниц на сайте и попытка иньекции в БД

      Этот плагин блокирует таких умников на 15 минут.

      Лично я немного изменил настройки и блокирую на сутки)

  16. Дмитрий, доброго вечера! Давно читал эту статью, теперь по мотивам новой на эту тему спрошу: А Вы не думаете, что создатели плагина намеренно слегка преувеличивают угрозу, чтобы все его ставили?
    Конечно может популярные блоги кого и интересуют, но мне кажется у кого посещаемость низкая могут не париться до 1000 посетителей точно.

    • Александр, привет!
      Нет, не думаю. Это же в логах сервера можно отследить о том, кто с каких IP-ломился : — )

      • Что-то подсказывает, из ста человек проверит 5-6 =), а остальные в ужасе побегут ставить плагин… Особенно впечатлительные особы, а таких большинство. Ничего себе их детище под угрозой! Это моё скромное мнение

  17. Мне в самом начале моей блоггерской деятельности забросили на сайт какой-то вредный код. Тогда я даже понятия не имел о том, как надо защищать свой сайт. Защиту поставил позже. О существовании кода я узнал через полгода, когда с помощью этого кода на сайт закинули вирус. Меня блокировал Касперский и начала падать посещаемость. К счастью, проблема была решена. Бережёного бог бережёт…

  18. !!! Ёлки-палки! Дмитрий, а Вы правы! Решил эксперимента ради установить плагин limit login… да просто так. Думал, ну кому понадобится мой ресурс? Кому он нужен, кроме меня?
    А вот и нужен, оказался. За ночь 6 раз пытались ломать! Ну дела!!! Довольно неприятная неожиданность.
    Пойду ещё дополнительные «замки» ставить.

    • Богдан, рекомендую плагин беттер вп секьюрити. Я писал о нем в рубрике блоговодство.

  19. После проблем с сайтом трехмесячной давности — тоже решил заняться безопасностью. Вопрос: да кому нужен мой жалкий бложек? — уже не кажется мне таким уж безобидным.
    Я — тоже: поменял логин в админке и тоже через ПХП май админ. Ковырялся долго, ибо — не технарь. Но, в конце-концов — все получилось. Теперь никогда не сохраняю в браузере (в Хроме, есть, например, такая функция) пароли и логины. Никакие. Лучше — перестраховаться…Советуют еще поставить блокировку на количество попыток войти в админ — панель. Видимо, рекомендуемый Димой плагин, и выполняет эту задачу. Но я пока не поставил. Блин, опять это «пока». Неискоренима природа человеческая…

      • Дмитрий. я и так тебе бесконечно благодарен за твои ОЧЕНЬ СВОЕВРЕМЕННЫЕ советы по правильной настройке плагина Супер Кэш. Нагрузка на сервера хостера, в связи с этим. упала до условий первоначально выбранного тарифного плана.
        Сэкономленные деньги — заработанные деньги…
        Еще раз: большое спасибо.

  20. Ну да основные моменты присутствуют по безопасности — я бы ещё добавил стереть версию вордпресс (хотя попадалось пару шаблонов в которых она изначально не прописана) разработчики постарались)

  21. Здравствуйте, а вы не подскажите почему Limit Login Attempts пишет Данные настройки недействительны. Пожалуйста проверьте их. Дополнительная информация доступна здесь.
    У меня прокси-сервер.

  22. Делаю магазин на woocommerce, поставил капчу и логин лимит, но woocommerce ещё создал свою страницу для авторизации (профиль) и через неё можно легко войти на сайт даже администратору. Капча туда не ставится почему-то не ставится и кажется логин лимит не учитывает авторизации через эту страницу

  23. А я использую плагин Wp security он на порядок функциональней, поможет защитить ваш блог не только от взлома админки, но и от sql инъекции, Xss атак и многого другого. Я бы назвал его программным комплексом для защиты Вашего блога.
    В нем Вы сможете заменить и префикс базы данных, и имя админа и много еще чего, без лишних телодвижений. Попробуйте!

  24. Можно вопрос по видео?
    у меня в settingsas есть такое поле:»Your database table prefix should not be wp_.».
    Если fix it, то там генерируется новый префикс. Нужно ли в php admin заходить и менять эти префиксы к таблицах?

    • Нет, Ольга, не надо.
      Префикс сам поменяется в базе данных. Но не забудьте перед этой операцией сделать резервную копию сайта.

        • Ольга, я правильно понял, что Вы меняли префикс в Ithemes Security?
          Если да, то ничего менять больше не надо.

          • еще не поменяла) боюсь) ждала ответ.
            с резервным копированием пока сложно как то. смотрела Ваши ролики но у моего хостера нет этой панели. а как без нее сделать безболезненно пока не знаю.

Оставить комментарий

Нажимая на кнопку "Отправить комментарий", Вы даете согласие на рассылку, обработку своих персональных данных и соглашаетесь с политикой конфиденциальности.