Надёжная защита WordPress от взлома
Здравствуйте читатели и посетители блога saranchinsergey.ru!
В этой статье отведу особое место очень важной теме. Сегодня буду рассказывать о том, как защитить свой блог под управлением популярной системы WordPress от взлома недоброжелателей.
Как защитить wordpress от взлома? В чём заключается защита wordpress?
Нужна ли Вам защита wordpress?
Согласно статистике, основная масса начинающих вебмастеров даже не думают об этом. Создают блоги, сайты, нашпиговывают их плагинами, пишут кучу статей.
Озарение наступает позже, когда их драгоценный раскрученный ресурс с хорошей посещаемостью просто взламывают злоумышленники.
Цель у взломщиков может быть разная: от размещения на Вашем блоге различной рекламы до полного присвоения блога себе или полного удаления.
И если Вы читали внимательно мою предыдущую статью о том, как сделать резервное копирование блога и уже применяете эти знания на практике, то Вы будите в выигрыше. Вы всегда сможете его восстановить.
Однако, зачем тратить свое драгоценное время на восстановление своего ресурса, когда его можно просто заранее обезопасить. Сэкономленное время и нервы Вы сможете направить на написание новой статьи, оптимизации блога или изучения новой и полезной информации. Это будет намного эффективнее.
Так что советую Вам изучить данную статью и сразу же применить полученные знания по защите WordPress на практике.
В том случае если у Вас молодой блог, и Вы считаете, что никто не будет его взламывать, то может Вы и правы.
Но ведь когда то он будет более узнаваем и посетителей станет больше. Он окажется лакомым куском для взломщиков. Это может произойти в любой день, поэтому предлагаю Вам сейчас же, без отлагательств обезопасить свой блог.
Методики, которые я буду описывать, просты в применении и эффективны. Все описанные способы опробованы мной на практике, действуют и дали положительный результат.
Какова же реальная защита wordpress? Итак, начнем.
Способы защиты wordpress от злоумышленников
1. Измените стандартный логин в WordPress на свой.
По умолчанию WordPress предлагает Вам для авторизации в системе логин admin, который нельзя изменить в самой административной панеле блога. Вам нужно его изменить на любой другой.
Для этого необходимо войти в панель управления вашего хостинг-провайдера, кликнуть по вкладке Mysql и затем зайти в Php My Admin. Логин и пароль для входа предоставляет хостинг.
При входе на главной странице в левой колонке кликаем по своей базе данных. Нам откроется список всех таблиц нашей базы. Нажимаем на пункт под названием wp_users. Обратите внимание на верхнюю панель Php My Admin- должна быть открыта вкладка «Обзор»!
После этого в строке админ нажимаем на Изменить и в появившемся полях меняем логин admin в двух местах на свой.
Не забудьте после этого нажать кнопку Ок, которая находится в нижней части таблицы( на скриншоте не указана):
2. Придумайте и создайте надежный пароль для входа в админку сайта.
Стоит заметить, что существуют различные плагины, которые ограничивают попытки ввода пароля в админку. Например не более трех раз. После этого они блокируют доступ на определенное время.
Один из таких плагинов Login LockDown или Limit Login Attempts.
Однако, постоянные читатели моего блога знают, что я не люблю плагины из-за того, что в них много лишнего, они дополнительно нагружают сервер и созданы незнакомыми мне людьми.
Я всеми силами стараюсь заменять плагины кодами на своем блоге и Вам советую поступать также. Хотя выбор каждый делает сам.
Вместо этих плагинов, я предлагаю придумать надёжный пароль к админке сайта, состоящий из цифр, букв и знаков препинания.
У меня, например, пароль к админке состоит из более чем 20 знаков. Так будет надежнее. Поменять пароль проще простого. Вы можете это осуществить в админпанеле своего блога.
Зайдите в меню админки слева во вкладку Пользователи и в выпадающем списке выберите пункт Ваш профиль:
Опуститесь вниз этой страницы и найдите раздел Обо мне. Там будет два поля: Новый пароль и Повторите новый пароль. В этих полях введите свой пароль и не забудьте внизу нажать кнопку Обновить профиль. Вот и всё.
3. Удалите ненужные файлы.
В корне Вашего сайта есть два файла readme.html и license.txt. Они Вам не пригодятся, однако для взломщиков будут весьма полезны.
Они, как раз сообщат нехорошим парням версию Вашей системы WordPress и много другой нужной им информации для взлома.
Также зайдите в админпанель в меню слева во вкладку Внешний вид и в выпадающем списке выберите Редактор и откройте файл header.php.
С помощью поиска найдите строчку :
<meta name= "generator" content= "WordPress ...3.8.1" />и удалите ее. Она показывает версию Вашей системы WordPress.
Вызвать поиск можно нажав две клавиши Ctrl+F. Откроется окошко поиска. Вот туда и нужно ввести эту строку. Затем нажать Enter.
Если похожая комбинация есть в коде файла, она подсветится. Если такой строчки нет, будет написано: Ничего не найдено. В таком случае можете успокоиться. Ничего делать не нужно
4. Делайте резервное копирование базы данных и файлов
Чуть выше в этой статье я писал ссылку на свою предыдущую статью о резервном копировании своего блога. Прочитайте её обязательно.
Хочу только уточнить, что я уже не пользуюсь плагином wordpress database backup, а копирую базу данных вручную с Php MyAdmin.
Автоматизация конечно хорошо, но безопасность важнее. Мне не составляет труда потратить 2-3 минуты на копирование базы. Себе я больше доверяю, нежели плагину.
Надеюсь Вы сможете экспортировать свою базу данных из Php на свой компьютер. Если не знаете как это сделать-задавайте вопросы, помогу!
5. Закройте обзор своих директорий.
Зайдите в файл .htaccess в корне Вашего сайта через Фтп-клиент. Подробно как это осуществить, читайте ту же статью о Резервном копировании сайта.
И пропишите дополнительную строку:
Options All -IndexesЭта команда позволит закрыть обзор директорий.
Затем проверьте директории:
1. http://ваш блог/wp-content/ 2. http://ваш блог/wp-content/plugins/Пропишите их поочерёдно в адресную строку браузера. После их открытия в браузере не должно быть видно файлов и папок этих директорий.
Если что-то есть, то необходимо исправить ситуацию. Откройте их через Фтп клиент и отредактируйте.
Для этого создайте в каждом из директорий пустой файл index.php. Это простой текстовый файл с расширением .php. Создайте его с помощью Блокнота или Notepad++ и закачайте в директории на сервер.
После нововведений, при открытии каждой из директорий через браузер, должна появляться пустая страница!
6. Смените стандартную страницу входа в админпанель.
В настоящее время участились атаки мошенников по подбору логина и пароля к панели администрирования системы wordpress. Нехорошие парни используют десятки тысяч IP- адресов!
Эта стратегия дает им огромное преимущество. Мы уже ранее поменяли стандартный логин и придумали надежный пароль к своей админпанеле.
Ну а теперь зададим еще одну задачу для хакеров — отыскать наш адрес входа в панель администрирования.
Стандартный адрес страницы входа в панель WordPress: ваш блог/wp-login.php или ваш блог/wp-admin. Мы создадим сейчас свой адрес входа.
Опять же можно это сделать проще- с помощью плагинов, но это не для меня. Тяга к программированию и различным экспериментам не даст мне воспользоваться ими.
Итак, как же изменить адрес входа в админку WordPress вручную? Найдите файл wp-login.php в корневой папке блога.
Осуществляйте все действия по порядку:
- Измените название самого файла wp-login.php на любое другое(например, open.php)
- Скопируйте это название в буфер проводника и откройте переименованный файл open.php и с помощью текстового редактора Notepad ++ замените все слова wp-login.php на open.php.
- Затем откройте другой файл wp-includes/general-template.php и замените все wp-login.php на open.php.
После таких операций адресная строка входа в админпанель сменится с http://ваш блог/wp-login.php на http://ваш блог/open.php
И ещё хочу напомнить, что если Вы до сих пор пользуетесь стандартным виджетом «Мета» — то удалите его, потому как при наведении на эту ссылочку «Войти» виден адрес страницы входа, а значит все усилия по изменению адреса входа напрасны.
Но это ещё не всё. Вы поменяете адрес входа в админку, но нсли мошенник введёт в адресную строку http://ваш блог/wp-admin, то его перенаправит (осуществится редирект) на тот адрес входа в админ-панель, который Вы создали.
Поэтому нам нужно сделать редирект с http://ваш блог/wp-admin на гланую страницу Вашего блога. Читайте далее.
7.Сделайте редирект с wp-admin на Ваш блог.
Сделать это не сложно. Откройте в панели администрирования слева в меню Внешний вид, затем выберите Редактор. Выберите файл для редактирования. В данном случае нас интересует файл Функции темы (functions.php)
Между <?php и ?> Вам нужно вставить следующий код:
add_action( 'init', 'blockusers_init' ); function blockusers_init() { if ( is_admin() && ! current_user_can( 'administrator' ) && ! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) { wp_redirect( home_url() ); exit; } }
Потом просто нажмите внизу кнопку «Обновить файл». Вот и всё. Редирект мы сделали.
И ещё несколько советов:
- проверьте все установленные плагины и удалите неиспользуемые;
- сразу же обновляйте версию wordpress и плагинов как только приходит информация об обновлении;
- создайте сложный пароль на панель управления хостингом и базу данных;
- закачивайте файлы на сервер только через панель управления и Php My Admin, а не через Фтп-клиенты;
И ещё одна полезная рекомендация. Если Вы считаете, что не справитесь с этим и Вам нужна помощь в защите своего ресурса, то пишите на почту суперпрограммисту, моему партнёру и просто отличному специалисту — Дмитрию Горунину: gorunk@yandex.ru
Ну вот в принципе и всё! Надеюсь был полезен. До встречи в новых статьях!
Не забудьте подисаться на обновления сайта внизу этой статьи, чтобы не пропустить полезную информацию.
Успехов Вам и Удачи С Уважением,
Комментариев к статье: 178
Нажимая кнопку "ОТПРАВИТЬ" комментарий, Вы принимаете пользовательское соглашение и подтверждаете, что ознакомлены и согласны с политикой конфиденциальности этого сайта.
когда то писал тоже подобную статью. однако факт остается фактом — кому надо — тот сломает
как ни защищай.
Ответить
Часто слышу кому надо, тот взломает. Ну, а кому это так надо ломать Ваш блог?
Ответить
Я думаю конкурентам. И думаю это мало относится к новичкам, только к крутым блогам — тысячникам
Ответить
Но все же сломать будет не легко.
Да и сами взламывать не будут,а нанимать человека за определенное вознаграждение.
Но может и отдача на их блог прилететь.
И сказывается,а стоило ли это того?
Ответить
Те, люди, которые этим занимаются вряд ли боятся, что к ним может прилететь отдача.
Ответить
Причин взломать чужой блог может быть много. Может кто-то просто переделает его под себя, поменяет пароль и ты не сможешь доказать, что это был твой блог.
Ответить
Согласен с тобой, Денис. Однако, взломать будет не так просто, как если бы не защищал
Всё равно как ни крути, даже если взломают-бэкап спасёт по-любому
Вот такая защита WordPress
Ответить
Не каждый взломает это раз. И усилий потребуется много и взломщик подумает, а стоит ли взлом этого.
Ответить
Полностью согласен. Это как в мировой военной стратегии, если видишь что страна хорошо защищена, нападать на нее не станешь.
Ответить
Интересно, а можно ли как-то наказать по закону потом взломщика?
Ответить
Интересный вопрос. Да и было ли такое вообще в судебной практике…?
Ответить
Статья 272 УК РФ (неправомерный доступ к компьютерной информации, или как-то так)
Ответить
Есть интересный плагин для защиты от взлома через подбор паролей, он изменяет адрес входа в админку, но оставляет фальшивую форму по старому адресу. Таким образом, если не знаешь правильного адреса админ панели, то не сможешь в неё войти даже используя правильный пароль.
Называется он Protected wp-login.
Ответить
Хороший плагин, но я предпочитаю меньше ими пользоваться
Ответить
Хороший пароль поставить и все дела. 20 знаков пароля миллион лет перебирать будут.
Ответить
А разве сейчас не существует кучи разнообразных программ для ускорения этого процесса?
Ответить
Существуют, но лишние плагины на сайте не нужны когда есть стойкий пароль.
Ответить
Достаточно всего 20 символов? Я видела пароли в 50-80 символов.
Ответить
Спасибо, полезные советы. Если IP статический еще круто закрыть папки wp-admin и wp-includes через .htaccess для всех IP-адресов, кроме того, с которого заходите в админку WordPress.
Ответить
Согласен, Иван. Я не рассмотрел этот вариант. Наверно, всё это потому что у меня IP динамический
Ответить
У многих динамический IP. Можно сервисами динамический адрес привязать к статическому, но там нюансы есть.
Ответить
Вот на такие нюансы и тратится большая часть времени
Ответить
Да. Если за бесплатно привязывать не факт, что завтра денег не потребуют, а у вас на IP сайт.
Ответить
Слишком опасно. В Вашем случае заходить в админку придётся с одного места, а это не всегда удобно.
Ответить
Тоже верно, Александр!
Иногда приходится не только дома сидеть или на работе.
Вдруг будет возможность в интерне-кафе сходить и поработать на блоге и тут бац — зайти нельзя
Ответить
В таком случае можно зайти на хостинг и сбить эти настройки временно.
Хотя сам не считаю что это удобно!
Ответить
Вы можете в командировку уехать, в отпуск. Да мало ли куда. Или вдруг регистратор IP отберёт?
Ответить
Сергей, для меня ваш сайт оказался весьма полезным. За что вам, как автору, отдельное СПАСИБО!
Я недавно создала свой сайт. Только осваиваю самые азы. Следуя вашим советам, удалила папки readme.html и license.txt Еще у меня есть созвучные папки с названиями licencia.txt, licenza.html, liesmich.html, redme-ya.html. Их трогать не следует?
Ответить
Здравствуйте, Елена! Рад знакомству
Что касается этих файлов, которые созвучны с readme и license, то мне кажется нужно попробовать и их удалить.
Только не забудьте перед этим сделать резервное копирование сайта. Если WordPress выдаст ошибку, Вы всегда сможете всё восстановить, закачав их обратно на сервер
Удачи Вам в развитии Вашего нового сайта!
Ответить
Удаляйте смело их. Это файлы на разных языках. Вы мультиязычную версию установили.
Ответить
Хороший материал. Ещё надо добавить, что чтобы снизить нагрузку от перебора паролей, создайте http авторизацию.
Ответить
Почему все уделяют внимание админке. Не думаете что есть другие способы взлома не через админку?
Ответить
…например через FTP
Ответить
Через FTP тяжело взломать.Быстрее через админку вскроют.
Ответить
Красавчик! Аж духом воспрянул! Спасибо.
Ответить
Ответить
чет у меня не получилось, поменял все wp-login.php на свое,скопировал вставил в код и пипец я не могу зайти к себе в админку какой путь прописывать и что делать не знаю!!! но при вводе мой сайт/тырыпыры.php белый лист и все тут.
Ответить
Юрик, если вы делали перед изменением резервное копирование файлов, то вернуть всё на прежнее место не составит особого труда.
Просто удалите файл wp-login.php и залейте старый на его место. Вот и всё.
Ответить
вернуть то не сложно но хотелось бы разобраться в чем дело! может есть предположения по чему не выходит?
Ответить
Скорее всего, вы изменили не все wp-login.php
Проверьте ещё раз.
Для поиска в файлах темы wp-login.php используйте сочетание клавиш Ctrl+F
Так вы точно ничего не просмотрите!
Ответить
Сергей! все ок)))) просмотрел код оказалось одну строку неправильно изменил!))) вместо wp-login.php нечаянно зацепил WP-admin исправил все работает. Спасибо большое за статьи!))))
Ответить
Вот я поэтому и боюсь переименовывать, зацепишь случайно что-нибудь, потом сиди разбирайся часами в коде. Мне кажется что пароль установить на сайт важнее.
Ответить
Всегда пожалуйста, Юрий!
Рад был помочь.
Обращайтесь если что-то не понятно будет
Ответить
Сергей, Вам хорошо. У вас есть тяга к программированию и различным экспериментам. Как быть у кого такой тяги нет? Эксперименты для тех у кого много свободного времени, а у меня его нет.
Ответить
Согласен, эти эксперименты, а особенно если плохо в теме разбираешься, могут столько времени бесполезно отнять.
У меня были случаи когда ковырял что-то, ковырял, а потом бац — и пропало все. Вернул на прежнее место, день пропал, результат нулевой, ничему не научился
Ответить
Виталий, это Вы зря…Любое ковыряние прибавляет вес к вашему опыту. Ничего бесследно не пропадает
Ответить
Здравствуйте ))
Меня заинтересовал 4 пункт вашей статьи подскажите пожалуйста как скопировать базу данных вручную с Php MyAdmin ??
Ответить
Здравствуйте, Rafael!
Это сделать очень просто!
Заходите в Php MyAdmin, затем слева в панели выбираете вашу вашу данных(нажимаете на нее).
После этого нажимаете вверху вкладку «Экспорт», а потом внизу кнопку «Ок»
Вот и всё. Ваша база данных автоматически скопируется на ваш компьютер!
Ответить
Php MyAdmin самому ставить нужно или у хостера он установлен сразу?
Ответить
Php MyAdmin у хостинг компании должен быть
Ответить
Хорошо что у хостинг компании должна быть программа, не самому ставить. Всё легче.
Ответить
Можно через дос попробовать mysqldump –uUSERNAME –pPASSWORD DATABASE > DATABASE.sql
Ответить
Хм..интересно. Хотелось бы поподробнее. Как это осуществить?
Ответить
В командной строке вводить надо. Вместо USERNAME Ваш логин, вместо PASSWORD пароль. Имя б/д, имя создаваемого файла.
Ответить
mysqldump — утилита командной строки для бекапа. Я думал Вы в курсе этого. Попробуйте сами.
Ответить
Нет, не в курсе. Я живой человек и могу тоже не знать многого. Спасибо за информацию, Александр!
Ответить
Я пробовал, у меня получалось. Но тогда инет был у меня слабый, долго качалось.
Ответить
Здравствуйте Сергей! Воспользовалась вашими советами и рекомендациями по поводу защиты блога от взлома. Очень нужная и полезная информация. Спасибо большое. Но возник один вопрос: нужно ли после переименовывания файла wp-login.php переименовывать wp-login.php в robots txt? Спасибо. Удачи и дальнейшего процветания вашему блогу!
Ответить
Здравствуйте, Зинаида!
Очень рад, что вам пригодилась эта информация!
Да, на всякий случай нужно добавить новое название файла в robots.txt,
чтобы поисковик не забрал эту страницу в индекс.
Спасибо за высокую оценку моему блогу и также желаю удачи!
Ответить
Смена wp-login.php на open.php всегда помогает скрыть вход в админку? Или хакеры могут найти её после смены входа?
Ответить
Александр, хороший хакер всё сможет найти, а вот дилетант не всегда. Как бы то ни было я считаю самой главной защитой любого блога и сайта — резервное копирование!
Ответить
Хорошему хакеру любительские сайты не нужны. А дилентанту нужны ради самого процесса взлома.
Ответить
Резервное копирование и от самого себя надо делать. Сам со своим блогом можешь такое учудить…
Ответить
Я перед любыми ковыряниями делаю резервные копии, чтобы потом быстренько вернуть все на место в случае чего
Ответить
А не станет ли такое действие подсказкой для злоумышленника?
Файл robot.txt можно прочесть?
Ответить
Да, файл этот можно с лёгкостью прочесть. И на него нельзя делать редирект, так как этот файл для роботов. Мне кажется не стоит сильно заморачиваться с защитой. Я думаю лучшая защита блога — это своевременно делать резервное копирование файлов и базы данных!
Ответить
Нужно Зинаида менять имя, иначе проиндексирует файл.
Ответить
Спасибо, очень полезная инфа
Ответить
Главное систематизирована и пронумерована. Всё в одном месте и бегать никуда не надо.
Ответить
Да, согласен, все по полочкам, без воды.
Мне вообще очень нравится как Сергей умеет доносить информацию. Респект автору!!
Ответить
Спасибо, Виталий!
Хотя и у меня бывают пробелы в статьях. Однако их в любой момент можно закрыть с помощью обсуждения в комментах
Ответить
Сколько же нужно сделать, чтобы защитить сайт от взлома… Логин и пароль заменить несложно, а в код лезть боюсь.
Ответить
Да, проделать нужно многое. По правде говоря бояться здесь нечего. Главное сделать перед всеми изменениями резервное копирование, чтобы была возможность всё вернуть на прежнее место
Ответить
Боятся нечего профессионалам как Вы. Я боюсь файлы переименовывать. Не тот файл переименуешь и сайт накрылся.
Ответить
Бекап делать надо. Я себе сайт накрыл как-то, сделал бекап и вскоре хочу на вторую попытку зайти
Ответить
Это же не проблема.Делаете откат и все вернулось на место.
Просто регулярно делайте копирование сайта.
Это можно делать разными способами,к примеру Бекап.
Ответить
Спасибо!
Ответить
Ох какая полезная статья. Пока то вряд ли найдутся злоумышленники которые захотят мой блог вскрыть, но со временем можно этого ждать. Нужно будет обязательно заняться безопасностью, береженого и бог бережет, а небереженого конвой стережет
Ответить
Согласен, обратите своё внимание на этот аспект, пока не поздно
Ответить
Сомневаюсь что кто-то заинтересуется моим молодым блогом, но береженного, как известно и Бог бережет, а неберженного конвой стережет
Ответить
Я уже подумывал про то, что пора бы защитить блог от возможных атак. Прямо сейчас это и сделаю, хорош тянуть кота за
Позже отпишусь о результатах
Ответить
Ок, Виталий, будем ждать отчёта о проделанной работе
Ответить
Ну вот и дождались. Как я не люблю ковыряться во всей этой системе. Знаний то кот наплакал, приходится все методом проб и ошибок. Оно конечно классно, учишься постоянно, но только эти учения меня скоро седым сделают
Ответить
Виталий, вообще по правде говоря, судя по тематике вашего блога и нежеланию возиться с кодами и WordPress, я вам советую привлекать к решению данных проблем профессионалов.
Так будет быстрее и эффективнее.
Про себя скажу, что на этом блоге делал всё сам, так как тематика обязывает. Единственное, что заказал — микроразметку shema.org у Руслана. И вроде нет седых волос
Ответить
Сколько отдали Руслану за микроразметку shema.org? Быстро сделали Вам её?
Ответить
Да, Руслан Белый быстро её сделал! За один день, по-моему. Он профессионал в этом деле!
Отдал в своё время 1000 рублей и не пожалел! Работа на совесть.
Но теперь он врятли возьмется за подобную работу — времени нет. Он сейчас занят школой блогеров с Александром Борисовым.
Ответить
Вот что значит руку набить. Вы бы тоже так могли зарабатывать. У Вас к этому способности есть.
Ответить
Ответить
Меня жаба душит привлекать профессионалов, да и к тому же если собираюсь задержаться в блогосфере (а я собираюсь) нужно всему этому учиться. Это очень перспективная ниша.
Я, кстати, микроразметку сам сделал, да и все на блоге сам сделал. Видели бы вы мой шаблон в самом начале, такой угрюмый был. Мне нравится в кодах ковыряться, но это столько сил и времени занимает, ужас просто
Ответить
Виталий, а мой стандартный шаблон вы сможете увидеть на моём тестовом сайте — test.saranchinsergey.ru
Ответить
Ну если так рассуждать.
То почти все блогеры должны седыми ходить.
Ответить
Фух, сделал вроде все…только один маленький бок, скоро шаблон поменяю и надо будет не забыть там файлы ковырнуть…и еще бы пароль от админки самому не забыть
Ответить
Отлично, поздравляю! Да, пароль не желательно терять
Ответить
Блин, это жесть.
В статье категорически не хватает данных, что после изменения пароля к базе данных нужно его поменять в файле wp-config…20 минут блог не работал пока разобрался
И хоть ты тресни не могу понять куда подевалась моя граватарка из собственных комментариев…остальные есть, а моей нет
Ответить
Виталий, заметьте, в статье подробно не расписывается о замене пароля к базе данных. Только к административной панели WordPress.
Смена пароля я базе данных не обязательна. Это как совет.
Да, действительно, если Вы решили сменить логин и пароль к базе, то нужно их также менять в файле wp-config.php
Ответить
Так надо бы расписать. А то вы написали о том, что нужно бы пароль поменять, но при этом не расписали как блог от падения спасти при таком подходе
Ответить
Виталий, вот для этого и нужна форма для комментариев, чтобы в любой момент можно было у автора спросить и решить проблему за 1 минуту.
Ответить
Согласен!
Но статью я бы все-таки рекомендовал Вам дополнить
Ответить
Виталь,зато получил опыт.
Самое главное что все получилось.
Ответить
Причем попробовал не из под админки оставить коммент — все в порядке, а из под админки такая лобуда получается
Ответить
Всё правильно. Так и должно быть
Ответить
Я вчера слишком эмоционален был и не сумел мысль донести. Получилось что из под админки пропала аватарка на граватаре, хотя адресы электронной почты я не менял. Вписываю как незарегестрированный — все в порядке, а вхожу в админку коммент проходит без граватара да вдобавок еще и пропала аватарка со всех предыдущих комментариев
Ответить
Попробуйте отключить плагин кеширования, зайти в админку и посмотреть на свой аватар.
Если ситуация не изменится, советую сделать бэкап базы данных и файлов, чтобы время не терять
Ответить
Ничего не изменилось, бекап сделал. Фух, наверное пока разберусь со всеми премудростями wordpress успею поседеть и дочку замуж выдать
Ответить
Ничего, все со временем по-любому поседеем
Ответить
Когда поседеем появятся движки лучше вордпресса.
Ответить
Хах,поседеть можно за несколько часов.
Ответить
да и за несколько минут тоже…
Ответить
Сергей, спасайте — помогайте!
Ответить
После каких изменений ваш блог перестал работать, Виталий?
Ответить
Скорее всего после ковыряний с БД
Ответить
Блин, сделал бекап, завтра снова попробую на свежую голову
Ответить
Капец, не знаю где получился лаг, но после восстановления я проверил и спать погнал. А утром выяснилось что у меня сайт всю ночь вообще не работал..
Интересно, поисковики за такую ошибку никак не накажут?
Ответить
А что за лаг получился?
За наказание не переживайте — не так уж и серьёзно. У всех бывает и мой блог тоже не исключение.
Ответить
Я все пароли поменял, и на админке, и на базе данных, и на FTP — короче везде где мог.
И вышло так, что по каким-то непонятным мне причинам после бекапа сайта и БД получилось что нет привязки к БД…где так получилось, я точно не понял, но скорее всего в этом же config.php
Блин, хоть ты тресни не могу понять где я перед Яшей (он же яндекс) провинился, позиции уже который день падают и я не знаю что с этим делать
Ответить
Сейчас вроде ваш блог работает. А насчёт позиций я уже ответил, что не всё так просто.
Позиции с Google на месте?
Ответить
Да, в гугле только растут! пока что
Ответить
Хм..интересная статистика…
Ответить
Очень интересная. Гугль всегда отставал, а тут 29 числа получилось скрещивание, и теперь гугл вверху а яндекс внизу…я вот думаю, никак я не мог залететь под АГС…хотя никаких исскуственных махинаций с сайтом не делал, по идее не должен был
Ответить
А если сайт на Денвере его тоже защищать нужно?
Ответить
Интересный вопрос. От кого бы его защитить? Если только от себя
Ответить
Для проверки работоспособности кода и его устойчивости к взлому.
Ответить
А ну тогда согласен. Нужно протестировать!
Ответить
У Вас по wp-admin страница со словами «Чтобы продолжить работу с сайтом, пожалуйста, нажмите кнопку «Продолжить» показывается. Сами страницу делали?
Ответить
Нет, я её не делал, просто скрыл вход в админку и всё
Ответить
Опана, а в статье я что-то не нашел как скрыть вход в админку
Ответить
Как не нашли, Виталий? А пункт 6 ?
Ответить
Вы не поменяли префикс таблиц базы данных. Для безопасности рекомендуют сменить префикс.
Ответить
Александр, а можно поконкретнее. Заинтриговали
Ответить
Я не знаю, как конкретнее. Командную строку открываете и пишете. Можно в Инете почитать как команда работает.
Ответить
Окей, попробуем, Александр!
Ответить
Options All -Indexes команда позволит закрыть обзор директорий. Она закрывает от просмотра, а от скачивания?
Ответить
А от скачивания нужно права доступа к папкам менять на хостинге
Ответить
В смысле их сам блогер меняет?
Ответить
Конечно, к каждой папке можно изменить права доступа: чтение, редактирование и т.д.
Ответить
Здравствуйте, Сергей. У меня не получился редирект с wp-admin на главную страницу. В коде свои ссылки надо дописывать или я что-то просто не так сделала? Перебрасывает на новый wp-login
Ответить
Здравствуйте, Ольга!
Проверьте ещё раз правильность своих действий (как описано в статье)
Ответить
Этот вариант подходит только для WordPress. А я нашла универсальный вариант защиты админки посредством .htaccess + .htpasswd не только для WordPress, но и и для других популярных CMS, таких как Joomla и DLE. Способ очень простой, описан в блоге Руслана Баночкина. Мне этот способ больше понравился. Можете почитать кому интересно.
Ответить
а зачем делать редирект с wp-admin?
Ответить
Чтобы злоумышленники, которые любят подбирать пароли на стандартной странице входа в панель администрирования перенаправлялись на блог
Ответить
Здесь часть основная для защиты, а вот как спастись от телепортов и других грабов?
Ответить
Ответить
Пожалуйста, Вероника, используйте
Ответить
Сергей спасибо , сделала все как у вас. Теперь страница login.php остается рабочей )))) в нее можно вписать пароль и логин…а вот пробиться на сайт уже никак!!! Это здорово. В день до 2000 попыток входа было.
Ответить
Пожалуйста, Вероника, пользуйтесь
Ответить
Вероника,это атака бота была.Кто то тщательно хотел взломать вам блог.
Ответить
Ничего себе, Вероника. Не повезло Вам. Недоброжелатели серьезно были настроены.
Ответить
Прочитала вашу статью и оказалось, что я недостаточно еще поработала над безопасностью своего блога.
Ответить
Значит пора ещё немного поработать, Наталья
Ответить
Задержалась сегодня на вашей страничке. Все таки для меня лучше установить плагин, чем удалять какие-то строчки. Сломать можно быстро, а вот правки внести…
Ответить
Как говорится Ломать — не строить
Ответить
Наталья,создайте тестовый блог и там тренируйтесь.
Ответить
Хороший вариант. Чаще всего так многие и делают. А потом переносят на основной блог.
Ответить
При поступлении обновлений для самого движка и установленных плагинов обновляйтесь. В свежих версиях скриптов всегда найденные уязвимости устраняются. Обновление сайта это шаг серьезный и достаточно рискованный. Потому перед выполнением не забудьте сделать бекап всех ваших данных. Очень не редко обновление системы проходит не так гладко, как хотелось бы.
Ответить
Отличные советы. Спасибо. У меня один вопрос. Я добавила Options All -Indexes в файл htaccess. Прверила страницы с плагинами и вп-контент, они пустые, но когда я на сайте просматриваю код страницы, то вижу названия всех своих плаги нов. Т е высвечивается нечто подобное
Такого ведь не должно быть? Как исправить?
Ответить
не высветилась строчка, которую я скопировала из кода. В общем, там высвечивается нечто подобное:
название сайта/вп-контент/плагины/название плагина/….
Ответить
Здравствуйте, Александра!
Всегда рад помочь моим коллегам и спасибо Вам за высокую оценку данной статьи моего проекта!
Пришлите, пожалуйста, ссылку на скриншот участка кода, чтобы я смог проанализировать Вашу проблему.
Ответить
Сергей, спасибо большое за ответ.
Не знаю, как прислать скриншот, высылаю ссылку на мой сайт:
.www.clothesbook.website
Это тестовый сайт, так что не обращайте внимания на содержание.
Сейчас у меня Options All -Indexes прописано в htaccess.
Если не затруднит, посмотрите, пожалуйста, в чем может быть проблема
Ответить
Спасибо большое, за статью все ясно и понятно
Ответить
Всегда пожалуйста! Рад был помочь
Ответить
Здравствуйте, Сергей! Спасибо за полезную информацию. Возникли проблемы и я воспользовалась Вашими советами. Отличный сайт!
Ответить
Приветствую Вас, Любовь!
Весьма рад, что информация Вам помошла и всё проблемы разрешились
Благодарю за высокую оценку моему проекту!
Ответить
удалите неиспользуемые плагины, темы и неактивных пользователей . Неиспользуемые и даже не активированные плагины и темы могут послужить злоумышленнику в поисках узких мест в вашем сайте, не дайте ему такой возможности.
Ответить
Ответить
Всегда пожалуйста, Денис! Рад был помочь
Ответить
Скрытие входа в админку выходит с Wp-admin.
Если пишешь wp-login.php, то все равно попадаешь на редирект. Что делать?
Ответить
Александр, по идее, у вас не должно быть редиректа с wp-login.php, если Вы ничего не прописывали в файлах движка или htaccess.
Ответить
Ну я все сделал по инструкции, по почему-то когда я записывал Wp-login.php попадал на созданную страницу входа… Решил проблему следующим образом создал файл wp-login.php и прописал в нем редирект на главную страницу. И теперь вход в админку доступен только с нужной мне страницы.
Еще вопрос, сайт не мой, до него им куча народу занималась, подскажите если нет robot.txt но моя страничка созданная не проиндексируется? Просто этого файла я на фтп вообще не вижу)
Ответить
Странно…А с редиректом Вы правильно сделали, это как вариант самый простой!
Ну почему же. Станица проиндексируется и без robot.txt. Он в основном необходим для ограничения индексации ненужных страниц и разделов.
Если хотите, чтобы робот быстрее обошёл новую страницу добавьте адрес страницы в инструменты вебмастера Яндекс или Гугл.
Ответить
Вопрос в другом был, мне очень не хочется, чтоб моя страница входа в админ панель была проиндексирована.
в коде есть вот это:
// Don’t index any of these forms
add_action( ‘login_head’, ‘wp_no_robots’ );
add_action( ‘login_head’, ‘wp_login_viewport_meta’ );
Это не дает возможности индексации, я правильно понимаю?
Ответить
Где Вы прописываете этот код? Я так понимаю в файле htaccess? По идее не должен индексировать, но нужно проверять этот код. Будет ли робот забирать страницу входа в индекс. Вебмастерс Гугл и Яндекс поможет это определить.
Ответить
Сергей, здравствуйте! Спасите меня, пожалуйста, ну или хотя бы мой сайт…. Согласно статье дошла до пункта 7 (редирект). Открыла нужный файл, вставила, обновила… И теперь в принципе не работает сайт… Из аргументов: «Сайт whilst.ru пока не может обработать этот запрос.
HTTP ERROR 500″. И вот тут я решила воспользоваться теми самыми резервными копиями, но положение это не спасло.
Подскажите, пожалуйста, как все исправить?
Ответить
Не подумала что в тексте используется название сайта. Если политически не верно указывать на Вашем сайте прошу прощения…
Ответить
Указывать можно свой сайт, я разрешаю))
Ответить
Здравствуйте, Анна. Проблема ещё не решена?
Ответить
Сергей, не, не решена… в виду отсутствия понимания за что хвататься, что делать…
Ответить
Понятно, напишите ссылку на сайт
Ответить
Сейчас отвечу Вам на почту
Ответить