Мало убрать последствия, нужно понять причины возникновения. Я уже писал, что нас взломали и, мол, мы все решили. Однако, через неделю история повторилась, был изменен другой jquery скрипт, а также файлы .htaccess. Причем в .htaccess стояли редиректы на какой-то левый сайт только для мобильных устройств и планшетов, а потому заметил я это не сразу.
За пару дней удалось найти все файлы измененные злоумышленником, а также созданные им специально для проникновения (shell). И опять спасибо хостингу за помощь. После чего я решил принять все меры, о которых рассказано в интернете.
Все части моего небольшого FAQ для блоггеров:
Я написал ряд статей, связанных с блоггингом. Они не претендуют на полноценный мануал, но начинающим могут оказаться полезными. Можете ознакомится, если интересно.
0. Рекомендую курс «Как стать блогером тысячником и зарабатывать»
1. Как начать вести блог
2. Как раскрутить блог — список моих действий
3. Как зарабатывать на блоге и в путешествиях
4. Пример заработка на нашем блоге — Финстрип 2013, финстрип 2012, Финстрип 2011
5. Читательский и поисковой трафик, а также почему читатели не возвращаются
6. Немного правды о тревел-блогинге
7. Советы по защите блога на WordPress
Советы по защите блога на WordPress
Список вряд ли будет полным, да и, как говорится, кому надо, все равно сломают. Но по крайней мере эти действия может сделать практически любой блоггер, дабы хоть немного защититься.
Обновить коды счетчиков и виджетов
Проверить коды всех счетчиков и социальных виджетов у себя на блоге и на сайте, откуда вы их взяли.
Возможно они обновились. Заметил, что у Facebook часто меняется код для виджетов, усиляют безопасность видимо.
Обновить все плагины и WordPress до последних версий и удалить неиспользуемое
Тут комментарии излишни, все умеют это делать. Уязвимости обычно содержатся в плагинах и темах, поэтому, как минимум, все неиспользуемое лучше удалить.
Обновить timthumb.php
Если в вашей теме используется ресайз миниатюр посредством timthumb.php, то обязательно нужно обновить этот файл на самую последнюю версию, так как старые версии известную уязвимость.
Проверить права на папки и файлы
У всех файлов права должны быть 644, у папок 755, кроме .htaccess — права 444 и папки uploads — права 777.
Изменить логин пользователя admin
Самый быстрый вариант — это зайти в phpadmin и там в вашей базе данных выполнить вот этот запрос:
UPDATE wp_users SET user_login = ‘Ваш новый логин’ WHERE user_login = ‘admin’;
Или можно просто через админку блога создать нового пользователя, переназначить ему все статьи, а старого пользователя admin, удалить.
Сменить все пароли на более сложные
Банальный совет, но пароли должны быть сложными, состоящими из цифр и букв разного регистра. Также не стоит забывать, что после борьбы с вирусами нужно по-любому поменять все пароли (админка блога, админка хостинга, ftp, sql-базы), а также имеет смысл изменить секретные ключи в файле wp-config.php.
Защитить файлы .htaccess и wp-config.php от доступа для всех
Добавляем в ваш .htaccess в корне блога, вот этот код:
<files wp-config.php>
Order deny,allow
deny from all
</files>
<Files .htaccess>
order allow,deny
deny from all
</Files>
Защитить папку wp-includes с помощью .htaccess
Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-includes, предварительно добавив в файл код:
Order Allow,Deny
Deny from all
<Files ~ «.(css|jpe?g|png|gif|js|swf)$»>
Allow from all
Защитить папку wp-admin с помощью .htaccess и .htpasswd
Создаем файл обычный текстовый файл, называем его .htaccess и копируем в папку wp-admin, предварительно добавив в файл код:
AuthUserFile /home/public/.htpasswd
AuthType Basic
AuthName “restricted”
Order Deny,Allow
Deny from all
Require valid-user
Satisfy any
Где, «/home/public/.htpasswd» — это полный путь к файлу .htpasswd. Желательно, чтобы этот файл располагался выше директории вашего блога.
В файле .htpasswd хранится пароль для доступа в зону wp-admin в зашифрованном виде. Создать этот файл проще всего здесь, указав имя пользователя и пароль в обычном виде. Лучше всего не повторятся и указывать данные, отличающиеся от уже существующих учетных записей.
С этим способом есть только одно неудобство — он не применим, если у вас многопользовательский блог, так как пароль будет запрашиваться у всех пользователей.
Изменить префикс базы данных
Изменить префикс вашей sql базы данных со стандартного «wp_» на какой нибудь «wpsdjflk647_» можно было в самом начале создания блога. Но и сейчас это не проблема. Я сделал это плагином, о котором, речь пойдет ниже. Хотя можно было зайти в phpadmin, заменить там все названия таблиц, а потом изменить префикс и в файле wp-config.php
Установить плагин Belavir
Установите плагин Belavir, который будет отслеживать изменения во всех php файлах вашего блога. Плагин сам ничего не мониторит, а запускает проверку, когда вы заходите в админку блога на страницу Консоль, где собственно он и отображает изменения. Настроек у него никаких нет.
Установить плагин WP Security Scan
Установите плагин WP Security Scan, с помощью которого можно сделать некоторые вещи, в частности:
— изменить префикс базы данных
— проверить права на папки и файлы
— скрыть версию WordPress
— подключить антивирус для блога и проверить его
Установить плагин Better WP Security
Установите плагин Better WP Security, он даже больше нужен, чем предыдущие два. Список его возможностей очень большой, перечислю часть:
— позволяет изменить префикс базы данных
— убирает ненужную информацию из кода блога по типу версии вордпресс
— мониторит изменения во всех файлах
— банит айпи тех, кто вводит странные адреса в браузере после имени вашего блога, получая ошибку 404
— запрещает подбирать пароль к админке, банит айпи
— изменяет стандартные адреса входа в админку, отличная защита от brute-force атак
— и многое другое.
Мониторинг изменений на вашем ftp
Установите программу ftpinfo на свой компьютер, которая позволяет подсоединяться к вашему ftp-серверу и мониторить изменения всех файлов аккаунта на предмет их появления/удаления/изменения. Очень удобная штука во время вирусных атак. Можно мониторить не только все файлы, но и создавать маски для файлов и папок.
Бекапы баз данных и файлов раз в несколько дней
Очень полезная вещь, может пригодится и для борьбы с вирусами. Под рукой всегда будут оригиналы файлов и будет возможность откатится назад, если не получается вычистить сайт от вирусов. Я использую плагин BackWPup. У него много возможностей, в том числе и копирование данных в Dropbox — удобный сервис, предоставляющий в интернете 2Гб свободного места и синхронизацию с вашим компьютером.
Вот такие вот советы по защите блога на WordPress я применил у нас на блоге. Если, есть какие-то вопросы или дополнения (может еще что-то еще можно сделать), пишите в комментариях 🙂
life-trip.ru
Защита WordPress сайта
1. У многих новичков логин для входа в панель — «admin», а пароль может быть легким и состоять из одних цифр. Адрес панели управления сайтом стандартный — «сайт.ru/wp-admin». Этой ситуацией и пользуются взломщики. Поэтому первым делом нужно изменить эти данные, чем мы сейчас и займемся.
После того, как вы установите WordPress на ваш хостинг, вам обязательно нужно изменить логин для входа в административную панель, который по умолчанию «admin». В своей админке вы его изменить не сможете.
Для изменения логина, вам нужно зайти в панель управления хостингом, перейти в «Mysql», а там найти вкладку «Php My Admin» и открыть её.
С левой стороны кликнете по базе данных, после чего перед вами откроется перечень таблиц, в котором нужно выбрать «wp_users».
На панели, находящейся вверху экрана, должна появиться вкладка «Обзор». Далее выбираем «Изменить» в пункте «админ» и меняем старый логин на новый, после чего нажимаем «Ок». Запишите его куда нибудь, только не храните логины и пароли в компьютере…
Теперь создадим сложный пароль для входа в административную панель WordPress и чем он длиннее и разнообразнее (буквы, цифры, знаки, черточки), тем лучше =)
Чтобы осуществить смену пароля, вам нужно зайти в административную панель Вордпресс. Слева выбрать пункт «Пользователи» и кликнуть по нему. Из предложенного списка выбрать «Ваш профиль». Перед вами откроется новое окно. Опустившись в самый низ меню, вы увидите строку для изменения пароля. Дважды введите новый пароль и нажмите на кнопку «Обновить профиль», которая расположена в самом низу слева.
Еще Вам стоит придумать надежный пароль для входа в вашу базу данных и панель управления на хостинге. Все четко! Идем дальше…
Скачайте плагин защиты wordpress «Rename wp-login.php» — он нужен для того, чтобы поменять стандартный путь админки, вида «сайт.ru/wp-admin» на какой захотите — чем сложнее, тем лучше =)
После установки плагина, перейдите в Настройки —> Постоянные ссылки и придумайте путь до админки. Посмотрите скрин!
Кстати, как то раз я тестировал один плагин и выслал данные входа на мой блог разработчику — Его реакция меня порадовала
2. Удалите все ненужные файлы с хостинга. Например в движке Вордпресс можно удалить license.txt и readme.html. Никакой пользы нам от этих файлов нет, а вот взломщику пригодятся…
Так же, удалите не используемые плагины! В будущей статье опубликую список плагинов которые использую я, подпишитесь на мой блог если Вам интересно…
Удаляем информационный мусор, который может сообщить злоумышленникам Вашу версию Вордпресс и прочие радости. Идите в свою админпанель —> «Внешний вид» —> «Редактор» —> Функции темы и пропишите такие команды:
Возможно у кого то не попрет, темы разные и все индивидуально! Если не получается, наймите фриланса, например на https://www.fl.ru.
3. Не забывайте обновлять действующие плагины и версию Вордпресс. Об их обновлении к вам придет уведомление. Если конечно не отключали данную функцию…
Боязнь обновления! Есть такая тема правда?! Я не понимаю чего тут страшного? Сделали резервную копию, обновились! Если все окей, то замечательно… Если нет откатились назад и попросили спеца разобраться, в чем может быть дело…
Запомните! Обновление — это главная защита wordpress движка!
4. Установите лицензионный антивирус на Ваш ПК! Работа в интернете невозможна без хорошей защиты от вирусов… А это еще один способ получить доступ к Вашей информации…
Какой устанавливать решать Вам, выбор довольно большой. Лично я использую AVG и меня все устраивает! Помните как я боролся с вирусом URL:Mal, который сынуля подхватил? Вот после этого случая поставил AVG и почти год радуюсь безопасности =)
5. Резервное копирование сайта и баз данных. Это САМАЯ ВАЖНАЯ защита WordPress!!! В жизни бывает всякое правда?! Полиция конфисковала жесткие диски у хостера, где лежит Ваш сайт например или любая другая неприятность… Да мало ли что может быть!
Всегда нужно иметь полную копию сайта, которую в случае непредвиденных моментов — можно восстановить! Резервное копирование можно осуществить с помощью специальных плагинов (например, Database backup, Online Backup, BackWPup) или сервисов (VaultPress, WP Remote), а можно самостоятельно с Php MyAdmin…
Об этом у меня написана целая статья, прочитайте…
6. Выделенный IP адрес — хороший способ защититься от подозрительных, под фильтрами, зараженных соседских сайтов… Ходят слухи что выделенный IP улучшает ранжирование сайта, но это только не обоснованные догадки. Представьте себе, у меня и на эту тему есть целый пост, читайте!
Популярные плагины защиты WordPress
Сегодня есть масса плагинов, которые помогут обезопасить Ваш сайт. Например, плагин Anti-XSS attack, установленный на вашем сайте, поможет предотвратить попытки взломать его.
А благодаря модулю Login LockDown или Limit Login Attempts попытки зайти в административную панель, набрав более трёх раз неправильно пароль, будут блокированы.
- Wordfence Security — лучший плагин поиска вирусов и других сторонних вмешательств в Ваш блог. Периодически включаю, проверяю и выключаю!
- Invisible Captcha — Лучшая защита от СПАМА, которая совсем не напрягает реальных посетителей! Почему? Потому что ее не видно и не нужно вводить всякую хрень… За целый год ведения блога, плагин показал себя просто отлично…
- Login LockDown — Защита wordpress админки! Плагин ограничивает количество попыток ввести логин или пароль, что практически сводит к нулю взломать вордпресс методом перебора!
- Rename wp-login.php (unmaintained) — Как я уже писал выше, плагин меняет стандартный адрес на вход в админпанель.
- WordPress Database Backup — Плагин который ежедневно мне высылает на почту резервную копию базы данных.
- Yoast SEO — Про этот плагин слышали многие, он универсальный и имеет множество настроек. Помимо SEO, есть и настройки, которые повышают уровень безопасности сайта.
Чтобы установить эти плагины, зайдите в свою административную панель, в пункт «плагины», нажмите на кнопку «Добавить новый» и в строку поиска скопируйте названия плагина, который вы желаете скачать.
После того, как система предложит вам список, выберите нужный и нажмите «загрузить». Далее произойдет активация плагина, и он будет готов к работе…
Админ спрячь свой логин!
Существует много способов узнать логин администратора и использовать его во вред, мне известно лишь два из них… Первый способ это просмотреть код комментария автора и второй с помощью команды — http://Ваш_домен.ru?author=1.
Наша задача исправить ситуацию и скрыть реальный логин! Давайте с Вами этим и займемся! Совсем запутаем взломщика =)
Меняем настоящий логин админа коммента на вымышленный, надо записать команду в functions.php:
/* Подмена логина в комментариях */
function del_login_css($css) {foreach($css as $key => $class) {
if(strstr($class, "comment-author-впишите_действующий_логин")) {
$css[$key] = 'comment-author-впишите_вымышленный_логин'; } }
return $css; }
add_filter('comment_class', 'del_login_css');
Чтобы не показывать свой логин при команде http://Ваш_домен.ru?author=1, нужно настроить переадресацию на главную страницу.
Берем такую строчку:
RedirectMatch Permanent ^/author/реальный_логин$ http://Ваш_домен.ru
и помещаем ее сразу после:
RewriteRule . /index.php [L]
В файле .htaccess, который лежит в корневой директории на хостинге. Если его там нет, то создайте, вот Вам стандартный образец.
Заключение
После всех этих несложных манипуляций у вас будет стоять надежная защита wordpress. Все мои советы и рекомендации «основа» которая должна быть на каждом сайте.
Но если Вам все равно кажется что Ваш ресурс не достаточно защищен и Вы плохо спите по ночам, обратитесь за помощью к соответствующему специалисту =) А если не хватает денег на спеца, то хочу порекомендовать курс, благодаря которому, Вы и сами все легко настроите… Если честно, по защите сайтов и блогов на WordPress, я еще не встречал такой информации в Рунете… Смотрите сами…
А я закругляюсь! Пишите свои комментарии к статье, задавайте интересующие вопросы, всегда буду рад на них ответить. До встречи!
savme.ru
Советы как обезопасить сайт на WordPress
1. Обновляйте движок и плагины
Как только выходит новая версия, не поленитесь и обновитесь. Когда у Вас стоит последняя версия WordPress’а и плагинов тогда у Вас больше шансов отбиться от хакерских эксплойтов (это программа или скрипт, которые получают доступ к ресурсам за счет уязвимостей в системе), и еще обновленные плагины могут уменьшить нагрузку на Ваш хостинг.
Кстати плагины, которые Вы не используете (то есть неактивные), нужно удалить, т.к. они несут угрозу для безопасности WordPress.
2. Пароли
Пароль в админ. панель сайта должен быть очень сложным, как минимум 10 символов (строчные и прописные буквы, цифры и разные спецсимволы), ни в коем случаи паролем не должна быть дата вашего рождения или ваш ник. Для хранения паролей пользуйтесь специальным софтом, например «Kee Pass» или сециальным блокнотом.
3. Бэкап БД
Делаем Бэкап БД (Базы Данных), как можно чаще, тогда у нас всегда будет на руках резервная копия сайта, с помощью которой мы в любое время сможем восстановить свой сайт.
Для того что бы сделать бэкап БД, нужно установить плагин «WP DataBase Backup», в настройках которого Вам нужно вписать свой email на который будет отправляться резервная копия БД. Кстати, там, в настройках плагина, можно настроить время отправки бэкапа Базы Данных, я рекомендую поставить 1 раз в день.
4. Файл wp-config.php
Скрываем файл wp-config.php от чужих глаз. Все знают, где находится этот файл, в этом файле записана все информация о доступе к БД сайта. Конечно, злоумышленник будет искать пути, как получить доступу к файлу wp-config.php. Мы в свою очередь должны спрятать этот файл от тех, кто захочет получить доступ к нему, просто возьмите и переместите wp-config.php на один уровень вверх в иерархии вашего сервера (это никак не повлияет на работу блога).
5. Ключи безопасности
Ключи безопасности в файле wp-config.php нужно всегда при установке WordPress ставить ключи безопасности, многие даже и не знаю о существовании таких ключей. Все что нам нужно сделать так это зайти на специальный сайт, где автоматически сгенерируются эти ключи, а затем открыть файл wp-config.php и вставить ключи безопасности.
Хаки для безопасности WordPress
1. Версия WordPress
. Скрываем версию WordPress от чужых глаз. Чтобы посмотреть, какая версия WP у Вас стоит, злоумышленнику хватит посмотреть исходный код вашего блога, и там он увидит вот такую строку:
Чтобы скрыть версию WordPress, нужно зайти в файл function.php (он находится в папке шаблона), и вставьте вот этот код:
А затем немного отредактировать файл header.php (он находится в папке шаблона). Зайдите в него и найдите вот такой кусок кода и удалите его:
2. Просмотр директорий
Закрываем просмотр директорий. Некоторые хостинги позволяют просматривать директории сайта (папки сайта), мы же не хотим, чтобы плохие люди могли просматривать наши папки на сервере. Для этого нужно закрыть эту лазейку. Зайдите в файл .htaccess (что бы отредактировать этот файл откройте его с помощь блокнота) и добавьте вот эту строку:
Options-Indexes
3. Ошибка авторизации
Отключаем сообщения об ошибках авторизации при заходе в админку WordPress. Может, кто-то замечал, что когда вводишь неверно пароль при заходе в админ. панель, WP выводит вот такое сообщения:
Такое же сообщения выводится, когда введен неверно логин, это еще одна лазейка для плохих людей. Чтобы отключить эти сообщения нужно зайти в файл function.php (он находится в папке шаблона), и вставить с новой строки вот этот код:
4. Защита на файл настроек WordPress
Выше я уже писал, что в файле wp-config.php записаны все данные о доступе к БД сайта, а это логин, пароль и названия Базы Данных. Чтобы плохой человек не получил доступ к файлу настроек WP, нам нужно поставить защиту в файле .htaccess на файл wp-config.php. Для этого вставьте вот этот код с новой строки в файле .htaccess (чтобы отредактировать этот файл откройте его с помощь блокнота):
5. Защищаем WordPress от вредоносных скриптов
Злоумышленник может написать вредоносный скрипт, который отправит через форму на сайт в виде запроса. Чтобы пресекать в корне такие вредоносные запросы, нужно эти запросы проверять, нет ли в них кода скрипта или имена переменных. Для этого с новой строки в файле .htaccess пишем вот этот код:
6. Использование SSL
Использование SSL (криптографического)– протокола для защиты передаваемых данных между пользователем и сервером. Прежде чем включить использования SSL – протокола узнайте, поддерживает ли Ваш хостинг SSL-протокол. Если поддерживает, тогда чтобы его включить, зайдите в файл function.php (он находится в папке шаблона), и вставить с новой строки этот код:
Плагины для безопасности WordPress
1. WP Antivirus
WP Antivirus – небольшой антивирус для WordPress, который проверяет все файлы вашего шаблона на наличия вредоносных кодов, если он что-то опасное находит, тогда он Вам сообщит. А также, если хотите получать ежедневный отчет на свой email, тогда в настройках плагина нужно вписать свой email и поставить галочку возле пункта «Включить ежедневное сканирование антивирусом».
2. Login LockDown
Login LockDown – плагин, с помощь которого можно поставить количество попыток авторизоваться в админ. панель WP, а также можно блокировать на определенное время IP тех пользователей, которые несколько раз подряд вводили неправильный данные. В настройках плагина Вы увидите такие настройки как:
3. WP Security Scan
WP Security Scan – очень хорош плагин для анализа безопасности сайта на WP. В настойках плагина есть вкладка «Scanner», там можно посмотреть на всех ли файлах и папках стоят правильные права доступа (для папок права доступа должны быть 755, кроме таких папок как cache и uploads на них 777, а на файлы – 644).
Таблицы в Базе Данных WordPress по умолчанию при установке имеют префикс «wp_», это есть не очень хорошо, для устранения этой проблемы нужно переименовать этот префикс на более сложный. Чтобы не влезать в БД и все править руками, можно воспользоваться WP Security Scan, он сам переименует во всех таблицах префикс на новый. Вам нужно только на вкладке «Database» вписать, какой именно префикс Вы хотите.
После сканирования сайта и устранения всех лазеек, плагин WP Security Scan можно деактивировать и удалить.
4. Stealth Login
Stealth Login – с помощью этого плагин можно спрятать страницу авторизации от плохих людей. Например, вместо стандартной страницы авторизации «ваш-сайт.ru/login.php» можно поставить вот такой адрес «ваш-сайт.ru/admin» или какой-то другой. Это уже зависит от ваших нужд и фантазии.
5. Anti-XSS attack
Anti-XSS attack – уже с названия плагина можно понять для чего он. Плагин предназначен для отбивания XSS атак на WordPress. Подробнее про то, как работает плагин можно прочитать на странице автора плагина (на русском). Anti-XSS attack не имеет никаких настроек, просто активируйте плагин и все, защита от XSS атак будет автоматически включена.
webformyself.com
Как раскрыть большую тему защиты блога в одной статье
Если помните, я еще несколько месяцев назад обещал написать статью на эту тему. Но все как-то руки не доходили, а писать, чтобы просто отписаться — это не в моем стиле. Любая статья должна нести пользу, иначе, зачем их писать?!
Так вот, теперь я понимаю, что хорошо, что не написал ее раньше, так как за это время я узнал намного больше того, что знал раньше. Всему свое время, как говорится. Та статья, которую я планировал раньше, сейчас была бы неполной. А ведь я хочу рассказать все, что знаю сам, мне нечего скрывать от Вас.
В общем, хочу рассказать много полезного о защите и безопасности ваших блогов и сайтов на движке Wordpress. В то же время я не хочу плодить множество статей и делать их похожими на многие другие. С одной стороны, обучение блоггингу это не моя специфика; есть люди, разбирающиеся в этом гораздо лучше. С другой, я ценю свое и ваше время, поэтому не занимаюсь ни копирайтом ни рерайтом на своем блоге.
Я рассказываю о людях, у которых приятно учиться, а также о курсах, на которые стоит обратить свое внимание.
Как же раскрыть эту тему в одной статье и собрать здесь столько информации, сколько я еще не встречал ни у одного автора? Догадались? Информативная часть статьи будет в виде плана работ, которые нужно провести, чтобы по максимуму обезопасить свой блог от различных попыток вторжения извне.
План будет их двух частей: обязательной и дополнительной. Эти меры разделены условно, и это лишь моя точка зрения на вопрос безопасности. У Вас может быть другой подход и свои мысли. Кстати, высказывайте их в комментариях! Если я что-то все-таки упущу, Ваше дополнение будет очень полезным многим читателям. Сделайте доброе дело, не пожалейте несколько минут своего времени для всеобщего блага.
Чтобы не повторяться и городить лишнего, я просто буду оставлять ссылки на статьи тех авторов, которые мне больше всего понравились. Они очень понятные, я сам разбирался по ним и вносил изменения. Получилось у меня, получится и у Вас!
Безопасность блога — это очень важно
Много писать не буду. Это лишь для тех, кто еще не представляет насколько этот вопрос важный. Трудно представить более важную тему на начальных этапах развития блога, чем безопасность его от взлома. Если Вы задаетесь вопросом: как защитить блог на вордпресс, то вы попали туда куда нужно, и здесь найдете все, что необходимо.
Если же защита блога кажется вам делом сомнительным, то задумайтесь на минутку. Представляете, как будет обидно, если вы стараетесь, вкладываете свое драгоценное время и много сил, чтобы вести блог, настраивать его, писать статьи, а в один момент (который наступит внезапно) ваш блог станет вам неподвластен или хорошенько испорчен. Может быть, это не ощущается в первые дни ведения блога, но когда блогу несколько месяцев и даже годы, это большая потеря.
Может быть, вы думаете, что я перегибаю палку и напрасно вас пугаю? Не думаю так. Я слышал множество историй о взломах и всякого рода вредительствах. В сети полно хулиганов. Хорошим специалистам по взлому до молодых блогов конечно нет дела, а вот мелким пакостникам бывает нечем больше заняться, как досадить кому-то. Знаете почему я не сказал «хакеров»? Хакер — изначально хорошее слово (почитайте в словаре, или здесь), но среди них есть те, кто причиняют проблемы и портят тем самым репутацию слову.
Блогов на движке Wordpress больше всего, а значит, способов и вариантов взлома уже более чем достаточно. Давайте займемся тем, что будем прикрывать эти лазейки! Защита, которую я предлагаю вам сделать, будет многоуровневой.
Спорить не буду, взломать можно почти все, что угодно, но как говорится «береженого бог бережет». Проделав эту работу, вы всегда будете спать спокойно и не переживать лишний раз за свое детище. Разве оно того не стоит?
Меры по защите блога Wordpress от взлома
Ну что же, давайте начнем. Попейте чаю, кофе или что у вас там есть, и приступим. Будьте внимательны! Работы тут не на один час. Можете сохранить статью в закладки, чтобы не потерять.
Обязательные меры безопасности
- Бекапы блога и Базы Данных блога. Это нужно проделать в самую первую очередь и выполнять время от времени, чтобы всегда была возможность восстановиться в случае чего. Никто не застрахован от ошибок. Многие хостинги предоставляют такую возможность. У меня timeweb, там в новом интерфейсе есть подраздел «Резервные копии». Справа три закладки: Файлы, Базы данных и Статус задач. На вкладке «Файлы» нажимаете кнопку «Сохранить» напротив нужного сайта, потом на вкладке «Базы данных» нажимаете «Сохранить копию» напротив нужной БД. Все файлы сохраняются в домашнем каталоге, их можно скачать с помощью FTP-клиента, например FileZilla. Буду думать, что все это умеют. Если нет, то рекомендую посмотреть этот бесплатный курс по блоггингу. При необходимости там есть кнопки «Восстановить». Другой вариант — делать резервные копии файлов через FTP-клиент перед тем как их менять. В кабинете на странице раздела «Базы Данных MySQL» можно перейди в админку БД phpMyAdmin и на стнанице «Экспорт» выгрузить всю базу данных в виде .sql-файла. Я делаю бекап блога раз в месяц и бекап БД примерно каждую неделю и вам рекомендую не лениться. Более подробно про бекапы можете почитать здесь
- Меняйте пароль пользователя в личном кабинете хостера время от времени. В timeweb это делается в Профиле аккаунта. Пароли делайте сложными, содержащими большие и маленькие латинские буквы и цифры. Чем пароль длиннее, тем надежнее, я предпочитаю больше 20 символов.
- Поменяйте логин в админке вордпресс. Стандартный логин «admin», оставлять его таким очень опасно, так как есть большая вероятность, что кто-то будет пытаться подбирать пароль. Как поменять логин пользователя вы можете узнать из этой статьи, там все очень доступно описано.
- Регулярно меняйте пароль в админке вордпресс. Вот здесь хорошо описана эта процедура.
- Удаление логина из названия класса в комментариях. Даже после того как вы поменяете логин в админке, знающие люди смогут его без труда узнать. Я сам только недавно узнал про эту лазейку. Чтобы ваши старания не были напрасными, прикройте ее. Это делается за 5-10 минут. Как это сделать смотрите здесь.
- Изменение адреса входа в админку. Наверняка вы знаете, что попасть на админку сайта на движке вордпресс можно со страниц http://site.ru/wp-admin/ и http://site.ru/wp-login/. Это стандартные страницы, их все знают, и это слабое место. Но страницу для входа в админку можно сделать уникальной. Я эту страницу поменял, и если вы попробуете эти ссылки, заменив site на dmitriyivlev, то попадете на главную страницу моего блога. Здорово, да? Если хотите также, то читайте эту полезную статью.
- Настройки по защите в файле .htaccess. В этом файле тоже необходимо внести дополнительные настройки и тем самым обезопасить свой блог еще сильнее. Хорошая инструкция есть в этой статье.
- Уберите файлы readme.html и license.txt из корневой директории вашего блога. Если остались директории блога (например, wp-includes), к которым хотите закрыть доступ, то можете добавить ограничение в файле .htaccess или просто создать пустой файл index.php и положить его в нужную директорию.
- Обязательно прочитайте эту статью по защите блога, из которой узнаете про плагин All In One WP Security, плюс еще два очень полезные плагина. Также там есть ссылка на статью по защите от спама.
dmitriyivlev.ru
Как думаете, многие уделяют внимание своей информационной безопасности? Даже если вы никогда не задавались этим вопросом, уверяем вас — они в меньшинстве. А ведь достаточно потратить всего пару минут на то, чтобы настроить менеджер паролей или убедиться, что вы совершаете денежные операции по зашифрованному протоколу https. Это очень просто — и это в разы увеличивает вашу интернет-безопасность.
1. Удалите пользователя Admin
Начнем с азов: по умолчанию администратор вашего блога носит имя Admin, которое, по существу, является половиной необходимой для хакеров информации. Узнав имя пользователя, злоумышленнику остается взломать пароль. Не исключено, что и здесь все пойдет как по маслу — вряд ли человек, который не удосужился изменить имя пользователя, будет выдумывать сложный пароль, а тем более — использовать для этого какие-либо дополнительные инструменты.
Итак, первым делом вам следует создать нового пользователя с вменяемым именем и передать ему администраторские полномочия, а оригинального Admin попросту удалить.
2. Используйте добротные пароли
Как бы там ни было, узнать имя пользователя — плевое дело. Именно поэтому вся ответственность ложиться на ваш пароль.
Проблема простых паролей выходит далеко за пределы сайтов на «Вордпрессе», однако решается она так же просто, как и предыдущая. Чтобы не ломать себе голову, выдумывая надежный пароль, а потом, в случае его «пропажи», не рвать на себе волосы, лихорадочно вспоминая заветную комбинацию или хотя бы адрес электронной почты, на которую был зарегистрирован аккаунт, используйте менеджеры паролей типа LastPass или 1password. Они генерируют по-настоящему надежные комбинации, избавляют вас от необходимости эти комбинации запоминать, а также обладают высоким уровнем защиты от взлома.
Если у вас на сайте несколько авторов, сделайте подобную практику обязательной. В противном случае, даже если вы защитите свой аккаунт всеми возможными способами, а логин и пароль вашего коллеги будет max и max123, соответственно, то ничего хорошего из этого не получится. К слову, менеджеры паролей обладают массой других преимуществ. Судите сами:
3. Вовремя обновляйте движок WordPress
Каждое обновление данной CMS — это не только визуальные доработки или новые функциональные возможности, но и постоянные улучшения безопасности. То же самое касается плагинов и даже темы, которую вы используете на своем сайте.
Апдейт — это также сущий пустяк. Во-первых, вам не нужно следить за обновлениями на специализированных форумах или рыскать в их поисках по другим сайтам — уведомления о новых версиях появляются прямо в вашей панели администратора. Во-вторых, далее от вас потребуется ровно два клика: активировать и подтвердить установку обновления.
4. Регулярно делайте резервные копии базы данных
Бекапы — еще одна важная составляющая вашей безопасности. Последствия взлома бывают разные: может пострадать ваша репутация, можно лишиться домена, могут исчезнуть данные, которые хранились на сайте в единственном экземпляре, не говоря уж о том, что все те часы, потраченные на оформление и публикацию страниц и материалов, попросту потеряют смысл.
Резервное копирование успешно решает половину из этих проблем, причем WordPress поддерживает разные сценарии как платных, так и бесплатных бекапов. Плагин WP-DB-Backup — один из самых популярных инструментов в своем роде. Помимо прочего, он позволяет настроить автоматическое создание резервной копии, которая затем будет отправлена вам на почту.
Если вы пользуетесь облачным хранилищем данных Dropbox, то WordPress Backup to Dropbox — еще один отличный способ прикрыть тылы. Плагин подключается к Dropbox по протоколу авторизации OAuth, который обеспечивает ограниченный доступ к защищенным ресурсам пользователя без использования его чувствительных данных (логин-пароль).
5. Ограничьте кол-во попыток входа в админку
Limit Login Attempts — отличный плагин, который предназначен для защиты от brute-force (англ. «метод грубой силы») хакерских атак. Он ограничивает количество неправильных попыток ввода логина и пароля (точка входа: http://example.ua/wp-login.php), что значительно повышает устойчивость вашего сайта ко взлому.
Плагин отличается простыми настройками, которые позволят регулировать количество неудачных попыток, а также определить, при каких условиях и на какое время незадачливый взломщик будет «изолирован».
5.1 Спрячьте сам вход в панель администратора
Вход в админку можно замаскировать, установив WordPress в директорию с каким-нибудь заковыристым именем. Это может быть и девичья фамилия вашей матери, и какое-нибудь iloveseoverymuch. Имя не имеет значения, главное — изменить адрес точки входа.
Важно: если вы изменили путь установки «Вордпресса», необходимо зайти в «Параметы — Общие» и указать в графе «Адрес WordPress (URL)» новый путь к CMS-системе, а в «Адресе сайта (URL)» — реальный адрес http://exаmple.ua/, который и будут видеть ваши посетители.
6. Скройте версию WordPress
Версия вашей CMS-системы — весьма ценная информация для злоумышленников. По умолчанию она доступна всем и каждому, но это легко исправить. Если вы разработчик, проще всего внести изменения в файл functions.php, если же программирование не для вас, можно установить популярный плагин Better WP Security и скрыть версию «Вордпресса» с его помощью.
К слову, Better WP Security умеет «из коробки» делать практически все, о чем мы говорили выше, а также многое другое. Но плагины, как известно, время от времени барахлят, конфликтуют с себе подобными и даже тормозят работу всего ресурса, потому мы рекомендуем обезопасить свой сайт своими же руками. Благо, это действительно просто.
7. Проверяйте
Наконец, никогда не устанавливайте плагины из непроверенных источников. Из плагинов получаются отличные троянские лошадки, чем и пользуются взломщики. Убедитесь, что вы инсталлируете именно то, что вам нужно, и обязательно просмотрите отзывы на WordPress.org. Естественно, нет никакой нужды собирать подробное досье на каждого из разработчиков, но и слепо верить каждому, кто предлагает вам очередную утилиту, не стоит.
А какие меры по безопасности принимаете вы? И сталкивались ли вы с попытками взлома вашего сайта?
blog.aweb.ua
Полезные советы по защите блога
Первый и, наверное, один из самых важных советов, хотя бы раз в месяц (я делаю это каждую неделю) проводите резервное копирование базы данных и для полной уверенности файлы и папки самого сайта. На самом деле, сделать это очень просто – установите плагин wp-db-backup и после его настройки он сам будет регулярно присылать вам на почту архивы с базой данных вашего блога. Более подробно о процессе настройки плагина и резервного копирования самого блога вы можете почитать тут.
Совет №2. Постоянно следите за обновлениями вашего блога, обновляйтесь сразу как оно доступно в вашей консоли, обновлять стоит не только сам движок WP, но и все плагины и темы. С новыми дополнениями выходят заплатки к дырам безопасности, поэтому постоянное обновление обязательно!!!
Совет №3. Используйте сложные пароли на базу данных, доступ в админку блога состоящие из различного регистра букв, цифр, символов. Многие вебмастера пренебрегают этим правилом, а потом очень сильно об этом жалеют. Вот примерный мой пароль на админку —
www.seofive.ru
Чем больше внимания привлекает Ваш сайт (растет посещаемость, узнаваемость и т.д.), тем больше находится желающих Вам подо**ать. Неважно кто это — конкуренты, завистники или просто «Вася» из соседнего города, но они попытаются взломать Ваш сайт.
Наши труды — статьи, которые писались днями и ночами, бриллиантовые комментарии пользователей, лояльность которых мы заслуживали не один месяц или даже год, могут быть украдены или просто уничтожены практически мгновенно. Страшно, да?
Сейчас, когда Ваш сайт обретает черты чего-то большего чем онлайн-дневничок, самое время подумать о безопасности, но как бы хороши не были контрацептивы, тут они не помогут ;). Здесь понадобится немного иной подход.
В этой статье я собрал несколько необходимых, первоочередных решений для wordpress, которые прикроют Ваш зад возможные лазейки для злоумышленников и помогут защитить Ваш блог.
1. Не используйте логин «admin»
Это первое, что приходит на ум. При установке wordpress система предлагает в качестве имени основного пользователя использовать «admin». Большая часть пользователей оставляют это имя по-умолчанию и совершенно зря. Задача злоумышленников упрощается многократно, теперь им достаточно подобрать пароль, ведь логин они уже знают.
Свежие версии wordpress, начиная с 3.0, имеют в своем арсенале опцию изменения логина администратора сайта. Но если у Вас, как и у меня, версия более древняя :), тогда на помощь придет SQL запрос, который необходимо выполнить в панели phpMyadmin:
Если Вы не в курсе что это такое, тогда рекомендую обратить внимание на эту статью, в которой описан процесс выполнения sql запросов, а также приведено несколько полезных sql команд, с помощью которых можно значительно оптимизировать базу данных своего блога.
А еще можно создать нового пользователя с правами администратора, с более сложным логин и паролем, а стандартного юзера «admin» с id=1 просто удалить, предварительно указав в опции «Связать все записи и ссылки с:» своего нового, только что созданного пользователя. Тоже хороший вариант ?
2. Сгенерируйте и пропишите уникальные ключи аутентификации
В файле wp-config.php (или wp-config-sample.php при установке) имеются строки уникальных фраз:
define(‘AUTH_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘SECURE_AUTH_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘LOGGED_IN_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘NONCE_KEY’, ‘vasha_unikalnaya_fraza’);
define(‘AUTH_SALT’, ‘vasha_unikalnaya_fraza’);
define(‘SECURE_AUTH_SALT’, ‘vasha_unikalnaya_fraza’);
define(‘LOGGED_IN_SALT’, ‘vasha_unikalnaya_fraza’);
define(‘NONCE_SALT’, ‘vasha_unikalnaya_fraza’);
Эти строки усиливают безопасность Вашего блога хешированием (шифрованием) паролей. Чтобы получить полностью готовые к употреблению строки уникальных фраз, достаточно пройти по адресу https://api.wordpress.org/secret-key/1.1/salt/. Система выдаст Вам что-то подобное:
define(‘AUTH_KEY’, ‘`rgC;!Zcz+N7n+KR*30DXo«|,~COTB^OD&A+m3 define(‘SECURE_AUTH_KEY’, ‘]w(,Y;euh$ Byo-w$u{;hn|m&_Ws`}_xv*5%4m9CS[=W3Yp-?akJNa:+fb-QpSN-‘);
define(‘LOGGED_IN_KEY’, ‘&-y
GG#Z|=S6fV{@QF1I-Jh[*ce`qL75|mcI]0b92}~+K1(< !fjoJ}0{,`RI’);
define(‘NONCE_KEY’, ‘0!lV!.JLoTv%*EM]Jl$P$wDMZYhCA.%4%LC|V`fM}J+-J7WPiZac7ab+99GW7Q2]jslS>%2CK5<+w:W:0OXK7d=a88R^B+DCn$C_7&~pBLIR+-Mybj[s2H;L{$v>,_-/6’);
define(‘NONCE_SALT’, ‘dz-S3&#j|T`oW-|B{2nj<]1|H)MV]q9[QIzlqng(e,HPs]1?J:6B3/V6a>’);
3. Воспользуйтесь плагином Login LockDown
Принцип работы плагина Login LockDown достаточно прост, но в тоже время функции, которыми он обладает, незаменимы в общей структуре безопасности сайта. Он предотвратит попытки взлома подбором комбинаций логина/пароля панели администратора вашего wordpress блога.
Login LockDown ведет лог всех неудачных попыток входа в админ-панель. В эти логи входит такая информация, как IP адрес пользователя, время попыток, периоды между повторными пробами авторизаций и если таковых из одного диапазона IP адресов становится больше, чем установлено Вами в настройках плагина, то система блокирует дальнейшие попытки входа.
По-умолчанию плагин имеет достаточно жесткие ограничения на попытки входа в систему (3 попытки с интервалом в 5 минут с небольшого диапазона IP адресов, если неудачно — блокирует на 1 час), потому в каких-то особых настройках не нуждается. Установили и забыли ;).
4. Защитите содержимое папок wp-includes и wp-content
Это невероятно, но содержимое этих папок очень часто можно просматривать прямо из браузера. Достаточно набрать в адресной строке http://pervushin.com/блог/wp-includes или http://pervushin.com/блог/wp-content, или http://pervushin.com/блог/wp-content/plugins и в браузере отобразится список файлов конкретной директории:
Попробуйте на своем блоге, видите? Это совершенно недопустимо, надо исправлять, мы же не хотим, чтобы кто-то изучал структуру нашей темы, например ;).
а) Исправляется это достаточно просто. Создаем пустой файл index.html или index.php и забрасываем во все имеющиеся папки и подпапки.
б) Можно расширить функциональную часть этих файлов редиректом. Опять же, создаем файл index.html или index.php, но на этот раз добавляем в этот файл строку:
Забрасываем этот файл во все директории указанных папок и пробуем набрать, например, http://pervushin.com/адресайта/wp-includes. Ну как? Перебросило на главную Вашего сайта? Наверное так даже лучше будет ?
в) А еще можно установить плагин AskApache Password Protect, который добавит более серьезную защиту папкам wp-admin, wp-includes, wp-content и их содержимому.
Вроде бы и заканчивать на этом можно, но способов в статье озвучено 4, а в заголовке почему-то 5 :). Для полного комплекта давайте добавим пятый пункт.
5. Общие рекомендации по защите блога на wordpress
— регулярно делайте бекап всех данных сайта, начиная с файлов самого wordpress и заканчивая базой данных mysql. Как это делается читайте здесь.
— при поступлении обновлений для самого движка и установленных плагинов обновляйтесь. В свежих версиях скриптов всегда найденные уязвимости устраняются. Обновление сайта — это шаг серьезный и достаточно рискованный. Потому перед выполнением не забудьте сделать бекап всех ваших данных. Очень не редко обновление системы проходит не так гладко, как хотелось бы.
— удалите неиспользуемые плагины, темы и неактивных пользователей. Неиспользуемые и даже не активированные плагины и темы могут послужить злоумышленнику в поисках «узких» мест в вашем сайте, не дайте ему такой возможности.
— время от времени меняйте свой логин и пароль в системе. Возможно взломщик уже сейчас подбирает логин и пароль к вашей системе, и уже наполовину сделал это, а Вы бац и сменили их. Приятно же «свинью» этому нехорошему человеку подложить ?
Не стоит конечно становиться параноиком и зацикливаться на безопасности блога, перекрывая все и вся, но кто знает, возможно это спасет жизнь Вашему сайту.
Удачи Вам, друзья, берегите себя и свои труды!
p.s. 100 рублей за последний комментарий — продолжим? Условия здесь (кстати, призовой фонд того поста пополняется каждую неделю на 10 рублей ;)).
pervushin.com
1. Отключите редактор WordPress Theme & Plugin
WordPress имеет удобную функцию, которая даёт владельцам сайтов большую гибкость, позволяя им настраивать и редактировать свои темы и плагины прямо с дашборд-панели WordPress, но эта функция устранена в большинстве блогов. С этой функцией малейшая ошибка может привести к сбою сайта и лишить вас же доступа к нему.
Хакеры могут легко вставить вредоносный код в вашу тему, чтобы получить доступ на сайт через бэкдор или даже полностью захватить его, получив контроль над учётной записью, имеющей достаточно привилегий для использования редактора темы и плагина.
Вы можете защитить себя путём отключения редактора, что устраняет возможность менять свои темы и плагины без доступа по FTP. Для данного действия добавьте нижеуказанный код в файл WP-config.php:
define( 'DISALLOW_FILE_EDIT', true );2. Включите двухфакторную аутентификацию
Двухфакторная аутентификация быстро становится одним из самых надежных способов защиты учётных записей в Интернете, и самые надежные сайты будут настаивать, что пользователи использовали её. Хотя WordPress не обладает встроенной двухфакторной аутентификацией, можно включить её в своём блоге, установив следующие плагины:
- Google Authenticator;
- Authy;
- Clef Two-Factor Authentication;
- Rublon.
Об установки плагинов можно прочитать в Интернете воспользовавшись поиском. Про них очень много подробных инструкций в РУнете.
3. Ограничьте логины на основе количества неудачных попыток входа
Есть много способов, которыми хакеры пытаются получить доступ к блогу, и один из наиболее распространённых методов — метод подбора перебором (bruteforce). Хакер снова и снова пытается найти комбинацию имён пользователей и паролей, пока не найдёт правильное сочетание.
По умолчанию в WordPress нет защиты от таких атак. Установив плагины, которые ограничивают доступ после определённого числа неудачных попыток с конкретного IP-адреса, вы можете затруднить хакерам получение доступа к своему блогу. Плагин Jetpack Protect Module также может защитить вас от bruteforce-атак.
4. Регулярно проверяйте блог
Файлы тем, плагинов, ссылки и другие вроде бы безобидные элементы могут быть использованы для получения доступа к вашему блогу. Не ждите, пока он не будет полностью заражен, прежде чем принимать меры.
Вместо этого установите плагины сканирования безопасности и регулярно проверяйте веб-сайт. Они будут уведомлять вас, если файлы были изменены.
Хороший пример плагина безопасности — Wordfence. Он не только даёт возможность вручную/автоматически сканировать блог, но и мгновенно уведомляет, когда там происходит подозрительная деятельность. Он также отправляет информацию о потенциально вредоносных комментариях и сравнивает файлы темы и плагина с хранилищем WordPress, чтобы отследить изменения, которые потенциально могут служить лазейкой для хакеров на ваш сайт.
Другие плагины безопасности, которые могут помочь сканировать блог на наличие вредоносных программ и эксплойтов:
- Sucuri Security Scanner;
- Acunetix WP Security;
- iThemes Security (ранее известный как Better WP Security).
5. Защита WordPress сайта путём смены хостинга
Хотя это звучит как слишком простой совет, на самом деле он важен. Исследования показывают, что 41% взломанных сайтов на WordPress были взломаны через уязвимости их хостинга. Это гораздо больше, чем по другим причинам, в том числе из-за слабого пароля.
Ваш хостинг может играть важную роль в том, будете ли вы взломаны или нет; убедитесь, что вы используете только надёжные веб-хосты, которые выдержали испытание временем и которые используют передовые методы защиты.
6. Скройте номер версии WordPress
По умолчанию WordPress показывает номер версии, что позволяет отслеживать, сколько блогов на WordPress работает по всему миру. Это же может быть источником больших проблем: хакеры и боты могут сканировать сеть в поисках блогов с определёнными уязвимостями на определённых версиях WordPress, что делает вас лёгкой мишенью.
Вы можете легко решить эту проблему, скрыв номер версии WordPress. Чтобы спрятать версию, добавьте указанный ниже код в файл functions.php:
add_filter( 'the_generator', '__return_null' );7. Отключите доклады об ошибках PHP
Когда плагин или тема не работают на вашем блоге на WordPress как положено, отчёты об ошибках PHP могут помочь, показав сообщение с описанием причин ошибок. В этом есть и недостаток: при сообщении об ошибке PHP показан полный путь на сервере до источника ошибки, что открывает информацию, которую хакеры могут использовать против вас.
Вы можете защитить себя путем отключения отчетности PHP об ошибках. Добавьте следующий код в ваш файл WP-config.php:
error_reporting (0); @ini_set ( 'display_errors', 0);8. Поработайте над разрешением доступа к файлам WordPress
Когда речь идет о защите вашего сайта на WordPress от эксплойтов, важно установить права доступа к файлам. Это затруднит хакерам манипулирование плагинами, темами или файлами на сервере в попытках получить контроль над сайтом.
Убедитесь, что разрешения на папки WordPress установлены на 755 или 750; на файлы 640 или 644; разрешение WP-config.php установлено на 600.
9. Регулярно производите резервное копирование
Даже крупные сайты с командой экспертов по вопросам безопасности и консультантов бывают взломаны, и хотя следование лучшим практикам может сделать ваш сайт сильнее 99,9% остальных сайтов, полной гарантии неуязвимости нет.
Лучшей мерой против атаки на WordPress является надёжное резервное копирование; убедитесь, что вы делаете резервные копии вашего сайта на регулярной основе — если это возможно, ежедневно. Таким образом, если сайт взломан, у вас остались ваши файлы и сайт можно восстановить.
Вот одни из лучших плагинов для резервного копирования WordPress:
- BackUpWordPress
- Ready! Backup
- VaultPress BackupBuddy
Также некоторые хостинги практикуют ежедневное резервное копирование, (в том числе и мой) хостинг делает ежедневный бекап и сохраняет у себя в системе последние 8-ми дневные копии сайта и БД, к тому же всё это автоматически и не занимает ваше доступное место.
10. Ограничьте доступ к своей странице регистрации
Для защиты могут потребоваться и радикальные меры. Надёжным способом защитить ваш блог от попытки взлома является полное блокирование доступа к странице wp-администратора и wp-login.php.
Это рекомендуется только в том случае, если вы используете один неизменный IP-адрес. Вы можете использовать эту опцию, если у вас более одного IP-адреса, но нужно следить за этими адресами.
Чтобы ограничить доступ к странице входа в систему, добавьте следующий код в ваш файл .htaccess:
RewriteEngine on RewriteCond % ^(.*)?wp-login.php(.*)$ [OR] RewriteCond % ^(.*)?wp-admin$ RewriteCond % !^Your IP address 1$ RewriteCond % !^ Your IP address 2$ RewriteCond % !^ Your IP address 3$ RewriteCond % !^ Your IP address 4$ RewriteCond % !^ Your IP address 5$ RewriteRule ^(.*)$ - [R=403,L]Отредактируйте значения от Your IP address 1 до Your IP address 5, поставив значения тех адресов, которым хотите дать доступ; вы можете добавить или удалить строку, чтобы разрешить или запретить другим IP-адресам доступ к сайту.
Заключение
Вы не должны игнорировать простые советы по безопасности, вроде использования сложных имён пользователей и паролей, регулярного обновления WordPress и т.д. Однако указанные выше малоизвестные и часто игнорируемые советы по безопасности могут сделать ваш WordPress-блог чуть более надёжным.
Если же вам действительно важна защита сайта на WordPress, то советую приобрести видеокурс Александра Борисова по защите WordPress. Если не предпринимать ни каких мер, то рано или поздно вы столкнётесь с подобным и чем старше становится ваш сайт/блог, тем больше жуликов он привлекает, собственно и его утрата будет сильным ударом по психике и бюджету! Так что смотрите видеокурс и спокойно развивайте свои ресурсы.
babosik.ru