Профессиональное
обучение блоггингу

Супер способы как защитить блог на wordpress от взлома!

Как защитить блог на wordpress

Здравствуйте уважаемые читатели isif-Life.ru! Этот пост посвящен защите популярного блога на движке wordpress. Как защитить wordpress от взлома? Я уверен, что многие вебмастера об этом даже не задумываются. Установил блог, напичкал его плагинами и все, пишем статьи, раскручиваем и не беспокоимся.

Я тоже так думал, пока однажды один мой сайт с посещаемостью почти в 300 чел. в сутки не взломали мошенники и не заменили логин и пароль для входа в админку. Теперь сразу после создания сайта или блога я в первую очередь задумываюсь о его защите от хакеров и прочих редисок.

Поверьте, как только ваш ресурс станет популярен, его тут же захотят взломать много различных не хороших дяденек.

Перед тем как читать данный пост, советую вам ознакомиться с новой статьей про защиту блога на wordpress вот по этой ссылке. В ней обратите внимание на новый видеокурс по защите блога, который является сегодня самым лучшим среди того, что вообще есть по защите блога на рынке.

Как защитить свой блог

Итак, вот вам 6 советов по защите вашего блога wordpress от взлома.

6 советов по защите wordpress от взлома:

Совет первый. Установите 2 важных плагина для защиты входа в админку wordpress.

а) Anti-XSS attack
б) Login LockDown или Limit Login Attempts

Плагин Anti-XSS attack будет защищать ваш блог от XSS-атак.

Плагин Login LockDown или Limit Login Attempts — это плагины, которые предотвращают многократные попытки входа в админку. Если злоумышленник начнет набирать различные логины и пароли в вашей админки, для того чтобы проникнуть в нее и у него не получиться это с 3-х раз, то система автоматически запретит ему вход на определенное время.

Количество попыток и время блокировки вы устанавливаете сами в настройках плагинов, они почти одинаковые по функциям. Качаете их, закидываете в папку wp-content/plugins, активируете, настраиваете по вашему вкусу и готово!

Совет второй. Поменяйте логин и пароль для входа в админку. По умолчанию в настройках блога стоит логин admin. Но его можно изменить. Через саму админку это сделать не возможно, поэтому идем в панель управления хостингом и заходим в phpMyAdmin:

Как защитить wordpress

После заходим в таблицу нашей базы и выбираем пункт wp_users. На вкладке «Обзор» выбираем admin и жмем «правка»:

защита wordpress

Теперь в двух местах нам нужно изменить значение admin на какое-либо другое и нажать «ОК». Так же необходимо изменить пароль. Советую изменить пароль на очень длинный, где-то 20-25 символов, включая цифры и буквы.

Меняется пароль так же в этой таблице в поле user_pass. Удалите все те иероглифы, которые там есть и напишите свой новый пароль, только в выпадающем списке нужно выбрать MD5 и нажать «OK».

Третий совет. В корне вашего блога удалите файлы  readme.html и license.txt. Они вам не нужны, они нужны мошенникам, для того чтобы узнать версию вашего движка вордпресс и еще много чего полезного для взлома.

Защита блога от взлома

Так же в файле header.php темы вашего блога удалите строку

<meta name="generator" content="WordPress 3.9.1" />

Эта строка так же показывает версию wordpress.

Защита wordpress

Совет четвертый. Установите плагин wordpress database backup. Он нужен для защиты вашей базы данных. В настройках плагина вы можете поставить функцию ежедневной отправки бекапа базы данных на свой почтовый ящик. Установили и можете не беспокоиться за свою базу.

Совет пятый. Наберите в вашем браузере адреса:

1. http://ваш блог/wp-content/
2. http://ваш блог/wp-content/plugins/

Если после вызова данных директорий вашего блога вы можете наблюдать через браузер находящиеся в них файлы и папки, то это ОЧЕНЬ и ОЧЕНЬ плохо. Немедленно создайте в каждой из этих директорий пустой файл index.php. Теперь после ввода этих адресов в адресную строку браузера, вам должна открыться чистая пустая страница.

Ко всему прочему как дополнение можете прописать в файле .htaccess дополнительную строчку:

Options All -Indexes

Совет шестой. В файле function.php в конце кода пропишите строку:

<!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

А так же в файле search.php замените строку

<!--?php echo $_SERVER ['PHP_SELF']; ?-->

на

<!--?php bloginfo (’home’); ?-->

Это запретит различным хакерам и мошенникам лазить по вашему серверу. Если у вас такого файла в папке с темой нет, то значит ни чего менять не нужно.

Как защитить блог

Ну вот в принципе и все!!! Это наверное самые основные способы защиты блога wordpress.

Как дополнение еще советую вам проверить весь список ваших используемых плагинов, если какие-то просто так установлены и вы ими не пользуетесь, то удалите их. Так же следите за обновлениями блога wordpress и плагинов, установленных на вашем блоге. Обновляйтесь по чаще, так как старые версии могут содержать дыры.

По возможности соединяйтесь и закачивайте файлы на сервер через панель управления хостингом, а не через FTP, это более безопасно. Да кстати, советую так же сделать сложные логин и пароль для входа в панель управления хостингом. Если злоумышленники проникнут туда, то вся ваша защита wordpress пошла на смарку.

wordpress защита

Так же запретите регистрацию пользователей на блоге,  это намного обезопасит ваш блог. Ну вот теперь точно все!!! Теперь и вы знаете как защитить wordpress от взлома! Защищайтесь друзья!!!

P.S. Как вам статья? Советую получать свежие статьи на e-mail, чтобы не пропустить информацию о новых бесплатных видеокурсах и конкурсах блога!

C уважением, Александр Борисов


Как заработать продавая баннеры

5 000 000 за 2 года в интернете...

150 000 рублей в месяц с БЛОГа
Этот блог читают уже более 6000 человек
- читай и ТЫ!
Комментариев к статье: 202
  1. Антон Фирюлин

    Твой Блог Предохраняется, или ОНИ ИДУТ К ТЕБЕ!!

    в 18:03 | Ответить
  2. Александр

    Уважаемый админ! 8) Подскажи где живут такие файлы *HELP* «.htaccess»; «search.php»

    Все перерыл и нигде не нашел!

    в 12:17 | Ответить
    • Андрей

      .htaccess в корневой папке. search.php в папке с вашей темой — стандарт.

      в 20:40 | Ответить
  3. danc1r0k

    Спасибо, взял на заметку парочку советов. Буду защищатся. Еще где-то недавно смотрел рейтинг движков, и там в номинации «Защита» у WordPress было наименьшее количество звездочек, по сравнению с другими бесплатными CMS.

    в 17:08 | Ответить
    • Артем Губтор

      WordPress уже не тот.

      Дыры в безопасности есть, но к счастью большинство из них мы знаем и можем закрыть.

      Плагин All In One WP Security Мне очень понравился. Автоматизирует многие процессы защиты. Хотяяя, говорят: чем меньше плагинов тем лучше для производительности. Спорный вопрос получается.

      Вопрос защиты вордпрес будет существовать столько же сколько и сам вордпресс. ;-)

      в 00:47 | Ответить
  4. Александр

    Приветствую. Отличная подборка способов защиты блога на WordPress. Не полная, но всё основное есть!

    в 20:36 | Ответить
    • Денис

      Саш! А где найти полную подборку способов защиты?

      в 09:15 | Ответить
    • Томский школьник

      Да мне тоже стало интересно. Где найти полную подборку?

      в 14:39 | Ответить
  5. Павел

    Здорово! Большое спасибо! Думаю, эти советы мне очень помогут=)

    в 23:28 | Ответить
  6. Антон

    Спасибо, очень хорошая статья!

    в 10:18 | Ответить
  7. Vel

    «Совет шестой. В файле function.php в конце кода пропишите строку:»

    Вы не уточнили куда именно вставлять для чайников))) если совсем в конец, то потом сайт не работает. Наверно вставлять надо перед закрывающим тегом?)) Спасибо за статью. Обезопасил себя =)

    в 01:20 | Ответить
  8. Михаил

    Грацио!)

    в 20:06 | Ответить
  9. Вячеслав

    А почему у меня после третьего шага в админку не заходит, когда ввожу то оно просто переводит на главную???

    в 08:43 | Ответить
  10. SEO-Саня

    Интересная статья, есть вопрос, какие права нужно ставить для темы?

    в 17:33 | Ответить
    • Андрей

      три семерки :)

      в 20:44 | Ответить
  11. Инга

    Александр, спасибо за статью, очень пригодились ваши советы! Только в данный момент не могу найти плагин Anti-XSS attack, какой можете посоветовать вместо него?

    в 04:44 | Ответить
  12. Антон

    логин еще можно поменять с помощью плагина wp-optimize. Хотя это не основная его функция

    в 14:01 | Ответить
  13. Виталий

    Спасибо, Александр, за полезную инфу!

    в 23:46 | Ответить
  14. larrka

    Спасибо ОГРОМНОЕ, Александр! Уже второй раз твои статьи меня просто выручают! Очень все классно и четко написано!

    в 21:19 | Ответить
  15. Валентина

    Александр, после внесения в файл  .htaccess строчки  Options All -Indexes сайт перестал работать, выдается внутренняя ошибка. Эту строчку я убрала, но сайт по-прежнему не работал. Удалила полностью файл .htaccess и все стало на место.  Подскажите, это не страшно, что теперь файла .htaccess нет в корне сайта? *UNKNOWN*

     

    в 23:59 | Ответить
  16. Александр Борисов

    Vel — в конце где-нибудь.

    Владимир — да я его читаю постоянно!

    Вячеслав — значит не идет шаблон наверное. 

    SEO-саня — на папку с темой 755

    Инга ни какого нет вроде больше, только этот.

    Валентина — файл этот очень нужен. 

     

    в 00:14 | Ответить
  17. Игорь

    Еще хороший способ с логином:

    Выставить логин (и пароль) по-сложнее, а в админке в разделе «пользователи» выставить себе другой ник. В следующей строчке «отображать как» появится два имени — одно — логин, второе — ник. Выбираем второй вариант. :-D Пускай хакер поподбирает к нему пароли.

    в 15:32 | Ответить
  18. Наталья

     Присоединяюсь к вопросу Инги. На странице плагина Anti-XSS attack указывается, что не актуален для версий WordPress выше 2,5. Может все-таки можно заменить его чем-т схожим? Кстати, при  попытке найти этот плагин в админке в загрузках плагинов выдает  в поиске два — ICS Security Fixes и WP-Sentinel, а Anti-XSS attack даже не предлагается. Александр, может быть что-то посоветуете?

    в 04:11 | Ответить
    • Александр Борисов

      Удалите этот плагин.

      в 19:14 | Ответить
  19. Ксана

    Очень Вам благодарна за такую нужную и ценную статью о защите — уже занимаюсь по всем пунктам.

    Отличный у Вас блог, столько разных вкусностей = уже подписалась на рассылку и буду все время в курсе новых событий.

    УДАЧИ ВАМ. 😉  

    в 13:23 | Ответить
  20. Vlad

    А если все таки уже взломали? Поздно я прочитал вашу статью. :(

    Что в этом случае можно сделать?

    в 14:15 | Ответить
    • Александр Борисов

      Писать хостеру, или самому менять все пароли через php myadmin!

      в 19:15 | Ответить
  21. Максим

    Здравствуйте. Помогите пожалуйста. Я делал настройки в плагине theme-my-profile и заблокировал себе доступ в панель админа . Как мне теперь разблокировать? 

    в 14:12 | Ответить
    • Александр Борисов

      Через phpmyadmin сменить пароль и войти под новым.

      в 19:15 | Ответить
  22. Сергей Щетинин

    Александр! У меня вот к тебе такой вопрос: По поводу шифровки пароля в md5 Я все сделал, а при попытке войти в свой аккаунт — мне пишет, что не правильный пароль! Теперь и Login LockDown меня заблокировал. Что делать?

     

    в 17:01 | Ответить
    • Александр Борисов

      Удалить Login LockDown и сделать через php myadmin сложный километровый пароль.

      в 19:16 | Ответить
  23. Игорь

    Один из моих блогов вчера тоже взломали, не мог найти в поиске свой авто блог. Пришлось зайти через панель управлением хостингом. Зашел и остолбинел, все темы с блога были удалены, в панели пользователя имя кокого то придурка с почтой стояло. как я был сердит. Удалили того придурка, сейчас навожу порядок.

    в 22:09 | Ответить
  24. Игорь

    Недавно установил плагин Login LockDown на своих блогах. теперь за безопасность не беспокоюсь. Мне этот плагин понравился тем, что если 5 раз набираешь неправильно пароль то тебя блокируют на 60 минут, Это полная защита от всяких плохих людей. Всем советую этот плагин. 

    в 22:20 | Ответить
    • Андрей

      Этот плагин имеет большой «косяк», его пожно легко обойти через парсинг страницы. Он спасет только от чайников!

      в 20:45 | Ответить
  25. Bayan

    Отличные рекомендации! Просто, доступно и эффективно! Большое Спасибо за очень полезную статью!!!

    в 22:03 | Ответить
  26. Bayan

    Почитал тут бегло комментарии, и замечу, что хоть советы и просты, все же применять их нужно внимательно и с осторожностью, желательно хоть немного знать основы работы web-сервера. Например, насколько я помню, файлы .htaccess и search.php предназначены для настройки конфигурации веб-сервера и сервера php соответственно. И если хостер закрыл к ним доступ, ограничив тем самым возможности пользователя по внесению им изменений в конфигурацию сервера, то он тем самым уже обеспечил безопасность в этой части. Ведь в том и состоит смысл защиты, что бы скрыть от злоумышленников файлы конфигурации и настроек серверов! При невнимательном и нерадивом отношении в вопросах обеспечения безопасности всегда существует риск «защититься» от самого себя, заблокировав себе доступ к своему же сайту, забыв пароль, логин или имя файла, потеряв или стерев нужный файл и т. д. И самые лучшие рекомендации, в этом случае, будут во вред. Господа, не лезьте в дебри, если не являетесь продвинутыми системными программистами, особенно если плохо понимаете что делаете, а главное зачем делаете! Не забивайте голову себе и другим! Вышеуказанных простых советов в большинстве случаев вполне достаточно! А хотите зашифроваться по полной, читайте специальную литературу и не пеняйте на закономерные издержки последствий «суперзащиты».

    в 22:28 | Ответить
    • Алексей

      Полностью с вами согласен!!! [good]

      в 18:52 | Ответить
  27. Рустам

    Странно, почему саму панель для входа на вордпресс ни кто не скрывает? на джумла есть такой модуль, спрятал и ни кто там безобразничать не будет)

    в 20:20 | Ответить
  28. KARBYS

    Доброе время Александр! Буду благодарен если поможете! Решил защитить свой новый блог на ВП согласно ваших рекомендаций. При сменил логин в pxpMyAdmin. Вышел из этого приложения и всё. Блог потух((( не могу зайти не на блог ни в админку. Пишет что нет соединения с базой данных. В техподдержке majordomo на котором хостинг, что-то тупят. Ели не трудно подскажите, побробнее, что не так сделал? %) %) . 

    в 15:21 | Ответить
    • Александр Борисов

      Не знаю, не вижу. Только хостинг поможет.

      в 19:17 | Ответить
  29. anykey

    Хоть один грамотно ответил в тему. Bayan-респект.

    в 13:38 | Ответить
  30. Дмитрий Бессуднов

    Спасибо за совет Александр, очень полезная информация!

    в 17:05 | Ответить
  31. Анна

    Александр, спасибо большое за статью, очень мне помогла, некоторыми советами не смога воспользоваться, а именно   в файле function.php прописать строчку, на сайте сразу абракадабра образовалась, пришлось убрать строку. Но, главное пароль сменила и «admin» тоже!

    в 23:48 | Ответить
    • Алексей

      Не лезьте вы в эти файлы!!! Автор всё поверхностно описывает... Нету гарантии что у вас после изменения файла, блог не рухнет...

      в 18:55 | Ответить
  32. Дмитрий

    Анна, абракадабра из-за того, что нужно сохранять файл с кодировкой UTF-8 без BOM

    в 01:30 | Ответить
  33. Роман

    Третий совет. В корне вашего блога удалите файлы. Как его найти подскажите?

    в 11:27 | Ответить
  34. Виктор

    Спасибо за ценную информацию. Пошел ставить защиту.

    в 08:45 | Ответить
  35. Людмила

    Спасибо, классно,у меня только XSS стоит, теперь возьму Ваши методы на вооружение!

    в 06:52 | Ответить
  36. Татьяна

    Для меня советы,как защитить wordpress от взлома сейчас очень нужны.Взломали блог совсем новый.Теперь надо воспользоваться вашими советами для защиты.Главное разобраться как правильно все это сделать.Написано вроде бы все понятно.Спасибо за ценную информацию.

    в 17:42 | Ответить
  37. Richi

    Что-то не могу найти плагин AntiXSS atack

    Откуда его качать то?? 

    в 08:09 | Ответить
    • Александр Борисов

      Не нужен уже.

      в 19:19 | Ответить
    • Алексей

      Он устарел уже для последних версий вордпресс...

      в 18:56 | Ответить
  38. Мила Милая

    Вписала строку

    <!--?php remove_action (’wp_head’, ‘wp_generator’); ?-->

    Блог перестал работать. Что делать?

    в 21:54 | Ответить
    • Александр Борисов

      Удалите.

      в 19:22 | Ответить
      • Денис

        Красава! Ахахахахахахахахахах! Ответ — на «отлично»!

        в 20:46 | Ответить
  39. Ametist

    Аналогичная ситуация, ка и у Мила Милая. При добавлении кода в файл function.php летит кодировка,а а потом и ошибка на самом блоге выскакивает.

    Может с новым WP не идет :(

    в 15:27 | Ответить
    • Александр Борисов

      Удалите строку.

      в 19:23 | Ответить
      • Евгений

        Вопрос от новичкова) Вставил в самом конце, уже после закрывающим тегом, и не знаю как теперь вернуться в админку сайта? Она у меня теперь не открывается. Help! Как удалить строку?

        в 20:08 | Ответить
        • Денис

          Зайти через FTP, найти файл который изменяли, скопировать на комп, открыть в Notepad++, и удалить изменения. Потом опять загрузить на сервер.

          в 02:56 | Ответить
  40. Людмила

    Для меня это очень ценная информация. Не смотря на юный возраст моего блога, с этими неприятностями я уже столкнулась. Сейчас попробую внести изменения по вашим рекомендациям. Спасибо.

    в 11:38 | Ответить
  41. Татьяна

    Спасибо! Очень полезная информация!! =) 

    в закладки )

     

    в 21:01 | Ответить
  42. coach

    Прошелся по всем пунктам! Про некоторые уже побеспокоились создатели темы)), но остальные выполнил. Теперь готов встречать злоумышленников во всеоружии)) 8)

    в 12:52 | Ответить
  43. [Dimax-pro]

    Спасибо за статью! Очень полезно, лучше перебдить))

    в 11:19 | Ответить
  44. Максим

    Советы актуальные, да как бы по незнанию да неумению на блоге дров самому не наломать, безо всяких взломщиков. Разделить бы эту глубоко эшелонированную оборону выделив способы, применение которых не грозит необратимыми последствиями

    в 18:15 | Ответить
  45. Роман

    Если блог уже заражен как найти и удалить троян

    в 17:32 | Ответить
    • Александр Борисов

      Блог могут заразить? =) Ну это наверное надо к хостеру.

      в 19:24 | Ответить
      • Roman

        Хостеры смотрят чтоб их хостер не заразили. За сайты не очень, у меня так вышло.

        в 21:23 | Ответить
    • Алексей

      Идите на фриланс. За 500 рублей найдут и удалят всё что хотите...

      в 18:59 | Ответить
  46. Roman

    Поставил защиту на блог.

    есть статья о вирусах которые атакуют сайты

    в 02:03 | Ответить
  47. Александр Борисов

    Нужно!

    в 19:15 | Ответить
  48. Александр Борисов

    Там есть php myadmin поищите по лучше.

    в 19:18 | Ответить
  49. Олег

    Это главное, что должен сделать любой даже начинающий вебмастер, иначе уведут сайт. Статья хорошая, спасибо

    в 03:08 | Ответить
  50. Надежда

    а как запретить регистрацию пользователей на блоге?

    в 02:11 | Ответить
    • Александр Борисов

      В админке есть такой пункт, кто может регистрироваться.

      в 21:39 | Ответить
  51. Анастасия

    Вот спасибочки! Уже почти все претворила в жизнь, правда 300 посетителей у меня еще нет, но все равно жалко было бы сайт потерять) [present]

    в 18:48 | Ответить
  52. Aleksander Vipkey

    Привет, Александер! Очень поучительная статья, я если чесно даже и не подозревал, что вёрдпресс могут легко взломать, мне казалось он безопасен в этом плане, но я не об этом, вот ты пишешь readme.html, что бы не узнали версию движка, а сам то чё не удалил, ведь открывается этот файл по адресу isif-life.ru/readme.html

    Будь осторожен, удачи! ;-)

    в 21:33 | Ответить
    • Александр Борисов

      Спасибо за напоминание. Недавно обновил движок и забыл удалить файлик.

      в 21:39 | Ответить
      • Aleksander Vipkey

        ...я так и подумал, и кстати, а после обновления движка, личные настройки в админке не пропадают? а то хочу в будущем на вёрдпрессе сайт создать, вроде ничо так движёк, да? я на денвере щас юзаю его, кстати и по твоему видеокурсу тоже пробегал! [good]

        в 22:00 | Ответить
      • Арс

        У тебя снова есть этот файл. Удаляй его скорее ;-)

        в 16:36 | Ответить
      • Александр

        Александр, Вы его еще не удалили? :)

        в 16:37 | Ответить
    • Алексей

      Да, после обновления движка эти файлы появляются снова...

      в 19:00 | Ответить
  53. Елена

    Защита сайта, как защита дома. Обязательно установлю такие важные плагины. Да и пароль надо придумать серьезнее, где бы их только хранить, чтобы не потерять.

    А хостинг может помочь восстановить утерянный пароль при входе в админ панель сайта?

    в 22:02 | Ответить
    • Андрей

      Они расскажут вам, что нужно сделать для восстановления пароля.

      в 20:48 | Ответить
    • Александр

      Елена, нет хостинг не сможет Вам помочь. :)

      в 16:38 | Ответить
  54. Elena

    Спасибо! очень выручил!!!! [good]

    в 22:07 | Ответить
  55. Landorn

    Спасибо за статью, защита — очень важная вещь))

    в 23:20 | Ответить
  56. Дмитрий Калинин

    Пока к частью не сталкивался с такими опасностями, но на всякий случай защиту поставил

    в 13:57 | Ответить
  57. Георгий

    Спасибо Александр,а то собрался делать личный блог,меня начали вопросы безопасности волновать и тут ваша статья как раз в тему страшно представить какие бы могли возникнуть проблемы если бы я этого не знал. [good]

    в 01:23 | Ответить
  58. Айназ

    Это статья для меня и для моего блога была очень полезна !!! Спасибо!!!

    в 12:03 | Ответить
  59. Ладимир

    По второму совету. Зачем такие сложности. Создал нового пользователя, дал ему админа, после чего rlfkbk первого. При удалении первого привязываешь все посты ко второму и готово. Сам испытал — работает!!! Можете взглянуть у меня на блоге.

    в 19:52 | Ответить
  60. Георгий

    Совет второй только помог мне может посчастливилось с блогом и шаблоном ну а так же пару плагинов поставил,от других советов пришлось отказаться изза ероглифов и нестабильной работы блога

    в 00:26 | Ответить
  61. ruslan

    Спасибо за данный пост,а то спам уже задрал.Советы хоршие только жаль шестой неподошел мне

    в 15:08 | Ответить
  62. ИнУр

    Оказалось, что блог уже год с дырами работает, приятно удивлён статьёй, спасибо!

    ... сидим правим...

    в 02:16 | Ответить
  63. Никита Рябин

    Установил первые два плагина, от xss атак, и Login LockDown. Login LockDown (очень хороший плагин).

    в 15:29 | Ответить
    • Алексей

      xss уже не актуален...

      в 19:02 | Ответить
  64. Любовь

    Отличная статья спасибо. Будем защищаться. [present]

    в 20:39 | Ответить
  65. injnnak

    Сайт нужно обязательно оберегать.Спасибо за информацию

    в 21:08 | Ответить
  66. Виталий

    Спасибо! Уже на следующий день после установки LockDown пришло уведомление о попытке захода с логином Admin. [:--_)]

    в 15:29 | Ответить
  67. Владимир

    У меня например файл htaccess лежит лежит сразу после паблика html

    в 09:53 | Ответить
  68. Александр Миронов

    После изменений в файле function.php не мог зайти в админку! Пришлось старый файл через FTP заливать...

    в 13:27 | Ответить
  69. ramun

    очень необходимая инфа, благодарю.

    в 14:25 | Ответить
  70. Владимир

    После внесения изменеий в файл function.php при попвтке входа на сайт пишет —

    Parse error: syntax error, unexpected '<' in /home/p121539/www/vechnaya-stroyka.ru/wp-content/themes/MyTemplate/functions.php on line 931

    Пришлось удалять то, что добавил по Вашему совету. Может что-то не так?

    в 00:20 | Ответить
    • Алексей

      Вы комменты выше-то читайте. Или вообще все комментарии прочитайте сначала...

      в 19:03 | Ответить
  71. Наталия Гущина

    Отличная статья, давно искала рекомендации по защите блога... УРА! Нашла. Вообще блог классный, очень много ценной информации.

    в 19:51 | Ответить
  72. Евгений

    Я думаю это все паранойя. Особенно для начинающих

    в 22:02 | Ответить
    • Алексей

      Это точно :) Но вообще-то всё правильно, начинать вести блог нужно с его защиты, не правда???

      в 19:04 | Ответить
  73. Алексей

    «В настройках плагина вы можете поставить функцию ежедневной отправки бекапа базы данных на свой почтовый ящик» — ежедневно-это очень часто. 1 раз в неделю — нормально. Тем более когда блог разрастётся и база будет весить прилично, почта не будет пропускать такой обьём. Сейчас лучше базу и не только бекапить на Дропбокс или подобные сервисы...

    А ещё можно и на хостинг бэкапить...

    в 20:54 | Ответить
    • Евгений

      Да вот тоже думаю про бек ап, как его реализовать нормально в автомате и чтобы место мало занимал. Не подскажите, как сделали?

      в 11:41 | Ответить
  74. Сергей

    Прежде чем производить какие-либо манипуляции со своим блогом, желательно проверить все на локальном сервере. Для этого можно установить Денвер, а на него уже свой блог. Если на компьютере работает, то и на сервере у хостера будет работать.

    Для защиты от взлома также можно поставить плагин WP-Sentinel. Все попытки взлома плагин, помимо самой защиты, сообщит вам на е-майл.

    в 02:19 | Ответить
  75. Ростислав

    Жесть! Хорошо что я сделал всё что тут сказанно ещё где то 2 месяца назад. Хотя, у меня посещаемость то 15 человек :) Кому он нужен... ;-)

    в 19:55 | Ответить
  76. Галина

    Да, если блог угонят, будет очень обидно =) Хотя кому моя зеленушечка почти пустая нужна? Но все равно буду применять. Береженого бог бережет. На данный момент у меня только плагин стоит стоит =)

    в 22:23 | Ответить
  77. Denis

    «то вся ваша защита wordpress пошла на смарку»

    Интересно, это существительное такое, «смарк» ? [:-))]

    в 13:28 | Ответить
  78. Елена

    Александр, здравствуйте!

    Ну, спасибо, насоветовали!"!!!!

    Я теперь не могу войти в админ вордпресса!!!! Уже три часа мучаюсь. А всего-то на две кнопочки нажала из пункта 2!

    Александр, прошу ВАс помогите, реву в три ручья!

    в 16:13 | Ответить
  79. Андрей

    Здравствуйте Александр. Скажите как боролись со взломом сами или заказывали чистку. Может дадите пару советов по восстановлению, а то вот уже неделю сам не могу справиться.

    в 18:21 | Ответить
  80. Юлия

    Привет, Саша!

    Слушай а версия то вордпресс не убралась и у тебя она тоже видна... Что делать?

    в 01:12 | Ответить
    • Юлия

      Хочу сама же ответить на свой вопрос: нужно вставить строчки: remove_action ('wp_head','wp_generator'); // убирает версию wordpress

      в functions.php и проблема уйдет. Прячь скорей :)

      в 02:32 | Ответить
      • Анна Зуева

        Что это даст? если злоумышленники не знают логин и пароль, какая разница что там за версия вордпресс? или это имеет значение?

        в 12:27 | Ответить
  81. Оксана

    Здравствуйте Александр и все кто пишет комментарии! Было любопытно почитать не только статью но и комментарии. Надо защищаться.

    в 18:35 | Ответить
  82. kereal

    Автор, в шестом совете вы учите людей ломать блог.

    Во-первых, файл с функциями темы называется functions.php

    Во-вторых правильно

    Аналогично со следующими двумя строками php-кода.

    в 03:13 | Ответить
  83. Оля

    После вставки кода по совету номер 6 сайт упал, поэтому очень аккуратно.

    в 02:38 | Ответить
  84. Александр Шнякин

    Качественная статья, очень полезный материал. Много взял себе на заметку, о некоторых пунктах слышл впервые.

    Спасибо!

    в 13:24 | Ответить
  85. Александра

    По поводу 2-го совета. У меня из-за смены пользователя/пароля перестал открываться сайт и админка, в общем, походу БД слетела. Мой сайт на макхосте лежит, также как и ваш. В техподдержке сказали, что у них нельзя менять имя пользователя/пароль через базу данных. Подала заявку на восстановление БД... Посмотрим, чем они смогут помочь.

    Поэтому, ребята, сначала удостоверьтесь в том, что можно сменить имя пользователя в БД на вашем хостинге. А то будут проблемы, как у меня [:-|]. Я пока «зелёный чайник» в этих делах, так что малейшая проблема с сайтом у меня вызывает шок...

    в 13:05 | Ответить
  86. Евгений

    Спасибо очень актуально! Жалко что обращаем на это внимание когда наступают реальные проблемы. Тем не менее спасибо!

    в 06:28 | Ответить
  87. Vadar

    Круто! Надеюсь и у меня получится! :)

    в 19:23 | Ответить
  88. Андрей

    Перечисленными плагинами я пользовался до того как появился плагин Better WP Security. Этот бесплатный плагин способен заменить 99.9% функционала ВСЕХ вышеперечисленных, вплоть до автоматического бэкапа БД. Рекомендую всем. [good]

    в 02:29 | Ответить
  89. Илья

    Статья 3х летней давности. Почти все советы уже не актуальны. Зачем тогда с главной страницы выводить на статью которая давно устарела.

    в 22:55 | Ответить
  90. Елена

    К сожалению совершила 2 ошибки: не сделала резервную копию, понадеявшись на то, что автор не посоветует плохого, и не прочитала до конца комментарии к посту. Результат: сайт упал :(

    в 09:34 | Ответить
  91. Валентина

    Александр, спасибо. Буду делать интеллекткарты по вашим статьям, чтобы ничего не упустить. Значит, первая задача поставлена — защита блога. О кей! Пойду выполнять.

    в 16:34 | Ответить
  92. Олег

    Из за этого кода, кодировка поменялась, чуть бы движок не полетел!

    в 17:43 | Ответить
  93. Сергей

    Полезный материал! Над защитой блога надо работать ещё в начале его установки! Спасибо! :)

    в 10:17 | Ответить
  94. vlad55

    хороший совет но предпочитаю пользоваться плагинами для полной защиты сайта...хакеры не дремлют постоянно кто то шастает по картинкам и файлам пытается в теме дырки найти... вот отличный плагин очень много уровней защиты...Better WP Security просто супер...еще хороший плагин для кэширования...Quick Cache .Будьте осторожны с кэшированием...недавно была статья в инете обнаружили в нескольких самых популярных плагинах по кэшированию вордпресс дыру в безопасности...и хакеры могли получить доступ к сайту...в обновлении вроде все исправили... :)

    в 22:20 | Ответить
  95. vlad55

    Better WP Security есть защита админки...wp-login.php (к вам не стучали боты с 200 апи в день...а ко мне да...подбирали пароль...admin ...administrator...root... и тд...редирект ссылкой...бекап...скрытие каталогов защита от ботов...бан лист по апи...защита...конфиг и .htaccess ...404 стран...когда люди лазят и пытаются через ошибки найти баги...Еще море всего...Есть еще Очень надежный...и дико простой...limit-login-attempts блокирует боты и хакеров по АПИ... выставляюю 120 мин в первом поле а во втором 9999 что б бот или хакер банился...на год а то многие возвращаются и пробуют пароль подобрать...2 на 2 попытки я думаю 4 раза вы не забудите пароль...limit-login-attempts Установив плагин я узнал много (под каким логином пытаются войти...) и нового скоко всякого сброда и ботов пытаются подобрать пароль уже коллекция из 250-300 апи в бане...сайту всего 2 мес...а хакеров больше чем посетителей... :) :)

    в 22:31 | Ответить
    • Сергей

      Хакеры, при каждой попытке взлома меняют IP адрес. Поэтому блокировка по IP практически ничего не дает. Ну если только кто-то работает с одного адреса, но это редко.

      в 04:09 | Ответить
  96. vlad55

    Коллекция постоянно пополняется...будьте бдительны !!!!! Установите плагин скрытия Вашей Версии Вордпрес...Зачем?? Хакеру прежде всего надо знать...Версию вашего вордпресса...если она устарела...то простым поиском в Гугле...можно найти кучу дыр...в защите и возможностей взлома!!!!!!!!!..Вордпресс ломают очень часто!!!!! Потому что код открыт...и он чаще всего установлен на блогах.......Защищайте админку, плагины и темы...это узкое место...и обновляйтесь...Вышел Вордпрес 3.51 :)Что бы понять серьезность темы у некоторых моих знакомых стоит вордпресс 3.31......Наберите в гугле взлом вордпрес ...или баги... дыры...Там целая коллекция... Важно перед каким то важным телодвижением делайте бекап Базы...иначе установка чего то может привести к падению системы...Для девушек...у хостера бекап бывает раз в неделю...так что статьи потом придется переписывать в ручную...Удачи...Вообще поис рулит защита вордпресса около 20 разных плагинов...Всем Удачи...

    в 22:41 | Ответить
  97. Анжелика

    Полезная статья, много нового узнала, спасибо, буду применять [good]

    в 13:42 | Ответить
  98. Илья

    Срочно буду применять! Спасибо, Александр и удачи! И еще, подскажите, при помощи какого фильтра Фотошоп у вас обработана фотография в бэкграунде сайта?

    в 17:09 | Ответить
  99. Регина

    Обязательно установлю защиту! Спасибо вам большое! Будет очень обидно если молодой сайт взломают, а ты трудился над ним не мало!

    в 15:55 | Ответить
  100. Артём

    Я думаю, что люди которые пытаются добится чего-то в жизни плохим путём, слабые люди...

    в 00:21 | Ответить
  101. Михаил

    Вот это да!!! Я даже и не знал про такое, думал что хакерам нужны только какие нибудь важные правительственные сайты. Спасибо за советы, буду защищаться.

    в 18:50 | Ответить
    • Артём

      Им нужно всёёё, абсолютно всё =)

      в 00:06 | Ответить
  102. Николай

    Можно ли узнать где находится файл wp-login.php и как его можно закрыть от постороних глаз?

    в 14:03 | Ответить
    • Николай

      Файл wp-login.php находится в корне сайта

      в 07:24 | Ответить
      • Николай

        Спасибо Николай. Рекомендую так же переименовывать файл wp-login.php допустим в admin-ponel.php потому, что те люди кто хоть раз ставили wordpress знают, что зайти в админку можно через этот файл а так им будут дополнительные проблемы еще найти файл с формой входа на сайт, Так же рекомендую убрать ссылку в этом файле «Забыли пароль?» Александр очень хорошо объяснил как можно менять пароль администратора через phpmyadmin в своем курсе Как создать блог за 3 часа.

        в 13:38 | Ответить
  103. Алексей

    Я тоже сначала думал, что крадут только блоги с супер посещаемостью.

    Недавно приобрел книгу по защите.

    Столько там всего интересного и полезного на эту тему.

    Настоятельно ее рекомендую всем у кого есть блог.

    Кому нужна заходите ко мне и забирайте ее скорее, чтобы ваш блог не взломали .

    в 22:02 | Ответить
  104. Марат

    у меня есть файл search.php, но там нет такой строчки? ничего не прописывать?

    в 16:49 | Ответить
  105. Виктор

    Спасибо за статью. Очень полезная информация.

    в 14:18 | Ответить
  106. Елена

    Яндекс прислал письмо, что на моем сайте обнаружился вредоносный код. Это значит, сайт взломан? Кто-нибудь порекомендуйте к кому обратиться, чтобы найти этот вредоносный код и обезвредить. Буду очень благодарна! моя почта elenaplak@gmail.com

    в 22:18 | Ответить
  107. Ayrat Zakirov

    Чтобы держать ботов на расстоянии Я написал плагин Securitron, с задачей он справляется легко. Попробуйте.

    в 09:43 | Ответить
  108. Юрий

    Спасибо за советы!

    в 12:31 | Ответить
  109. Глеб

    Очень красивый сайт [good] ,Вы сами рисовали или заказывали?

    в 19:35 | Ответить
    • Михед

      Дизайн заказывал Александр. Если воспользоваться поиском, можно найти целый пост )

      в 21:35 | Ответить
  110. Борис

    Век живи, век учись... Про шестой совет не знал... А вообще использую плагин Better WP Security — довольно навороченная штука для защиты. И заодно показывает кто пытался поковыряться в сайте... [good]

    в 00:26 | Ответить
  111. Олег

    Как один из вариантов: установить и настрой плагины limit-login-attempts и login-lockdown и ни кто блог не взломает... Пароль админки лучше сделать как можно сложнее, (20-25 знаков, например здесь: onlinepasswordgenerator.ru), использовать буквы всех регистров, цифры и символы... Раз в месяц меняй пароль... Все... ваш блог непробиваемый...

    в 19:15 | Ответить
  112. Михед

    Я также использую плагин WPBetterSc + некоторые фишки из статьи.

    в 21:36 | Ответить
  113. Диана

    Защита от блога очень нужная штука! Я когда только-только создала блог, меня с первой же недели хотели взломать, притом пытались это сделать каждый день, уж не знаю кому это надо было. Говорили правда, что роботы такие есть, ломающие блоги и распространяющие спам.

    Так что защищайте свои блоги, это ваше дитятко.)

    в 19:32 | Ответить
  114. Роман

    Воспользовался вашим советам — так как они пригодятся в будущем. Проверил на своем опыте — пол года было сайту моему как его надумал хакнуть. удалили все что было и на главной спам написали. Я как зашел был очень удивлен. Бекапа не делал так как не верил в это все — вот и наказала меня суровая жизнь в инете.

    в 02:58 | Ответить
  115. Denis

    Спасибо за полезную информацию. Ведь защита блога как и защита своего дома. Замочек нужен без этого нельзя.

    в 03:11 | Ответить
  116. Галина

    А еще с защитой надо не переусердствовать, а то, бывает, так защитишься, что и сам потом в админку попасть не можешь =)

    в 06:47 | Ответить
    • Александр

      Нужно просто пароли записывать=)

      в 12:45 | Ответить
  117. Владимир

    Спасибо! Полезная статья !

    А у вас красивый дизайн сайта))!!!

    в 21:00 | Ответить
  118. Галина

    Спасибо за информацию. Что-то из сказанного уже есть, попробую другие советы.

    в 13:02 | Ответить
  119. макс

    Better WP Security приглянулся вот этот плагин, подскажите пожалуйста. а ранее установленные плагины можно удалить? (Login LockDown и paranoja-401) спс заранее [:--_)]

    в 21:51 | Ответить
  120. Шамиль

    Александр статья просто супер но она морально устарела, обновлять будете? :)

    в 11:36 | Ответить
  121. Александр

    Да уж, когда читаешь статьи на эту тему, сразу ощущение, что твой сайт ломают прямо сейчас :)

    в 15:04 | Ответить
    • Анастасия

      А Вы посмотрите лог-файлы Вашего сайта, кулхацкеры ломятся каждый день и не по одному разу :)

      в 22:43 | Ответить
  122. Рома

    Классная статейка, но не совсем подходит по времени. Согласен с Шамилем, нужно обновить).

    в 17:34 | Ответить
  123. Alex

    Еще на мой взгляд в статье не был упомянут один хороший, простой и надежный способ защиты. Можно в файле .htaccess указать список разрешенный ip для доступа к админ панели (то есть к странице wp-login.php).

    в 12:08 | Ответить
  124. владимир

    Класс статья. :)

    в 01:07 | Ответить
    • Bahus

      Устарела малость за 4 то года.

      в 22:09 | Ответить
  125. Александр

    люди подскажите пожалуйста! а реально ли без потерь индекса перенести html сайт на WordPress?

    в 21:26 | Ответить
    • Максим Зборовский

      Поищите на форумах для web masterov или на semsocial.ru/forum/, должны быть, что всё можно если сильно хочется :)

      в 10:29 | Ответить
  126. Ignis

    Да, статья хоть и старая, но полезная. Некоторые моменты я не знал, теперь их тоже использую.

    Еще один момент — перед запретом регистрации создайте себе еще одного пользователя с правами только написания постов. И всегда авторизуйтесь именно этим пользователем, тогда можно не только со своего компьютера посты писать. А в админку заходите только с проверенного личного ПК и вообще как можно реже!

    в 13:37 | Ответить
  127. Дмитрий

    Спасибо за статью!!!!!ради интереса решил еще почитать на эту тему, некоторые способы не очень понравились) Набрал в гугл и ......если честно был поражен у первых 3-4 тупо слизанная статью)))))))

    в 10:50 | Ответить
  128. Павел

    Реально полезная информация. Надо проделать эту работу, чтобы защититься, уродов в интернете хватает. Спасибо огромное!

    в 12:03 | Ответить
  129. Василий

    Мда-а-а, дамы и господа! Поражаюсь, особенно от действий новичков, которые не знают что такое корень сайта и где он находится, а уже лезут в phpMyAdmin :) Выше правильно было сказано, ставьте denwer на комп и делайте все манипуляции там, а не на сервере. И не самое главное, НЕ делайте того, о чем не знаете! Даже по подробно описанным советам!

    P.S. Если ваш блог, сайт, интернет магазин и т.д. захотели (заказали, что чаще всего и бывает) взломать, его взломают! несмотря на все ваши плагины по безопасности!

    в 16:47 | Ответить
  130. Андрей

    Огромное спасибо статья оказалась к стате, а то уже третий раз переставляю блог.

    в 08:03 | Ответить
  131. Денис

    Изменил function.php согласно шестому совету. Сайт слетел.Вместо админки белый экран. Чудо чудное.

    в 16:31 | Ответить
    • Наталия

      Денис, та же история. Видимо, со времен написания Александром этой статьи что-то изменилось в этом мире ))) И совет не работает.

      в 14:37 | Ответить
      • Денис

        Каждый день что-то меняется. Через FTP-клиент исправил.

        в 16:33 | Ответить
  132. Виктор Шерстнев

    Инфа очень ценная! Ведь, если взломают — это ж как обидно будет, столько времени и сил потрачено... Иду ставить защиту на свой блог!

    в 21:41 | Ответить
    • Александр Васильев

      Бэкап каждый день и меньше переживать можно, но всё-равно :)

      в 14:23 | Ответить
    • Константин

      Все это немного "делитанство" и этого не достаточно сейчас, есть серьезный плагин который включает в себя 90% всех основных методов защиты WP iThemesSecurity

      плюс про него подробно расписано на некоторых сайтах Ссылка удалена администрацией

      Также желательно предусмотреть защиту .htaccess от перезаписи

      Ссылка удалена администрацией

      в 16:42 | Ответить
  133. Сергей

    Спасибо! Полезная информация

    в 07:27 | Ответить
  134. Сергей

    После изменений в functions.php закрылся доступ в админку :) Вернее ВП ошибку начал выдавать. Пришлось зарубать дополнение...

    в 00:31 | Ответить
  135. Надежда

    Подскажите пожалуйста, дорогие блоггеры! Что бы это могло быть — время от времени на блоге регистрируются новые пользователи, которых я регулярно удаляю. При том, что у меня пока что отсутствует форма подписки (она же, как я понимаю дает право регистрации в качестве подписчика?). Адреса почты у них довольно странные, трудно читаемые/произносимые. Представляют ли мне они опасность после удаления из подписчиков ?

    Все же, думаю, надо срочно защищать бложик, возможно у специалистов...

    КАЖДОМУ, УДЕЛИВШЕМУ ВРЕМЯ, ОГРОМНОЕ ДУШЕВНОЕ СПАСИБО [present] [flower]

    в 23:29 | Ответить
    • Жандос Мукатаев

      Здравствуйте!

      Это довольно старый пост и ответа вы можете не получить.

      Напишите в службу поддержки, я могу порекомендовать специалиста по защите сайта...

      в 12:50 | Ответить
      • Анна

        Порекомендуйте, пожалуйста!)

        в 03:21 | Ответить
    • Сергей

      Здравствуйте Надежда.

      Подобная проблема накрыла меня (вернее мой блог) в конце 2013 года. Если Александр даст добро на размещение коммента, то вот ссылка на решение проблемы Ссылка удалена администрацией!

      Если нет, пишите на почту или на блоге, адрес которого указан в моем имени.

      в 22:39 | Ответить
    • Денис

      А зачем Вам нужен блок "Админ-панель"? Через него и регистрируются, я считаю.

      в 17:02 | Ответить
  136. Дмитрий

    Статья старенькая, некоторые советы потеряли актуальность.

    в 14:26 | Ответить
  137. Константин

    Саня, спасибо за тщательно подготовленную информацию! Я на своём блоге уже поменял пароль и имя, плагин поставил. Блогу 1,5 года, а я (балда) о защите даже никогда и не думал.

    в 01:53 | Ответить
  138. Tatiana

    Здравствуйте! А каким плагином можно заменить Limit Login Attempts на сегодняшний день, а то он устарел (по крайней мере не обновляется)?

    в 15:00 | Ответить
  139. Константин

    Нужно не index.php пустой помещать, а index.html и желательно в каждую папку движка и тогда не просмотрят файлы и все будет работать [:--_)]

    в 20:34 | Ответить
  140. Александр

    Здравствуйте хакеры! У меня вопрос. Если поменяли пароль и логин входа в админку, то всё? Прощай блог? Или же всё таки есть варианты?

    в 03:02 | Ответить
    • Илья Кремнев

      Нет. Доступ к хостингу у вас останется в любом случае, даже при самом печальном раскладе. Файловая система блога и база данных расположены на хостинге, а значит все можно решить.

      Если есть бэкап базы данных и файловой системы, все будет очень просто восстановить бло и доступ в панель администратора. [good]

      в 13:45 | Ответить
  141. Илья Кремнев

    Статья, как всегда информативна и полезна. Но я остановил свой выбор на плагине iThemes Security. ;-)

    в 13:48 | Ответить
  142. Ирина

    А если вообще переименовать папку wp-content ? Кто-нибудь так делал? Ведь при попытке взлома изучают именно эту папку, а если ее скрыть, просто переименовав (только это надо сделать правильно), тогда взломщик впадет в ступор.

    в 11:29 | Ответить
  143. liuzili

     Содружество  стороны  волнует  тема 

     Культура и искусство 

     детей 

     Образование 

     окружающей среды 

     здоровье 

     бедствия и  гуманитарной помощи 

     науки и техники 

     социальные услуги 

    в 23:25 | Ответить
  144. sunaed

    Статья информативна и полезна, спасибо !!

    в 04:26 | Ответить
  145. Нина

    Не знаю, у меня ничего не получается. Стоит и плагин блокирующий попытки входа, только взломы постоянные, и в админку я тоже не могу войти из за этого. Написала на хостинг, ответили что взломы идут с CMS стороны. Подскажите, что мне делать?

    в 10:14 | Ответить
  146. Нина

    В корне вашего блога удалите файлы readme.html и license.txt. Где именно это в консоле или хостинге? Если в консоле, то где?

    в 10:42 | Ответить
Оставить комментарий: (ПРОЧТИ ЭТО!!!)
:) :-D ;-) :-| [star] [good] [present] [flower] [:-))] [:))] [:--_)] [:-|]