Советы по защите блогаПривет друзья, давненько не было обновления на моем блоге, сегодня будем исправлять эту досадную ошибку. Сейчас я полностью занят Марафоном по GGL, все время посвящаю ему, уже вроде и немного осталось, всего 2 сайта протолкнуть, и надеюсь, будет успешное финальное завершение. Но как говорится последняя миля самая трудная. Но об этом мы поговорим позже — в моем финальном отчете, а сегодня разберем наиболее эффективные методы и советы по защите блога. Не так давно, один из моих сайтов (обычный ГС под сапу) был взломан и внедрен код на какие-то wap-партнерки, Яндекс сразу среагировал и присвоил сайту отметку – «Сайт может угрожать безопасности вашего компьютера».

Около 2-х недель, методом проб и ошибок я исправлял ситуацию разными способами, и в конечно итоге выработал свою стратегию защиты блога. Давайте разберем по-порядку методы и приемы эффективной защиты блога от взломов и атак.

Полезные советы по защите блога

Первый и, наверное, один из самых важных советов, хотя бы раз в месяц (я делаю это каждую неделю) проводите резервное копирование базы данных и для полной уверенности файлы и папки самого сайта. На самом деле, сделать это очень просто – установите плагин wp-db-backup и после его настройки он сам будет регулярно присылать вам на почту архивы с базой данных вашего блога. Более подробно о процессе настройки плагина и резервного копирования самого блога вы можете почитать тут.

Совет №2. Постоянно следите за обновлениями вашего блога, обновляйтесь сразу как оно доступно в вашей консоли, обновлять стоит не только сам движок WP, но и все плагины и темы. С новыми дополнениями выходят заплатки к дырам безопасности, поэтому постоянное обновление обязательно!!!

Совет №3. Используйте сложные пароли на базу данных, доступ в админку блога состоящие из различного регистра букв, цифр, символов. Многие вебмастера пренебрегают этим правилом, а потом очень сильно об этом жалеют. Вот примерный мой пароль на админку — g[ueKHdf[…………eWn77, на базу данных, кстати, такого вида тоже используется. Советую вам коллеги использовать что-то похожее.

Совет №4. Смените префикс к таблицам WP в базе данных блога. Для этого измените две буквы wp_ на любое сочетание (имейте ввиду – использовать можно только буквы латынью и цифры).

Совет №5. Обязательно друзья, смените имя администратора заданного по умолчанию как admin.

Для этого зайдите в консоль вашего блога, после чего перейдите на вкладку Пользователи – Все пользователи и создайте нового пользователя с правами администратора и именем пользователя отличным от admin. После этого выйдете из консоли администратора и залогиньтесь в ней уже под именем нового администратора.

Идем во вкладку Пользователи — Все пользователи и удаляем из нее старого администратора, тут есть один нюанс – обязательно отметьте чекером — «Связать все записи и ссылки с другим пользователем», и выберете имя пользователя нового администратора.

удаление пользователя в WP

Совет №6. Скрываем системную информацию про версию движка. Для этого нужно открыть файл header.php (Вкладка – Внешний вид — Редактор) и удалить оттуда строку:

<meta name=»generator» content=»WordPress <?php bloginfo(‘version’); ?>» />

И добавить следующую запись в файл functions.php:

<?php remove_action(‘wp_head’, ‘wp_generator’); ?>

Удалите также файлы readme.html и license.txt (в корне блога) они абсолютно бесполезны, но злоумышленники могут оттуда извлекти необходимую информацию.

Совет №7. Не используйте в качества места хранения паролей доступа по FTP программу TotalCommander. Хранение в ней абсолютно незащищенное и ваш пароль могут легко взломать.

Совет №8. Защита файла wp-config.php. Для того чтобы злоумышленники не смогли просмотреть информацию по этому файлу просто запретим доступ к нему. Для этого добавляем следующий код:

<files wp-config.php>
order allow,deny
deny from all
</files>

в файл .htaccess и этой файл надежно защищен.

Совет №9. Защищаем директории блога от просмотра на сервере. Очень часто бывают ситуации, когда нехорошие люди хотят посмотреть содержимое вашего ресурса, а потом использовать это в своих целях, приведенные ниже советы по защите блога. Запретим это добавлением строки в файл .htaccess

Options All –Indexes

Совет №10. Использование защищенного протокола – SSL. Для начала спросите у службы поддержки вашего хостинга поддерживает ли он эту функцию, если да, то добавьте строку в файл — wp-config.php

define (‘FORCE_SSL_ADMIN’, true);

Таким образом, передаваемая вами информация будет надежно защищена не только от перехвата, но еще и от расшифровки.

Совет №11. Защита от XSS-инъекций. Пропишите в файл .htaccess следующий код:

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]

Совет №12. Удалите все неиспользуемые плагины, чем больше у вас таких плагинов, тем больше шансов у злоумышленников.

Совет №13. Убираем показ ненужной информации для взломщиков. Бывают ситуации, когда при вводе логина или пароля для авторизации в админке мы ошибаемся, и выскакивает предупреждающее окошко с ссылкой на восстановление пароля.

защита админки блога

Нам это не нужно, просто добавляем строку:

add_filter('login_errors',create_function('$a', "return null;"));

в файл functions.php и результат на лицо (ссылка с восстановлением пароля пропала вообще).

удаление ссылки "Восстановление пароля"

Используя в комплексе все эти советы по защите блога вы максимально сможете обезопасить свое детище от взлома и спать спокойно.

Друзья, если вам известны еще метода защите напишите их в комментариях.

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(2 голоса, в среднем: 5 из 5)