Защита wordpress от взлома
Опубликовано: 02.09.2018
Здравствуйте читатели и посетители блога saranchinsergey.ru!
В этой статье отведу особое место очень важной теме. Сегодня буду рассказывать о том, как защитить свой блог под управлением популярной системы WordPress от взлома недоброжелателей.
Как защитить wordpress от взлома? В чём заключается защита wordpress ?
Нужна ли Вам защита wordpress?
Согласно статистике, основная масса начинающих вебмастеров даже не думают об этом. Создают блоги , сайты, нашпиговывают их плагинами, пишут кучу статей.
Как защитить сайт на WordPress? Безопасность WordPress.
Озарение наступает позже, когда их драгоценный раскрученный ресурс с хорошей посещаемостью просто взламывают злоумышленники.
Цель у взломщиков может быть разная: от размещения на Вашем блоге различной рекламы до полного присвоения блога себе или полного удаления.
25.Защита от взлома WordPress
И если Вы читали внимательно мою предыдущую статью о том, как сделать резервное копирование блога и уже применяете эти знания на практике, то Вы будите в выигрыше. Вы всегда сможете его восстановить.
Однако, зачем тратить свое драгоценное время на восстановление своего ресурса, когда его можно просто заранее обезопасить. Сэкономленное время и нервы Вы сможете направить на написание новой статьи , оптимизации блога или изучения новой и полезной информации. Это будет намного эффективнее.
Так что советую Вам изучить данную статью и сразу же применить полученные знания по защите WordPress на практике.
В том случае если у Вас молодой блог, и Вы считаете, что никто не будет его взламывать, то может Вы и правы.
Но ведь когда то он будет более узнаваем и посетителей станет больше. Он окажется лакомым куском для взломщиков. Это может произойти в любой день, поэтому предлагаю Вам сейчас же, без отлагательств обезопасить свой блог.
Методики, которые я буду описывать, просты в применении и эффективны. Все описанные способы опробованы мной на практике, действуют и дали положительный результат.
Какова же реальная защита wordpress ? Итак, начнем.
Способы защиты wordpress от злоумышленников
1. Измените стандартный логин в WordPress на свой .
По умолчанию WordPress предлагает Вам для авторизации в системе логин admin, который нельзя изменить в самой административной панеле блога. Вам нужно его изменить на любой другой.
Для этого необходимо войти в панель управления вашего хостинг-провайдера, кликнуть по вкладке Mysql и затем зайти в Php My Admin. Логин и пароль для входа предоставляет хостинг .
При входе на главной странице в левой колонке кликаем по своей базе данных . Нам откроется список всех таблиц нашей базы. Нажимаем на пункт под названием wp_users. Обратите внимание на верхнюю панель Php My Admin- должна быть открыта вкладка «Обзор»!
После этого в строке админ нажимаем на Изменить и в появившемся полях меняем логин admin в двух местах на свой.
Не забудьте после этого нажать кнопку Ок , которая находится в нижней части таблицы( на скриншоте не указана):
2. Придумайте и создайте надежный пароль для входа в админку сайта .
Стоит заметить, что существуют различные плагины, которые ограничивают попытки ввода пароля в админку. Например не более трех раз. После этого они блокируют доступ на определенное время.
Один из таких плагинов Login LockDown или Limit Login Attempts.
Однако, постоянные читатели моего блога знают, что я не люблю плагины из-за того, что в них много лишнего, они дополнительно нагружают сервер и созданы незнакомыми мне людьми.
Я всеми силами стараюсь заменять плагины кодами на своем блоге и Вам советую поступать также. Хотя выбор каждый делает сам.
Вместо этих плагинов, я предлагаю придумать надёжный пароль к админке сайта, состоящий из цифр, букв и знаков препинания.
У меня, например, пароль к админке состоит из более чем 20 знаков. Так будет надежнее. Поменять пароль проще простого. Вы можете это осуществить в админпанеле своего блога.
Зайдите в меню админки слева во вкладку Пользователи и в выпадающем списке выберите пункт Ваш профиль:
Опуститесь вниз этой страницы и найдите раздел Обо мне . Там будет два поля: Новый пароль и Повторите новый пароль. В этих полях введите свой пароль и не забудьте внизу нажать кнопку Обновить профиль . Вот и всё.
3. Удалите ненужные файлы .
В корне Вашего сайта есть два файла readme.html и license.txt. Они Вам не пригодятся, однако для взломщиков будут весьма полезны.
Они, как раз сообщат нехорошим парням версию Вашей системы WordPress и много другой нужной им информации для взлома.
Также зайдите в админпанель в меню слева во вкладку Внешний вид и в выпадающем списке выберите Редактор и откройте файл header.php.
С помощью поиска найдите строчку :
<meta name= "generator" content= "WordPress ...3.8.1" />и удалите ее. Она показывает версию Вашей системы WordPress.
Вызвать поиск можно нажав две клавиши Ctrl+F. Откроется окошко поиска. Вот туда и нужно ввести эту строку. Затем нажать Enter.
Если похожая комбинация есть в коде файла, она подсветится. Если такой строчки нет, будет написано: Ничего не найдено. В таком случае можете успокоиться. Ничего делать не нужно
4. Делайте резервное копирование базы данных и файлов
Чуть выше в этой статье я писал ссылку на свою предыдущую статью о резервном копировании своего блога. Прочитайте её обязательно.
Хочу только уточнить, что я уже не пользуюсь плагином wordpress database backup , а копирую базу данных вручную с Php MyAdmin.
Автоматизация конечно хорошо, но безопасность важнее. Мне не составляет труда потратить 2-3 минуты на копирование базы. Себе я больше доверяю, нежели плагину.
Надеюсь Вы сможете экспортировать свою базу данных из Php на свой компьютер. Если не знаете как это сделать-задавайте вопросы, помогу!
5. Закройте обзор своих директорий.
Зайдите в файл .htaccess в корне Вашего сайта через Фтп-клиент. Подробно как это осуществить, читайте ту же статью о Резервном копировании сайта.
И пропишите дополнительную строку:
Options All -IndexesЭта команда позволит закрыть обзор директорий.
Затем проверьте директории:
1. http://ваш блог/wp-content/ 2. http://ваш блог/wp-content/plugins/Пропишите их поочерёдно в адресную строку браузера. После их открытия в браузере не должно быть видно файлов и папок этих директорий.
Если что-то есть, то необходимо исправить ситуацию. Откройте их через Фтп клиент и отредактируйте.
Для этого создайте в каждом из директорий пустой файл index.php. Это простой текстовый файл с расширением .php. Создайте его с помощью Блокнота или Notepad++ и закачайте в директории на сервер.
После нововведений, при открытии каждой из директорий через браузер, должна появляться пустая страница!
6. Смените стандартную страницу входа в админпанель.
В настоящее время участились атаки мошенников по подбору логина и пароля к панели администрирования системы wordpress. Нехорошие парни используют десятки тысяч IP- адресов!
Эта стратегия дает им огромное преимущество. Мы уже ранее поменяли стандартный логин и придумали надежный пароль к своей админпанеле.
Ну а теперь зададим еще одну задачу для хакеров — отыскать наш адрес входа в панель администрирования.
Стандартный адрес страницы входа в панель WordPress: ваш блог/wp-login.php или ваш блог/wp-admin . Мы создадим сейчас свой адрес входа.
Опять же можно это сделать проще- с помощью плагинов, но это не для меня. Тяга к программированию и различным экспериментам не даст мне воспользоваться ими.
Итак, как же изменить адрес входа в админку WordPress вручную? Найдите файл wp-login.php в корневой папке блога.
Осуществляйте все действия по порядку:
Измените название самого файла wp-login.php на любое другое(например, open.php) Скопируйте это название в буфер проводника и откройте переименованный файл open.php и с помощью текстового редактора Notepad ++ замените все слова wp-login.php на open.php . Затем откройте другой файл wp-includes/general-template.php и замените все wp-login.php на open.php.После таких операций адресная строка входа в админпанель сменится с http://ваш блог/wp-login.php на http://ваш блог/open.php
И ещё хочу напомнить, что если Вы до сих пор пользуетесь стандартным виджетом «Мета» — то удалите его, потому как при наведении на эту ссылочку «Войти» виден адрес страницы входа, а значит все усилия по изменению адреса входа напрасны.
Но это ещё не всё. Вы поменяете адрес входа в админку, но нсли мошенник введёт в адресную строку http://ваш блог/wp-admin , то его перенаправит (осуществится редирект) на тот адрес входа в админ-панель, который Вы создали.
Поэтому нам нужно сделать редирект с http://ваш блог/wp-admin на гланую страницу Вашего блога. Читайте далее.
7.Сделайте редирект с wp-admin на Ваш блог.
Сделать это не сложно. Откройте в панели администрирования слева в меню Внешний вид, затем выберите Редактор. Выберите файл для редактирования. В данном случае нас интересует файл Функции темы (functions.php)
Между <?php и ?> Вам нужно вставить следующий код:
add_action( 'init', 'blockusers_init' ); function blockusers_init() { if ( is_admin() && ! current_user_can( 'administrator' ) && ! ( defined( 'DOING_AJAX' ) && DOING_AJAX ) ) { wp_redirect( home_url() ); exit; } }Потом просто нажмите внизу кнопку «Обновить файл». Вот и всё. Редирект мы сделали.
И ещё несколько советов:
проверьте все установленные плагины и удалите неиспользуемые; создайте сложный пароль на панель управления хостингом и базу данных; закачивайте файлы на сервер только через панель управления и Php My Admin, а не через Фтп-клиенты;И ещё одна полезная рекомендация. Если Вы считаете, что не справитесь с этим и Вам нужна помощь в защите своего ресурса, то пишите на почту суперпрограммисту, моему партнёру и просто отличному специалисту — Дмитрию Горунину: [email protected]
Ну вот в принципе и всё! Надеюсь был полезен. До встречи в новых статьях!
Не забудьте подисаться на обновления сайта внизу этой статьи, чтобы не пропустить полезную информацию.
Успехов Вам и Удачи С Уважением,