Добро пожаловать в клуб по WordPress

Хотите присоединиться к не имеющему себе равных клубу по WordPress?
Не стесняйтесь и станьте частью большого сообщества. Пройдите простую регистрацию,
чтобы пользоваться всеми возможностями нашего клуба.
Присоединяйтесь к нам, вам обязательно понравится.

Как можно защитить блог от хакерских атак?

Тема в разделе "Защита wordpress", создана пользователем Romansello, 17 мар 2015.

  1. В последнее время все больше участились случаи хакерского вмешательства в блоги, которые по тем или иным причинам стали более или менее популярными. В данном топике предлагаю поделиться всевозможными средствами защиты от вирусов и хакерского вмешательства. Как-то не очень хочется вмиг потерять то, что делал не один месяц, а то и год.
     
    Maks нравится это.
  2. К сожалению хакеры не стоят на месте и с каждым разом придумывают новые способы взломов и с легкостью обходят защиту, но усложнить задачу злоумышленникам вполне реально, просто нужно придерживаться некоторых правил для вебмастера.
    • Во первых придумать очень сложный пароль и ограничить доступ по FTP.
    • Во вторых сменить стандартный логин на свой личный.
    • В третьих установить специальный плагин чтобы сократить количество попыток ввода пароля и время ожидания.
    • В четвертых удалить файлы readme.html и license.txt.
    • В пятых для файла function.php прописать этот код

      Вы не авторизованны на нашем форуме и не имеете возможности видеть этот код!

      Для того, что его посмотреть, Вам надо:

    • И последнее меняем путь к админ панели, при помощи плагина Protected wp-login.
     
    #2 Славянин, 19 мар 2015
    Последнее редактирование модератором: 19 мар 2015
  3. В дополнении к предыдущему автору. Не все советы ниже относятся к решениям внутри WordPress. Но они - значительно более эффективны.
    1. Ограничьте доступ к ресурсу с помощью файла ".htaccess" (c точкой в начале имени). Что это и как его создать, выходит за рамки темы WordPress. Погуглите, найдете немало советов по этому вопросу.
    2. Средствами WordPress и его плагинов от настоящих хакерских атак вы не спасетесь (нужна защита на уровне сервера). Но защититься от начинающего взломщика вполне под силу. За многие годы создания сайтов на WordPress я остановил выбор на плагине Best WP Security. Даже его бесплатная версия позволяет справиться с большинством угроз, включая "фишинг" и "brute force". Если вы - начинающий сайтостроитель, то создавать тотальную защиту (а это плагин позволяет) не стоит. Поскольку можете просто заморозить сам сайт или нарушить его функциональность.
    3. Закройте любой внешний доступ к папкам wp-admin и wp-include, поместив в них настроенный файл ".htaccess".
    4. Создайте пустой файл "index.php" в папке wp-content и в каждой её подпапке (ниже 2-го уровня, т.е., например, ниже "wp-content/plugins/", спускаться не обязательно). От хакеров это не защитит, но любопытных отвлечёт.
    В принципе, даже без плагинов и только следуя пунктам 1, 3 и 4 вы можете сделать базовую защиту сайта. Если будут частные вопросы, обращайтесь.
     
    #3 wpMaster, 19 мар 2015
    Последнее редактирование: 19 мар 2015
    Попай нравится это.
  4. Добавлю к вышесказанному, что не стоит пренебрегать редактированием файла wp-config.php
    Желательно сменить префикс таблицы
    Задать сложный пароль для базы данных
    Поменять секретные ключи с дефолтных
     
    Fishka нравится это.
  5. совершенно верно.
    это как раз на этапе установки WP.
    + к тому, что написали выше

    а потом стоит поставить

    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !


    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !


    Вы не можете просматривать внешние ссылки, что-бы просмотреть зарегистрируйтесь или авторизуйтесь на форуме !


    (причем не или/или, а все)

    в них настраивается все - от смены страницы логина и установки прав на файлы до защиты от sql и брута и минимальной защиты от ддоса..
    главное - настраивать аккуратно и не накосячить.
    плюс установить еще доп капчу на вход и на восстановление пароля.
    Если есть статич IP - то установить ограничение на вход (админка и фтп) только с него.
    и конечно в идеале всегда использовать последние версии движка и плагинов.
    и все бесплатное ставить только из оф репо.

    + регулярные бекапы.

    в эффективность вещей типа Hide My WP не верю.
    тк взломщикам не важно какая у вас версия вп. они просто перебирают известные уязвимости.
     
  6. кстати, еще желательно удалить wp-instal.php (или хотя бы переименовать).

    и если хоть немного разбираетесь, то сделайте самостоятельно (сгенерируйте) .htpasswd, который будет отсекать попытки брута ботами. Плюс этого в том, что запрос авторизации появляется до того, как вызова (обработки) wp-login.php, что уменьшает нагрузку на сервер.
     
  7. А зачем все то ставить? Первый и второй плагины одинаковые по функционалу. Ну второй поддерживает больше тонких настроек. В третий плагин больше предназначен для сканирования от вирусов, хотя в новых версиях в нес еще доп функционала напихали.
    Не надо сразу столько ставить плагинов. Достаточно одного, но правильно настроенного
     
  8. не совсем. если посмотреть ВСЕ вкладки, то есть различия.

    ну не скажите. там очень богатый функционал. вплоть до некоторой защиты от ддоса.

    каждому свое.
    настраивать надо с умом, тут вы правильно сказали.
     
  9. Fishka, Конечно различия есть, разрабы-то разные. Но в основном функционал похож...
     
Загрузка...