• ДОБРО ПОЖАЛОВАТЬ В КЛУБ ПО WORDPRESS

    Мы активно растущий клуб по WordPress и нам нужна помощь каждого человека, в том числе и Ваша! Не стесняйтесь и станьте частью большого сообщества.
    Мы делимся новостями, отытом и полезными советами! Пройдите простую регистрацию, чтобы пользоваться всеми возможностями нашего клуба.

    Присоединяйтесь к нам, вам обязательно понравится - Присоединится

Как можно защитить блог от хакерских атак?

Romansello

ПРОВЕРЕННЫЙ

Romansello

ПРОВЕРЕННЫЙ
Сообщения
21
В последнее время все больше участились случаи хакерского вмешательства в блоги, которые по тем или иным причинам стали более или менее популярными. В данном топике предлагаю поделиться всевозможными средствами защиты от вирусов и хакерского вмешательства. Как-то не очень хочется вмиг потерять то, что делал не один месяц, а то и год.
 
  • Нравится
Реакции: Maks

Славянин

НОВИЧОК

Славянин

НОВИЧОК
Сообщения
1
К сожалению хакеры не стоят на месте и с каждым разом придумывают новые способы взломов и с легкостью обходят защиту, но усложнить задачу злоумышленникам вполне реально, просто нужно придерживаться некоторых правил для вебмастера.
  • Во первых придумать очень сложный пароль и ограничить доступ по FTP.
  • Во вторых сменить стандартный логин на свой личный.
  • В третьих установить специальный плагин чтобы сократить количество попыток ввода пароля и время ожидания.
  • В четвертых удалить файлы readme.html и license.txt.
  • В пятых для файла function.php прописать этот код
    PHP:
    <?php remove_action (’wp_head’, ‘wp_generator’); ?>
  • И последнее меняем путь к админ панели, при помощи плагина Protected wp-login.
 
Последнее редактирование модератором:

wpMaster

НОВИЧОК

wpMaster

НОВИЧОК
Сообщения
1
В дополнении к предыдущему автору. Не все советы ниже относятся к решениям внутри WordPress. Но они - значительно более эффективны.
  1. Ограничьте доступ к ресурсу с помощью файла ".htaccess" (c точкой в начале имени). Что это и как его создать, выходит за рамки темы WordPress. Погуглите, найдете немало советов по этому вопросу.
  2. Средствами WordPress и его плагинов от настоящих хакерских атак вы не спасетесь (нужна защита на уровне сервера). Но защититься от начинающего взломщика вполне под силу. За многие годы создания сайтов на WordPress я остановил выбор на плагине Best WP Security. Даже его бесплатная версия позволяет справиться с большинством угроз, включая "фишинг" и "brute force". Если вы - начинающий сайтостроитель, то создавать тотальную защиту (а это плагин позволяет) не стоит. Поскольку можете просто заморозить сам сайт или нарушить его функциональность.
  3. Закройте любой внешний доступ к папкам wp-admin и wp-include, поместив в них настроенный файл ".htaccess".
  4. Создайте пустой файл "index.php" в папке wp-content и в каждой её подпапке (ниже 2-го уровня, т.е., например, ниже "wp-content/plugins/", спускаться не обязательно). От хакеров это не защитит, но любопытных отвлечёт.
В принципе, даже без плагинов и только следуя пунктам 1, 3 и 4 вы можете сделать базовую защиту сайта. Если будут частные вопросы, обращайтесь.
 
Последнее редактирование:

Maks

ПРОВЕРЕННЫЙ

Maks

ПРОВЕРЕННЫЙ
Сообщения
33
Добавлю к вышесказанному, что не стоит пренебрегать редактированием файла wp-config.php
Желательно сменить префикс таблицы
Задать сложный пароль для базы данных
Поменять секретные ключи с дефолтных
 

Fishka

ЭКСПЕРТ

Fishka

ЭКСПЕРТ
Сообщения
604
Добавлю к вышесказанному, что не стоит пренебрегать редактированием файла wp-config.php
Желательно сменить префикс таблицы
Задать сложный пароль для базы данных
Поменять секретные ключи с дефолтных
совершенно верно.
это как раз на этапе установки WP.
+ к тому, что написали выше

а потом стоит поставить
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
(причем не или/или, а все)

в них настраивается все - от смены страницы логина и установки прав на файлы до защиты от sql и брута и минимальной защиты от ддоса..
главное - настраивать аккуратно и не накосячить.
плюс установить еще доп капчу на вход и на восстановление пароля.
Если есть статич IP - то установить ограничение на вход (админка и фтп) только с него.
и конечно в идеале всегда использовать последние версии движка и плагинов.
и все бесплатное ставить только из оф репо.

+ регулярные бекапы.

в эффективность вещей типа Hide My WP не верю.
тк взломщикам не важно какая у вас версия вп. они просто перебирают известные уязвимости.
 

Fishka

ЭКСПЕРТ

Fishka

ЭКСПЕРТ
Сообщения
604
кстати, еще желательно удалить wp-instal.php (или хотя бы переименовать).

и если хоть немного разбираетесь, то сделайте самостоятельно (сгенерируйте) .htpasswd, который будет отсекать попытки брута ботами. Плюс этого в том, что запрос авторизации появляется до того, как вызова (обработки) wp-login.php, что уменьшает нагрузку на сервер.
 

Artikus

ПРОВЕРЕННЫЙ

Artikus

ПРОВЕРЕННЫЙ
Сообщения
63
(причем не или/или, а все)
А зачем все то ставить? Первый и второй плагины одинаковые по функционалу. Ну второй поддерживает больше тонких настроек. В третий плагин больше предназначен для сканирования от вирусов, хотя в новых версиях в нес еще доп функционала напихали.
Не надо сразу столько ставить плагинов. Достаточно одного, но правильно настроенного
 

Fishka

ЭКСПЕРТ

Fishka

ЭКСПЕРТ
Сообщения
604
Первый и второй плагины одинаковые по функционалу
не совсем. если посмотреть ВСЕ вкладки, то есть различия.

В третий плагин больше предназначен для сканирования от вирусов
ну не скажите. там очень богатый функционал. вплоть до некоторой защиты от ддоса.

каждому свое.
настраивать надо с умом, тут вы правильно сказали.
 

Artikus

ПРОВЕРЕННЫЙ

Artikus

ПРОВЕРЕННЫЙ
Сообщения
63
Fishka, Конечно различия есть, разрабы-то разные. Но в основном функционал похож...
 
Сверху