Этот пост посвящен защите популярного блога на движке wordpress.
Как защитить wordpress от взлома? Я уверен, что многие вебмастера об этом даже не задумываются. Установил блог, напичкал его плагинами и все, пишем статьи, раскручиваем и не беспокоимся.
Я тоже так думал, пока однажды один мой сайт с посещаемостью почти в 300 чел. в сутки не взломали мошенники и не заменили логин и пароль для входа в админку. Теперь сразу после создания сайта или блога я в первую очередь задумываюсь о его защите от хакеров и прочих редисок. Поверьте, как только ваш ресурс станет популярен, его тут же захотят взломать много различных не хороших дяденек.
Итак, вот вам 6 советов по защите вашего блога wordpress от взлома.
Совет первый. Установите 2 важных плагина для защиты входа в админку wordpress.
а) Anti-XSS attack
б) Login LockDown или Limit Login Attempts
Плагин Anti-XSS attack будет защищать ваш блог от XSS-атак.
Плагин Login LockDown или Limit Login Attempts — это плагины, которые предотвращают многократные попытки входа в админку. Если злоумышленник начнет набирать различные логины и пароли в вашей админки, для того чтобы проникнуть в нее и у него не получиться это с 3-х раз, то система автоматически запретит ему вход на определенное время. Количество попыток и время блокировки вы устанавливаете сами в настройках плагинов, они почти одинаковые по функциям. Качаете их, закидываете в папку wp-content/plugins, активируете, настраиваете по вашему вкусу и готово!
Совет второй. Поменяйте логин и пароль для входа в админку. По умолчанию в настройках блога стоит логин admin. Но его можно изменить. Через саму админку это сделать не возможно, поэтому идем в панель управления хостингом и заходим в phpMyAdmin:
После заходим в таблицу нашей базы и выбираем пункт wp_users.
На вкладке «Обзор» выбираем admin и жмем «правка»:
Теперь в двух местах нам нужно изменить значение admin на какое-либо другое и нажать «ОК»
Так же необходимо изменить пароль. Советую изменить пароль на очень длинный, где-то 20-25 символов, включая цифры и буквы.
Меняется пароль так же в этой таблице в поле user_pass. Удалите все те иероглифы, которые там есть и напишите свой новый пароль, только в выпадающем списке нужно выбрать MD5 и нажать «OK».
Третий совет. В корне вашего блога удалите файлы readme.html и license.txt. Они вам не нужны, они нужны мошенникам, для того чтобы узнать версию вашего движка вордпресс и еще много чего полезного для взлома.
Так же в файле header.php темы вашего блога удалите строку
<meta name=”generator” content=”WordPress <?php bloginfo (’version’); ?>” />
Эта строка так же показывает версию wordpress.
Совет четвертый. Установите плагин wordpress database backup. Он нужен для защиты вашей базы данных. В настройках плагина вы можете поставить функцию ежедневной отправки бекапа базы данных на свой почтовый ящик. Установили и можете не беспокоиться за свою базу.
Совет пятый. Наберите в вашем браузере адреса:
1. http://ваш блог/wp-content/
2. http://ваш блог/wp-content/plugins/
Если после вызова данных директорий вашего блога вы можете наблюдать через браузер находящиеся в них файлы и папки, то это ОЧЕНЬ и ОЧЕНЬ плохо. Немедленно создайте в каждой из этих директорий пустой файл index.php. Теперь после ввода этих адресов в адресную строку браузера, вам должна открыться чистая пустая страница.
Ко всему прочему как дополнение можете прописать в файле .htaccess дополнительную строчку:
Options All -Indexes
Совет шестой. В файле function.php в конце кода пропишите строку:
<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->
А так же в файле search.php замените строку
<!--?php echo $_SERVER ['PHP_SELF']; ?-->
на
<!--?php bloginfo (’home’); ?-->
Это запретит различным хакерам и мошенникам лазить по вашему серверу. Если у вас такого файла в папке с темой нет, то значит ни чего менять не нужно.
Ну вот в принципе и все!!! Это наверное самые основные способы защиты блога wordpress.
Как дополнение еще советую вам проверить весь список ваших используемых плагинов, если какие-то просто так установлены и вы ими не пользуетесь, то удалите их. Так же следите за обновлениями блога wordpress и плагинов, установленных на вашем блоге. Обновляйтесь по чаще, так как старые версии могут содержать дыры.
По возможности соединяйтесь и закачивайте файлы на сервер через панель управления хостингом, а не через FTP, это более безопасно. Да кстати, советую так же сделать сложные логин и пароль для входа в панель управления хостингом. Если злоумышленники проникнут туда, то вся ваша защита wordpress пошла на смарку.
Так же запретите регистрацию пользователей на блоге, это намного обезопасит ваш блог.
Ну вот теперь точно все!!! Теперь и вы знаете как защитить wordpress от взлома! Защищайтесь друзья!!!
P.S. Как вам статья? Советую получать свежие статьи на e-mail, чтобы не пропустить информацию о новых бесплатных видеокурсах и конкурсах блога!
C уважением, Александр Борисов
Твой Блог Предохраняется, или ОНИ ИДУТ К ТЕБЕ!!
Уважаемый админ!
Подскажи где живут такие файлы *HELP* «.htaccess»; «search.php»
Все перерыл и нигде не нашел!
Файл .htaccess — здесь а search.php примерно там же. Можно еще посмотреть его в папке с темой, если нет, то значит он там и не нужен. В большинстве тем его нет.
Спасибо, взял на заметку парочку советов. Буду защищатся. Еще где-то недавно смотрел рейтинг движков, и там в номинации «Защита» у WordPress было наименьшее количество звездочек, по сравнению с другими бесплатными CMS.
Приветствую. Отличная подборка способов защиты блога на WordPress. Не полная, но всё основное есть!
Саш! А где найти полную подборку способов защиты?
Здорово! Большое спасибо! Думаю, эти советы мне очень помогут=)
Спасибо, очень хорошая статья!
«Совет шестой. В файле function.php в конце кода пропишите строку:»
Вы не уточнили куда именно вставлять для чайников))) если совсем в конец, то потом сайт не работает. Наверно вставлять надо перед закрывающим тегом?)) Спасибо за статью. Обезопасил себя =)
Грацио!)
Саша, хороший пост! В принципе, Я уже это всё использую. Может ты уже в курсе, что у нашего коллеги Артура Патрихалко есть пост где он предлагает 50 советов по безопасности блога — ahawks.ru/wordpress/bezop...asnost-blog.html И вообще Артур в теме защиты очень много полезных статей написал.
А почему у меня после третьего шага в админку не заходит, когда ввожу то оно просто переводит на главную???
Интересная статья, есть вопрос, какие права нужно ставить для темы?
Александр, спасибо за статью, очень пригодились ваши советы! Только в данный момент не могу найти плагин Anti-XSS attack, какой можете посоветовать вместо него?
логин еще можно поменять с помощью плагина wp-optimize. Хотя это не основная его функция
Спасибо, Александр, за полезную инфу!
Спасибо ОГРОМНОЕ, Александр! Уже второй раз твои статьи меня просто выручают! Очень все классно и четко написано!
Александр, после внесения в файл .htaccess строчки Options All -Indexes сайт перестал работать, выдается внутренняя ошибка. Эту строчку я убрала, но сайт по-прежнему не работал. Удалила полностью файл .htaccess и все стало на место. Подскажите, это не страшно, что теперь файла .htaccess нет в корне сайта? *UNKNOWN*
Vel — в конце где-нибудь.
Владимир — да я его читаю постоянно!
Вячеслав — значит не идет шаблон наверное.
SEO-саня — на папку с темой 755
Инга ни какого нет вроде больше, только этот.
Валентина — файл этот очень нужен.
Еще хороший способ с логином:
Выставить логин (и пароль) по-сложнее, а в админке в разделе «пользователи» выставить себе другой ник. В следующей строчке «отображать как» появится два имени — одно — логин, второе — ник. Выбираем второй вариант.
Пускай хакер поподбирает к нему пароли.
Присоединяюсь к вопросу Инги. На странице плагина Anti-XSS attack указывается, что не актуален для версий WordPress выше 2,5. Может все-таки можно заменить его чем-т схожим? Кстати, при попытке найти этот плагин в админке в загрузках плагинов выдает в поиске два — ICS Security Fixes и WP-Sentinel, а Anti-XSS attack даже не предлагается. Александр, может быть что-то посоветуете?
Удалите этот плагин.
Очень Вам благодарна за такую нужную и ценную статью о защите — уже занимаюсь по всем пунктам.
Отличный у Вас блог, столько разных вкусностей = уже подписалась на рассылку и буду все время в курсе новых событий.
УДАЧИ ВАМ.
А если все таки уже взломали? Поздно я прочитал вашу статью.
Что в этом случае можно сделать?
Писать хостеру, или самому менять все пароли через php myadmin!
Александр, спасибо за хорошие советы. Подскажите, если можете: у меня в теме, если заходить через админ-панель в «правку» есть имя и сайт автора темы и еще такая строка: Released under the <a href="http://www.адрессайта.php">GPL</a>. Это все можно удалить не навредив теме?
Нужно!
Здравствуйте. Помогите пожалуйста. Я делал настройки в плагине theme-my-profile и заблокировал себе доступ в панель админа . Как мне теперь разблокировать?
Через phpmyadmin сменить пароль и войти под новым.
Александр! У меня вот к тебе такой вопрос: По поводу шифровки пароля в md5 Я все сделал, а при попытке войти в свой аккаунт — мне пишет, что не правильный пароль! Теперь и Login LockDown меня заблокировал. Что делать?
Удалить Login LockDown и сделать через php myadmin сложный километровый пароль.
Один из моих блогов вчера тоже взломали, не мог найти в поиске свой авто блог. Пришлось зайти через панель управлением хостингом. Зашел и остолбинел, все темы с блога были удалены, в панели пользователя имя кокого то придурка с почтой стояло. как я был сердит. Удалили того придурка, сейчас навожу порядок.
Отличные рекомендации! Просто, доступно и эффективно! Большое Спасибо за очень полезную статью!!!
Недавно установил плагин Login LockDown на своих блогах. теперь за безопасность не беспокоюсь. Мне этот плагин понравился тем, что если 5 раз набираешь неправильно пароль то тебя блокируют на 60 минут, Это полная защита от всяких плохих людей. Всем советую этот плагин.
Почитал тут бегло комментарии, и замечу, что хоть советы и просты, все же применять их нужно внимательно и с осторожностью, желательно хоть немного знать основы работы web-сервера. Например, насколько я помню, файлы .htaccess и search.php предназначены для настройки конфигурации веб-сервера и сервера php соответственно. И если хостер закрыл к ним доступ, ограничив тем самым возможности пользователя по внесению им изменений в конфигурацию сервера, то он тем самым уже обеспечил безопасность в этой части. Ведь в том и состоит смысл защиты, что бы скрыть от злоумышленников файлы конфигурации и настроек серверов! При невнимательном и нерадивом отношении в вопросах обеспечения безопасности всегда существует риск «защититься» от самого себя, заблокировав себе доступ к своему же сайту, забыв пароль, логин или имя файла, потеряв или стерев нужный файл и т. д. И самые лучшие рекомендации, в этом случае, будут во вред. Господа, не лезьте в дебри, если не являетесь продвинутыми системными программистами, особенно если плохо понимаете что делаете, а главное зачем делаете! Не забивайте голову себе и другим! Вышеуказанных простых советов в большинстве случаев вполне достаточно! А хотите зашифроваться по полной, читайте специальную литературу и не пеняйте на закономерные издержки последствий «суперзащиты».
Странно, почему саму панель для входа на вордпресс ни кто не скрывает? на джумла есть такой модуль, спрятал и ни кто там безобразничать не будет)
Доброе время Александр! Буду благодарен если поможете! Решил защитить свой новый блог на ВП согласно ваших рекомендаций. При сменил логин в pxpMyAdmin. Вышел из этого приложения и всё. Блог потух((( не могу зайти не на блог ни в админку. Пишет что нет соединения с базой данных. В техподдержке majordomo на котором хостинг, что-то тупят. Ели не трудно подскажите, побробнее, что не так сделал? %) %) .
Не знаю, не вижу. Только хостинг поможет.
Хоть один грамотно ответил в тему. Bayan-респект.
Спасибо за совет Александр, очень полезная информация!
Александр, спасибо большое за статью, очень мне помогла, некоторыми советами не смога воспользоваться, а именно в файле function.php прописать строчку, на сайте сразу абракадабра образовалась, пришлось убрать строку. Но, главное пароль сменила и «admin» тоже!
Анна, абракадабра из-за того, что нужно сохранять файл с кодировкой UTF-8 без BOM
cp.timeweb.ru а что мне делать если у меня такой хостинг и я не магу найти на нем phpMyAdmin там есть Базы данных MySQL но не вижу как можно изменить
Там есть php myadmin поищите по лучше.
Третий совет. В корне вашего блога удалите файлы. Как его найти подскажите?
Главная папка Public_html или httpdocs
Спасибо за ценную информацию. Пошел ставить защиту.
Спасибо, классно,у меня только XSS стоит, теперь возьму Ваши методы на вооружение!
Для меня советы,как защитить wordpress от взлома сейчас очень нужны.Взломали блог совсем новый.Теперь надо воспользоваться вашими советами для защиты.Главное разобраться как правильно все это сделать.Написано вроде бы все понятно.Спасибо за ценную информацию.
Что-то не могу найти плагин AntiXSS atack
Откуда его качать то??
Не нужен уже.
Вписала строку
<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->
Блог перестал работать. Что делать?
Удалите.
Спасибо, сейчас сразу же будем защищаться isif-life.ru/wp-content/p...miles/wassup.gif
Аналогичная ситуация, ка и у Мила Милая. При добавлении кода в файл function.php летит кодировка,а а потом и ошибка на самом блоге выскакивает.
Может с новым WP не идет
Удалите строку.
Для меня это очень ценная информация. Не смотря на юный возраст моего блога, с этими неприятностями я уже столкнулась. Сейчас попробую внести изменения по вашим рекомендациям. Спасибо.
Спасибо! Очень полезная информация!! =)
в закладки )
Ametist и Мила Милая - очень осторожно вносите изменения в файл functions.php.
Найдите в сети, как правильно редактировать этот файл. И перед редакцией обязательно копию делать!
Прошелся по всем пунктам! Про некоторые уже побеспокоились создатели темы)), но остальные выполнил. Теперь готов встречать злоумышленников во всеоружии))
Спасибо за статью! Очень полезно, лучше перебдить))
Советы актуальные, да как бы по незнанию да неумению на блоге дров самому не наломать, безо всяких взломщиков. Разделить бы эту глубоко эшелонированную оборону выделив способы, применение которых не грозит необратимыми последствиями
Если блог уже заражен как найти и удалить троян
Блог могут заразить? =) Ну это наверное надо к хостеру.
Хостеры смотрят чтоб их хостер не заразили. За сайты не очень, у меня так вышло.
Поставил защиту на блог.
есть статья о вирусах которые атакуют сайты
Это главное, что должен сделать любой даже начинающий вебмастер, иначе уведут сайт. Статья хорошая, спасибо
а как запретить регистрацию пользователей на блоге?
В админке есть такой пункт, кто может регистрироваться.
Вот спасибочки! Уже почти все претворила в жизнь, правда 300 посетителей у меня еще нет, но все равно жалко было бы сайт потерять)![[present]](http://isif-life.ru/wp-content/plugins/qipsmiles/smiles/7.png "[present]")
Привет, Александер! Очень поучительная статья, я если чесно даже и не подозревал, что вёрдпресс могут легко взломать, мне казалось он безопасен в этом плане, но я не об этом, вот ты пишешь readme.html, что бы не узнали версию движка, а сам то чё не удалил, ведь открывается этот файл по адресу isif-life.ru/readme.html
Будь осторожен, удачи!
Спасибо за напоминание. Недавно обновил движок и забыл удалить файлик.
...я так и подумал, и кстати, а после обновления движка, личные настройки в админке не пропадают? а то хочу в будущем на вёрдпрессе сайт создать, вроде ничо так движёк, да? я на денвере щас юзаю его, кстати и по твоему видеокурсу тоже пробегал!![[good]](http://isif-life.ru/wp-content/plugins/qipsmiles/smiles/6.png "[good]")
Защита сайта, как защита дома. Обязательно установлю такие важные плагины. Да и пароль надо придумать серьезнее, где бы их только хранить, чтобы не потерять.
А хостинг может помочь восстановить утерянный пароль при входе в админ панель сайта?
Спасибо! очень выручил!!!!![[good]](http://isif-life.ru/wp-content/plugins/qipsmiles/smiles/6.png "[good]")
Спасибо за статью, защита — очень важная вещь))
Пока к частью не сталкивался с такими опасностями, но на всякий случай защиту поставил
Спасибо Александр,а то собрался делать личный блог,меня начали вопросы безопасности волновать и тут ваша статья как раз в тему страшно представить какие бы могли возникнуть проблемы если бы я этого не знал.![[good]](http://isif-life.ru/wp-content/plugins/qipsmiles/smiles/6.png "[good]")
Это статья для меня и для моего блога была очень полезна !!! Спасибо!!!
По второму совету. Зачем такие сложности. Создал нового пользователя, дал ему админа, после чего rlfkbk первого. При удалении первого привязываешь все посты ко второму и готово. Сам испытал — работает!!! Можете взглянуть у меня на блоге.
Совет второй только помог мне может посчастливилось с блогом и шаблоном ну а так же пару плагинов поставил,от других советов пришлось отказаться изза ероглифов и нестабильной работы блога
Спасибо за данный пост,а то спам уже задрал.Советы хоршие только жаль шестой неподошел мне
Оказалось, что блог уже год с дырами работает, приятно удивлён статьёй, спасибо!
... сидим правим...
Установил первые два плагина, от xss атак, и Login LockDown. Login LockDown (очень хороший плагин).
Отличная статья спасибо. Будем защищаться.![[present]](http://isif-life.ru/wp-content/plugins/qipsmiles/smiles/7.png "[present]")