Как защитить свой блог на wordpress. Создаем блог на Wordpress. Делайте резервное копирование базы данных и файлов

Потом просто нажмите внизу кнопку «Обновить файл». Вот и всё. Редирект мы сделали.

• проверьте все установленные плагины и удалите неиспользуемые;

• сразу же и плагинов как только приходит информация об обновлении;

• создайте сложный пароль на панель управления хостингом и базу данных;

• закачивайте файлы на сервер только через панель управления и Php My Admin, а не через Фтп-клиенты;

И ещё одна полезная рекомендация. Если Вы считаете, что не справитесь с этим и Вам нужна помощь в защите своего ресурса, то пишите на почту суперпрограммисту, моему партнёру и просто отличному специалисту — Дмитрию Горунину: [email protected]

Ну вот в принципе и всё! Надеюсь был полезен. До встречи в новых статьях!

Не забудьте подисаться на обновления сайта внизу этой статьи, чтобы не пропустить полезную информацию.

• Перевод

Административная зона любого веб-приложения давно стала излюбленной мишенью для хакеров и её безопасность чрезвычайно заботит разработчиков. Это касается и WordPress - при сустановке нового блога система создает аккаунт администратора с уникальным случайно сгенерированным в реальном времени паролем, чем блокирует всеобщий доступ к настройкам системы, контролируя его c помощью страницы авторизации.

Эта статья сфокусирована на вопросах усиления безопасности WordPress - как административной панели, так и настроек блога, подразумевая все содержимое папки «wp-admin» , которое отображается только после авторизации . Мы сознательно выделили фразу "после авторизации " - вы должны четко осознавать, что только один простой запрос отделяет «злого хакера» и админку всего вашего блога или сайта! А последняя защищена настолько сильно, насколько мощный пароль вы выбрали.

Чтобы в разы усложнить задачу взломщиков, мы предлагаем набор операций, которые вы можете выполнить вручную. Эти решения не гарантируют 100% защиту, но с их помощью вы заметно улучшите безопасность вашего блога.

1. Переименуйте папку wordpress.

• Во-первых, все файлы WordPress не будут смешаны с другими файлами в корне сайта, таким образом мы повысим ясность корневого уровня.
• Во-вторых, множество копий WordPress может быть установлено параллельно в папки с разными именами, исключая их взаимодействие, что делает это идеальным для тестирования
• Третье преимущество напрямую касается безопасности: административная зона (и весь блог в целом) больше не находится в корневой папке и для проведения каких-либо действий по взлому сначала ее нужно будет найти. Это проблемно для людей, но что касается ботов - вопрос времени.

Примечание: Если системные файлы WordPress больше не в корневой директории, и имя папки инсталяции изменено в соответствии с рекомендациями, описанными выше, блог будет все равно доступен по адресу wp-config.ru . Почему? Зайдите в раздел «Общие настройки (General settings)» вашего блога и введите в поле «WordPress address (URL)» реальный адрес блога на сервере, как показано в примере:

Адрес блога должен быть красивым и ненавязчивым

Это позволит блогу отображаться по красивому виртуальному адресу.

2. Усовершенствуйте файл wp-config.php

• Ключи безопасности: начиная с версии 2.7, в WordPress есть четыре ключа безопасности, которые должны быть правильно установлены. WordPress спасает вас от необходимости выдумывать эти строки самому, автоматически генерируя правильные ключи с точки зрения безопасности. Вам просто нужно вставить ключи в соответствующие строки файла wp-config.php. Эти ключи являются обязательными для обеспечения безопасности вашего блога.
• Префикс таблицы заново установленного WordPress блога не должен быть стандартным «wp_» Чем больее сложным будет значение префикса, тем менее вероятна возможность несанкционированного доступа к таблицам вашей MySQL базы данных. Плохо: $table_prefix = "wp_"; . Намного лучше: $table_prefix = "wp4FZ52Y_"; Не стоит бояться забыть это значение - вам необходимо ввести его только один раз, больше оно вам не понадобится.
• Если у вас на сервере доступно SSL шифрование , рекомендуется включить его для защиты административной зоны. Это можно сделать, добавив следующую команду в файл wp-config.php: define("FORCE_SSL_ADMIN", true);

Не пренебрегайте установкой правильных ключей безопасности!

3. Переместите файл wp-config.php

4. Защитите файл wp-config.php

# protect wpconfig.php
Order deny,allow deny from all

Очень важно убедиться, что файл .htaccess находится в той же директории что и файл wp-config.php .

5. Удалите учетную запись администратора.

• Создайте еще одного пользователя с административными правами и вашим ником.
• Завершите сеанс работы.
• Залогиньтесь под новым аккаунтом.
• Удалите учетную запись "admin ".

Примечание: В идеале желательно чтобы логин нового пользователя отличался от отображаемого имени пользователя в постах, чтобы никто не узнал ваш логин.

6. Выберите сильный пароль.

Чаще всего именно пароли являются самым слабым звеном в этой цепи. Почему? Способы выбора пароля у большинства пользователей зачастую необдуманны и беспечны. Многие проведенные исследования показали, что большинство паролей - односложные существующие слова, набранные строчными буквами, которые не сложно подобрать. В программах подбора паролей существуют даже списки самых часто используемых паролей.

В WordPress реализован интуитивно понятный индикатор стойкости набираемого пароля, который показывает цветом его уровень сложности:

7. Защитите папку «wp-admin».

Для того чтобы просто и быстро сгенерировать файлы .htaccess и .htpasswd , воспользуйтесь этим сервисом .

8. Запретите отображение ошибок на странице авторизации.

Несложно догадаться, как быстро сокращается вероятность подбора комбинации логина/пароля, когда система указывает что именно введено неверно. Простая строка кода, поможет решить эту проблему, достаточно добавить её в файл functions.php вашей темы:

Add_filter("login_errors",create_function("$a", «return null;»));

Изначальный/измененный вид страницы авторизации.

9. Ограничьте количество неудачных попыток авторизации.

Защити блог и живи спокойно!

Сегодняшний день принесёт вам новые знания, а некоторым блоггерам поможет вспомнить хорошо забытое старое. В данном посте речь пойдёт о том, как обезопасить свой блог на движке wordpress от взлома. Вы должны всегда в жизни придерживаться одной важной аксиомы: Учиться на чужих ошибках – бесценно, а учёба на собственных – это очень тернистый путь…Поэтому с максимальным вниманием и концентрацией отнеситесь ко всему, что я буду дальше рассказывать.

Так вот, что вы сможете ответить на такой простой и популярный вопрос: «Как защитить wordpress от взлома?». Держу пари, что многие из вебмастеров попросту не смогут ответить на него, потому что даже не задумываются о такой ситуации. Сеха большинства начинающих блоггеров такова: установили блог, усыпали его плагинами и на этом миссия закончена. Дальше пишутся статьи, проводится раскрутка и продвижение сайта, а про его защиту нет никаких беспокойств и опасений. А зря… Сказал Бог Адаму:»Ты выбрал дорогу,
Но бурь и опасностей будет там много!»

Ни в коем случае не смею никого винить и хаять, потому что, будучи таким же новичком с горящими глазами, я сам пострадал от мошенников. Никакой защиты и никаких мер предосторожности я не предпринимал и мой первый сайт, где количество хостов достигало 3 сотен в сутки, был взломан. Логин и пароль, с помощью которых я входил в панель администратора, были изменены. Так что после этого печального случая я обязательно уделяю внимание защите сайта от хакеров. Как только сайт создан, в ход идут все действующие меры по анти взлому. Теперь многие плохие дяденьки и, самое страшное, злые школьники ни коем образом не могут навредить моему ресурсу.

Нужно помнить фразу Михаила Богородского «Нападение лени — защита Второго Я от Первого» и никогда не лениться делать то, что поможет вам оградить будущее от проблем и зажжет светлый огонек в личном и финансовом продвижении.
Ну что же, первым советом будет установка 2 очень полезных плагинов, которые обеспечат защиту входа в панель администратора wordpress.
Первый плагин — Anti-XSS attack;

Второй плагин — Login LockDown или Limit Login Attempts.

Если говорить про первый упомянутый плагин Anti-XSS attack, то он защищает сайт от XSS-атак. Ну а действие Плагина Login LockDown или Limit Login Attempts основывается на том, что у ресурса появляется определенная защита, которая предотвращает многократные попытки входа в админ панель вашего сайта. Посему, даже если взломщик будет подбирать разные комбинации логинов и паролей, чтобы получить долгожданный доступ к вашей административной панели (админке), после 3 неудачной попытки система в автоматическом режиме заблокирует вход на указанный отрезок времени. Не может не радовать простая настройка плагина и возможность владельцу сайта самостоятельно регулировать число допустимых попыток и время блокировки. Эти плагины вы легко найдете в интернете, воспользовавшись поисковиком, а после того, как они будут скачаны на компьютер, закиньте их в каталог wp-content/plugins. После этого пройдите быструю процедуру активации и настройки под свой вкус и готово! Вуаля!

Я солнце защищу от наглых взглядов, надев солнцезащитные очки! (Тим Зубрий)
Такой вариант нам не подходит, поэтому следующий на очереди
Второй совет. Поменяем данные для входа в админку, а именно логин и пароль администратора. Поскольку дефолтные настройки блога подразумевают логин admin, нам лучше его изменить. Такие действие невозможно провести в самой админки, поэтому мы обратимся к панели управления хостингом, где находим phpMyAdmin и заходим в него.

Там мы видим вкладку «Обзор», где выбираем строку admin и слева жмем кнопку «Правка»:

Здесь мы должны изменить значения admin (в двух местах) на любые другие и подтверждаем это нажатием на кнопку «ОК».
После того, как мы изменили наш логин для входа, дальше нам нужно сменить пароль. Я бы советовал вам менять старый пароль на очень длинный новый. Речь идёт как минимум о двух десятках символов, среди которых идут и цифры, и буквы.
Пароль меняется в этой же таблице, только в столбике user_pass. Просто убираете все текущие символы и иероглифы в поле напротив своего логина, а дальше печатаете новый пароль. Важно не забыть в выпадающем списке указать MD5 и кликнуть на клавишу «OK».

Третий совет. Перейдите в корень вашего блога и проведите удаление следующих файлов: readme.html и license.txt. Для вас они абсолютно никакой пользы не несут, а вот для мошенников они являются первым ключиком для взлома, ведь с помощью них злоумышленники могут узнать версию движка вашего сайта wordpress и еще массу полезных для себя вещей.

После этого перейдите в файл темы сайта header.php , чтобы там удалить строку” />
Почему? А всё по той же простой причине: чтобы не показывать версию wordpress.

Совет №4. Проведите установку плагина wordpress database backup. Этот плагин понадобится нам для защиты всей базы данных. Он еще полезен тем, что настройки позволяют активировать функцию: отправлять бекап базы данных на указанный электронный адрес каждый день, каждую неделю и т.д. После установки wordpress database backup вы можете не переживать за свою базу.

Совет №5. Пропишем в браузере следующие адреса:

1. http://ваш блог/wp-content/
2. http://ваш блог/wp-content/plugins/

Если после загрузки страницы вы можете переходить в каждую директорию блога и смотреть содержимое находящихся в них файлов и папок, то это весьма и весьма опасно. В таком случае нужно немедленно создать в каждой директории пустой файл index.php.
Если вы все операции сделали правильно, то после повторного открытия адресов http://ваш блог/wp-content/, http://ваш блог/wp-content/plugins/ в окне браузера будет чистая пустая страница.
Для большего спокойствия и уверенности советовал бы вам дополнительно прописать в файле.htaccess следующую строку:
Options All -Indexes

Совет№6 . Находим и открываем файл function.php и в конце кода вставляем такую строку:

После чего ищем файл search.php и ищем строку:

на

Такие действия не позволят хакерам и мошенникам проникнуть на ваш сервер и лазить по нему. А если указанный файл отсутствует в папке, то никаких изменений вносить не надо.
В принципе это всё, я постарался перечислить и объяснить все основные методы и приёмы для защиты блога wordpress.

Найдите свободное время и проверьте все плагины, которые используете. Если найдутся такие, которые вы не используете для работы, то не пожалейте и удалите их. Не забывайте своевременно обновлять плагины, чтобы не оставить дыры для хакеров.

Сделайте надежные и сложные пароли на аккаунте для входа на хостинг и для панели управления. Кстати, соединение и закачку файлов лучше проводить через эту самую панель управления хостингом. Использовать для этого FTP небезопасно.
Настоятельно рекомендую закрыть регистрацию для посетителей блога, этот ход также обезопасит ваш ресурс.
А теперь точно всё! Теперь каждый из вас сможет максимально защитить сайт на движке wordpress от взломщиков. Но я желаю вам никогда не сталкиваться с таковыми.

Я давно усвоил каждое слово Джозефа Аддисона и придерживаюсь его наставления: Если желаете добиться в жизни успеха, сделайте настойчивость своим лучшим другом, опыт - мудрым советником, осторожность - старшим братом, а надежду - ангелом-хранителем.

5 простых мер предосторожности, которые помогут вам защитить свой коммерческий блог от хакерских атак.

1: Удаление логина «Admin»
Хакеры ищут блоги, владельцы которых оставили логин администратора WordPress по умолчанию, поскольку это половина нужной им для взлома информации. Используя логин «Admin», вы экономите хакерам кучу времени – им остается только узнать ваш пароль. После этого они получат доступ к вашему блогу и смогут делать в нем все, что захотят.

Поэтому первый шаг к безопасности блога – создание себе нового профиля и удаление стандартного логина. После этого взломать ваш коммерческий блог будет сложнее.
Чтобы создать новый профиль, откройте админ-панель WordPress, войдите в раздел «Пользователи» и нажмите «Добавить нового».

Создайте нового пользователя и дайте ему роль администратора.
Заполните формы и убедитесь, что у вас есть права администратора, чтобы вносить необходимые изменения в свой блог. После создания пользователя разлогиньтесь из админ-панели WordPress и залогиньтесь, введя данные нового пользователя.

Снова зайдите в раздел «Пользователи» и удалите профиль администратора по умолчанию. На этом этапе WordPress предложит вам перенести все посты администратора на ваш новый профиль; выберите эту опцию - так вы не потеряете контент и данные.

2: Пользуйтесь надежным паролем

Сколько бы ни твердили людям об опасностях, связанных с использованием простых паролей, многие продолжают ими пользоваться, так как их легко запомнить. К сожалению, их также легко подобрать.
Очень важно использовать надежный и безопасный пароль. Он должен состоять минимум из восьми знаков и включать заглавные и строчные буквы, а также цифры и специальные символы.

Чтобы сменить пароль к WordPress на более надежный, зайдите в раздел «Пользователи» и выберите «Ваш профиль», затем заполните поля создания нового пароля – они находятся внизу страницы.
Так должен сделать каждый член вашей команды, поскольку каждый логин представляет собой потенциальную лазейку для хакеров.

3: Обновитесь до последней версии WordPress

Программы, темы и плагины WordPress регулярно обновляются, чтобы избежать уязвимости сайтов. При выходе новой версии WordPress вверху админ-панели появляется соответствующее сообщение.

Увидев желтое уведомление вверху админ-панели WordPress, обновитесь до последней версии.
Процесс обновления очень прост и происходит в один клик, так что вам не придется закрывать браузер или совершать какие-то манипуляции через FTP.

4: Бэкап базы данных блога

Резервное копирование базы данных - важная часть безопасности блога.
С WordPress для резервного копирования существуют простые платные и бесплатные решения. Новичкам проще всего использовать WP-DB-Backup - один из самых популярных плагинов для бэкапа данных WordPress.

Чтобы установить WP-DB-Backup, зайдите в раздел «Плагины» и выберите «Добавить новый». В строке поиска введите WP-DB-Backup. После этого нажмите «Установить» и «OK».

Найти и установить плагин для резервного копирования блога легко. Во вкладке «Плагины» нажмите «Добавить новый» и найдите WP-DB-Backup или другой плагин для бэкапа.
Активируйте плагин со страницы «Плагины».

После активации плагина в разделе «Инструменты» появится новый пункт Backup, с помощью которого ивы сможете сразу произвести резервное копирование вашей базы данных или настроить регулярное сохранение. Файлы резервного копирования можно загружать на жесткий диск или посылать на сервер по email.

Плагин WP-DB-Backup позволяет сохранять данные на сервер, загружать их или отправлять по почте.
Так вы сможете быть спокойны, что в случае чего ваши данные не потеряются.

5: Ограниченное число попыток входа

Плагин Limit Login Attempts особенно полезен для защиты от хакерских атак - он блокирует страницу входа в систему после определенного числа неудачных попыток залогиниться. Вы как администратор решаете, сколько попыток входа в систему можно произвести, прежде чем плагин активирует блокировку.

Чтобы установить этот плагин, зайдите в раздел «Плагины» и выберите «Добавить новый», как вы делали с плагином «WP-DB-Backup».

На этот раз в поиске введите «Limit Login Attempts», затем нажмите «Установить» и «OK». Активируйте плагин со страницы «Плагины». После этого в разделе «Параметры» у вас появится новый пункт: «Limit Login Attempts».

Чтобы установить допустимое число неудачных попыток входа, нажмите «Limit Login Attempts», заполните поля и сохраните изменения, нажав кнопку «Change Options».

Внимательно проверяйте каждый загружаемый вами плагин, так как с их помощью злоумышленники тоже могут получить доступ к вашему блогу.

Поэтому следует устанавливать только плагины из надежных источников и проверять обзоры каждого нового плагина на WordPress.org.
Заботьтесь о безопасности своего блога.