Продолжение темы безопасности сайта.
Начало в посте "Как защитить свой блог на WordPress: 12 необходимых способов защиты".
- Защитите администраторскую часть сайта.
Злоумышленники могут использовать брутфорс-атаки, суть которых заключается в подборе администраторских логина и пароля. Чтобы этого не произошло, используйте плагин askapache-password-protect.
Этот плагин, создает файлы .htpasswd и .htaccess в главных папках сайта, в которых приписывает логин и пароль, дополнительно установленные Вами и запрашивает их каждый раз при попытке получить доступ к админке.
Ну, вот, теперь в админку, не зная пароля, скорее всего никто не попадет.
- Измените префикс таблиц в базе данных WordPress.
По умолчанию префикс WordPress таблиц wp_, то есть все таблицы в базе начинаются с этих символов.
Большинство ботов, использующих SQL-инъекцию (SQL-Injections) уязвимости, применяют стандартные имена таблиц. Изменив их префикс, мы снизим риски взлома сайта хакерскими ботами и самими хакерами.
- Если WordPress еще не установлен, то необходимо отредактировать файл wp_config.php. Найдите строку:
$table_prefix = 'wp_';
И поменяйте ее на:
$table_prefix = 'myprefix_';
Дальше можно установить WordPress обычным способом.
- Если, WordPress уже установлен, то потребуется вручную переименовать все существующие в базе WordPress таблицы, выполнив для каждой таблицы SQL запрос:
RENAME TABLE wp_categories TO myprefix_categories;
Имена и количество таблиц зависят от установленной версии WordPress.
Но, обычно, их десять:wp_categories, wp_comments, wp_link2cat, wp_links, wp_options, wp_post2cat, wp_postmeta, wp_posts, wp_usermeta, wp_users.
Поменяйте, также, несколько записей в таблице wp_options (myprefix_options):
UPDATE myprefix_options SET option_name=’myprefix_user_roles’ WHERE option_name=’myprefix_user_roles’ LIMIT 1; UPDATE myprefix_options SET option_name=’myprefix_autosave_draft_ids’ WHERE option_name=’myprefix_autosave_draft_ids’ LIMIT 1; UPDATE myprefix_options SET option_name=’myprefix_user_level’ WHERE option_name=’myprefix_user_level’ LIMIT 1;
А можно не париться и установить плагин WP-Prefix-changer - wp-prefix-changer-v11-released, который сделает все автоматически.
Внимание!
Прежде, чем выполнить любые действия с базой данных, обязательно сделайте бэкап вашей базы.Мой совет:
Если ваш сайт уже работает, не стоит его трогать. Пусть уж будет, как есть.
Риск взлома не так велик, а испортить все очень легко. - Если WordPress еще не установлен, то необходимо отредактировать файл wp_config.php. Найдите строку:
- Контролируйте доступ в админку
Для этого существует полезный плагин Login LockDown - http://www.bad-neighborhood.com/login-lockdown.html. Он помогает защититься от подбора пароля и логина к админке, фиксируя все IP, с которых пытаются получить доступ к админской части.
Если попытки попасть в админку происходят неоднократно – плагин интерпретирует их как брутфорс-атаки и блокирует IP, с которых они совершаются. Количество неудачных попыток и время блокировки настраиваются в параметрах плагина.
- Следите за состоянием файлов движка.
Всегда полезно узнать первым о том, что в какой-то файл внедрен посторонний код (вирус и т.п.) и принять соответствующие меры. В этом нам может помочь плагин Belavir - belavir, который покажет, какие файлы вордпресса или вашей темы изменились.
Информация об измененных файлах отобразится в админке сайта - в Консоли - в колонке «Текущее состояние блога».
Предупреждение:
Этот плагин очень консервативный и бьет тревогу по поводу любого, незнакомого ему кода, предлагая вам посмотреть подозрительные файлы в редакторе.
Если вы, просмотрев подозрительный код, не можете определить, является ли он опасным, то плагин этот для вас бесполезен.
Сам плагин ничего не решает, только сканирует файлы на сервере и сообщает вам об изменениях в них.
Решить, что из обнаруженного им, является опасным, а что нет, можете только вы. - Защитите свой сайт от XSS-атак.
Во всех версиях WordPress (да и всех других движках) есть дыры. К сожалению, не все они найдены и известны. Злоумышленник может обнаружить уязвимость и сформировать специальный запрос к вашему сайту и тем самым, например, получить админский доступ. А что он может сделать, зайдя в админку, сложно даже представить.
Чтобы защитить свой сайт от таких непрошенных гостей, скачайте плагин anti-xss-attack - и установите его. Плагин не нуждается в настройке и начинает работать сразу же после активации.
- Проверьте ваш WordPress на возможные уязвимости при помощи дополнения WP Security Scan.
Главной задачей плагина является сканирование установленной версии системы и проверка ее на возможные прорехи в безопасности. Этот плагин считается одним из лучших по обеспечению безопасности сайтов на WordPress. Он проверяет большое количество параметров безопасности, начиная от версии WP и заканчивая разрешением доступа к файлам и безопасностью базы данных.
После чего он выдает список рекомендуемых действий и по вашей команде сможет выполнить корректировку для уменьшения рисков взлома вашего сайта.
В Интернете можно найти подробное описание работы плагина WP Security Scan, поэтому я не буду писать об этом. Прочитайте, например, здесь http://tods-blog.com.ua/wordpress/plugins/wordpress-blog-security-scan-plugin
- Защитите ваш сайт от вирусов.
Вирусы, черви и вредоносные программы могут быть внедрены в WordPress и способны нарушить работу вашего сайта. Чтобы этого не случилось установите плагин antivirus для WordPress. Он мониторит состояние сайта и предупреждает о любых возможных нападениях.
Этот плагин русифицирован. Кроме того, его можно настроить автоматически проводить ежедневное сканирование антивирусом и отправлять отчет на e-mail администратора.
- Отключите сообщения об ошибках
Сообщения об ошибках входа в админку, как правило, содержат много полезной информации не только для вас, но и для желающих взломать наш сайт. Поэтому, лучше их отключить. Для отключения сообщений об ошибках удобно использовать плагин bs-wp-noerror.
- Используйте SSH/Shell доступ вместо FTP
Если кто то получит данные доступа к вашему сайту из Вашего FTP-клиента (а они находятся там в незашифрованном виде), то одновременно он получит полное управление над всеми файлами на Вашем сервере. Поэтому, если хостинг предоставляет Shell-доступ, обязательно воспользуйтесь этой возможностью.
Shell-доступ реализуется по протоколу https. Им можно пользоваться и для входа в WordPress.
Для Shell-доступа можно использовать программы Putty или Winscp (для Windows). Пароль в этих программах шифруется.
Далее нужно полностью закрыть доступ к сайту по FTP. Для этого в корне сайта создайте файл .htaccess, в котором пропишите такой код:
<limit ALL> Deny from all </limit>
Специальное предупреждение:
Не используйте программу TotalComander для соединения по FTP - через нее очень просто украсть пароли. Есть несколько неплохих программ для работы по FTP. Если ваш хостер не предоставляет Shell-доступ, пользуйтесь лучше ими.
Читайте обзор лучших бесплатных FTP-клиентов. - Защитите свой блог от спама.
Для этого существует классный плагин wp-spamfree, действующий против автоматического спама.
- Регулярно делайте бэкап вашей базы данных.
Если же все выше написанное не помогло и сайт все-таки был взломан, для его восстановления нужен будет бэкап базы данных. Позаботьтесь о том, чтобы сделать его заранее. Для этого можно использовать плагин WordPress Database Backup.
Его можно настроить так, что архив базы данных вашего блога будет автоматически приходить к вам на e-mail ежедневно или еженедельно по вашему выбору.
Кроме базы данных, сохраните на жесткий диск своего компьютера папку с вашей темой, все плагины и все дополнительные файлы: .htaccess, robots.txt и wp-config.php.
Наличие всех этих файлов поможет вам быстро восстановить свой сайт в случае аварии на сервере или заражения вирусом.
- Регулярно делайте бэкап вашего сайта.
Вот еще один плагин для бэкапа BackUpWordPress.
Этот плагин делает не просто бэкап базы данных, а полную резервную копию всего вашего блога. Он сохраняет базу данных, плагины, файлы самого WP и файлы которые вы загружали в ваш блог. В нем есть множество настроек, касающихся автоматизации бэкапа, уведомления о сделанных бэкапах и восстановления из резервной копии. Вообщем, в плагине есть много интересных и полезных функций.
Удачи вам в нелегком деле защиты своего сайта!
Искренне надеюсь, что все, написанное выше вам поможет.
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Скажите, а как быть мне? Можно ли мне установить этот плагин. Мне кажется, что у меня на компьютере все время меняется адрес. Или вот когда, я только, что зарегистрировал свой сайт, через минут 20 захожу. А меня предупреждает надпись, что кто то заходил под моим логином и паролем, и так постоянно только все время адреса разные. И еще я сам иногда не могу зайти на сайт под своим паролем, хотя его ввожу правильно. Приходится нажимать на ссылку Забыли пароль. Или еще пример на моем сайте, стоит блок опросов, я уже один раз проголосовал, но через какое то время я могу опять голосовать, то есть у меня наверное адрес динамический. Вопрос мне можно установить плагин? Спасибо!
Если у вас динамический адрес, можете смело устанавливать плагин.
А вот, если кто то заходит в админку вашего сайта под вашим логином и паролем, тогда стоит еще и свой компьютер проверить на вирусы и трояны, а после этого обязательно сменить пароль от админки и все прочие пароли также.
Скажите у Вас есть сайты где разрешена регистрация посетителей, вот мне нужно бы разрешить но Вы пишите что не желательно. Не ужели все так безнадежно?
Есть один сайт.
За 3 года существования его никто не взломал.
Благодарю за полезную информацию.
Очень помогли некоторые плагины
подскажите как лучше всего убрать в исходном коде страницы все упоминания об версии движка , это тоже не стоит видеть взломщикам ,я правильно мыслю ?
Читайте продолжение поста - там написано.
That takes us up to the next level. Great potsing!
Это переводит нас на следующий уровень знаний. Отличный пост!
я применил ваши советы по защите сайта и начались проблемы
1-перестали выводиться картинки в ноткапче?
2-при включении WP Security Scan анивирусник блокирует(непросто блокирует а закрывает наглухо) страницу ,пишет сильная угроза и.т.д(norton 360)?
3-после активации wpantivirus через некоторое время ( не сразу) появилась надпись о подозрение на заражение?
возможно ваши ссылки на плагены с заразой?
Плагины часто конфликтуют друг с другом.
Решайте сами, какой из них вам нужнее.
Какую страницу?
Какой антивирусник - плагин или на компьютере?
Опять таки, где появилась?
На сайте?
Этот плагин всегда предлагает посмотреть подозрительные файлы в редакторе. Посмотрите, возможно там нет ничего опасного.
Вообще, он очень консервативный и бъет тревогу по поводу любого, незнакомого ему кода.
И еще:
Если вы, просмотрев подозрительный код, не можете определить, является ли он опасным, то плагин этот для вас бесполезен.
Сам плагин ничего не решает, только сканирует файлы на сервере.
Решить, что из обнаруженного им, является опасным, а что нет, можете только вы.
Невозможно.
Ссылки ведут на сайты разработчиков плагинов и в репозиторий плагинов wordpress.org, а не на варезники.
при включении WP Security Scan анивирусник блокирует(непросто блокирует а закрывает наглухо) страницу, пишет сильная угроза и.т.д(norton 360)?
Какую страницу?
Какой антивирусник - плагин или на компьютере?
1 с админки при переходе на сайт
2 на компьютере (norton 360 5.0)
3 удалил WP Security Scan и все стихло,плагин wpantivirus тоже успокоился
Значит, не судьба :).
WP-Prefix-changer при запуске этого плагина есть гарантия что ни чего не крякнет ? и не нужно будет что то еще менять -переписовать ?
О гарантиях лучше спрашивать автора плагина.
А как защитить контент от воровства ?? Возможно что вы про это уже писали......
Нет, об этом не писала.
Писала только о том, как бороться с ворами.
Добрый день. Я использую Notepad для редактирования файлов сайта через FTP, опасно ли в ней сохранять пароли? Спасибо
Опасно.
Спасибо, много ценного почерпнул, учитывая что в WP новичок, но я бы рекомендовал изменить (обновить) рекомендацию об использовании как минимму одного из Плагинов
так как Автор плагина на своём сайте, еще в ЯНВАРЕ 2011 года, написал,
что он уже БОЛЕЕ 3 ЛЕТ не поддерживает Этот Плагин. И поэтому "отсылает" всех кто обращается к нему за помощью...
Я про эту вашу рекомендацию
Регулярно делайте бэкап вашего сайта.
Вот еще один плагин для бэкапа BackUpWordPress - http://wordpress.designpraxis.at/plugins/backupwordpress.
Плагин, по-прежнему, работает даже, если он давно не обновлялся 🙂
Ксана а что вы скажите по этому плагину BulletProof Security ??
Здравствуйте, Людмила! Снова обращаюсь к Вам как к лучшему наставнику. Очень сложно нам начинающими (мне мой сайт достался в подарок от супруги совсем не давно) найти, действительно, необходимую и полную информацию в интернете. Подскажите, пожалуйста, как правильно настроить Better WP Security (можно толковую ссылку...на официальном сайте не понятно описано) И стоит, ли использовать одновременно плагины Better WP Security, AskApache Password Protect, WP Security Scan. Какой не обязательный плагин, что убрать, а что необходимо добавить. Спасибо. С ув. Владимир.
Я работала только с WP Security Scan, с остальными плагинами я не знакома.
Включите каждый и проверьте их работу, тогда узнаете, что они делают и нужны ли они вам.
Ксана,замените про бэкап,плагин указанный вами уже 2 года не обновлялся о чём написано здесь
http://wordpress.org/plugins/wp-db-backup/
А каким плагином вы сейчас пользуетесь?
Этим и пользуюсь. А обновлять плагин не нужно, поскольку он нормально работает на последней версии вордпресс.
ааа нашел про этот плагин. удалите эти коментарии и спасибо.
Ксана, подскажите, а какую версию движка лучше использовать? Новые выпускаются, но не всегда новое лучше старого.
Я использую предпоследнюю версию.