Создание сайта на WordPress — что может быть проще!
защита WordPress сайта (блога)
Рубрика: Создание сайта WordPress

Необходимая защита WordPress сайта (блога)

35 комментариев   

Приветствую Вас, уважаемые посетители и мои постоянные читатели! Итак, защита WordPress! Многие новички просто забивают на мероприятия по защите WordPress сайта от взлома, думая что их скромный ресурс, не интересен злоумышленникам... Уже сколько раз такое замечал...

Я Вам говорю — угроза взлома может коснуться любого сайта... и чем хуже защищен ресурс, тем проще, быстрее, вероятнее его взломают... последствия бывают страшными =]

Прочитайте так же:

Как Вы могли догадаться тема этой статьи — необходимая защита wordpress и я Вам настоятельно рекомендую не забивать на безопасность Вашего сайта, а сделать все как я говорю...
Вордпресс является хорошо защищенной системой. Но любая система, какой бы защищенной она не была, имеет свои уязвимые места. Разработчики конечно регулярно обновляют систему безопасности, но хакеры тоже не бездействуют.

Поэтому, чтобы защитить свой сайт или блог от взлома, вам нужно провести некоторые мероприятия, о которых поговорим ниже...

Конечно 100% гарантии безопасности сайта от взлома нет и никогда не будет, но это не означает что надо опускать руки... Один раз все установили, настроили и можете спать спокойно! Во всяком случае если Вас и взломают, то настоящий профи, а не новичок недоучка ;)

Кстати, я не забыл и о ежемесячном конкурсе комментаторов и сейчас быстренько подведем итоги! zashhita-WordPress-003

Хотите поучаствовать тоже в моих конкурсах?! Без проблем, Вам сюда...

Сердечно поздравляю участников с победой, готовьте Ваши кошельки =) Буду переводить деньги 10 числа, а мы пока вернемся к теме статьи...

Какие сайты и блоги чаще взламывают?
Многие начинающие вебмастеры думают, что если у них новый сайт, который ещё не раскручен и имеет маленькую или вообще нулевую посещаемость, то вряд ли хакеры захотят заниматься его взломом. Ведь для них намного интереснее взламывать уже раскрученные сайты, хорошо наполненные контентом, которые занимают первые места в топе поисковиков.

На самом деле ситуация выглядит не совсем так. Под угрозой находятся абсолютно все сайты. Большинство злоумышленников — обычные любители, которые хотят понять, как взломать сайт, и только учатся это делать. Поэтому они могут тренироваться на молодых и особо — на незащищенных веб-ресурсах.

Самый простой и популярный способ взлома — это метод подбора логина и пароля для входа в админпанель.

Защита WordPress сайта

1. У многих новичков логин для входа в панель — «admin», а пароль может быть легким и состоять из одних цифр. Адрес панели управления сайтом стандартный — «сайт.ru/wp-admin». Этой ситуацией и пользуются взломщики. Поэтому первым делом нужно изменить эти данные, чем мы сейчас и займемся.

После того, как вы установите WordPress на ваш хостинг, вам обязательно нужно изменить логин для входа в административную панель, который по умолчанию «admin». В своей админке вы его изменить не сможете.

Для изменения логина, вам нужно зайти в панель управления хостингом, перейти в «Mysql», а там найти вкладку «Php My Admin» и открыть её.zashhita-WordPress-004 С левой стороны кликнете по базе данных, после чего перед вами откроется перечень таблиц, в котором нужно выбрать «wp_users».zashhita-WordPress-001 На панели, находящейся вверху экрана, должна появиться вкладка «Обзор». Далее выбираем «Изменить» в пункте «админ» и меняем старый логин на новый, после чего нажимаем «Ок». Запишите его куда нибудь, только не храните логины и пароли в компьютере...

Теперь создадим сложный пароль для входа в административную панель WordPress и чем он длиннее и разнообразнее (буквы, цифры, знаки, черточки), тем лучше =)
Чтобы осуществить смену пароля, вам нужно зайти в административную панель Вордпресс. Слева выбрать пункт «Пользователи» и кликнуть по нему. Из предложенного списка выбрать «Ваш профиль». Перед вами откроется новое окно. Опустившись в самый низ меню, вы увидите строку для изменения пароля.zashhita-WordPress-002 Дважды введите новый пароль и нажмите на кнопку «Обновить профиль», которая расположена в самом низу слева.

Еще Вам стоит придумать надежный пароль для входа в вашу базу данных и панель управления на хостинге. Все четко! Идем дальше...

Скачайте плагин защиты wordpress «Rename wp-login.php» — он нужен для того, чтобы поменять стандартный путь админки, вида «сайт.ru/wp-admin» на какой захотите — чем сложнее, тем лучше =)
zashhita-WordPress-005
После установки плагина, перейдите в Настройки --> Постоянные ссылки и придумайте путь до админки. Посмотрите скрин!

Кстати, как то раз я тестировал один плагин и выслал данные входа на мой блог разработчику — Его реакция меня порадовала :razz:

2. Удалите все ненужные файлы с хостинга. Например в движке Вордпресс можно удалить license.txt и readme.html. Никакой пользы нам от этих файлов нет, а вот взломщику пригодятся...

Так же, удалите не используемые плагины! В будущей статье опубликую список плагинов которые использую я, подпишитесь на мой блог если Вам интересно...

Удаляем информационный мусор, который может сообщить злоумышленникам Вашу версию Вордпресс и прочие радости. Идите в свою админпанель --> «Внешний вид» --> «Редактор» --> Функции темы и пропишите такие команды:

[sociallocker]

[/sociallocker]

Возможно у кого то не попрет, темы разные и все индивидуально! Если не получается, наймите фриланса, например на https://www.fl.ru.

3. Не забывайте обновлять действующие плагины и версию Вордпресс. Об их обновлении к вам придет уведомление. Если конечно не отключали данную функцию...

Боязнь обновления! Есть такая тема правда?! Я не понимаю чего тут страшного? Сделали резервную копию, обновились! Если все окей, то замечательно... Если нет откатились назад и попросили спеца разобраться, в чем может быть дело...

Запомните! Обновление — это главная защита wordpress движка!

4. Установите лицензионный антивирус на Ваш ПК! Работа в интернете невозможна без хорошей защиты от вирусов... А это еще один способ получить доступ к Вашей информации...

Какой устанавливать решать Вам, выбор довольно большой. Лично я использую AVG и меня все устраивает! Помните как я боролся с вирусом URL:Mal, который сынуля подхватил? Вот после этого случая поставил AVG и почти год радуюсь безопасности =)

5. Резервное копирование сайта и баз данных. Это САМАЯ ВАЖНАЯ защита WordPress!!! В жизни бывает всякое правда?! Полиция конфисковала жесткие диски у хостера, где лежит Ваш сайт например или любая другая неприятность... Да мало ли что может быть!

Всегда нужно иметь полную копию сайта, которую в случае непредвиденных моментов — можно восстановить! Резервное копирование можно осуществить с помощью специальных плагинов (например, Database backup, Online Backup, BackWPup) или сервисов (VaultPress, WP Remote), а можно самостоятельно с Php MyAdmin...

Об этом у меня написана целая статья, прочитайте...

6. Выделенный IP адрес — хороший способ защититься от подозрительных, под фильтрами, зараженных соседских сайтов... Ходят слухи что выделенный IP улучшает ранжирование сайта, но это только не обоснованные догадки. Представьте себе, у меня и на эту тему есть целый пост, читайте!

Популярные плагины защиты WordPress

Сегодня есть масса плагинов, которые помогут обезопасить Ваш сайт. Например, плагин Anti-XSS attack, установленный на вашем сайте, поможет предотвратить попытки взломать его.

А благодаря модулю Login LockDown или Limit Login Attempts попытки зайти в административную панель, набрав более трёх раз неправильно пароль, будут блокированы.

  • Wordfence Security — лучший плагин поиска вирусов и других сторонних вмешательств в Ваш блог. Периодически включаю, проверяю и выключаю!
  • Invisible Captcha — Лучшая защита от СПАМА, которая совсем не напрягает реальных посетителей! Почему? Потому что ее не видно и не нужно вводить всякую хрень... За целый год ведения блога, плагин показал себя просто отлично...
  • Login LockDown — Защита wordpress админки! Плагин ограничивает количество попыток ввести логин или пароль, что практически сводит к нулю взломать вордпресс методом перебора!
  • Rename wp-login.php (unmaintained) — Как я уже писал выше, плагин меняет стандартный адрес на вход в админпанель.
  • WordPress Database Backup — Плагин который ежедневно мне высылает на почту резервную копию базы данных.
  • Yoast SEO — Про этот плагин слышали многие, он универсальный и имеет множество настроек. Помимо SEO, есть и настройки, которые повышают уровень безопасности сайта.

Чтобы установить эти плагины, зайдите в свою административную панель, в пункт «плагины», нажмите на кнопку «Добавить новый» и в строку поиска скопируйте названия плагина, который вы желаете скачать.

После того, как система предложит вам список, выберите нужный и нажмите «загрузить». Далее произойдет активация плагина, и он будет готов к работе...

Админ спрячь свой логин!

Существует много способов узнать логин администратора и использовать его во вред, мне известно лишь два из них... Первый способ это просмотреть код комментария автора и второй с помощью команды — http://Ваш_домен.ru?author=1.

Наша задача исправить ситуацию и скрыть реальный логин! Давайте с Вами этим и займемся! Совсем запутаем взломщика =)

Меняем настоящий логин админа коммента на вымышленный, надо записать команду в functions.php:

/* Подмена логина в комментариях */
function del_login_css($css) {foreach($css as $key => $class) {
if(strstr($class, "comment-author-впишите_действующий_логин")) {
$css[$key] = 'comment-author-впишите_вымышленный_логин'; } }
return $css; }
add_filter('comment_class', 'del_login_css');

Чтобы не показывать свой логин при команде http://Ваш_домен.ru?author=1, нужно настроить переадресацию на главную страницу.

Берем такую строчку:

RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru

и помещаем ее сразу после:

RewriteRule . /index.php [L]

В файле .htaccess, который лежит в корневой директории на хостинге. Если его там нет, то создайте, вот Вам стандартный образец.

Заключение

После всех этих несложных манипуляций у вас будет стоять надежная защита wordpress. Все мои советы и рекомендации «основа» которая должна быть на каждом сайте.

Но если Вам все равно кажется что Ваш ресурс не достаточно защищен и Вы плохо спите по ночам, обратитесь за помощью к соответствующему специалисту =) Защита блога WordPress А если не хватает денег на спеца, то хочу порекомендовать курс, благодаря которому, Вы и сами все легко настроите... Если честно, по защите сайтов и блогов на WordPress, я еще не встречал такой информации в Рунете... Смотрите сами...

А я закругляюсь! Пишите свои комментарии к статье, задавайте интересующие вопросы, всегда буду рад на них ответить. До встречи!


Савельев Владимир Александрович
С уважением, Владимир Савельев
Премиум курсы от webformyself

Премиум-уроки от клуба webformyself

Это новый революционный продукт в области обучения сайтостроительству! Все лучшие видео-уроки собраны в одном месте и разделены на категории: WordPress, Joomla, PHP, HTML, CSS и JavaScript... База постоянно пополняется и уже сейчас в ней более 200 уроков! Всего за один год - Вы сможете стать опытным веб-мастером "с полного нуля"!
Подробнее

Прочтите еще:
Обсуждение статьи: 35 комментариев
  1. Денис 2015-10-04 в 17:00 

    Статья как раз для меня, на днях хотел изучить этот вопрос для своего нового блога! Жду статью на тему плагинов!

    Ответить
    • Владимир Савельев 2015-10-04 в 18:15 

      Ух ты Денис ты еще блог делаешь :?:

      Ответить
  2. Руслан Цвиркун 2015-10-04 в 17:56 

    Спасибо, все очень подробно и доступно для понимания. Тоже займусь внедрением данных рекомендаций.

    Ответить
  3. Дмитрий 2015-10-04 в 18:05 

    Вначале письма хотел поздравить всех комментаторов с победой.

    ПОЗДРАВЛЯЮ. СЕРДЕЧНО!

    К Владимиру вопрос — а карта кукуруза у тебя принимается?

    Ответить
    • Игорь 2015-10-04 в 18:22 

      Так же присоединяюсь к поздравлению,всех победителей.

      Володь,номер кошелька отправил по обратной связи.

      Ответить
    • Владимир Савельев 2015-10-04 в 23:33 

      обычно я на вебмоней перевожу или киви или карта сбербанка и тд... на кукурузу еще не переводил :roll:

      Ответить
  4. Игорь 2015-10-04 в 18:17 

    Ну как всегда статья на ура.

    Сейчас пойду пробегусь посмотрю еще раз защиту ;-)

    Ответить
  5. Дмитрий 2015-10-04 в 18:34 

    По защите все понятно... Дал указание техникам... На то она и защита, что никогда не знаешь когда хакеры начнут атаковать...

    Поэтому надо быть как в армии — всегда начеку, всегда быть готовым.

    Ответить
    • Саня Сабегатулин 2015-11-30 в 11:14 

      Ну от хакеров такая защита навряд ли защитит, на то они и хакеры ;-)

      Ну а от простых вредителей точно поможет.

      Ответить
  6. Дмитрий 2015-10-04 в 18:35 

    статья просто классная. И самое главное — в тему, как раз сейчас она мне необходима...

    Спасибо большое Владимир тебе за статейку... :arrow:

    Ответить
  7. Дмитрий 2015-10-04 в 19:40 

    номер карты кукуруза скинул на почту... Проверяй.

    Ответить
  8. Татьяна 2015-10-05 в 17:36 

    Хочется пожелать всем блогерам, чтобы у них была надежная защита и их блоги не были взломаны.

    Ответить
    • Дмитрий 2015-10-05 в 20:53 

      Вот за это — огромное спасибо.

      Ответить
  9. Владимир Савельев 2015-10-08 в 17:03 

    Друзья призовые всем перевел :razz:

    Ответить
    • Игорь 2015-10-09 в 21:43 

      Володь благодарю.

      Приз пришел

      Ответить
  10. Дмитрий 2015-10-09 в 00:00 

    Спасибо. Подтверждаю что приз получил...

    Ответить
  11. Татьяна 2015-10-11 в 14:20 

    Приз получила! Спасибо!

    Ответить
  12. Ксюша 2015-10-15 в 07:47 

    Спасибо за приз. Все пришло вовремя, даже кошелек не понадобилось второй раз сбрасывать. Вова молодец!!

    Ответить
  13. Виталий Охрименко 2015-10-17 в 08:22 

    Вов привет! Спасибо за присланные призы, очень таки приятно!

    Ответить
  14. Александр 2015-11-28 в 18:32 

    Ребята, вот ещё крутая альтернатива разным способам защиты админки _http://www.frocenter.com/zashhita-wordpress/ Вам понравиться.

    Ответить
    • Владимир Савельев 2015-11-28 в 22:01 

      Саня, почитал про эту защиту, довольно интересное решение по защите блога... Но этот код покупается лишь на определенную версию Вордпресс — соответственно про обновления самого движка можно забыть... Допустим купил для версии 4.3 обновились до 4.4 и снова бежать и покупать для версии 4.4 — имхо отбивает сразу все желание =)

      Ответить
  15. Константин Бояндин 2015-12-06 в 18:00 

    Часто замечаю совет по установке All in one WP Security — утверждается, что универсальный инструмент. Можно спросить вашего мнения, стоит ли устанавливать?

    К слову: если уж прятать readme/license, из которых становится понятная версия WP, то имеет смысл прятать из страниц сайта все упоминания о версии самого движка (meta generator), и все прочие выдачи — многие плагины любят указывать свою версию. Видимо, чтобы ломать было проще.

    Спасибо.

    Ответить
    • Владимир Савельев 2015-12-06 в 20:33 

      Привет Константин! Я не использую данный плагин, поэтому ничего не скажу на счет него... а на счет версий — то да, лучше убрать... Хотя самая конкретная защита иметь свежую резервную копию )

      Ответить
  16. Андрей 2015-12-27 в 00:25 

    Владимир, может Вы знаете почему после того как я прописал все запреты в файле .htaccess, для всех кроме моего ip для wp-admin, wp-login.php, скрыл доступ к другим папкам, для страницы _http://мой сайт/?autor=1, скрыл показ ( через админку сайта) своего логина (в scc моя тема не показывает логин). Проверяю через другой (не свой) ip- все работает,нет возможности войти в админ-панель вообще. Но ко мне периодически пытаются войти в админку, да ещё под моим настоящим логином, а об этом мне сообщает плагин защиты сайта. Как такое возможно? :?:

    Ответить
  17. Владимир Савельев 2015-12-27 в 11:21 

    А у Вас статичный IP? Если нет то, Ваш IP может меняться... и такая защита не годится! Я конечно не понял суть вопроса :oops: Измените путь в админ панель с помощью плагина — Rename wp-login.php и ограничение ввода Login LockDown

    Ответить
  18. Андрей 2015-12-27 в 11:35 

    IP статический, плагин стоит и работает. Вопрос- почему происходят попытки войти в администраторскую панель, если она заблокирована для всех кроме меня? Ведь плагин защиты отправляет мне письма о том, что у меня было три неудачных попыток входа, вот я хочу понять куда бот входил для подбора пароля.

    Ответить
    • Владимир Савельев 2015-12-27 в 11:41 

      скиньте мне на почту сайт и адрес ПУ

      Ответить
  19. Софья 2016-01-25 в 16:13 

    :sad: сделала как у вас написано и теперь не могу попасть в админ панель через wp-admin как все вернуть?

    Ответить
    • Владимир Савельев 2016-01-25 в 19:56 

      Да а что сделали то?

      Ответить
      • Софья 2016-01-26 в 15:35 

        разобралась) не совпадали пароли в базе данных и файле конфигурации сайта.

        потом всё получилось по инструкции.

      • Владимир Савельев 2016-01-26 в 15:37 

        Очень рад за Вас Софья :x

  20. Иван 2016-03-04 в 12:41 

    Владимир, хорошая статья и приятный блог, спасибо!

    По поводу взломов, наверняка чаще всего ломают из-за устаревшего кода.

    Ну и еще тупо угоняют аккаунты. После этого, прячь, не прячь — всё бесполезно :smile:

    Недавно чистил один сайт от заразы, которая распространилась через FTP.

    Поэтому для меня сейчас еще одно неписанное правило — ограничить FTP для одного конкретно адреса, с которого админ заходит, а по возможности вообще не пользоваться, и тем более не позволять себе хранить пароли в клиенте.

    Защита не создается плагинами. Защита в нас самих и от нашей лени :cool:

    Ответить
    • Владимир Савельев 2016-03-04 в 17:58 

      Иван полностью с тобой согласен! Есть огромное количество блогов, а для защиты вообще никаких мер не предпринято не было — и путь до админки стандартный, и логин admin и пароль так себе и еще куча всего... Все забивают... вспоминают лишь тогда когда уже поздно =) Конечно 100% защиты не существует но к этому надо стремиться...

      Ответить
  21. Сергей 2016-06-23 в 13:45 

    Курс смотрел — всё по делу, доступно и понятно. По итогам просмотра отказался от плагина iThemes Security, который ранее использовал.

    Ответить
  22. Роман 2016-09-20 в 17:23 

    Отличный материал. До этой статьи перечитал 2-3 на других сайтах. В принципе почти все методы защиты описываются везде одинаково, но у вас нашел один, который у других блогеров отсутствовал — это скрытие логина админа. На днях буду менять на всех сайтах.

    Ответить

Добавить комментарий

Прочитать Соглашение и Правила блога

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?:

Приветствую Вас друзья!
Савельев Владимир АлександровичМеня зовут Владимир Савельев, я являюсь автором блога savme.ru! Моя миссия - научить Вас создавать сайты, блоги и зарабатывать на них также, как это делаю я! Уже через год ведения блога я вышел на пассивный доход в 30.000 руб в месяц и это не предел! Еще я частенько пишу о своей жизни и устраиваю конкурсы с крутыми призами! Подпишитесь на мои новости, чтобы не пропустить что-то важное!
Безлимитная графика и шаблоны
Envato WW