Защита wordpress от взлома | Заметки вебмастера






Надёжная защита WordPress от взлома

защита wordpressЗдравствуйте читатели и посетители блога saranchinsergey.ru!

В этой статье отведу особое место очень важной теме. Сегодня  буду рассказывать о том, как защитить свой блог под управлением популярной системы WordPress от взлома недоброжелателей.

Как защитить wordpress от взлома? В чём заключается защита wordpress?

Нужна ли Вам защита wordpress?

Согласно статистике, основная масса начинающих вебмастеров даже не думают об этом. Создают блоги, сайты, нашпиговывают их плагинами, пишут кучу статей.

Озарение наступает позже, когда их драгоценный раскрученный ресурс с хорошей посещаемостью просто взламывают злоумышленники.

Цель у взломщиков может быть разная: от размещения на Вашем блоге различной рекламы до полного присвоения блога себе или полного удаления.

И если Вы читали внимательно мою предыдущую статью о том, как сделать резервное копирование блога и уже применяете эти знания на практике, то Вы будите в выигрыше. Вы всегда сможете его восстановить.

Однако, зачем тратить свое драгоценное время на восстановление своего ресурса, когда его можно просто заранее обезопасить. Сэкономленное время и нервы Вы сможете направить на написание новой статьи, оптимизации блога или изучения новой и полезной информации. Это будет намного эффективнее.

защита wordpress от взломаТак что советую Вам изучить данную статью и сразу же применить полученные знания по защите WordPress на практике.

В том случае если у Вас молодой блог, и Вы считаете, что никто не будет его взламывать, то может Вы и правы.

Но ведь когда то он будет более узнаваем и посетителей станет больше. Он окажется лакомым куском для взломщиков. Это может произойти в любой день, поэтому предлагаю Вам сейчас же, без отлагательств обезопасить свой блог.

Методики, которые я буду описывать, просты в применении и эффективны. Все описанные способы опробованы мной на практике, действуют и дали положительный результат.

Какова же реальная защита wordpress? Итак, начнем.

Способы защиты wordpress от злоумышленников

1. Измените стандартный логин в WordPress на свой.

По умолчанию WordPress предлагает Вам для авторизации в системе логин admin, который нельзя изменить в самой административной панеле блога. Вам нужно его изменить на любой другой.

Для этого необходимо войти в панель управления вашего хостинг-провайдера, кликнуть по вкладке Mysql и затем зайти в Php My Admin. Логин и пароль для входа предоставляет хостинг.

При входе на главной странице в левой колонке кликаем по своей базе данных. Нам откроется список всех таблиц нашей базы. Нажимаем на пункт под названием wp_users. Обратите внимание на верхнюю панель  Php My Admin- должна быть открыта вкладка «Обзор»!

После этого в строке админ нажимаем на Изменить и в появившемся полях меняем логин admin в двух местах на свой.

Не забудьте после этого нажать кнопку Ок, которая находится в нижней части таблицы( на скриншоте не указана):

замена логина в wordpress

 2. Придумайте и создайте надежный пароль для входа в админку сайта.

Стоит заметить, что существуют различные плагины, которые ограничивают попытки ввода пароля в админку. Например не более трех раз. После этого они блокируют доступ на определенное время.

Один из таких плагинов Login LockDown или Limit Login Attempts.

Однако, постоянные читатели моего блога знают, что я не люблю плагины из-за того, что в них много лишнего, они дополнительно нагружают сервер и созданы незнакомыми мне людьми.

Я всеми силами стараюсь заменять плагины кодами на своем блоге и Вам советую поступать также. Хотя выбор каждый делает сам.

Вместо этих плагинов, я предлагаю придумать надёжный пароль к админке сайта, состоящий из цифр, букв и знаков препинания.

У меня, например, пароль к админке состоит из более чем 20 знаков. Так будет надежнее. Поменять пароль проще простого. Вы можете это осуществить в админпанеле своего блога.

Зайдите в меню админки слева во вкладку Пользователи и в выпадающем списке выберите пункт Ваш профиль:

смена пароля админки wordpress

 Опуститесь вниз этой страницы и найдите раздел Обо мнеТам будет два поля: Новый пароль и Повторите новый пароль. В этих полях введите свой пароль и не забудьте внизу нажать кнопку Обновить профиль. Вот и всё. 

 3. Удалите ненужные файлы

удаление ненужных файловВ корне Вашего сайта есть два файла  readme.html и license.txt. Они Вам не пригодятся, однако для взломщиков будут весьма полезны.

Они, как раз сообщат нехорошим парням версию Вашей системы WordPress и много другой нужной им информации для взлома.

Также зайдите в админпанель в меню слева во вкладку Внешний вид и в выпадающем списке выберите Редактор и откройте файл header.php.

С помощью поиска найдите строчку :

 <meta name= "generator" content= "WordPress ...3.8.1" />

и удалите ее. Она показывает версию Вашей системы WordPress.

Вызвать поиск можно нажав две клавиши Ctrl+F. Откроется окошко поиска. Вот туда и нужно ввести эту строку. Затем нажать Enter.

Если похожая комбинация есть в коде файла, она подсветится. Если такой строчки нет, будет написано: Ничего не найдено. В таком случае можете успокоиться. Ничего делать не нужно

 4. Делайте резервное копирование базы данных и файлов

Чуть выше в этой статье я писал ссылку на свою предыдущую статью о резервном копировании своего блога. Прочитайте её обязательно.

Хочу только уточнить, что я уже не пользуюсь плагином wordpress database backup, а копирую базу данных вручную с Php MyAdmin.

Автоматизация конечно хорошо, но безопасность важнее. Мне не составляет труда потратить 2-3 минуты на копирование базы. Себе я больше доверяю, нежели плагину.

Надеюсь Вы сможете экспортировать свою базу данных из Php на свой компьютер. Если не знаете как это сделать-задавайте вопросы, помогу!

5. Закройте обзор своих директорий.

Зайдите в файл .htaccess в корне Вашего сайта через Фтп-клиент. Подробно как это осуществить, читайте ту же статью о Резервном копировании сайта.

И пропишите дополнительную строку:

    Options All -Indexes

Эта команда позволит закрыть обзор директорий.

Затем проверьте директории:

   1. http://ваш блог/wp-content/
   2. http://ваш блог/wp-content/plugins/

Пропишите их поочерёдно в адресную строку браузера. После их открытия в браузере не должно быть видно файлов и папок этих директорий.

Если что-то есть, то необходимо исправить ситуацию. Откройте их через Фтп клиент и отредактируйте.

Для этого создайте в каждом из директорий пустой файл index.php. Это простой текстовый файл с расширением .php. Создайте его с помощью Блокнота или Notepad++ и закачайте в директории на сервер.

После нововведений, при открытии каждой из директорий через браузер, должна появляться пустая страница!

6. Смените стандартную страницу входа в админпанель. 

защита wordpressВ настоящее время участились атаки мошенников по подбору логина и пароля к панели администрирования системы wordpress. Нехорошие парни используют десятки тысяч IP- адресов!

Эта стратегия дает им огромное преимущество. Мы уже ранее поменяли стандартный логин и придумали надежный пароль к своей админпанеле.

Ну а теперь зададим еще одну задачу для хакеров — отыскать наш адрес входа в панель администрирования.

Стандартный адрес страницы входа в панель WordPress:  ваш блог/wp-login.php или  ваш блог/wp-admin. Мы создадим сейчас свой адрес входа.

Опять же можно это сделать проще- с помощью плагинов, но это не для меня. Тяга к программированию и различным экспериментам не даст мне воспользоваться ими.

Итак, как же изменить адрес входа в админку WordPress вручную? Найдите файл wp-login.php в корневой папке блога.

Осуществляйте все действия по порядку:

  •  Измените название самого файла wp-login.php на любое другое(например, open.php)
  • Скопируйте это название в буфер проводника и откройте переименованный файл open.php и с помощью текстового редактора Notepad ++  замените все слова wp-login.php на open.php.
  • Затем откройте другой файл wp-includes/general-template.php и  замените все wp-login.php на open.php.

После таких операций адресная строка входа в админпанель сменится с http://ваш блог/wp-login.php на http://ваш блог/open.php

И ещё хочу напомнить, что если Вы до сих пор пользуетесь стандартным виджетом «Мета» — то удалите его, потому как при наведении на эту ссылочку «Войти» виден адрес страницы входа, а значит все усилия по изменению адреса входа напрасны.

Но это ещё не всё. Вы поменяете адрес входа в админку, но нсли мошенник введёт в адресную строку http://ваш блог/wp-admin, то его перенаправит (осуществится редирект) на тот адрес входа в админ-панель, который Вы создали.

Поэтому нам нужно сделать редирект с http://ваш блог/wp-admin на гланую страницу Вашего блога. Читайте далее.

 7.Сделайте редирект с wp-admin на Ваш блог.

Сделать это не сложно. Откройте в панели администрирования слева в меню Внешний вид, затем выберите Редактор. Выберите файл для редактирования. В данном случае нас интересует файл Функции темы (functions.php)

Между <?php и ?> Вам нужно вставить следующий код:

 add_action( 'init', 'blockusers_init' );
 function blockusers_init() {
 if ( is_admin() && ! current_user_can( 'administrator' ) &&
 ! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) {
 wp_redirect( home_url() );
 exit;
 }
 }

Потом просто нажмите внизу кнопку «Обновить файл». Вот и всё. Редирект мы сделали.

И ещё несколько советов:

  • проверьте все установленные плагины и удалите неиспользуемые;
  • создайте сложный пароль на панель управления хостингом и базу данных;
  • закачивайте файлы на сервер только через панель управления и Php My Admin, а не через Фтп-клиенты;

И ещё одна полезная рекомендация. Если Вы считаете, что не справитесь с этим и Вам нужна помощь в защите своего ресурса, то пишите на почту суперпрограммисту, моему партнёру и просто отличному специалисту — Дмитрию Горунину: gorunk@yandex.ru

Ну вот в принципе и всё! Надеюсь был полезен.   До встречи в новых статьях!

Не забудьте подисаться на обновления сайта внизу этой статьи, чтобы не пропустить полезную информацию.

Успехов Вам и Удачи
С Уважением,


Книга о заработке в интернете:
Книга о заработке в интернете

Комментариев к статье: 178

  1. Денис:

    когда то писал тоже подобную статью. однако факт остается фактом — кому надо — тот сломает :) как ни защищай.

    Ответить

    • Alexandr:

      Часто слышу кому надо, тот взломает. Ну, а кому это так надо ломать Ваш блог?

      Ответить

      • Виталий Охрименко:

        Я думаю конкурентам. И думаю это мало относится к новичкам, только к крутым блогам — тысячникам

        Ответить

        • Игорь:

          Но все же сломать будет не легко.
          Да и сами взламывать не будут,а нанимать человека за определенное вознаграждение.
          Но может и отдача на их блог прилететь.
          И сказывается,а стоило ли это того?

          Ответить

          • Екатерина:

            Те, люди, которые этим занимаются вряд ли боятся, что к ним может прилететь отдача.

            Ответить

      • Екатерина:

        Причин взломать чужой блог может быть много. Может кто-то просто переделает его под себя, поменяет пароль и ты не сможешь доказать, что это был твой блог.

        Ответить

  2. Сергей:

    Согласен с тобой, Денис. Однако, взломать будет не так просто, как если бы не защищал http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif Всё равно как ни крути, даже если взломают-бэкап спасёт по-любомуhttp://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif
    Вот такая защита WordPress

    Ответить

    • Alexandr:

      Не каждый взломает это раз. И усилий потребуется много и взломщик подумает, а стоит ли взлом этого.

      Ответить

      • Виталий Охрименко:

        Полностью согласен. Это как в мировой военной стратегии, если видишь что страна хорошо защищена, нападать на нее не станешь.

        Ответить

    • Екатерина:

      Интересно, а можно ли как-то наказать по закону потом взломщика?

      Ответить

      • Сергей Саранчин:

        Интересный вопрос. Да и было ли такое вообще в судебной практике…?

        Ответить

      • Данила:

        Статья 272 УК РФ (неправомерный доступ к компьютерной информации, или как-то так)

        Ответить

  3. Кирилл:

    Есть интересный плагин для защиты от взлома через подбор паролей, он изменяет адрес входа в админку, но оставляет фальшивую форму по старому адресу. Таким образом, если не знаешь правильного адреса админ панели, то не сможешь в неё войти даже используя правильный пароль.
    Называется он Protected wp-login. :)

    Ответить

    • Сергей:

      Хороший плагин, но я предпочитаю меньше ими пользоваться http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif

      Ответить

    • Alexandr:

      Хороший пароль поставить и все дела. 20 знаков пароля миллион лет перебирать будут.

      Ответить

      • Виталий Охрименко:

        А разве сейчас не существует кучи разнообразных программ для ускорения этого процесса?

        Ответить

        • Alexandr:

          Существуют, но лишние плагины на сайте не нужны когда есть стойкий пароль.

          Ответить

      • Екатерина:

        Достаточно всего 20 символов? Я видела пароли в 50-80 символов.

        Ответить

  4. Иван:

    Спасибо, полезные советы. Если IP статический еще круто закрыть папки wp-admin и wp-includes через .htaccess для всех IP-адресов, кроме того, с которого заходите в админку WordPress.

    Ответить

    • Сергей:

      Согласен, Иван. Я не рассмотрел этот вариант. Наверно, всё это потому что у меня IP динамический http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif

      Ответить

      • Alexandr:

        У многих динамический IP. Можно сервисами динамический адрес привязать к статическому, но там нюансы есть.

        Ответить

        • Сергей Саранчин:

          Вот на такие нюансы и тратится большая часть времени :cool:

          Ответить

          • Alexandr:

            Да. Если за бесплатно привязывать не факт, что завтра денег не потребуют, а у вас на IP сайт.

            Ответить

    • Alexandr:

      Слишком опасно. В Вашем случае заходить в админку придётся с одного места, а это не всегда удобно.

      Ответить

      • Сергей Саранчин:

        Тоже верно, Александр!
        Иногда приходится не только дома сидеть или на работе.
        Вдруг будет возможность в интерне-кафе сходить и поработать на блоге и тут бац — зайти нельзя :grin:

        Ответить

        • Виталий Охрименко:

          В таком случае можно зайти на хостинг и сбить эти настройки временно.

          Хотя сам не считаю что это удобно!

          Ответить

        • Alexandr:

          Вы можете в командировку уехать, в отпуск. Да мало ли куда. Или вдруг регистратор IP отберёт?

          Ответить

  5. Елена:

    Сергей, для меня ваш сайт оказался весьма полезным. За что вам, как автору, отдельное СПАСИБО!http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_wink.gif Я недавно создала свой сайт. Только осваиваю самые азы. Следуя вашим советам, удалила папки readme.html и license.txt Еще у меня есть созвучные папки с названиями licencia.txt, licenza.html, liesmich.html, redme-ya.html. Их трогать не следует?

    Ответить

    • Сергей:

      Здравствуйте, Елена! Рад знакомству http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif
      Что касается этих файлов, которые созвучны с readme и license, то мне кажется нужно попробовать и их удалить.
      Только не забудьте перед этим сделать резервное копирование сайта. Если WordPress выдаст ошибку, Вы всегда сможете всё восстановить, закачав их обратно на сервер http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_yes.gif
      Удачи Вам в развитии Вашего нового сайта!http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_good.gif

      Ответить

    • Alexandr:

      Удаляйте смело их. Это файлы на разных языках. Вы мультиязычную версию установили.

      Ответить

  6. Денис Скрипник:

    Хороший материал. Ещё надо добавить, что чтобы снизить нагрузку от перебора паролей, создайте http авторизацию.

    Ответить

    • Alexandr:

      Почему все уделяют внимание админке. Не думаете что есть другие способы взлома не через админку?

      Ответить

      • Виталий Охрименко:

        …например через FTP

        Ответить

        • Игорь:

          Через FTP тяжело взломать.Быстрее через админку вскроют.

          Ответить

  7. Тарас:

    Красавчик! Аж духом воспрянул! Спасибо.

    Ответить

    • Сергей:

      http://saranchinsergey.ru/wp-content/plugins/wp-monalisa/icons/wpml_smile.gif пожалуйста, Тарас

      Ответить

  8. Юрик:

    чет у меня не получилось, поменял все wp-login.php на свое,скопировал вставил в код и пипец я не могу зайти к себе в админку какой путь прописывать и что делать не знаю!!! но при вводе мой сайт/тырыпыры.php белый лист и все тут.

    Ответить

    • Сергей:

      Юрик, если вы делали перед изменением резервное копирование файлов, то вернуть всё на прежнее место не составит особого труда.
      Просто удалите файл wp-login.php и залейте старый на его место. Вот и всё.

      Ответить

      • Юрик:

        вернуть то не сложно но хотелось бы разобраться в чем дело! может есть предположения по чему не выходит?

        Ответить

        • Сергей:

          Скорее всего, вы изменили не все wp-login.php
          Проверьте ещё раз.
          Для поиска в файлах темы wp-login.php используйте сочетание клавиш Ctrl+F
          Так вы точно ничего не просмотрите!

          Ответить

          • Юрик:

            Сергей! все ок)))) просмотрел код оказалось одну строку неправильно изменил!))) вместо wp-login.php нечаянно зацепил WP-admin исправил все работает. Спасибо большое за статьи!))))

            Ответить

          • Alexandr:

            Вот я поэтому и боюсь переименовывать, зацепишь случайно что-нибудь, потом сиди разбирайся часами в коде. Мне кажется что пароль установить на сайт важнее.

            Ответить

  9. Сергей:

    Всегда пожалуйста, Юрий!
    Рад был помочь.
    Обращайтесь если что-то не понятно будет

    Ответить

    • Alexandr:

      Сергей, Вам хорошо. У вас есть тяга к программированию и различным экспериментам. Как быть у кого такой тяги нет? Эксперименты для тех у кого много свободного времени, а у меня его нет.

      Ответить

      • Виталий Охрименко:

        Согласен, эти эксперименты, а особенно если плохо в теме разбираешься, могут столько времени бесполезно отнять.

        У меня были случаи когда ковырял что-то, ковырял, а потом бац — и пропало все. Вернул на прежнее место, день пропал, результат нулевой, ничему не научился :???:

        Ответить

        • Сергей Саранчин:

          Виталий, это Вы зря…Любое ковыряние прибавляет вес к вашему опыту. Ничего бесследно не пропадает :oops:

          Ответить

  10. Rafael:

    Здравствуйте ))
    Меня заинтересовал 4 пункт вашей статьи подскажите пожалуйста как скопировать базу данных вручную с Php MyAdmin ??

    Ответить

    • Сергей:

      Здравствуйте, Rafael!
      Это сделать очень просто!
      Заходите в Php MyAdmin, затем слева в панели выбираете вашу вашу данных(нажимаете на нее).
      После этого нажимаете вверху вкладку «Экспорт», а потом внизу кнопку «Ок»
      Вот и всё. Ваша база данных автоматически скопируется на ваш компьютер!

      Ответить

      • Alexandr:

        Php MyAdmin самому ставить нужно или у хостера он установлен сразу?

        Ответить

        • Сергей Саранчин:

          Php MyAdmin у хостинг компании должен быть :smile:

          Ответить

          • Alexandr:

            Хорошо что у хостинг компании должна быть программа, не самому ставить. Всё легче.

            Ответить

      • Alexandr:

        Можно через дос попробовать mysqldump –uUSERNAME –pPASSWORD DATABASE > DATABASE.sql

        Ответить

        • Сергей Саранчин:

          Хм..интересно. Хотелось бы поподробнее. Как это осуществить?

          Ответить

          • Alexandr:

            В командной строке вводить надо. Вместо USERNAME Ваш логин, вместо PASSWORD пароль. Имя б/д, имя создаваемого файла.

            Ответить

          • Alexandr:

            mysqldump — утилита командной строки для бекапа. Я думал Вы в курсе этого. Попробуйте сами.

            Ответить

          • Сергей Саранчин:

            Нет, не в курсе. Я живой человек и могу тоже не знать многого. Спасибо за информацию, Александр! :oops:

            Ответить

          • Alexandr:

            Я пробовал, у меня получалось. Но тогда инет был у меня слабый, долго качалось.

            Ответить

  11. Зинаида:

    Здравствуйте Сергей! Воспользовалась вашими советами и рекомендациями по поводу защиты блога от взлома. Очень нужная и полезная информация. Спасибо большое. Но возник один вопрос: нужно ли после переименовывания файла wp-login.php переименовывать wp-login.php в robots txt? Спасибо. Удачи и дальнейшего процветания вашему блогу!

    Ответить

    • Сергей Саранчин:

      Здравствуйте, Зинаида!
      Очень рад, что вам пригодилась эта информация!
      Да, на всякий случай нужно добавить новое название файла в robots.txt,
      чтобы поисковик не забрал эту страницу в индекс.
      Спасибо за высокую оценку моему блогу и также желаю удачи!

      Ответить

      • Alexandr:

        Смена wp-login.php на open.php всегда помогает скрыть вход в админку? Или хакеры могут найти её после смены входа?

        Ответить

        • Сергей Саранчин:

          Александр, хороший хакер всё сможет найти, а вот дилетант не всегда. Как бы то ни было я считаю самой главной защитой любого блога и сайта — резервное копирование! :grin:

          Ответить

          • Alexandr:

            Хорошему хакеру любительские сайты не нужны. А дилентанту нужны ради самого процесса взлома.

            Ответить

          • Alexandr:

            Резервное копирование и от самого себя надо делать. Сам со своим блогом можешь такое учудить…

            Ответить

          • Виталий Охрименко:

            Я перед любыми ковыряниями делаю резервные копии, чтобы потом быстренько вернуть все на место в случае чего

            Ответить

      • Александр:

        А не станет ли такое действие подсказкой для злоумышленника?
        Файл robot.txt можно прочесть?

        Ответить

        • Сергей Саранчин:

          Да, файл этот можно с лёгкостью прочесть. И на него нельзя делать редирект, так как этот файл для роботов. Мне кажется не стоит сильно заморачиваться с защитой. Я думаю лучшая защита блога — это своевременно делать резервное копирование файлов и базы данных! :oops:

          Ответить

    • Alexandr:

      Нужно Зинаида менять имя, иначе проиндексирует файл.

      Ответить

  12. Коля:

    Спасибо, очень полезная инфа

    Ответить

    • Alexandr:

      Главное систематизирована и пронумерована. Всё в одном месте и бегать никуда не надо.

      Ответить

      • Виталий Охрименко:

        Да, согласен, все по полочкам, без воды.

        Мне вообще очень нравится как Сергей умеет доносить информацию. Респект автору!!

        Ответить

        • Сергей Саранчин:

          Спасибо, Виталий!
          Хотя и у меня бывают пробелы в статьях. Однако их в любой момент можно закрыть с помощью обсуждения в комментах :cry:

          Ответить

  13. Alexandr:

    Сколько же нужно сделать, чтобы защитить сайт от взлома… Логин и пароль заменить несложно, а в код лезть боюсь.

    Ответить

    • Сергей Саранчин:

      Да, проделать нужно многое. По правде говоря бояться здесь нечего. Главное сделать перед всеми изменениями резервное копирование, чтобы была возможность всё вернуть на прежнее место

      Ответить

      • Alexandr:

        Боятся нечего профессионалам как Вы. Я боюсь файлы переименовывать. Не тот файл переименуешь и сайт накрылся.

        Ответить

        • Виталий Охрименко:

          Бекап делать надо. Я себе сайт накрыл как-то, сделал бекап и вскоре хочу на вторую попытку зайти

          Ответить

        • Игорь:

          Это же не проблема.Делаете откат и все вернулось на место.
          Просто регулярно делайте копирование сайта.
          Это можно делать разными способами,к примеру Бекап.

          Ответить

  14. Alex:

    Спасибо!

    Ответить

  15. Виталий Охрименко:

    Ох какая полезная статья. Пока то вряд ли найдутся злоумышленники которые захотят мой блог вскрыть, но со временем можно этого ждать. Нужно будет обязательно заняться безопасностью, береженого и бог бережет, а небереженого конвой стережет :x

    Ответить

    • Сергей Саранчин:

      Согласен, обратите своё внимание на этот аспект, пока не поздно :shock:

      Ответить

      • Виталий Охрименко:

        Сомневаюсь что кто-то заинтересуется моим молодым блогом, но береженного, как известно и Бог бережет, а неберженного конвой стережет :!:

        Ответить

  16. Виталий Охрименко:

    Я уже подумывал про то, что пора бы защитить блог от возможных атак. Прямо сейчас это и сделаю, хорош тянуть кота за ;-)

    Позже отпишусь о результатах

    Ответить

    • Сергей Саранчин:

      Ок, Виталий, будем ждать отчёта о проделанной работе :smile:

      Ответить

      • Виталий Охрименко:

        Ну вот и дождались. Как я не люблю ковыряться во всей этой системе. Знаний то кот наплакал, приходится все методом проб и ошибок. Оно конечно классно, учишься постоянно, но только эти учения меня скоро седым сделают :lol:

        Ответить

        • Сергей Саранчин:

          Виталий, вообще по правде говоря, судя по тематике вашего блога и нежеланию возиться с кодами и WordPress, я вам советую привлекать к решению данных проблем профессионалов.
          Так будет быстрее и эффективнее.
          Про себя скажу, что на этом блоге делал всё сам, так как тематика обязывает. Единственное, что заказал — микроразметку shema.org у Руслана. И вроде нет седых волос :cry:

          Ответить

          • Alexandr:

            Сколько отдали Руслану за микроразметку shema.org? Быстро сделали Вам её?

            Ответить

          • Сергей Саранчин:

            Да, Руслан Белый быстро её сделал! За один день, по-моему. Он профессионал в этом деле!
            Отдал в своё время 1000 рублей и не пожалел! Работа на совесть.
            Но теперь он врятли возьмется за подобную работу — времени нет. Он сейчас занят школой блогеров с Александром Борисовым. :smile:

            Ответить

          • Alexandr:

            Вот что значит руку набить. Вы бы тоже так могли зарабатывать. У Вас к этому способности есть.

            Ответить

          • Сергей Саранчин:

            :smile: Я знаю, но мне не хочется тратить время на чужие сайты и блоги. У меня его мало:семья, ребёнок, работа и т.д.

            Ответить

          • Виталий Охрименко:

            Меня жаба душит привлекать профессионалов, да и к тому же если собираюсь задержаться в блогосфере (а я собираюсь) нужно всему этому учиться. Это очень перспективная ниша.

            Я, кстати, микроразметку сам сделал, да и все на блоге сам сделал. Видели бы вы мой шаблон в самом начале, такой угрюмый был. Мне нравится в кодах ковыряться, но это столько сил и времени занимает, ужас просто

            Ответить

          • Сергей Саранчин:

            Виталий, а мой стандартный шаблон вы сможете увидеть на моём тестовом сайте — test.saranchinsergey.ru

            Ответить

        • Игорь:

          Ну если так рассуждать.
          То почти все блогеры должны седыми ходить.

          Ответить

    • Виталий Охрименко:

      Фух, сделал вроде все…только один маленький бок, скоро шаблон поменяю и надо будет не забыть там файлы ковырнуть…и еще бы пароль от админки самому не забыть

      Ответить

      • Сергей Саранчин:

        Отлично, поздравляю! Да, пароль не желательно терять :grin:

        Ответить

        • Виталий Охрименко:

          Блин, это жесть.
          В статье категорически не хватает данных, что после изменения пароля к базе данных нужно его поменять в файле wp-config…20 минут блог не работал пока разобрался

          И хоть ты тресни не могу понять куда подевалась моя граватарка из собственных комментариев…остальные есть, а моей нет

          Ответить

          • Сергей Саранчин:

            Виталий, заметьте, в статье подробно не расписывается о замене пароля к базе данных. Только к административной панели WordPress.
            Смена пароля я базе данных не обязательна. Это как совет.
            Да, действительно, если Вы решили сменить логин и пароль к базе, то нужно их также менять в файле wp-config.php

            Ответить

          • Виталий Охрименко:

            Так надо бы расписать. А то вы написали о том, что нужно бы пароль поменять, но при этом не расписали как блог от падения спасти при таком подходе

            Ответить

          • Сергей Саранчин:

            Виталий, вот для этого и нужна форма для комментариев, чтобы в любой момент можно было у автора спросить и решить проблему за 1 минуту.

            Ответить

          • Виталий Охрименко:

            Согласен!

            Но статью я бы все-таки рекомендовал Вам дополнить

            Ответить

          • Игорь:

            Виталь,зато получил опыт.
            Самое главное что все получилось.

            Ответить

  17. Виталий Охрименко:

    Причем попробовал не из под админки оставить коммент — все в порядке, а из под админки такая лобуда получается

    Ответить

    • Сергей Саранчин:

      Всё правильно. Так и должно быть :smile:

      Ответить

      • Виталий Охрименко:

        Я вчера слишком эмоционален был и не сумел мысль донести. Получилось что из под админки пропала аватарка на граватаре, хотя адресы электронной почты я не менял. Вписываю как незарегестрированный — все в порядке, а вхожу в админку коммент проходит без граватара да вдобавок еще и пропала аватарка со всех предыдущих комментариев

        Ответить

        • Сергей Саранчин:

          Попробуйте отключить плагин кеширования, зайти в админку и посмотреть на свой аватар.
          Если ситуация не изменится, советую сделать бэкап базы данных и файлов, чтобы время не терять :oops:

          Ответить

          • Виталий Охрименко:

            Ничего не изменилось, бекап сделал. Фух, наверное пока разберусь со всеми премудростями wordpress успею поседеть и дочку замуж выдать

            Ответить

          • Сергей Саранчин:

            Ничего, все со временем по-любому поседеем :cry:

            Ответить

          • Alexandr:

            Когда поседеем появятся движки лучше вордпресса.

            Ответить

          • Игорь:

            Хах,поседеть можно за несколько часов.
            :lol:

            Ответить

          • Лариса:

            да и за несколько минут тоже…

            Ответить

  18. Виталий Охрименко:

    Сергей, спасайте — помогайте!

    Ответить

    • Сергей Саранчин:

      После каких изменений ваш блог перестал работать, Виталий?

      Ответить

      • Виталий Охрименко:

        Скорее всего после ковыряний с БД

        Ответить

  19. Виталий Охрименко:

    Блин, сделал бекап, завтра снова попробую на свежую голову

    Ответить

  20. Виталий Охрименко:

    Капец, не знаю где получился лаг, но после восстановления я проверил и спать погнал. А утром выяснилось что у меня сайт всю ночь вообще не работал..

    Интересно, поисковики за такую ошибку никак не накажут?

    Ответить

    • Сергей Саранчин:

      А что за лаг получился?
      За наказание не переживайте — не так уж и серьёзно. У всех бывает и мой блог тоже не исключение. :grin:

      Ответить

      • Виталий Охрименко:

        Я все пароли поменял, и на админке, и на базе данных, и на FTP — короче везде где мог.
        И вышло так, что по каким-то непонятным мне причинам после бекапа сайта и БД получилось что нет привязки к БД…где так получилось, я точно не понял, но скорее всего в этом же config.php

        Блин, хоть ты тресни не могу понять где я перед Яшей (он же яндекс) провинился, позиции уже который день падают и я не знаю что с этим делать

        Ответить

        • Сергей Саранчин:

          Сейчас вроде ваш блог работает. А насчёт позиций я уже ответил, что не всё так просто.
          Позиции с Google на месте?

          Ответить

          • Виталий Охрименко:

            Да, в гугле только растут! пока что

            Ответить

          • Сергей Саранчин:

            Хм..интересная статистика… :grin:

            Ответить

          • Виталий Охрименко:

            Очень интересная. Гугль всегда отставал, а тут 29 числа получилось скрещивание, и теперь гугл вверху а яндекс внизу…я вот думаю, никак я не мог залететь под АГС…хотя никаких исскуственных махинаций с сайтом не делал, по идее не должен был

            Ответить

  21. Alexandr:

    А если сайт на Денвере его тоже защищать нужно?

    Ответить

    • Сергей Саранчин:

      Интересный вопрос. От кого бы его защитить? Если только от себя :cry:

      Ответить

      • Alexandr:

        Для проверки работоспособности кода и его устойчивости к взлому.

        Ответить

        • Сергей Саранчин:

          А ну тогда согласен. Нужно протестировать!

          Ответить

  22. Alexandr:

    У Вас по wp-admin страница со словами «Чтобы продолжить работу с сайтом, пожалуйста, нажмите кнопку «Продолжить» показывается. Сами страницу делали?

    Ответить

    • Сергей Саранчин:

      Нет, я её не делал, просто скрыл вход в админку и всё :smile:

      Ответить

      • Виталий Охрименко:

        Опана, а в статье я что-то не нашел как скрыть вход в админку

        Ответить

        • Сергей Саранчин:

          Как не нашли, Виталий? А пункт 6 ? :oops:

          Ответить

  23. Alexandr:

    Вы не поменяли префикс таблиц базы данных. Для безопасности рекомендуют сменить префикс.

    Ответить

    • Сергей Саранчин:

      Александр, а можно поконкретнее. Заинтриговали :smile:

      Ответить

      • Alexandr:

        Я не знаю, как конкретнее. Командную строку открываете и пишете. Можно в Инете почитать как команда работает.

        Ответить

        • Сергей Саранчин:

          Окей, попробуем, Александр!

          Ответить

  24. Alexandr:

    Options All -Indexes команда позволит закрыть обзор директорий. Она закрывает от просмотра, а от скачивания?

    Ответить

    • Сергей Саранчин:

      А от скачивания нужно права доступа к папкам менять на хостинге :grin:

      Ответить

      • Alexandr:

        В смысле их сам блогер меняет?

        Ответить

        • Сергей Саранчин:

          Конечно, к каждой папке можно изменить права доступа: чтение, редактирование и т.д.

          Ответить

  25. Ольга:

    Здравствуйте, Сергей. У меня не получился редирект с wp-admin на главную страницу. В коде свои ссылки надо дописывать или я что-то просто не так сделала? Перебрасывает на новый wp-login

    Ответить

    • Сергей Саранчин:

      Здравствуйте, Ольга!
      Проверьте ещё раз правильность своих действий (как описано в статье) :oops:

      Ответить

  26. Оксана:

    Этот вариант подходит только для WordPress. А я нашла универсальный вариант защиты админки посредством .htaccess + .htpasswd не только для WordPress, но и и для других популярных CMS, таких как Joomla и DLE. Способ очень простой, описан в блоге Руслана Баночкина. Мне этот способ больше понравился. Можете почитать кому интересно.

    Ответить

  27. Слава:

    а зачем делать редирект с wp-admin?

    Ответить

    • Сергей Саранчин:

      Чтобы злоумышленники, которые любят подбирать пароли на стандартной странице входа в панель администрирования перенаправлялись на блог :cry:

      Ответить

  28. Людмила:

    Здесь часть основная для защиты, а вот как спастись от телепортов и других грабов?

    Ответить

  29. Вероника:

    :smile: Спасибо за подсказку переадресации ….до этого еще не доходила. Теперь хоть знаю как это делать!

    Ответить

    • Сергей Саранчин:

      Пожалуйста, Вероника, используйте :oops:

      Ответить

      • Вероника:

        Сергей спасибо , сделала все как у вас. Теперь страница login.php остается рабочей )))) в нее можно вписать пароль и логин…а вот пробиться на сайт уже никак!!! Это здорово. В день до 2000 попыток входа было. :idea:

        Ответить

        • Сергей Саранчин:

          Пожалуйста, Вероника, пользуйтесь :oops:

          Ответить

        • Игорь:

          Вероника,это атака бота была.Кто то тщательно хотел взломать вам блог.

          Ответить

        • Екатерина:

          Ничего себе, Вероника. Не повезло Вам. Недоброжелатели серьезно были настроены.

          Ответить

  30. Наталья Краснова:

    Прочитала вашу статью и оказалось, что я недостаточно еще поработала над безопасностью своего блога.

    Ответить

    • Сергей Саранчин:

      Значит пора ещё немного поработать, Наталья :smile:

      Ответить

  31. Наталья Краснова:

    Задержалась сегодня на вашей страничке. Все таки для меня лучше установить плагин, чем удалять какие-то строчки. Сломать можно быстро, а вот правки внести…

    Ответить

    • Сергей Саранчин:

      Как говорится Ломать — не строить :arrow:

      Ответить

    • Игорь:

      Наталья,создайте тестовый блог и там тренируйтесь.

      Ответить

      • Екатерина:

        Хороший вариант. Чаще всего так многие и делают. А потом переносят на основной блог.

        Ответить

  32. juliadiets.com:

    При поступлении обновлений для самого движка и установленных плагинов обновляйтесь. В свежих версиях скриптов всегда найденные уязвимости устраняются. Обновление сайта это шаг серьезный и достаточно рискованный. Потому перед выполнением не забудьте сделать бекап всех ваших данных. Очень не редко обновление системы проходит не так гладко, как хотелось бы.

    Ответить

  33. Александра:

    Отличные советы. Спасибо. У меня один вопрос. Я добавила Options All -Indexes в файл htaccess. Прверила страницы с плагинами и вп-контент, они пустые, но когда я на сайте просматриваю код страницы, то вижу названия всех своих плаги нов. Т е высвечивается нечто подобное

    Такого ведь не должно быть? Как исправить?

    Ответить

    • Александра:

      не высветилась строчка, которую я скопировала из кода. В общем, там высвечивается нечто подобное:
      название сайта/вп-контент/плагины/название плагина/….

      Ответить

    • Сергей Саранчин:

      Здравствуйте, Александра!
      Всегда рад помочь моим коллегам и спасибо Вам за высокую оценку данной статьи моего проекта!
      Пришлите, пожалуйста, ссылку на скриншот участка кода, чтобы я смог проанализировать Вашу проблему.

      Ответить

      • Александра:

        Сергей, спасибо большое за ответ.
        Не знаю, как прислать скриншот, высылаю ссылку на мой сайт:
        .www.clothesbook.website
        Это тестовый сайт, так что не обращайте внимания на содержание.
        Сейчас у меня Options All -Indexes прописано в htaccess.
        Если не затруднит, посмотрите, пожалуйста, в чем может быть проблема

        Ответить

  34. dveri-z:

    Спасибо большое, за статью все ясно и понятно

    Ответить

    • Сергей Саранчин:

      Всегда пожалуйста! Рад был помочь :smile:

      Ответить

  35. Любовь:

    Здравствуйте, Сергей! Спасибо за полезную информацию. Возникли проблемы и я воспользовалась Вашими советами. Отличный сайт!

    Ответить

    • Сергей Саранчин:

      Приветствую Вас, Любовь!
      Весьма рад, что информация Вам помошла и всё проблемы разрешились :oops:
      Благодарю за высокую оценку моему проекту!

      Ответить

  36. Julia:

    удалите неиспользуемые плагины, темы и неактивных пользователей . Неиспользуемые и даже не активированные плагины и темы могут послужить злоумышленнику в поисках узких мест в вашем сайте, не дайте ему такой возможности.

    Ответить

  37. Денис:

    :| Большое спасибо за ваши советы на своем сайте настроил :-) надеюсь, что это защитит его от взлома

    Ответить

    • Сергей Саранчин:

      Всегда пожалуйста, Денис! Рад был помочь :cry:

      Ответить

  38. Александр:

    Скрытие входа в админку выходит с Wp-admin.
    Если пишешь wp-login.php, то все равно попадаешь на редирект. Что делать?

    Ответить

    • Сергей Саранчин:

      Александр, по идее, у вас не должно быть редиректа с wp-login.php, если Вы ничего не прописывали в файлах движка или htaccess. :grin:

      Ответить

      • Александр:

        Ну я все сделал по инструкции, по почему-то когда я записывал Wp-login.php попадал на созданную страницу входа… Решил проблему следующим образом создал файл wp-login.php и прописал в нем редирект на главную страницу. И теперь вход в админку доступен только с нужной мне страницы.

        Еще вопрос, сайт не мой, до него им куча народу занималась, подскажите если нет robot.txt но моя страничка созданная не проиндексируется? Просто этого файла я на фтп вообще не вижу)

        Ответить

        • Сергей Саранчин:

          Странно…А с редиректом Вы правильно сделали, это как вариант самый простой!
          Ну почему же. Станица проиндексируется и без robot.txt. Он в основном необходим для ограничения индексации ненужных страниц и разделов.
          Если хотите, чтобы робот быстрее обошёл новую страницу добавьте адрес страницы в инструменты вебмастера Яндекс или Гугл.

          Ответить

          • Fktrcfylh:

            Вопрос в другом был, мне очень не хочется, чтоб моя страница входа в админ панель была проиндексирована.
            в коде есть вот это:

            // Don’t index any of these forms
            add_action( ‘login_head’, ‘wp_no_robots’ );

            add_action( ‘login_head’, ‘wp_login_viewport_meta’ );

            Это не дает возможности индексации, я правильно понимаю?

            Ответить

          • Сергей Саранчин:

            Где Вы прописываете этот код? Я так понимаю в файле htaccess? По идее не должен индексировать, но нужно проверять этот код. Будет ли робот забирать страницу входа в индекс. Вебмастерс Гугл и Яндекс поможет это определить.

            Ответить

  39. Анна:

    Сергей, здравствуйте! Спасите меня, пожалуйста, ну или хотя бы мой сайт…. Согласно статье дошла до пункта 7 (редирект). Открыла нужный файл, вставила, обновила… И теперь в принципе не работает сайт… Из аргументов: «Сайт whilst.ru пока не может обработать этот запрос.
    HTTP ERROR 500″. И вот тут я решила воспользоваться теми самыми резервными копиями, но положение это не спасло.
    Подскажите, пожалуйста, как все исправить?

    Ответить

    • Анна:

      Не подумала что в тексте используется название сайта. Если политически не верно указывать на Вашем сайте прошу прощения…

      Ответить

      • Сергей Саранчин:

        Указывать можно свой сайт, я разрешаю))

        Ответить

    • Сергей Саранчин:

      Здравствуйте, Анна. Проблема ещё не решена?

      Ответить

      • Анна:

        Сергей, не, не решена… в виду отсутствия понимания за что хвататься, что делать…

        Ответить

        • Сергей Саранчин:

          Понятно, напишите ссылку на сайт

          Ответить

        • Сергей Саранчин:

          Сейчас отвечу Вам на почту

          Ответить


НАПИШИТЕ СВОЙ ПЕРВЫЙ КОММЕНТАРИЙ НА ЭТОМ БЛОГЕ И ПОЛУЧИТЕ ПОДАРКИ!

Нажимая кнопку "ОТПРАВИТЬ" комментарий, Вы принимаете пользовательское соглашение и подтверждаете, что ознакомлены и согласны с политикой конфиденциальности этого сайта.

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: