Лучшие советы по защите блога
Привет друзья, давненько не было обновления на моем блоге, сегодня будем исправлять эту досадную ошибку. Сейчас я полностью занят Марафоном по GGL, все время посвящаю ему, уже вроде и немного осталось, всего 2 сайта протолкнуть, и надеюсь, будет успешное финальное завершение. Но как говорится последняя миля самая трудная. Но об этом мы поговорим позже — в моем финальном отчете, а сегодня разберем наиболее эффективные методы и советы по защите блога. Не так давно, один из моих сайтов (обычный ГС под сапу) был взломан и внедрен код на какие-то wap-партнерки, Яндекс сразу среагировал и присвоил сайту отметку – «Сайт может угрожать безопасности вашего компьютера».
Около 2-х недель, методом проб и ошибок я исправлял ситуацию разными способами, и в конечно итоге выработал свою стратегию защиты блога. Давайте разберем по-порядку методы и приемы эффективной защиты блога от взломов и атак.
Полезные советы по защите блога
Первый и, наверное, один из самых важных советов, хотя бы раз в месяц (я делаю это каждую неделю) проводите резервное копирование базы данных и для полной уверенности файлы и папки самого сайта. На самом деле, сделать это очень просто – установите плагин wp-db-backup и после его настройки он сам будет регулярно присылать вам на почту архивы с базой данных вашего блога. Более подробно о процессе настройки плагина и резервного копирования самого блога вы можете почитать тут.
Совет №2. Постоянно следите за обновлениями вашего блога, обновляйтесь сразу как оно доступно в вашей консоли, обновлять стоит не только сам движок WP, но и все плагины и темы. С новыми дополнениями выходят заплатки к дырам безопасности, поэтому постоянное обновление обязательно!!!
Совет №3. Используйте сложные пароли на базу данных, доступ в админку блога состоящие из различного регистра букв, цифр, символов. Многие вебмастера пренебрегают этим правилом, а потом очень сильно об этом жалеют. Вот примерный мой пароль на админку —
Совет №4. Смените префикс к таблицам WP в базе данных блога. Для этого измените две буквы wp_ на любое сочетание (имейте ввиду – использовать можно только буквы латынью и цифры).
Совет №5. Обязательно друзья, смените имя администратора заданного по умолчанию как admin.
Для этого зайдите в консоль вашего блога, после чего перейдите на вкладку Пользователи – Все пользователи и создайте нового пользователя с правами администратора и именем пользователя отличным от admin. После этого выйдете из консоли администратора и залогиньтесь в ней уже под именем нового администратора.
Идем во вкладку Пользователи — Все пользователи и удаляем из нее старого администратора, тут есть один нюанс – обязательно отметьте чекером — «Связать все записи и ссылки с другим пользователем», и выберете имя пользователя нового администратора.

Совет №6. Скрываем системную информацию про версию движка. Для этого нужно открыть файл header.php (Вкладка – Внешний вид — Редактор) и удалить оттуда строку:
<meta name=»generator» content=»WordPress <?php bloginfo(‘version’); ?>» />
И добавить следующую запись в файл functions.php:
<?php remove_action(‘wp_head’, ‘wp_generator’); ?>
Удалите также файлы readme.html и license.txt (в корне блога) они абсолютно бесполезны, но злоумышленники могут оттуда извлекти необходимую информацию.
Совет №7. Не используйте в качества места хранения паролей доступа по FTP программу TotalCommander. Хранение в ней абсолютно незащищенное и ваш пароль могут легко взломать.
Совет №8. Защита файла wp-config.php. Для того чтобы злоумышленники не смогли просмотреть информацию по этому файлу просто запретим доступ к нему. Для этого добавляем следующий код:
<files wp-config.php>
order allow,deny
deny from all
</files>
в файл .htaccess и этой файл надежно защищен.
Совет №9. Защищаем директории блога от просмотра на сервере. Очень часто бывают ситуации, когда нехорошие люди хотят посмотреть содержимое вашего ресурса, а потом использовать это в своих целях, приведенные ниже советы по защите блога. Запретим это добавлением строки в файл .htaccess
Options All –Indexes
Совет №10. Использование защищенного протокола – SSL. Для начала спросите у службы поддержки вашего хостинга поддерживает ли он эту функцию, если да, то добавьте строку в файл — wp-config.php
define (‘FORCE_SSL_ADMIN’, true);
Таким образом, передаваемая вами информация будет надежно защищена не только от перехвата, но еще и от расшифровки.
Совет №11. Защита от XSS-инъекций. Пропишите в файл .htaccess следующий код:
Options +FollowSymLinks
RewriteEngine On
RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]
RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]
RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})
RewriteRule ^(.*)$ index.php [F,L]
Совет №12. Удалите все неиспользуемые плагины, чем больше у вас таких плагинов, тем больше шансов у злоумышленников.
Совет №13. Убираем показ ненужной информации для взломщиков. Бывают ситуации, когда при вводе логина или пароля для авторизации в админке мы ошибаемся, и выскакивает предупреждающее окошко с ссылкой на восстановление пароля.

Нам это не нужно, просто добавляем строку:
add_filter('login_errors',create_function('$a', "return null;"));
в файл functions.php и результат на лицо (ссылка с восстановлением пароля пропала вообще).

Используя в комплексе все эти советы по защите блога вы максимально сможете обезопасить свое детище от взлома и спать спокойно.
Друзья, если вам известны еще метода защите напишите их в комментариях.
и получай самую свежую информацию на свой e-mail!
Свежая информация в сфере SEO:
Огромнейшее спасибо за ликбез и за море полезной информации.Просто настольная книга для блоггеров.Надеюсь получать от вас интересные статьи в дальнейшем.Вступаю в ряды подписчиков.Я недавно тоже по собственной глупости чуть не попала в беду.Установила красивенький новогодний скрипт, да забыла, что бесплатный сыр бывает только в мышеловке.
Да бывает такое, нужно все перепроверять обязательно.
А еще не лишним будет использовать jAntivirus
Поставлю на вашу заметку ссылку.
Очень нужная информация! Я недавно потерял пол блога, так как не было сделано вовремя бекапа. А история такая же, как у Вас: Яндекс заподозрил блог в том, что на нем небезопасный код. Пока восстановил потратил огромное количество нервов и времени. спасибо за такую ценную информацию. Обязательно дам ссылку на эту статью в своем блоге.
Пожалуйста Юрий, спасибо вам за ссылку.
С бекапом и вирусы не так страшны, можно блог откатить предыдущую версию.
Ну ну,если вовремя не откатить,бекап уже не поможет.Потому что сам будет заражен
Не бэкапьте заражённый сайт. Или имейте несколько бэкапов.
Да это понятно.Но бекап то тоже заразиться может.
Полностью с вами согласна Александр. Порой пользователи теряют свои блоги,по глупости, вообще пренебрегая защитой. Хотя это первая заповедь любого блоггера,защита.
Света да а вторая не тупи, что за бред…
Подскажи, как свой блог о банях и саунах защищаешь?
Аналогичным образом.
Да вирус у тебя на этом сайте. предлагает хром за смс обновить…
Спасибо посмотрю что там.
Пользуюсь большинством советов.
А куда именно вставлять код в советах 8 и 11. В самом конце или где
Перед строкой # END WordPress
Спасибо 🙂
Обращайтесь 😉
Действительно большой список полезных вещей, которые лучше всего сделать с сайтом. В особенности, когда он начинает выбиваться в люди — там-то уж от взломщиков трудно будет уберечься…
Да защита своего сайта это краеугольный камень. Когда вы молоды и посещаемость у вас маленькая, вы некому кроме школьников и не нужны. А вот с приходом посетителей и когда их много, вы становитесь интересны и для взлома на профессиональном уровне. Поэтому советы что дает Александр надо выполнить в самом начале своего продвижения, хотя если вы не сделали тогда, сделайте сейчас, что вам мешает.
Воспользовался советами 8 и 9, и у меня сайт вообще не показывался. Выдавал ошибку 500.
Вернул все на место
Значит, где-то не туда вставили. Пробуйте в другое место вставлять код.
Ошибка идет из-за этой строки
Options All –Indexes
Убрал ее из файла, все заработало.
мне друг настраивал защиту, нужно пройтись по вашим пунктам и может что-то доделать еще!
Здравствуйте, Александр. Спасибо за важные советы. У меня вопрос по поводу плагина wp-db-backup. После его настройки на почтовый ящик будут приходить архивы с базой данных блога. Скажите, а не опасно их хранить в почтовом ящике, слышала, что ящик не так сложно при желании взломать?
Я кроме приведенных советов использую на блоге плагин iThemes Security. Если его правильно настроить и хорошенько в нём разобраться, то комплексная защита вам обеспечена.
Хотя 100% гарантии ничего не даёт))
Актуально. Я плагин решила установить для защиты, все равно общее их число на блоге (вместе с файрволом) 6 штук, надеюсь на работу блога не повлияет. И обнаружила, что ко мне в гости несколько раз за неделю наведывался неизвестный, человек или бот, который пытался войти в консоль с логином admin.
Я в шоке, если честно. Это так часто происходит, будто только и ждут нового сайта, чтобы его вскрыть. Не пойму их целей, у меня и блог-то новичок,никакой рекламы нет. Чего хотят?
Почти никокого не встречал кто бы менял префикс к таблицам WP в базе данных блога. А рекомендация нужная.
К сожалению при обновлении движка не все плагины обновляются.
Не все, главное что бы работали.Они в последствие бывают обновляются
Плагин может не работать при обновлённом движке или работать некорректно.
Правда это не совсем так. Сервер, на котором расположен мой блог не дает возможности просмотреть вложенные файлы в папке. Если Ваш сервер позволяет просматривать вложенные файлы, тогда добавьте пустой файл inbdex.php в эти три папки, о которых я писал выше.